还剩13页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
GA中华人民共和国公共安全行业标准GA××××—××××计算机主机安全检测产品测评准则Testingandevaluationcriteriafordetectionproductsofhostcomputersecurity(试行)201×-××-××发布201×-××-××实施中华人民共和国公安部发布目录TOC\o1-3\h\z\u前言11范围22规范性引用文件23术语和定义24受检要求
44.1检验周期
44.2测试用例要求
44.3资料要求45测试指标要求
45.1测试指标
45.2检测病毒能力46功能要求
46.1身份鉴别
46.2访问控制
56.3安全审计
56.4剩余信息保护
56.5入侵防范
56.6恶意代码防范
66.7资源控制
66.8数据库检测67测试方法
67.1身份鉴别
67.2访问控制
77.3安全审计
87.4剩余信息保护
87.5入侵防范
97.6恶意代码防范
107.7资源控制108报告格式
118.1产品检验结果及评分表119评级方法11前言本标准的全部技术内容为强制性本标准由公安部网络安全保卫局提出本标准由公安部信息系统安全标准化技术委员会归口本标准起草单位天津市公共信息网络安全监察总队、公安部计算机病毒防治产品检验中心、国家计算机病毒应急处理中心本标准主要起草人张津弟、陈建民、张健、范春玲、苗得雨、肖新光、曹鹏计算机主机安全检测产品测评准则1范围本标准规定了针对计算机主机安全检测产品的受检要求、测试指标要求、功能要求、测试方法、报告格式及评级方法本标准适用于针对计算机主机安全检测产品的检测和评级2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件,其最新版本适用于本标准GA243-2000 计算机病毒防治产品评级准则GB/T
18336.3-2001信息技术安全技术信息技术安全性评估准则第3部分安全保证要求(idtISO/IEC15408-31999)3术语和定义GA243-
2000、GB/T
18336.3-2001中确立的以及下列术语和定义适用于本标准
3.1操作系统安全OperatingSystemSecurity操作系统所存储、传输和处理的信息的保密性、完整性和可用性的表征
3.2用户标识UserIdentification用来标明用户的身份,确保用户在系统中的唯一性和可辨认性,一般用名称和用户标识符(UID)来标明系统中的一个用户名称和标识符都是公开的明码信息标识是有效实施其他安全策略(如用户数据保护、安全审计等)的基础通过为用户提供唯一标识,能使用户对自己的行为负责
3.3身份鉴别UserAuthentication身份鉴别是对信息系统访问者身份合法性的确认,是对其访问权限进行分配与管理的前提,同时也是审计功能及用户数据保护的先决条件通过标识与鉴别的方式确保用户与正确的安全属性(如身份、组、角色、机密性类或完整性类)相连接对授权用户的明确标识,以及为用户与主题关联正确的安全属性
3.4安全策略SecurityPolicy对计算机信息系统中与安全相关的资源,尤其是敏感信息进行管理、保护、控制和发布的规定和实施细则一个计算机信息系统中可以有一个或者多个安全策略
3.5访问控制AccessControl防止对资源的未授权使用,包括防止以未授权方式使用某一资源
3.6系统漏洞SystemVulnerability系统漏洞是指系统中的脆弱性,是计算机软件、硬件、协议设计实现的过程中或系统安全策略上存在的缺陷和不足,包括一切可能导致威胁,损坏计算机安全性、完整性、可用性、可靠性和可控性的因素
3.7安全审计SecurityAudit为了测试系统的控制是否足够,为了保证与已建立的策略和操作堆积相符合,为了发现安全中的漏洞,以及为了建议在控制、策略和堆积中做任何指定的改变,而对操作系统记录与活动的独立观察和考核
3.8密码策略PasswordPolicy在信息系统中,鉴别一般是在用户登录时发生的,系统提示用户输入口令,然后判断用户输入的口令,然后判断用户输入的口令是否与系统中存在的该用户口令一致密码口令机制虽然使用的普遍,但较为脆弱,许多用户经常使用自己的姓名、生日等安全性较弱的密码,这种口令很难经得住常见的字典攻击因此需要制定密码长度不小于8个字符并同时含有数字和字母的密码,并限定一个密码的生存周期
