GB/T 37090-2018 信息安全技术 病毒防治产品安全技术要求和测试评价方法

ICS35.040

L80£3©

中华人民共和国国家标准

GB/T37090—2018

信息安全技术病毒防治产品

安全技术要求和测试评价方法

Informationsecuritytechnology—Securitytechnicalrequirements,testingand

evaluationmethodsforantivirusproducts

2018-12-28发布2019-07-01实施

发布

GB/T3709—2018

目次

冃U有I

1范围1

2术语和定义1

3缩略语3

4病毒防治产品描述3

4.1功能概述3

4.2运行环境概述3

4.3技术概述4

5技术要求4

5.1总体说明4

5.2功能要求5

5.3安全要求10

5.4安全保障要求11

6测试评价方法17

6.1总体说明17

6.2功能测试17

6.3安全性测试25

6.4安全保障评估27

附录A（资料性附录）产品测试工具34

参考文献35

GB/T3709—2018

■>r■—>—

刖弓

本标准按照GB/T1.1-2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位：国家计算机病毒应急处理中心、国家网络与信息安全信息通报中心、公安部第一

研究所、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、国家信息中心、天津市公

安局网络安全保卫总队。

本标准主要起草人：陈建民、杜振华、曹鹏、张瑞、张秀东、冯军亮、黄一斌、蒋勇、禄凯、刘健、王文一、

张黠、李菊、舒心、徐超、胡光俊、刘威、王踞、王茗。

T

GB/T3709—2018

信息安全技术病毒防治产品

安全技术要求和测试评价方法

1范围

本标准规定了病毒防治产品的技术要求，包括功能要求、安全要求和安全保障要求，并给出了测试

评价方法。

本标准适用于病毒防治产品的设计、开发及检测。

2术语和定义

下列术语和定义适用于本文件。

2.1

恶意软件malware

能够影响计算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序或代

码的软件。

2.2

病毒virus

编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机正常使用，并能自我复

制的一组计算机指令或者程序代码。

2.3

文件感染型病毒fileviruses

以文件为宿主，能够通过将自身包含的恶意代码插入到目标文件中，实现对目标文件的感染。

2.4

宏病毒macroviruses

利用文档中的宏代码编辑的恶意代码，在允许宏代码运行的条件下，可以在打开文档时运行。

2.5

蠕虫worm

通过信息系统漏洞缺陷或信息系统使用者的弱点主动进行传播的恶意程序。

2.6

木马程序trojanhorsesprogram

主动与攻击者通信，接收来自攻击者的指令，并能够根据指令对所在主机进行各种恶意操作的恶意

程序。

2.7

间谍软件spyware

不依赖攻击者指令，潜伏在主机中，按照事先设定的执行条件收集特定的敏感信息并隐蔽地传输给

攻击者的恶意程序。

2.8

脚本恶意程序maliciousscriptprogram

使用脚本语言编写的，并在脚本执行环境中运行的恶意程序。

1

GB/T37090—2018

2.9

后门程序backdoorprogram

开放特定的网络端口，等待攻击者连接,并接收攻击者的指令执行相应的恶意操作的恶意程序。

2.10

僵尸程序botprogram

主动与攻击者通信，接收攻击者的指令，并与其他感染此类恶意程序的主机一起对特定目标发起攻

击的恶意程序。

2.11

勒索软件ransomware

采取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权，并籍此向用户索取勒索金的恶

意程序。

2.12

Rootkit恶意程序rootkitsprogram

以系统内核态或用户态权限运行,能够对主机操作系统组件功能调用请求进行拦截和篡改的恶意

程序。

2.13

Bootkit恶意程序bootkitsprogram

通过感染BIOS或MER等方式植入恶意代码，篡改主机操作系统引导过程,从而感染主机操作系

统的恶意程序。

2.14

病毒检测virusdetection

在病毒防治产品进行病毒处理时,对于确定的测试环境，能够准确地报出病毒文件和病毒名称，并

记录检测结果的处理方式。

2.15

隔离quarantine

在病毒防治产品进行病毒处理时,采取将病毒以及受感染的用户文件从原有位置移动到受限制存

储空间的处理方式。

2.16

清除还原disinfection

在病毒防治产品对受到病毒感染的宿主文件进行处理时，采取清除其中的恶意代码或使恶意代码

失效，恢复宿主文件原有功能的处理方式。

2.17

[病毒]删除[virus]deletion

在病毒防治产品进行病毒处理时,将病毒文件从所在位置删除的处理方式。

2.18

已知病毒样本knownvirussample

经过实际测试后，病毒防治产品能够检测的病毒文件。

2.19

未知病毒样本unknownvirussample

对已知病毒样本文件进行相应修改，但不改变其恶意功能而产生的新病毒文件。

2.20

加壳pack

通过特定算法的变换，将原可执行文件的编码进行一次或多次的压缩、加密，产生新的文件。与原

2

GB/T3709—2018

文件相比，文件内容发生变化，但功能保持不变。

2.21

捆绑filebind

将两个文件进行特定方式的组合，产生新的文件。

2.22

用户态应用程序user-modeapplication

无法直接对外部设备进行操作，且无法直接执行特权指令，通过操作系统提供的特定接口执行操作

的应用程序。

3缩略语

下列缩略语适用于本文件。

BIOS：基本输入输出系统(BasicInputOutputSystem)

