信息安全等级保护检测产品检验规范.doc

GA 中华人民共和国公共安全行业标准 GA 计 算 机 主 机 安 全 检 测 产 品 测 评 准 则 Testing and evaluation criteria for detection products of host computer security 试行 201 发布 201 实施 中华人民共和国公安部 发 布 ICS 35 020 L04 目 录 前 言 1 1 范围 2 2 规范性引用文件 2 3 术语和定义 2 4 受检要求 4 4 1 检验周期 4 4 2 测试用例要求 4 4 3 资料要求 4 5 测试指标要求 4 5 1 测试指标 4 5 2 检测病毒能力 4 6 功能要求 4 6 1 身份鉴别 4 6 2 访问控制 5 6 3 安全审计 5 6 4 剩余信息保护 5 6 5 入侵防范 5 6 6 恶意代码防范 6 6 7 资源控制 6 6 8 数据库检测 6 7 测试方法 6 7 1 身份鉴别 6 7 2 访问控制 7 7 3 安全审计 8 7 4 剩余信息保护 8 7 5 入侵防范 9 7 6 恶意代码防范 10 7 7 资源控制 10 8 报告格式 11 8 1 产品检验结果及评分表 11 9 评级方法 11 前 言 本标准的全部技术内容为强制性 本标准由公安部网络安全保卫局提出 本标准由公安部信息系统安全标准化技术委员会归口 本标准起草单位 天津市公共信息网络安全监察总队 公安部计算机病毒防治产品检 验中心 国家计算机病毒应急处理中心 本标准主要起草人 张津弟 陈建民 张健 范春玲 苗得雨 肖新光 曹鹏 Comment K1 修改版 还是觉得这段不通顺 Comment K2 多了一个空格 Comment K3 多了一个空格 计算机主机安全检测产品测评准则 1 范围 本标准规定了针对计算机主机安全检测产品的受检要求 测试指标要求 功能要求 测试方法 报告格式及评级方法 本标准适用于针对计算机主机安全检测产品的检测和评级 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款 凡是注日期的引用文件 其随后所有的修改单 不包括勘误的内容 或修订版均不适用于本标准 然而 鼓励根据 本标准达成协议的各方研究是否可使用这些文件的最新版本 凡是不注日期的引用文件 其最新版本适用于本标准 GA 243 2000 计算机病毒防治产品评级准则 GB T 18336 3 2001 信息技术 安全技术 信息技术安全性评估准则 第 3部分 安全 保证要求 idt ISO IEC 15408 3 1999 3 术语和定义 GA 243 2000 GB T 18336 3 2001中确立的以及下列术语和定义适用于本标准 3 1 操作系统安全 Operating System Security 操作系统所存储 传输和处理的信息的保密性 完整性和可用性的表征 3 2 用户标识 User Identification 用来标明用户的身份 确保用户在系统中的唯一性和可辨认性 一般用名称和用户标 识符 UID 来标明系统中的一个用户 名称和标识符都是公开的明码信息 标识是有效 实施其他安全策略 如 用户数据保护 安全审计等 的基础 通过为用户提供唯一标识 能使用户对自己的行为负责 3 3 身份鉴别 User Authentication 身份鉴别是对信息系统访问者身份合法性的确认 是对其访问权限进行分配与管理的 前提 同时也是审计功能及用户数据保护的先决条件 通过标识与鉴别的方式确保用户与 正确的安全属性 如身份 组 角色 机密性类或完整性类 相连接 对授权用户的明确 标识 以及为用户与主题关联正确的安全属性 