信息安全等級保護檢測產(chǎn)品檢驗規(guī)范.doc

GA 中華人民共和國公共安全行業(yè)標準 GA 計 算 機 主 機 安 全 檢 測 產(chǎn) 品 測 評 準 則 Testing and evaluation criteria for detection products of host computer security 試行 201 發(fā)布 201 實施 中華人民共和國公安部 發(fā) 布 ICS 35 020 L04 目 錄 前 言 1 1 范圍 2 2 規(guī)范性引用文件 2 3 術語和定義 2 4 受檢要求 4 4 1 檢驗周期 4 4 2 測試用例要求 4 4 3 資料要求 4 5 測試指標要求 4 5 1 測試指標 4 5 2 檢測病毒能力 4 6 功能要求 4 6 1 身份鑒別 4 6 2 訪問控制 5 6 3 安全審計 5 6 4 剩余信息保護 5 6 5 入侵防范 5 6 6 惡意代碼防范 6 6 7 資源控制 6 6 8 數(shù)據(jù)庫檢測 6 7 測試方法 6 7 1 身份鑒別 6 7 2 訪問控制 7 7 3 安全審計 8 7 4 剩余信息保護 8 7 5 入侵防范 9 7 6 惡意代碼防范 10 7 7 資源控制 10 8 報告格式 11 8 1 產(chǎn)品檢驗結果及評分表 11 9 評級方法 11 前 言 本標準的全部技術內(nèi)容為強制性 本標準由公安部網(wǎng)絡安全保衛(wèi)局提出 本標準由公安部信息系統(tǒng)安全標準化技術委員會歸口 本標準起草單位 天津市公共信息網(wǎng)絡安全監(jiān)察總隊 公安部計算機病毒防治產(chǎn)品檢 驗中心 國家計算機病毒應急處理中心 本標準主要起草人 張津弟 陳建民 張健 范春玲 苗得雨 肖新光 曹鵬 Comment K1 修改版 還是覺得這段不通順 Comment K2 多了一個空格 Comment K3 多了一個空格 計算機主機安全檢測產(chǎn)品測評準則 1 范圍 本標準規(guī)定了針對計算機主機安全檢測產(chǎn)品的受檢要求 測試指標要求 功能要求 測試方法 報告格式及評級方法 本標準適用于針對計算機主機安全檢測產(chǎn)品的檢測和評級 2 規(guī)范性引用文件 下列文件中的條款通過本標準的引用而成為本標準的條款 凡是注日期的引用文件 其隨后所有的修改單 不包括勘誤的內(nèi)容 或修訂版均不適用于本標準 然而 鼓勵根據(jù) 本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本 凡是不注日期的引用文件 其最新版本適用于本標準 GA 243 2000 計算機病毒防治產(chǎn)品評級準則 GB T 18336 3 2001 信息技術 安全技術 信息技術安全性評估準則 第 3部分 安全 保證要求 idt ISO IEC 15408 3 1999 3 術語和定義 GA 243 2000 GB T 18336 3 2001中確立的以及下列術語和定義適用于本標準 3 1 操作系統(tǒng)安全 Operating System Security 操作系統(tǒng)所存儲 傳輸和處理的信息的保密性 完整性和可用性的表征 3 2 用戶標識 User Identification 用來標明用戶的身份 確保用戶在系統(tǒng)中的唯一性和可辨認性 一般用名稱和用戶標 識符 UID 來標明系統(tǒng)中的一個用戶 名稱和標識符都是公開的明碼信息 標識是有效 實施其他安全策略 如 用戶數(shù)據(jù)保護 安全審計等 的基礎 通過為用戶提供唯一標識 能使用戶對自己的行為負責 3 3 身份鑒別 User Authentication 身份鑒別是對信息系統(tǒng)訪問者身份合法性的確認 是對其訪問權限進行分配與管理的 前提 同時也是審計功能及用戶數(shù)據(jù)保護的先決條件 