信息技术数据库扫描器产品安全检验规范

本规范由中华人民共和国公安部公共信息网络安全监察局提出。

本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。

公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。

信息技术数据库扫描器产品安全检验规范

1.范围

本规范规定了在网络中使用的数据库扫描器产品的安全功能要求和保证要求。

本规范适用于数据库扫描器产品的生产及安全功能检测。

2.定义

下列术语和定义适用于本测评规范：

2.1 数据库扫描器产品  Database Scanner product

数据库扫描器产品是指对数据库进行安全漏洞扫描的产品，以发现数据库在安全配置方面存在的安全漏洞，提高数据库的安全。

3.数据库扫描器产品的安全功能要求

3.1 自身安全功能要求

3.1.1 身份鉴别

只有授权管理员才能使用数据库扫描器产品的完整功能，对于授权管理员至少应采用用户名/口令方式对其进行身份认证。

3.1.2 数据完整性

数据库扫描器产品应确保用户信息、策略信息和关键程序的数据完整性。应采取必要的手段对其完整性自动进行检验。

3.1.3 审计日志

对产品的使用（包括登录、扫描分析等）应产生审计日志记录。

3.2 安全功能要求

3.2.1 身份鉴别机制脆弱性扫描

数据库扫描器产品应检查目标数据库中是否存在身份鉴别机制方面的安全漏洞，如：用户口令强度不够，口令有效期过长等。

3.2.2 用户授权机制脆弱性扫描

数据库扫描器产品应检查目标数据库中是否存在用户授权机制方面的安全漏洞，如：普通用户拥有管理员权限等。

3.2.3 数据安全性扫描

数据库扫描器产品应检查目标数据库中是否存在数据安全性方面的安全漏洞，如：备份设置是否正确等。

3.3 管理功能要求

3.3.1 访问控制

数据库扫描器产品应确保只有授权管理员才能访问数据库扫描器产品，即只允许授权管理员有配置和使用数据库扫描器产品的能力。

3.3.2 扫描结果分析处理

1)结果入库

扫描结果应能写入数据库。

2)结果导入导出

可对结果数据库执行导入导出操作。

3)结果报告

数据库扫描器产品应能对结果数据库进行查询并形成报告，报告可分为下列类别：1.脆弱性报告，包括各脆弱点的详细信息、补救建议等；2.对目标主机扫描后的信息获取结果生成相应的报告；3.脆弱性分析报告，包括：目标的风险等级评估报告；

4)定制报告

报告应能根据用户要求进行定制。

5)报告格式

报告应可输出为通用的文档格式

6)数据库浏览功能

数据库扫描器产品应提供扫描结果数据库浏览功能。

3.3.3 扫描策略定制

1)策略定制

数据库扫描器产品应能定制扫描项目及属性。

2) 定制便捷

数据库扫描器产品应提供方便的定制策略的方法。

3.3.4 扫描对象的安全性

1)扫描预通知

在开始进行漏洞扫描前，漏洞扫描产品应向目标主机发送警告信息，通知该主机即将对其进行扫描测试。

2)对目标系统所在网络性能的影响

扫描应不影响网络的正常工作，但可允许网络性能的少量降低。

3)对目标系统的影响

扫描应尽量避免影响目标系统的正常工作。