中华人民共和国社会公共安全行业标准
GA 243-2000
计算机病毒防治产品评级准则
2000-03-20 发布 2000-05-01 实施
中华人民共和国公安部 发 布
GA 243-2000
目 次
前 言
1范围
2引用标准
3定义
4参检要求
5测试
6检验报告
7产品评级
1 范围
本标准规定了计算机病毒防治产品的定义、参检要求、检测及评级方法。
本标准适用于计算机病毒防治产品的检测和评级。
2 引用标准
下列标准所包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
GA 135-1996 DOS操作系统环境中计算机病毒防治产品测试方法
3 定义
本标准采用下列定义:
3.1 计算机病毒(简称病毒) computer virus
是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
3.2 变形病毒 polymorphic virus
GA 243-2000
前 言
为了保证和提高在我国销售的计算机病毒防治产品的质量水平,有效地遏制计算机病毒对我国计算机信息系统的传染和破坏,编制本标准。
本标准由公安部公共信息网络安全监察局提出。
本标准由公安部信息系统安全标准化技术委员会归口。
本标准起草单位:天津市公安局计算机管理监察处、天津市质量监督检验站第70站。
本标准主要起草人:张健、王学海、刘杰、张双桥、黄小苏。
这种病毒在传染时变换自身的代码,使得每感染一个病毒宿主,被感染的病毒宿主上的病毒代码各不相同。
3.3 检测病毒 detecting virus
对于确定的测试环境,能够准确地报出病毒名称;该环境包括:内存、文件、扇区(引导区、主引导区)、网络等。
3.4 病毒检测率 rate of detecting virus
指对于一组确定的病毒样本文件所能检测到含有病毒的文件比例。
3.5 清除病毒 cleaning virus
根据不同类型的病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复,该恢复过程不能破坏未被病毒修改的内容。
3.6 病毒清除率 rate of cleaning virus
指对于检验机构的病毒样本文件所能清除其中含有病毒的文件比例。
3.7 误报 false alarm
指病毒防治产品将正常系统或文件报为含有病毒,或将正常操作报为病毒行为。
3.8 误报率 rate of false alarm
指病毒防治产品将正常系统或文件报为含有病毒,或将正常操作报为病毒行为的比例。
3.9 病毒宿主 virus host
病毒能够感染的对象(如:文件、引导记录区等)。
3.10 文件型病毒 file virus
以文件为宿主或利用对文件的操作而加载执行的病毒。
3.11 蠕虫 worm
这种程序可以通过网络等途径将自身的全部代码或部分代码复制、传播给其它的计算机系统,它在复制、传播时,不寄生于病毒宿主之中。
3.12 黑客程序 hacker program
这种程序可以通过网络等途径进行传播,一旦该种程序被运行,运行该程序的计算机系统可以被其它计算机系统,在未经授权的情况下通过网络对其系统和资源进行控制。
3.13 病毒样本基本库 based set of virus sample
检验机构在国内所收集病毒、蠕虫和黑客程序的集合。
3.14 流行病毒样本库 set of prevalent virus sample
在检验间隔期内,由两个以上不同地区的用户或反病毒厂商提供的在国内出现过的病毒、蠕虫和黑客程序,并由检验机构认证后的病毒集合。
3.15 特殊格式病毒样本库 set of special format virus sample
将病毒样本根据一定算法,对其进行处理后所生成的新的病毒样本,并且该新样本还可以根据一定算法还原为原始病毒样本集合。如压缩后的病毒样本和使用某种编码转换后的病毒样本。
3.16 变形病毒样本 polymorphic virus sample
变形病毒要传染10个病毒宿主(不足10个变形体,以实际数量为准),然后将这些病毒样本组成该变形病毒的检验样本。
