标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
YD/T 3463-2019 漏洞扫描系统通用技术要求.pdf漏洞扫描系统应支持端口与协议等信息收集,并予以组织呈现。 a)应支持端口信息收集,例如:TCP端口、UDP端口等。 b)应支持协议信息收集,例如:HTTP、SSL、SSH、FTP、RDP等。
5.1.2资产信息收集
YD/T34632019
YD/T34632019
YY 0341.2-2020 无源外科植入物 骨接合与脊柱植入物 第2部分:脊柱植入物特殊要求漏洞扫描系统应支持可视化的配置向导功能。
漏洞扫描系统应提供可配置的扫描范围,例如:IP地址、IP地址区间、域名、URL等。 扫描范围应支持扫描检测例外项,包括资产与安全漏洞等例外项。
漏洞扫描系统应支持基于登录状态下的扫描检
漏洞扫描系统应支持多种类型扫描方式。 a)全量扫描:对所有的资产、安全漏洞进行扫描检测。 b)增量扫描:对新增的资产、安全漏洞进行扫描检测。 c)自定义扫描:根据资产范围、漏洞类型、时间周期等预设条件的扫描检测。
漏洞扫描系统应支持多种类型扫描策略: a)基于安全漏洞类型的扫描策略,例如:缓冲区溢出、SQL注入、拒绝服务攻击、非授权访问、 配置缺陷等。 b)基于安全漏洞危害程度的扫描策略,例如:高危、中危、低危险等。 c)基于资产类型的扫描策略,例如:操作系统、中间件、数据库、云计算平台、网络设备、安全 设备等。 d)基于时间的扫描策略,例如:周期性扫描、即时扫描、定时扫描等。 e)基于可定制的自定义扫描策略。
漏洞扫描系统应支持扫描配置可视化功能: 实时扫描状态信息的可视化,例如,扫描任务进度、扫描运行状态、扫描即时信息等。 b) 扫描任务操作控制的可视化,例如,开始、暂停、停止等。 c)扫描策略配置的可视化,例如,默认扫描策略、自定义策略等。 d)扫描范围配置的可视化,例如,IP地址、IP地址区间、域名、URL等。 e)登录扫描配置的可视化,例如,账号、密码等。
漏洞扫描系统应支持扫描结果的自动保存。
扫描系统应具备安全漏洞的验证功能,提供可定
漏洞扫描系统应对扫描结果进行分析并生成相应报告,报告应包括以下内容: a)扫描任务的信息,例如,名称、类型、状态、时间等; b)安全漏洞的信息,例如,名称、类型、编号、危害程度、描述、修复建议、参考信息等; c)扫描结果的综述,例如,资产综述、漏洞综述、风险综述等。
漏洞扫描系统应支持多种类型的报告输出:
应支持通用的文档格式,例如,Word、HTML、Excel、PDF等。 b)应支持多种类型的报告,例如,综述报告、详述报告、自定义报告、比对报告等。
漏洞扫描系统应支持标准的、开放的系统接
漏洞扫描系统应支持漏洞数据库的更新升级功能: a)支持系统升级操作的可视化管理; b)支持多种类型的升级方式,例如,在线升级、离线升级等。
漏洞扫描系统应提供合理的扫描速率,支持通过调整扫描策略、任务线程、进程数量等方式调节扫 描速率,
漏洞扫描系统应支持无限IP或域名扫描,
漏洞扫描系统应支持多个资产并发扫描:
YD/T34632019 a)支持最大并发扫描资产数不低于100; b)支持最大并发扫描线程数不低于100。
漏洞担描系统的误报率不高于百分之五。
漏洞扫描系统的误报率不高于百分之五。
漏洞扫描系统的漏报率不高于百分之五。
漏洞扫描系统应满足合理的资源效率: a)CPU平均利用率不高于百分之八十,内存平均利用率不高于百分之八十; b)网络带宽平均占用率不高于百分之三十: c)磁盘空间应支持存储不低于一年时间的任务与日志信息。
漏洞扫描系统应支持用户的身份标识: a)应提供用户权限标识,分配与之相应的安全属性和操作权限; b)应提供使用默认值对创建的每个用户的属性进行初始化的能力; c)应为用户提供唯一标识,并将用户的身份标识与该用户的所有可审计能力相关联。
漏洞扫描系统应支持用户的身份鉴别: a 应在执行任何与管理员相关功能之前鉴别用户的身份; b) 应保证鉴别数据不被未授权查阅或修改: c 应提供一定的鉴别失败处理措施,防止暴力猜测口令: d 应具有登录超时锁定或注销功能。在设定的时间段内没有任何操作的情况下,终止会话,需要 再次进行身份鉴别才能够重新操作。
应该允许管理员对系统进行管理: a)授权管理员应能对安全属性进行查看!
