信息安全等级保护检测产品检验规范.doc

1、ICS 35.020 L04 GA 中华人民共和国公共安全行业标准 GA ×××× — ×××× 计算机主机安全检测产品 测评准则 Testing and evaluation criteria for detection products of host computer security （试行） 201× -××-×× 发布 201× -××-×× 实行 中华人民共和国公安部 发 布 目 录 前 言 1 1 范

2、围 2 2 规范性引用文献 2 3 术语和定义 2 4 受检规定 4 4.1 检查周期 4 4.2 测试用例规定 4 4.3 资料规定 4 5 测试指标规定 4 5.1 测试指标 4 5.2 检测病毒能力 4 6 功能规定 4 6.1 身份鉴别 4 6.2 访问控制 5 6.3 安全审计 5 6.4 剩余信息保护 5 6.5 入侵防范 5 6.6 恶意代码防范 6 6.7 资源控制 6 6.8 数据库检测 6 7 测试方法 6 7.1 身份鉴别 6 7.2 访问控制 7 7.3 安全审计 8 7.4 剩余信息保护 8 7.5 入侵防范 9 7

3、6 恶意代码防范 10 7.7 资源控制 10 8 报告格式 11 8.1 产品检查结果及评分表 11 9 评级方法 11 前 言 本标准的所有技术内容为强制性。 本标准由公安部网络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位：天津市公共信息网络安全监察总队、公安部计算机病毒防治产品检查中心、国家计算机病毒应急解决中心。 本标准重要起草人：张津弟、陈建民、张健、范春玲、苗得雨、肖新光、曹鹏。 计算机主机安全检测产品测评准则 1 范围 本标准规定了针对计算机主机安全检测产品的受检规定、测试指标规定、功能规定、测试方法、报告

4、格式及评级方法。 本标准合用于针对计算机主机安全检测产品的检测和评级。 2 规范性引用文献 下列文献中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文献，其随后所有的修改单（不涉及勘误的内容）或修订版均不合用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文献的最新版本修改版？？ 还是觉得这段不通顺？？ 。凡是不注日期的引用文献，其最新版本合用于本标准。 GA 243-2023 　计算机病毒防治产品评级准则 GB/T 18336.3-2023 信息技术 多了一个空格 安全技术 信息技术安全性评估准则 多了一个空格 第3部分：安全保证规定（idt

5、ISO/IEC 15408-3：1999） 3 术语和定义 GA 243-2023、GB/T 18336.3-2023中确立的以及下列术语和定义合用于本标准。 3.1 操作系统安全 Operating System Security 操作系统所存储、传输和解决的信息的保密性、完整性和可用性的表征。 3.2 用户标记 User Identification 用来标明用户的身份，保证用户在系统中的唯一性和可辨认性，一般用名称和用户标记符（UID）来标明系统中的一个用户。名称和标记符都是公开的明码信息。标记是有效实行其他安全策略（如：用户数据保护、安全审计等）的基础。通过为

6、用户提供唯一标记，能使用户对自己的行为负责。 3.3 身份鉴别 User Authentication 身份鉴别是对信息系统访问者身份合法性的确认，是对其访问权限进行分派与管理的前提，同时也是审计功能及用户数据保护的先决条件。通过标记与鉴别的方式保证用户与对的的安全属性（如身份、组、角色、机密性类或完整性类）相连接。对授权用户的明确标记，以及为用户与主题关联对的的安全属性。 3.4 安全策略 Security Policy 对计算机信息系统中与安全相关的资源，特别是敏感信息进行管理、保护、控制和发布的规定和实行细则。一个计算机信息系统中可以有一个或者多个安全策略。 3.5