CIFS：通用网络文件系统协议(CommoInternetFileSystem)

CPU:中央处理器(CentralProcessingUnit)

DOC；微软公司Word文字处理软件文档格式(MicrosoftWordDocument)

FTP：文件传输协议(FileTransferProtocol)

HTML：超文本标记语言(HyperTextMarkupLanguage)

HTTP:超文本传输协议(HyperTextTransferProtocol)

IMAP：Internet邮件访问协议(InternetMailAccessProtocol)

MB：兆字节(MegaByte)

MBR：主引导记录(MasterBootRecord)

PDF:便携式文档格式(PortableDocumentFormat)

POP3:邮局协议第3版(PostOfficeProtocolVersio3)

SMB：服务器消息块协议(ServerMessageBlock)

SMTP：简单邮件传输协议(SimpleMailTransferProtocol)

TXT：文本文件格式(TextFile)

XLS：微软公司电子表格文档格式(MicrosoftExcel)

XML：可扩展标记语言(ExtensibleMarkupLanguage)

4病毒防治产品描述

4.1功能概述

病毒防治产品是一种以恶意软件防护作为其全部或部分功能的产品，用于检测发现或阻止恶意软

件的传播以及对主机操作系统、应用软件和用户文件的篡改、窃取和破坏等。

4.2运行环境概述

4.2.1主机型

安装在主机操作系统(Windows.Linux.MacOS.Android等)之上，产品安装后通常以系统服务的

方式随操作系统启动运行，能够根据用户需求对主机中的程序文件、数据文件进行病毒检测，并具有实

时防护功能，主动阻止对病毒文件的访问、传输和运行。

3

GB/T3709—2018

4.2.2网络型

部署在受保护网络中，作为网关设备或网络监测设备，对网络中传播的病毒进行检测发现或阻断。

4.2.3嵌入型

针对特定应用服务，或特定的操作系统或硬件平台，通过指定的接口提供病毒防护功能。

4.3技术概述

4.3.1特征码检测技术

特征码检测技术是病毒防治产品的基础性技术，其原理是通过对已知恶意软件样本的分析，抽取该

恶意软件文件及其同家族具有的共性特征代码，作为检测特征，不同厂家由于各自采用的检测引擎存在

差异，特征代码也不尽相同。厂家通过不断升级特征代码库，来保持产品对最新恶意软件的检测能力。

这种技术应用最为广泛,具有检测率高、误报率低的优点，但也具有人力成本高，更新及时性相对较差的

缺点。

4.3.2动态行为检测技术

动态行为检测技术是通过对程序的进程操作、文件操作、注册表操作、网络操作等行为的监视，发现

与已知恶意软件相似的异常行为，从而实现检测和阻断。该技术对未知恶意软件的检测效果提升较为

明显，常作为特征码检测技术的重要补充。

4.3.3云检测技术

为了更快地应对新出现的恶意软件，云检测技术被提出并大规模应用，这种技术采用大数据技术和

云计算技术，收集未知文件样本并在云服务器上进行分析，并将分析判定结果保存在云服务器上，同步

接受客户端产品的查询，大大缩短了特征码更新周期，并降低了客户端产品对本地设备的资源消耗，但

这种技术对网络的依赖性较高，一旦网络连接中断，客户端的检测能力会受到一定影响。

5技术要求

5.1总体说明

5.1.1技术要求分类

病毒防治产品技术要求分为功能要求、安全要求和安全保障要求三个大类。其中，功能要求是对病

毒防治产品应具备的功能提出具体的要求，包括病毒检测、病毒处理、策略自定义、逃避检测防护、隔离

区管理、样本提交、未知病毒检测、告警信息、日志、升级更新、统一管理、异常文件处理等；安全要求是对

病毒防治产品自身安全和防护能力提出具体的要求，例如系统服务、安全保密传输、更新安全、用户数据

安全、组件认证调用、自保护等;安全保障要求则针对病毒防治产品开发者和病毒防治产品自身提出具

体的要求，例如开、指导性文档、生命周期支持、测试、脆弱性评定等。

5.1.2等级划分

等级分为基本级和增强级。等级划分标准主要依据产品的功能特性。基本级主要针对只具备部分

病毒家族类型或部分病毒传播媒介检测能力的产品以及将病毒防护功能作为其部分功能的产品，推荐

适用于网络安全等级保护第二级及以下系统;增强级主要针对具有全部病毒家族类型、病毒传播媒介，

以及未知病毒的检测、处理能力的以防病毒功能作为其全部或主要功能的产品，推荐适用于网络安全等

