计算机病毒防治产品评级准则

中华人民共和国公共安全行业标准计算机病毒防治产品评级准则GA243---2000Evaluationcriteriaforanti-virusproductsofcomputersystem计算机病毒防治产品评级准则Evaluationcriteriaforanti-virusproductsofcomputersystem前言为了保证和提高在我国销售的计算机病毒防治产品的质量水平，有效地遏制计算机病毒对我国计算机信息系统的传染和破坏，编制本标准。本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：天津市公安局计算机管理监察处、天津市质量监察检验站第70站。本标准主要起草人：张健、王学海、刘杰、张双桥、黄小苏。1范围本标准规定了计算机病毒防治产品的定义、参检要求、检测及评级方法。本标准使用于计算机病毒防治产品的检测和评级。2引用标准下列标准所包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。GA135-1996DOS操作系统环境中计算机病毒防治产品测试方法3定义本标准采用下列定义。3.1计算机病毒（简称病毒）computervirus是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用，并能自我复制的一组计算机指令或者程序代码。3.2变形病毒polymorphicvirus这种病毒在传染时变换自身的代码，使得每感染一个病毒宿主，被感染的病毒宿主上的病毒代码各不相同。3.3检测病毒detectingvirus对于确定的测试环境，能够准确地报出病毒名称；该环境包括：内存、文件、扇区（引导区、主引导区）、网络等。3.4病毒检测率rateofdetectingvirus指对于一组确定的病毒样本文件所能检测到含有病毒的文件比例。3.5清除病毒cleaningvirus根据不同类型的病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复，该恢复过程不能破坏未被病毒修改的内容。3.6病毒清除率rateofcleaningvirus指对于检验机构的病毒样本文件所能清除其中含有病毒的文件比例。GA243---200023.7误报falsealarm指病毒防治产品将正常系统或文件报为含有病毒，或将正常操作报为病毒行为。3.8误报率rateoffalsealarm指病毒防治产品将正常系统或文件报为含有病毒，或将正常操作报为病毒行为的比例。3.9病毒宿主virushost病毒能够感染的对象（如：文件、引导记录区等）。3.10文件型病毒filevirus以文件为宿主或利用对文件的操作而加载执行的病毒。3.11蠕虫worm这种程序可以通过网络等途径将自身的全部代码或部分代码复制、传播给其他的计算机系统，它在复制、传播时，不寄生于病毒宿主之中。3.12黑客程序hackerprogram这种程序可以通过网络等途径进行传播，一旦该种程序被运行，运行该程序的计算机系统可以被其他计算机系统，在未经授权的情况下通过网络对其系统和资源进行控制。3.13病毒样本基本库basedsetofvirussample检验机构在国内所收集病毒、蠕虫和黑客程序的集合。3.14流行病毒样本库setofprevalentvirussample在检验间隔期内，由两个以上不同地区的用户或反病毒厂商提供的在国内出现过的病毒、蠕虫和黑客程序，并由检验机构认证后的病毒集合。3.15特殊格式病毒样本库setofspecialformatvirussample将病毒样本根据一定算法，对其进行处理后所生成的新的病毒样本，并且该新样本还可以根据一定算法还原为原始病毒样本集合。如压缩后的病毒样本和使用某种编码转换后的病毒样本。3.16变形病毒样本polymorphicvirussample变形病毒要传染10个病毒宿主（不足10个变形体，以实际数量为准），然后将这些病毒样本组成该变形病毒的检验样本。3.17病毒样本库setofvirussample病毒样本库是指由病毒样本基本库、流行病毒样本库和特殊格式病毒样本库合并组成的病毒样本库。3.18防病毒能力capabilityofprotectingvirus病毒防治产品预防病毒侵入或破坏计算机信息系统的能力。3.19应急恢复incidentrecovery当用户计算机系统因病毒感染或其它原因导致系统故障时，能够进行系统信息的恢复，使用户系统能够正常使用。4参检要求受检企业及其产品必须配合检测工作。4.1检验周期检验机构对病毒防治产品必须至少每年检验一次，同时，可以根据病毒的发展情况对病毒防治产品进行专项检验。4.2受检企业4.2.1受检企业必须提供其产品升级用的病毒样本，否则不予检验。