ICS 35.040 GA L 80 中华人民共和国公共安全行业标准 GA/T15392018 信息安全技术 网络病毒监控系统 安全技术要求和测试评价方法 Information security technologySecuritytechnical requirements and evaluationapproachesforvirusdetectionsystemproducts 2018-12-27发布 2018-12-27实施 中华人民共和国公安部 发布 GA/T1539—2018 目 次 前言 II 1范围 术语和定义 3 缩略语 网络病毒监控系统描述 4 5 技术要求 5.1 总体说明 5.2 功能要求 5.3 安全要求 5.4 安全保障要求 11 5.5 性能要求 17 测试评价方法 17 6.1 总体说明. 6.2 功能测试 17 6.3 安全性测试 6.4安全保障评估 6.5性能测试· 40 附录A（资料性附录） 网络病毒监控系统运行环境与模式.. 41 附录B（资料性附录) 网络病毒监控系统测试环境与工具 42 参考文献 44 GA/T1539—2018 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由公安部网络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位：国家计算机病毒应急处理中心、公安部十一局七处、信息产业信息安全测评中心、 国家信息中心、天津市公安局网络安全保卫总队、北京工业大学、北京瑞星信息技术有限公司、北京安天 网络安全技术有限公司、北京启明星辰信息安全技术有限公司、恒安嘉新（北京)科技股份公司、北京神 州绿盟信息安全科技股份有限公司、北京天融信科技有限公司。 本标准主要起草人：陈建民、杜振华、张俊兵、陆磊、曹鹏、张喆、张瑞、刘彦、黄一斌、李冬、孟彬、 张鑫、刘健、禄凯、王冠、王世玉、叶荣军、赵焕菊、杨绍波、徐雨晴、崔婷婷、焦玉峰、王。 GA/T1539—2018 信息安全技术 网络病毒监控系统 安全技术要求和测试评价方法 1范围 本标准规定了网络病毒监控系统的功能要求、安全要求、性能要求及安全保障要求，并给出了测试 评价方法。 本标准适用于网络病毒监控系统的设计、开发及检测。 2术语和定义 下列术语和定义适用于本文件。 2.1 网络病毒监控系统 virusdetectionsystem 用旁路方式监听网络内的数据包并进行分析，以发现网络中传播的病毒及其相关行为的系统。 2.2 病毒virus 能够影响计算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序或代 码，包括文件型病毒、蠕虫、木马程序、宏病毒、脚本病毒等恶意程序。 2.3 病毒捕获viruscapture 网络病毒监控系统为保留病毒或疑似病毒样本以及受感染的文件，而将从网络上捕获的相应文件 存储在特定的受限制存储空间的处理方式。 2.4 内部网络internalnetwork 通过防火墙/网络病毒监控系统隔离的可信任区域或保护区域。 2.5 外部网络externalnetwork 通过防火墙/网络病毒监控系统隔离的不可信任区域或非保护区域 2.6 线速wirespeed 网络病毒监控系统所监控网络环境理论上能达到的最大转发速率。 2.7 负载量 peakload 网络病毒监控系统在不丢包的情况下处理监控数据的能力，一般以能达到的线速（或称通过速率） 的百分比来表示。 2.8 恶意URLmaliciousURL 指向的资源中含有病毒的URL。 1 GA/T1539—2018 2.9 加壳病毒 packedvirus 通过特定算法的变换，将病毒的编码进行一次或多次的压缩、加密，产生新的病毒文件。与原病毒 文件相比，文件内容发生变化，但功能保持不变。 2.10 可执行病毒样本 executable virus sample 可以被激活并正常执行其功能的病毒样本文件。 2.11 恶意网页脚本样本maliciouswebpagescriptvirussample 含有漏洞利用、后门、远程控制等恶意代码的恶意网页或脚本病毒样本文件。 2.12 已知病毒样本 knownvirussample 网络病毒监控系统能够检测的病毒样本文件。 2.13 病毒样本库 virussampleset 病毒样本文件的集合。 3缩略语 下列缩略语适用于本文件。 