3.17 病毒样本库 set of virus Sample
病毒样本库是指由病毒样本基本库、流行病毒样本库和特殊格式病毒样本库合并组成的病毒样本库。
3.18 防病毒能力 capability of protecting virus
病毒防治产品预防病毒侵入或破坏计算机信息系统的能力。
3.19 应急恢复 incident recovery
当用户计算机系统因病毒感染或其它原因导致系统故障时,能够进行系统信息的恢复,使用户系统能够正常使用。
4 参检要求
受检企业及其产品必需配合检测工作。
4.1 检验周期
检验机构对病毒防治产品必须至少每年检验一次,同时,可以根据病毒的发展情况对病毒防治产品进行专项检验。
4.2 受检企业
4.2.1 受检企业必须提供其产品升级用的病毒样本,否则不予检验。提供的病毒样本必须是具有传染性的活病毒。
4.2.2 受检企业必须提供制作病毒样本的病毒宿主,并提供包括病毒传染条件、发作条件、发作现象和病毒其它特性的分析报告。
4.2.3 受检企业必须提供其技术人员的组成和状况。
4.3 受检产品
受检产品必须符合以下条件:
4.3.1 附有中文使用说明书。
4.3.2 其产品必须能够生成检验项目(包括预防、检测、清除病毒)的结果报告文件,硬件病毒防治产品除外。
5 测试指标
5.1 测试指标
5.1.1 防病毒能力
病毒防治产品的防病毒能力应达到:
5.1.1.1 病毒样本库中的病毒样本从以下途径进入计算机系统时发出警报;
a) 存储介质;
b) 网络;
c) 电子邮件;
5.1.1.2 设定满足病毒传染、发作的条件,然后激活病毒,病毒防治产品能够阻止
病毒的传播、破坏;
5.1.1.3 对病毒入侵情况记录到报告文件;
5.1.1.4 网络产品在发现病毒时应通知网络管理员或用户;
5.1.2 病毒检测分级指标
5.1.2.1 合格产品检测病毒率应达到:
对病毒样本基本库至少能检测其中的85% ;
对流行病毒样本库至少能检测其中的90%;
对特殊格式病毒样本库至少能检测其中的80%;
5.1.2.2 二级产品检测病毒率应达到:
对病毒样本基本库至少能检测其中的90% ;
对流行病毒样本库至少能检测其中的95%;
对特殊格式病毒样本库至少能检测其中的85%;
5.1.2.3 一级产品检测病毒率应达到:
对病毒样本基本库至少能检测其中的95% ;
对流行病毒样本库至少能检测其中的98%;
对特殊格式病毒样本库至少能检测其中的95%;
5.1.3 病毒清除指标
5.1.3.1 能够恢复病毒宿主功能的,一定要恢复病毒宿主的功能,且使病毒丧失其原有功能;
5.1.3.2 不能恢复病毒宿主功能的,若可以重新生成病毒宿主,则重新生成病毒宿主,否则提示删除带毒宿主。
5.1.3.3 清除病毒时,具有备份染毒宿主的功能;
5.1.4 病毒清除分级指标
5.1.4.1 合格产品病毒清除率应达到以下指标:
对病毒样本基本库至少能清除其中的80% ;
对流行病毒样本库至少能清除其中的85%
5.1.4.2 二级产品病毒清除率应达到以下指标:
对病毒样本基本库至少能清除其中的85% ;
对流行病毒样本库至少能清除其中的90%;
5.1.4.3 一级产品病毒清除率应达到以下指标:
对病毒样本基本库至少能清除其中的90 % ;
对流行病毒样本库至少能清除其中的95%
5.1.5 误报率
对检验机构指定文件组成的误报检验样本库的误报率不能高于 0.1 %;
5.1.6 应急恢复
应急恢复应达到:
5.1.6.1 正确备份、恢复主引导记录。
5.1.6.2 正确备份、恢复引导扇区。
5.1.7 智能升级
病毒防治产品在通过互联网或者存储介质进行版本升级时,只需要下载或者拷贝升级文件的修改或增加部分,以提高用户升级的效率。
5.2 测试方法
测试方法按GA135的规定。
6 检验报告
检验报告分为检测、清除病毒误报检验表和产品检验结果和分数表
6.1 检测、清除病毒误报检验表,见表1。
表1 检测、清除病毒误报检验表
检验用样本库样本总数
检测率
清除率
误报率
病毒样本基本库∕流行病毒样本库∕特殊格式病毒样本库 ∕ 误报检验样本库
6.2 产品检验结果和分数表,见表2.
用定义的病毒样本库按照表2中所列功能进行检验评分。