收藏
下载资源

计算机信息系统安全等级保护数据库安全技术要求全国信息安全标准化

上传人:工**** 文档编号:513703360 上传时间:2023-10-11 格式:DOC 页数:11 大小:67KB
返回 下载 相关 举报
计算机信息系统安全等级保护数据库安全技术要求全国信息安全标准化_第1页
第1页 / 共11页
计算机信息系统安全等级保护数据库安全技术要求全国信息安全标准化_第2页
第2页 / 共11页
计算机信息系统安全等级保护数据库安全技术要求全国信息安全标准化_第3页
第3页 / 共11页
计算机信息系统安全等级保护数据库安全技术要求全国信息安全标准化_第4页
第4页 / 共11页
计算机信息系统安全等级保护数据库安全技术要求全国信息安全标准化_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《计算机信息系统安全等级保护数据库安全技术要求全国信息安全标准化》由会员分享,可在线阅读,更多相关《计算机信息系统安全等级保护数据库安全技术要求全国信息安全标准化(11页珍藏版)》请在金锄头文库上搜索。

1、信息安全技术 网络脆弱性扫描产品安全技术要求修订说明1工作简要过程1.1任务来源近年来,随着黑客技术的不断发展以及网络非法入侵事件的激增,国内网络安全产品市场也呈现出良好的发展态势,各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年,网络脆弱性扫描产品的出现,为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台,市场上,各种实现脆弱性扫描功能的产品层出不穷,发展迅速,标准GB/T 20278-2006信息安全技术 网络脆弱性扫描产品技术要求已不能满足现在产品的发展需求,另一方面,为了更好地配合等级保护工作的开展,为系统等级保护在产品层面上的具体实施提供依据,需要对该标

2、准进行合理的修订,通过对该标准的修订,将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求,并对其进行合理的分级。本标准编写计划由中国国家标准化管理委员会2010年下达,计划号 20101497-T-469,由公安部第三研究所负责制定,具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。1.2参考国内外标准情况该标准修订过程中,主要参考了:GB 17859-1999计算机信息系统安全保护等级划分准则GB/T 20271-2006信息安全技术信息系统安全通用技术要求GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求GB/T 18336.2-2008信息技术 安全技

3、术 信息技术安全性评估准则第二部分:安全功能要求GB/T 18336.3-2008信息技术 安全技术 信息技术安全性评估准则第三部分:安全保证要求GA/T 404-2002信息技术网络安全漏洞扫描产品技术要求GB/T 20278-2006信息安全技术网络脆弱性扫描产品技术要求GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法MSTL_JGF_04-017信息安全技术 主机安全漏洞扫描产品检验规范1.3主要工作过程1)成立修订组2010年11月在我中心成立了由顾建新具体负责的标准修订组,共由5人组成,包括俞优、顾建新、张笑笑、陆臻、顾健。2)制定工作计划修订组首先制定了修订

4、工作计划,并确定了修订组人员例会及时沟通交流工作情况。3)确定修订内容经标准修订小组研究决定,以网络脆弱性扫描产品发展的动向为研究基础,以等级保护相关要求为标准框架,修订完成信息安全技术网络脆弱性扫描产品安全技术要求。4)修订工作简要过程按照修订进度要求,修订组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解,并查阅有关资料,编写标准修订提纲。在对提纲进行交流和修改的基础上,开始具体修订工作。2010年11月至2011年1月,对国内外网络脆弱性扫描产品,相关技术文档以及有关标准进行前 期基础调研。在调研期间,我们主要对我中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总

5、、分析,对国内外网络脆弱性扫描产品的发展动向进行了研究,以及进行了对国内外相 关产品的技术文档和标准分析理解等工作。2011年1月至3月进行了草稿的编写工作。以我修订组人员收集的资料为基础,依据修订提纲,在不断的讨论和研究中,完善内容,最终形成了本标准的草稿。2011年3月至5月,我们收集了国内相关产品的主要生产厂家信息,以邮件形式向他们征求意见, 包括北京神州绿盟信息安全科技股份有限公司、解放军信息安全研究中心等单位。2011年5月,单位内部组织第一次标准讨论会,由标准修订组成员汇报标准的修订情况并接受其 他同事的质询,会后根据本次讨论会的意见,对标准内容进行了修改。2011年8月,单位内部

6、组织第二次标准讨论会,由标准修订组成员汇报标准的修订情况并接受其 他同事的质询,会后根据本次讨论会的意见,对标准内容进行了修改。2011年12月,WG5专家评审会在上海组织召开了对标准征求意见稿的专家评审会,评审组由吉 增瑞等多位专家组成,与会专家对草稿(第三稿)进行了讨论,并提出相关修改意见,会后修订组再次 认真对专家意见进行了分析和处理,随后形成了草稿(第四稿)。2012年6月,单位内部组织第三次标准讨论会,由标准修订组成员汇报标准的修订情况并接受其 他同事的质询,会后根据本次讨论会的意见,对标准内容进行了修改,形成了草稿(第五稿),在本次讨论会中,做出了一个非常重要的修改,就是将标准名称

7、改为信息安全技术网络脆弱性扫猫产品安全技术要求,同时对标准的整体结构也进行了调整,按照基本级和增强级分开描述的形式修订,以便 于读者的阅读,并保持与其他同类国标一致。2012年7月26日,WG5专家组在北京对标准草稿再次进行评审,与会专家包括赵战生、 王立福、崔书昆、冯惠、袁文恭、卿斯汉、肖京华、杨建军、罗锋盈等。专家组对草稿(第五稿)提出若干意见, 并一致同意形成标准征求意见稿。会后,按照专家意见,对标准内容进行了修改。 本次修改的主要内容包括:标准封面、目录、前言中的若干描述;标准排版;规范性引用文件中引用词汇标准更新;定义与 术语。通过本次修改完善后,形成征求意见稿(第一稿) ,2012