7、 访问控制 Access Control 防止对资源的未授权使用，涉及防止以未授权方式使用某一资源。 3.6 系统漏洞 System Vulnerability 系统漏洞是指系统中的脆弱性，是计算机软件、硬件、协议设计实现的过程中或系统安全策略上存在的缺陷和局限性，涉及一切也许导致威胁，损坏计算机安全性、完整性、可用性、可靠性和可控性的因素。 3.7 安全审计 Security Audit 为了测试系统的控制是否足够，为了保证与已建立的策略和操作堆积相符合，为了发现安全中的漏洞，以及为了建议在控制、策略和堆积中做任何指定的改变，而对操作系统记录与活动的独立观测和考核。

8、 3.8 密码策略 Password Policy 在信息系统中，鉴别一般是在用户登录时发生的，系统提醒用户输入口令，然后判断用户输入的口令，然后判断两个然后判断，可以把第二个然后判断用户输入的口令删掉。 用户输入的口令是否与系统中存在的该用户口令一致。密码口令机制虽然使用的普遍，但较为脆弱，许多用户经常使用自己的姓名、生日等安全性较弱的密码，这种口令很难经得住常见的字典袭击。因此需要制定密码长度不小于8个字符并同时具有数字和字母的密码，并限定一个密码的生存周期。 3.9 审计机制 Audit Mechanism 审计机制是对系统、用户主体、对象（涉及文献、消息、信号量、共

9、享区等）等用户动作归纳成为一个个可区分、可辨认、可标志用户行为和可记录的固定审计事件集。对用户来讲，系统可以设立规定审计的时间，即用户事件标准。用户的操作处在系统监视之下，一旦其行为落入用户事件集或系统固定审计事件集中，系统就会将这一信息记录下来。 3.10 日记记录器 Logger 日记机制记录信息。系统或程序的配置参数表白了信息的类型和数量。日记机制可以把信息记录成二进制形式或可读的形式，或者直接把收集的信息传达给分析机制。 3.11 报警系统 Alarm System 安全报警的产生，是检测到任何符合已定义报警条件的安全相关事件的结果，这也许涉及门限（阈值）的情况。报警系统是

10、用来响应诸如安全违规这类非正常事件的。 4 受检规定 4.1 检查周期 检查机构对程序版本发生重大升级或名称发生改变的主机安全检测产品应进行检查；同时，可以根据安全威胁和国家标准与法规的发展情况对主机安全检测产品进行专项检查。 4.2 测试用例规定 受检公司应提交其产品检查用的测试用例，提交的测试用例应是近期流行的有效袭击方式。 4.3 资料规定 受检公司应提交以下产品相关资料： a) 受检公司应提交产品研发人员的个人简历； b) 受检公司应提交产品的中文使用说明书； c) 受检公司应提交核封完整的正式产品。 5 测试指标规定 5.1 测试指标  5.1.1 产品载

11、体 主机安全检测产品单机版应当提供以下载体的产品检测介质，并需要在以下介质的是不是应当改成中的。 直接执行能力： a) 光盘 b) U盘 主机安全检测产品网络版除需提供单机版的检测介质外，还需要提供用于检测程序下发和结果汇总的便携式的主机安全检测工作站设备。 5.2 检测病毒能力 对病毒样本基本库基本库是对的吗？ 至少能检测其中的95% ； 对流行病毒样本库至少能检测其中的98% ； 对特殊格式病毒样本库至少能检测其中的95% 。 6 功能规定 6.1 身份鉴别 计算机主机安全检测产品应可以对操作系统的用户进行身份标记和鉴别。 6.1.1口令鉴别 计算机主机安全

12、检测产品应可以对操作系统口令信息复杂度进行辨认，并通过度析提取信息判断用户口令是否合规。对不合规的弱口令与空口令应进行提醒，并形成检查报表。 6.1.2用户鉴别 计算机主机安全检测产品应可以对操作系统用户信息进行辨认，通过度析提取信息判断用户和组以及定义它们的属性构成。并判断用户标记是否具有惟一性，对非惟一性用户名进行提醒，并形成检查报表。 6.1.3密码策略 计算机主机安全检测产品应可以对操作系统密码策略进行辨认，并通过度析提取策略信息，判断密码及账户策略是否合规。对不合规的密码策略设立应进行提醒，并形成检查报表。 6.2 访问控制 计算机主机安全检测产品应可以对操作系统的安全访

