信息安全技术防病毒网关安全技术要求和测试评价方法(GB-T 35277-2017).pdf

《信息安全技术防病毒网关安全技术要求和测试评价方法(GB-T 35277-2017).pdf》由会员分享，可在线阅读，更多相关《信息安全技术防病毒网关安全技术要求和测试评价方法(GB-T 35277-2017).pdf（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35.040L 80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术防病毒网关安全技术要求和测试评价方法Information security technology-Security technical requirements and testing andevaluation approaches for antivirus gateway products（报批稿）2016-12-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.II信息安全技术 防病毒网关安全技术要求和测试评价方法.11

2、范围.12 术语和定义.13 缩略语.24 防病毒网关描述.35 技术要求.35.1 总体说明.35.2 功能要求.45.3 性能要求.65.4 安全要求.75.5 安全保证要求.106 测试评价方法.156.1 总体说明.156.2 功能测试.156.3 性能测试.216.4 安全性测试.226.5 安全保证评估.27附录 A（资料性附录）防病毒网关运行环境与模式.34附录 B（资料性附录）防病毒网关测试环境与工具.36参考文献.39GB/T XXXXXXXXXII前言本标准按照GB/T 1.1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位：国家计算

3、机病毒应急处理中心、国家信息中心、中国电子科技集团公司第十五所、中国科学院大学、北京安天电子设备有限公司、北京瑞星信息技术有限公司、亚信科技（成都）有限公司、北京冠群金辰软件有限公司、北京网御星云信息技术有限公司、网神信息技术（北京）股份有限公司、华为技术有限公司本标准主要起草人：陈建民、杜振华、张瑞、刘威、曹鹏、黄一斌、刘健、禄凯、肖新光、叶荣军、张玉清、刘奇旭、白日、陈锦锋、王光宇、杨黎鸿、刘振华、刘彦、张泰然、张喆、邓莹、彭立炜、孙波、李冬、舒心、张韫菁、冯军亮、马天成、刘杨、王文一、徐双双GB/T XXXXXXXXX1信息安全技术 防病毒网关安全技术要求和测试评价方法1范围本标准规定了

4、防病毒网关的技术要求并给出了测试评价方法。本标准适用于防病毒网关的设计、开发及检测。2术语和定义下列术语和定义适用于本文件。2.1防病毒网关 antivirus gateway部署于网络和网络之间，通过分析网络层和应用层的通信，根据预先定义的过滤规则和防护策略，实现对网络内的病毒防护。2.2病毒 virus能够影响计算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序或代码，包括文件型病毒、蠕虫、木马程序、宏病毒、脚本病毒等恶意程序。2.3隔离 quarantine防病毒网关在对病毒进行处理时，为保留病毒样本以及受感染的文件，而采取将病毒以及受感染的文件存储在一个被称之为“

5、隔离区”的受限制存储空间的处理方式。2.4内部网络 internal network通过防病毒网关隔离的可信任区域或保护区域。2.5外部网络 external network通过防病毒网关隔离的不可信任区域或非保护区域。2.6最大并发连接数 maximum concurrent connection capacity防病毒网关所能保持的最大并发连接数量。GB/T XXXXXXXXX22.7最大新建连接速率 maximum connection establishment rate防病毒网关在单位时间内所能建立的最大连接数，一般是每秒新建的连接数。2.8恶意URL malicious URL指向

6、的资源中含有病毒的URL。2.9加壳病毒 packed virus通过特定算法的变换，将病毒的编码进行一次或多次的压缩、加密，产生新的病毒文件。与原病毒文件相比，文件内容发生变化，但功能保持不变。2.10可执行病毒样本 executeable virus sample可以被激活并正常执行其功能的病毒样本文件。2.11恶意网页脚本样本 maliciouswebpage scripte virus sample含有漏洞利用、后门、远程控制等恶意代码的恶意网页或脚本病毒样本文件。2.12已知病毒样本 knowned virus sample防病毒网关产品能够检测的病毒样本文件。2.13病毒样本库 v

7、irus sample set病毒样本文件的集合。2.14隧道 tunneling为实现不同类型网络之间通信的一种网络通信协议封装和加密技术。3缩略语下列缩略语适用于本文件。URL：统一资源定位符（Uniform Resource Locator）IP：互联网协议（Internet Protocol）TCP：传输控制协议（Transmission Control Protocol）HTTP：超文本传输协议（HyperText Transfer Protocol）IPv4：互联网协议第4版（Internet Protocol Version 4）GB/T XXXXXXXXX3IPv6：互联网协议