3.9审计机制AuditMechanism审计机制是对系统、用户主体、对象(包括文件、消息、信号量、共享区等)等用户动作归纳成为一个个可区分、可识别、可标志用户行为和可记录的固定审计事件集对用户来讲,系统可以设置要求审计的时间,即用户事件标准用户的操作处于系统监视之下,一旦其行为落入用户事件集或系统固定审计事件集中,系统就会将这一信息记录下来
3.10日志记录器Logger日志机制记录信息系统或程序的配置参数表明了信息的类型和数量日志机制可以把信息记录成二进制形式或可读的形式,或者直接把收集的信息传达给分析机制
3.11报警系统AlarmSystem安全报警的产生,是检测到任何符合已定义报警条件的安全相关事件的结果,这可能包括门限(阈值)的情况报警系统是用来响应诸如安全违规这类非正常事件的4受检要求
4.1检验周期检验机构对程序版本发生重大升级或名称发生改变的主机安全检测产品应进行检验;同时,可以根据安全威胁和国家标准与法规的发展情况对主机安全检测产品进行专项检验
4.2测试用例要求受检企业应提交其产品检验用的测试用例,提交的测试用例应是近期流行的有效攻击方式
4.3资料要求受检企业应提交以下产品相关资料a受检企业应提交产品研发人员的个人简历;b受检企业应提交产品的中文使用说明书;c受检企业应提交核封完整的正式产品5测试指标要求
5.1测试指标
5.
1.1产品载体主机安全检测产品单机版应该提供以下载体的产品检测介质,并需要在以下介质的直接执行能力a光盘bU盘主机安全检测产品网络版除需提供单机版的检测介质外,还需要提供用于检测程序下发和结果汇总的便携式的主机安全检测工作站设备
5.2检测病毒能力对病毒样本基本库至少能检测其中的95%;对流行病毒样本库至少能检测其中的98%;对特殊格式病毒样本库至少能检测其中的95%6功能要求
6.1身份鉴别计算机主机安全检测产品应能够对操作系统的用户进行身份标识和鉴别
6.
1.1口令鉴别计算机主机安全检测产品应能够对操作系统口令信息复杂度进行识别,并通过分析提取信息判断用户口令是否合规对不合规的弱口令与空口令应进行提示,并形成检查报表
6.
1.2用户鉴别计算机主机安全检测产品应能够对操作系统用户信息进行识别,通过分析提取信息判断用户和组以及定义它们的属性构成并判断用户标识是否具有惟一性,对非惟一性用户名进行提示,并形成检查报表
6.
1.3密码策略计算机主机安全检测产品应能够对操作系统密码策略进行识别,并通过分析提取策略信息,判断密码及账户策略是否合规对不合规的密码策略设置应进行提示,并形成检查报表
6.2访问控制计算机主机安全检测产品应能够对操作系统的安全访问策略和访问控制进行检测
6.
2.1文件权限计算机主机安全检测产品应能够提取操作系统重要目录或文件访问权限,判断是否存在文件权限风险,并对操作系统内用户角色及权限分配进行提取,形成检查报表
6.
2.2默认共享计算机主机安全检测产品应能够对操作系统内网络共享进行检测,判断是否存在共享风险,并形成检查报表
6.3安全审计计算机主机安全检测产品应能够对操作系统的网络日志、审计记录进行安全行为检测
6.
3.1审计策略计算机主机安全检测产品应能够对提取操作系统审计机制,并能够根据审计机制配置判断是否存在配置风险,并形成检查报表
6.
3.2网络日志计算机主机安全检测产品应能够对操作系统内日志记录器或报警系统进行检测,判断日志记录器或报警系统运行状态,并形成检查报表
6.4剩余信息保护计算机主机安全检测产品应能对操作系统的鉴别信息所在的存储空间,是否在被释放或在分配给其他用户前得到完全清除进行检测,并能够判断用户处理方法与策略是否合规
6.5入侵防范计算机主机安全检测产品计算机主机安全检测产品应能够检测对主机进行入侵的行为,能够记录入侵的源IP,攻击的类型、时间,并在发生严重入侵事件时能够提取网络状态记录与系统补丁记录
6.
5.1系统补丁计算机主机安全检测产品应能够提取操作系统已安装的补丁列表,并能够根据系统补丁安装状况,列出尚未修补的系统漏洞,并生成提示报表
6.