3 4 安全策略 Security Policy Comment K4 两个然后判断 可以 把第二个然后判断用户输入的口令删 掉 对计算机信息系统中与安全相关的资源 尤其是敏感信息进行管理 保护 控制和发 布的规定和实施细则 一个计算机信息系统中可以有一个或者多个安全策略 3 5 访问控制 Access Control 防止对资源的未授权使用 包括防止以未授权方式使用某一资源 3 6 系统漏洞 System Vulnerability 系统漏洞是指系统中的脆弱性 是计算机软件 硬件 协议设计实现的过程中或系统 安全策略上存在的缺陷和不足 包括一切可能导致威胁 损坏计算机安全性 完整性 可 用性 可靠性和可控性的因素 3 7 安全审计 Security Audit 为了测试系统的控制是否足够 为了保证与已建立的策略和操作堆积相符合 为了发 现安全中的漏洞 以及为了建议在控制 策略和堆积中做任何指定的改变 而对操作系统 记录与活动的独立观察和考核 3 8 密码策略 Password Policy 在信息系统中 鉴别一般是在用户登录时发生的 系统提示用户输入口令 然后判断 用户输入的口令 然后判断用户输入的口令是否与系统中存在的该用户口令一致 密码口 令机制虽然使用的普遍 但较为脆弱 许多用户经常使用自己的姓名 生日等安全性较弱 的密码 这种口令很难经得住常见的字典攻击 因此需要制定密码长度不小于 8个字符并 同时含有数字和字母的密码 并限定一个密码的生存周期 3 9 审计机制 Audit Mechanism 审计机制是对系统 用户主体 对象 包括文件 消息 信号量 共享区等 等用户 动作归纳成为一个个可区分 可识别 可标志用户行为和可记录的固定审计事件集 对用 户来讲 系统可以设置要求审计的时间 即用户事件标准 用户的操作处于系统监视之下 一旦其行为落入用户事件集或系统固定审计事件集中 系统就会将这一信息记录下来 3 10 日志记录器 Logger 日志机制记录信息 系统或程序的配置参数表明了信息的类型和数量 日志机制可以 把信息记录成二进制形式或可读的形式 或者直接把收集的信息传达给分析机制 3 11 报警系统 Alarm System 安全报警的产生 是检测到任何符合已定义报警条件的安全相关事件的结果 这可能 包括门限 阈值 的情况 报警系统是用来响应诸如安全违规这类非正常事件的 Comment K5 是不是应该改成中的 Comment K6 基本库是对的吗 4 受检要求 4 1 检验周期 检验机构对程序版本发生重大升级或名称发生改变的主机安全检测产品应进行检验 同时 可以根据安全威胁和国家标准与法规的发展情况对主机安全检测产品进行专项检验 4 2 测试用例要求 受检企业应提交其产品检验用的测试用例 提交的测试用例应是近期流行的有效攻击 方式 4 3 资料要求 受检企业应提交以下产品相关资料 a 受检企业应提交产品研发人员的个人简历 b 受检企业应提交产品的中文使用说明书 c 受检企业应提交核封完整的正式产品 5 测试指标要求 5 1 测试指标 5 1 1 产品载体 主机安全检测产品单机版应该提供以下载体的产品检测介质 并需要在以下介质的直 接执行能力 a 光盘 b U盘 主机安全检测产品网络版除需提供单机版的检测介质外 还需要提供用于检测程序下 发和结果汇总的便携式的主机安全检测工作站设备 5 2 检测病毒能力 对病毒样本基本库至少能检测其中的 95 对流行病毒样本库至少能检测其中的 98 对特殊格式病毒样本库至少能检测其中的 95 6 功能要求 6 1 身份鉴别 计算机主机安全检测产品应能够对操作系统的用户进行身份标识和鉴别 6 1 1口令鉴别 Comment K7 重复了 应该删掉吧 