8、第6版（Internet Protocol Version 6）FTP：文件传输协议（File Transfer Protocol）POP3：邮局协议第3版（Post Office Protocol version 3）SMTP：简单邮件传输协议（Simple Mail Transfer Protocol）IMAP：Internet邮件访问协议（Internet Mail Access Protocol）DOC：微软公司Word文字处理软件文档格式（Microsoft Word Document）PDF:便携式文档格式（Portable Document Format）HTML:超文本标记语言

9、（HyperText Markup Language）XLS:微软公司电子表格文档格式（Microsoft Excel）CSV:逗号分隔的文本文件格式（Comma-Separated Values）XML:可扩展标记语言（Extensible Markup Language）C&C：命令与控制（Comand and Control）Gbps：千兆/秒（Gigabits Per Second）KB：千字节（Kilo Byte）4防病毒网关描述防病毒网关是一种网络设备，用以保护内网进出数据的安全。主要体现在病毒的检测、隔离、过滤阻断等功能，同时部分设备也具有一定防火墙的功能。这种网关防病毒产品能够

10、检测进出网络内部的数据，对多种应用协议的数据进行病毒扫描，一旦发现病毒就会采取相应的手段进行隔离或查杀。防病毒网关运行环境和工作模式参见附录A.1，A.2。5技术要求5.1总体说明5.1.1技术要求分类将防病毒网关技术要求分为功能、性能、安全和安全保证要求四个大类。其中，功能要求是对防病毒网关产品应具备的功能提出具体的要求，包括防护能力、策略自定义、响应处理、报表和统计、升级能力、协同联动能力等；性能要求是对防病毒网关产品应达到的性能指标做出规定，例如TCP协议数据最大处理能力、HTTP协议数据最大处理能力等；安全要求是对防病毒网关自身安全和防护能力提出具体的要求，例如异常流量处理、故障信息告

11、警、标识与鉴别、安全支撑系统、安全管理、审计日志、失效保护功能、双机热备、数据完整性等；安全保证要求则针对防病毒网关开发者和防病毒网关自身提出具体的要求，例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。5.1.2安全等级根据国内测评认证机构、测评技术和我国防病毒网关产品开发现状，对防病毒网关产品进行安全等级划分。安全等级分为基本级和增强级。安全等级划分标准主要依据产品的功能特性，对基本级产品的性能不作要求。增强级产品除需满足基本级产品的技术要求外，还需满足增强级中列出的其他技术要求。GB/T XXXXXXXXX45.2功能要求5.2.1基本级5.2.1.1防护能力5.2.1.1.1静态

12、病毒防护当处于静态非激活的各类病毒在被监控网络中传播时，产品应具有相应的响应处理能力，并且不应对正常的系统文件和文档报警。5.2.1.1.2多种类型网络应用场景支持产品应能够支持多种网络应用场景，应支持纯IPv4/IPv6网络应用场景。5.2.1.1.3应用协议支持产品应支持对使用以下应用协议的网络请求和响应进行过滤：a)HTTP 协议；b)FTP 协议；c)POP3 协议；d)SMTP 协议。5.2.1.2策略自定义产品应能根据5.2.1.1.15.2.1.1.3中所述的要求添加、修改和删除过滤策略。5.2.1.3响应处理5.2.1.3.1病毒检测产品应能根据防护策略对病毒文件进行检测和告警

13、。5.2.1.3.2病毒阻断产品应能根据防护策略对病毒文件进行准确阻断。5.2.1.3.3病毒隔离产品应能根据防护策略对病毒文件进行隔离保存。5.2.1.3.4告警信息产品应能对病毒传播行为、过滤防护等提供报警功能。报警信息应至少包括以下内容：a)病毒告警信息：1)病毒传播来源地址；2)病毒传播来源端口号；3)病毒传播目的地址；4)病毒传播目的端口号；5)病毒传播协议；6)病毒文件名；GB/T XXXXXXXXX57)病毒名称；8)事件发生的日期和时间；b)过滤防护告警：1)网络请求源地址；2)网络请求来源端口号；3)网络请求目的地址；4)网络请求目的端口号；5)过滤阻断原因；6)事件发生的日

14、期和时间。5.2.1.3.5告警方式产品告警应采用屏幕实时提示、邮件告警、短信告警和声音告警等一种或多种方式。5.2.1.3.6事件记录产品应能对病毒传播行为、恶意URL访问、过滤防护等安全事件及时生成事件记录，事件记录应存储于掉电非易失性存储介质中，且在存储空间达到阈值时能够通知授权管理员。5.2.1.4报表和统计5.2.1.4.1报表生成产品应能对事件记录进行统计，并根据以下模板生成报表：a)缺省报表模板；b)自定义报表模板。5.2.1.4.2报表导出产品报表应能输出成方便阅读的文件格式，至少支持以下报表文件格式中的一种或多种：DOC、PDF、HTML、XLS、CSV、XML等。5.2.1

