計(jì)算機(jī)病毒防治產(chǎn)品評(píng)級(jí)準(zhǔn)則

1、GA 2432000PAGE PAGE 6中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn) 計(jì) 算 機(jī) 病 毒 防 治 產(chǎn) 品 評(píng) 級(jí) 準(zhǔn) 則 GA 2432000Evaluation criteria for anti-virus products of computer system計(jì)算機(jī)病毒防治產(chǎn)品評(píng)級(jí)準(zhǔn)則Evaluation criteria for anti-virus products of computer system前 言為了保證和提高在我國(guó)銷售的計(jì)算機(jī)病毒防治產(chǎn)品的質(zhì)量水平，有效地遏制計(jì)算機(jī)病毒對(duì)我國(guó)計(jì)算機(jī)信息系統(tǒng)的傳染和破壞，編制本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局提出。 本標(biāo)準(zhǔn)由

2、公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。 本標(biāo)準(zhǔn)起草單位：天津市公安局計(jì)算機(jī)管理監(jiān)察處、天津市質(zhì)量監(jiān)察檢驗(yàn)站第70站。 本標(biāo)準(zhǔn)主要起草人：張健、王學(xué)海、劉杰、張雙橋、黃小蘇。1 范圍本標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)病毒防治產(chǎn)品的定義、參檢要求、檢測(cè)及評(píng)級(jí)方法。 本標(biāo)準(zhǔn)使用于計(jì)算機(jī)病毒防治產(chǎn)品的檢測(cè)和評(píng)級(jí)。2 引用標(biāo)準(zhǔn)下列標(biāo)準(zhǔn)所包含的條文，通過在本標(biāo)準(zhǔn)中引用而構(gòu)成為本標(biāo)準(zhǔn)的條文。本標(biāo)準(zhǔn)出版時(shí)，所示版本均為有效。所有標(biāo)準(zhǔn)都會(huì)被修訂，使用本標(biāo)準(zhǔn)的各方應(yīng)探討使用下列標(biāo)準(zhǔn)最新版本的可能性。 GA 135-1996 DOS 操作系統(tǒng)環(huán)境中計(jì)算機(jī)病毒防治產(chǎn)品測(cè)試方法3 定義本標(biāo)準(zhǔn)采用下列定義。3.1計(jì)算機(jī)病毒（簡(jiǎn)稱病毒）

3、computer virus 是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。3.2變形病毒polymorphic virus 這種病毒在傳染時(shí)變換自身的代碼，使得每感染一個(gè)病毒宿主，被感染的病毒宿主上的病毒代碼各不相同。3.3檢測(cè)病毒detecting virus 對(duì)于確定的測(cè)試環(huán)境，能夠準(zhǔn)確地報(bào)出病毒名稱；該環(huán)境包括：內(nèi)存、文件、扇區(qū)（引導(dǎo)區(qū)、主引導(dǎo)區(qū)）、網(wǎng)絡(luò)等。3.4病毒檢測(cè)率rate of detecting virus 指對(duì)于一組確定的病毒樣本文件所能檢測(cè)到含有病毒的文件比例。3.5清除病毒cleaning viru

4、s 根據(jù)不同類型的病毒對(duì)感染對(duì)象的修改，并按照病毒的感染特性所進(jìn)行的恢復(fù)，該恢復(fù)過程不能破壞未被病毒修改的內(nèi)容。3.6病毒清除率rate of cleaning virus 指對(duì)于檢驗(yàn)機(jī)構(gòu)的病毒樣本文件所能清除其中含有病毒的文件比例。3.7誤報(bào)false alarm 指病毒防治產(chǎn)品將正常系統(tǒng)或文件報(bào)為含有病毒，或?qū)⒄２僮鲌?bào)為病毒行為。3.8誤報(bào)率rate of false alarm 指病毒防治產(chǎn)品將正常系統(tǒng)或文件報(bào)為含有病毒，或?qū)⒄２僮鲌?bào)為病毒行為的比例。3.9病毒宿主virus host 病毒能夠感染的對(duì)象（如：文件、引導(dǎo)記錄區(qū)等）。3.10文件型病毒file virus 以文件為宿主

5、或利用對(duì)文件的操作而加載執(zhí)行的病毒。3.11蠕蟲worm 這種程序可以通過網(wǎng)絡(luò)等途徑將自身的全部代碼或部分代碼復(fù)制、傳播給其他的計(jì)算機(jī)系統(tǒng)，它在復(fù)制、傳播時(shí)，不寄生于病毒宿主之中。3.12黑客程序 hacker program 這種程序可以通過網(wǎng)絡(luò)等途徑進(jìn)行傳播，一旦該種程序被運(yùn)行，運(yùn)行該程序的計(jì)算機(jī)系統(tǒng)可以被其他計(jì)算機(jī)系統(tǒng)，在未經(jīng)授權(quán)的情況下通過網(wǎng)絡(luò)對(duì)其系統(tǒng)和資源進(jìn)行控制。3.13病毒樣本基本庫based set of virus sample 檢驗(yàn)機(jī)構(gòu)在國(guó)內(nèi)所收集病毒、蠕蟲和黑客程序的集合。3.14流行病毒樣本庫set of prevalent virus sample 在檢驗(yàn)間隔期內(nèi)，由