计算机主机安全检测产品应能够对操作系统口令信息复杂度进行识别 并通过分析提 取信息判断用户口令是否合规 对不合规的弱口令与空口令应进行提示 并形成检查报表 6 1 2用户鉴别 计算机主机安全检测产品应能够对操作系统用户信息进行识别 通过分析提取信息判 断用户和组以及定义它们的属性构成 并判断用户标识是否具有惟一性 对非惟一性用户 名进行提示 并形成检查报表 6 1 3密码策略 计算机主机安全检测产品应能够对操作系统密码策略进行识别 并通过分析提取策略 信息 判断密码及账户策略是否合规 对不合规的密码策略设置应进行提示 并形成检查 报表 6 2 访问控制 计算机主机安全检测产品应能够对操作系统的安全访问策略和访问控制进行检测 6 2 1文件权限 计算机主机安全检测产品应能够提取操作系统重要目录或文件访问权限 判断是否存 在文件权限风险 并对操作系统内用户角色及权限分配进行提取 形成检查报表 6 2 2默认共享 计算机主机安全检测产品应能够对操作系统内网络共享进行检测 判断是否存在共享 风险 并形成检查报表 6 3 安全审计 计算机主机安全检测产品应能够对操作系统的网络日志 审计记录进行安全行为检测 6 3 1审计策略 计算机主机安全检测产品应能够对提取操作系统审计机制 并能够根据审计机制配置 判断是否存在配置风险 并形成检查报表 6 3 2网络日志 计算机主机安全检测产品应能够对操作系统内日志记录器或报警系统进行检测 判断 日志记录器或报警系统运行状态 并形成检查报表 6 4 剩余信息保护 计算机主机安全检测产品应能对操作系统的鉴别信息所在的存储空间 是否在被释放 或在分配给其他用户前得到完全清除进行检测 并能够判断用户处理方法与策略是否合规 6 5 入侵防范 计算机主机安全检测产品计算机主机安全检测产品应能够检测对主机进行入侵的行为 能够记录入侵的源 IP 攻击的类型 时间 并在发生严重入侵事件时能够提取网络状态记 录与系统补丁记录 6 5 1 系统补丁 计算机主机安全检测产品应能够提取操作系统已安装的补丁列表 并能够根据系统补 丁安装状况 列出尚未修补的系统漏洞 并生成提示报表 6 5 2 网络状况 计算机主机安全检测产品应能够提取并记录操作系统当前网络 IP 与端口活动情况 并 形成检查报表 6 6 恶意代码防范 计算机主机安全检测产品应能够检测操作系统是否安装有反恶意代码软件 检测反恶 意代码软件病毒库是否定期自动更新 并能够提供自带恶意代码检测软件 对操作系统进 行恶意代码检测 6 7 资源控制 计算机主机安全检测产品应能对操作系统的终端接入方式 网络地址范围生成报告 并能够检测根据安全策略设置登录终端的操作超时锁定 6 8 数据库检测 计算机主机安全检测产品应能对主机中的数据库用户身份标识进行提取 并检测数据 库账户口令是否存在弱口令与空口令 7 测试方法 7 1 身份鉴别 计算机主机安全检测产品应能够对操作系统的用户进行身份标识和鉴别 检测方法 a 准备工作 1 建立检测用操作系统环境 2 创建多个用户 账户类型包含 Admin 和 Guest 3 设置账户类型为 Admin 的账户口令 包含合规口令 弱口令和空口令 4 设置账户类型为 Guest 的账户口令 包含合规口令 弱口令和空口令 5 随机设置上述账户的密码过期时间 b 测试步骤 1 运行送检产品 执行包含相关检查内容的检测功能 如需要对配置进行设定 则将相关扫描配置项全部设定为开启 并开始执行检测 2 检查结束后 打开检查记录 查看检查报告 Comment K8 改为空口令好些 Comment K9 不通顺 是必须提示 设置密码吗 Comment K10 这个文字大小错误 这里应该改一下 这是改过后的 c 预期结果 1 