产品应具备初始的监控策略，并覆盖5.2.1.1.2中所述的常见应用协议，并开启对病毒文 功能。

5.2.1.3响应处理

钢筋工程5.2.1.3.1病毒检测

产品应能根据监控策略对病毒文件进行检测和

能根据监控策略对病毒文件进行检测和告警。

5.2.1.3.2告警信息

产品应能对病毒传播行为提供报警功能。报警信息应至少包括以下内容： a) 病毒传播来源地址； b) 病毒传播来源端口号； c) 病毒传播目的地址； d) 病毒传播目的端口号； e) 病毒传播协议； 病毒文件名； g) 病毒名称； h）事件发生的日期和时间。

5.2.1.3.3告警方式

5.2.1.3.4事件记录

GA/T15392018

产品应能对病毒传播行为及时生成事件记录，事件记录应存储于掉电非易失性存储介质中，且 空间达到阅值时能够通知授权管理员

5.2.1.4报表和统计

5.2.1.4.1报表生成

产品应能对事件记录进行统计，并根据以下模板生成报表： a）缺省报表模板； b）自定义报表模板

5.2.1.4.2报表导出

产品报表应能输出成方便阅读的文件格式，至少支持以下报表文件格式中的一种或多种：DOC、 PDF、HTML、XLS、CSV、XML等。

5.2.1.4.3统计功能

产品应提供基于时间、主机地址、威胁事件类型等进行统计的功能。

5.2.1.5故障信息告警

基于时间、主机地址、威胁事件类型等进行统计的

产品应具备软、硬件故障 告警、声音告警等一种或多种方

5.2.1.6 升级能力

5.2.2.1监测能力

5.2.2.1.1数据收集

网络病毒监控系统应具有实时获取被监控网络内的数据包和数据流的能力。获取的数据包和数据 流应足以进行病毒检测和分析。

5.2.2.1.2应用协议支持

产品应支持对使用以下应用协议的网络请求和响应进行病毒检测和分析： a) HTTP协议； b) FTP协议； C) POP3协议； d) SMTP协议； e) SMB/CIFS协议; f 其他协议。

5.2.2.1.3静态病毒检测

GA/T 15392018

的系统文件和文档不会产生误报警。

5.2.2.1.4动态病毒检测

当处于动态已激活的病毒在被监控网络中传播时产品应具有相应的响应处理能力

5.2.2.1.5逃避检测防护

产品应能支持识别以下特殊格式的病毒文件，以此发现逃避检测的病毒传播行为： a）压缩格式的病毒文件； b）加壳格式的病毒文件。

5.2.2.1.6恶意 URL防护

有病毒、木马等恶意软件的恶意URL，产品应具有

5.2.2.1.7多种类型网络应用场景支持

为适应不同类型网络，产品应具有以下能力： a）产品支持在纯IPv4/IPv6网络应用场景中安装与正常使用； b）产品支持IPv4与IPv6双协议栈，可以在IPv4与IPv6共存的网络应用场景中安装与正常 使用，

5.2.2.2监控策略

5.2.2.2.1策略自定义

产品应能根据5.2.2.1中所述的要求添加、修改和删除监控策略。

产品应能根据5.2.2.1中所述的要求添加、修改和删除监控策略

5.2.2.2.2策略初始模板

产品应具备初始的监控策略，并覆盖5.2.2.1.2中所述的常见应用协议，并开启对病毒文件的检测 功能。

5.2.2.3响应处理

5.2.2.3.1病毒检测

产品应能根据监控策略对病毒文件进行检测和告

产品应能根据监控策略对病毒文件进行检测和告警

5.2.2.3.2病毒捕类

5.2.2.3.3恶意URL检测

5.2.2.3.4告警信息

产品应能对病毒传播行为提供报警功能。报警信息应至少包括以下内容！ a）病毒告警信息： 1）病毒传播来源地址； 2）病毒传播来源端口号；

3）病毒传播目的地址； 4) 病毒传播目的端口号； 5) 病毒传播协议； 6) 病毒文件名； 7) 病毒名称； 事件发生的日期和时间。 b) 恶意URL告警信息： 恶意URL地址； 2) 访问恶意URL地址的IP地址； 3) 恶意URL描述； 4)事件发生的且期和时间

