信息技术主机安全漏洞扫描产品技术要求(1)

本规范由中华人民共和国公安部公共信息网络安全监察局提出。

本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。

公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。
信息技术主机安全漏洞扫描产品技术要求

1.范围

本标准规定了采用“传输控制协议/网间协议（TCP/IP）”的主机安全漏洞扫描产品的技术要求。

本标准适用于主机安全漏洞扫描产品安全功能的研制、开发、测试、评估和产品的采购。

2.术语和定义

2.1 本标准采用了GB/T 5271.8中的下列术语：

安全策略  security policy

安全审计  security audit 

鉴别  authentication

威胁  threat

脆弱性  vulnerability

攻击  attack

2.2 下列定义适用于本标准。

2.2.1 误报  False Positives

由于扫描器程序本身的缺陷或不完善性而输出了错误的扫描结果。

2.2.2　漏报  False Negatives

由于扫描器程序本身的缺陷或不完善性导致某些实际存在的系统漏洞或缺陷未被探测到的现象。

3.安全功能要求

3.1 自身安全功能要求

3.1.1 使用者身份控制

只有本机的特定用户（通常为授权管理员）才有权使用软件的完整功能，对于授权管理员至少采用用户名、口令方式对其进行身份认证。