GJB 中华人民共和国国家军用标准 FL 0112 GJB 71712011 军用防病毒产品通用要求 General requirements of military anti-virus products 2011-01-20发布 2011-04-01实施 中国人民解放军总装备部批准 GJB 71712011 目 次 范围 2 引用文件 术语和定义 防病毒产品类型… 4 5 技术要求. 5.1 5.2 性能要求 5.3 可用性要求. 5.4 安全性要求…. 安全保证要求 6测评要求… 附录A (资料性附录) 常见病毒类型 附录B (资料性附录) 对比测试内容· 11 GJB 71712011 前 言 本标准附录A、附录B是资料性附录。 本标准由中国人民解放军总参谋部第三部提出。 本标准起草单位：总参谋部第三部计算中心站。 本标准主要起草人：杨辉、张宗春、孙红兵、刘浩、刘扬、欧世响、赵智勇、岳勇君、张荣、 李、张晓宁。 II GJB 71712011 军用防病毒产品通用要求 1范围 本标准规定了军用防病毒产品的类型、技术要求和测评要求。 本标准适用于军用计算机信息系统中使用的防病毒产品的研制、测试和评估。 2引用文件 下列文件中的有关条款通过引用而成为本标准的条款。凡注日期或版次的引用文件，其后的任何修 改单（不包含勘误的内容)或修订版本都不适用于本标准，但提倡使用本标准的各方探讨使用其最新版本 的可能性。凡不注日期或版次的引用文件，其最新版本适用于本标准。 GJB5368-2005计算机病毒防治系统技术要求 GA243-2000计算机病毒防治产品评级准则 3术语和定义 3.1计算机病毒（以下简称病毒）computervirus 未经授权破坏计算机系统功能、占用系统资源或者修改、窃取、泄露、毁坏计算机系统内部数据的 程序代码。 3.2防病毒产品 anti-virus product 计算机系统中，用于预防、检测和清除计算机病毒，保证系统安全性的软硬件产品，它可以作为一 个独立的系统或依附于其他系统而存在。 3.3病毒特征库virussignaturedatabase 病毒特征的集合，供防病毒产品识别判断病毒使用。 3.4实时监控real-timemonitoring 对计算机系统输入/输出的文件以及即将执行的文件进行实时病毒特征扫描检测，拦截其中可能存 在的病毒，以保证系统的安全。 3.5主动防御proactivedefense 对计算机系统资源进行使用控制，当程序行为企图修改系统资源，破坏系统安全性时，主动进行拦 截，以保证系统的安全。 3.6扫描深度virusscanningdepth 防病毒产品对可能包含病毒的各种特殊格式样本的识别与处理能力的度量，如对压缩文件或加壳文 件等的识别与处理层数。 3.7 误报检测样本库setofvirussampleforfalsepositivetesting 用于误报检测的非病毒样本（如计算机系统中常见的操作系统文件、计算机用户常用软件等）集合。 3.8漏洞攻击样本库setof attacksamplebyexploitingvulnerability 针对漏洞构造的攻击代码的集合。 4防病毒产品类型 4 根据部署和应用环境的不同，防病毒产品可分为下列类型： 单机防病毒产品； b）网络防病毒产品； 1 GJB 71712011 c）防病毒网关产品。 5技术要求 5.1功能要求 5.1.1病毒扫描 5.1.1.1扫描目标 5.1.1.1.1单机防病毒产品扫描目标 单机防病毒产品应能完成对下列目标的病毒扫描： a）内存： b）硬盘； c）软盘； d) 光盘； e) 移动存储介质等。 5.1.1.1.2网络防病毒产品扫描目标 除单机防病毒产品的扫措目标之外，网络防病毒产品还应能完成对下列目标的病毒扫描 a) 网络内的单个计算机节点： b）网络内指定计算机节点集合。 5.1.1.1.3防病毒网关产品扫描目标 防病毒网关产品应能完成对计算机网络的病毒扫描。 5.1.1.2扫描对象 5.1.1.2.1单机防病毒产品和网络防病毒产品扫描对象 单机防病毒产品和网络防病毒产品应能对指定扫描目标中的下列对象进行病毒扫描： a）内存空间： 磁盘逻辑空间： c) 目录及文件。 5.1.1.2.2防病毒网关产品扫描对象 防病毒网关产品应能对指定扫描目标中的计算机网络传输数据进行病毒扫描，应至少支持HTTP、 FTP、POP3、SMTP、IMAP等常见网络传输协议。 