7.1 基本型

7.1.1　基本功能

7.1.1.1　自身安全性要求

7.1.1.1.1　身份鑒別

a)評價內容：見GB/T AAAA-200X中7.2.1的內容；
b)測試評價方法：
1)根據網絡脆弱性掃描產品版本發行說明、管理員手冊、配置管理文檔等，啟動圖1中網絡脆弱性掃描產品A和B；
2)以授權管理員身份分別登錄啟動圖1中網絡脆弱性掃描產品A和B，運行創建普通管理員等操作。

7.1.1.1.2　適用限制

a)評價內容：見GB/T AAAA-200X中7.2.2的內容；
b)測試評價方法：根據網絡脆弱性掃描產品版本發行說明、用戶手冊、高層設計文檔、測試文檔等，啟動圖1中網絡脆弱性掃描產品A和B，進行管理配置、啟動掃描等操作。

7.1.1.1.3　敏感信息保護

a)評價內容：見GB/T AAAA-200X中7.2.3的內容；
b)測試評價方法：
根據網絡脆弱性掃描產品版本發行說明、用戶手冊、高層設計文檔、測試文檔等，啟動圖1中網絡脆弱性掃描產品A和B，進行管理配置、啟動掃描等操作。

7.1.1.1.4　軟件使用記錄

a)評價內容：見GB/T AAAA-200X中7.2.4的內容；
b)測試評價方法：根據網絡脆弱性掃描產品版本發行說明、用戶手冊、管理員手冊等，啟動圖1中網絡脆弱性掃描產品A和B，進行下列操作，觀察日志變化：
1)管理員登錄；
2)掃描操作過程；
3)掃描結果分析處理；
4)產品升級
5)其他使用。

7.1.1.1.5　掃描數據包標記

a)評價內容：見GB/T AAAA-200X中7.2.5的內容；
b)測試評價方法：
1)根據網絡脆弱性掃描產品版本發行說明、用戶手冊、管理員手冊、高層設計文檔、低層設計文檔等，啟動圖1中網絡脆弱性掃描產品A和B，執行掃描功能。
2)通過抓包工具（例如：Tcpdump等）捕獲網絡脆弱性掃描產品掃描數據包，并對捕獲數據進行分析。

7.1.1.1.6　掃描結果安全

a)評價內容：見GB/T AAAA-200X中7.2.6的內容；
b)測試評價方法：
1)根據網絡脆弱性掃描產品版本發行說明、用戶手冊、管理員手冊、高層設計文檔、低層設計文檔等，啟動圖1中網絡脆弱性掃描產品A和B，執行掃描功能；
2)直接利用數據庫工具查證掃描結果；
3)對掃描結果進行導入、導出及刪除操作。

7.1.1.2　安全功能要求

7.1.1.2.1　脆弱性掃描

a)評價內容：見GB/T AAAA-200X中7.3.1的內容；
b)測試評價方法：
1)根據網絡脆弱性掃描產品版本發行說明、安裝手冊、用戶手冊、管理員手冊、配置管理文檔、測試文檔、高層設計文檔等，確定測試對象（產品、掃描對象等），按照GB/T AAAA-200X中7.3.1及其注解給出的細節，分別編寫測試用例；
2)對照測試用例，目標主機分別安裝并啟動相應的應用程序。啟動圖1中網絡脆弱性掃描產品A和B，分別對被掃描機器的進行掃描，并根據掃描結果，手工對比網絡脆弱性掃描產品是否能夠正確的發現危險或不合理的配置等安全問題，并能提出相應的安全性建議；
3)檢查掃描結果中詳細描述是否準確；
4)按產品提供的安全性建議進行脆弱性修復后，再次進行測試，檢查產品是否報告相應的脆弱性。

7.1.1.2.2　網絡旁路檢查

a)評價內容：見GB/T AAAA-200X中7.3.2的內容；
b)測試評價方法：
1)在被掃瞄的網絡環境中，配置一個撥號上網或代理服務器或其他網絡旁路服務；
2)根據管理員手冊、用戶手冊等，啟動圖1中網絡脆弱性掃描產品B，查看掃描結果是否能夠發現網絡旁路服務。

7.1.1.2.3　信息獲取

a)評價內容：見GB/T AAAA-200X中7.3.3的內容；
b)測試評價方法：
1)根據管理員手冊和用戶手冊等，啟動圖1中網絡脆弱性掃描產品A和B，對以下條目進行掃描：
——操作系統，包括類型、版本號等；
——TCP/IP服務旗標；
——系統硬件信息；
——系統軟件配置信息；
——其他網絡配置信息；
——共享目錄信息；
——系統運行狀態信息等。
2)對比掃描結果。