15、.4.3统计功能产品应提供基于流量、协议、病毒传播行为等进行统计的功能。5.2.1.5升级能力产品应支持手动或自动的方式进行升级，包括对病毒特征库、策略文件以及服务程序等进行更新。5.2.2增强级5.2.2.1防护能力5.2.2.1.1动态病毒防护防病毒网关应有效阻止已激活病毒在网络内部的传播，并且阻止与该病毒相关的恶意网络通讯，如C&C违规外联通讯等。5.2.2.1.2逃避检测防护GB/T XXXXXXXXX6产品应能支持识别以下特殊格式的病毒文件，以此发现逃避检测的病毒传播行为：a)无口令保护的压缩格式文件，包括 zip，rar，tgz 等；b)无口令保护的多层（2 层以上）压缩格式的病毒

16、文件；c)加壳格式的病毒文件。5.2.2.1.3恶意 URL 防护对于含有病毒、木马等病毒的恶意URL，产品应具有相应的响应处理能力。5.2.2.1.4多种类型网络应用场景支持产品应能够支持多种网络应用场景，应支持以下IPv4与IPv6共存的网络应用场景：a)产品支持 IPv4 与 IPv6 双协议栈；b)产品支持隧道技术。5.2.2.1.5应用协议支持产品应支持对使用IMAP协议的网络请求和响应进行过滤。5.2.2.2响应处理5.2.2.2.1恶意 URL 阻断产品应能根据防护策略对恶意URL的访问请求进行阻断。5.2.2.2.2告警信息产品应能对恶意URL访问等提供报警功能。报警信息应至少

17、包括以下内容：a)恶意 URL 地址；b)访问恶意 URL 地址的 IP 地址；c)恶意 URL 描述；d)事件发生的日期和时间。5.2.2.3升级能力产品应支持增量升级。5.2.2.4协同联动能力产品应支持与其他安全产品的协同联动功能，具体要求如下：a)防病毒网关应按照一定的安全协议与其他安全产品协同联动，并支持手工与自动方式来配置联动策略；b)防病毒网关应在建立协同联动前与其联动的安全产品进行身份鉴别。5.3性能要求5.3.1增强级5.3.1.1TCP 协议数据最大处理能力GB/T XXXXXXXXX7防病毒网关的TCP协议数据最大处理能力视不同应用场景有所不同，1Gbps带宽环境下具体指

18、标要求如下：a)最大并发连接数不小于700000个；b)最大新建连接数不小于10000个/秒。5.3.1.2HTTP 协议数据最大处理能力防病毒网关的HTTP协议数据最大处理能力视不同应用场景有所不同，1Gbps带宽环境下无延迟HTTP请求响应处理能力具体指标要求如下：a)长度为44KB的HTTP响应包，最大新建连接速率不小于1500个/秒；b)长度为21KB的HTTP响应包，最大新建连接速率不小于2500个/秒；c)长度为10KB的HTTP响应包，最大新建连接速率不小于5000个/秒。5.4安全要求5.4.1基本级5.4.1.1异常流量处理产品应对于以下几种异常流量进行有效的处理：a)碎片包

19、；b)畸形报文；c)其他异常流量。5.4.1.2故障信息告警产品应具备软、硬件故障告警功能，能够在软件、硬件出现故障时，通过屏幕实时提示、邮件告警、短信告警、声音告警等一种或多种方式进行告警。5.4.1.3标识与鉴别5.4.1.3.1管理员标识5.4.1.3.1.1属性定义产品应为每个授权管理员规定与之相关的安全属性，如标识、鉴别信息、隶属组、权限等。5.4.1.3.1.2属性初始化产品应提供使用默认值对创建的每个授权管理员的属性进行初始化的能力。5.4.1.3.1.3唯一性标识产品应为授权管理员提供唯一标识，并能将标识与该授权管理员的所有可审计事件相关联。5.4.1.3.2身份鉴别5.4.1

20、.3.2.1基本鉴别产品应在执行任何与安全功能相关的操作之前采用一种身份鉴别方式鉴别授权管理员的身份。5.4.1.3.2.2鉴别失败处理GB/T XXXXXXXXX8当对同一授权管理员连续鉴别失败的次数达到指定次数，产品应能终止该管理员的访问，默认的指定次数不应超过10次。5.4.1.3.2.3鉴别数据保护产品应保证鉴别数据不被未授权查阅或修改。5.4.1.4安全支撑系统产品的底层支撑系统（包括产品正常运行所需的操作系统、应用系统、数据存储系统和中间件等）应确保不提供多余的网络服务。5.4.1.5安全管理5.4.1.5.1安全功能管理授权管理员应能对产品进行以下管理操作：a)查看、修改相关安全

