Q_ANDSEC GZ010-2020安全漏洞扫描服务规范.pdf

QB 北京安信多乐科技有限公司企业标准 Q/ANDSEC GZ010-2020 安全漏洞扫描服务规范 The regulation of Security vulnerability scanning service 2020 - 04 - 05 发布 2020 - 04 - 05 实施 北京安信多乐科技有限公司 发布 Q/ANDSEC GZ010-2020 目 次 前言 3 安全漏洞扫描工作规范 4 1 范围 4 2 术语和定义 4 2.1 4 3 人员管理 4 4 工作流程 4 4.1 概述 4 4.2 收集信息 4 4.2.1 被测资产 4 4.2.2 测试系统 5 4.3 双方确认 5 4.4 开展检测 5 4.5 漏洞验证（可选） 6 4.6 结果整理 6 4.7 回归测试 6 5 技术要求 6 5.1 性能稳定 6 5.2 安全可靠 7 5.3 高速准确 7 6 应急处置 7 6.1 风险分析 7 6.2 防范措施 7 6.3 处置措施 8 附录A 9 附录B 10 —第2 页— Q/ANDSEC GZ010-2020 前言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由北京安信多乐科技有限公司归口。 本标准起草单位：北京安信多乐科技有限公司。 本标准主要起草人：杜霖、任双娜、阚明。 —第3 页— Q/ANDSEC GZ010-2020 安全漏洞扫描工作规范 1 范围 本标准确立了安全漏洞扫描时应遵循的基本原则和策略，给出了开展安全漏洞扫描工作 的指南。 本标准适用于实施漏洞扫描工作的工程师，在进行扫描活动时必须遵循本标准的要求开 展工作。 2 术语和定义 2.1 漏洞扫描 vulnerability scanning 漏洞扫描即安全漏洞扫描，是指将大量的漏洞数据，采用自动化方式与指定的信息资产 执行对比检测，进而发现已知安全漏洞的一种检测行为。 3 人员管理 应该安排工作具有责任心、劳动纪律性强、保密意识强的工程师承担漏洞扫描工作。 工程师在漏洞扫描工作开展前以及完成后都要进行信息反馈，遵守各种工作告知和项目 约定，方便项目管理和监控人员的工作开展。 4 工作流程 4.1 概述 漏洞扫描过程中，随时会出现被测服务重启、中断或数据损坏，甚至是设备死机、系统 崩溃等情况，为了避免漏洞扫描操作引发事件，工程师必须按照预先定义的工作流程开展工 作。 漏洞扫描的流程包括：收集信息、双方确认、开展检测、漏洞验证（可选）、结果整理、 回归测试等主要环节。 4.2 收集信息 4.2.1 被测资产 a）信息的选择 开展漏洞扫描前需要收集的信息包括下列内容： 1) 网络信息：防火墙和入侵防御等安全设备情况。 2) 系统信息：操作系统和组件信息、账号口令等。 3) 安全情报：新的安全公告、热点安全漏洞等。 b）信息的收集 —