通過標識與鑒別的方式確保用戶與 正確的安全屬性 如身份 組 角色 機密性類或完整性類 相連接 對授權用戶的明確 標識 以及為用戶與主題關聯(lián)正確的安全屬性 3 4 安全策略 Security Policy Comment K4 兩個然后判斷 可以 把第二個然后判斷用戶輸入的口令刪 掉 對計算機信息系統(tǒng)中與安全相關的資源 尤其是敏感信息進行管理 保護 控制和發(fā) 布的規(guī)定和實施細則 一個計算機信息系統(tǒng)中可以有一個或者多個安全策略 3 5 訪問控制 Access Control 防止對資源的未授權使用 包括防止以未授權方式使用某一資源 3 6 系統(tǒng)漏洞 System Vulnerability 系統(tǒng)漏洞是指系統(tǒng)中的脆弱性 是計算機軟件 硬件 協(xié)議設計實現(xiàn)的過程中或系統(tǒng) 安全策略上存在的缺陷和不足 包括一切可能導致威脅 損壞計算機安全性 完整性 可 用性 可靠性和可控性的因素 3 7 安全審計 Security Audit 為了測試系統(tǒng)的控制是否足夠 為了保證與已建立的策略和操作堆積相符合 為了發(fā) 現(xiàn)安全中的漏洞 以及為了建議在控制 策略和堆積中做任何指定的改變 而對操作系統(tǒng) 記錄與活動的獨立觀察和考核 3 8 密碼策略 Password Policy 在信息系統(tǒng)中 鑒別一般是在用戶登錄時發(fā)生的 系統(tǒng)提示用戶輸入口令 然后判斷 用戶輸入的口令 然后判斷用戶輸入的口令是否與系統(tǒng)中存在的該用戶口令一致 密碼口 令機制雖然使用的普遍 但較為脆弱 許多用戶經(jīng)常使用自己的姓名 生日等安全性較弱 的密碼 這種口令很難經(jīng)得住常見的字典攻擊 因此需要制定密碼長度不小于 8個字符并 同時含有數(shù)字和字母的密碼 并限定一個密碼的生存周期 3 9 審計機制 Audit Mechanism 審計機制是對系統(tǒng) 用戶主體 對象 包括文件 消息 信號量 共享區(qū)等 等用戶 動作歸納成為一個個可區(qū)分 可識別 可標志用戶行為和可記錄的固定審計事件集 對用 戶來講 系統(tǒng)可以設置要求審計的時間 即用戶事件標準 用戶的操作處于系統(tǒng)監(jiān)視之下 一旦其行為落入用戶事件集或系統(tǒng)固定審計事件集中 系統(tǒng)就會將這一信息記錄下來 3 10 日志記錄器 Logger 日志機制記錄信息 系統(tǒng)或程序的配置參數(shù)表明了信息的類型和數(shù)量 日志機制可以 把信息記錄成二進制形式或可讀的形式 或者直接把收集的信息傳達給分析機制 3 11 報警系統(tǒng) Alarm System 安全報警的產(chǎn)生 是檢測到任何符合已定義報警條件的安全相關事件的結果 這可能 包括門限 閾值 的情況 報警系統(tǒng)是用來響應諸如安全違規(guī)這類非正常事件的 Comment K5 是不是應該改成中的 Comment K6 基本庫是對的嗎 4 受檢要求 4 1 檢驗周期 檢驗機構對程序版本發(fā)生重大升級或名稱發(fā)生改變的主機安全檢測產(chǎn)品應進行檢驗 同時 可以根據(jù)安全威脅和國家標準與法規(guī)的發(fā)展情況對主機安全檢測產(chǎn)品進行專項檢驗 4 2 測試用例要求 受檢企業(yè)應提交其產(chǎn)品檢驗用的測試用例 提交的測試用例應是近期流行的有效攻擊 方式 4 3 資料要求 受檢企業(yè)應提交以下產(chǎn)品相關資料 a 受檢企業(yè)應提交產(chǎn)品研發(fā)人員的個人簡歷 b 受檢企業(yè)應提交產(chǎn)品的中文使用說明書 c 受檢企業(yè)應提交核封完整的正式產(chǎn)品 5 測試指標要求 5 1 測試指標 5 1 1 