《信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求和測試評價方法-編制說明》

1工作簡況

1.1任務(wù)來源

2019年1月17日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布了“關(guān)于印發(fā)《2019

年網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)項目申報指南》的通知”，將GB/T20278-2013《信息安全技

術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求》列為擬支持的國家標(biāo)準(zhǔn)修訂項目；2月

26日，由上海國際技貿(mào)聯(lián)合有限公司牽頭，公安部第三研究所等六家單位共同

參與提出了對該標(biāo)準(zhǔn)進行修訂的申請；8月21日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委

員會秘書處發(fā)布了《全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會關(guān)于2019年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

項目立項的通知》（信安秘字[2019]050號），本標(biāo)準(zhǔn)修訂工作正式獲得立項，并

于9月11號，簽訂了網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)項目任務(wù)書。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）提出并歸口，由中

國電子技術(shù)標(biāo)準(zhǔn)化研究院組織，由上海國際技貿(mào)聯(lián)合有限公司負(fù)責(zé)承擔(dān)。

1.2協(xié)作單位

在接到修訂GB/T20278-2013《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)

要求》國家標(biāo)準(zhǔn)的立項任務(wù)后，9月20日，上海國際技貿(mào)聯(lián)合有限公司在網(wǎng)上

發(fā)布了召集單位參與標(biāo)準(zhǔn)編制的通知，受到了業(yè)內(nèi)各大科研機構(gòu)、測評認(rèn)證機構(gòu)

和主要產(chǎn)品生產(chǎn)廠商的大力支持，共計收到杭州安恒信息技術(shù)股份有限公司等

43家單位的參與編制申請。

1.3主要工作過程

1.3.1前期調(diào)研

在申請GB/T20278-2013《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要

求》國家標(biāo)準(zhǔn)修訂任務(wù)之前，標(biāo)準(zhǔn)修訂組就已經(jīng)開始了前期調(diào)研工作。

1.3.1.1參考資料

在前期調(diào)研過程中，標(biāo)準(zhǔn)修訂組主要參考了以下標(biāo)準(zhǔn)、產(chǎn)品和相關(guān)資料。

1、《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》

2、《GB/T18336-2015信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》

3、近兩年到本檢測中心所送檢的該類產(chǎn)品及其技術(shù)資料

1

1.3.1.2現(xiàn)狀研究

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，特別是IPv6網(wǎng)絡(luò)環(huán)境的逐步推廣，企業(yè)和個

人用戶在享受網(wǎng)絡(luò)帶來便利的同時，網(wǎng)絡(luò)安全的威脅也越來越嚴(yán)重，網(wǎng)絡(luò)蠕蟲、

黑客攻擊無時無刻不在威脅著用戶的網(wǎng)絡(luò)系統(tǒng)，尤其是安全漏洞所引發(fā)的安全事

件愈演愈烈，針對系統(tǒng)漏洞進行的網(wǎng)絡(luò)攻擊給用戶造成了巨大的破壞，而廣大用

戶往往在病毒爆發(fā)之后或者安全事件出現(xiàn)之后才想到進行漏洞的彌補，而此時損

失已經(jīng)無法彌補。為此，市場上出現(xiàn)了網(wǎng)絡(luò)脆弱性掃描產(chǎn)品，網(wǎng)絡(luò)脆弱性掃描產(chǎn)

品是對計算機系統(tǒng)和網(wǎng)絡(luò)設(shè)備進行檢查，發(fā)現(xiàn)其脆弱性，對其安全狀況進行評估、

風(fēng)險分析，并對發(fā)現(xiàn)的安全隱患提出針對性的解決方案和建議，供網(wǎng)絡(luò)管理員可

以有針對性的對系統(tǒng)進行修補，從而進一步提高計算機系統(tǒng)和網(wǎng)絡(luò)環(huán)境的安全

性。這樣就可以有效地發(fā)現(xiàn)漏洞并預(yù)防入侵事件的發(fā)生，因此，在網(wǎng)絡(luò)系統(tǒng)建設(shè)