产品运行顺利 无任何异常 2 报告内容提示口令为空的账户名 3 报告内容提示口令为弱口令的账户名 4 报告内容合规口令的账户名提示为安全 5 报告内容账户类型为 Admin的账户提示必须密码 6 报告内容密码过期时间与实际设置相符 7 报告内容显示系统全部账户的相关信息 7 1 1口令鉴别 计算机主机安全检测产品应能够对操作系统口令信息复杂度进行识别 并通过分析提 取信息判断用户口令是否合规 对不合规的弱口令与空口令应进行提示 并形成检查报表 7 1 2用户鉴别 计算机主机安全检测产品应能够对操作系统用户信息进行识别 通过分析提取信息判 断用户和组以及定义它们的属性构成 并判断用户标识是否具有惟一性 对非惟一性用户 名进行提示 并形成检查报表 7 1 3密码策略 计算机主机安全检测产品应能够对操作系统密码策略进行识别 并通过分析提取策略 信息 判断密码及账户策略是否合规 对不合规的密码策略设置应进行提示 并形成检查 报表 7 2 访问控制 计算机主机安全检测产品应能够对操作系统的安全访问策略和访问控制进行检测 检测方法 a 准备工作 1 建立检测用操作系统环境 2 关键目录 C windows system 的访问权限包含全部的用户组 3 关键目录 C windows system32 config 的访问权限包含全部的用户组 4 默认共享服务开启 并添加自定义共享目录 5 随机设置上述账户的密码过期时间 b 测试步骤 1 运行送检产品 执行包含相关检查内容的检测功能 如需要对配置进行设定 则将相关扫描配置项全部设定为开启 并开始执行检测 Comment K11 是 是否 吗 Comment K12 这个字是否可以删 除 2 检查结束后 打开检查记录 查看检查报告 c 预期结果 1 产品运行顺利 无任何异常 2 报告内容提示上述 关键目录 的用户组权限信息 3 报告内容显示系统当前全部的文件共享状况 7 2 1文件权限 计算机主机安全检测产品应能够提取操作系统重要目录或文件访问权限 判断是否存 在文件权限风险 并对操作系统内用户角色及权限分配进行提取 形成检查报表 7 2 2默认共享 计算机主机安全检测产品应能够对操作系统内网络共享进行检测 判断是否存在共享 风险 并形成检查报表 7 3 安全审计 计算机主机安全检测产品应能够对操作系统的网络日志 审计记录进行安全行为检测 检测方法 a 准备工作 1 建立检测用操作系统环境 确保其运行正常 2 系统环境中添加第三方应用软件相关的服务 b 测试步骤 1 运行送检产品 执行包含相关检查内容的检测功能 如需要对配置进行设定 则将相关扫描配置项全部设定为开启 并开始执行检测 2 检查结束后 打开检查记录 查看检查报告 c 预期结果 1 产品运行顺利 无任何异常 2 报告内容显示检测系统环境中全部服务的相关信息 及运行状态 3 报告内容提示是否为 系统关键服务 7 3 1审计策略 计算机主机安全检测产品应能够对提取操作系统审计机制 并能够根据审计机制配置 判断是否存在配置风险 并形成检查报表 7 3 2网络日志 计算机主机安全检测产品应能够对操作系统内日志记录器或报警系统进行检测 判断 日志记录器或报警系统运行状态 并形成检查报表 Comment K13 重复 Comment K14 对吗 7 4 剩余信息保护 计算机主机安全检测产品应能对操作系统的鉴别信息所在的存储空间 是否在被释放 或在分配给其他用户前得到完全清除进行检测 并能够判断用户处理方法与策略是否合规 检测方法 a 准备工作 1 建立检测用操作系统环境 确保其运行正常 2 送检产品中包含的 剩余信息保护 相关的安全选项 均为默认配置 b 测试步骤 1 运行送检产品 执行包含相关检查内容的检测功能 