產(chǎn)品載體 主機安全檢測產(chǎn)品單機版應該提供以下載體的產(chǎn)品檢測介質 并需要在以下介質的直 接執(zhí)行能力 a 光盤 b U盤 主機安全檢測產(chǎn)品網(wǎng)絡版除需提供單機版的檢測介質外 還需要提供用于檢測程序下 發(fā)和結果匯總的便攜式的主機安全檢測工作站設備 5 2 檢測病毒能力 對病毒樣本基本庫至少能檢測其中的 95 對流行病毒樣本庫至少能檢測其中的 98 對特殊格式病毒樣本庫至少能檢測其中的 95 6 功能要求 6 1 身份鑒別 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)的用戶進行身份標識和鑒別 6 1 1口令鑒別 Comment K7 重復了 應該刪掉吧 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)口令信息復雜度進行識別 并通過分析提 取信息判斷用戶口令是否合規(guī) 對不合規(guī)的弱口令與空口令應進行提示 并形成檢查報表 6 1 2用戶鑒別 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)用戶信息進行識別 通過分析提取信息判 斷用戶和組以及定義它們的屬性構成 并判斷用戶標識是否具有惟一性 對非惟一性用戶 名進行提示 并形成檢查報表 6 1 3密碼策略 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)密碼策略進行識別 并通過分析提取策略 信息 判斷密碼及賬戶策略是否合規(guī) 對不合規(guī)的密碼策略設置應進行提示 并形成檢查 報表 6 2 訪問控制 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)的安全訪問策略和訪問控制進行檢測 6 2 1文件權限 計算機主機安全檢測產(chǎn)品應能夠提取操作系統(tǒng)重要目錄或文件訪問權限 判斷是否存 在文件權限風險 并對操作系統(tǒng)內(nèi)用戶角色及權限分配進行提取 形成檢查報表 6 2 2默認共享 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)內(nèi)網(wǎng)絡共享進行檢測 判斷是否存在共享 風險 并形成檢查報表 6 3 安全審計 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)的網(wǎng)絡日志 審計記錄進行安全行為檢測 6 3 1審計策略 計算機主機安全檢測產(chǎn)品應能夠對提取操作系統(tǒng)審計機制 并能夠根據(jù)審計機制配置 判斷是否存在配置風險 并形成檢查報表 6 3 2網(wǎng)絡日志 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)內(nèi)日志記錄器或報警系統(tǒng)進行檢測 判斷 日志記錄器或報警系統(tǒng)運行狀態(tài) 并形成檢查報表 6 4 剩余信息保護 計算機主機安全檢測產(chǎn)品應能對操作系統(tǒng)的鑒別信息所在的存儲空間 是否在被釋放 或在分配給其他用戶前得到完全清除進行檢測 并能夠判斷用戶處理方法與策略是否合規(guī) 6 5 入侵防范 計算機主機安全檢測產(chǎn)品計算機主機安全檢測產(chǎn)品應能夠檢測對主機進行入侵的行為 能夠記錄入侵的源 IP 攻擊的類型 時間 并在發(fā)生嚴重入侵事件時能夠提取網(wǎng)絡狀態(tài)記 錄與系統(tǒng)補丁記錄 6 5 1 系統(tǒng)補丁 計算機主機安全檢測產(chǎn)品應能夠提取操作系統(tǒng)已安裝的補丁列表 并能夠根據(jù)系統(tǒng)補 丁安裝狀況 列出尚未修補的系統(tǒng)漏洞 并生成提示報表 