中部署網(wǎng)絡(luò)脆弱性掃描產(chǎn)品是非常必要的。

目前該類產(chǎn)品可參考現(xiàn)行國標(biāo)《GB/T20278-2013信息安全技術(shù)網(wǎng)絡(luò)脆弱

性掃描產(chǎn)品技術(shù)要求》進行研發(fā)生產(chǎn)、檢測、采購，但該國家標(biāo)準(zhǔn)在制定時并沒

有考慮對IPv6網(wǎng)絡(luò)環(huán)境的支持，而且《GB/T20278-2013信息安全技術(shù)網(wǎng)絡(luò)脆

弱性掃描產(chǎn)品技術(shù)要求》在編制時參考的GB/T18336-2008《信息技術(shù)安全技

術(shù)信息技術(shù)安全性評估準(zhǔn)則》等標(biāo)準(zhǔn)都已更新，標(biāo)準(zhǔn)分級原則不夠清晰，以及

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)漏洞層出不窮，對網(wǎng)絡(luò)、主機和系統(tǒng)資源安全的

威脅不斷增加，對網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全功能要求不斷提高等原因，GB/T

20278-2013已不能適用于現(xiàn)在的國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系的要求，我們需要對6

年前頒布執(zhí)行的國家標(biāo)準(zhǔn)進行修訂、更新，才能夠有效的保障信息網(wǎng)絡(luò)的安全，

進而支撐國家網(wǎng)絡(luò)安全法的有效落地。

本標(biāo)準(zhǔn)修訂工作的目標(biāo)是根據(jù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的新技術(shù)和新特性、最新

版的GB/T18336-2015《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》，從安全

功能要求和安全保障要求等方面，研究網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全技術(shù)要求和等

級劃分，形成相應(yīng)的國家標(biāo)準(zhǔn)。

修訂的國家標(biāo)準(zhǔn)可以給開發(fā)廠商進行指導(dǎo)，研發(fā)出更貼近市場需要、功能更

為完善的網(wǎng)絡(luò)脆弱性掃描產(chǎn)品；同時，通過對產(chǎn)品的分級，來區(qū)分產(chǎn)品的安全功

能強度和安全保障能力，也能為用戶采購產(chǎn)品時提供參考。

2

1.3.2修訂組成立

在接到GB/T20278-2013《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要

求》國家標(biāo)準(zhǔn)修訂任務(wù)之后，2019年9月，成立了由顧建新作為組長的標(biāo)準(zhǔn)修

訂組，主要包括成員單位和參與人員如下表：

單位名稱人員人員分類

公安部第三研究所顧建新課題負(fù)責(zé)人

公安部第三研究所宋好好課題骨干

公安部第三研究所陸臻課題骨干

公安部第三研究所顧健課題骨干

公安部第三研究所沈亮課題骨干

上海國際技貿(mào)聯(lián)合有限公司曹寧其他研究人員

上海國際技貿(mào)聯(lián)合有限公司陶俊杰其他研究人員

中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心申永波其他研究人員

北京神州綠盟科技有限公司李曄磊其他研究人員

北京神州綠盟科技有限公司尹航課題骨干

網(wǎng)神信息技術(shù)（北京）股份有限公司楊柳課題骨干

北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司雷曉鋒其他研究人員

北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司安高峰課題骨干

深信服科技股份有限公司葉潤國課題骨干

1.3.2.1制定工作計劃

標(biāo)準(zhǔn)修訂組首先制定了修訂工作計劃，并確定了修訂組人員例會及時溝通交

流工作情況，主要工作時間節(jié)點如下表：

時間進度安排

征集標(biāo)準(zhǔn)參編單位，組建標(biāo)準(zhǔn)編制組；召開項目啟動會，

完善標(biāo)準(zhǔn)草案；

2019.9-2019.11

在信安標(biāo)委“會議周”上匯報標(biāo)準(zhǔn)編制情況；

提交項目進展及經(jīng)費執(zhí)行情況報告。

以多種形式征求專家和相關(guān)單位意見，完善標(biāo)準(zhǔn)草案、編

2019.12-2020.2制說明、意見處理匯總表；

組織中期評審會，對項目進展及經(jīng)費執(zhí)行情況進行評審。

標(biāo)準(zhǔn)草案提交工作組，并在信安標(biāo)委“會議周”上匯報標(biāo)

