計算機病毒防治產(chǎn)品評級準則

1、中華人民共和國社會公共安全行業(yè)標準GA 243-2000計算機病毒防治產(chǎn)品評級準則時效性：有效頒布單位：公安部頒布日期：2000 年 10 月 8 日實施日期: 2000 年 10 月 8 日1 范圍本標準規(guī)定了計算機病毒防治產(chǎn)品的定義、參檢要求、檢測及評級方法。本標準適用于計算機病毒防治產(chǎn)品的檢測和評級。2 引用標準下列標準所包含的條文, 通過在本標準中引用而構(gòu)成為本標準的條文。本標準出版時, 所示版本均為有效。所有標準都會被修訂, 使用本標準的各方應(yīng)探討使用下列標準最新版本的可能性。GA 135-1996 DOS 操作系統(tǒng)環(huán)境中計算機病毒防治產(chǎn)品測試方法3 定義本標準采用下列定義:3.1

2、計算機病毒（簡稱病毒） computer virus是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)影響計算機使用, 并能自我復(fù)制的一組計算機指令或者程序代碼。3.2 變形病毒polymorphic virus這種病毒在傳染時變換自身的代碼, 使得每感染一個病毒宿主, 被感染的病毒宿主上的病毒代碼各不相同。3.3 檢測病毒detecting virus對于確定的測試環(huán)境, 能夠準確地報出病毒名稱; 該環(huán)境包括: 內(nèi)存、文件、扇區(qū)（引導(dǎo)區(qū)、主引導(dǎo)區(qū)）、網(wǎng)絡(luò)等。3.4 病毒檢測率rate of detecting virus指對于一組確定的病毒樣本文件所能檢測到含有病毒的文件比例。3.5

3、 清除病毒cleaning virus根據(jù)不同類型的病毒對感染對象的修改, 并按照病毒的感染特性所進行的恢復(fù), 該恢復(fù)過程不能破壞未被病毒修改的內(nèi)容。3.6 病毒清除率rate of cleaning virus指對于檢驗機構(gòu)的病毒樣本文件所能清除其中含有病毒的文件比例。3.7 誤報 false alarm指病毒防治產(chǎn)品將正常系統(tǒng)或文件報為含有病毒, 或?qū)⒄２僮鲌鬄椴《拘袨椤?.8 誤報率 rate of false alarm指病毒防治產(chǎn)品將正常系統(tǒng)或文件報為含有病毒, 或?qū)⒄２僮鲌鬄椴《拘袨榈谋壤?.9 病毒宿主virus host病毒能夠感染的對象（如 : 文件、引導(dǎo)記錄區(qū)等）。3

4、.10 文件型病毒file virus以文件為宿主或利用對文件的操作而加載執(zhí)行的病毒。3.11 蠕蟲 worm這種程序可以通過網(wǎng)絡(luò)等途徑將自身的全部代碼或部分代碼復(fù)制、傳播給其它的計算機系統(tǒng)它在復(fù)制、傳播時, 不寄生于病寄毒宿主之中。3.12 黑客程序hacker program這種程序可以通過網(wǎng)絡(luò)等途徑進行傳播, 一旦該種程序被運行, 運行該程序的計算機系統(tǒng)可以被其它計算機系統(tǒng), 在未經(jīng)授權(quán)的情況下通過網(wǎng)絡(luò)對其系統(tǒng)和資源進行控制。3.13 病毒樣本基本庫based set of virus sample檢驗機構(gòu)在國內(nèi)所收集病毒、蠕蟲和黑客程序的集合。3.14 流行病毒樣本庫set of pr