21、属性；b)启动、关闭全部或部分安全功能；c)制定和修改各种安全策略。5.4.1.5.2安全管理方式产品应向授权管理员提供以下安全管理方式：a)通过 console 接口进行本地管理；b)通过网络接口进行远程管理。5.4.1.6审计日志5.4.1.6.1审计日志生成产品应对与自身安全相关的以下事件生成审计日志：a)管理员登录成功和失败；b)对安全策略进行更改；c)对管理员进行增加、删除和属性修改；d)因鉴别失败的次数超出了设定值，导致的会话连接终止；e)对事件记录、审计日志的操作；f)管理员的其他操作。每一条审计日志至少应包括事件发生的日期、时间、管理员标识、事件描述和结果。若采用远程登录方式对

22、产品进行管理，还应记录管理主机的地址。5.4.1.6.2审计日志存储审计日志应存储于掉电非易失性存储介质中。5.4.1.6.3审计日志管理产品应提供以下审计日志管理功能：a)只允许授权管理员访问审计日志；b)提供对审计日志的查询功能；GB/T XXXXXXXXX9c)保存并导出审计日志。5.4.2增强级5.4.2.1失效保护功能产品应具备失效保护功能，能够在断电、故障等异常情况下保持网络连通。5.4.2.2双机热备产品应具备双机热备功能，当主防病毒网关设备出现断电或其他故障时，备防病毒网关设备应及时发现并接管进行工作,接管过程耗时不应超过1分钟。5.4.2.3标识与鉴别5.4.2.3.1基本鉴

23、别产品应在执行任何与安全功能相关的操作之前对同一授权管理员采用两种或两种以上组合的身份鉴别方式鉴别授权管理员的身份。5.4.2.4数据完整性产品应确保授权管理员信息、策略信息、关键程序和病毒特征库的数据完整性，应采取必要的手段对其完整性自动进行检验。5.4.2.5安全支撑系统产品的底层支撑系统（包括产品正常运行所需的操作系统、应用系统、数据存储系统和中间件等）应不含导致产品权限丢失、拒绝服务、信息泄露等的安全漏洞。5.4.2.6安全管理5.4.2.6.1安全角色权限分离产品应能对特权角色和权限进行区分：a)产品应至少具有两种不同权限的安全角色，如：管理员和审计员；b)产品应对特权角色采用最小授

24、权原则，如：管理员不能对审计员负责的审计功能进行管理，审计员也不能对管理员负责的功能进行管理。5.4.2.6.2安全管理方式产品应采取保密措施保障远程管理的信息传输安全。5.4.2.6.3远程保密传输产品应具备以下远程保密传输能力：a)若产品通过网络进行升级更新，应采取保密措施保障产品与远程服务器间数据传输的安全；b)若产品组件间通过网络进行通讯，应采取保密措施保障组件间数据传输的安全。5.4.2.6.4远程管理主机若控制台提供远程管理功能，应能对可远程管理的主机地址进行限制。GB/T XXXXXXXXX105.5安全保证要求5.5.1基本级5.5.1.1开发5.5.1.1.1安全架构描述开发

25、者应提供产品安全功能安全架构的描述，安全架构的描述应满足以下要求：a)应与在产品设计文档中对安全功能要求执行的抽象描述的级别一致；b)应描述与安全功能要求一致的产品安全功能安全域；c)应描述产品安全功能初始化过程为何是安全的；d)安全架构的描述应论证产品安全功能可防止被破坏；e)安全架构的描述应论证产品安全功能可防止安全功能要求执行的功能被旁路。5.5.1.1.2安全执行功能规范开发者应提供一个功能规范，功能规范应满足以下要求：a)完整地描述产品安全功能；b)描述所有的产品安全功能接口的目的、使用方法以及每个安全功能接口相关的所有参数；c)对于每个安全功能要求，功能规范应描述执行安全功能接口相

26、关的安全功能执行行为；d)对于安全功能要求，功能规范应描述由安全功能执行行为相关处理而引起的直接错误信息；e)功能规范应论证安全功能要求到安全功能接口的对应关系。5.5.1.1.3基础设计开发者应提供产品的设计文档，并提供从功能规范的产品安全功能接口到产品设计中获取到的最低层分解的映射，应满足以下要求：a)设计文档应根据子系统描述产品的结构；b)设计文档应标识产品安全功能的所有子系统；c)设计文档应对每一个安全功能要求支撑或安全功能要求无关的产品安全功能子系统的行为进行足够详细的描述，以确定它不是安全功能要求执行；d)设计文档应概括安全功能要求执行子系统的安全功能要求执行行为；e)设计文档应描