準(zhǔn)編制情況；

2020.3-2020.5根據(jù)意見修改標(biāo)準(zhǔn)文本，經(jīng)工作組全會審議通過，形成征

求意見稿，完善標(biāo)準(zhǔn)編制說明、意見處理匯總表；

提交項目進展及經(jīng)費執(zhí)行情況報告。

修改完善標(biāo)準(zhǔn)文本、編制說明、意見處理匯總表；

2020.6-2020.8

按照合同要求，完成項目任務(wù)及財務(wù)驗收工作。

3

1.3.2.2確定修訂內(nèi)容

經(jīng)標(biāo)準(zhǔn)修訂小組研究決定，以網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的發(fā)展動向為研究基礎(chǔ)，

以等級保護相關(guān)標(biāo)準(zhǔn)為標(biāo)準(zhǔn)框架，對GB/T20278-2013《信息安全技術(shù)網(wǎng)絡(luò)脆弱

性掃描產(chǎn)品安全技術(shù)要求》國家標(biāo)準(zhǔn)的內(nèi)容進行修訂。

1.3.3修訂工作簡要過程

按照修訂進度要求，修訂組人員首先對所參閱的產(chǎn)品、文檔以及標(biāo)準(zhǔn)進行反

復(fù)閱讀與理解，并查閱有關(guān)資料，編寫修訂提綱。在對提綱進行交流和修改的基

礎(chǔ)上，開始具體標(biāo)準(zhǔn)的修訂工作。

1.3.3.1草稿

2019年4月至2019年8月，對國內(nèi)外網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的相關(guān)技術(shù)文檔

以及有關(guān)標(biāo)準(zhǔn)進行前期基礎(chǔ)調(diào)研。在調(diào)研期間，我們主要對我中心歷年檢測產(chǎn)品

的記錄、報告以及各產(chǎn)品的技術(shù)文檔材料進行了篩選、匯總、分析，對國內(nèi)外網(wǎng)

絡(luò)脆弱性掃描產(chǎn)品的發(fā)展動向進行了研究，以及進行了對國內(nèi)外相關(guān)產(chǎn)品的技術(shù)

文檔和標(biāo)準(zhǔn)分析理解等工作，對原標(biāo)準(zhǔn)的內(nèi)容進行了修訂，形成了本標(biāo)準(zhǔn)的草稿。

1.3.3.2工作組討論稿

2019年10月9日，公安部三所檢測中心在北京組織召開了本標(biāo)準(zhǔn)的啟動會，

10月11日，標(biāo)委會在北京組織召開了對標(biāo)準(zhǔn)內(nèi)容的預(yù)評審會議，與會專家來自

于中國信息安全測評中心、北京江南天安科技有限公司、電子標(biāo)準(zhǔn)四院、北信源、

國信中心等多家單位。經(jīng)過評審，對標(biāo)準(zhǔn)草稿提出了修改意見，主要是提出了在

標(biāo)準(zhǔn)正文中增加了“測試評價方法”部分的內(nèi)容，并將標(biāo)準(zhǔn)內(nèi)容按照基本級和增

強級分別描述。

1.3.3.3征求意見稿

2019年10月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會在重慶組織了2019年第二

次工作組“會議周”活動。10月28日上午，WG5工作組專家和成員單位對該標(biāo)

