1工作簡(jiǎn)況

1.1任務(wù)來源

2019年1月17日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了“關(guān)于印發(fā)《2019

年網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)項(xiàng)目申報(bào)指南》的通知”，將GB/T20278-2013《信息安全技

術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求》列為擬支持的國(guó)家標(biāo)準(zhǔn)修訂項(xiàng)目；2月

26日，由上海國(guó)際技貿(mào)聯(lián)合有限公司牽頭，公安部第三研究所等六家單位共同

參與提出了對(duì)該標(biāo)準(zhǔn)進(jìn)行修訂的申請(qǐng)；8月21日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委

員會(huì)秘書處發(fā)布了《全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)關(guān)于2019年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

項(xiàng)目立項(xiàng)的通知》（信安秘字[2019]050號(hào)），本標(biāo)準(zhǔn)修訂工作正式獲得立項(xiàng)，并

于9月11號(hào)，簽訂了網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)項(xiàng)目任務(wù)書。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口，由中

國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院組織，由上海國(guó)際技貿(mào)聯(lián)合有限公司負(fù)責(zé)承擔(dān)。

1.2協(xié)作單位

在接到修訂GB/T20278-2013《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)

要求》國(guó)家標(biāo)準(zhǔn)的立項(xiàng)任務(wù)后，9月20日，上海國(guó)際技貿(mào)聯(lián)合有限公司在網(wǎng)上

發(fā)布了召集單位參與標(biāo)準(zhǔn)編制的通知，受到了業(yè)內(nèi)各大科研機(jī)構(gòu)、測(cè)評(píng)認(rèn)證機(jī)構(gòu)

和主要產(chǎn)品生產(chǎn)廠商的大力支持，共計(jì)收到杭州安恒信息技術(shù)股份有限公司等

43家單位的參與編制申請(qǐng)。

1.3主要工作過程

1.3.1前期調(diào)研

在申請(qǐng)GB/T20278-2013《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要

求》國(guó)家標(biāo)準(zhǔn)修訂任務(wù)之前，標(biāo)準(zhǔn)修訂組就已經(jīng)開始了前期調(diào)研工作。

1.3.1.1參考資料

在前期調(diào)研過程中，標(biāo)準(zhǔn)修訂組主要參考了以下標(biāo)準(zhǔn)、產(chǎn)品和相關(guān)資料。

1、《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》

2、《GB/T18336-2015信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》

3、近兩年到本檢測(cè)中心所送檢的該類產(chǎn)品及其技術(shù)資料

1

1.3.1.2現(xiàn)狀研究

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，特別是IPv6網(wǎng)絡(luò)環(huán)境的逐步推廣，企業(yè)和個(gè)

人用戶在享受網(wǎng)絡(luò)帶來便利的同時(shí)，網(wǎng)絡(luò)安全的威脅也越來越嚴(yán)重，網(wǎng)絡(luò)蠕蟲、

黑客攻擊無(wú)時(shí)無(wú)刻不在威脅著用戶的網(wǎng)絡(luò)系統(tǒng)，尤其是安全漏洞所引發(fā)的安全事

件愈演愈烈，針對(duì)系統(tǒng)漏洞進(jìn)行的網(wǎng)絡(luò)攻擊給用戶造成了巨大的破壞，而廣大用

戶往往在病毒爆發(fā)之后或者安全事件出現(xiàn)之后才想到進(jìn)行漏洞的彌補(bǔ)，而此時(shí)損

失已經(jīng)無(wú)法彌補(bǔ)。為此，市場(chǎng)上出現(xiàn)了網(wǎng)絡(luò)脆弱性掃描產(chǎn)品，網(wǎng)絡(luò)脆弱性掃描產(chǎn)

品是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行檢查，發(fā)現(xiàn)其脆弱性，對(duì)其安全狀況進(jìn)行評(píng)估、

風(fēng)險(xiǎn)分析，并對(duì)發(fā)現(xiàn)的安全隱患提出針對(duì)性的解決方案和建議，供網(wǎng)絡(luò)管理員可

以有針對(duì)性的對(duì)系統(tǒng)進(jìn)行修補(bǔ)，從而進(jìn)一步提高計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)環(huán)境的安全