13、问策略和访问控制进行检测。 6.2.1文献权限 计算机主机安全检测产品应可以提取操作系统重要目录或文献访问权限，判断是否存在文献权限风险，并对操作系统内用户角色及权限分派进行提取，形成检查报表。 6.2.2默认共享 计算机主机安全检测产品应可以对操作系统内网络共享进行检测，判断是否存在共享风险，并形成检查报表。 6.3 安全审计 计算机主机安全检测产品应可以对操作系统的网络日记、审计记录进行安全行为检测。 6.3.1审计策略 计算机主机安全检测产品应可以对提取操作系统审计机制，并可以根据审计机制配置判断是否存在配置风险，并形成检查报表。 6.3.2网络日记 计算机主机安全检

14、测产品应可以对操作系统内日记记录器或报警系统进行检测，判断日记记录器或报警系统运营状态，并形成检查报表。 6.4 剩余信息保护 计算机主机安全检测产品应能对操作系统的鉴别信息所在的存储空间，是否在被释放或在分派给其他用户前得到完全清除进行检测，并可以判断用户解决方法与策略是否合规。 6.5 入侵防范 计算机主机安全检测产品反复了，应当删掉吧！ 计算机主机安全检测产品应可以检测对主机进行入侵的行为，可以记录入侵的源IP，袭击的类型、时间，并在发生严重入侵事件时可以提取网络状态记录与系统补丁记录。 6.5.1系统补丁 计算机主机安全检测产品应可以提取操作系统已安装的补丁列表，

15、并可以根据系统补丁安装状况，列出尚未修补的系统漏洞，并生成提醒报表。 6.5.2网络状况 计算机主机安全检测产品应可以提取并记录操作系统当前网络IP与端口活动情况，并形成检查报表。 6.6 恶意代码防范 计算机主机安全检测产品应可以检测操作系统是否安装有反恶意代码软件，检测反恶意代码软件病毒库是否认期自动更新。并可以提供自带恶意代码检测软件，对操作系统进行恶意代码检测。 6.7 资源控制 计算机主机安全检测产品应能对操作系统的终端接入方式、网络地址范围生成报告，并可以检测根据安全策略设立登录终端的操作超时锁定。 6.8 数据库检测 计算机主机安全检测产品应能对主机中的数据库用户

16、身份标记进行提取，并检测数据库账户口令是否存在弱口令与空口令。 7 测试方法 7.1 身份鉴别 计算机主机安全检测产品应可以对操作系统的用户进行身份标记和鉴别。 【检测方法】 a) 准备工作 1) 建立检测用操作系统环境； 2) 创建多个用户，账户类型包含Admin和Guest； 3) 设立账户类型为Admin的账户口令，包含合规口令、弱口令和空口令； 4) 设立账户类型为Guest的账户口令，包含合规口令、弱口令和空口令； 5) 随机设立上述账户的密码过期时间。 b) 测试环节 1) 运营送检产品，执行包含相关检查内容的检测功能。如需要对配置进行设定，则将相关扫描

17、配置项所有设定为启动，并开始执行检测； 2) 检查结束后，打开检查记录，查看检查报告。 c) 预期结果 1) 产品运营顺利，无任何异常； 2) 报告内容提醒口令为空改为空口令好些 的账户名； 3) 报告内容提醒口令为弱口令的账户名； 4) 报告内容合规口令的账户名提醒为安全； 5) 报告内容账户类型为Admin的账户提醒必须密码不通顺，是必须提醒设立密码吗？ ； 6) 报告内容密码过期时间与实际设立相符； 7) 报告内容显示系统所有账户的相关信息。 7.1.1口令鉴别 计算机主机安全检测产品应可以对操作系统口令信息复杂度进行辨认，并通过度析提取信息判断用户口令是否合规