5.2.2.3.5告警方式

5.2.2.3.6事件记录

产品应能对病毒传播行为及时生成事件记录，事件记录应存储于掉电非易失性存储介质中，且在存 储空间达到國值时能够通知授权管理员

5.2.2.4报表和统计

5.2.2.4.1报表生成

产品应能对事件记录进行统计，并根据以下模板生成报表： a）缺省报表模板； b）自定义报表模板

5.2.2.4.2报表导出

产品报表应能输出成方便阅读的文件格式，至少支持以下报表文件格式中的一种或 PDF.HTMLXLS.CSV、XML等

5.2.2.4.3统计功能

产品应提供基于时间、主机地址、威胁事件类型等进行统计的功能

5.2.2.5 异常流量处理

产品应对于以下几种异常流量进行有效的处理 a）碎片包； b）畸形报文； c)其他异常流量。

5.2.2.6故障信息告警

5.2.2.7升级能力

产品应支持手动或自动的方式进行升级： a）对病毒库、策略文件以及服务程序等进行更新； b）支持增量升级。

5.2.2.8协同联动能力

产品应支持与其他安全产品的协同联动功能（例如与防病毒网关、防火墙等），具体要求如下： 网络病毒监控系统接照一定的安全协设与其他安全产品协同联动，并支持手动与自动方式来 配置联动策略； b）网络病毒监控系统在协同联动前对与其联动的安全产品进行身份鉴别

5.3.1.1标识与鉴别

5.3.1.1.1管理员标识

5.3.1.1.1.1属性定义

5.3.1.1.1.2属性初始化

5.3.1.1.1.3唯一性标识

5.3.1.1.2.1基本鉴别

5.3.1.1.2.2鉴别数据保护

5.3.1.2安全管理

5.3.1.2.1安全功能管理

授权管理员应能对产品进行以下管理操作： a）查看、修改相关安全属性； b）启动、关闭全部或部分安全功能； c）制定和修改各种安全策略

5.3.1.2.2安全管理方式

产品应向授权管理员提供以下安全管理方式： a）通过console进行本地管理； b）通过网络接口进行远程管理，

5.3.1.3.1审计日志生成

GA/T 15392018

产品应对与自身安全相关的以下事件生成审计日志： a 授权管理员登录成功和失败； b） 对安全策略进行更改； 对授权管理员进行增加、删除和属性修改； d 因鉴别失败的次数超出了设定值，导致的会话连接终止； e 对事件记录、审计日志的操作； 授权管理员的其他操作。 每一条审计日志至少应包括事件发生的日期、时间、管理员标识、事件描述和结果。若采用远程登 录方式对产品进行管理，还应记录管理主机的地址

5.3.1.3.2审计日志存储

5.3.1.3.3审计日志管理

产品应提供以下审计日志管理功能： a）只允许授权管理员访问审计日志 b） 提供对审计日志的查询功能； c）保存并导出审计日志。

5.3.2.1标识与鉴别

5.3.2.1.1管理员标识

5.3.2.1.1.1属性定义

5.3.2.1.1.2属性初始化

5.3.2.1.2身份鉴别

5.3.2.1.2.1基本鉴别

任何与安全功能相关的操作之前鉴别授权管理员

a）产品应采用一种授权管理员身份鉴别方式； b）产品应对同一授权管理员采用两 种或两种以上组合的用户身份鉴别方式。

a）产品应采用一种授权管理员身份鉴别方式： b）产品应对同一授权管理员采用两 种或两种以上组合的用户身份鉴别方式

5.3.2.1.2.2鉴别数据保护

产品应保证鉴别数据不被未授权查阅或值

5.3.2.1.3鉴别失败处理

当对授权管理员鉴别失败的次数达到指定次数后，产品应能终止授权管理员的访问

5.3.2.2安全管理

5.3.2.2.1安全功能管理

授权管理员应能对产品进行以下管理操作： a）查看、修改相关安全属性； b）启动、关闭全部或部分安全功能； c） 制定和修改各种安全策略。

授权管理员应能对产品进行以下管理操作： a）查看、修改相关安全属性； b）启动、关闭全部或部分安全功能； c）制定和修改各种安全策略。

5.3.2.2.2安全角色权限分离

能对特权角色和权限进行区分： 品应具有至少两种不同权限的安全角色，如管理员和审计员； 品应对特权角色采用最小授权原则，如管理员不能对审计员负责的审计功能进行管理，审计 也不能对管理员负责的功能进行管理

产品应能对特权角色和权限进行区分： a）产品应具有至少两种不同权限的安全角色，如管理员和审计员； b）产品应对特权角色采用最小授权原则，如管理员不能对审计员负责的审计功能 员也不能对管理员负责的功能进行管理