27、述产品安全功能的安全功能要求执行子系统间的相互作用，以及产品安全功能的安全功能要求执行子系统与其它产品安全功能子系统间的相互作用；f)映射关系应证明产品设计中描述的所有行为能够映射到调用它的产品安全功能接口。5.5.1.2指导性文档5.5.1.2.1准备程序开发者应提供产品的准备程序，满足以下要求：a)准备程序应描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；b)准备程序应描述安全安装产品以及安全准备与安全目标中描述的运行环境安全目的一致的运行环境必需的所有步骤。5.5.1.2.2管理员指南GB/T XXXXXXXXX11开发者应提供明确和合理的管理员指南，管理员指南应满足以下要

28、求：a)管理员指南应对每一种管理员角色进行描述，在安全处理环境中应被控制的管理员可访问的功能和特权，包含适当的警示信息；b)管理员指南应对每一种管理员角色进行描述，怎样以安全的方式使用产品提供的可用接口；c)管理员指南应对每一种管理员角色进行描述，可用功能和接口，尤其是受管理员控制的所有安全参数，适当时应指明安全值；d)管理员指南应对每一种管理员角色明确说明，与需要执行的管理员可访问功能有关的每一种安全相关事件，包括改变产品安全功能所控制实体的安全特性；e)管理员指南应标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），它们与维持安全运行之间的因果关系和联系；f)管理员指南应对每一

29、种管理员角色进行描述，为了充分实现安全目标中描述的运行环境安全目的所必须执行的安全策略。5.5.1.3生命周期支持5.5.1.3.1配置管理系统的使用开发者应使用配置管理系统，提供配置管理文档，并满足以下要求：a)应给产品标记唯一参照号；b)配置管理文档应描述用于唯一标识配置项的方法；c)配置管理系统应唯一标识所有配置项。5.5.1.3.2部分产品配置管理覆盖开发者应提供产品配置项列表，满足以下要求：a)配置项列表应包括：产品本身、安全保障要求的评估证据和产品的组成部分；b)配置项列表应唯一标识配置项；c)对于每一个产品安全功能相关的配置项，配置项列表应简要说明该配置项的开发者。5.5.1.3

30、.3交付程序开发者应将把产品或其部分交付给消费者的程序文档化，并满足以下要求：a)交付文档应描述，在向消费者分发产品版本时，用以维护安全性所必需的所有程序；b)应确认开发者在使用交付程序。5.5.1.4测试5.5.1.4.1覆盖证据开发者应提供测试覆盖的证据，并满足以下要求：a)在测试覆盖证据中，应表明测试文档中的测试与功能规范中的安全功能接口是对应的。5.5.1.4.2功能测试开发者应测试安全功能，将结果文档化并提供测试文档，测试文档应包括以下内容：a)测试计划，应标识要执行的测试并描述执行每个测试的方案，这些方案应包括对于其它测试结果的任何顺序依赖性；b)预期的测试结果，应指出测试成功执行

31、后的预期输出；GB/T XXXXXXXXX12c)实际的测试结果，应确认和预期的测试结果一致。5.5.1.4.3独立测试抽样开发者应提供一组与开发者产品安全功能测试中同等的一系列资源，用于安全功能的抽样测试。5.5.1.5脆弱性分析开发者应提供适合测试的产品，并提供执行脆弱性分析的相关资源，包括指导性文档、功能规范、产品设计和安全架构描述。5.5.2增强级5.5.2.1开发5.5.2.1.1安全架构描述开发者应提供产品安全功能安全架构的描述，安全架构的描述应满足以下要求：a)应与在产品设计文档中对安全功能要求执行的抽象描述的级别一致；b)应描述与安全功能要求一致的产品安全功能安全域；c)应描述

32、产品安全功能初始化过程为何是安全的；d)安全架构的描述应论证产品安全功能可防止被破坏；e)安全架构的描述应论证产品安全功能可防止安全功能要求执行的功能被旁路。5.5.2.1.2完备的功能规范开发者应提供一个功能规范，功能规范应满足以下要求：a)完整地描述产品安全功能；b)描述所有的产品安全功能接口的目的、使用方法以及每个安全功能接口相关的所有参数；c)对于每个安全功能要求，功能规范应描述执行安全功能接口相关的所有行为；d)功能规范应描述可能由每个安全功能接口的调用而引起的所有直接错误消息；e)功能规范应论证安全功能要求到安全功能接口的对应关系。5.5.2.1.3基础模块设计开发者应提供产品的设