4

GB/T37090—2018

级保护第三级及以上系统。其中“黑体字”表示基本级中没有出现或增强的要求。

5.2功能要求

5.2.1基本级

病毒检测

.1病毒检测范围

在产品获得相应访问权限的条件下，产品应能够对以下存储位置或其他可能用于传输文件数据或

程序代码的通信协议传输信道进行病毒检测，并且不应对正常的系统程序文件、应用程序文件、文档、程

序代码和数据等产生误报警

a)主机磁盘；

b)主机内存；

c)主机引导区；

d)移动存储介质。

.2病毒检测类型

产品能够对一种或多种病毒家族类型进行检测。

病毒处理

产品应能够对检测到的病毒进行处理,处理方式应包括以下种类的一种或多种：

a）阻止，即产品能够阻止病毒文件的运行、恶意操作或传播；

b）删除，即产品能够将病毒文件删除；

c）隔离，即产品能够将病毒文件从原有位置删除，并备份到一个受限的“隔离区”内。

策略自定义

.1病毒检测方式

产品应能够允许用户自定义病毒检测方式，检测策略应包括以下种类的一种或多种：

a）全面检测，即对产品能够访问的所有本地或网络位置以及所有支持的通信协议传输信道进行

病毒检测；

b）按需检测，即对用户选择的特定的本地或网络位置或指定的通信协议传输信道进行病毒检测。

.2病毒处理策略

产品应能够允许用户自定义病毒处理策略，处理策略应包括以下种类的一种或多种：

a）询问用户后处理；

b）用户可以根据产品支持的病毒处理方式，预先设定病毒处理策略，检测到病毒后按照策略直接

处理。

隔离区管理

如产品支持病毒隔离处理方式，产品应允许用户查看隔离区中的文件,并至少能够进行以下类型的

操作：

a）删除文件，在删除前提示用户删除文件可能引起的后果；

b）还原文件,允许用户按自定义路径或文件原始路径还原文件，在还原前提示用户还原文件可能

5

GB/T37090—2018

引起的后果。

逃避检测防护

产品应能有效检测识别无口令保护的压缩格式文件中的病毒文件，包括zip、rar、tgz、7z等压缩

格式。

告警信息

产品应能够对病毒检测事件为用户提供醒目的告警信息。告警信息应包括以下内容：

a）病毒文件、宿主文件、进程等对象的路径和文件名称；

b）病毒名称；

c）检测日期和时间。

日志

.1日志记录

产品应能够对病毒检测事件进行日志记录，至少能够记录以下内容中的一种或多种：

a）事件日期和时间；

b）病毒文件、宿主文件、进程等对象的路径和文件名称；

c）病毒名称。

.2日志导出

产品应能够将日志记录的内容输出成方便人读和机读的文件格式。

.3日志保存

产品应能够支持保存不少于6个月的日志记录。

升级更新

.1升级方式

产品应支持通过以下方式中的一种或多种进行升级：

a）网络；

b）离线升级包；

c）其他能够传输升级数据的信道。

.2升级内容

产品应支持对以下内容类型中的一种或多种进行升级：

a)病毒特征库

b)策略文件；

c)程序文件。

统一管理

产品如具备通过管理平台对用户环境中安装部署的多个产品副本进行统一管理的功能，应支持以

下功能的一种或多种：

a）升级更新；

6

GB/T37090—2018

b)病毒检测；

c)病毒处理；

d)告警信息；

e)日志；

f)策略自定义。

0异常文件处理

产品应能够对以下几种异常文件进行有效的检查和处理

a)超大文件；

b)畸形格式文件；

c)其他特殊文件。

5.2.2增强级

病毒检测

.1病毒检测范围

在产品获得相应访问权限的条件下，产品应能够对以下存储位置或其他可能用于传输文件数据或

程序代码的通信协议传输信道进行病毒检测，并且不应对正常的系统程序文件、应用程序文件、文档、程

序代码和数据等产生误报警：

a)主机磁盘；

b)主机内存；

c)主机引导区；

d)移动存储介质；

e)网络型产品应支持网络文件共享SMB/CIFS协议传输信道；

f)网络型产品应支持HTTP协议传输信道；

g)网络型产品应支持FTP协议传输信道；

h)网络型产品应支持电子邮件SMTP/POP3/IMAP等协议传输信道。

.2病毒检测类型

产品应至少能够对以下病毒家族类型进行检测：

a)文件感染型病毒；

b)宏病毒；

c)蠕虫；

d)木马程序；

e)间谍软件；

f)脚本恶意程序；

g)后门程序；

h)僵尸程序；

i)勒索软件；

j)Rootkit恶意程序；

k)Bootkit恶意程序。

7

GB/T37090—2018

病毒处理

产品应能够对检测到的病毒进行处理，处理方式应包括以下种类:

