本規(guī)范由中華人民共和國公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局提出。
本規(guī)范起草單位：公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心。
公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心負責(zé)對本規(guī)范的解釋、提升和更改。

信息技術(shù)數(shù)據(jù)庫掃描器產(chǎn)品安全檢驗規(guī)范
1.范圍
本規(guī)范規(guī)定了在網(wǎng)絡(luò)中使用的數(shù)據(jù)庫掃描器產(chǎn)品的安全功能要求和保證要求。
本規(guī)范適用于數(shù)據(jù)庫掃描器產(chǎn)品的生產(chǎn)及安全功能檢測。

2.定義
下列術(shù)語和定義適用于本測評規(guī)范：
2.1 數(shù)據(jù)庫掃描器產(chǎn)品  Database Scanner product
數(shù)據(jù)庫掃描器產(chǎn)品是指對數(shù)據(jù)庫進行安全漏洞掃描的產(chǎn)品，以發(fā)現(xiàn)數(shù)據(jù)庫在安全配置方面存在的安全漏洞，提高數(shù)據(jù)庫的安全。

3.數(shù)據(jù)庫掃描器產(chǎn)品的安全功能要求
3.1 自身安全功能要求
3.1.1 身份鑒別
只有授權(quán)管理員才能使用數(shù)據(jù)庫掃描器產(chǎn)品的完整功能，對于授權(quán)管理員至少應(yīng)采用用戶名/口令方式對其進行身份認證。
3.1.2 數(shù)據(jù)完整性
數(shù)據(jù)庫掃描器產(chǎn)品應(yīng)確保用戶信息、策略信息和關(guān)鍵程序的數(shù)據(jù)完整性。應(yīng)采取必要的手段對其完整性自動進行檢驗。
3.1.3 審計日志
對產(chǎn)品的使用（包括登錄、掃描分析等）應(yīng)產(chǎn)生審計日志記錄。
3.2 安全功能要求
3.2.1 身份鑒別機制脆弱性掃描
數(shù)據(jù)庫掃描器產(chǎn)品應(yīng)檢查目標(biāo)數(shù)據(jù)庫中是否存在身份鑒別機制方面的安全漏洞，如：用戶口令強度不夠，口令有效期過長等。
3.2.2 用戶授權(quán)機制脆弱性掃描
數(shù)據(jù)庫掃描器產(chǎn)品應(yīng)檢查目標(biāo)數(shù)據(jù)庫中是否存在用戶授權(quán)機制方面的安全漏洞，如：普通用戶擁有管理員權(quán)限等。
3.2.3 數(shù)據(jù)安全性掃描
數(shù)據(jù)庫掃描器產(chǎn)品應(yīng)檢查目標(biāo)數(shù)據(jù)庫中是否存在數(shù)據(jù)安全性方面的安全漏洞，如：備份設(shè)置是否正確等。
3.3 管理功能要求
3.3.1 訪問控制
數(shù)據(jù)庫掃描器產(chǎn)品應(yīng)確保只有授權(quán)管理員才能訪問數(shù)據(jù)庫掃描器產(chǎn)品，即只允許授權(quán)管理員有配置和使用數(shù)據(jù)庫掃描器產(chǎn)品的能力。
3.3.2 掃描結(jié)果分析處理
1)結(jié)果入庫
掃描結(jié)果應(yīng)能寫入數(shù)據(jù)庫。
2)結(jié)果導(dǎo)入導(dǎo)出
可對結(jié)果數(shù)據(jù)庫執(zhí)行導(dǎo)入導(dǎo)出操作。
3)結(jié)果報告
數(shù)據(jù)庫掃描器產(chǎn)品應(yīng)能對結(jié)果數(shù)據(jù)庫進行查詢并形成報告，報告可分為下列類別：1.脆弱性報告，包括各脆弱點的詳細信息、補救建議等；2.對目標(biāo)主機掃描后的信息獲取結(jié)果生成相應(yīng)的報告；3.脆弱性分析報告，包括：目標(biāo)的風(fēng)險等級評估報告；
4)定制報告
報告應(yīng)能根據(jù)用戶要求進行定制。
5)報告格式
報告應(yīng)可輸出為通用的文檔格式
6)數(shù)據(jù)庫瀏覽功能
數(shù)據(jù)庫掃描器產(chǎn)品應(yīng)提供掃描結(jié)果數(shù)據(jù)庫瀏覽功能。
3.3.3 掃描策略定制
1)策略定制
數(shù)據(jù)庫掃描器產(chǎn)品應(yīng)能定制掃描項目及屬性。
2) 定制便捷
數(shù)據(jù)庫掃描器產(chǎn)品應(yīng)提供方便的定制策略的方法。
3.3.4 掃描對象的安全性
1)掃描預(yù)通知
在開始進行漏洞掃描前，漏洞掃描產(chǎn)品應(yīng)向目標(biāo)主機發(fā)送警告信息，通知該主機即將對其進行掃描測試。
2)對目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)性能的影響
掃描應(yīng)不影響網(wǎng)絡(luò)的正常工作，但可允許網(wǎng)絡(luò)性能的少量降低。
3)對目標(biāo)系統(tǒng)的影響
掃描應(yīng)盡量避免影響目標(biāo)系統(tǒng)的正常工作。