本规范由中华人民共和国公安部公共信息网络安全监察局提出。

本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。

公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。

信息技术主机安全漏洞扫描产品技术要求

1.范围

本标准规定了采用“传输控制协议/网间协议（TCP/IP）”的主机安全漏洞扫描产品的技术要求。

本标准适用于主机安全漏洞扫描产品安全功能的研制、开发、测试、评估和产品的采购。

2.术语和定义

2.1 本标准采用了GB/T 5271.8中的下列术语：

安全策略  security policy

安全审计  security audit 

鉴别  authentication

威胁  threat

脆弱性  vulnerability

攻击  attack

2.2 下列定义适用于本标准。

2.2.1 误报  False Positives

由于扫描器程序本身的缺陷或不完善性而输出了错误的扫描结果。

2.2.2　漏报  False Negatives

由于扫描器程序本身的缺陷或不完善性导致某些实际存在的系统漏洞或缺陷未被探测到的现象。

3.安全功能要求

3.1 自身安全功能要求

3.1.1 使用者身份控制

只有本机的特定用户（通常为授权管理员）才有权使用软件的完整功能，对于授权管理员至少采用用户名、口令方式对其进行身份认证。
[page_break]

3.1.2 通讯信息保密

必须保证漏洞扫描软件控制台同代理宿主机通讯信息的保密性。

3.1.3 软件使用记录

对软件的使用（包括失败的登录等）应有完备的日志记录，便于审计跟踪、分析。

3.2 安全功能要求

3.2.1 脆弱性扫描

3.2.1.1 操作系统脆弱性扫描

a)操作系统版本以及补丁

b)操作系统的安全隐患

c)操作系统危险或错误的配置

3.2.1.2 重要文件、目录脆弱性扫描

a)文件、目录属性设置

b)文件、目录危险或错误配置

c)可疑文件

d)文件Checksum识别

e)长度识别

3.2.1.3 浏览器脆弱性扫描

检查和浏览器安全相关的信息和配置，发现危险或不合理的配置，并提出相应的安全性建议。检查项目应该包括：

a)浏览器版本号

b)安全设置

c)其它由于操作系统或软件升级带来的安全隐患。

3.2.1.4 Web服务脆弱性扫描

a)服务程序本身的漏洞

b)服务器上运行的脚本、CGI程序等等的漏洞

c)服务器的危险或错误配置

d)其它由于操作系统或软件升级带来的安全隐患。

3.2.1.5 其他通用

[1] [2] [3] 下一页