5.2网络状况计算机主机安全检测产品应能够提取并记录操作系统当前网络IP与端口活动情况,并形成检查报表
6.6恶意代码防范计算机主机安全检测产品应能够检测操作系统是否安装有反恶意代码软件,检测反恶意代码软件病毒库是否定期自动更新并能够提供自带恶意代码检测软件,对操作系统进行恶意代码检测
6.7资源控制计算机主机安全检测产品应能对操作系统的终端接入方式、网络地址范围生成报告,并能够检测根据安全策略设置登录终端的操作超时锁定
6.8数据库检测计算机主机安全检测产品应能对主机中的数据库用户身份标识进行提取,并检测数据库账户口令是否存在弱口令与空口令7测试方法
7.1身份鉴别计算机主机安全检测产品应能够对操作系统的用户进行身份标识和鉴别【检测方法】a准备工作1建立检测用操作系统环境;2创建多个用户,账户类型包含Admin和Guest;3设置账户类型为Admin的账户口令,包含合规口令、弱口令和空口令;4设置账户类型为Guest的账户口令,包含合规口令、弱口令和空口令;5随机设置上述账户的密码过期时间b测试步骤1运行送检产品,执行包含相关检查内容的检测功能如需要对配置进行设定,则将相关扫描配置项全部设定为开启,并开始执行检测;2检查结束后,打开检查记录,查看检查报告c预期结果1产品运行顺利,无任何异常;2报告内容提示口令为空的账户名;3报告内容提示口令为弱口令的账户名;4报告内容合规口令的账户名提示为安全;5报告内容账户类型为Admin的账户提示必须密码;6报告内容密码过期时间与实际设置相符;7报告内容显示系统全部账户的相关信息
7.
1.1口令鉴别计算机主机安全检测产品应能够对操作系统口令信息复杂度进行识别,并通过分析提取信息判断用户口令是否合规对不合规的弱口令与空口令应进行提示,并形成检查报表
7.
1.2用户鉴别计算机主机安全检测产品应能够对操作系统用户信息进行识别,通过分析提取信息判断用户和组以及定义它们的属性构成并判断用户标识是否具有惟一性,对非惟一性用户名进行提示,并形成检查报表
7.
1.3密码策略计算机主机安全检测产品应能够对操作系统密码策略进行识别,并通过分析提取策略信息,判断密码及账户策略是否合规对不合规的密码策略设置应进行提示,并形成检查报表
7.2访问控制计算机主机安全检测产品应能够对操作系统的安全访问策略和访问控制进行检测【检测方法】a准备工作1建立检测用操作系统环境;2关键目录“C:\windows\system”的访问权限包含全部的用户组;3关键目录“C:\windows\system32\config”的访问权限包含全部的用户组;4默认共享服务开启,并添加自定义共享目录;5随机设置上述账户的密码过期时间b测试步骤1运行送检产品,执行包含相关检查内容的检测功能如需要对配置进行设定,则将相关扫描配置项全部设定为开启,并开始执行检测;2检查结束后,打开检查记录,查看检查报告c预期结果1产品运行顺利,无任何异常;2报告内容提示上述“关键目录”的用户组权限信息;3报告内容显示系统当前全部的文件共享状况
7.
2.1文件权限计算机主机安全检测产品应能够提取操作系统重要目录或文件访问权限,判断是否存在文件权限风险,并对操作系统内用户角色及权限分配进行提取,形成检查报表
7.
2.2默认共享计算机主机安全检测产品应能够对操作系统内网络共享进行检测,判断是否存在共享风险,并形成检查报表
7.3安全审计计算机主机安全检测产品应能够对操作系统的网络日志、审计记录进行安全行为检测【检测方法】a准备工作1建立检测用操作系统环境,确保其运行正常;2系统环境中添加第三方应用软件相关的服务;b测试步骤1运行送检产品,执行包含相关检查内容的检测功能如需要对配置进行设定,则将相关扫描配置项全部设定为开启,并开始执行检测;2检查结束后,打开检查记录,查看检查报告c预期结果1产品运行顺利,无任何异常;2报告内容显示检测系统环境中全部服务的相关信息,及运行状态;3报告内容提示是否为“系统关键服务”
7.
3.1审计策略计算机主机安全检测产品应能够对提取操作系统审计机制,并能够根据审计机制配置判断是否存在配置风险,并形成检查报表
7.
