1、GA 2432000PAGE PAGE 14中華人民共和國公共安全行業標準 計 算 機 病 毒 防 治 產 品 評 級 準 則 GA 2432000Evaluation criteria for anti-virus products of computer system計算機病毒防治產品評級準則Evaluation criteria for anti-virus products of computer system前 言為了保證和和提高在在我國銷銷售的計計算機病病毒防治治產品的的質量水水平，有有效地遏遏制計算算機病毒毒對我國國計算機機信息系系統的傳傳染和破破壞，編編制本標標準。本標準由公公

2、安部公公共信息息網絡安安全監察察局提出出。 本本標準由由公安部部信息系系統安全全標準化化技術委委員會歸歸口。 本本標準起起草單位位：天津津市公安安局計算算機管理理監察處處、天津津市質量量監察檢檢驗站第第70站站。 本本標準主主要起草草人：張張健、王王學海、劉劉杰、張張雙橋、黃黃小蘇。1 范圍本標準規定定了計算算機病毒毒防治產產品的定定義、參參檢要求求、檢測測及評級級方法。 本本標準使使用于計計算機病病毒防治治產品的的檢測和和評級。2 引用標標準下列標準所所包含的的條文，通通過在本本標準中中引用而而構成為為本標準準的條文文。本標標準出版版時，所所示版本本均為有有效。所所有標準準都會被被修訂，使使

3、用本標標準的各各方應探探討使用用下列標標準最新新版本的的可能性性。 GA 1355-19996 DOOS 操操作系統統環境中中計算機機病毒防防治產品品測試方方法3 定義本標準采用用下列定定義。3.1計計算機病病毒（簡簡稱病毒毒）commputter virrus 是是指編制制或者在在計算機機程序中中插入的的破壞計計算機功功能或者者毀壞數數據影響響計算機機使用，并并能自我我復制的的一組計計算機指指令或者者程序代代碼。3.2變變形病毒毒pollymoorphhic virrus 這這種病毒毒在傳染染時變換換自身的的代碼，使使得每感感染一個個病毒宿宿主，被被感染的的病毒宿宿主上的的病毒代代碼各不不相

4、同。3.3檢檢測病毒毒dettecttingg viiruss 對對于確定定的測試試環境，能能夠準確確地報出出病毒名名稱；該該環境包包括：內內存、文文件、扇扇區（引引導區、主主引導區區）、網網絡等。3.4病病毒檢測測率ratte oof ddeteectiing virrus 指指對于一一組確定定的病毒毒樣本文文件所能能檢測到到含有病病毒的文文件比例例。3.5清清除病毒毒cleeaniing virrus 根根據不同同類型的的病毒對對感染對對象的修修改，并并按照病病毒的感感染特性性所進行行的恢復復，該恢恢復過程程不能破破壞未被被病毒修修改的內內容。3.6病病毒清除除率raate of clee

5、aniing virrus 指指對于檢檢驗機構構的病毒毒樣本文文件所能能清除其其中含有有病毒的的文件比比例。3.7誤誤報faalsee allarmm 指指病毒防防治產品品將正常常系統或或文件報報為含有有病毒，或或將正常常操作報報為病毒毒行為。3.8誤誤報率rratee off faalsee allarmm 指指病毒防防治產品品將正常常系統或或文件報報為含有有病毒，或或將正常常操作報報為病毒毒行為的的比例。3.9病病毒宿主主virrus hosst 病病毒能夠夠感染的的對象（如如：文件件、引導導記錄區區等）。3.10文件型型病毒ffilee viiruss 以以文件為為宿主或或利用對對文件的

6、的操作而而加載執執行的病病毒。3.11蠕蟲wwormm 這這種程序序可以通通過網絡絡等途徑徑將自身身的全部部代碼或或部分代代碼復制制、傳播播給其他他的計算算機系統統，它在在復制、傳傳播時，不不寄生于于病毒宿宿主之中中。3.12黑客程程序 haackeer pproggramm 這這種程序序可以通通過網絡絡等途徑徑進行傳傳播，一一旦該種種程序被被運行，運運行該程程序的計計算機系系統可以以被其他他計算機機系統，在在未經授授權的情情況下通通過網絡絡對其系系統和資資源進行行控制。3.13病毒樣樣本基本本庫baasedd seet oof vviruus ssampple 檢檢驗機構構在國內內所收集集病