如需要对配置进行设定 则将相关扫描配置项全部设定为开启 并开始执行检测 2 检查结束后 打开检查记录 查看检查报告 c 预期结果 1 产品运行顺利 无任何异常 2 报告内容显示全部 剩余信息保护 相关的安全选项描述 及其当前设置状态 7 5 入侵防范 计算机主机安全检测产品计算机主机安全检测产品应能够检测对主机进行入侵的行为 能够记录入侵的源 IP 攻击的类型 时间 并在发生严重入侵事件时能够提取网络状态记 录与系统补丁记录 检测方法 a 准备工作 1 建立检测用操作系统环境 确保其运行正常 2 适用系统自带的漏洞升级工具 对部分补丁进行升级安装操作 3 确保待检测系统环境已成功连接网络 b 测试步骤 1 运行送检产品 执行包含相关检查内容的检测功能 如需要对配置进行设定 则将相关扫描配置项全部设定为开启 并开始执行检测 2 检查结束后 打开检查记录 查看检查报告 c 预期结果 1 产品运行顺利 无任何异常 2 报告内容提示当前未修补的系统漏洞信息 3 报告内容显示全部的已安装系统补丁编号 4 报告内容显示系统当前全部网络活动状态报表 7 5 1 系统补丁 计算机主机安全检测产品应能够提取操作系统已安装的补丁列表 并能够根据系统补 丁安装状况 列出尚未修补的系统漏洞 并生成提示报表 7 5 2 网络状况 计算机主机安全检测产品应能够提取并记录操作系统当前网络 IP 与端口活动情况 并 形成检查报表 7 6 恶意代码防范 计算机主机安全检测产品应能够检测操作系统是否安装有反恶意代码软件 检测反恶 意代码软件病毒库是否定期自动更新 并能够提供自带恶意代码检测软件 对操作系统进 行恶意代码检测 检测方法 a 准备工作 1 建立检测用操作系统环境 确保其运行正常 2 安装具有反恶意代码的安全产品软件 比如 安天防线 7 金山卫士等 b 测试步骤 1 运行送检产品 执行包含相关检查内容的检测功能 如需要对配置进行设定 则将相关扫描配置项全部设定为开启 并开始执行检测 2 检查结束后 打开检查记录 查看检查报告 c 预期结果 1 产品运行顺利 无任何异常 2 报告内容显示系统当前已安装的安全产品软件信息 7 7 资源控制 计算机主机安全检测产品应能对操作系统的终端接入方式 网络地址范围生成报告 并能够检测根据安全策略设置登录终端的操作超时锁定 检测方法 a 准备工作 1 建立检测用操作系统环境 确保其运行正常 2 设置屏幕保护程序的密码保护功能处于未启用状态 3 关闭系统自带防火墙功能 b 测试步骤 1 运行送检产品 执行包含相关检查内容的检测功能 如需要对配置进行设定 则将相关扫描配置项全部设定为开启 并开始执行检测 2 检查结束后 打开检查记录 查看检查报告 c 预期结果 1 产品运行顺利 无任何异常 2 报告内容提示没有启用带密码的屏幕保护功能 3 报告内容提示当前 windows 自带防火墙未开启 4 报告内容显示当前系统 TCP 端口 UDP 端口和 IP 协议的控制状态 8 报告格式 8 1 产品检验结果及评分表 产品检验结果及评分表格式见表 1 表 1 产品检验结果及评分表 检验项目 分数 备注 基本病毒检测 15 流行病毒检测 15 特殊格式病毒检测 5 身份鉴别 10 安全审计 10 剩余信息保护 10 入侵防范 10 恶意代码防范 10 资源控制 10 数据库检测 5 9 评级方法 受检产品的评级方法如下 a 按表 1 规定的检验项目对受检产品进行评级 b 受检产品未满足检验项目要求 则该项分值为零 满足检验项目要求 则该项分值按 表 1 计算 c 按受检产品所得总分数确定产品的级别 级别划分见表 2 表 2 级别划分 分值 级别 71 80 分 一级 81 90 分 二级 90 分以上 三级