7.1.1.2.4　端口和服務掃描

a)評價內容：見GB/T AAAA-200X中7.3.4的內容；
b)測試評價方法：
1)根據管理員手冊和用戶手冊等，啟動圖1中網絡脆弱性掃描產品A和B，配置產品策略，針對以下端口和服務進行掃描：
——RPC端口；
——TCP端口；
——UDP端口；
——端口協議分析；
——NT服務。
2)手工對比掃描結果。
c)測試評價結果：記錄測試結果并對該結果是否符合測試評價方法要求作出判斷，應符合：
1)獲得RPC服務及所在的RPC端口信息；
2)應能檢查TCP端口是否開啟；
3)應能檢查UDP端口是否開啟；
4)就掃描得到的已開啟的TCP/UDP端口，能夠判斷相應端口對應的服務或使用的協議；

7.1.1.3　管理要求

7.1.1.3.1　管理員訪問

a)評價內容：見GB/T AAAA-200X中7.4.1的內容；
b)測試評價方法：
1)根據安裝手冊、管理員手冊、測試文檔等，啟動網絡脆弱性掃描產品A和B，檢測管理員訪問功能；
2)查看授權管理員訪問權限，并設置普通管理員權限；
3)驗證普通管理員權限。
c)測試評價結果：記錄測試結果并對該結果是否符合測試評價方法要求作出判斷，應符合：
1)只有授權管理員才能訪問網絡脆弱性掃描產品，即只允許授權管理員有配置、使用網絡脆弱性掃描產品的能力；

7.1.1.3.2　掃描結果分析處理

a)評價內容：見GB/T AAAA-200X中7.4.2的內容；
b)測試評價方法：
1)根據附錄A中測試證據及上述測試過程產生的結果，手工比對；
2)利用網絡脆弱性掃描產品軟件對掃描結果進行導入、導出、刪除、定制報告、輸出報告、瀏覽漏洞數據庫等；
3)仔細查看形成的掃描結果報告。
c)測試評價結果：記錄測試結果并對該結果是否符合測試評價方法要求作出判斷，應符合：
1)掃描結果寫入數據庫；
2)掃描結果可導入導出及徹底刪除；
3)可按照不同的分類定制報告（例如：以時間、用戶組分類）；
4)報告可輸出成標準格式，包括HTML、RTF、PDF等格式；
5)可提供全面靈活的掃描結果數據庫瀏覽功能；
6)可提供包括以下內容的掃描結果報告：
——脆弱性報告，包括各脆弱點的詳細信息、補救建議等，補救建議合理并有效；
——可對目標主機掃描后的信息獲取結果生成相應的報告；
——脆弱性分析報告，包括：
●　目標的風險等級評估報告；明確將掃描脆弱點分成極度危險漏洞、危險漏洞和輕度危險漏洞；
●　同一目標多次掃描形成的趨勢分析報告；
●　多個目標掃描后的結果的總體報告；
●　對關鍵的網絡脆弱性掃描信息可生成摘要報告；

7.1.1.3.3　掃描策略定制

a)評價內容：見GB/T AAAA-200X中7.4.3的內容；
b)測試評價方法：
1)根據網絡脆弱性掃描產品版本發行說明、安裝手冊、管理員手冊、配置管理文檔、測試文檔、高層設計文檔等，啟動圖1中網絡脆弱性掃描產品A和B，確認是否具有定制策略方法；
2)定制已知帳號、口令、掃描項目及屬性、定時啟動等策略，進行掃描；
3)查看日志，驗證審計功能。
c)測試評價結果：記錄測試結果并對該結果是否符合測試評價方法要求作出判斷，應符合：
1)能使用目標的已知賬號和口令對目標進行更有效的掃描；
2)能定制掃描項目及屬性，形成計劃任務等策略；
3)具有完整的日志及審計功能；

7.1.1.3.4　掃描對象的安全性

a)評價內容：見GB/T AAAA-200X中7.4.4的內容；
b)測試評價方法：
1)查看網絡脆弱性掃描產品版本發行說明、安裝手冊、管理員手冊、配置管理文檔、測試文檔、高層設計文檔等，并啟動圖1中網絡脆弱性掃描產品A和B；
2)對報警功能進行驗證，觀察目標系統網絡性能。
c)測試評價結果：記錄測試結果并對該結果是否符合測試評價方法要求作出判斷，應符合：
1)能夠在開始掃描前宿主機向目標主機發送一個警告信息，提示該主機將要接受掃描測試；
2)掃描時對網絡的正常工作無明顯影響；