7、毒、蠕蠕蟲和黑黑客程序序的集合合。3.14流行病病毒樣本本庫sett off prrevaalennt vviruus ssampple 在在檢驗間間隔期內內，由兩兩個以上上不同地地區的用用戶或反反病毒廠廠商提供供的在國國內出現現過的病病毒、蠕蠕蟲和黑黑客程序序，并由由檢驗機機構認證證后的病病毒集合合。3.15 特殊格格式病毒毒樣本庫庫sset of speeciaal fformmat virrus sammplee 將將病毒樣樣本根據據一定算算法，對對其進行行處理后后所生成成的新的的病毒樣樣本，并并且該新新樣本還還可以根根據一定定算法還還原為原原始病毒毒樣本集集合。如如壓縮后后的病毒毒樣本

8、和和使用某某種編碼碼轉換后后的病毒毒樣本。3.16 變形病病毒樣本本 pollymoorphhic virrus sammplee 變變形病毒毒要傳染染10個個病毒宿宿主（不不足100個變形形體，以以實際數數量為準準），然然后將這這些病毒毒樣本組組成該變變形病毒毒的檢驗驗樣本。3.17 病毒樣樣本庫seet oof vviruus ssampple 病病毒樣本本庫是指指由病毒毒樣本基基本庫、流流行病毒毒樣本庫庫和特殊殊格式病病毒樣本本庫合并并組成的的病毒樣樣本庫。3.18 防病毒毒能力 cappabiilitty oof pprottecttingg viiruss 病病毒防治治產品預預防病毒

9、毒侵入或或破壞計計算機信信息系統統的能力力。3.19 應急恢恢復inccideent reccoveery 當當用戶計計算機系系統因病病毒感染染或其它它原因導導致系統統故障時時，能夠夠進行系系統信息息的恢復復，使用用戶系統統能夠正正常使用用。4 參檢要要求 受檢檢企業及及其產品品必須配配合檢測測工作。4.1檢檢驗周期期 檢檢驗機構構對病毒毒防治產產品必須須至少每每年檢驗驗一次，同同時，可可以根據據病毒的的發展情情況對病病毒防治治產品進進行專項項檢驗。4.2受受檢企業業4.2.11受檢檢企業必必須提供供其產品品升級用用的病毒毒樣本，否否則不予予檢驗。提提供的病病毒樣本本必須是是具有傳傳染性的的活

10、病毒毒。4.2.22受檢檢企業必必須提供供制作病病毒樣本本的病毒毒宿主，并并提供包包括病毒毒傳染條條件、發發作條件件、發作作現象和和病毒其其它特性性的分析析報告。4.2.33 受受檢企業業必須提提供其技技術人員員的組成成和狀況況。4.3受受檢產品品 受受檢產品品必須符符合以下下條件：4.3.11 附有有中文使使用說明明書。4.3.22 其產產品必須須能夠生生成檢驗驗項目（包包括預防防、檢測測、清除除病毒）的的結果報報告文件件，硬件件病毒防防治產品品除外。5 測試指指標5.1 測試指指標5.1.11 防防病毒能能力 病病毒防治治產品的的防病毒毒能力應應達到：a) 病毒樣樣本庫中中的病毒毒樣本從從

11、以下途途徑進入入計算機機系統時時發出警警報： 存儲介介質； 網絡絡； 電子郵郵件； bb) 設設定滿足足病毒傳傳染、發發作的條條件，然然后激活活病毒，病病毒防治治產品能能夠阻止止病毒的的傳播、破破壞。 cc) 對對病毒入入侵情況況記錄到到報告文文件。 dd) 網網絡產品品在發現現病毒時時應通知知網絡管管理員或或用戶。5.1.2 病毒檢檢測分級級指標5.1.2.11合格格產品檢檢測病毒毒率應達達到： 對病病毒樣本本基本庫庫至少能能檢測其其中的885%； 對流流行病毒毒樣本庫庫至少能能檢測其其中的990%； 對特特殊格式式病毒樣樣本庫至至少能檢檢測其中中的800%；5.1.2.22二級級產品檢檢測

