计算机信息系统安全等级保护数据库安全技术要求-全国信息安全标准化.docVIP

《信息安全技术 网络脆弱性扫描产品安全技术要求》 修订说明 1 工作简要过程 1.1 任务来源 近年来，随着黑客技术的不断发展以及网络非法入侵事件的激增，国内网络安全产品市场也呈现出良好的发展态势，防火墙已经达到了相当可观的规模最近几年网络脆弱性扫描产品的出现，为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台，GA/T 404-2002 信息技术 网络安全漏洞扫描产品技术要求 —GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 —GB/T 20280-2006信息安全技术 网络脆弱性扫描产品测试评价方法 —MSTL_JGF_04-017 信息安全技术 主机安全漏洞扫描产品检验规范 1.3 主要工作过程 1）成立修订组 2010年11月在我中心成立了由顾建新具体负责的标准修订组，共由5人组成，包括俞优、顾建新、张笑笑、陆臻、顾健。 2）制定工作计划 修订组首先制定了修订工作计划，并确定了修订组人员例会及时沟通交流工作情况。 3）确定修订内容 经标准修订小组研究决定，以网络脆弱性扫描产品发展的动向为研究基础，以等级保护相关要求为标准框架，修订完成《信息安全技术 网络脆弱性扫描产品安全技术要求》。 4）修订工作简要过程 按照修订进度要求，修订组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，并查阅有关资料，编写标准修订提纲。在对提纲进行交流和修改的基础上，开始具体修订工作。 2010年11月至2011年1月，对国内外网络脆弱性扫描产品，相关技术文档以及有关标准进行前期基础调研。在调研期间，我们主要对我中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内外网络脆弱性扫描产品的发展动向进行了研究，以及进行了对国内外相关产品的技术文档和标准分析理解等工作。 2011年1月至3月进行了草稿的编写工作。以我修订组人员收集的资料为基础，依据修订提纲，在不断的讨论和研究中，完善内容，最终形成了本标准的草稿。 2011年3月至5月，我们收集了国内相关产品的主要生产厂家信息，以邮件形式向他们征求意见，包括北京神州绿盟信息安全科技股份有限公司、解放军信息安全研究中心等单位。 2011年5月，单位内部组织第一次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改。 2011年8月，单位内部组织第二次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改。 2011年12月，WG5专家评审会在上海组织召开了对标准征求意见稿的专家评审会，评审组由吉增瑞等多位专家组成，与会专家对草稿（第三稿）进行了讨论，并提出相关修改意见，会后修订组再次认真对专家意见进行了分析和处理，随后形成了草稿（第四稿）。 2012年6月，单位内部组织第三次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改，形成了草稿（第五稿），在本次讨论会中，做出了一个非常重要的修改，就是将标准名称改为《信息安全技术 网络脆弱性扫猫产品安全技术要求》，同时对标准的整体结构也进行了调整，按照基本级和增强级分开描述的形式修订，以便于读者的阅读，并保持与其他同类国标一致。 2012年7月26日， WG5专家组在北京对标准草稿再次进行评审，与会专家包括赵战生、王立福、崔书昆、冯惠、袁文恭、卿斯汉、肖京华、杨建军、罗锋盈等。专家组对草稿（第五稿）提出若干意见，并一致同意形成标准征求意见稿。会后，按照专家意见，对标准内容进行了修改。本次修改的主要内容包括：标准封面、目录、前言中的若干描述；标准排版；规范性引用文件中引用词汇标准更新；定义与术语。通过本次修改完善后，形成征求意见稿（第一稿）， 2012年9月18日，收到WG5工作组投票意见，七家参与投票的单位中，有四家赞成，三家赞成但需要修改，根据中科网威、江南天安、中国信息安全认证中心三家单位提出的意见进行了修改，通过本次修改，将产品的术语定义“扫描”和“网络脆弱性扫描”进行了进一步的推敲和明确；删除了“可允许网络性能的少量降低”和“远程保密传输”这两项描述比较含糊的要求，形成征求意见稿（第二稿）。 2 确定标准主要内容的论据 2.1 修订目标和原则 2.1.1 修订目标 本标准的修订目标是：对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求，使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。 2.1.2 修订原则 为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致，本标准的编写参考了国家有关标准，主要有GA/T 698-2007、GB/T 17859-199