b)授权管理员应能对安全属性进行修改; c)授权管理员应能启动、关闭全部或部分安全功能; d)授权管理员应能制订和修改各种安全策略。
YD/T3463—2019
应该能对管理员角色进行区分: a)具有至少三种不同权限的管理员角色,例如管理员、操作员、审计员等; b)应根据不同的功能模块,自定义各种不同权限的角色,并可对管理员分配角色。
应该确保用户信息、策略信息和关键程序的数据完整性,应该采取必要的手段对其完整性 检验
7.2.4.1传输保密
7.2.4.2存储保密
确保账户信息、扫描结果的保密性,如采取措施
7.2.5可信管理主机
若系统的控制台提供远程管理功能,应能对可远程管理的进行限制,包括P地址限制、时间限
7.3.2审计日志保存
应该能存储于永久性存值
7.3.3审计日志管理
应该提供下列审计日志管理功能: a)只允许授权管理员访问审计日志; b)提供对审计日志的查询功能; c 授权管理员应能保存、删除和清空审计日志: d)审计日志应支持外部接口转发,例如:syslog等方式。
开发者应为产品的不同版本提供唯一的标识。
8.1.2配置管理文档
述,还应描述对配置项给出唯一标识的方法, 项得到有效维护的证据。
开发者提供的配置管理文档应包括一个配置 实施的配置管理应与配置管理计划相一致。 开发者应提供所有的配置项得到有效地维护的证据,并应保证只有经过授权才能修改配置项
8.1.4配置管理覆盖
配置管理范围至少应包括产品交付与运行文档、开发文档、指导性文档、生命周期支持文档、 档、脆弱性分析文档和配置管理文档,从而确保它们的修改是在一个正确授权的可控方式下进行 配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这些配置项的。
开发者应使用一定的交付程序交付产品,并将交付过程文档化。 交付文档应描述在给用户方交付产品的各版本时,为维护安全所必需的所有程序。
开发者应提供文档说明系统的安装、生成和启动
YD/T34632019
开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致。 用户指南应说明以下内容: a)产品的非管理员用户可使用的安全功能和接口; b)产品提供给用户的安全功能和接口的使用方法; c)用户可获取但应该受安全处理环境所控制的所有功能和权限; d)产品安全操作中用户所应承担的职责; e)与用户有关的IT环境的所有安全要求。
开发者应提供开发安全文档。 开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有 物理的、程序的、人员的和其他方面的安全措施,并应提供在产品的开发和维护过程中执行安全措施的 证据。
开发者应提供测试覆盖的证据,应表明测试文档中所标识的测试与功能规范中所描述的产品的安全 功能是对应的。 开发者应提供测试覆盖的分析结果,测试覆盖的分析结果应表明测试文档中所标识的测试与功能规 范中所描述的产品的安全功能之间的对应性是完备的。
LD/T 09-2022 人力资源社会保障信息系统运行维护平台建设规范开发者应提供测试深度的分析。 深度分析应证实测试文档中所标识的测试足以证实该产品的功能是依照其高层设计运行的。
YD/34632019
开发者应测试安全功能,将结果文档化并提供测试文档。 测试文档应包括以下内容: a)测试计划,应标识要测试的安全功能,并描述测试的目标; 6) 测试过程,应标识要执行的测试,并描述每个安全功能的测试概况,这些概况应包括对于其他 测试结果的顺序依赖性; c)预期的测试,结果应表明测试成功后的预期输出; d)实际测试结果,应表明每个被测试的安全功能能按照规定进行运作。
8.6.1安全功能强度评估
开发者应对指导性文档中所标识的 用的安全机制进行安全功能强度分析, 和特定功能强度度量
开发者应执行脆弱性分析,并提供脆弱性分析文档。 开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档。对被 确定的脆弱性HJ 发布稿838-2017 湖泊营养物基准制定技术指南,开发者应明确记录采取的措施。 对每一条脆弱性,应有证据显示在使用产品的环境中,该脆弱性不能被利用。在文档中,还需证明 经过标识脆弱性的产品可以抵御明显的渗透性攻击。