7.1.1.3.5　升級能力

a)評價內容：見GB/T AAAA-200X中7.4.5的內容；
b)測試評價方法：查看網絡脆弱性掃描產品版本發行說明、安裝手冊、用戶手冊等，啟動圖1產品A和B，根據用戶手冊檢查產品是否具備升級更新能力。

7.1.1.4　 使用要求

7.1.1.4.1　安裝與操作控制

a)評價內容：見GB/T AAAA-200X中7.5的內容；
b)測試評價方法：查看網絡脆弱性掃描產品版本發行說明、安裝手冊、管理員手冊、配置管理文檔，對網絡脆弱性掃描產品進行實際安裝、操作。
c)測試評價結果：記錄測試結果并對該結果是否符合測試評價方法要求作出判斷，應符合：
1)隨機文檔中對網絡脆弱性掃描產品安裝、管理、操作的可控性有說明。網絡脆弱性掃描產品實行發行許可措施（例如：發行序列號、根據安裝計算機信息生成許可等）；
2)網絡脆弱性掃描產品掃描過程可隨時停止，并且能斷點保存，隨時恢復；

7.1.2　性能要求

7.1.2.1　速度

a)評價內容：見GB/T AAAA-200X中8.1的內容；
b)測試評價方法：
1)根據網絡脆弱性掃描產品安裝手冊、管理員手冊、測試文檔、高層設計文檔、產品版本發行說明及產品運行界面（或面板），并啟動圖1中網絡脆弱性掃描產品A和B；
2)檢查網絡脆弱性掃描產品是否采取了有效的設計或技術手段來提高掃描速度(例如：能提供通過調整線程或者進程數目來調節掃描速度)，并實際操作驗證其對速度的影響。

7.1.2.2　穩定性和容錯性：

a)評價內容：見GB/T AAAA-200X中8.2的內容；
b)測試評價方法：
1)觀察上述網絡脆弱性掃描產品測試過程，確定產品是否能夠避免以下問題出現。
——主界面失去響應或非正常退出；
——掃描進度停滯不前。
2)反復試用網絡脆弱性掃描產品。

7.1.2.3　漏洞發現能力

a)評價內容：見GB/T AAAA-200X中8.3的內容；
b)測試評價方法：查看網絡脆弱性掃描產品版本發行說明、安裝手冊、管理員手冊、配置管理文檔；試用網絡脆弱性掃描產品。

7.1.2.4　誤報率

a)評價內容：見GB/T AAAA-200X中8.4的內容；
b)測試評價方法：查看網絡脆弱性掃描產品版本發行說明、安裝手冊、管理員手冊、配置管理文檔；試用網絡脆弱性掃描產品。

7.1.2.5　漏報率

a)評價內容：見GB/T AAAA-200X中8.5的內容；
b)測試評價方法：查看網絡脆弱性掃描產品版本發行說明、安裝手冊、管理員手冊、配置管理文檔；試用網絡脆弱性掃描產品。

7.1.3　安全保證要求

7.1.3.1　配置管理

a)評價內容：見GB/T AAAA-200X中9.1.1的內容；
b)測試評價方法：評價者應審查開發者提供的配置管理支持文件是否包含以下內容：
1)版本號，要求開發者所使用的版本號與所應表示的網絡脆弱性掃描產品樣本應完全對應，沒有歧義；
2)授權標識，要求開發者所提供的授權標識與所提供給用戶的網絡脆弱性掃描產品樣本完全對應且唯一；
3)配置項，要求配置項應有唯一的標識，從而對網絡脆弱性掃描產品的組成有更清楚的描述。

7.1.3.2　安全功能開發過程

7.1.3.2.1　功能設計

a)評價內容：見GB/T AAAA-200X中9.1.2.1的內容；
b)測試評價方法：評價者應審查開發者所提供的信息是否滿足如下要求：
1)功能設計應當使用非形式化風格來描述網絡脆弱性掃描產品安全功能與其外部接口；
2)功能設計應當是內在一致的；
3)功能設計應當描述使用所有外部網絡脆弱性掃描產品安全功能接口的目的與方法，適當的時候，要提供結果影響例外情況和錯誤信息的細節；
4)功能設計應當完整地表示網絡脆弱性掃描產品安全功能。
評價者應確認功能設計是否是網絡脆弱性掃描產品安全功能要求的精確和完整的示例。