5、evalent virus sample在檢驗間隔期內(nèi), 由兩個以上不同地區(qū)的用戶或反病毒廠商提供的在國內(nèi)出現(xiàn)過的病毒、蠕蟲和黑客程序, 并由檢驗機構(gòu)認證后的病毒集合。3.15 特殊格式病毒樣本庫set of special format virus sample將病毒樣本根據(jù)一定算法, 對其進行處理后所生成的新的病毒樣本, 并且該新樣本還可以根據(jù)一定算法還原為原始病毒樣本集合。如壓縮后的病毒樣本和使用某種編碼轉(zhuǎn)換后的病毒樣本。3.16 變形病毒樣本polymorphic virus sample變形病毒要傳染10 個病毒宿主（不足10 個變形體, 以實際數(shù)量為準）, 然后將這些病毒樣本組成該

6、變形病毒的檢驗樣本。3.17 病毒樣本庫set of virus Sample病毒樣本庫是指由病毒樣本基本庫、流行病毒樣本庫和特殊格式病毒樣本庫合并組成的病毒樣本庫。3.18 防病毒能力capability of protecting virus病毒防治產(chǎn)品預(yù)防病毒侵入或破壞計算機信息系統(tǒng)的能力。3.19 應(yīng)急恢復(fù)incident recovery當用戶計算機系統(tǒng)因病毒感染或其它原因?qū)е孪到y(tǒng)故障時, 能夠進行系統(tǒng)信息的恢復(fù), 使用戶系統(tǒng)能夠正常使用。4 參檢要求受檢企業(yè)及其產(chǎn)品必需配合檢測工作。4.1 檢驗周期檢驗機構(gòu)對病毒防治產(chǎn)品必須至少每年檢驗一次, 同時 , 可以根據(jù)病毒的發(fā)展情況對病毒

7、防治產(chǎn)品進行專項檢驗。4.2 受檢企業(yè)4.2.1 受檢企業(yè)必須提供其產(chǎn)品升級用的病毒樣本, 否則不予檢驗。提供的病毒樣本必須是具有傳染性的活病毒。4.2.2 受檢企業(yè)必須提供制作病毒樣本的病毒宿主, 并提供包括病毒傳染條件、發(fā)作條件、發(fā)作現(xiàn)象和病毒其它特性的分析報告。4.2.3 受檢企業(yè)必須提供其技術(shù)人員的組成和狀況。4.3 受檢產(chǎn)品受檢產(chǎn)品必須符合以下條件:4.3.1 附有中文使用說明書。4.3.2 其產(chǎn)品必須能夠生成檢驗項目(包括預(yù)防、檢測、 清除病毒)的結(jié)果報告文件, 硬件病毒防治產(chǎn)品除外。5 測試指標5.1 測試指標5.1.1 防病毒能力病毒防治產(chǎn)品的防病毒能力應(yīng)達到:5.1.1.1

8、病毒樣本庫中的病毒樣本從以下途徑進入計算機系統(tǒng)時發(fā)出警報：a) 存儲介質(zhì);b) 網(wǎng)絡(luò) ;c) 電子郵件;5.1.1.2 設(shè)定滿足病毒傳染、發(fā)作的條件, 然后激活病毒, 病毒防治產(chǎn)品能夠阻止病毒的傳播、破壞;5.1.1.3 對病毒入侵情況記錄到報告文件;5.1.1.4 網(wǎng)絡(luò)產(chǎn)品在發(fā)現(xiàn)病毒時應(yīng)通知網(wǎng)絡(luò)管理員或用戶;5.1.2 病毒檢測分級指標5.1.2.1 合格產(chǎn)品檢測病毒率應(yīng)達到:對病毒樣本基本庫至少能檢測其中的85%;對流行病毒樣本庫至少能檢測其中的90%;對特殊格式病毒樣本庫至少能檢測其中的80%;5.1.2.2 二級產(chǎn)品檢測病毒率應(yīng)達到:對病毒樣本基本庫至少能檢測其中的90%;對流行病毒樣