性。這樣就可以有效地發(fā)現(xiàn)漏洞并預(yù)防入侵事件的發(fā)生，因此，在網(wǎng)絡(luò)系統(tǒng)建設(shè)

中部署網(wǎng)絡(luò)脆弱性掃描產(chǎn)品是非常必要的。

目前該類產(chǎn)品可參考現(xiàn)行國(guó)標(biāo)《GB/T20278-2013信息安全技術(shù)網(wǎng)絡(luò)脆弱

性掃描產(chǎn)品技術(shù)要求》進(jìn)行研發(fā)生產(chǎn)、檢測(cè)、采購(gòu)，但該國(guó)家標(biāo)準(zhǔn)在制定時(shí)并沒

有考慮對(duì)IPv6網(wǎng)絡(luò)環(huán)境的支持，而且《GB/T20278-2013信息安全技術(shù)網(wǎng)絡(luò)脆

弱性掃描產(chǎn)品技術(shù)要求》在編制時(shí)參考的GB/T18336-2008《信息技術(shù)安全技

術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》等標(biāo)準(zhǔn)都已更新，標(biāo)準(zhǔn)分級(jí)原則不夠清晰，以及

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)漏洞層出不窮，對(duì)網(wǎng)絡(luò)、主機(jī)和系統(tǒng)資源安全的

威脅不斷增加，對(duì)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全功能要求不斷提高等原因，GB/T

20278-2013已不能適用于現(xiàn)在的國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系的要求，我們需要對(duì)6

年前頒布執(zhí)行的國(guó)家標(biāo)準(zhǔn)進(jìn)行修訂、更新，才能夠有效的保障信息網(wǎng)絡(luò)的安全，

進(jìn)而支撐國(guó)家網(wǎng)絡(luò)安全法的有效落地。

本標(biāo)準(zhǔn)修訂工作的目標(biāo)是根據(jù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的新技術(shù)和新特性、最新

版的GB/T18336-2015《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》，從安全

功能要求和安全保障要求等方面，研究網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全技術(shù)要求和等

級(jí)劃分，形成相應(yīng)的國(guó)家標(biāo)準(zhǔn)。

修訂的國(guó)家標(biāo)準(zhǔn)可以給開發(fā)廠商進(jìn)行指導(dǎo)，研發(fā)出更貼近市場(chǎng)需要、功能更

為完善的網(wǎng)絡(luò)脆弱性掃描產(chǎn)品；同時(shí)，通過對(duì)產(chǎn)品的分級(jí)，來區(qū)分產(chǎn)品的安全功