33、计文档，并提供从功能规范的产品安全功能接口到产品设计中获取到的最低层分解的映射，应满足以下要求：a)设计文档应根据子系统描述产品的结构；b)设计文档应根据模块描述产品安全功能；c)设计文档应标识产品安全功能的所有子系统，描述每一个产品安全功能子系统以及产品安全功能所有子系统间的相互作用；d)设计文档应提供产品安全功能子系统到产品安全功能模块间的映射关系；e)设计文档应描述每一个安全功能要求执行模块，包括它的目的及与其它模块间的相互作用；f)设计文档应描述每一个安全功能要求执行模块，包括它的安全功能要求相关接口、其它接口的返回值、与其它模块间的相互作用及调用的接口；g)设计文档应描述每一个安全功

34、能要求支撑或安全功能要求无关模块，包括它的的目的及与其它模块间的相互作用；h)映射关系应证明产品设计中描述的所有行为能够映射到调用它的产品安全功能接口。GB/T XXXXXXXXX135.5.2.1.4安全功能实现表示开发者应以开发人员使用的形式提供实现表示，并提供产品设计描述与实现表示实例之间的映射，应满足以下要求：a)实现表示应包含全部产品安全功能；b)实现表示应详细地定义安全功能，使得无须进一步设计就能生成安全功能；c)产品设计描述与实现表示示例之间的映射应能证明它们的一致性。5.5.2.2指导性文档5.5.2.2.1准备程序开发者应提供产品的准备程序，满足以下要求：a)准备程序应描述与

35、开发者交付程序相一致的安全接收所交付产品必需的所有步骤；b)准备程序应描述安全安装产品以及安全准备与安全目标中描述的运行环境安全目的一致的运行环境必需的所有步骤。5.5.2.2.2操作用户指南开发者应提供明确和合理的管理员指南，管理员指南应满足以下要求：a)管理员指南应对每一种管理员角色进行描述，在安全处理环境中应被控制的管理员可访问的功能和特权，包含适当的警示信息；b)管理员指南应对每一种管理员角色进行描述，怎样以安全的方式使用产品提供的可用接口；c)管理员指南应对每一种管理员角色进行描述，可用功能和接口，尤其是受管理员控制的所有安全参数，适当时应指明安全值；d)管理员指南应对每一种管理员角

36、色明确说明，与需要执行的管理员可访问功能有关的每一种安全相关事件，包括改变产品安全功能所控制实体的安全特性；e)管理员指南应标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），它们与维持安全运行之间的因果关系和联系；f)管理员指南应对每一种管理员角色进行描述，为了充分实现安全目标中描述的运行环境安全目的所必须执行的安全策略。5.5.2.3生命周期支持5.5.2.3.1生产支持和接受程序及其自动化开发者应使用配置管理系统，提供配置管理文档，并满足以下要求：a)应给产品标记唯一参照号；b)配置管理文档应描述用于唯一标识配置项的方法；c)配置管理系统应唯一标识所有配置项；d)配置管理系统

37、应提供自动化的措施使得只能对配置项进行授权变更；e)配置管理系统应以自动化的方式支持产品的生产；f)配置管理文档应包括配置管理计划，配置管理计划应描述配置管理系统是如何应用于产品的开发的；g)配置管理计划应描述用来接受修改过的或新创建的作为产品组成部分的配置项的程序；h)应提供证据论证所有配置项都正在配置管理系统下进行维护，并论证配置管理系统的运行与配GB/T XXXXXXXXX14置管理计划是一致的。5.5.2.3.2问题跟踪配置管理覆盖开发者应提供产品配置项列表，满足以下要求：a)配置项列表应包括：产品本身、安全保障要求的评估证据、产品的组成部分、实现表示和安全缺陷报告及其解决状态；b)配

38、置项列表应唯一标识配置项；c)对于每一个产品安全功能相关的配置项，配置项列表应简要说明该配置项的开发者。5.5.2.3.3交付程序开发者应将把产品或其部分交付给消费者的程序文档化，并满足以下要求：a)交付文档应描述，在向消费者分发产品版本时，用以维护安全性所必需的所有程序；b)应确认开发者在使用交付程序。5.5.2.3.4安全措施标识开发者应提供开发安全文档，满足以下要求：a)开发安全文档应描述在产品的开发环境中，保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的及其它方面的安全措施；b)应确认安全措施在被使用。5.5.2.3.5开发者定义的生命周期模型开发者应建立一个生命周