12、病毒毒率應達達到： 對病病毒樣本本基本庫庫至少能能檢測其其中的990%； 對流流行病毒毒樣本庫庫至少能能檢測其其中的995%； 對特特殊格式式病毒樣樣本庫至至少能檢檢測其中中的855%；5.1.2.33 一一級產品品檢測病病毒率應應達到： 對病病毒樣本本基本庫庫至少能能檢測其其中的995%； 對流流行病毒毒樣本庫庫至少能能檢測其其中的998%； 對特特殊格式式病毒樣樣本庫至至少能檢檢測其中中的955%； 5.11.3 病毒毒清除指指標 5.11.3.1 能夠恢恢復病毒毒宿主功功能的，一一定要恢恢復病毒毒宿主的的功能，且且使病毒毒喪失其其原有功功能； 5.11.3.2 不能能恢復病病毒宿主主功能

13、的的，若可可以重新新生成病病毒宿主主，則重重新生成成病毒宿宿主，否否則提示示刪除帶帶毒宿主主。 5.11.3.4 清除病病毒時，具具有備份份染毒宿宿主的功功能； 5.11.4 病毒毒清除分分級指標標 5.11.4.1 合格產產品病毒毒清除率率應達到到以下指指標： 對對病毒樣樣本基本本庫至少少能清除除其中的的80%； 對對流行病病毒樣本本庫至少少能清除除其中的的85%。 5.11.4.2二二級產品品病毒清清除率應應達到以以下指標標： 對對病毒樣樣本基本本庫至少少能清除除其中的的85%； 對對流行病病毒樣本本庫至少少能清除除其中的的90。 5.11.4.3一一級產品品病毒清清除率應應達到以以下指標

14、標： 對對病毒樣樣本基本本庫至少少能清除除其中的的90%； 對對流行病病毒樣本本庫至少少能清除除其中的的95%。 5.11.5 誤報報率 對檢驗驗機構指指定文件件組成的的誤報檢檢驗樣本本庫的誤誤報率不不能高于于 0.1 %。 5.11.6 應急急恢復 應急恢恢復應達達到： 正正確備份份、恢復復主引導導記錄。 正確備備份、恢恢復引導導扇區。 5.11.7 智能能升級 病病毒防治治產品在在通過互互聯網或或者存儲儲介質進進行版本本升級時時，只需需要下載載或者拷拷貝升級級文件的的修改或或增加部部分，以以提高用用戶升級級的效率率。 5.22 測測試方法法 測測試方法法按GAA 1335的規規定。6 檢驗

15、報報告 檢檢驗報告告分為檢檢測、清清除病毒毒誤報檢檢驗表和和產品檢檢驗結果果和分數數表。 6.11 檢測、消消除病毒毒誤報檢檢驗表見見表1。 表表1 檢測、清清除病毒毒誤報檢檢驗表 6.22 產產品檢驗驗結果和和分數表表見表。 用用定義的的病毒樣樣本庫按按照表中所列列功能進進行檢驗驗評分。表2 產產品測試試結果和和分數表表檢驗用樣本本庫 樣本總數 檢測率 清除率 誤報率 病毒樣本基基本庫 流行病毒樣樣本庫 特殊格式病病毒樣本本庫 誤報檢驗樣樣本庫 7 產品評評級 根根據病毒毒防治產產品檢驗驗后的獲獲得的總總分數確確定相應應級別，具具體劃分分指標如如下。 771-880分合格格 881-990分

16、二級級 990分以以上 一級 對對只具有有部分功功能的病病毒防治治產品，其其功能若若能夠達達到相應應性能指指標，則則判定為為合格品品，否則則為不合合格產品品，不再再進一步步對其評評級。 計計算機病病毒防治治產品評評級表見見表3表3 計計算機病病毒防治治產品評評級表檢驗項目檢驗結果單機產品分分數網絡產品分分數備注防病毒(30分)病毒樣本庫庫進入計計算機系系統是否否報警來自存儲介介質66來自網絡66來自電子郵郵件66設定滿足病病毒傳染染、發作作條件，然然后激活活病毒，能能否阻止止病毒傳傳染、破破壞76能否即時時清除病病毒54發現病毒毒時能否否通知網網絡管理理員或用用戶2檢測病毒(30分)基準病毒毒庫檢測測率達到到一級品1313二級品88合格品33流行病毒毒庫檢測測率達到到一級品1313二級品88合格品33特殊格式式病毒庫庫檢測率率達到一級品44二級品22合格品11清除病毒(30分)基準病毒毒庫清除除率達到到一級品1414二級