5.3.2.2.3安全管理方式

产品应向授权管理员提供以下安全管理方式： a）通过console进行本地管理； b）通过网络接口进行远程管理； c）采取保密措施保障远程管理的信息传输安全。

5.3.2.2.4远程保密传输

若产品组件间通过网络进行通信，应采取保

5.3.2.2.5远程管理主机

若控制台提供远程管理功能，应能对可远程管理的主机地址进行限制，

5.3.2.2.6数据完整性

5.3.2.2.7安全支撑系纟

产品的底层支撑系统应满足以下要求： a）确保其支撑系统不提供多余的网络服务； b）不含任何导致产品权限丢失、拒绝服务等已知的安全漏洞。

5.3.2.3审计目志

5.3.2.3.1审计日志生成

GA/T 15392018

产品应对与自身安全相关的以下事件生成审计日志： a 授权管理员登录成功和失败； b 对安全策略进行更改； 对授权管理员进行增加、删除和属性修改； d） 因鉴别失败的次数超出了设定值，导致的会话连接终止； e 对事件记录、审计日志的操作； 授权管理员的其他操作。 每一条审计日志至少应包括事件发生的日期、时间、管理员标识、事件描述和结果。若采用远程登 录方式对产品进行管理，还应记录管理主机的地址

5.3.2.3.2审计日志存储

5.3.2.3.3审计日志管理

产品应提供以下审计日志管理功能： a）只允许授权管理员访问审计日志 b) 提供对审计日志的查询功能； c）保存并导出审计日志。

5.4.1.1.1安全架构描述

开发者应向评估者提供产品安全功能安全架构的描述，安全架构的描述应满足以下要求： 与在产品设计文档中对安全功能要求执行的抽象描述的级别一致； b） 描述与安全功能要求一致的产品安全功能安全域； c） 描述产品安全功能初始化过程为何是安全的； d 安全架构的描述论证产品安全功能可防止被破坏； e 安全架构的描述论证产品安全功能可防止安全功能要求执行的功能被旁路

5.4.1.1.2安全执行功能规范

开发者应向评估者提供一个功能规范，功能规范应满足以下要求： a）完整地描述产品安全功能； b）描述所有的产品安全功能接口的目的、使用方法以及每个安全功能接口相关的所有参数； c）对于每个安全功能要求，功能规范描述执行安全功能接口相关的安全功能执行行为； d）对于安全功能要求，功能规范描述由安全功能执行行为相关处理而引起的直接错误信息； e）功能规范论证安全功能要求到安全功能接口的对应关系。

5.4.1.1.3基础设计

开发者应向评估者提供产品的设计文档，并提供从功能规范的产品安全功能接口到产品设计中获 取到的最低层分解的映射，应满足以下要求： a）设计文档根据子系统描述产品的结构； b）设计文档标识产品安全功能的所有子系统； C 设计文档对每一个安全功能要求支撑或安全功能要求无关的产品安全功能子系统的行为进行 足够详细的描述，以确定它不是安全功能要求执行； d 设计文档概括安全功能要求执行子系统的安全功能要求执行行为； e) 设计文档描述产品安全功能的安全功能要求执行子系统间的相互作用，以及产品安全功能的 安全功能要求执行子系统与其他产品安全功能子系统间的相互作用； 映射关系证明产品设计中描述的所有行为能够映射到调用它的产品安全功能接口。

5.4.1.2指导性文档

5.4.1.2.1准备程序

开发者应向评估者提供产品的准备程序，满足以下要求： a）准备程序描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤； 准备程序描述安全安装产品以及安全准备与安全目标中描述的运行环境安全目的一致的运行 环境必需的所有步骤。

5.4.1.2.2操作用户指南

开发者应向评估者提供明确和合理的操作用户指南，操作用户指南应满足以下要求： a）操作用户指南对每一种用户角色进行描述，在安全处理环境中应被控制的用户可访问的功能 和特权，包含适当的警示信息； b）操作用户指南对每一种用户角色进行描述，怎样以安全的方式使用产品提供的可用接口； c）操作用户指南对每一种用户角色进行描述，可用功能和接口，尤其是受用户控制的所有安全参 数，适当时指明安全值； d）操作用户指南对每一种用户角色明确说明，与需要执行的用户可访问功能有关的每一种安全 相关事件，包括改变产品安全功能所控制实体的安全特性； e） 操作用户指南标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），它们与 维持安全运行之间的因果关系和联系； 操作用户指南对每一种用户角色进行描述，为了充分实现安全目标中描述的运行环境安全目 的所必须执行的安全策略。

5.4.1.3生命周期支持

5.4.1.3.1配置管理系统的使用

开发者应向评估者使用配置管理系统，提供配置管理文档，并满足以下要求 a）给产品标记唯一参照号； b）配置管理文档描述用于唯一标识配置项的方法； c）配置管理系统唯一标识所有配置项

