网络病毒监控系统安全技术要求和测试
1 范围
本标准规定了网络病毒监控系统的功能要求、安全要求、性能要求及安全保障要求,并给出了测试评价方法。
本标准适用于网络病毒监控系统的设计、开发及检测。 2 术语和定义 2.1
网络病毒监控系统 virus detection system
旁路方式监听网络内的数据包并进行分析,以发现网络中传播的病毒及其相关行为的系统。 2.2
病毒 virus
能够影响计算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序或代码,包括文件型病毒、蠕虫、木马程序、宏病毒、脚本病毒等恶意程序。 2.3
病毒捕获 virus capture
网络病毒监控系统为保留病毒或疑似病毒样本以及受感染的文件,而将从网络上捕获的相应文件存储在特定的受限制存储空间的处理方式。 2.4
内部网络 internal network
通过防火墙/网络病毒监控系统隔离的可信任区域或保护区域。 2.5
外部网络 external network
通过防火墙/网络病毒监控系统隔离的不可信任区域或非保护区域。 2.6
线速 wire speed
网络病毒监控系统所监控网络环境理论上能达到的最大转发速率。 2.7
负载量 peak load
网络病毒监控系统在不丢包的情况下处理监控数据的能力,一般以能达到的线速(或称通过速率)
17
的百分比来表示。 2.8
恶意URL malicious URL
指向的资源中含有病毒的URL。 2.9
加壳病毒 packed virus
通过特定算法的变换,将病毒的编码进行一次或多次的压缩、加密,产生新的病毒文件。与原病毒文件相比,文件内容发生变化,但功能保持不变。 2.10
可执行病毒样本 executable virus sample
可以被激活并正常执行其功能的病毒样本文件。 2.11
恶意网页脚本样本 malicious webpage script virus sample
含有漏洞利用、后门、远程控制等恶意代码的恶意网页或脚本病毒样本文件。 2.12
已知病毒样本 known virus sample
网络病毒监控系统能够检测的病毒样本文件。 2.13
病毒样本库 virus sample set 病毒样本文件的集合。 3 缩略语
下列缩略语适用于本文件。
URL:统一资源定位符(Uniform Resource Locator) IP:互联网协议(Internet Protocol)
TCP:传输控制协议(Transmission Control Protocol) HTTP:超文本传输协议(HyperText Transfer Protocol) SMB:服务器消息块协议(Server Message Block)
CIFS:通用网络文件系统协议(Common Internet File System) IPv4:互联网协议第4版(Internet Protocol Version 4) IPv6:互联网协议第6版(Internet Protocol Version 6) FTP:文件传输协议(File Transfer Protocol)
POP3:邮局协议第3版(Post Office Protocol version 3) SMTP:简单邮件传输协议(Simple Mail Transfer Protocol) IMAP:Internet邮件访问协议(Internet Mail Access Protocol) HTML: 超文本标记语言(HyperText Markup Language)
17
XLS: 微软公司电子表格文档格式(Microsoft Excel)
CSV: 逗号分隔的文本文件格式(Comma-Separated Values) XML: 可扩展标记语言(Extensible Markup Language) Gbps:千兆/秒(Gigabits Per Second) KB:千字节(Kilo Byte)
HTTPS:安全超文本传输协议(Hypertext Transfer Protocol over Secure Socket Layer) IDS:入侵检测系统(Intrustion Detection System) IPS:入侵防御系统(Intrustion Prevention System) 4 网络病毒监控系统描述
网络病毒监控系统以旁路方式接入网络,能够实时监测网络环境中的病毒疫情发展趋势;全面检测各种网络病毒的扫描、传输、攻击等行为;精确定位病毒的来源;评估病毒产生的网络压力状况;并准确提供病毒类别、病毒名称等信息;形成网络病毒的全局视图。
这种网络病毒监控系统能够检测网络内部的数据,对多种网络协议和应用协议的数据进行分析和病毒扫描,一旦发现病毒就会采取告警,并定位病毒文件及其来源、病毒类别、病毒名称等信息,实现病毒大规模爆发前的预警。一些网络病毒监控系统还可以与其它安全设备进行交互,对病毒传播行为进行阻断。
网络病毒监控系统运行环境和工作模式参见附录A中A.1,A.2。 5 技术要求 5.1 总体说明 5.1.1 技术要求分类
将网络病毒监控系统安全技术要求分为功能、安全、性能和安全保障要求四个大类。其中,功能要求是对网络病毒监控系统应具备的功能提出具体的要求,包括安全监测能力、监控策略、响应处理、报表和统计、加密应用协议支持、故障信息告警、升级能力、协同能力等;性能要求是对网络病毒监控系统应达到的性能指标做出规定,例如负载量;安全要求是对网络病毒监控系统自身安全和防护能力提出具体的要求,例如标识与鉴别、安全管理、审计日志等;安全保障要求则针对网络病毒监控系统开发者和网络病毒监控系统自身提出具体的要求,例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。
5.1.2 安全等级
根据国内测评认证机构、测评技术和我国网络病毒监控系统产品开发现状,对网络病毒监控系统产品进行安全等级划分。安全等级分为基本级和增强级。安全等级划分标准主要依据产品的功能特性,对基本级产品的性能不作要求。
增强级产品除需满足基本级产品的技术要求外,还需满足增强级中列出的其他技术要求。其中“加粗宋体字”表示所描述的要求仅适用于增强级产品。 5.2 功能要求 5.2.1 基本级 5.2.1.1 监测能力
17
网络病毒监控系统安全技术要求和测试
