ICS35. 040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 35277—2017 信息安全技术 防病毒网关安全 技术要求和测试评价方法 I n f o rma t i ons e c u r i t e chno l o e c u r i t e chn i c a lr equ i r emen t sand yt gy—S yt t e s t i ngande va l ua t i onappr oa che sf o ran t i v i r u sga t ewaypr odu c t s 2017 12 29 发布 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 2018 07 01 实施 发 布 GB/T 35277—2017 目 次 前言 ………………………………………………………………………………………………………… Ⅰ 1 范围 ……………………………………………………………………………………………………… 1 2 术语和定义 ……………………………………………………………………………………………… 1 3 缩略语 …………………………………………………………………………………………………… 2 4 防病毒网关描述 ………………………………………………………………………………………… 3 5 技术要求 ………………………………………………………………………………………………… 3 5. 1 总体说明 …………………………………………………………………………………………… 3 5. 2 功能要求 …………………………………………………………………………………………… 3 5. 3 性能要求 …………………………………………………………………………………………… 6 5. 4 安全要求 …………………………………………………………………………………………… 7 5. 5 安全保障要求 ……………………………………………………………………………………… 9 6 测试评价方法 …………………………………………………………………………………………… 15 6. 1 总体说明 …………………………………………………………………………………………… 15 6. 2 功能测试 …………………………………………………………………………………………… 15 6. 3 性能测试 …………………………………………………………………………………………… 21 6. 4 安全性测试 ………………………………………………………………………………………… 22 6. 5 安全保障评估 ……………………………………………………………………………………… 27 附录 A (资料性附录) 防病毒网关运行环境与模式 …………………………………………………… 34 附录 B (资料性附录) 防病毒网关测试环境与工具 …………………………………………………… 36 参考文献 …………………………………………………………………………………………………… 39 GB/T 35277—2017 前 言 本标准按照 GB/T1. 1—2009 给出的规则起草。 本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本标准起草单位:国家计算机病毒应急处理中心、国家信息中 心、中 国 电 子 科 技 集 团 公 司 第 十 五 研 究所(信息产业信息安全测评中心)、中国科学院大学、北京安天网络安全 技 术 有 限 公 司、北 京 瑞 星 信 息 技术股份有限公司、亚信科技(成都)有限公司、北京冠群金辰软件有限公 司、北 京 网 御 星 云 信 息 技 术 有 限公司、网神信息技术(北京)股份有限公司、华为技术有限公司。 本标准主要起草人:陈建民、杜振华、张瑞、刘威、曹鹏、黄一斌、刘健、禄凯、肖新光、叶荣军、张玉清、 王文杰、白日、高 晓 立、王 光 宇、杨 黎 鸿、刘 振 华、刘 彦、张 泰 然、张 喆、邓 莹、彭 立 炜、孙 波、李 冬、舒 心、 张韫菁、冯军亮、马天成、刘杨、王文一、徐双双。 Ⅰ GB/T 35277—2017 信息安全技术 防病毒网关安全 技术要求和测试评价方法 1 范围 本标准规定了防病毒网关的技术要求和测试评价方法。 本标准适用于防病毒网关的设计、开发及检测。 2 术语和定义 下列术语和定义适用于本文件。 2. 1 防病毒网关 an t i v i r u sg a t ewa y 部署于网络和网络之间,通过分析网络层和应用层的通信,根 据 预 先 定 义 的 过 滤 规 则 和 防 护 策 略, 实现对网络内的病毒防护。 2. 2 病毒 v i r u s 能够影响计算机操作系统、应用程序和数据的完整性、可用性、可 控 性 和 保 密 性 的 计 算 机 程 序 或 代 码,包括文件型病毒、蠕虫、木马程序、宏病毒、脚本病毒等恶意程序。 2. 3 隔离 qua r an t i ne 防病毒网关在对病毒进行处理时,为保留病毒样本以及受感染的文件,而采取将病毒以及受感染的 文件存储在一个被称之为“隔离区”的受限制存储空间的处理方式。 2. 