GA/T 1558-2019 信息安全技术 基于IPv6的高性能网络脆弱性扫描产品安全技术要求

ICS35.240

A.90

GA

中华人民共和国公共安全行业标准

GA/TXXXX—XXXX

信息安全技术基于IPv6的高性能网络脆

弱性扫描产品安全技术要求

InformationsecuritytechnologySecuritytechnicalrequirementsforIPv6-based

high-performancenetworkvulnerabilityscanners

（报批稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和国公安部发布

GA/TXXXX—XXXX

目次

前言II

1范围1

2规范性引用文件1

3术语和定义1

4缩略语2

5基于IPv6的高性能网络脆弱性扫描产品描述2

6总体说明2

6.1安全技术要求分类2

6.2安全等级划分2

7安全功能要求2

7.1信息获取2

7.2脆弱性扫描内容3

7.3扫描结果分析处理5

7.4扫描配置6

7.5扫描对象的安全性6

7.6扫描速度调节6

7.7并发扫描7

7.8升级能力7

7.9互动性要求7

8自身安全功能要求7

8.1标识与鉴别7

8.2安全管理8

8.3审计日志8

9环境适应性要求8

9.1支持纯IPv6网络环境8

9.2IPv6网络环境下自身管理9

10安全保障要求9

10.1开发9

10.2指导性文档10

10.3生命周期支持10

10.4测试11

10.5脆弱性评定11

11不同安全等级要求11

11.1安全功能要求11

11.2自身安全功能要求13

11.3安全保障要求13

I

GA/TXXXX—XXXX

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由公安部网络安全保卫局提出。

本标准由公安部信息系统安全标准化技术委员会归口。

本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心。

本标准主要起草人：顾建新、宋好好、杨春华、李毅、陆臻、沈亮、顾健。

II

GA/TXXXX—XXXX

信息安全技术基于IPv6的高性能网络脆弱性扫描产品安全技术要

求

1范围

本标准规定了基于IPv6的高性能网络脆弱性扫描产品的安全功能要求、自身安全功能要求、环境适

应性要求、安全保障要求以及不同安全等级要求。

本标准适用于基于IPv6的网络脆弱性扫描产品的设计、开发及测试。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T18336.3-2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件