39、期模型用于产品的开发和维护，提供生命周期定义文档，并满足以下要求：a)生命周期定义文档应对用于开发和维护产品的模型进行描述；b)生命周期模型应为产品的开发和维护提供必要的控制。5.5.2.3.6明确定义的开发工具开发者应标识和明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义所有语句和实现用到的所有协定与命令，以及所有实现依赖选项的含义。5.5.2.4测试5.5.2.4.1覆盖分析开发者应提供测试覆盖分析，并满足如下要求：a)测试覆盖分析应论证测试文档中的测试与功能规范中的安全功能接口之间的对应性；b)测试覆盖分析应论证已经对功能规范中的所有产品安全功能接口都进行了测试。5.5.2.4

40、.2测试：安全执行模块开发者应提供测试深度分析，并满足以下要求：a)测试深度分析应论证测试文档中的测试与产品设计中的产品安全功能子系统、安全功能要求执行模块之间的一致性；b)测试深度分析应论证产品设计中的所有产品安全功能子系统都已经进行过测试；c)测试深度分析应论证产品设计中的安全功能要求执行模块都已经进行过测试。GB/T XXXXXXXXX155.5.2.4.3功能测试开发者应测试安全功能，将结果文档化并提供测试文档，测试文档应包括以下内容：a)测试计划，应标识要执行的测试并描述执行每个测试的方案，这些方案应包括对于其它测试结果的任何顺序依赖性；b)预期的测试结果，应指出测试成功执行后的预期

41、输出；c)实际的测试结果，应确认和预期的测试结果一致。5.5.2.4.4独立测试抽样开发者应提供一组与开发者产品安全功能功能测试中同等的一系列资源，用于安全功能的抽样测试。5.5.2.5关注点脆弱性分析开发者应提供适合测试的产品，并提供执行关注点脆弱性分析的相关资源，包括指导性文档、功能规范、产品设计、安全架构描述和实现表示。6测试评价方法6.1总体说明测试评价方法与技术要求一一对应，它给出具体的测评方法来验证防病毒网关产品是否达到技术要求中所提出的要求。它由测试环境、测试工具、测试方法和预期结果四个部分构成。6.2功能测试6.2.1测试环境与工具防病毒网关产品典型功能测试环境与工具参见附录B

42、.1。6.2.2基本级6.2.2.1防护能力6.2.2.1.1静态病毒防护该项测试应遵循以下测试方法：a)测试方法如下：1)配置防病毒网关的病毒处理策略为检测并阻断；2)在内网、外网分别配置客户端，基于 HTTP、FTP、SMTP、POP3 或其他应用协议中的一种或多种在客户端和服务器之间传输病毒样本基本库、流行病毒样本库中的病毒样本和误报样本库中的正常文件样本；b)预期结果如下：1)防病毒网关对病毒样本基本库中的样本至少能检测其中的 90%；2)防病毒网关对流行病毒样本库中的样本至少能检测其中的 95%；3)防病毒网关不会对误报样本库中的样本进行检测或阻断。6.2.2.1.2应用协议支持GB

43、/T XXXXXXXXX16该项测试应遵循以下测试方法：a)测试方法如下：1)在内网、外网分别配置客户端和服务器，基于 HTTP 协议传输测试病毒样本；2)在内网、外网分别配置客户端和服务器，基于 FTP 协议传输测试病毒样本；3)在内网、外网分别配置客户端和服务器，基于 SMTP 协议传输测试病毒样本；4)在内网、外网分别配置客户端和服务器，基于 POP3 协议传输测试病毒样本；b)预期结果如下：1)防病毒网关默认开启应用协议支持，并覆盖 5.2.1.1.3 中所述的常见应用协议；2)防病毒网关默认开启病毒检测阻断功能；3)防病毒网关能够对基于 HTTP 协议传输的测试病毒样本进行检测、阻断

44、；4)防病毒网关能够对基于 FTP 协议传输的测试病毒样本进行检测、阻断；5)防病毒网关能够对基于 SMTP 协议传输的测试病毒样本进行检测、阻断；6)防病毒网关能够对基于 POP3 协议传输的测试病毒样本进行检测、阻断。6.2.2.1.3多种类型网络应用场景支持该项测试应遵循以下测试方法：a)测试方法如下：1)参见图 B.2 配置测试环境；2)配置内部网络、外部网络地址均为 IPv4 类型地址，进行 6.2.2.1.1 及 6.2.2.1.2 测试；3)配置内部网络、外部网络地址均为 IPv6 类型地址，进行 6.2.2.1.1 及 6.2.2.1.2 测试；b)预期结果如下；1)内部网络、