URL：统一资源定位符（UniformResourceLocator） IP：互联网协议（InternetProtocol) TCP：传输控制协议(TransmissionControlProtocol) HTTP：超文本传输协议（HyperTextTransferProtocol) SMB：服务器消息块协议（ServerMessageBlock） CIFS：通用网络文件系统协议（CommonInternetFileSystem） IPv4：互联网协议第4版（InternetProtocolVersion4） IPv6：互联网协议第6版（InternetProtocolVersion6） FTP：文件传输协议（FileTransferProtocol) POP3：邮局协议第3版（PostOfficeProtocolversion3） SMTP：简单邮件传输协议（SimpleMailTransferProtocol) IMAP：Internet邮件访间协议(InternetMailAccessProtocol) HTML：超文本标记语言（HyperTextMarkupLanguage) XLS：微软公司电子表格文档格式（MicrosoftExcel) CSV：逗号分隔的文本文件格式（Comma-SeparatedValues） XML：可扩展标记语言（ExtensibleMarkupLanguage) Gbps：千兆/秒(GigabitsPerSecond) KB：千字节（KiloByte) HTTPS：安全超文本传输协议（HypertextTransferProtocoloverSecureSocketLayer) IDS：人侵检测系统（IntrustionDetectionSystem） IPS：人侵防御系统（IntrustionPreventionSystem） 2 GA/T15392018 4网络病毒监控系统描述 网络病毒监控系统以旁路方式接入网络，能够实时监测网络环境中的病毒疫情发展趋势；全面检测 各种网络病毒的扫描、传输、攻击等行为；精确定位病毒的来源；评估病毒产生的网络压力状况；准确提 供病毒类别、病毒名称等信息；形成网络病毒的全局视图。 这种网络病毒监控系统能够检测网络内部的数据，对多种网络协议和应用协议的数据进行分析和 病毒扫描，一且发现病毒就会采取告警，并定位病毒文件及其来源、病毒类别、病毒名称等信息，实现病 行阻断。 网络病毒监控系统运行环境和工作模式参见A.1和A.2。 5技术要求 5.1总体说明 5.1.1技术要求分类 将网络病毒监控系统安全技术要求分为功能、安全、性能和安全保障要求4个大类。其中，功能要 求是对网络病毒监控系统应具备的功能提出具体的要求，包括安全监测能力、监控策略、响应处理、报表 和统计、加密应用协议支持、故障信息告警、升级能力、协同能力等；性能要求是对网络病毒监控系统应 达到的性能指标做出规定，例如负载量；安全要求是对网络病毒监控系统自身安全和防护能力提出具体 的要求，例如标识与鉴别、安全管理、审计日志等；安全保障要求则针对网络病毒监控系统开发者和网络 病毒监控系统自身提出具体的要求，例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。 5.1.2安全等级 根据国内测评认证机构、测评技术和我国网络病毒监控系统产品开发现状，对网络病毒监控系统产 品进行安全等级划分。安全等级分为基本级和增强级。安全等级划分标准主要依据产品的功能特性， 对基本级产品的性能不做要求。 增强级产品除需满足基本级产品的技术要求外，还需满足增强级中列出的其他技术要求。其中“加 粗宋体字”表示所描述的要求仅适用于增强级产品。 5.2功能要求 5.2.1基本级 5.2.1.1监测能力 5.2.1.1.1数据收集 网络病毒监控系统应具有实时获取被监控网络内的数据包和数据流的能力。获取的数据包和数据 流应足以进行病毒检测和分析。 5.2.1.1.2 2应用协议支持 产品应支持对使用以下应用协议的网络请求和响应进行病毒检测和分析： a）HTTP协议； b）FTP协议； 3 GA/T1539—2018 POP3协议； d) SMTP协议； e) SMB/CIFS协议。 5.2.1.1.3 静态病毒检测 当处于静态非激活的病毒在被监控网络中传播时，产品应具有相应的响应处理能力，并且对于正常 的系统文件和文档不会产生误报警。 5.2.1.1.4逃避检测防护 产品应能支持识别压缩格式的病毒文件，以此发现逃避检测的病毒传播行为 5.2.1.1.5多种类型网络应用场景支持 为适应不同类型网络，产品应具有以下能力： a）产品支持在纯IPv4/IPv6网络应用场景中安装与正常使用； 使用。 5.2.1.2 监控策略 5.2.1.2.1 策略自定义 产品应能根据5.2.1.1中所述的要求添加、修改和删除监控策略。 5.2.1.2.2 策略初始模板 产品应具备初始的监控策略，并覆盖5.2.1.1.2中所述的常见应用协议，并开启对病毒文件的检测 功能。 5.2.1.3响应处理 5.2.1.3.1病毒检测 产品应能根据监控策略对病毒文件进行检测和告警。 5.2.1.3.2