發(fā)文機(jī)關(guān)公安部
發(fā)文日期2000年03月20日
時(shí)效性現(xiàn)行有效
施行日期2000年05月01日
效力級別部門規(guī)范性文件
計(jì)算機(jī)病毒防治產(chǎn)品評級準(zhǔn)則(Evaluationcriteriaforanti-virusproductsofcomputersystem)(中華人民共和國社會公共安全行業(yè)標(biāo)準(zhǔn)GA243-2000中華人民共和國公安部2000年3月20日發(fā)布2000年5月1日實(shí)施)
目次
前言
1 范圍 1
2 引用標(biāo)準(zhǔn) 1
3 定義 1
4 參檢要求 3
5 測試 3
6 檢驗(yàn)報(bào)告 4
7 產(chǎn)品評級
6
1 范圍
本標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)病毒防治產(chǎn)品的定義、參檢要求、檢測及評級方法。
本標(biāo)準(zhǔn)適用于計(jì)算機(jī)病毒防治產(chǎn)品的檢測和評級。
2 引用標(biāo)準(zhǔn)
下列標(biāo)準(zhǔn)所包含的條文,通過在本標(biāo)準(zhǔn)中引用而構(gòu)成為本標(biāo)準(zhǔn)的條文。本標(biāo)準(zhǔn)出版時(shí),所示版本均為有效。所有標(biāo)準(zhǔn)都會被修訂,使用本標(biāo)準(zhǔn)的各方應(yīng)探討使用下列標(biāo)準(zhǔn)最新版本的可能性。
GA 135-1996 DOS操作系統(tǒng)環(huán)境中計(jì)算機(jī)病毒防治產(chǎn)品測試方法
3 定義
本標(biāo)準(zhǔn)采用下列定義:
3.1 計(jì)算機(jī)病毒(簡稱病毒) computer virus
是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)影響計(jì)算機(jī)使用,并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。
3.2變形病毒 polymorphic virus
GA 243-2000
前言
為了保證和提高在我國銷售的計(jì)算機(jī)病毒防治產(chǎn)品的質(zhì)量水平,有效地遏制計(jì)算機(jī)病毒對我國計(jì)算機(jī)信息系統(tǒng)的傳染和破壞,編制本標(biāo)準(zhǔn)。
本標(biāo)準(zhǔn)由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局提出。
本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會歸口。
本標(biāo)準(zhǔn)起草單位:天津市公安局計(jì)算機(jī)管理監(jiān)察處、天津市質(zhì)量監(jiān)督檢驗(yàn)站第70站。
本標(biāo)準(zhǔn)主要起草人:張健、王學(xué)海、劉杰、張雙橋、黃小蘇。
這種病毒在傳染時(shí)變換自身的代碼,使得每感染一個(gè)病毒宿主,被感染的病毒宿主上的病毒代碼各不相同。
3.3檢測病毒 detecting virus
對于確定的測試環(huán)境,能夠準(zhǔn)確地報(bào)出病毒名稱;該環(huán)境包括:內(nèi)存、文件、扇區(qū)(引導(dǎo)區(qū)、主引導(dǎo)區(qū))、網(wǎng)絡(luò)等。
3.4病毒檢測率rate of detecting virus
指對于一組確定的病毒樣本文件所能檢測到含有病毒的文件比例。
3.5清除病毒cleaning virus
根據(jù)不同類型的病毒對感染對象的修改,并按照病毒的感染特性所進(jìn)行的恢復(fù),該恢復(fù)過程不能破壞未被病毒修改的內(nèi)容。
3.6病毒清除率 rate of cleaning virus