7.1.3.2.2　表示對應性

a)評價內容：見GB/T AAAA-200X中9.1.2.2的內容；
b)測試評價方法：評價者應審查開發者是否在網絡脆弱性掃描產品安全功能表示的所有相鄰對之間提供對應性分析。其中，網絡脆弱性掃描產品各種安全功能表示（如網絡脆弱性掃描產品功能設計、高層設計、低層設計、實現表示）之間的對應性是所提供的抽象物理網絡脆弱性掃描產品安全功能表示要求的精確而完整的示例。網絡脆弱性掃描產品安全功能在功能設計中進行細化，并且較為抽象的網絡脆弱性掃描產品安全功能表示的所有相關安全功能部分，在較具體的網絡脆弱性掃描產品安全功能表示中進行細化。

7.1.3.3　測試

7.1.3.3.1　功能測試

a)評價內容：見GB/T AAAA-200X中9.1.3.1的內容；
b)測試評價方法：
1)評價開發者提供的測試文檔，是否包括測試計劃、測試過程、預期的測試結果和實際測試結果；
2)評價測試計劃是否標識了要測試的安全功能，是否描述了測試的目標；
3)評價測試過程是否標識了要執行的測試，是否描述了每個安全功能的測試概況（這些概況包括對其他測試結果的順序依賴性）；
4)評價期望的測試結果是否表明測試成功后的預期輸出；
5)評價實際測試結果是否表明每個被測試的安全功能能按照規定進行運作。

7.1.3.3.2　覆蓋分析

a)評價內容：見GB/T AAAA-200X中9.1.3.2的內容；
b)測試評價方法：評價者應審查開發者提供的測試覆蓋分析結果，是否表明了測試文檔中所標識的測試與安全功能設計中所描述的安全功能是對應的。

7.1.3.4　指導性文檔

7.1.3.4.1　管理員指南

a)評價內容：見GB/T AAAA-200X中9.1.4.1的內容；
b)測試評價方法：
1)評價者應審查開發者是否提供了供系統管理員使用的管理員指南，并且此管理員指南是否包括如下內容：
——網絡脆弱性掃描產品可以使用的管理功能和接口；
——怎樣安全地管理網絡脆弱性掃描產品；
——在安全處理環境中應進行控制的功能和權限；
——所有對與網絡脆弱性掃描產品的安全操作有關的用戶行為的假設；
——所有受管理員控制的安全參數，如果可能，應指明安全值；
——每一種與管理功能有關的安全相關事件，包括對安全功能所控制的實體的安全特性進行的改變；
——所有與系統管理員有關的IT環境的安全要求。
2)評價者應確認管理員指南是否與為評價而提供的其他所有文件保持一致。

7.1.3.4.2　用戶指南

a)評價內容：見GB/T AAAA-200X中9.1.4.2的內容；
b)測試評價方法：
1)評價者應審查開發者是否提供了供系統用戶使用的用戶指南，并且此用戶指南是否包括如下內容：
——網絡脆弱性掃描產品的非管理用戶可使用的安全功能和接口；
——網絡脆弱性掃描產品提供給用戶的安全功能和接口的用法；
——用戶可獲取但應受安全處理環境控制的所有功能和權限；
——網絡脆弱性掃描產品安全操作中用戶所應承擔的職責；
——與用戶有關的IT環境的所有安全要求。
2)評價者應確認用戶指南是否與為評價而提供的其他所有文件保持一致。

7.1.3.5　交付與運行

a)評價內容：見GB/T AAAA-200X中9.1.5的內容；
b)測試評價方法：評價者應審查開發者是否提供了文檔說明網絡脆弱性掃描產品的安裝、生成和啟動的過程。用戶能夠通過此文檔了解安裝、生成、啟動過程。上述過程中不應向非產品使用者提供網絡拓撲信息。

7.1.3.6　生命周期支持

a)評價內容：見GB/T AAAA-200X中9.1.6的內容；
b)測試評價方法：評價者應審查開發者所提供的信息是否滿足如下要求：
1)開發人員的安全管理：開發人員的安全規章制度，開發人員的安全教育培訓制度和記錄；
2)開發環境的安全管理：開發地點的出入口控制制度和記錄，開發環境的溫室度要求和記錄，開發環境的防火防盜措施和國家有關部門的許可文件，開發環境中所使用安全產品必須采用符合國家有關規定的產品并提供相應證明材料；
3)開發設備的安全管理：開發設備的安全管理制度，包括開發主機使用管理和記錄，設備的購置、修理、處置的制度和記錄，上網管理，計算機病毒管理和記錄等；
4)開發過程和成果的安全管理：對產品代碼、文檔、樣機進行受控管理的制度和記錄，若代碼和文檔進行加密保護必須采用符合國家有關規定的產品并提供相應證明材料。
c)測試評價結果：記錄審查結果并對該結果是否符合測試評價方法要求作出判斷，評價者審查內容至少包括測試評價方法中的四方面。開發者提供文檔應完整。