準(zhǔn)“工作組討論稿”進行了評審討論，并提出了修改意見。會后，根據(jù)專家意見，

標(biāo)準(zhǔn)編制組對標(biāo)準(zhǔn)內(nèi)容進行了修訂。

2019年11月19日，在上海組織了一次申請參與編制單位的集中討論會，

共計有20多家單位的技術(shù)負(fù)責(zé)人和代表到場，對標(biāo)準(zhǔn)內(nèi)容再次進行了集中討論，

4

并最終形成標(biāo)準(zhǔn)征求意見稿。

2標(biāo)準(zhǔn)主要內(nèi)容

2.1修訂原則

為了使網(wǎng)絡(luò)脆弱性掃描產(chǎn)品國標(biāo)一開始就與現(xiàn)有其他國家標(biāo)準(zhǔn)保持一致，本

標(biāo)準(zhǔn)的修訂參考了現(xiàn)行的其他國家標(biāo)準(zhǔn)，主要有GB/T22239-2019、GB/T

18336-2015。

本標(biāo)準(zhǔn)符合我國的實際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定。具體原則與

要求如下：

1.實用性原則

標(biāo)準(zhǔn)必須是可用的，才有實際意義，本標(biāo)準(zhǔn)在修訂過程中嚴(yán)格按照流程對產(chǎn)

品的現(xiàn)狀、技術(shù)等相關(guān)領(lǐng)域展開系統(tǒng)的、全面的調(diào)研工作，注重與相關(guān)產(chǎn)品生產(chǎn)

單位的交流，使得標(biāo)準(zhǔn)更貼近產(chǎn)品實際情況，保證操作性。

2.先進性原則

標(biāo)準(zhǔn)是先進經(jīng)驗的總結(jié)，同時也是技術(shù)的發(fā)展趨勢。要制定出先進的行業(yè)標(biāo)

準(zhǔn)，必須廣泛了解市場上主流產(chǎn)品的功能，吸收其精華，制定出具有先進水平的

標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)的編寫始終遵循這一原則。

3.兼容性原則

本標(biāo)準(zhǔn)與我國現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、規(guī)范等相一致。修訂組在對標(biāo)準(zhǔn)起

草過程中始終遵循此原則，其內(nèi)容符合我國已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。

2.2標(biāo)準(zhǔn)內(nèi)容

2.2.1標(biāo)準(zhǔn)結(jié)構(gòu)

本標(biāo)準(zhǔn)的編寫格式和方法依照GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)

準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則。

本標(biāo)準(zhǔn)主要結(jié)構(gòu)包括如下內(nèi)容：

1.范圍

2.規(guī)范性引用文件

3.術(shù)語與定義

4.縮略語

5

5.網(wǎng)絡(luò)脆弱性掃描產(chǎn)品描述

6.安全技術(shù)要求

7.測試評價方法

2.2.2主要內(nèi)容和等級劃分

本標(biāo)準(zhǔn)將網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全技術(shù)要求分為安全功能要求、自身安全

保護要求、環(huán)境適應(yīng)性要求和安全保障要求四個大類。其中，安全功能要求是對

網(wǎng)絡(luò)脆弱性掃描產(chǎn)品應(yīng)具備的安全功能提出的具體要求，包括信息獲取、脆弱性

掃描內(nèi)容、掃描結(jié)果分析處理、掃描配置、掃描對象的安全性等；自身安全保護

要求把包括身份鑒別、管理員管理和安全審計；環(huán)境適應(yīng)性要求提出了產(chǎn)品支持

IPv6網(wǎng)絡(luò)環(huán)境進行工作和管理的要求；安全保障要求針對網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的

生命周期過程提出具體的要求，包括開發(fā)、指導(dǎo)性文檔、生命周期支持和測試等。

本標(biāo)準(zhǔn)將網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全等級分為基本級和增強級，如表1、表