18、对不合规的弱口令与空口令应进行提醒，并形成检查报表。 7.1.2用户鉴别 计算机主机安全检测产品应可以对操作系统用户信息进行辨认，通过度析提取信息判断用户和组以及定义它们的属性构成。并判断用户标记是否具有惟一性，对非惟一性用户名进行提醒，并形成检查报表。 7.1.3密码策略 计算机主机安全检测产品应可以对操作系统密码策略进行辨认，并通过度析提取策略信息，判断密码及账户策略是否合规。对不合规的密码策略设立应进行提醒，并形成检查报表。 7.2 访问控制 计算机主机安全检测产品应可以对操作系统的安全访问策略和访问控制进行检测。 【检测方法】 a) 准备工作 1) 建立检测用操作

19、系统环境； 2) 关键目录“C:\windows\system”的访问权限包含所有的用户组； 3) 关键目录“C:\windows\system32\config”这个文字大小错误，这里应当改一下，这是改过后的 的访问权限包含所有的用户组； 4) 默认共享服务启动，并添加自定义共享目录； 5) 随机设立上述账户的密码过期时间。 b) 测试环节 1) 运营送检产品，执行包含相关检查内容的检测功能。如需要对配置进行设定，则将相关扫描配置项所有设定为启动，并开始执行检测； 2) 检查结束后，打开检查记录，查看检查报告。 c) 预期结果 1) 产品运营顺利，无任何异常； 2) 报

20、告内容提醒上述“关键目录”的用户组权限信息； 3) 报告内容显示系统当前所有的文献共享状况。 7.2.1文献权限 计算机主机安全检测产品应可以提取操作系统重要目录或文献访问权限，判断是否存在文献权限风险，并对操作系统内用户角色及权限分派进行提取，形成检查报表。 7.2.2默认共享 计算机主机安全检测产品应可以对操作系统内网络共享进行检测，判断是否存在共享风险，并形成检查报表。 7.3 安全审计 计算机主机安全检测产品应可以对操作系统的网络日记、审计记录进行安全行为检测。 【检测方法】 a) 准备工作 1) 建立检测用操作系统环境，保证其运营正常； 2) 系统环境中添加第

21、三方应用软件相关的服务； b) 测试环节 1) 运营送检产品，执行包含相关检查内容的检测功能。如需要对配置进行设定，则将相关扫描配置项所有设定为启动，并开始执行检测； 2) 检查结束后，打开检查记录，查看检查报告。 c) 预期结果 1) 产品运营顺利，无任何异常； 2) 报告内容显示检测系统环境中所有服务的相关信息，及运营状态； 3) 报告内容提醒是否是“是否”吗？ 为“系统关键服务”。 7.3.1审计策略 计算机主机安全检测产品应可以对这个字是否可以删除 提取操作系统审计机制，并可以根据审计机制配置判断是否存在配置风险，并形成检查报表。 7.3.2网络日记 计算机主

22、机安全检测产品应可以对操作系统内日记记录器或报警系统进行检测，判断日记记录器或报警系统运营状态，并形成检查报表。 7.4 剩余信息保护 计算机主机安全检测产品应能对操作系统的鉴别信息所在的存储空间，是否在被释放或在分派给其他用户前得到完全清除进行检测，并可以判断用户解决方法与策略是否合规。 【检测方法】 a) 准备工作 1) 建立检测用操作系统环境，保证其运营正常； 2) 送检产品中包含的“剩余信息保护”相关的安全选项，均为默认配置； b) 测试环节 1) 运营送检产品，执行包含相关检查内容的检测功能。如需要对配置进行设定，则将相关扫描配置项所有设定为启动，并开始执行检测；