提供的病毒样本必须是具有传染性的活病毒。4.2.2受检企业必须提供制作病毒样本的病毒宿主，并提供包括病毒传染条件、发作条GA243---20003件、发作现象和病毒其它特性的分析报告。4.2.3受检企业必须提供其技术人员的组成和状况。4.3受检产品受检产品必须符合以下条件：4.3.1附有中文使用说明书。4.3.2其产品必须能够生成检验项目（包括预防、检测、清除病毒）的结果报告文件，硬件病毒防治产品除外。5测试指标5.1测试指标5.1.1防病毒能力病毒防治产品的防病毒能力应达到：a)病毒样本库中的病毒样本从以下途径进入计算机系统时发出警报：-----存储介质；-----网络；-----电子邮件；b)设定满足病毒传染、发作的条件，然后激活病毒，病毒防治产品能够阻止病毒的传播、破坏。c)对病毒入侵情况记录到报告文件。d)网络产品在发现病毒时应通知网络管理员或用户。5.1.2病毒检测分级指标5.1.2.1合格产品检测病毒率应达到：-----对病毒样本基本库至少能检测其中的85%；-----对流行病毒样本库至少能检测其中的90%；-----对特殊格式病毒样本库至少能检测其中的80%；5.1.2.2二级产品检测病毒率应达到：-----对病毒样本基本库至少能检测其中的90%；-----对流行病毒样本库至少能检测其中的95%；-----对特殊格式病毒样本库至少能检测其中的85%；5.1.2.3一级产品检测病毒率应达到：-----对病毒样本基本库至少能检测其中的95%；-----对流行病毒样本库至少能检测其中的98%；-----对特殊格式病毒样本库至少能检测其中的95%；5.1.3病毒清除指标5.1.3.1能够恢复病毒宿主功能的，一定要恢复病毒宿主的功能，且使病毒丧失其原有功能；5.1.3.2不能恢复病毒宿主功能的，若可以重新生成病毒宿主，则重新生成病毒宿主，否则提示删除带毒宿主。5.1.3.4清除病毒时，具有备份染毒宿主的功能；5.1.4病毒清除分级指标5.1.4.1合格产品病毒清除率应达到以下指标：-----对病毒样本基本库至少能清除其中的80%；-----对流行病毒样本库至少能清除其中的85%。GA243---200045.1.4.2二级产品病毒清除率应达到以下指标：-----对病毒样本基本库至少能清除其中的85%；-----对流行病毒样本库至少能清除其中的90。5.1.4.3一级产品病毒清除率应达到以下指标：-----对病毒样本基本库至少能清除其中的90%；-----对流行病毒样本库至少能清除其中的95%。5.1.5误报率对检验机构指定文件组成的误报检验样本库的误报率不能高于0.1%。5.1.6应急恢复应急恢复应达到：-----正确备份、恢复主引导记录。-----正确备份、恢复引导扇区。5.1.7智能升级病毒防治产品在通过互联网或者存储介质进行版本升级时，只需要下载或者拷贝升级文件的修改或增加部分，以提高用户升级的效率。5.2测试方法测试方法按GA135的规定。6检验报告检验报告分为检测、清除病毒误报检验表和产品检验结果和分数表。6.1检测、消除病毒误报检验表见表1。表1检测、清除病毒误报检验表6.2产品检验结果和分数表见表２。用定义的病毒样本库按照表２中所列功能进行检验评分。表2产品测试结果和分数表检验用样本库样本总数检测率清除率误报率病毒样本基本库∕流行病毒样本库∕特殊格式病毒样本库∕∕误报检验样本库∕∕7产品评级根据病毒防治产品检验后的获得的总分数确定相应级别，具体划分指标如下。71-80分合格81-90分二级90分以上一级对只具有部分功能的病毒防治产品，其功能若能够达到相应性能指标，则判定为合格品，否则为不合格产品，不再进一步对其评级。计算机病毒防治产品评级表见表3表3计算机病毒防治产品评级表GA243---20005检验项目检验结果单机产品分数网络产品分数备注防病毒(30分)病毒样本库进入计算机系统是否报警来自存储介质66来自网络66来自电子邮件66设定满足病毒传染、发作条件，然后激活病毒，能否阻止病毒传染、破坏76能否即时清除病毒54发现病毒时能否通知网络管理员或用户2检测病毒(30分)基准病毒库检测率达到一级品1313二级品88合格品33流行病毒库检测率达到一级品1313二级品88合格品33特殊格式病毒库检测率达到一级品44二级品22合格品11清除病毒(30分)基准病毒库清除率达到一级品1414二级品99合格品44流行病毒库清除率达到一级品1414二级品99GA243---20006合格品44是否具有备份功能22误报(4分)误报率是否小于等于0.1%44应急恢复(4分)能否备份、恢复引导扇区22能否备份、恢复主引导记录22版本智能升级(2分）能否支持版本智能升级22总分注：符合表中所列检验功能指标的获得所列分数，否则不得分。病毒检测／清除率项目的得分根据分级指标确定。表3计算机病毒防治产品评级表产品名称生产厂家版本信息送检日期总分数产品级别