6、兩個(gè)以上不同地區(qū)的用戶或反病毒廠商提供的在國(guó)內(nèi)出現(xiàn)過的病毒、蠕蟲和黑客程序，并由檢驗(yàn)機(jī)構(gòu)認(rèn)證后的病毒集合。3.15 特殊格式病毒樣本庫set of special format virus sample 將病毒樣本根據(jù)一定算法，對(duì)其進(jìn)行處理后所生成的新的病毒樣本，并且該新樣本還可以根據(jù)一定算法還原為原始病毒樣本集合。如壓縮后的病毒樣本和使用某種編碼轉(zhuǎn)換后的病毒樣本。3.16 變形病毒樣本 polymorphic virus sample 變形病毒要傳染10個(gè)病毒宿主（不足10個(gè)變形體，以實(shí)際數(shù)量為準(zhǔn)），然后將這些病毒樣本組成該變形病毒的檢驗(yàn)樣本。3.17 病毒樣本庫set of virus s

7、ample 病毒樣本庫是指由病毒樣本基本庫、流行病毒樣本庫和特殊格式病毒樣本庫合并組成的病毒樣本庫。3.18 防病毒能力 capability of protecting virus 病毒防治產(chǎn)品預(yù)防病毒侵入或破壞計(jì)算機(jī)信息系統(tǒng)的能力。3.19 應(yīng)急恢復(fù)incident recovery 當(dāng)用戶計(jì)算機(jī)系統(tǒng)因病毒感染或其它原因?qū)е孪到y(tǒng)故障時(shí)，能夠進(jìn)行系統(tǒng)信息的恢復(fù)，使用戶系統(tǒng)能夠正常使用。4 參檢要求 受檢企業(yè)及其產(chǎn)品必須配合檢測(cè)工作。4.1檢驗(yàn)周期 檢驗(yàn)機(jī)構(gòu)對(duì)病毒防治產(chǎn)品必須至少每年檢驗(yàn)一次，同時(shí)，可以根據(jù)病毒的發(fā)展情況對(duì)病毒防治產(chǎn)品進(jìn)行專項(xiàng)檢驗(yàn)。4.2受檢企業(yè)受檢企業(yè)必須提供其產(chǎn)品升級(jí)用的病

8、毒樣本，否則不予檢驗(yàn)。提供的病毒樣本必須是具有傳染性的活病毒。受檢企業(yè)必須提供制作病毒樣本的病毒宿主，并提供包括病毒傳染條件、發(fā)作條件、發(fā)作現(xiàn)象和病毒其它特性的分析報(bào)告。 受檢企業(yè)必須提供其技術(shù)人員的組成和狀況。4.3受檢產(chǎn)品 受檢產(chǎn)品必須符合以下條件： 附有中文使用說明書。 其產(chǎn)品必須能夠生成檢驗(yàn)項(xiàng)目（包括預(yù)防、檢測(cè)、清除病毒）的結(jié)果報(bào)告文件，硬件病毒防治產(chǎn)品除外。5 測(cè)試指標(biāo)5.1 測(cè)試指標(biāo) 防病毒能力 病毒防治產(chǎn)品的防病毒能力應(yīng)達(dá)到：a) 病毒樣本庫中的病毒樣本從以下途徑進(jìn)入計(jì)算機(jī)系統(tǒng)時(shí)發(fā)出警報(bào)： 存儲(chǔ)介質(zhì)； 網(wǎng)絡(luò)； 電子郵件；b) 設(shè)定滿足病毒傳染、發(fā)作的條件，然后激活病毒，病毒防治產(chǎn)

9、品能夠阻止病毒的傳播、破壞。c) 對(duì)病毒入侵情況記錄到報(bào)告文件。d) 網(wǎng)絡(luò)產(chǎn)品在發(fā)現(xiàn)病毒時(shí)應(yīng)通知網(wǎng)絡(luò)管理員或用戶。 病毒檢測(cè)分級(jí)指標(biāo)合格產(chǎn)品檢測(cè)病毒率應(yīng)達(dá)到： 對(duì)病毒樣本基本庫至少能檢測(cè)其中的85%； 對(duì)流行病毒樣本庫至少能檢測(cè)其中的90%； 對(duì)特殊格式病毒樣本庫至少能檢測(cè)其中的80%；二級(jí)產(chǎn)品檢測(cè)病毒率應(yīng)達(dá)到： 對(duì)病毒樣本基本庫至少能檢測(cè)其中的90%； 對(duì)流行病毒樣本庫至少能檢測(cè)其中的95%； 對(duì)特殊格式病毒樣本庫至少能檢測(cè)其中的85%； 一級(jí)產(chǎn)品檢測(cè)病毒率應(yīng)達(dá)到： 對(duì)病毒樣本基本庫至少能檢測(cè)其中的95%； 對(duì)流行病毒樣本庫至少能檢測(cè)其中的98%； 對(duì)特殊格式病毒樣本庫至少能檢測(cè)其中的95%