9、本庫至少能檢測其中的95%;對特殊格式病毒樣本庫至少能檢測其中的85%;5.1.2.3 一級產(chǎn)品檢測病毒率應(yīng)達到:對病毒樣本基本庫至少能檢測其中的95%;對流行病毒樣本庫至少能檢測其中的98%;對特殊格式病毒樣本庫至少能檢測其中的95%;5.1.3 病毒清除指標5.1.3.1 能夠恢復(fù)病毒宿主功能的, 一定要恢復(fù)病毒宿主的功能, 且使病毒喪失其原有功能;5.1.3.2 不能恢復(fù)病毒宿主功能的, 若可以重新生成病毒宿主, 則重新生成病毒宿主, 否則提示刪除帶毒宿主。5.1.3.3 清除病毒時, 具有備份染毒宿主的功能;5.1.4 病毒清除分級指標5.1.4.1 合格產(chǎn)品病毒清除率應(yīng)達到以下指標:

10、對病毒樣本基本庫至少能清除其中的80%;對流行病毒樣本庫至少能清除其中的85%5.1.4.2 二級產(chǎn)品病毒消除率應(yīng)達到以下指標:對病毒樣本基本庫至少能清除其中的85%;對流行病毒樣本庫至少能清除其中的90%;5.1.4.3 一級產(chǎn)品病毒清除率應(yīng)達到以下指標對流行病毒樣本庫至少能清除其中的95%5.1.5 誤報率對檢驗機構(gòu)指定文件組成的誤報檢驗樣本庫的誤報率不能高于0.1%;5.1.6 應(yīng)急恢復(fù)應(yīng)急恢復(fù)應(yīng)達到:5.1.6.1 正確備份、恢復(fù)主引導(dǎo)記錄。5.1.6.2 正確備份、恢復(fù)引導(dǎo)扇區(qū)。5.1.7 智能升級病毒防治產(chǎn)品在通過互聯(lián)網(wǎng)或者存儲介質(zhì)進行版本升級時, 只需要下載或者拷貝升級文件的修改

11、或增加部分, 以提高用戶升級的效率。5.2 測試方法測試方法按GA135 的規(guī)定。6 檢驗報告檢驗報告分為檢測、清除病毒誤報檢驗表和產(chǎn)品檢驗結(jié)果和分數(shù)表6.1 檢測、清除病毒誤報檢驗表, 見表 1。表 1 檢測、清除病毒誤報檢驗表檢驗用樣本庫樣本總數(shù)檢測率清除率誤報率病毒樣本基本庫流行病毒樣本庫/特殊格式病毒樣本庫/誤報檢驗樣本庫6.2 產(chǎn)品檢驗結(jié)果和分數(shù)表, 見表 2.用定義的病毒樣本庫按照表2 中所列功能進行檢驗評分。表 2 產(chǎn)品測試結(jié)果和分數(shù)表檢驗項目 檢驗結(jié)果單機產(chǎn)品分數(shù)網(wǎng)絡(luò)產(chǎn)品分數(shù)備注防病毒（30 分 ）病毒樣本庫進入計算機系統(tǒng)是否報警來自存儲介質(zhì)66來自網(wǎng)絡(luò)66來自電子郵件設(shè)定滿足

12、病毒傳染、發(fā)作條件, 然后激活病毒, 能否阻止病毒傳染、破壞76能否即時清除病毒54發(fā)現(xiàn)病毒時能否通知網(wǎng)絡(luò)管理員或用戶2檢測病毒（ 30 分）基準病毒庫檢測率達到一級品二級品合格品流行病毒庫檢測率達到一級品1313二級品合格品特殊格式病毒庫檢測率達到 一級品44二級品22合格品11消除病毒（ 30 分）基準病毒庫清除率達到一級品14二級品合格品44流行病毒庫清除率達到一級品1414二級品99合格品44是否具有備份功能誤報 （4 分 ）誤報率是否小于等于0.1%55應(yīng)急恢復(fù)（4 分 ）能否備份、恢復(fù)引導(dǎo)扇區(qū)21能否備份、恢復(fù)主引導(dǎo)記錄21版本智能升級（2 分 ）能否支持版本智能升級總分注 : 符合表中所列檢驗功能指標的獲得所列分數(shù), 否則不得分。病毒檢測/清除率項目的