2、表3和表4所示。安全功能與自身安全保護的強弱、以及安全保障要求的高

低是等級劃分的具體依據(jù)，安全等級突出安全特性。與基本級內(nèi)容相比，增強級

中要求有所增加或變更的內(nèi)容在正文中通過“宋體加粗”表示。

表1安全功能要求等級劃分表

安全功能要求基本級增強級

TCP端口**

端口掃描UDP端口**

信息獲取端口協(xié)議分析***

服務(wù)旗標(biāo)**

其他信息**

操作系統(tǒng)脆弱性**

數(shù)據(jù)庫脆弱性**

脆弱性掃描內(nèi)容應(yīng)用服務(wù)脆弱性**

網(wǎng)絡(luò)設(shè)備脆弱性**

口令脆弱性**

表1（續(xù)）

安全功能要求基本級增強級

結(jié)果瀏覽**

脆弱性修補建議**

報告生成**

掃描結(jié)果分析處理

報告輸出**

結(jié)果導(dǎo)入導(dǎo)出——*

報告定制——*

6

結(jié)果比對——*

報告發(fā)送——*

掃描策略**

掃描配置計劃任務(wù)**

已知帳號/口令掃描——*

對目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)性能的影響**

掃描對象的安全性對目標(biāo)系統(tǒng)的影響**

掃描報文標(biāo)識**

掃描速度調(diào)節(jié)**

并發(fā)掃描**

升級能力***

互動性要求——*

注：“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。

表2自身安全保護要求等級劃分表

自身安全保護要求基本級增強級

管理員鑒別**

鑒別信息要求**

鑒別失敗的處理**

身份鑒別鑒別數(shù)據(jù)保護**

超時設(shè)置**

管理地址限制——*

會話鎖定——*

標(biāo)識唯一性**

管理員屬性定義**

管理員管理

安全行為管理**

管理員角色——*

審計日志生成**

審計日志可理解性**

審計日志查閱**

安全審計

受限的審計日志查閱**

可選審計查閱**

數(shù)據(jù)存儲告警——*

注：“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。

表3環(huán)境適應(yīng)性要求等級劃分表

環(huán)境適應(yīng)性要求基本級增強級

支持純IPv6網(wǎng)絡(luò)環(huán)境**

IPv6網(wǎng)絡(luò)環(huán)境下自身管理**

雙協(xié)議棧**

注：“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。

表4安全保障要求等級劃分表

7

安全保障要求基本級增強級

安全架構(gòu)**

功能規(guī)范***

開發(fā)

實現(xiàn)表示——*

產(chǎn)品設(shè)計***

操作用戶指南**

指導(dǎo)性文檔

準(zhǔn)備程序**

配置管理能力***

配置管理范圍***

交付程序**

生命周期支持

開發(fā)安全——*

生命周期定義——*

工具和技術(shù)——*

測試覆蓋***

測試深度——*

測試

功能測試**

獨立測試**

脆弱性評定***

注：“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。

2.3新舊國家標(biāo)準(zhǔn)對比

本標(biāo)準(zhǔn)代替GB/T20278—2013《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技

術(shù)要求》，本標(biāo)準(zhǔn)與GB/T20278—2013的主要差異如下：

a)增加了“產(chǎn)品描述”章節(jié)的內(nèi)容；

b)增加對“環(huán)境適應(yīng)性要求”章節(jié)的內(nèi)容，其中主要是明確了產(chǎn)品對IPv6

的支持能力，包括支持純IPv6網(wǎng)絡(luò)環(huán)境的掃描能力、IPv6網(wǎng)絡(luò)環(huán)境下的

自身管理能力以及雙協(xié)議棧的要求；

c)目前現(xiàn)行的是18336.3-2015版本，將規(guī)范性引用文件中引用的2008版

修改為2015版本；

d)增加了“并發(fā)掃描”的要求；

e)增加了“掃描報文的標(biāo)識”的要求；

f)增加了“測評評價方法”的內(nèi)容；

g)全文按照基本級和增強級分別描述；

h)將原標(biāo)準(zhǔn)中的“7.1.2脆弱性掃描”要求的15項掃描要求重新整理分類

8

為6類掃描要求；

i)刪除了原標(biāo)準(zhǔn)中的“8.1.8掃描IP地址限制”的要求；

j)刪除了原標(biāo)準(zhǔn)中的“8.2.2.2易用性”的要求。

3標(biāo)準(zhǔn)驗證、分析與論證

3.1修訂的背景和意義

2014年，由習(xí)總書記親自擔(dān)任組長的中央網(wǎng)絡(luò)安全和信息化建設(shè)領(lǐng)導(dǎo)小組

的成立將網(wǎng)絡(luò)安全上升到國家戰(zhàn)略高度，2017年，《網(wǎng)絡(luò)安全法》正式施行，明

確規(guī)定了個人信息受保護，并對關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)盡的安全義務(wù)提出

