計算機病毒防治產品評級準則

前言

1範圍

2引用標準

3定義

4參檢要求

5測試

6檢驗報告

7產品評級

為了保證和提高在我國銷售的計算機病毒防治產品的質量水平，有效地遏制計算機病毒對我國計算機信息系統的傳染和破壞，編制本標準。

本標準由公安部公共信息網路安全監察局提出。

本標準由公安部信息系統安全標準化技術委員會歸口。

本標準起草單位：天津市公安局計算機管理監察處、天津市質量監督檢驗站第70站。

本標準主要起草人：張健、王學海、劉傑、張雙橋、黃小蘇。

本標準規定了計算機病毒防治產品的定義、參檢要求、檢測及評級方法。

本標準適用於計算機病毒防治產品的檢測和評級。

下列標準所包含的條文，通過在本標準中引用而構成為本標準的條文。本標準出版時，所示版本均為有效。所有標準都會被修訂，使用本標準的各方應探討使用下列標準最新版本的可能性。

GA 135-1996 DOS作業系統環境中計算機病毒防治產品測試方法

本標準採用下列定義：

3.1　計算機病毒（簡稱病毒）　computer virus

是指編制或者在電腦程式中插入的破壞計算機功能或者毀壞數據影響計算機使用，並能自我複製的一組計算機指令或者程式代碼。

3.2 變形病毒 　polymorphic virus

這種病毒在傳染時變換自身的代碼,使得每感染一個病毒宿主，被感染的病毒宿主上的病毒代碼各不相同。

3.3　檢測病毒 　detecting virus

對於確定的測試環境，能夠準確地報出病毒名稱；該環境包括：記憶體、檔案、扇區(引導區、主引導區)、網路等。

3.4 病毒檢測率　rate of detecting virus

指對於一組確定的病毒樣本檔案所能檢測到含有病毒的檔案比例。

3.5 清除病毒　cleaning virus

根據不同類型的病毒對感染對象的修改，並按照病毒的感染特性所進行的恢復，該恢復過程不能破壞未被病毒修改的內容。

3.6 病毒清除率 　rate of cleaning virus

指對於檢驗機構的病毒樣本檔案所能清除其中含有病毒的檔案比例。

3.7　誤報 　false alarm

指病毒防治產品將正常系統或檔案報為含有病毒，或將正常操作報為病毒行為。

3.8　誤報率 　rate of false alarm

指病毒防治產品將正常系統或檔案報為含有病毒，或將正常操作報為病毒行為的比例。

3.9　病毒宿主 virus host

病毒能夠感染的對象（如：檔案、引導記錄區等）。

3.10　檔案型病毒 　file virus

以檔案為宿主或利用對檔案的操作而載入執行的病毒。

3.11　蠕蟲 　worm

這種程式可以通過網路等途徑將自身的全部代碼或部分代碼複製、傳播給其它的計算機系統，它在複製、傳播時，不寄生於病毒宿主之中。

3.12 黑客程式 　hacker program

這種程式可以通過網路等途徑進行傳播，一旦該種程式被運行，運行該程式的計算機系統可以被其它計算機系統，在未經授權的情況下通過網路對其系統和資源進行控制。

3.13 病毒樣本基本庫　based set of virus sample

檢驗機構在國內所收集病毒、蠕蟲和黑客程式的集合。

3.14 流行病毒樣本庫　set of prevalent virus sample

在檢驗間隔期內，由兩個以上不同地區的用戶或反病毒廠商提供的在國內出現過的病毒、蠕蟲和黑客程式，並由檢驗機構認證後的病毒集合。

3.15 特殊格式病毒樣本庫　set of special format virus sample

將病毒樣本根據一定算法，對其進行處理後所生成的新的病毒樣本，並且該新樣本還可以根據一定算法還原為原始病毒樣本集合。如壓縮後的病毒樣本和使用某種編碼轉換後的病毒樣本。