8、年9月18日,收到 WG5工作组投票意见,七家参与投票的单位中,有四家赞成,三家赞成 但需要修改,根据中科网威、江南天安、中国信息安全认证中心三家单位提出的意见进行了修改,通过本次修改,将产品的术语定义“扫描”和“网络脆弱性扫描”进行了进一步的推敲和明确;删除了“可 允许网络性能的少量降低” 和“远程保密传输”这两项描述比较含糊的要求,形成征求意见稿(第二稿)。2确定标准主要内容的论据2.1修订目标和原则2.1.1 修订目标本标准的修订目标是:对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求,使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。2.1.2修订原

9、则为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致,本标准的编写参考了国家有关标准,主要有 GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008 和 GB/T18336-2008第二、三部分。本标准又要符合我国的实际情况,遵从我国有关法律、法规的规定。具体原则与要求如下:1)先进性标准是先进经验的总结,同时也是技术的发展趋势。目前,我国网络脆弱性扫描类产品种类繁多,功能良莠不齐,要制定出先进的信息安全技术标准,必须参考国内外先进技术和标准,吸收其精华,制定出具有先进水平的标准。本标准的编写始终遵循这一原则。

10、2)实用性标准必须是可用的,才有实际意义。因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,制定出符合我国国情的、可操作性强的标准。3)兼容性本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。2.2对网络脆弱性扫描类产品的理解2.2.1网络脆弱性扫描产品脆弱性扫描是一项重要的安全技术,它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器和防火墙等)可能存在的安全漏洞进行逐项检查,根据检查结果提供详细的脆弱性描述和修补方案,形成系统安全性分析报告

11、,从而为网络管理员完善网络系统提供依据。通常,我们将完成脆弱性扫描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。脆弱性扫描产品的分类根据工作模式,脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。其中前者基于主机,通过在主机系统本地运行代理程序来检测系统脆弱性,例如针对操作系统和数据库的扫描产品。后者基于网络,通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。例如Satan和ISS In ternetScanner等。针对检测对象的不同,脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、 WWW服务扫描产品、数据库扫描产品以及无线网络扫描产品。ISS脆弱性扫描产品通常以三

12、种形式出现:单一的扫描软件,安装在计算机或掌上电脑上,例如In ternet Scanner;基于客户机(管理端)/服务器(扫描引擎)模式或浏览器/服务器模式,通常为软件,安装在不同的计算机上,也有将扫描引擎做成硬件的,例如Nessus;也有作为其他安全产品的组件,例如防御安全评估就是防火墙的一个组件。网络脆弱性扫描产品通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的应答,来搜集目标主机上的各种信息,然后与系统的漏洞库进行匹配,如果满足匹配条件,则认为安全漏洞存在; 或者通过模拟黑客的攻击手法对目标主机进行攻击,如果模拟攻击成功,则认为安全漏洞存在。主机脆弱性扫描产品则通过在主机

13、本地的代理程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描, 搜集他们的信息,然后与系统的漏洞库进行比较,如果满足匹配条件,贝U认为安全漏洞存在。在匹配原理上,目前脆弱性扫描产品大都采用基于规则的匹配技术,即通过对网络系统安全脆弱性、黑客攻击案例和网络系统安全配置的分析,形成一套标准安全脆弱性的特征库,在此基础上进一步形成相应的匹配规则,由扫描产品自动完成扫描分析工作。端口扫描技术网络脆弱性扫描是建立在端口扫描的基础上的,支持TCP/IP协议的主机和设备,都是以开放端口来提供服务,端口可以说是系统对外的窗口,安全漏洞也往往通过端口暴露出来。因此,网络脆弱性扫描产品为了提高扫描

14、效率,首先需要判断系统的哪些端口是开放的,然后对开放的端口执行某些扫描脚本,进一步寻找安全漏洞。扫描产品一般集成了以下几种主要的端口扫描技术。TCP SYN扫描通常称为“半打开”扫描,这是因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包,好象准备打开一个实际的连接并等待反应一样(参考TCP的三次握手建立一个TCP连接的过程)。一个SYN/ACK的返回信息表示端口处于侦听状态。一个RST返回,表示端口没有处于侦听状态。TCP FIN扫描TCP FIN扫描的思路是关闭的端口使用适当的RST来回复FIN数据包,而打开的端口会忽略对 FIN数据包的回复。这种方法与系统实现有

15、一定的关系,有的系统不管端口是否打开,都回复RST,在这种情况下,该扫描方法就不适用了,但可以区分Unix和Windows NTTCP connect ()扫描这是最基本的TCP扫描。操作系统提供的 connect ()系统调用,用来与每一个感兴趣的目标计算 机的端口进行连接。如果端口处于侦听状态,那么connect ()就能成功。否则,这个端口是不能用的,即没有提供服务。FIN+URG+PUSH 扫描向目标主机发送一个 FIN、URG和PUSH分组,根据 RFC793,如果目标主机的相应端口是关闭的,那么应该返回一个 RST标志。NULL扫描通过发送一个没有任何标志位的TCP包,根据RFC793,如果目标主机的相应端口是关闭的,它应该发送回一个RST数据包。UDP ICMP端口不能到达扫描在向一个未打开的 UDP端口发送一个数据包时,许多主机会返回一个 ICMP_PORT_UNREACH 错 误。这样就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达,因此这种扫描器必须能够重新传输丢失的数据包。这种扫描方法速

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号