GB/T20278-2013信息安全技术网络脆弱性扫描产品安全技术要求

GB/T25069-2010信息安全技术术语

3术语和定义

GB/T18336.3-2015、GB/T20278-2013和GB/T25069-2010界定的以及下列术语和定义适用于本文

件。

3.1

扫描scan

使用技术工具对目标系统进行探测，查找目标系统中存在安全隐患的过程。

3.2

脆弱性vulnerability

网络系统中可能被利用并造成危害的弱点。

3.3

网络脆弱性扫描networkvulnerabilityscan

通过网络对目标系统安全隐患进行远程探测，检查和分析其安全脆弱性，从而发现可能被入侵者利

用的安全隐患，并提出一定的防范和补救措施建议。

3.4

旗标banner

由应用程序发送的一段信息，通常包括欢迎语、应用程序名称和版本等信息。

1

GA/TXXXX—XXXX

4缩略语

下列缩略语适用于本文件。

CVE：通用脆弱性知识库（CommonVulnerabilitiesandExposures）

NETBIOS：网络基本输入输出系统（NETworkBasicInput/OutputSystem）

NFS：网络文件系统（NetworkFileSystem）

RPC：远程过程调用（RemoteProcedureCall）

SMB：服务器消息块（ServerMessageBlock）

5基于IPv6的高性能网络脆弱性扫描产品描述

本标准提出了基于IPv6的高性能网络脆弱性扫描产品的安全功能要求和安全保障要求。网络脆弱

性扫描产品是指利用扫描手段检测目标网络系统中可能被入侵者利用的安全隐患的软件或软硬件组合

的产品，该产品可根据预先定义的策略或者其他要求，对目标网络系统中的指定设备进行端口扫描，检

查其开放的服务，并进一步探测各个服务程序的配置信息以及存在的安全问题，从而实现对目标网络系

统的脆弱性扫描。此外，适用于下一代互联网网络环境的高性能网络脆弱性扫描产品，还要求能够支持

IPv6、IPv4/IPv6过渡技术的网络环境，并具备较高的处理性能，可实现对多个目标的同时扫描。

网络脆弱性扫描产品的应用环境要求产品与被扫描系统的各网络设备或者主机应处于连通状态，中

途无其他网络安全设备的防护。

6总体说明

6.1安全技术要求分类

本标准将基于IPv6的高性能网络脆弱性扫描产品的安全技术要求分为安全功能要求、自身安全功能

要求、环境适应性要求和安全保障要求。其中，安全功能要求是对基于IPv6的高性能网络脆弱性扫描产

品应具备的安全功能提出具体要求，包括信息获取、脆弱性扫描内容、扫描结果分析处理、扫描配置、

扫描对象的安全性等；自身安全功能要求包括标识与鉴别、安全管理和审计日志；安全保障要求针对基

于IPv6的高性能网络脆弱性扫描产品的生命周期过程提出具体的要求，例如开发、指导性文档、生命周

期支持和测试等。

6.2安全等级划分

基于IPv6的高性能网络脆弱性扫描产品的安全等级按照其安全功能要求、自身安全功能要求和安全

保障要求的强度划分为基本级和增强级，其中安全保障要求参考了GB/T18336.3-2015。

7安全功能要求

7.1信息获取

7.1.1端口扫描

TCP端口

产品应能扫描目标设备的所有TCP端口，检查其是否开启。

2

GA/TXXXX—XXXX

UDP端口

产品应能扫描目标设备的所有UDP端口，检查其是否开启。

端口协议分析

产品应能判断目标设备开启的TCP/UDP端口所对应的通用服务或应用协议。

7.1.2操作系统探测

产品应能对目标设备的操作系统类型和版本号进行探测。

7.1.3服务旗标

产品应能获取目标设备已开启的各项通用服务的旗标。

7.1.4其他信息

产品应能对目标设备的其他信息进行探测，例如网络配置信息、运行状态信息等。

7.2脆弱性扫描内容

7.2.1浏览器脆弱性

产品应能检查目标设备与浏览器安全相关的信息和配置，发现危险或不合理的配置，并提出相应的

安全性建议。检查项目应包括：

a）浏览器版本号；

b）浏览器安全设置；

c）浏览器自身脆弱性；

d）其他安全隐患。

7.2.2邮件服务脆弱性

产品应能检查目标设备中，使用POP3、SMTP等电子邮件相关协议的服务程序的安全问题，检查项目

应包括：

a)服务程序旗标和版本号；

b)服务程序本身的脆弱性，包括：

——对输入缺乏合法性检查；

——不能正确处理异常情况。

c)服务器的危险或错误配置，包括：

——允许EXPN和VRFY命令；

——允许邮件转发；

——其他不安全配置。

d)其他安全隐患。

7.2.3FTP服务脆弱性

产品应能检查目标设备中，提供FTP服务的应用程序的安全问题，检查项目应包括：

a)服务程序旗标和版本号；

b)服务程序本身的脆弱性，包括：

——对输入缺乏合法性检查；

3

GA/TXXXX—XXXX

——不能正确处理异常情况。

c)服务器的危险或错误配置，包括：

——允许匿名登录；

——使用了默认口令；

——允许危险命令；

——其他不安全配置。

d)其他安全隐患。

7.2.4DNS服务脆弱性

产品应能检查目标设备中，提供DNS服务的安全问题，检查项目应包括：

a)服务程序旗标和版本号；

b)服务程序本身的脆弱性，包括：

——对输入缺乏合法性检查；

——不能正确处理异常情况。

c)其他安全隐患。

7.2.5RPC服务脆弱性

产品应能检查目标设备中，使用了RPC协议的服务程序的安全问题，检查是否开启了危险的RPC服务。

7.2.6SNMP服务脆弱性

产品应能检查目标设备中，使用了SNMP协议的服务程序的安全问题，检查项目应包括：

a)SNMP版本信息；

b)SNMP口令脆弱性检查；

c)检查SNMP服务是否会暴露下列系统敏感信息，包括：

——TCP端口表；

——UDP端口表；

——服务列表；

——进程列表；

——路由表；

——网络接口设备表。

7.2.7口令脆弱性

产品应能采用字典或穷举等方法检查目标系统用户口令的健壮性，检查项目应包括：

a)系统是否使用了用户名称经过简单变换后的口令；

b)系统是否使用了易猜测口令。

7.2.8操作系统脆弱性

产品应能检查目标操作系统特有的脆弱性，检查项目应包括：

a)系统安全设置，包括：

——注册表项目访问权限设置；

——审核策略设置；

——系统口令策略设置。

b)操作系统版本和补丁安装情况检查；

4

GA/TXXXX—XXXX

c)其他相关检查。

7.2.9NFS服务脆弱性

产品应能