了法律層面的要求，這使得網(wǎng)絡(luò)安全防護由自發(fā)自覺行為上升為應(yīng)盡的義務(wù)范

疇，也為信息安全行業(yè)的發(fā)展帶來了極大的機遇和挑戰(zhàn)。

2019年1月，在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布的《關(guān)于應(yīng)發(fā)<2019年

網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)項目申報指南>的通知》中，明確提出將《GB/T20278-2013信

息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求》作為擬支持修訂的國家標(biāo)準(zhǔn)；

2017年6月，由國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家認(rèn)證

認(rèn)可監(jiān)督管理委員會，四部委聯(lián)合發(fā)布的《關(guān)于發(fā)布<網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全

專用產(chǎn)品目錄（第一批）>的公告》中，針對網(wǎng)絡(luò)脆弱性掃描產(chǎn)品提出了明確的

性能要求“最大并行掃描IP數(shù)量≥60”；在2012年底，由國家發(fā)改委辦公廳發(fā)布

的《關(guān)于組織實施2012年下一代互聯(lián)網(wǎng)信息安全專項有關(guān)事項的通知》（發(fā)改辦

高技[2012]287號）中明確重點支持的滿足下一代互聯(lián)網(wǎng)發(fā)展需要的高性能網(wǎng)絡(luò)

信息安全產(chǎn)品中就包括了下一代互聯(lián)網(wǎng)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品，通知中要求該類產(chǎn)

品應(yīng)具備的主要功能包括“支持對IPv4/IPv6設(shè)備的漏洞掃描，對IPv4和IPv6雙

協(xié)議棧網(wǎng)絡(luò)設(shè)備和服務(wù)節(jié)點的漏洞掃描、對所發(fā)掘出的安全漏洞進行自動更新

等，可應(yīng)用在IPv4和IPv6環(huán)境下，支持多線程并發(fā)掃描大于1000”。但是，目

前現(xiàn)有的網(wǎng)絡(luò)脆弱性掃描產(chǎn)品國家標(biāo)準(zhǔn)中并不涉及這些內(nèi)容，無法對該類產(chǎn)品的

設(shè)計、開發(fā)及測試工作提出指引效果。

隨著云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、智慧城市的推進和普及，由于系統(tǒng)自身

漏洞的存在而帶來的網(wǎng)絡(luò)攻擊花樣繁多，造成的影響也會越來越嚴(yán)重。網(wǎng)絡(luò)安全

問題已成為影響國家全局和長遠(yuǎn)利益的急待解決的重大關(guān)鍵問題。網(wǎng)絡(luò)安全同食

9

品安全一樣已經(jīng)為普通百姓所能切身感受，諸如隱私泄露、盜號行為、勒索病毒、

服務(wù)中斷等都嚴(yán)重影響了個人的生活和甚至對個人利益產(chǎn)生了損害。

因此，要給提供網(wǎng)絡(luò)服務(wù)的系統(tǒng)自身筑起堅固的“長城”才能更好地防御各類

網(wǎng)絡(luò)攻擊，只有自身漏洞少，才能有效降低被入侵攻擊的可能。保障信息安全除

了完善的法律規(guī)章、嚴(yán)格的管理制度等要素外，網(wǎng)絡(luò)安全產(chǎn)品則是站在了直接與

網(wǎng)絡(luò)犯罪行為針鋒相對的前沿陣地，常見的網(wǎng)絡(luò)安全產(chǎn)品如果存在質(zhì)量問題，不

但起不到應(yīng)有的保護作用，反而可能成為攻擊者的幫兇，直接影響到國計民生的

方方面面。

網(wǎng)絡(luò)脆弱性掃描產(chǎn)品就是這樣一款可實現(xiàn)“自我體檢”的產(chǎn)品，可以對目標(biāo)操

作系統(tǒng)、網(wǎng)絡(luò)設(shè)備進行脆弱性分析和風(fēng)險排查，以便及時指導(dǎo)設(shè)備管理員針對漏

洞打好補丁，加固安全防線。該類產(chǎn)品在政府及企事業(yè)單位中得到了廣泛的應(yīng)用，

是網(wǎng)絡(luò)安全中的一個大類產(chǎn)品，而這類產(chǎn)品的相關(guān)標(biāo)準(zhǔn)的指導(dǎo)、指引意義就顯得

