標準解讀

《GB/T 20278-2022 信息安全技術 網絡脆弱性掃描產品安全技術要求和測試評價方法》相比于之前的《GB/T 20278-2013》與《GB/T 20280-2006》,主要在以下幾個方面進行了更新和調整:

  1. 技術要求細化與增強:新版標準對網絡脆弱性掃描產品的安全技術要求做了進一步的細化,特別是在掃描準確性、掃描效率、以及掃描范圍等方面提出了更高的標準。這反映了隨著信息技術的發(fā)展,對網絡安全產品性能要求的提升。

  2. 合規(guī)性和安全性擴展:考慮到近年來數(shù)據(jù)保護法規(guī)的增多,如GDPR等,新標準加強了對隱私保護和合規(guī)性要求的考量,確保脆弱性掃描活動在合法合規(guī)的前提下進行,避免侵犯用戶隱私。

  3. 測試評價方法優(yōu)化:為適應技術進步和安全威脅的新變化,2022版標準對測試評價方法進行了優(yōu)化,引入了更多自動化測試工具和技術,提高了測試的全面性和準確性,同時增強了對未知漏洞檢測能力的評估。

  4. 云環(huán)境與新興技術覆蓋:鑒于云計算、物聯(lián)網(IoT)、容器技術等新興領域的快速發(fā)展,新標準擴展了對這些新技術環(huán)境下的網絡脆弱性掃描要求,確保其適用性和有效性。

  5. 報告與管理要求升級:對于掃描結果的報告格式、內容詳細度以及后續(xù)風險管理流程,新標準提供了更具體的指導,強調了報告的可讀性和操作性,便于用戶快速理解并采取行動。

  6. 互操作性和兼容性:為了促進不同廠商產品的兼容與互操作,新標準可能包含了關于接口標準化、數(shù)據(jù)交換格式等方面的要求,以支持更廣泛的生態(tài)系統(tǒng)集成。


如需獲取更多詳盡信息,請直接參考下方經官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2022-03-09 頒布
  • 2022-10-01 實施
?正版授權
GB/T 20278-2022信息安全技術網絡脆弱性掃描產品安全技術要求和測試評價方法_第1頁
GB/T 20278-2022信息安全技術網絡脆弱性掃描產品安全技術要求和測試評價方法_第2頁
GB/T 20278-2022信息安全技術網絡脆弱性掃描產品安全技術要求和測試評價方法_第3頁
GB/T 20278-2022信息安全技術網絡脆弱性掃描產品安全技術要求和測試評價方法_第4頁
免費預覽已結束,剩余60頁可下載查看

下載本文檔

GB/T 20278-2022信息安全技術網絡脆弱性掃描產品安全技術要求和測試評價方法-免費下載試讀頁

文檔簡介

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T20278—2022

代替GB/T20278—2013GB/T20280—2006

,

信息安全技術網絡脆弱性掃描產品

安全技術要求和測試評價方法

Informationsecuritytechnology—Securitytechnicalrequirementsandtesting

assessmentapproachesfornetworkvulnerabilityscanners

2022-03-09發(fā)布2022-10-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T20278—2022

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

網絡脆弱性掃描產品描述

5………………2

安全技術要求

6……………2

概述

6.1…………………2

基本級安全要求

6.2……………………5

增強級安全要求

6.3……………………11

測試評價方法

7……………20

測試環(huán)境

7.1……………20

測試工具

7.2……………20

基本級測試評價方法

7.3………………21

增強級測試評價方法

7.4………………36

參考文獻

……………………59

GB/T20278—2022

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技術網絡脆弱性掃描產品安全技術要求和

GB/T20278—2013《》

信息安全技術網絡脆弱性掃描產品測試評價方法與相

GB/T20280—2006《》,GB/T20278—2013

比除結構調整和編輯性改動外主要技術變化如下

,,:

增加了網絡脆弱性掃描產品描述的內容見第章

a)“”(5);

增加了掃描報文標識的要求見和

b)“”(.3.3);

增加了并發(fā)掃描的要求見和

c)“”();

增加了支撐系統(tǒng)安全的要求見和

d)“”();

增加了通信保密性的要求見

e)“”();

增加了環(huán)境適應性要求有則適用的內容其中主要是明確了產品對的支持能力包

f)“()”,IPv6,

括支持純網絡環(huán)境的掃描能力網絡環(huán)境下的自身管理能力以及雙協(xié)議棧的要求

IPv6、IPv6

見和

(6.2.36.3.3);

增加了測試評價方法的內容見第章

g)“”(7);

刪除了掃描地址限制的要求見年版的

h)“IP”(20138.1.8);

刪除了易用性的要求見年版的

i)“”(2013);

修改了脆弱性掃描內容將原標準中要求的項掃描要求重新整理分為類掃描要求見

j)“”,155(

和年版的在增強級中還提出了對云環(huán)境和工控設備目標對象的

,20137.1.2),

掃描要求見和

(.6.7);

修改了各級的安全保證要求為安全保障要求見和年版的和

k)“”“”(6.2.46.3.4,20137.38.3)。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位公安部第三研究所北京神州綠盟科技有限公司網神信息技術北京股份有限

:、、()

公司北京天融信網絡安全技術有限公司啟明星辰信息技術集團股份有限公司上海國際技貿聯(lián)合有

、、、

限公司中國網絡安全審查技術與認證中心西安交大捷普網絡科技有限公司北京中科網威信息技術

、、、

有限公司上海市信息安全測評認證中心工業(yè)和信息化部計算機與微電子發(fā)展研究中心中國軟件評

、、(

測中心新華三技術有限公司中國電子科技集團公司第十五研究所信息產業(yè)信息安全測評中心國

)、、()、

家工業(yè)信息安全發(fā)展研究中心陜西省網絡與信息安全測評中心國網新疆電力有限公司電力科學研究

、、

院中國科學院信息工程研究所中國電力科學研究院有限公司信息通信研究所中國信息通信研究院

、、、、

遠江盛邦北京網絡安全科技股份有限公司北京通和實益電信科學技術研究所有限公司上海斗象信

()、、

息科技有限公司深圳市聯(lián)軟科技股份有限公司北京知道創(chuàng)宇信息技術股份有限公司

、、。

本文件主要起草人顧建新宋好好陸臻顧健沈亮尹航陳昕宇熊毅秦蘭曹寧申永波

:、、、、、、、、、、、

何建鋒宋偉徐佟海郭永振楊洪起劉健劉志堯巨騰飛李明軒陳佳閆兆騰嚴敏輝許子先

、、、、、、、、、、、、、

于忠臣聞蕾謝忱侯俊崔兆

、、、、。

本文件及其所替代文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為年第一次修訂

———2006GB/T20278—2006,2013;

本次為第二次修訂并入了信息安全技術網絡脆弱性掃描產品測試評

———,GB/T20280—2006《

價方法的內容

》。

GB/T20278—2022

信息安全技術網絡脆弱性掃描產品

安全技術要求和測試評價方法

1范圍

本文件規(guī)定了網絡脆弱性掃描產品的安全技術要求和測試評價方法

。

本文件適用于脆弱性掃描產品的設計開發(fā)與測試

、。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范化引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術術語

GB/T25069

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T25069。

31

.

掃描scan

使用技術工具對目標系統(tǒng)進行探測查找目標系統(tǒng)中存在安全弱點的過程

,。

32

.

網絡脆弱性

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發(fā)行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論