5.1.1.3扫描方式 5.1.1.3.1单机防病毒产品和网络防病毒产品扫描方式 单机防病毒产品和网络防病毒产品应能提供下列病毒扫描方式： a) 手动扫描，由用户选择扫描目标进行病毒扫描： b）定时扫描，防病毒产品在指定的时间或者时间段内对指定的扫描目标，自动进行病毒扫描； 快徒扫描，防病毒产品只扫描目标对象中最经常被病毒感染的部位，以提高扫描病毒的效率： c) d）条件扫描，满足某种条件（如开机、关机)时开始进行病毒扫描。 5.1.1.3.2防病毒网关产品扫描方式 防病毒网关产品应能够选择对部分或全部通过防病毒网关的网络传输数据进行病毒扫描，选择条件 包括： a) 源IP地址： b) 目的IP地址； c) 源端口； d) 目的端口； e) 计算机网络协议类型等。 2 GJB 71712011 5.1.1.4处理方式 5.1.1.4.1 单机防病毒产品和网络防病毒产品处理方式 单机防病毒产品和网络防病毒产品在扫描发现病毒后，应能提供下列处理方式： 备份，备份病毒宿主。 清除，防病毒产品应提供病毒清除功能，同时提供病毒宿主恢复功能。不能恢复病毒宿主时， 应提示删除病毒宿主。在无法实现以上清除要求的情况下，要给用户相应的提示或建议。 c) 删除，删除病毒宿主。 (p 隔离，将病毒宿主隔离。 e) 跳过，对病毒不进行处理。 5.1.1.4.2防病毒网关产品处理方式 防病毒网关产品在扫描发现病毒后，应能提供下列处理方式： a) 删除，删除网络传输数据包中的病毒和病毒宿主； b）阻断，阻断包含病毒的网络连接； c）跳过，对病毒不进行处理。 5.1. 2 病毒监控 5.1.2.1实时监控 单机防病毒产品和网络防病毒产品应能对下列对象进行实时病毒扫描和处理： a) 待运行的本地文件或目录。 b) 通过计算机网络发送或接收的文件或目录： 1）邮件系统收发的邮件文件； 2) 浏览器浏览的网页文件： 即时通讯软件运行过程中产生的文件或目录： 3) 4）下载软件运行过程中产生的文件或目录： 5）通过计算机网络发送或接收的其他文件或目录 5.1.2.2主动防御 单机防病毒产品和网络防病毒产品应具有下列主动防御功能： a) 行为监控，监控计算机程序对计算机系统资源的操作行为，防病毒产品将计算机程序已经产生 的操作与当前正在进行的操作组合在一起，抽象程序行为序列，当发现程序行为序列与已定义 的恶意程序的行为序列一致时，对其进行阻止。 b) 程序控制，防病毒产品通过限制程序对系统资源的使用，阻止程序的非法探作。可由用户定义 需要保护的系统资源，当程序非法访问这些资源时，对其进行阻止。 c) 系统加固，防病毒产品对计算机系统关键数据进行监控，当有程序试图修改这些可能引发安全 问题的关键数据时，对其进行阻止。系统关键数据包括： 1) 重要注册表项，如文件关联方式、I正E浏览器配置、系统配置、 资源浏览器配置、网络配 置、windows启动项、winlogon设置等： 2）系统关键目录和文件，如设备文件等； 3）内核数据。 5.1.3辅助功能 5.1.3.1配置 5.1.3.1.1单机防病毒产品配置功能 单机防病毒产品应具有下列配置功能： 扫描病毒类型的配置，常见病毒类型参见附录A； b）扫描目标和对象的配置； 3 GJB 71712011 c) 扫描方式的配置； d) 处理方式的配置； ( 实时监控的配置； f) 主动防御的配置： g) 日志记录的配置： h) 升级方式的配置等。 5.1.3.1.2网络防病毒产品配置功能 网络防病毒产品应具有下列配置功能： 单个计算机节点的配置功能与单机防病毒产品的配置功能要求相同。 a) b）针对计算机网络环境的产品配置功能，包括： 1）全网策略配置，包括策略的定制和下发等： 2）全网升级配置等、 5.1.3.1.3防病毒网关产品配置功能 防病毒网关产品应具有下列配置功能： 扫描病毒类型的配置； a) b) 扫描方式的配置； c) 病毒处理方式的配置； (P 日志记录的配置； (a 升级方式的配置等。 5.1.3.2报警 当发现病毒时，防病毒产品能通过以下一种或多种方式报警 界面显示： a) b）声音提示： c) 网络消息通知： d) 发送邮件； e) 发送手机短信等。 5.1.3.3日志 5.1.3.3.1 防病毒产品的日志内容 防病毒产品的日志功能应包括下列内容： a）运行日志，防病毒产品操作运行过程中产生的日志记录； b）病毒日志，防病毒产品扫描、监控的病毒日志记录： c) 日志管理，对日志记录的管理维护； 日志分析，对日志记录的统计分析。 5.1.3.3.2运行日志 防病毒产品的运行日志应包括下列内容： a）程序操作日志； b）升级日志； c) 程序错误日志等。 5.1.3.3.3病毒日志 防病毒产品的病毒日志应包括下列内容： a) 病毒扫描结果日志； b) 实时监控日志； c）主动防御日志； 4