6 5 2 網(wǎng)絡狀況 計算機主機安全檢測產(chǎn)品應能夠提取并記錄操作系統(tǒng)當前網(wǎng)絡 IP 與端口活動情況 并 形成檢查報表 6 6 惡意代碼防范 計算機主機安全檢測產(chǎn)品應能夠檢測操作系統(tǒng)是否安裝有反惡意代碼軟件 檢測反惡 意代碼軟件病毒庫是否定期自動更新 并能夠提供自帶惡意代碼檢測軟件 對操作系統(tǒng)進 行惡意代碼檢測 6 7 資源控制 計算機主機安全檢測產(chǎn)品應能對操作系統(tǒng)的終端接入方式 網(wǎng)絡地址范圍生成報告 并能夠檢測根據(jù)安全策略設置登錄終端的操作超時鎖定 6 8 數(shù)據(jù)庫檢測 計算機主機安全檢測產(chǎn)品應能對主機中的數(shù)據(jù)庫用戶身份標識進行提取 并檢測數(shù)據(jù) 庫賬戶口令是否存在弱口令與空口令 7 測試方法 7 1 身份鑒別 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)的用戶進行身份標識和鑒別 檢測方法 a 準備工作 1 建立檢測用操作系統(tǒng)環(huán)境 2 創(chuàng)建多個用戶 賬戶類型包含 Admin 和 Guest 3 設置賬戶類型為 Admin 的賬戶口令 包含合規(guī)口令 弱口令和空口令 4 設置賬戶類型為 Guest 的賬戶口令 包含合規(guī)口令 弱口令和空口令 5 隨機設置上述賬戶的密碼過期時間 b 測試步驟 1 運行送檢產(chǎn)品 執(zhí)行包含相關檢查內(nèi)容的檢測功能 如需要對配置進行設定 則將相關掃描配置項全部設定為開啟 并開始執(zhí)行檢測 2 檢查結束后 打開檢查記錄 查看檢查報告 Comment K8 改為空口令好些 Comment K9 不通順 是必須提示 設置密碼嗎 Comment K10 這個文字大小錯誤 這里應該改一下 這是改過后的 c 預期結果 1 產(chǎn)品運行順利 無任何異常 2 報告內(nèi)容提示口令為空的賬戶名 3 報告內(nèi)容提示口令為弱口令的賬戶名 4 報告內(nèi)容合規(guī)口令的賬戶名提示為安全 5 報告內(nèi)容賬戶類型為 Admin的賬戶提示必須密碼 6 報告內(nèi)容密碼過期時間與實際設置相符 7 報告內(nèi)容顯示系統(tǒng)全部賬戶的相關信息 7 1 1口令鑒別 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)口令信息復雜度進行識別 并通過分析提 取信息判斷用戶口令是否合規(guī) 對不合規(guī)的弱口令與空口令應進行提示 并形成檢查報表 7 1 2用戶鑒別 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)用戶信息進行識別 通過分析提取信息判 斷用戶和組以及定義它們的屬性構成 并判斷用戶標識是否具有惟一性 對非惟一性用戶 名進行提示 并形成檢查報表 7 1 3密碼策略 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)密碼策略進行識別 并通過分析提取策略 信息 判斷密碼及賬戶策略是否合規(guī) 對不合規(guī)的密碼策略設置應進行提示 并形成檢查 報表 7 2 訪問控制 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)的安全訪問策略和訪問控制進行檢測 檢測方法 a 準備工作 1 建立檢測用操作系統(tǒng)環(huán)境 2 關鍵目錄 C windows system 的訪問權限包含全部的用戶組 3 關鍵目錄 C windows system32 config 的訪問權限包含全部的用戶組 4 默認共享服務開啟 并添加自定義共享目錄 5 隨機設置上述賬戶的密碼過期時間 