指對于檢驗(yàn)機(jī)構(gòu)的病毒樣本文件所能清除其中含有病毒的文件比例。
3.7誤報(bào) false alarm
指病毒防治產(chǎn)品將正常系統(tǒng)或文件報(bào)為含有病毒,或?qū)⒄2僮鲌?bào)為病毒行為。
3.8誤報(bào)率 rate of false alarm
指病毒防治產(chǎn)品將正常系統(tǒng)或文件報(bào)為含有病毒,或?qū)⒄2僮鲌?bào)為病毒行為的比例。
3.9病毒宿主 virus host
病毒能夠感染的對象(如:文件、引導(dǎo)記錄區(qū)等)。
3.10文件型病毒 file virus
以文件為宿主或利用對文件的操作而加載執(zhí)行的病毒。
3.11蠕蟲 worm
這種程序可以通過網(wǎng)絡(luò)等途徑將自身的全部代碼或部分代碼復(fù)制、傳播給其它的計(jì)算機(jī)系統(tǒng),它在復(fù)制、傳播時(shí),不寄生于病毒宿主之中。
3.12黑客程序 hacker program
這種程序可以通過網(wǎng)絡(luò)等途徑進(jìn)行傳播,一旦該種程序被運(yùn)行,運(yùn)行該程序的計(jì)算機(jī)系統(tǒng)可以被其它計(jì)算機(jī)系統(tǒng),在未經(jīng)授權(quán)的情況下通過網(wǎng)絡(luò)對其系統(tǒng)和資源進(jìn)行控制。
3.13 病毒樣本基本庫 based set of virus sample
檢驗(yàn)機(jī)構(gòu)在國內(nèi)所收集病毒、蠕蟲和黑客程序的集合。
3.14 流行病毒樣本庫 set of prevalent virus sample
在檢驗(yàn)間隔期內(nèi),由兩個(gè)以上不同地區(qū)的用戶或反病毒廠商提供的在國內(nèi)出現(xiàn)過的病毒、蠕蟲和黑客程序,并由檢驗(yàn)機(jī)構(gòu)認(rèn)證后的病毒集合。
3.15 特殊格式病毒樣本庫 set of special format virus sample
將病毒樣本根據(jù)一定算法,對其進(jìn)行處理后所生成的新的病毒樣本,并且該新樣本還可以根據(jù)一定算法還原為原始病毒樣本集合。如壓縮后的病毒樣本和使用某種編碼轉(zhuǎn)換后的病毒樣本。
3.16變形病毒樣本 polymorphic virus sample
變形病毒要傳染10個(gè)病毒宿主(不足10個(gè)變形體,以實(shí)際數(shù)量為準(zhǔn)),然后將這些病毒樣本組成該變形病毒的檢驗(yàn)樣本。
3.17 病毒樣本庫 set of virus Sample
病毒樣本庫是指由病毒樣本基本庫、流行病毒樣本庫和特殊格式病毒樣本庫合并組成的病毒樣本庫。
3.18防病毒能力capability of protecting virus
病毒防治產(chǎn)品預(yù)防病毒侵入或破壞計(jì)算機(jī)信息系統(tǒng)的能力。
3.19應(yīng)急恢復(fù)incident recovery
當(dāng)用戶計(jì)算機(jī)系統(tǒng)因病毒感染或其它原因?qū)е孪到y(tǒng)故障時(shí),能夠進(jìn)行系統(tǒng)信息的恢復(fù),使用戶系統(tǒng)能夠正常使用。
4 參檢要求
受檢企業(yè)及其產(chǎn)品必需配合檢測工作。
4.1檢驗(yàn)周期
檢驗(yàn)機(jī)構(gòu)對病毒防治產(chǎn)品必須至少每年檢驗(yàn)一次,同時(shí),可以根據(jù)病毒的發(fā)展情況對病毒防治產(chǎn)品進(jìn)行專項(xiàng)檢驗(yàn)。
4.2受檢企業(yè)
4.2.1 受檢企業(yè)必須提供其產(chǎn)品升級用的病毒樣本,否則不予檢驗(yàn)。提供的病毒樣本必須是具有傳染性的活病毒。
4.2.2 受檢企業(yè)必須提供制作病毒樣本的病毒宿主,并提供包括病毒傳染條件、發(fā)作條件、發(fā)作現(xiàn)象和病毒其它特性的分析報(bào)告。
4.2.3 受檢企業(yè)必須提供其技術(shù)人員的組成和狀況。