非常重要了。

本項目擬對GB/T20278-2013進行修訂，對網(wǎng)絡(luò)脆弱性掃描的安全功能要求、

自身安全功能要求和安全保證要求的內(nèi)容進行重新整理，從而使得修訂后的技術(shù)

要求能夠更好的與現(xiàn)行產(chǎn)品的技術(shù)發(fā)展趨勢相對應(yīng)，能夠適用于現(xiàn)行以及將來網(wǎng)

絡(luò)環(huán)境下的掃描需求，最終促進網(wǎng)絡(luò)脆弱性掃描這類產(chǎn)品的實際推廣應(yīng)用，推進

我們國家網(wǎng)絡(luò)安全法的有效落地實施。

3.2修訂的目的

GB/T20278-2013是2013年頒布的、適用于網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的國家標(biāo)準(zhǔn)，

該標(biāo)準(zhǔn)對網(wǎng)絡(luò)脆弱性掃描產(chǎn)品進行了兩個等級的劃分，以基本級和增強級進行描

述。主要組成為：安全功能要求、自身安全功能要求和安全保證要求。

a)修訂GB/T20278-2013的目的和意義之一

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，系統(tǒng)漏洞逐步暴露，對網(wǎng)絡(luò)、主機和系統(tǒng)資源安

全的威脅不斷增加，對網(wǎng)絡(luò)脆弱性掃描產(chǎn)品自身安全功能和安全技術(shù)要求也在不

斷提高。隨著云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、智慧城市的推進和普及，網(wǎng)絡(luò)脆弱

性掃描產(chǎn)品的部署方式和訪問方式也要求能適應(yīng)新的需求，對新的掃描方式和虛

擬機等對象也要增加具體的處理措施，因此，我們需要對6年前頒布執(zhí)行的國家

標(biāo)準(zhǔn)《GB/T20278-2013》進行修訂、更新，才能夠有效的保障信息網(wǎng)絡(luò)的安全，

10

進而支撐國家網(wǎng)絡(luò)安全法的有效落地。

b)修訂《GB/T20278-2013》的目的和意義之二

隨著聯(lián)網(wǎng)技術(shù)的發(fā)展，尤其是IPv6技術(shù)的推廣，要求網(wǎng)絡(luò)脆弱性掃描產(chǎn)品

可以應(yīng)用在IPv6網(wǎng)絡(luò)環(huán)境下實現(xiàn)對目標(biāo)設(shè)備的掃描，但原國標(biāo)GB/T20278-2013

中對產(chǎn)品的技術(shù)要求并沒有提出對IPv6環(huán)境的支持，也沒有關(guān)于性能方面的要

求。因此，我們需要對GB/T20278-2013中的產(chǎn)品技術(shù)要求進行重新整理，增加

有關(guān)IPv6應(yīng)用環(huán)境支持能力的要求，并對產(chǎn)品可以實現(xiàn)的并發(fā)掃描能力也要提

出具體的要求，以滿足產(chǎn)品能在下一代網(wǎng)絡(luò)環(huán)境下正常工作，實現(xiàn)對較大規(guī)模目

標(biāo)設(shè)備的高性能掃描，有效發(fā)現(xiàn)目標(biāo)設(shè)備存在的系統(tǒng)脆弱性和網(wǎng)絡(luò)漏洞。

c)修訂《GB/T20278-2013》的目的和意義之三

GB/T20278-2013在編制時參考了GB/T18336-