a)阻止，即产品能够阻止病毒文件的运行、恶意操作或传播；

b)删除，即产品能够将病毒文件删除；

c)隔离，即产品能够将病毒文件从原有位置删除，并备份到一个受限的“隔离区”内；

d)清除还原•即产品应能够对已感染病毒的宿主程序文件或已感染病毒的操作系统中被病毒篡

改的系统配置、系统文件等进行修复•使其恢复正常状态。

策略自定义

.1病毒检测方式

产品应能够允许用户自定义病毒检测方式•检测策略应包括以下种类：

a）全面检测，即对产品能够访问的所有本地或网络位置以及所有支持的通信协议传输信道进行

病毒检测；

b）按需检测，即对用户选择的特定的本地或网络位置或指定的通信协议传输信道进行病毒检测。

.2病毒处理策略

产品应能够允许用户自定义病毒处理策略•处理策略应包括以下种类：

a)询问用户后处理；

b)用户可以根据产品支持的病毒处理方式，预先设定病毒处理策略•检测到病毒后按照策略直接

处理。

隔离区管理

如产品支持病毒隔离处理方式，产品应允许用户查看隔离区中的文件,并至少能够进行以下类型的

操作：

a)删除文件，在删除前提示用户删除文件可能引起的后果；

b)还原文件,允许用户按自定义路径或文件原始路径还原文件，在还原前提示用户还原文件可能

引起的后果。

样本提交

产品应能够允许用户在充分知情的情况下选择指定文件作为病毒样本提交给产品生产者。

逃避检测防护

.1压缩文件检测

产品应能有效检测识别采用无口令保护的多层（不超过三层）压缩格式的病毒文件。

.2加壳文件检测

产品应能有效识别采用常见加壳技术处理后的病毒文件。

.3格式混淆检测

产品应能有效识别常见的格式混淆技术处理后的病毒文件。

8

GB/T37090—2018

5.2.264捆绑文件检测

产品应能有效识别采用文件捆绑技术处理后的病毒文件。

522.7未知病毒检测

产品应具备对与已知病毒文件特征相似的未知病毒文件的检测能力•特征包括:

a)静态文件二进制特征；

b)动态行为特征•包括但不限于文件操作、进程操作、网络操作等。

告警信息

产品应能够对病毒检测事件为用户提供醒目的告警信息。告警信息应包括以下内容:

a)病毒文件、宿主文件、进程等对象的路径和文件名称；

b)病毒名称；

c)检测日期和时间；

d)网络型产品应提供病毒传播的来源和目的地址。

日志

.1日志记录

产品应能够对病毒检测事件进行日志记录，应能够记录以下内容：

a）事件日期和时间；

b）病毒文件、宿主文件、进程等对象的路径和文件名称；

c）病毒名称；

d）网络型产品应记录病毒传播的来源地址和目的地址。

.2日志导出

产品应能够将日志记录的内容输出成方便人读和机读的文件格式。

.3日志保存

产品应能够允许用户自定义日志保存期限，但最低保存期限不应少于6个月。

0升级更新

0.1升级方式

产品应支持通过以下方式进行升级：

a）网络；

b）离线升级包；

c）其他能够传输升级数据的信道。

0.2升级内容

产品应支持对以下内容类型进行升级:

a）病毒特征库；

b）策略文件；

c）程序文件。

9

GB/T37090—2018

1统一管理

产品应具备通过管理平台对用户环境中安装部署的多个产品副本的以下功能进行统一管理的

能力：

a)升级更新；

b)病毒检测；

c)病毒处理；

d)告警信息；

e)日志；

f)策略自定义。

2异常文件处理

产品应能够对以下几种异常文件进行有效的检查和处理：

a）超大文件；

b）畸形格式文件；

c）其他特殊文件。

5.3安全要求

5.3.1基本级

5.3.1.1系统服务

产品应确保不包含与产品功能无关的多余网络和本地服务。

安全保密传输

产品通过网络或其他通信信道进行升级、更新、查询、样本提交等时，应采取保密措施保障产品与远

程服务器间通信数据传输的安全。

5.3.1.3更新安全

产品进行病毒库、策略文件和应用程序组件升级更新时,应事先对升级更新文件进行完整性和一致

性校验。

用户数据安全

产品应确保不收集与病毒检测无关的用户数据，对数据的收集、使用和存储应符合国家有关法律法

规和相关标准。

5.3.2增强级

系统服务

产品应确保不包含与产品功能无关的多余网络和本地服务。

安全保密传输

产品应能够具备以下安全保密传输能力：

a）产品通过网络或其他通信信道进行升级、更新