能強(qiáng)度和安全保障能力，也能為用戶采購(gòu)產(chǎn)品時(shí)提供參考。

2

1.3.2修訂組成立

在接到GB/T20278-2013《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要

求》國(guó)家標(biāo)準(zhǔn)修訂任務(wù)之后，2019年9月，成立了由顧建新作為組長(zhǎng)的標(biāo)準(zhǔn)修

訂組，主要包括成員單位和參與人員如下表：

單位名稱人員人員分類

公安部第三研究所顧建新課題負(fù)責(zé)人

公安部第三研究所宋好好課題骨干

公安部第三研究所陸臻課題骨干

公安部第三研究所顧健課題骨干

公安部第三研究所沈亮課題骨干

上海國(guó)際技貿(mào)聯(lián)合有限公司曹寧其他研究人員

上海國(guó)際技貿(mào)聯(lián)合有限公司陶俊杰其他研究人員

中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心申永波其他研究人員

北京神州綠盟科技有限公司李曄磊其他研究人員

北京神州綠盟科技有限公司尹航課題骨干

網(wǎng)神信息技術(shù)（北京）股份有限公司楊柳課題骨干

北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司雷曉鋒其他研究人員

北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司安高峰課題骨干

深信服科技股份有限公司葉潤(rùn)國(guó)課題骨干

1.3.2.1制定工作計(jì)劃

標(biāo)準(zhǔn)修訂組首先制定了修訂工作計(jì)劃，并確定了修訂組人員例會(huì)及時(shí)溝通交

流工作情況，主要工作時(shí)間節(jié)點(diǎn)如下表：

時(shí)間進(jìn)度安排

征集標(biāo)準(zhǔn)參編單位，組建標(biāo)準(zhǔn)編制組；召開項(xiàng)目啟動(dòng)會(huì)，

完善標(biāo)準(zhǔn)草案；

2019.9-2019.11

在信安標(biāo)委“會(huì)議周”上匯報(bào)標(biāo)準(zhǔn)編制情況；

提交項(xiàng)目進(jìn)展及經(jīng)費(fèi)執(zhí)行情況報(bào)告。

以多種形式征求專家和相關(guān)單位意見，完善標(biāo)準(zhǔn)草案、編

2019.12-2020.2制說明、意見處理匯總表；

組織中期評(píng)審會(huì)，對(duì)項(xiàng)目進(jìn)展及經(jīng)費(fèi)執(zhí)行情況進(jìn)行評(píng)審。

標(biāo)準(zhǔn)草案提交工作組，并在信安標(biāo)委“會(huì)議周”上匯報(bào)標(biāo)

準(zhǔn)編制情況；

2020.3-2020.5根據(jù)意見修改標(biāo)準(zhǔn)文本，經(jīng)工作組全會(huì)審議通過，形成征

求意見稿，完善標(biāo)準(zhǔn)編制說明、意見處理匯總表；

提交項(xiàng)目進(jìn)展及經(jīng)費(fèi)執(zhí)行情況報(bào)告。

修改完善標(biāo)準(zhǔn)文本、編制說明、意見處理匯總表；

2020.6-2020.8

按照合同要求，完成項(xiàng)目任務(wù)及財(cái)務(wù)驗(yàn)收工作。

3

1.3.2.2確定修訂內(nèi)容

經(jīng)標(biāo)準(zhǔn)修訂小組研究決定，以網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的發(fā)展動(dòng)向?yàn)檠芯炕A(chǔ)，

以等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)為標(biāo)準(zhǔn)框架，對(duì)GB/T20278-2013《信息安全技術(shù)網(wǎng)絡(luò)脆弱

性掃描產(chǎn)品安全技術(shù)要求》國(guó)家標(biāo)準(zhǔn)的內(nèi)容進(jìn)行修訂。

1.3.3修訂工作簡(jiǎn)要過程

按照修訂進(jìn)度要求，修訂組人員首先對(duì)所參閱的產(chǎn)品、文檔以及標(biāo)準(zhǔn)進(jìn)行反

復(fù)閱讀與理解，并查閱有關(guān)資料，編寫修訂提綱。在對(duì)提綱進(jìn)行交流和修改的基

礎(chǔ)上，開始具體標(biāo)準(zhǔn)的修訂工作。

1.3.3.1草稿

2019年4月至2019年8月，對(duì)國(guó)內(nèi)外網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的相關(guān)技術(shù)文檔

以及有關(guān)標(biāo)準(zhǔn)進(jìn)行前期基礎(chǔ)調(diào)研。在調(diào)研期間，我們主要對(duì)我中心歷年檢測(cè)產(chǎn)品

的記錄、報(bào)告以及各產(chǎn)品的技術(shù)文檔材料進(jìn)行了篩選、匯總、分析，對(duì)國(guó)內(nèi)外網(wǎng)

絡(luò)脆弱性掃描產(chǎn)品的發(fā)展動(dòng)向進(jìn)行了研究，以及進(jìn)行了對(duì)國(guó)內(nèi)外相關(guān)產(chǎn)品的技術(shù)

文檔和標(biāo)準(zhǔn)分析理解等工作，對(duì)原標(biāo)準(zhǔn)的內(nèi)容進(jìn)行了修訂，形成了本標(biāo)準(zhǔn)的草稿。

