本規范由中華人民共和國公安部公共信息網絡安全監察局提出。
本規范起草單位：公安部計算機信息系統安全產品質量監督檢驗中心。
公安部計算機信息系統安全產品質量監督檢驗中心負責對本規范的解釋、提升和更改。

信息技術數據庫掃描器產品安全檢驗規范
1.范圍
本規范規定了在網絡中使用的數據庫掃描器產品的安全功能要求和保證要求。
本規范適用于數據庫掃描器產品的生產及安全功能檢測。

2.定義
下列術語和定義適用于本測評規范：
2.1 數據庫掃描器產品  Database Scanner product
數據庫掃描器產品是指對數據庫進行安全漏洞掃描的產品，以發現數據庫在安全配置方面存在的安全漏洞，提高數據庫的安全。

3.數據庫掃描器產品的安全功能要求
3.1 自身安全功能要求
3.1.1 身份鑒別
只有授權管理員才能使用數據庫掃描器產品的完整功能，對于授權管理員至少應采用用戶名/口令方式對其進行身份認證。
3.1.2 數據完整性
數據庫掃描器產品應確保用戶信息、策略信息和關鍵程序的數據完整性。應采取必要的手段對其完整性自動進行檢驗。
3.1.3 審計日志
對產品的使用（包括登錄、掃描分析等）應產生審計日志記錄。
3.2 安全功能要求
3.2.1 身份鑒別機制脆弱性掃描
數據庫掃描器產品應檢查目標數據庫中是否存在身份鑒別機制方面的安全漏洞，如：用戶口令強度不夠，口令有效期過長等。
3.2.2 用戶授權機制脆弱性掃描
數據庫掃描器產品應檢查目標數據庫中是否存在用戶授權機制方面的安全漏洞，如：普通用戶擁有管理員權限等。
3.2.3 數據安全性掃描
數據庫掃描器產品應檢查目標數據庫中是否存在數據安全性方面的安全漏洞，如：備份設置是否正確等。
3.3 管理功能要求
3.3.1 訪問控制
數據庫掃描器產品應確保只有授權管理員才能訪問數據庫掃描器產品，即只允許授權管理員有配置和使用數據庫掃描器產品的能力。
3.3.2 掃描結果分析處理
1)結果入庫
掃描結果應能寫入數據庫。
2)結果導入導出
可對結果數據庫執行導入導出操作。
3)結果報告
數據庫掃描器產品應能對結果數據庫進行查詢并形成報告，報告可分為下列類別：1.脆弱性報告，包括各脆弱點的詳細信息、補救建議等；2.對目標主機掃描后的信息獲取結果生成相應的報告；3.脆弱性分析報告，包括：目標的風險等級評估報告；
4)定制報告
報告應能根據用戶要求進行定制。
5)報告格式
報告應可輸出為通用的文檔格式
6)數據庫瀏覽功能
數據庫掃描器產品應提供掃描結果數據庫瀏覽功能。
3.3.3 掃描策略定制
1)策略定制
數據庫掃描器產品應能定制掃描項目及屬性。
2) 定制便捷
數據庫掃描器產品應提供方便的定制策略的方法。
3.3.4 掃描對象的安全性
1)掃描預通知
在開始進行漏洞掃描前，漏洞掃描產品應向目標主機發送警告信息，通知該主機即將對其進行掃描測試。
2)對目標系統所在網絡性能的影響
掃描應不影響網絡的正常工作，但可允許網絡性能的少量降低。
3)對目標系統的影響
掃描應盡量避免影響目標系統的正常工作。