3.16　變形病毒樣本　polymorphic virus sample

變形病毒要傳染10個病毒宿主(不足10個變形體，以實際數量為準)，然後將這些病毒樣本組成該變形病毒的檢驗樣本。

3.17 病毒樣本庫 set of virus Sample

病毒樣本庫是指由病毒樣本基本庫、流行病毒樣本庫和特殊格式病毒樣本庫合併組成的病毒樣本庫。

3.18 防病毒能力　capability of protecting virus

病毒防治產品預防病毒侵入或破壞計算機信息系統的能力。

3.19 應急恢復　incident recovery

當用戶計算機系統因病毒感染或其它原因導致系統故障時，能夠進行系統信息的恢復，使用戶系統能夠正常使用。

受檢企業及其產品必需配合檢測工作。

4.1 檢驗周期

檢驗機構對病毒防治產品必須至少每年檢驗一次，同時，可以根據病毒的發展情況對病毒防治產品進行專項檢驗。

4.2 受檢企業

4.2.1 受檢企業必須提供其產品升級用的病毒樣本，否則不予檢驗。提供的病毒樣本必須是具有傳染性的活病毒。

4.2.2 受檢企業必須提供製作病毒樣本的病毒宿主，並提供包括病毒傳染條件、發作條件、發作現象和病毒其它特性的分析報告。

4.2.3 受檢企業必須提供其技術人員的組成和狀況。

4.3 受檢產品

受檢產品必須符合以下條件：

4.3.1 附有中文使用說明書。

4.3.2 其產品必須能夠生成檢驗項目（包括預防、檢測、清除病毒）的結果報告檔案，硬體病毒防治產品除外。

5.1 測試指標

5.1.1 防病毒能力

病毒防治產品的防病毒能力應達到：

5.1.1.1 病毒樣本庫中的病毒樣本從以下途徑進入計算機系統時發出警報；

a) 存儲介質；

b) 網路；

c) 電子郵件；

5.1.1.2 設定滿足病毒傳染、發作的條件，然後激活病毒，病毒防治產品能夠阻止

病毒的傳播、破壞；

5.1.1.3 對病毒入侵情況記錄到報告檔案；

5.1.1.4 網路產品在發現病毒時應通知網路管理員或用戶；

5.1.2 病毒檢測分級指標

5.1.2.1 合格產品檢測病毒率應達到：

對病毒樣本基本庫至少能檢測其中的85% ；

對流行病毒樣本庫至少能檢測其中的90%；

對特殊格式病毒樣本庫至少能檢測其中的80%；

5.1.2.2 二級產品檢測病毒率應達到：

對病毒樣本基本庫至少能檢測其中的90% ；

對流行病毒樣本庫至少能檢測其中的95%；

對特殊格式病毒樣本庫至少能檢測其中的85%；

5.1.2.3 一級產品檢測病毒率應達到：

對病毒樣本基本庫至少能檢測其中的95% ；

對流行病毒樣本庫至少能檢測其中的98%；

對特殊格式病毒樣本庫至少能檢測其中的95%；

5.1.3 病毒清除指標

5.1.3.1 能夠恢復病毒宿主功能的，一定要恢復病毒宿主的功能，且使病毒喪失其原有功能；

5.1.3.2 不能恢復病毒宿主功能的，若可以重新生成病毒宿主，則重新生成病毒宿主，否則提示刪除帶毒宿主。

5.1.3.3 清除病毒時,具有備份染毒宿主的功能；

5.1.4 病毒清除分級指標

5.1.4.1 合格產品病毒清除率應達到以下指標：

對病毒樣本基本庫至少能清除其中的80% ；

對流行病毒樣本庫至少能清除其中的85%

5.1.4.2 二級產品病毒清除率應達到以下指標：

對病毒樣本基本庫至少能清除其中的85% ；

對流行病毒樣本庫至少能清除其中的90%；

5.1.4.3 一級產品病毒清除率應達到以下指標：

對病毒樣本基本庫至少能清除其中的90 % ；

對流行病毒樣本庫至少能清除其中的95%

5.1.5 誤報率

對檢驗機構指定檔案組成的誤報檢驗樣本庫的誤報率不能高於 0.1 %;

5.1.6 應急恢復

應急恢復應達到：

5.1.6.1 正確備份、恢復主引導記錄。

5.1.6.2 正確備份、恢復引導扇區。

5.1.7 智慧型升級

病毒防治產品在通過網際網路或者存儲介質進行版本升級時,只需要下載或者拷貝升級檔案的修改或增加部分,以提高用戶升級的效率。

5.2 測試方法

測試方法按GA135的規定。

檢驗報告分為檢測、清除病毒誤報檢驗表和產品檢驗結果和分數表

6.1 檢測、清除病毒誤報檢驗表，見表1。

表1 檢測、清除病毒誤報檢驗表

檢驗用樣本庫樣本總數

檢測率

清除率

誤報率

病毒樣本基本庫∕流行病毒樣本庫∕特殊格式病毒樣本庫 ∕ 誤報檢驗樣本庫

6.2 產品檢驗結果和分數表