b 測試步驟 1 運行送檢產(chǎn)品 執(zhí)行包含相關檢查內(nèi)容的檢測功能 如需要對配置進行設定 則將相關掃描配置項全部設定為開啟 并開始執(zhí)行檢測 Comment K11 是 是否 嗎 Comment K12 這個字是否可以刪 除 2 檢查結束后 打開檢查記錄 查看檢查報告 c 預期結果 1 產(chǎn)品運行順利 無任何異常 2 報告內(nèi)容提示上述 關鍵目錄 的用戶組權限信息 3 報告內(nèi)容顯示系統(tǒng)當前全部的文件共享狀況 7 2 1文件權限 計算機主機安全檢測產(chǎn)品應能夠提取操作系統(tǒng)重要目錄或文件訪問權限 判斷是否存 在文件權限風險 并對操作系統(tǒng)內(nèi)用戶角色及權限分配進行提取 形成檢查報表 7 2 2默認共享 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)內(nèi)網(wǎng)絡共享進行檢測 判斷是否存在共享 風險 并形成檢查報表 7 3 安全審計 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)的網(wǎng)絡日志 審計記錄進行安全行為檢測 檢測方法 a 準備工作 1 建立檢測用操作系統(tǒng)環(huán)境 確保其運行正常 2 系統(tǒng)環(huán)境中添加第三方應用軟件相關的服務 b 測試步驟 1 運行送檢產(chǎn)品 執(zhí)行包含相關檢查內(nèi)容的檢測功能 如需要對配置進行設定 則將相關掃描配置項全部設定為開啟 并開始執(zhí)行檢測 2 檢查結束后 打開檢查記錄 查看檢查報告 c 預期結果 1 產(chǎn)品運行順利 無任何異常 2 報告內(nèi)容顯示檢測系統(tǒng)環(huán)境中全部服務的相關信息 及運行狀態(tài) 3 報告內(nèi)容提示是否為 系統(tǒng)關鍵服務 7 3 1審計策略 計算機主機安全檢測產(chǎn)品應能夠對提取操作系統(tǒng)審計機制 并能夠根據(jù)審計機制配置 判斷是否存在配置風險 并形成檢查報表 7 3 2網(wǎng)絡日志 計算機主機安全檢測產(chǎn)品應能夠對操作系統(tǒng)內(nèi)日志記錄器或報警系統(tǒng)進行檢測 判斷 日志記錄器或報警系統(tǒng)運行狀態(tài) 并形成檢查報表 Comment K13 重復 Comment K14 對嗎 7 4 剩余信息保護 計算機主機安全檢測產(chǎn)品應能對操作系統(tǒng)的鑒別信息所在的存儲空間 是否在被釋放 或在分配給其他用戶前得到完全清除進行檢測 并能夠判斷用戶處理方法與策略是否合規(guī) 檢測方法 a 準備工作 1 建立檢測用操作系統(tǒng)環(huán)境 確保其運行正常 2 送檢產(chǎn)品中包含的 剩余信息保護 相關的安全選項 均為默認配置 b 測試步驟 1 運行送檢產(chǎn)品 執(zhí)行包含相關檢查內(nèi)容的檢測功能 如需要對配置進行設定 則將相關掃描配置項全部設定為開啟 并開始執(zhí)行檢測 2 檢查結束后 打開檢查記錄 查看檢查報告 c 預期結果 1 產(chǎn)品運行順利 無任何異常 2 報告內(nèi)容顯示全部 剩余信息保護 相關的安全選項描述 及其當前設置狀態(tài) 7 5 入侵防范 計算機主機安全檢測產(chǎn)品計算機主機安全檢測產(chǎn)品應能夠檢測對主機進行入侵的行為 能夠記錄入侵的源 IP 攻擊的類型 時間 并在發(fā)生嚴重入侵事件時能夠提取網(wǎng)絡狀態(tài)記 錄與系統(tǒng)補丁記錄 檢測方法 a 準備工作 1 建立檢測用操作系統(tǒng)環(huán)境 確保其運行正常 2 適用系統(tǒng)自帶的漏洞升級工具 對部分補丁進行升級安裝操作 3 確保待檢測系統(tǒng)環(huán)境已成功連接網(wǎng)絡 