4.3受檢產(chǎn)品
受檢產(chǎn)品必須符合以下條件:
4.3.1 附有中文使用說明書。
4.3.2 其產(chǎn)品必須能夠生成檢驗(yàn)項(xiàng)目(包括預(yù)防、檢測、清除病毒)的結(jié)果報(bào)告文件,硬件病毒防治產(chǎn)品除外。
5 測試指標(biāo)
5.1測試指標(biāo)
5.1.1 防病毒能力
病毒防治產(chǎn)品的防病毒能力應(yīng)達(dá)到:
5.1.1.1 病毒樣本庫中的病毒樣本從以下途徑進(jìn)入計(jì)算機(jī)系統(tǒng)時(shí)發(fā)出警報(bào);
a) 存儲介質(zhì);
b) 網(wǎng)絡(luò);
c) 電子郵件;
5.1.1.2 設(shè)定滿足病毒傳染、發(fā)作的條件,然后激活病毒,病毒防治產(chǎn)品能夠阻止
病毒的傳播、破壞;
5.1.1.3 對病毒入侵情況記錄到報(bào)告文件;
5.1.1.4 網(wǎng)絡(luò)產(chǎn)品在發(fā)現(xiàn)病毒時(shí)應(yīng)通知網(wǎng)絡(luò)管理員或用戶;
5.1.2 病毒檢測分級指標(biāo)
5.1.2.1 合格產(chǎn)品檢測病毒率應(yīng)達(dá)到:
對病毒樣本基本庫至少能檢測其中的85% ;
對流行病毒樣本庫至少能檢測其中的90%;
對特殊格式病毒樣本庫至少能檢測其中的80%;
5.1.2.2 二級產(chǎn)品檢測病毒率應(yīng)達(dá)到:
對病毒樣本基本庫至少能檢測其中的90% ;
對流行病毒樣本庫至少能檢測其中的95%;
對特殊格式病毒樣本庫至少能檢測其中的85%;
5.1.2.3 一級產(chǎn)品檢測病毒率應(yīng)達(dá)到:
對病毒樣本基本庫至少能檢測其中的95% ;
對流行病毒樣本庫至少能檢測其中的98%;
對特殊格式病毒樣本庫至少能檢測其中的95%;
5.1.3 病毒清除指標(biāo)
5.1.3.1 能夠恢復(fù)病毒宿主功能的,一定要恢復(fù)病毒宿主的功能,且使病毒喪失其原有功能;
5.1.3.2 不能恢復(fù)病毒宿主功能的,若可以重新生成病毒宿主,則重新生成病毒宿主,否則提示刪除帶毒宿主。
5.1.3.3 清除病毒時(shí),具有備份染毒宿主的功能;
5.1.4 病毒清除分級指標(biāo)
5.1.4.1 合格產(chǎn)品病毒清除率應(yīng)達(dá)到以下指標(biāo):
對病毒樣本基本庫至少能清除其中的80% ;
對流行病毒樣本庫至少能清除其中的85%
5.1.4.2 二級產(chǎn)品病毒清除率應(yīng)達(dá)到以下指標(biāo):
對病毒樣本基本庫至少能清除其中的85% ;
對流行病毒樣本庫至少能清除其中的90%;
5.1.4.3 一級產(chǎn)品病毒清除率應(yīng)達(dá)到以下指標(biāo):
對病毒樣本基本庫至少能清除其中的90% ;
對流行病毒樣本庫至少能清除其中的95%
5.1.5 誤報(bào)率
對檢驗(yàn)機(jī)構(gòu)指定文件組成的誤報(bào)檢驗(yàn)樣本庫的誤報(bào)率不能高于 0.1 %;
5.1.6 應(yīng)急恢復(fù)
應(yīng)急恢復(fù)應(yīng)達(dá)到:
5.1.6.1 正確備份、恢復(fù)主引導(dǎo)記錄。
5.1.6.2 正確備份、恢復(fù)引導(dǎo)扇區(qū)。
5.1.7 智能升級
病毒防治產(chǎn)品在通過互聯(lián)網(wǎng)或者存儲介質(zhì)進(jìn)行版本升級時(shí),只需要下載或者拷貝升級文件的修改或增加部分,以提高用戶升級的效率。
5.2測試方法
測試方法按GA135的規(guī)定。
6 檢驗(yàn)報(bào)告
檢驗(yàn)報(bào)告分為檢測、清除病毒誤報(bào)檢驗(yàn)表和產(chǎn)品檢驗(yàn)結(jié)果和分?jǐn)?shù)表
6.1檢測、清除病毒誤報(bào)檢驗(yàn)表。
6.2 產(chǎn)品檢驗(yàn)結(jié)果和分?jǐn)?shù)表。