10、； 病毒清除指標(biāo) 能夠恢復(fù)病毒宿主功能的，一定要恢復(fù)病毒宿主的功能，且使病毒喪失其原有功能； 不能恢復(fù)病毒宿主功能的，若可以重新生成病毒宿主，則重新生成病毒宿主，否則提示刪除帶毒宿主。清除病毒時(shí)，具有備份染毒宿主的功能；5.1.4 病毒清除分級(jí)指標(biāo) 合格產(chǎn)品病毒清除率應(yīng)達(dá)到以下指標(biāo)： 對(duì)病毒樣本基本庫至少能清除其中的80%； 對(duì)流行病毒樣本庫至少能清除其中的85%。 二級(jí)產(chǎn)品病毒清除率應(yīng)達(dá)到以下指標(biāo)： 對(duì)病毒樣本基本庫至少能清除其中的85%； 對(duì)流行病毒樣本庫至少能清除其中的90。 一級(jí)產(chǎn)品病毒清除率應(yīng)達(dá)到以下指標(biāo)： 對(duì)病毒樣本基本庫至少能清除其中的90%； 對(duì)流行病毒樣本庫至少能清除其中的9

11、5%。 誤報(bào)率 對(duì)檢驗(yàn)機(jī)構(gòu)指定文件組成的誤報(bào)檢驗(yàn)樣本庫的誤報(bào)率不能高于 0.1 %。 應(yīng)急恢復(fù) 應(yīng)急恢復(fù)應(yīng)達(dá)到： 正確備份、恢復(fù)主引導(dǎo)記錄。 正確備份、恢復(fù)引導(dǎo)扇區(qū)。5.1.7 智能升級(jí) 病毒防治產(chǎn)品在通過互聯(lián)網(wǎng)或者存儲(chǔ)介質(zhì)進(jìn)行版本升級(jí)時(shí)，只需要下載或者拷貝升級(jí)文件的修改或增加部分，以提高用戶升級(jí)的效率。 5.2 測(cè)試方法 測(cè)試方法按GA 135的規(guī)定。6 檢驗(yàn)報(bào)告 檢驗(yàn)報(bào)告分為檢測(cè)、清除病毒誤報(bào)檢驗(yàn)表和產(chǎn)品檢驗(yàn)結(jié)果和分?jǐn)?shù)表。 6.1檢測(cè)、消除病毒誤報(bào)檢驗(yàn)表見表1。 表1 檢測(cè)、清除病毒誤報(bào)檢驗(yàn)表6.2 產(chǎn)品檢驗(yàn)結(jié)果和分?jǐn)?shù)表見表。 用定義的病毒樣本庫按照表中所列功能進(jìn)行檢驗(yàn)評(píng)分。表2 產(chǎn)品測(cè)試

12、結(jié)果和分?jǐn)?shù)表檢驗(yàn)用樣本庫 樣本總數(shù) 檢測(cè)率 清除率 誤報(bào)率 病毒樣本基本庫 流行病毒樣本庫 特殊格式病毒樣本庫 誤報(bào)檢驗(yàn)樣本庫 7 產(chǎn)品評(píng)級(jí) 根據(jù)病毒防治產(chǎn)品檢驗(yàn)后的獲得的總分?jǐn)?shù)確定相應(yīng)級(jí)別，具體劃分指標(biāo)如下。 71-80分合格 81-90分二級(jí) 90分以上 一級(jí) 對(duì)只具有部分功能的病毒防治產(chǎn)品，其功能若能夠達(dá)到相應(yīng)性能指標(biāo)，則判定為合格品，否則為不合格產(chǎn)品，不再進(jìn)一步對(duì)其評(píng)級(jí)。 計(jì)算機(jī)病毒防治產(chǎn)品評(píng)級(jí)表見表3表3 計(jì)算機(jī)病毒防治產(chǎn)品評(píng)級(jí)表檢驗(yàn)項(xiàng)目檢驗(yàn)結(jié)果單機(jī)產(chǎn)品分?jǐn)?shù)網(wǎng)絡(luò)產(chǎn)品分?jǐn)?shù)備注防病毒(30分)病毒樣本庫進(jìn)入計(jì)算機(jī)系統(tǒng)是否報(bào)警來自存儲(chǔ)介質(zhì)66來自網(wǎng)絡(luò)66來自電子郵件66設(shè)定滿足病毒傳染、發(fā)作條件，然后激活病毒，能否阻止病毒傳染、破壞76能否即時(shí)清除病毒54發(fā)現(xiàn)病毒時(shí)能否通知網(wǎng)絡(luò)管理員或用戶2檢測(cè)病毒(30分)基準(zhǔn)病毒庫檢測(cè)率達(dá)到一級(jí)品1313二級(jí)品88合格品33流行病毒庫檢測(cè)率達(dá)到一級(jí)品1313二級(jí)品88合格品33特殊格式病毒庫檢測(cè)率達(dá)到一級(jí)品44二級(jí)品22合格品11清除病毒(30分)基準(zhǔn)病毒庫清除率達(dá)到一級(jí)品1414二級(jí)品99合格品44流行病毒庫清除率達(dá)到一級(jí)