5.4.1.3.2部分产品配置管理覆盖

GA/T 15392018

开发者应向评估者提供产品配置项列表，并满足以下要求： a）配置项列表包括：产品本身、安全保障要求的评估证据和产品的组成部分； b）配置项列表唯一标识配置项； c）对于每一个产品安全功能相关的配置项，配置项列表简要说明该配置项的开发者

5.4.1.3.3交付程序

开发者应将把产品或其部分交付给消费者的程序文档化，并满足以下要求： a）交付文档描述，在向消费者分发产品版本时，用以维护安全性所必需的所有程序； b）确认开发者在使用交付程序

5.4.1.4.1覆盖证据

开发者应向评估者提供测试覆盖的证据，在测试覆盖证据中，应表明测试文档中的测试与功能 中的安全功能接口是对应的

5.4.1.4.2功能测试

开发者应测试安全功能，将结果文档化并提供测试文档，测试文档应包括以下内容： a) 测试计划，标识要执行的测试并描述执行每个测试的方案，这些方案应包括对于其他测试结果 的任何顺序依赖性； b） 预期的测试结果，指出测试成功执行后的预期输出； c）实际的测试结果，确认和预期的测试结果的一致性

5.4.1.4.3独立测试抽样

开发者应向评估者提供一组与开发者产品安全功能测试中同等的一系列资源，用于安全功能 详测试。

5.4.1.5脆弱性分析

开发者应向评估者提供适合测试的产品，并提供执行脆弱性分析的相关资源，包括指导性文 能规范、产品设计和安全架构描述

5.4.2.1.1安全架构描述

开发者应向评估者提供产品安全功能安全架构的描述，安全架构的描述应满足以下要求： a）与在产品设计文档中对安全功能要求执行的抽象描述的级别一致； b）描述与安全功能要求一致的产品安全功能安全域； c）描述产品安全功能初始化过程为何是安全的： d）安全架构的描述论证产品安全功能可防止被破坏； e）安全架构的描述论证产品安全功能可防止安全功能要求执行的功能被旁路

5.4.2.1.2完备的功能规范

开发者应向评估者提供一个功能规范，功能规范应满足以下要求： a）完整地描述产品安全功能； b）描述所有的产品安全功能接口的目的、使用方法以及每个安全功能接口相关的所有参数； c）对于每个安全功能要求，功能规范描述执行安全功能接口相关的所有行为； d 功能规范描述可能由每个安全功能接口的调用而引起的所有直接错误消息； e）功能规范论证安全功能要求到安全功能接口的对应关系。

5.4.2.1.3基础模块设计

开发者应向评估者提供产品的设计文档市政常用表格，并提供从功能规范的产品安全功能接口到产品设计中获 取到的最低层分解的映射，应满足以下要求： a）设计文档根据子系统描述产品的结构 b) 设计文档根据模块描述产品安全功能； 设计文档标识产品安全功能的所有子系统，描述每一个产品安全功能子系统以及产品安全功 能所有子系统间的相互作用； d) 设计文档提供产品安全功能子系统到产品安全功能模块间的映射关系； 设计文档描述每一个安全功能要求执行模块，包括它的目的及与其他模块间的相互作用； 设计文档描述每一个安全功能要求执行模块，包括它的安全功能要求相关接口、其他接口的返 回值、与其他模块间的相互作用及调用的接口； g 设计文档描述每一个安全功能要求支撑或安全功能要求无关模块，包括它的的目的及与其他 模块间的相互作用； h）映射关系证明产品设计中描述的所有行为能够映射到调用它的产品安全功能接口。

5.4.2.1.4安全功能实现表示

开发者应以开发人员使用的形式提供实现表示，并向评估者提供产品设计描述与实现表示实例之 间的映射，应满足以下要求： a）实现表示包含全部产品安全功能； b）实现表示详细地定义安全功能，使得无须进一步设计就能生成安全功能； c）产品设计描述与实现表示示例之间的映射能证明它们的一致性。

5.4.2.2指导性文档

5.4.2.2.1准备程序

开发者应尚评估者提供产品的准备程序教育标准，满足以下要求： a）准备程序描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤； b）准备程序描述安全安装产品以及安全准备与安全目标中描述的运行环境安全目的一致的运行 环境必需的所有步骤。

5.4.2.2.2操作用户指南

开发者应向评估者提供明确和合理的操作用户指南，操作用户指南应满足以下要求： ）操作用户指南对每一种用户角色进行描述，在安全处理环境中应被控制的用户可访问的功售 和特权，包含适当的警示信息：