b 測試步驟 1 運行送檢產(chǎn)品 執(zhí)行包含相關檢查內(nèi)容的檢測功能 如需要對配置進行設定 則將相關掃描配置項全部設定為開啟 并開始執(zhí)行檢測 2 檢查結束后 打開檢查記錄 查看檢查報告 c 預期結果 1 產(chǎn)品運行順利 無任何異常 2 報告內(nèi)容提示當前未修補的系統(tǒng)漏洞信息 3 報告內(nèi)容顯示全部的已安裝系統(tǒng)補丁編號 4 報告內(nèi)容顯示系統(tǒng)當前全部網(wǎng)絡活動狀態(tài)報表 7 5 1 系統(tǒng)補丁 計算機主機安全檢測產(chǎn)品應能夠提取操作系統(tǒng)已安裝的補丁列表 并能夠根據(jù)系統(tǒng)補 丁安裝狀況 列出尚未修補的系統(tǒng)漏洞 并生成提示報表 7 5 2 網(wǎng)絡狀況 計算機主機安全檢測產(chǎn)品應能夠提取并記錄操作系統(tǒng)當前網(wǎng)絡 IP 與端口活動情況 并 形成檢查報表 7 6 惡意代碼防范 計算機主機安全檢測產(chǎn)品應能夠檢測操作系統(tǒng)是否安裝有反惡意代碼軟件 檢測反惡 意代碼軟件病毒庫是否定期自動更新 并能夠提供自帶惡意代碼檢測軟件 對操作系統(tǒng)進 行惡意代碼檢測 檢測方法 a 準備工作 1 建立檢測用操作系統(tǒng)環(huán)境 確保其運行正常 2 安裝具有反惡意代碼的安全產(chǎn)品軟件 比如 安天防線 7 金山衛(wèi)士等 b 測試步驟 1 運行送檢產(chǎn)品 執(zhí)行包含相關檢查內(nèi)容的檢測功能 如需要對配置進行設定 則將相關掃描配置項全部設定為開啟 并開始執(zhí)行檢測 2 檢查結束后 打開檢查記錄 查看檢查報告 c 預期結果 1 產(chǎn)品運行順利 無任何異常 2 報告內(nèi)容顯示系統(tǒng)當前已安裝的安全產(chǎn)品軟件信息 7 7 資源控制 計算機主機安全檢測產(chǎn)品應能對操作系統(tǒng)的終端接入方式 網(wǎng)絡地址范圍生成報告 并能夠檢測根據(jù)安全策略設置登錄終端的操作超時鎖定 檢測方法 a 準備工作 1 建立檢測用操作系統(tǒng)環(huán)境 確保其運行正常 2 設置屏幕保護程序的密碼保護功能處于未啟用狀態(tài) 3 關閉系統(tǒng)自帶防火墻功能 b 測試步驟 1 運行送檢產(chǎn)品 執(zhí)行包含相關檢查內(nèi)容的檢測功能 如需要對配置進行設定 則將相關掃描配置項全部設定為開啟 并開始執(zhí)行檢測 2 檢查結束后 打開檢查記錄 查看檢查報告 c 預期結果 1 產(chǎn)品運行順利 無任何異常 2 報告內(nèi)容提示沒有啟用帶密碼的屏幕保護功能 3 報告內(nèi)容提示當前 windows 自帶防火墻未開啟 4 報告內(nèi)容顯示當前系統(tǒng) TCP 端口 UDP 端口和 IP 協(xié)議的控制狀態(tài) 8 報告格式 8 1 產(chǎn)品檢驗結果及評分表 產(chǎn)品檢驗結果及評分表格式見表 1 表 1 產(chǎn)品檢驗結果及評分表 檢驗項目 分數(shù) 備注 基本病毒檢測 15 流行病毒檢測 15 特殊格式病毒檢測 5 身份鑒別 10 安全審計 10 剩余信息保護 10 入侵防范 10 惡意代碼防范 10 資源控制 10 數(shù)據(jù)庫檢測 5 9 評級方法 受檢產(chǎn)品的評級方法如下 a 按表 1 規(guī)定的檢驗項目對受檢產(chǎn)品進行評級 b 受檢產(chǎn)品未滿足檢驗項目要求 則該項分值為零 滿足檢驗項目要求 則該項分值按 表 1 計算 c 按受檢產(chǎn)品所得總分數(shù)確定產(chǎn)品的級別 級別劃分見表 2 表 2 級別劃分 分值 級別 71 80 分 一級 81 90 分 二級 90 分以上 三級