3.2网络日志计算机主机安全检测产品应能够对操作系统内日志记录器或报警系统进行检测,判断日志记录器或报警系统运行状态,并形成检查报表
7.4剩余信息保护计算机主机安全检测产品应能对操作系统的鉴别信息所在的存储空间,是否在被释放或在分配给其他用户前得到完全清除进行检测,并能够判断用户处理方法与策略是否合规【检测方法】a准备工作1建立检测用操作系统环境,确保其运行正常;2送检产品中包含的“剩余信息保护”相关的安全选项,均为默认配置;b测试步骤1运行送检产品,执行包含相关检查内容的检测功能如需要对配置进行设定,则将相关扫描配置项全部设定为开启,并开始执行检测;2检查结束后,打开检查记录,查看检查报告c预期结果1产品运行顺利,无任何异常;2报告内容显示全部“剩余信息保护”相关的安全选项描述,及其当前设置状态;
7.5入侵防范计算机主机安全检测产品计算机主机安全检测产品应能够检测对主机进行入侵的行为,能够记录入侵的源IP,攻击的类型、时间,并在发生严重入侵事件时能够提取网络状态记录与系统补丁记录【检测方法】a准备工作1建立检测用操作系统环境,确保其运行正常;2适用系统自带的漏洞升级工具,对部分补丁进行升级安装操作;3确保待检测系统环境已成功连接网络;b测试步骤1运行送检产品,执行包含相关检查内容的检测功能如需要对配置进行设定,则将相关扫描配置项全部设定为开启,并开始执行检测;2检查结束后,打开检查记录,查看检查报告c预期结果1产品运行顺利,无任何异常;2报告内容提示当前未修补的系统漏洞信息;3报告内容显示全部的已安装系统补丁编号;4报告内容显示系统当前全部网络活动状态报表;
7.
5.1系统补丁计算机主机安全检测产品应能够提取操作系统已安装的补丁列表,并能够根据系统补丁安装状况,列出尚未修补的系统漏洞,并生成提示报表
7.
5.2网络状况计算机主机安全检测产品应能够提取并记录操作系统当前网络IP与端口活动情况,并形成检查报表
7.6恶意代码防范计算机主机安全检测产品应能够检测操作系统是否安装有反恶意代码软件,检测反恶意代码软件病毒库是否定期自动更新并能够提供自带恶意代码检测软件,对操作系统进行恶意代码检测【检测方法】a准备工作1建立检测用操作系统环境,确保其运行正常;2安装具有反恶意代码的安全产品软件,比如安天防线7,金山卫士等;b测试步骤1运行送检产品,执行包含相关检查内容的检测功能如需要对配置进行设定,则将相关扫描配置项全部设定为开启,并开始执行检测;2检查结束后,打开检查记录,查看检查报告c预期结果1产品运行顺利,无任何异常;2报告内容显示系统当前已安装的安全产品软件信息;
7.7资源控制计算机主机安全检测产品应能对操作系统的终端接入方式、网络地址范围生成报告,并能够检测根据安全策略设置登录终端的操作超时锁定【检测方法】a准备工作1建立检测用操作系统环境,确保其运行正常;2设置屏幕保护程序的密码保护功能处于未启用状态;3关闭系统自带防火墙功能;b测试步骤1运行送检产品,执行包含相关检查内容的检测功能如需要对配置进行设定,则将相关扫描配置项全部设定为开启,并开始执行检测;2检查结束后,打开检查记录,查看检查报告c预期结果1产品运行顺利,无任何异常;2报告内容提示没有启用带密码的屏幕保护功能;3报告内容提示当前windows自带防火墙未开启;4报告内容显示当前系统TCP端口、UDP端口和IP协议的控制状态8报告格式
8.1产品检验结果及评分表产品检验结果及评分表格式见表1表1产品检验结果及评分表检验项目分数备注基本病毒检测15流行病毒检测15特殊格式病毒检测5身份鉴别10安全审计10剩余信息保护10入侵防范10恶意代码防范10资源控制10数据库检测59评级方法受检产品的评级方法如下a按表1规定的检验项目对受检产品进行评级b受检产品未满足检验项目要求则该项分值为零满足检验项目要求则该项分值按表1计算c按受检产品所得总分数确定产品的级别,级别划分见表2表2级别划分分值级别(71-80)分一级(81-90)分二级90分以上三级ICS
35.020L04。