网络病毒监控系统安全技术要求和测试.docx

1、网络病毒监控系统安全技术要求和测试网络病毒监控系统安全技术要求和测试1范围本标准规泄了网络病毒监控系统的功能要求、安全要求、性能要求及安全保障要求，并给出了测试 评价方法。本标准适用于网络病毒监控系统的设讣、开发及检测。2术语和定义2. 1网络病毒监控系统Vi rus detect io n SyStem旁路方式监听网络内的数拯包并进行分析，以发现网络中传播的病毒及英相关行为的系统。2.2病毒VirUS能够影响汁算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序或代 码，包括文件型病毒、蠕虫、木马程序、宏病毒、脚本病毒等恶意程序。2.3病毒捕获Vi rus CaPtUre

2、网络病毒监控系统为保留病毒或疑似病毒样本以及受感染的文件,而将从网络上捕获的相应文件存 储在特定的受限制存储空间的处理方式。2.4内部网络 internal network通过防火墙/网络病毒监控系统隔离的可信任区域或保护区域。2.5外部网络 external network通过防火墙/网络病毒监控系统隔离的不可信任区域或非保护区域。2.6线速 Wire SPeed网络病毒监控系统所监控网络环境理论上能达到的最大转发速率。2.7负载呈Peak IOad网络病毒监控系统在不丢包的情况下处理监控数据的能力，一般以能达到的线速（或称通过速率）的百分比来表示。2.8恶意URL ma I icious

3、URL指向的资源中含有病毒的URL。2.9加壳病毒PaCked Vi rus通过特定算法的变换，将病毒的编码进行一次或多次的压缩、加密，产生新的病毒文件。与原病毒 文件相比，文件内容发生变化，但功能保持不变。2. 10可执行病毒样本executable Vi rus SamPIe可以被激活并正常执行苴功能的病毒样本文件。2. 11恶意网页脚本样本 ma I icious WebPage SCr ipt VirUS SamPIe含有漏洞利用、后门、远程控制等恶意代码的恶意网页或脚本病毒样本文件。2. 12已知病毒样本known Vi rus SamPIe网络病毒监控系统能够检测的病毒样本文件。2

4、. 13病毒样本库Vi rus SamPle Set病毒样本文件的集合。3缩略语下列缩略语适用于本文件。URL：统一资源立位符(Uniform ReSOUrCe LOCatOr)IP：互联网协议(Internet PrOtOCOr)TCP：传输控制协议(TgnSmiSSiOn COntrOI PrOtOCOr)HTTP：超文本传输协议(旳PerTeXt TranSfer PrOtOCOI)SMB：服务器消息块协议(SerVer MeSSage BIOCk)CIFS：通用网络文件系统协议(COmmOn Internet FiIe SyStem)IPv4：互联网协议第4版(Internet PrO

5、tOCOI VerSiOn 4)IPv6：互联网协议第6版(Internet PrOtOCOI VerSiOn 6)FTP：文件传输协议(File TranSfer PrOtOCOr)POP3：邮局协议第3版(POSt OffiCe PrOtOCOI VerSiOn 3)SMTP：简单邮件传输协议(SimPIe MaiI TranSfer PrOtOCOl)INfAP: Internet邮件访问协议(Internet Ha订 ACCeSS PrOtOCOI)HTML:超文本标记语言(旳PerTeXt MarkUP LangUage)XLS:微软公司电子表格文档格式(MiCrOSOft EXCe

6、I)CSV:逗号分隔的文本文件格式(COmma-SeParated VaIUeS)XML：可扩展标记语言(EXtenSible MarkUP LangUage)Gbps：千兆/秒(GigabitS Per SeCOnd)KB：千字节(KilO Byte)HTTPS：安全超文本传输协议(HyPerteXt TranSfer PrOtOCOI OVer SeCUre SOCket Layer)IDS：入侵检测系统(IntrUStiOn DeteCtiOn SyStem)IPS：入侵防御系统(IntrUStiOn PreVentiOn SyStem)4网络病毒监控系统描述网络病毒监控系统以旁路方式接

7、入网络，能够实时监测网络环境中的病毒疫情发展趋势；全面检测 各种网络病毒的扫描、传输、攻击等行为：精确泄位病毒的来源；评估病毒产生的网络压力状况；并准 确提供病毒类别、病毒名称等信息：形成网络病毒的全局视图。这种网络病毒监控系统能够检测网络内部的数据，对多种网络协议和应用协议的数据进行分析和病 毒扫描，一旦发现病毒就会采取告警，并立位病毒文件及苴来源、病毒类别、病毒勺称等信息，实现病 毒大规模爆发前的预警。一些网络病毒监控系统还可以与英它安全设备进行交互，对病毒传播行为进行 阻断。网络病毒监控系统运行环境和工作模式参见附录A中A. 1, A.2。5技术要求5.1总体说明5.1.1技术要求分类将

8、网络病毒监控系统安全技术要求分为功能、安全、性能和安全保障要求四个大类。其中，功能要 求是对网络病毒监控系统应具备的功能提出具体的要求，包括安全监测能力、监控策略、响应处理、报 表和统计、加密应用协议支持、故障信息告警、升级能力、协同能力等；性能要求是对网络病毒监控系 统应达到的性能指标做出规定，例如负载疑；安全要求是对网络病毒监控系统自身安全和防护能力提出 具体的要求，例如标识与鉴别、安全管理、审计日志等：安全保障要求则针对网络病毒监控系统开发者 和网络病毒监控系统自身提出具体的要求，例如开发、指导性文档、生命周期支持、测试、脆弱性评定 等。5.1.2安全等级根据国内测评认证机构、测评技术和

