2024安全漏洞扫描服务规范.pdf

安全漏洞扫描服务规范

目次

前言3

Ü全漏洞扫ï工作规范4

1范围4

2术语和定义4

2.14

3人员管理4

4工作流程4

4.1概述4

4.2收集信息4

4.2.1被测资产4

4.2.2测试系统5

4.3ß方确认5

4.4开展检测5

4.5漏洞验证ÿ可选Ā6

4.6结果整理6

4.7回_测试6

5€术要求6

5.1性能稳定6

5.2Ü全可靠7

5.3高Ÿ准确7

6à急处置7

6.1风险分析7

6.2防范措施7

6.3处置措施8

Ö录A9

Ö录B10

—第2页—

—第3页—

安全漏洞扫描工作规范

1范围

本o准确立了Ü全漏洞扫ï时à遵循的Ā本原则和策略，给û了开展Ü全漏洞扫ï工作

的指南2

本o准’用于实施漏洞扫ï工作的工程师，在ß行扫ï活ú时必须遵循本o准的要求开

展工作2

2术语和定义

2.1

漏洞扫描vulnerabilityscanning

漏洞扫ï即Ü全漏洞扫ï，是指将大量的漏洞数据，采用自úW方式P指定的信息资产

执行对比检测，ß而发Āþ知Ü全漏洞的N种检测行~2

3人员管理

à该Ü排工作x有责任心1劳ú纪律性强1保密意识强的工程师担漏洞扫ï工作2

工程师在漏洞扫ï工作开展前ñ及完成^都要ß行信息à馈，遵Û各种工作告知和项目

þ定，方便项目管理和监ç人员的工作开展2

4工作流程

4.1概述

漏洞扫ï过程中，随时会ûĀ被测服á重启1中断或数据损坏，甚ó是¿备死机1系统

崩溃等情况，~了避免漏洞扫ï操作引发事件，工程师必须按照预先定义的工作流程开展工

作2

漏洞扫ï的流程包括ÿ收集信息1ß方确认1开展检测1漏洞验证ÿ可选Ā1结果整理1

回_测试等要ÿ节2

4.2收集信息

4.2.1被测资产

aĀ信息的选ë

开展漏洞扫ï前需要收集的信息包括Q列内容ÿ

1)网þ信息ÿ防火墙和入侵防御等Ü全¿备情况2

2)系统信息ÿ操作系统和组件信息1®÷口ð等2

3)Ü全情çÿ新的Ü全公告1热点Ü全漏洞等2

bĀ信息的收集

—第4页—

信息的收集是开展Ü全漏洞扫ï工作的前提2N般情况Q，采用人员À谈1资料查阅1

模拟测试等方式ß行信息收集2收集过程中ày据实×情况选ëw他的信息收集方式àñ补

充2

cĀ信息的整理

信息收集工作完成^，à形成:资产信息表;，文档内容包括但O限于资产对象]Ā1

资产类型1部署O置1资产IP地址或系统Àþ地址1系统架构等2全面1可靠1真实的信

息有û于工程师掌握系统架构及Ü全Ā状，~扫ï策略¿置和漏洞分析提供指导2

4.2.2测试系统

测试人员需要检查用于本次漏洞扫ï的测试系统，明确系统版本1规则ß版本1策略ß

版本等信息，形成记录文档2

4.3双方确认

掌握被测资产的情况^，à组ÿ召开€术会，从被测资产1测试用例1测试工x1扫ï

策略和可能带来的风险等维度Pü户方确认€术服á的范围和内容2

表1服务范围和内容确认表

维度内容

确认开展漏洞扫ï的资产对象，N般分~网þ¿备1操作系统1à用系统1

被测资产

数据ß系统1中间件等

选定合’的测试用例，测试用例N般分~针对某个漏洞的_项检测1针对N

测试用例类漏洞的_项检测ÿ端口扫ï1口ð扫ïĀñ及Ā于Ā有资产对象类型的全

面检测

测试工x确定将要使用到本次漏洞扫ï活ú中的测试系统1软件或测试¿备

aĀ确认开展漏洞扫ï的策略，采用原理扫ï还是深度扫ï1是否ß行登录^

扫ï1是否执行表单