计算机信息系统安全等级保护数据库安全技术要求-全国信息安全.doc

PAGE - PAGE 4 - 《信息安全技术 网络脆弱性扫描产品安全技术要求》 修订说明 1 工作简要过程 1.1 任务来源 近年来，随着 黑客技术的不断发展以及网络非法入侵事件的激增，国内网络安全产品市场也呈现出良好的发展态势，各种品牌的 防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年，网络脆弱性扫描产品的出现，为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台，市场上，各种实现脆弱性扫描功能的产品层出不穷，发展迅速，标准《GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求，另一方面，为了更好地配合等级保护工作的开展，为系统等级保护在产品层面上的具体实施提供依据，需要对该标准进行合理的修订，通过对该标准的修订，将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求，并对其进行合理的分级。本标准编写计划由中国国家标准化管理委员会2010年下达，计划T-469，由公安部第三研究所负责制定，具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。 1.2 参考国内外标准情况 该标准修订过程中，主要参考了： —GB 17859-1999 计算机信息系统安全保护等级划分准则 —GB/T 20271-2006 信息安全技术 信息系统安全通用技术要求 —GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 —GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则 第二部分：安全功能要求 —GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第三部分：安全保证要求 —GA/T 404-2002 信息技术 网络安全漏洞扫描产品技术要求 —GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 —GB/T 20280-2006信息安全技术 网络脆弱性扫描产品测试评价方法 —MSTL_JGF_04-017 信息安全技术 主机安全漏洞扫描产品检验规范 1.3 主要工作过程 1）成立修订组 2010年11月在我中心成立了由顾建新具体负责的标准修订组，共由5人组成，包括俞优、顾建新、张笑笑、陆臻、顾健。 2）制定工作计划 修订组首先制定了修订工作计划，并确定了修订组人员例会及时沟通交流工作情况。 3）确定修订内容 经标准修订小组研究决定，以网络脆弱性扫描产品发展的动向为研究基础，以等级保护相关要求为标准框架，修订完成《信息安全技术 网络脆弱性扫描产品安全技术要求》。 4）修订工作简要过程 按照修订进度要求，修订组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，并查阅有关资料，编写标准修订提纲。在对提纲进行交流和修改的基础上，开始具体修订工作。 2010年11月至2011年1月，对国内外网络脆弱性扫描产品，相关技术文档以及有关标准进行前期基础调研。在调研期间，我们主要对我中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内外网络脆弱性扫描产品的发展动向进行了研究，以及进行了对国内外相关产品的技术文档和标准分析理解等工作。 2011年1月至3月进行了草稿的编写工作。以我修订组人员收集的资料为基础，依据修订提纲，在不断的讨论和研究中，完善内容，最终形成了本标准的草稿。 2011年3月至5月，我们收集了国内相关产品的主要生产厂家信息，以邮件形式向他们征求意见，包括北京神州绿盟信息安全科技股份有限公司、解放军信息安全研究中心等单位。 2011年5月，单位内部组织第一次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改。 2011年8月，单位内部组织第二次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改。 2011年12月，WG5专家评审会在上海组织召开了对标准征求意见稿的专家评审会，评审组由吉增瑞等多位专家组成，与会专家对草稿（第三稿）进行了讨论，并提出相关修改意见，会后修订组再次认真对专家意见进行了分析和处理，随后形成了草稿（第四稿）。 2012年6月，单位内部组织第三次标准讨论会，由标准修订组成员汇报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改，形成了草稿（第五稿），在本次讨论会中，做出了一个非常重要的修改，就是将标准名称改为《信息安全技术 网络脆弱性扫猫产品安全技术要求》，同时对标准的整体结构也进行了调整，按照基本级和增强级分开描述的形式修订，以便于读者的阅读，并保持与其他同类国标一致。 2012年7月26日， WG5专家组在北京对标准草稿再次进行评