9、我国网络病毒监控系统产品开发现状，对网络病毒监控系统产 品进行安全等级划分。安全等级分为基本级和增强级。安全等级划分标准主要依据产品的功能特性，对 基本级产品的性能不作要求。增强级产品除需满足基本级产品的技术要求外，还需满足增强级中列出的英他技术要求。其中加 粗宋体字”表示所描述的要求仅适用于增强级产品。5.2功能要求5. 2. 1基本级5. 2.1.1监测能力网络病毒监控系统应具有实时获取被监控网络内的数据包和数据流的能力。获取的数据包和数据流 应足以进行病毒检测和分析。5. 2.1.1.2应用协议支持产品应支持对使用以下应用协议的网络请求和响应进行病毒检测和分析：a） HTTP 协议；b）

10、 FTP协议；C） POP3 协议；d） SMiP 协议；e） SMB/CIFS 协议。5. 2.1.1.3静态病毒检测当处于静态菲激活的病毒在被监控网络中传播时，产品应具有相应的响应处理能力，并且对于正常 的系统文件和文档不会产生误报警。5. 2.1.1.4逃避检测防护产品应能支持识别圧缩格式的病毒文件，以此发现逃避检测的病毒传播行为。5. 2.1.1.5多种类型网络应用场景支持为适应不同类型网络，产品应具有以下能力：a） 产品支持在纯IPv4IPv6网络应用场景中安装与正常使用；b） 产品支持IPv4与IPv6双协议栈,可以在IPv4与IPv6共存的网络应用场景中安装与正常使用。5. 2.

11、 1.2监控策略5. 2. 1.2. 1策略自定义产品应能根据5. 2. 1. 1中所述的要求添加、修改和删除监控策略。5. 2. 1.2.2策略初始模板产品应具备初始的监控策略，并覆盖5. 2. 1.1. 2中所述的常见应用协议，并开启对病毒文件的检测 功能。5. 2. 1.3响应处理5. 2. 1.3. 1病毒检测产品应能根据监控策略对病毒文件进行检测和告警。5. 2. 1.3.2告警信息产品应能对病毒传播行为提供报警功能。报警信息应至少包括以下内容：a） 病毒传播来源地址；b） 病毒传播来源端口号；C）病毒传播目的地址；d）病毒传播目的端口号；e） 病毒传播协议：f） 病毒文件爼；g）

12、病毒名称：h） 事件发生的日期和时间。5. 2. 1.3.3告警方式产品告警应采用屏幕实时提示、邮件告警、短信告警和声音告警等一种或多种方式。5. 2. 1.3. 4事件记录产品应能对病毒传播行为及时生成事件记录，事件记录应存储于掉电非易失性存储介质中，且在存 储空间达到阈值时能够通知授权管理员。5. 2. 1.4报表和统计5. 2. 1.4. 1报表生成产品应能对事件记录进行统讣，并根据以下模板生成报表：a） 缺省报表模板；b） 自泄义报表模板。5. 2. 1.4. 2报表导出产品报表应能输出成方便阅读的文件格式，至少支持以下报表文件格式中的一种或多种：DoC.PDF. HTML、XLS、C

13、SV、XML等。5. 2. 1.4.3统计功能产品应提供基于时间、主机地址、威胁事件类型等进行统讣的功能。5. 2.1.5故障信息告警产品应具备软、硬件故障告警功能，能够在软件、硬件出现故障时，通过屏幕实时提示、邮件告警、 短信告警、声音告警等一种或多种方式进行告警。5. 2.1.6升级能力产品应支持手动或自动的方式进行升级，对病毒库、策略文件以及服务程序等进行更新。5.2.2增强级5. 2. 2. 1监测能力5. 2. 2.1.1数据收集网络病毒监控系统应具有实时获取被监控网络内的数据包和数据流的能力。获取的数据包和数据流 应足以进行病毒检测和分析。5. 2. 2.1.2应用协议支持产品应支

14、持对使用以下应用协议的网络请求和响应进行病毒检测和分析：a） HTiP 协议；b） FTP协议；C） POP3 协议；d） SMTP 协议；e） SMB/ClFS 协议：f） 其它协议。5. 2. 2.1.3静态病毒检测当处于静态非激活的病毒在被监控网络中传播时，产品应具有相应的响应处理能力，并且对于正常 的系统文件和文档不会产生误报警。5. 2. 2.1.4动态病毒检测当处于动态已激活的病毒在被监控网络中传播时，产品应具有相应的响应处理能力。5. 2. 2.1.5逃避检测防护产品应能支持识別以下特殊格式的病毒文件，以此发现逃避检测的病毒传播行为：a） 压缩格式的病毒文件：b） 加壳格式的病毒

15、文件。5. 2. 2.1.6恶意URL防护对于含有病毒、木马等恶意软件的恶意URL,产品应具有相应的响应处理能力。5. 2. 2.1.7多种类型网络应用场景支持为适应不同类型网络，产品应具有以下能力：a） 产品支持在纯IPv4IPv6网络应用场景中安装与正常使用；b） 产品支持IPv4与IPv6双协议栈,可以在IPv4与IPv6共存的网络应用场景中安装与正常使用。5. 2. 2. 2监控策略5. 2. 2.2. 1策略自定义产品应能根据5. 2. 2. 1中所述的要求添加、修改和删除监控策略。5. 2. 2.2.2策略初始模板产品应具备初始的监控策略，并覆盖5. 2. 2. 1. 2中所述的常见应用协议，并开启对病毒文件的检测 功能。5. 2. 2. 3响应处理5. 2. 2. 3. 1病毒检测产品应能根据监控策略对病毒文件进行检测和告警。5. 2. 2. 3. 2病毒捕获产品应能根据监控策略对病毒文件进行捕获。5. 2. 2. 3. 3恶意URL检测产品应能根据防护策略对恶意URL的访问请求进行