1.3.3.2工作組討論稿

2019年10月9日，公安部三所檢測(cè)中心在北京組織召開了本標(biāo)準(zhǔn)的啟動(dòng)會(huì)，

10月11日，標(biāo)委會(huì)在北京組織召開了對(duì)標(biāo)準(zhǔn)內(nèi)容的預(yù)評(píng)審會(huì)議，與會(huì)專家來自

于中國(guó)信息安全測(cè)評(píng)中心、北京江南天安科技有限公司、電子標(biāo)準(zhǔn)四院、北信源、

國(guó)信中心等多家單位。經(jīng)過評(píng)審，對(duì)標(biāo)準(zhǔn)草稿提出了修改意見，主要是提出了在

標(biāo)準(zhǔn)正文中增加了“測(cè)試評(píng)價(jià)方法”部分的內(nèi)容，并將標(biāo)準(zhǔn)內(nèi)容按照基本級(jí)和增

強(qiáng)級(jí)分別描述。

1.3.3.3征求意見稿

2019年10月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在重慶組織了2019年第二

次工作組“會(huì)議周”活動(dòng)。10月28日上午，WG5工作組專家和成員單位對(duì)該標(biāo)

準(zhǔn)“工作組討論稿”進(jìn)行了評(píng)審討論，并提出了修改意見。會(huì)后，根據(jù)專家意見，

標(biāo)準(zhǔn)編制組對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行了修訂。

2019年11月19日，在上海組織了一次申請(qǐng)參與編制單位的集中討論會(huì)，

共計(jì)有20多家單位的技術(shù)負(fù)責(zé)人和代表到場(chǎng)，對(duì)標(biāo)準(zhǔn)內(nèi)容再次進(jìn)行了集中討論，

4

并最終形成標(biāo)準(zhǔn)征求意見稿。

2標(biāo)準(zhǔn)主要內(nèi)容

2.1修訂原則

為了使網(wǎng)絡(luò)脆弱性掃描產(chǎn)品國(guó)標(biāo)一開始就與現(xiàn)有其他國(guó)家標(biāo)準(zhǔn)保持一致，本

標(biāo)準(zhǔn)的修訂參考了現(xiàn)行的其他國(guó)家標(biāo)準(zhǔn)，主要有GB/T22239-2019、GB/T

18336-2015。

本標(biāo)準(zhǔn)符合我國(guó)的實(shí)際情況，遵從我國(guó)有關(guān)法律、法規(guī)的規(guī)定。具體原則與

要求如下：

1.實(shí)用性原則

標(biāo)準(zhǔn)必須是可用的，才有實(shí)際意義，本標(biāo)準(zhǔn)在修訂過程中嚴(yán)格按照流程對(duì)產(chǎn)

品的現(xiàn)狀、技術(shù)等相關(guān)領(lǐng)域展開系統(tǒng)的、全面的調(diào)研工作，注重與相關(guān)產(chǎn)品生產(chǎn)

單位的交流，使得標(biāo)準(zhǔn)更貼近產(chǎn)品實(shí)際情況，保證操作性。

2.先進(jìn)性原則

標(biāo)準(zhǔn)是先進(jìn)經(jīng)驗(yàn)的總結(jié)，同時(shí)也是技術(shù)的發(fā)展趨勢(shì)。要制定出先進(jìn)的行業(yè)標(biāo)

準(zhǔn)，必須廣泛了解市場(chǎng)上主流產(chǎn)品的功能，吸收其精華，制定出具有先進(jìn)水平的

標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)的編寫始終遵循這一原則。

3.兼容性原則

本標(biāo)準(zhǔn)與我國(guó)現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、規(guī)范等相一致。修訂組在對(duì)標(biāo)準(zhǔn)起

草過程中始終遵循此原則，其內(nèi)容符合我國(guó)已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。

2.2標(biāo)準(zhǔn)內(nèi)容

2.2.1標(biāo)準(zhǔn)結(jié)構(gòu)

本標(biāo)準(zhǔn)的編寫格式和方法依照GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)