45、外部网络地址均为 IPv4 类型地址时，防病毒网关能够通过 6.2.2.1.1 及6.2.2.1.2 测试；2)内部网络、外部网络地址均为 IPv6 类型地址时，防病毒网关能够通过 6.2.2.1.1 及6.2.2.1.2 测试。6.2.2.2策略自定义该项测试应遵循以下测试方法：a)测试方法如下：1)根据 5.2.1.1 中的功能要求添加病毒检测过滤策略；2)进行 6.2.2.1.1 测试；3)根据 5.2.1.1 中的功能要求修改刚添加的病毒检测过滤策略；4)进行 6.2.2.1.1 测试；5)根据 5.2.1.1 中的功能要求删除刚修改的病毒检测过滤策略；6)进行 6.2.2.1.1 测

46、试；b)预期结果，防病毒网关能够根据自定义的策略完成相应的病毒检测过滤。6.2.2.3响应处理6.2.2.3.1病毒检测该项测试应遵循以下测试方法：a)测试方法如下：GB/T XXXXXXXXX171)配置防病毒网关的病毒响应处理策略为只检测；2)进行 6.2.2.1.1 a）2）3）的测试；b)预期结果，防病毒网关能够对病毒样本文件进行告警，但不会阻断样本文件的传输。6.2.2.3.2病毒阻断该项测试应遵循以下测试方法：a)测试方法如下：1)配置防病毒网关的病毒响应处理策略为检测并阻断；2)进行 6.2.2.1.1 a）2）3）的测试；b)预期结果，防病毒网关能够对病毒样本文件进行告警，并阻

47、断样本文件的传输。6.2.2.3.3病毒隔离该项测试应遵循以下测试方法：a)测试方法如下：1)配置防病毒网关的病毒响应处理策略为检测并隔离；2)进行 6.2.2.1.1 a）2）3）的测试；3)检查防病毒网关的病毒隔离区，并下载隔离区中的病毒样本文件；4)对隔离区中下载的病毒样本文件与原始病毒样本文件进行一致性校验；b)预期结果如下：1)防病毒网关能够对病毒样本文件进行告警，并阻断样本文件的传输，同时将病毒样本文件存储在隔离区中；2)防病毒网关隔离区中的病毒样本文件与原始病毒样本文件一致。6.2.2.3.4告警信息该项测试应遵循以下测试方法：a)测试方法如下：1)开启防病毒网关的告警功能；2)

48、进行 6.2.2.1.1 及 6.2.2.1.2 的各项测试；3)查看防病毒网关告警信息；b)预期结果如下：1)防病毒网关应具有告警功能；2)防病毒网关告警信息中应包括 5.2.1.3.4 中要求的各项信息。6.2.2.3.5告警方式该项测试应遵循以下测试方法：a)测试方法如下：1)配置防病毒网关的告警方式；2)进行 6.2.2.1.1 及 6.2.2.1.2 的各项测试；3)查看防病毒网关的管理界面，查收报警邮件，查收短信或其他可以收取告警信息的设备或系统；b)预期结果如下：1)防病毒网关至少具有屏幕实时提示、邮件告警、短信告警和声音报警等告警方式的一种GB/T XXXXXXXXX18或多种

49、；2)防病毒网关能够通过具有的告警方式向授权管理员发送告警信息。6.2.2.3.6事件记录该项测试应遵循以下测试方法：a)测试方法如下：1)配置防病毒网关，开启安全事件日志记录功能；2)进行 6.2.2.1.1 及 6.2.2.1.2 的各项测试；3)查看防病毒网关的安全事件日志；4)拔掉防病毒网关的电源，再重新接上电源，开启防病毒网关，检查防病毒网关的安全事件日志是否完整，是否丢失了断电前的日志信息；5)检查事件日志存储空间配置，并配置存储空间报警阀值；b)预期结果如下：1)防病毒网关具有安全事件日志，并能够记录病毒传播行为、恶意 URL 访问、过滤防护等安全事件的详细信息；2)断电重启后，

50、防病毒网关的安全事件日志不会丢失；3)安全事件存储空间达到报警阀值时，能够通知授权管理员。6.2.2.4报表和统计6.2.2.4.1报表生成该项测试应遵循以下测试方法：a)测试方法如下：1)使用防病毒网关提供的缺省报表模版生成报表；2)配置防病毒网关的自定义报表模版；3)使用自定义报表模版生成报表；4)检查报表内容是否与模版匹配；b)预期结果如下：1)防病毒网关提供缺省报表模版；2)防病毒网关能够按缺省报表模版生成报表；3)防病毒网关能够按自定义的报表模版生成报表；4)报表内容与报表模版匹配。6.2.2.4.2报表导出该项测试应遵循以下测试方法：a)测试方法如下：1)配置防病毒网关的报表导出设