23、 2) 检查结束后，打开检查记录，查看检查报告。 c) 预期结果 1) 产品运营顺利，无任何异常； 2) 报告内容显示所有“剩余信息保护”相关的安全选项描述，及其当前设立状态； 7.5 入侵防范 计算机主机安全检测产品计算机主机安全检测产品反复 应可以检测对主机进行入侵的行为，可以记录入侵的源IP，袭击的类型、时间，并在发生严重入侵事件时可以提取网络状态记录与系统补丁记录。 【检测方法】 a) 准备工作 1) 建立检测用操作系统环境，保证其运营正常； 2) 合用对吗？ 系统自带的漏洞升级工具，对部分补丁进行升级安装操作； 3) 保证待检测系统环境已成功连接网络； b

24、) 测试环节 1) 运营送检产品，执行包含相关检查内容的检测功能。如需要对配置进行设定，则将相关扫描配置项所有设定为启动，并开始执行检测； 2) 检查结束后，打开检查记录，查看检查报告。 c) 预期结果 1) 产品运营顺利，无任何异常； 2) 报告内容提醒当前未修补的系统漏洞信息； 3) 报告内容显示所有的已安装系统补丁编号； 4) 报告内容显示系统当前所有网络活动状态报表； 7.5.1系统补丁 计算机主机安全检测产品应可以提取操作系统已安装的补丁列表，并可以根据系统补丁安装状况，列出尚未修补的系统漏洞，并生成提醒报表。 7.5.2网络状况 计算机主机安全检测产品应可以提

25、取并记录操作系统当前网络IP与端口活动情况，并形成检查报表。 7.6 恶意代码防范 计算机主机安全检测产品应可以检测操作系统是否安装有反恶意代码软件，检测反恶意代码软件病毒库是否认期自动更新。并可以提供自带恶意代码检测软件，对操作系统进行恶意代码检测。 【检测方法】 a) 准备工作 1) 建立检测用操作系统环境，保证其运营正常； 2) 安装具有反恶意代码的安全产品软件，比如：安天防线7，金山卫士等； b) 测试环节 1) 运营送检产品，执行包含相关检查内容的检测功能。如需要对配置进行设定，则将相关扫描配置项所有设定为启动，并开始执行检测； 2) 检查结束后，打开检查记录，查

26、看检查报告。 c) 预期结果 1) 产品运营顺利，无任何异常； 2) 报告内容显示系统当前已安装的安全产品软件信息； 7.7 资源控制 计算机主机安全检测产品应能对操作系统的终端接入方式、网络地址范围生成报告，并可以检测根据安全策略设立登录终端的操作超时锁定。 【检测方法】 a) 准备工作 1) 建立检测用操作系统环境，保证其运营正常； 2) 设立屏幕保护程序的密码保护功能处在未启用状态； 3) 关闭系统自带防火墙功能； b) 测试环节 1) 运营送检产品，执行包含相关检查内容的检测功能。如需要对配置进行设定，则将相关扫描配置项所有设定为启动，并开始执行检测； 2)

27、 检查结束后，打开检查记录，查看检查报告。 c) 预期结果 1) 产品运营顺利，无任何异常； 2) 报告内容提醒没有启用带密码的屏幕保护功能； 3) 报告内容提醒当前windows自带防火墙未启动； 4) 报告内容显示当前系统TCP端口、UDP端口和IP协议的控制状态。 8 报告格式 8.1 产品检查结果及评分表 产品检查结果及评分表格式见表1。 表1 产品检查结果及评分表 检查项目 分数 备注 基本病毒检测 15 流行病毒检测 15 特殊格式病毒检测 5 身份鉴别 10 安全审计 10 剩余信息保护 10 入侵防范 10 恶意代码防范 10 资源控制 10 数据库检测 5 9 评级方法 受检产品的评级方法如下： a) 按表1规定的检查项目对受检产品进行评级。 b) 受检产品未满足检查项目规定,则该项分值为零, 满足检查项目规定,则该项分值按表1计算。 c) 按受检产品所得总分数拟定产品的级别，级别划分见表2。 表2 级别划分 分值 级别 （71-80）分 一级 （81-90）分 二级 90分以上 三级