準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則。

本標(biāo)準(zhǔn)主要結(jié)構(gòu)包括如下內(nèi)容：

1.范圍

2.規(guī)范性引用文件

3.術(shù)語(yǔ)與定義

4.縮略語(yǔ)

5

5.網(wǎng)絡(luò)脆弱性掃描產(chǎn)品描述

6.安全技術(shù)要求

7.測(cè)試評(píng)價(jià)方法

2.2.2主要內(nèi)容和等級(jí)劃分

本標(biāo)準(zhǔn)將網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全技術(shù)要求分為安全功能要求、自身安全

保護(hù)要求、環(huán)境適應(yīng)性要求和安全保障要求四個(gè)大類。其中，安全功能要求是對(duì)

網(wǎng)絡(luò)脆弱性掃描產(chǎn)品應(yīng)具備的安全功能提出的具體要求，包括信息獲取、脆弱性

掃描內(nèi)容、掃描結(jié)果分析處理、掃描配置、掃描對(duì)象的安全性等；自身安全保護(hù)

要求把包括身份鑒別、管理員管理和安全審計(jì)；環(huán)境適應(yīng)性要求提出了產(chǎn)品支持

IPv6網(wǎng)絡(luò)環(huán)境進(jìn)行工作和管理的要求；安全保障要求針對(duì)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的

生命周期過程提出具體的要求，包括開發(fā)、指導(dǎo)性文檔、生命周期支持和測(cè)試等。

本標(biāo)準(zhǔn)將網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全等級(jí)分為基本級(jí)和增強(qiáng)級(jí)，如表1、表

2、表3和表4所示。安全功能與自身安全保護(hù)的強(qiáng)弱、以及安全保障要求的高

低是等級(jí)劃分的具體依據(jù)，安全等級(jí)突出安全特性。與基本級(jí)內(nèi)容相比，增強(qiáng)級(jí)

中要求有所增加或變更的內(nèi)容在正文中通過“宋體加粗”表示。

表1安全功能要求等級(jí)劃分表

安全功能要求基本級(jí)增強(qiáng)級(jí)

TCP端口**

端口掃描UDP端口**

信息獲取端口協(xié)議分析***

服務(wù)旗標(biāo)**

其他信息**

操作系統(tǒng)脆弱性**

數(shù)據(jù)庫(kù)脆弱性**

脆弱性掃描內(nèi)容應(yīng)用服務(wù)脆弱性**

網(wǎng)絡(luò)設(shè)備脆弱性**

口令脆弱性**

表1（續(xù)）

安全功能要求基本級(jí)增強(qiáng)級(jí)

結(jié)果瀏覽**

脆弱性修補(bǔ)建議**

報(bào)告生成**

掃描結(jié)果分析處理

報(bào)告輸出**

結(jié)果導(dǎo)入導(dǎo)出——*

報(bào)告定制——*

6

結(jié)果比對(duì)——*

報(bào)告發(fā)送——*

掃描策略**

掃描配置計(jì)劃任務(wù)**

已知帳號(hào)/口令掃描——*

對(duì)目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)性能的影響**

掃描對(duì)象的安全性對(duì)目標(biāo)系統(tǒng)的影響**

掃描報(bào)文標(biāo)識(shí)**

掃描速度調(diào)節(jié)**

并發(fā)掃描**

升級(jí)能力***

互動(dòng)性要求——*

注：“*”表示具有該要求，“**”表示要求有所增強(qiáng)，“——”表示不適用。

表2自身安全保護(hù)要求等級(jí)劃分表

自身安全保護(hù)要求基本級(jí)增強(qiáng)級(jí)

管理員鑒別**

鑒別信息要求**

鑒別失敗的處理**

身份鑒別鑒別數(shù)據(jù)保護(hù)**

超時(shí)設(shè)置**

管理地址限制——*

會(huì)話鎖定——*

標(biāo)識(shí)唯一性**

管理員屬性定義**

管理員管理

安全行為管理**

管理員角色——*

審計(jì)日志生成**

審計(jì)日志可理解性**

審計(jì)日志查閱**

安全審計(jì)