4 内部网络 i n t e r na lne two rk 通过防病毒网关隔离的可信任区域或保护区域。 2. 5 外部网络 e x t e rna lne two r k 通过防病毒网关隔离的不可信任区域或非保护区域。 2. 6 最大并发连接数 max imumc onc u r r e n tc onne c t i onc apa c i t y 防病毒网关所能保持的最大并发连接数量。 2. 7 最大新建连接速率 max imumc onne c t i one s t ab l i s hme n tr a t e 防病毒网关在单位时间内所能建立的最大连接数,一般是每秒新建的连接数。 2. 8 恶意 URL ma l i c i ou sURL 指向的资源中含有病毒的 URL。 1 GB/T 35277—2017 2. 9 加壳病毒 pa cke dv i r u s 通过特定算法的变换,将病毒的编码进行一次或多次的 压 缩、加 密,产 生 新 的 病 毒 文 件。与 原 病 毒 文件相比,文件内容发生变化,但功能保持不变。 2. 10 可执行病毒样本 e x e c u t e ab l ev i r u ss amp l e 可以被激活并正常执行其功能的病毒样本文件。 2. 11 恶意网页脚本样本 ma l i c i ou swe bpa es c r i t ev i r u ss amp l e g p 含有漏洞利用、后门、远程控制等恶意代码的恶意网页或脚本病毒样本文件。 2. 12 已知病毒样本 knowne dv i r u ss amp l e 防病毒网关产品能够检测的病毒样本文件。 2. 13 病毒样本库 v i r u ss amp l es e t 病毒样本文件的集合。 2. 14 隧道 t unne l i ng 为实现不同类型网络之间通信的一种网络通信协议封装和加密技术。 3 缩略语 下列缩略语适用于本文件。 CSV:逗号分隔的文本文件格式( Comma -Sepa r a t edVa l ue s) C&C:命令与控制( ComandandCon t r o l) DOC:微软公司 Wo r d 文字处理软件文档格式(Mi c r oso f tWo r dDocumen t) FTP:文件传输协议( F i l eTr ans f e rPr o t o c o l) Gbps:千兆/秒( Gi i t sPe rSe c ond) gab HTML:超文本标记语言(Hype rTex tMa rkupLanguage) HTTP:超文本传输协议(Hype rTex tTr ans f e rPr o t o c o l) IMAP: I n t e rne t邮件访问协议( I n t e rne tMa i lAc c e s sPr o t o c o l) IP:互联网协议( I n t e rne tPr o t o co l) IPv4:互联网协议第 4 版( I n t e rne tPr o t o c o lve r s i on4) IPv6:互联网协议第 6 版( I n t e rne tPr o t o c o lve r s i on6) KB:千字节( Ki l oBy t e) PDF:便携式文档格式( Po r t ab l eDo cumen tFo rma t) POP3:邮局协议第 3 版( Po s tOf f i c ePr o t o c o lve r s i on3) SMTP:简单邮件传输协议( S imp l eMa i lTr ans f e rPr o t o c o l) TCP:传输控制协议( Tr ansmi s s i onCon t r o lPr o t o c o l) URL:统一资源定位符( Un i f o rm Re s our c eLoc a t o r) 2 XLS:微软公司电子表格文档格式(Mi c r o so f tExc e l) GB/T 35277—2017 XML:可扩展标记语言( Ex t ens i b l eMa rkupLanguage) 4 防病毒网关描述 防病毒网关是一种网络设备,用以保护内网进出数据的 安 全。主 要 体 现 在 病 毒 的 检 测、隔 离、过 滤 阻断等功能,同时部分设备也具有一定防火墙的功能。 这种网关防病毒产品能够检测进出网络内部的数据,对多种应用协议的数据进行病毒扫描,一旦发 现病毒就会采取相应的手段进行隔离或查杀。 防病毒网关运行环境和工作模式参见 A. 1 和 A. 2。 5 技术要求 5. 1 总体说明 5. 1. 1 技术要求分类 防病毒网关技术要求分为功能要求、性能要求、安全要求 和 安 全 保 障 要 求 四 个 大 类。其 中,功 能 要 求是对防病毒网关产品应具备的功能提出具体的要求,包括防护能力、策略自定义、响应处理、报表和统 计、升级能力、协同联动能力等;性能 要 求 是 对 防 病 毒 网 关 产 品 应 达 到 的 性 能 指 标 做 出 规 定,例 如 TCP 协议数据最大处理能力、 HTTP 协议数 据 最 大 处 理 能 力 等;安 全 要 求 是 对 防 病 毒 网 关 自 身 安 全 和 防 护 能力提出具体的要求,