受限的審計(jì)日志查閱**

可選審計(jì)查閱**

數(shù)據(jù)存儲(chǔ)告警——*

注：“*”表示具有該要求，“**”表示要求有所增強(qiáng)，“——”表示不適用。

表3環(huán)境適應(yīng)性要求等級(jí)劃分表

環(huán)境適應(yīng)性要求基本級(jí)增強(qiáng)級(jí)

支持純IPv6網(wǎng)絡(luò)環(huán)境**

IPv6網(wǎng)絡(luò)環(huán)境下自身管理**

雙協(xié)議棧**

注：“*”表示具有該要求，“**”表示要求有所增強(qiáng)，“——”表示不適用。

表4安全保障要求等級(jí)劃分表

7

安全保障要求基本級(jí)增強(qiáng)級(jí)

安全架構(gòu)**

功能規(guī)范***

開發(fā)

實(shí)現(xiàn)表示——*

產(chǎn)品設(shè)計(jì)***

操作用戶指南**

指導(dǎo)性文檔

準(zhǔn)備程序**

配置管理能力***

配置管理范圍***

交付程序**

生命周期支持

開發(fā)安全——*

生命周期定義——*

工具和技術(shù)——*

測(cè)試覆蓋***

測(cè)試深度——*

測(cè)試

功能測(cè)試**

獨(dú)立測(cè)試**

脆弱性評(píng)定***

注：“*”表示具有該要求，“**”表示要求有所增強(qiáng)，“——”表示不適用。

2.3新舊國(guó)家標(biāo)準(zhǔn)對(duì)比

本標(biāo)準(zhǔn)代替GB/T20278—2013《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技

術(shù)要求》，本標(biāo)準(zhǔn)與GB/T20278—2013的主要差異如下：

a)增加了“產(chǎn)品描述”章節(jié)的內(nèi)容；

b)增加對(duì)“環(huán)境適應(yīng)性要求”章節(jié)的內(nèi)容，其中主要是明確了產(chǎn)品對(duì)IPv6

的支持能力，包括支持純IPv6網(wǎng)絡(luò)環(huán)境的掃描能力、IPv6網(wǎng)絡(luò)環(huán)境下的

自身管理能力以及雙協(xié)議棧的要求；

c)目前現(xiàn)行的是18336.3-2015版本，將規(guī)范性引用文件中引用的2008版

修改為2015版本；

d)增加了“并發(fā)掃描”的要求；

e)增加了“掃描報(bào)文的標(biāo)識(shí)”的要求；

f)增加了“測(cè)評(píng)評(píng)價(jià)方法”的內(nèi)容；

g)全文按照基本級(jí)和增強(qiáng)級(jí)分別描述；

h)將原標(biāo)準(zhǔn)中的“7.1.2脆弱性掃描”要求的15項(xiàng)掃描要求重新整理分類

8

為6類掃描要求；

i)刪除了原標(biāo)準(zhǔn)中的“8.1.8掃描IP地址限制”的要求；

j)刪除了原標(biāo)準(zhǔn)中的“8.2.2.2易用性”的要求。

3標(biāo)準(zhǔn)驗(yàn)證、分析與論證

3.1修訂的背景和意義

2014年，由習(xí)總書記親自擔(dān)任組長(zhǎng)的中央網(wǎng)絡(luò)安全和信息化建設(shè)領(lǐng)導(dǎo)小組

的成立將網(wǎng)絡(luò)安全上升到國(guó)家戰(zhàn)略高度，2017年，《網(wǎng)絡(luò)安全法》正式施行，明

確規(guī)定了個(gè)人信息受保護(hù)，并對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)盡的安全義務(wù)提出

了法律層面的要求，這使得網(wǎng)絡(luò)安全防護(hù)由自發(fā)自覺行為上升為應(yīng)盡的義務(wù)范

疇，也為信息安全行業(yè)的發(fā)展帶來了極大的機(jī)遇和挑戰(zhàn)。

2019年1月，在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的《關(guān)于應(yīng)發(fā)<2019年

網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)項(xiàng)目申報(bào)指南>的通知》中，明確提出將《GB/T20278-2013信

息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求》作為擬支持修訂的國(guó)家標(biāo)準(zhǔn)；

2017年6月，由國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國(guó)家認(rèn)證

認(rèn)可監(jiān)督管理委員會(huì)，四部委聯(lián)合發(fā)布的《關(guān)于發(fā)布<網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全

專用產(chǎn)品目錄（第一批）>的公告》中，針對(duì)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品提出了明確的

性能要求“最大并行掃描IP數(shù)量≥60”；在2012年底，由國(guó)家發(fā)改委辦公廳發(fā)布

的《關(guān)于組織實(shí)施2012年下一代互聯(lián)網(wǎng)信息安全專項(xiàng)有關(guān)事項(xiàng)的通知》（發(fā)改辦

高技[2012]287號(hào)）中明確重點(diǎn)支持的滿足下一代互聯(lián)網(wǎng)發(fā)展需要的高性能網(wǎng)絡(luò)

信息安全產(chǎn)品中就包括了下一代互聯(lián)網(wǎng)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品，通知中要求該類產(chǎn)

品應(yīng)具備的主要功能包括“支持對(duì)IPv4/IPv6設(shè)備的漏洞掃描，對(duì)IPv4和IPv6雙

協(xié)議棧網(wǎng)絡(luò)設(shè)備和服務(wù)節(jié)點(diǎn)的漏洞掃描、對(duì)所發(fā)掘出的安全漏洞進(jìn)行自動(dòng)更新

等，可應(yīng)用在IPv4和IPv6環(huán)境下，支持多線程并發(fā)掃描大于1000”。但是，目

前現(xiàn)有的網(wǎng)絡(luò)脆弱性掃描產(chǎn)品國(guó)家標(biāo)準(zhǔn)中并不涉及這些內(nèi)容，無(wú)法對(duì)該類產(chǎn)品的

設(shè)計(jì)、開發(fā)及測(cè)試工作提出指引效果。

隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、智慧城市的推進(jìn)和普及，由于系統(tǒng)自身

漏洞的存在而帶來的網(wǎng)絡(luò)攻擊花樣繁多，造成的影響也會(huì)越來越嚴(yán)重。網(wǎng)絡(luò)安全

問題已成為影響國(guó)家全局和長(zhǎng)遠(yuǎn)利益的急待解決的重大關(guān)鍵問題。網(wǎng)絡(luò)安全同食

9

品安全一樣已經(jīng)為普通百姓所能切身感受，諸如隱私泄露、盜號(hào)行為、勒索病毒、

服務(wù)中斷等都嚴(yán)重影響了個(gè)人的生活和甚至對(duì)個(gè)人利益產(chǎn)生了損害。

因此，要給提供網(wǎng)絡(luò)服務(wù)的系統(tǒng)自身筑起堅(jiān)固的“長(zhǎng)城”才能更好地防御各類

網(wǎng)絡(luò)攻擊，只有自身漏洞少，才能有效降低被入侵攻擊的可能。保障信息安全除

了完善的法律規(guī)章、嚴(yán)格的管理制度等要素外，網(wǎng)絡(luò)安全產(chǎn)品則是站在了直接與

網(wǎng)絡(luò)犯罪行為針鋒相對(duì)的前沿陣地，常見的網(wǎng)絡(luò)安全產(chǎn)品如果存在質(zhì)量問題，不

但起不到應(yīng)有的保護(hù)作用，反而可能成為攻擊者的幫兇，直接影響到國(guó)計(jì)民生的

方方面面。

網(wǎng)絡(luò)脆弱性掃描產(chǎn)品就是這樣一款可實(shí)現(xiàn)“自我體檢”的產(chǎn)品，可以對(duì)目標(biāo)操

作系統(tǒng)、網(wǎng)絡(luò)設(shè)備進(jìn)行脆弱性分析和風(fēng)險(xiǎn)排查，以便及時(shí)指導(dǎo)設(shè)備管理員針對(duì)漏

洞打好補(bǔ)丁，加固安全防線。該類產(chǎn)品在政府及企事業(yè)單位中得到了廣泛的應(yīng)用，

是網(wǎng)絡(luò)安全中的一個(gè)大類產(chǎn)品，而這類產(chǎn)品的相關(guān)標(biāo)準(zhǔn)的指導(dǎo)、指引意義就顯得

非常重要了。

本項(xiàng)目擬對(duì)GB/T20278-2013進(jìn)行修訂，對(duì)網(wǎng)絡(luò)脆弱性掃描的安全功能要求、

自身安全功能要求和安全保證要求的內(nèi)容進(jìn)行重新整理，從而使得修訂后的技術(shù)

要求能夠更好的與現(xiàn)行產(chǎn)品的技術(shù)發(fā)展趨勢(shì)相對(duì)應(yīng)，能夠適用于現(xiàn)行以及將來網(wǎng)

絡(luò)環(huán)境下的掃描需求，最終促進(jìn)網(wǎng)絡(luò)脆弱性掃描這類產(chǎn)品的實(shí)際推廣應(yīng)用，推進(jìn)

我們國(guó)家網(wǎng)絡(luò)安全法的有效落地實(shí)施。

3.2修訂的目的

GB/T20278-2013是2013年頒布的、適用于網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的國(guó)家標(biāo)準(zhǔn)，

該標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品進(jìn)行了兩個(gè)等級(jí)的劃分，以基本級(jí)和增強(qiáng)級(jí)進(jìn)行描

述。主要組成為：安全功能要求、自身安全功能要求和安全保證要求。

a)修訂GB/T20278-2013的目的和意義之一

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，系統(tǒng)漏洞逐步暴露，對(duì)網(wǎng)絡(luò)、主機(jī)和系統(tǒng)資源安

全的威脅不斷增加，對(duì)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品自身安全功能和安全技術(shù)要求也在不

斷提高。隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、智慧城市的推進(jìn)和普及，網(wǎng)絡(luò)脆弱

性掃描產(chǎn)品的部署方式和訪問方式也要求能適應(yīng)新的需求，對(duì)新的掃描方式和虛

擬機(jī)等對(duì)象也要增加具體的處理措施，因此，我們需要對(duì)6年前頒布執(zhí)行的國(guó)家

標(biāo)準(zhǔn)《GB/T20278-2013》進(jìn)行修訂、更新，才能夠有效的保障信息網(wǎng)絡(luò)的安全，

10

進(jìn)而支撐國(guó)家網(wǎng)絡(luò)安全法的有效落地。

b)修訂《GB/T20278-2013》的目的和意義之二

隨著聯(lián)網(wǎng)技術(shù)的發(fā)展，尤其是IPv6技術(shù)的推廣，要求網(wǎng)絡(luò)脆弱性掃描產(chǎn)品

可以應(yīng)用在IPv6網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)對(duì)目標(biāo)設(shè)備的掃描，但原國(guó)標(biāo)GB/T20278-2013

中對(duì)產(chǎn)品的技術(shù)要求并沒有提出對(duì)IPv6環(huán)境的支持，也沒有關(guān)于性能方面的要

求。因此，我們需要對(duì)GB/T20278-2013中的產(chǎn)品技術(shù)要求進(jìn)行重新整理，增加

有關(guān)IPv6應(yīng)用環(huán)境支持能力的要求，并對(duì)產(chǎn)品可以實(shí)現(xiàn)的并發(fā)掃描能力也要提

出具體的要求，以滿足產(chǎn)品能在下一代網(wǎng)絡(luò)環(huán)境下正常工作，實(shí)現(xiàn)對(duì)較大規(guī)模目

標(biāo)設(shè)備的高性能掃描，有效發(fā)現(xiàn)目標(biāo)設(shè)備存在的系統(tǒng)脆弱性和網(wǎng)絡(luò)漏洞。

c)修訂《GB/T20278-2013》的目的和意義之三

GB/T20278-2013在編制時(shí)參考了GB/T18336-