5.2 功能要求

5.2.1　基本級

5.2.1.1　病毒檢測

5.2.1.1.1　病毒檢測范圍

在產品獲得相應訪問權限的條件下，產品應能夠對以下存儲位置或其他可能用于傳輸文件數據或程序代碼的通信協議傳輸信道進行病毒檢測，并且不應對正常的系統程序文件、應用程序文件、文檔、程序代碼和數據等產生誤報警:

a) 主機磁盤；

b) 主機內存；

c) 主機引導區；

d) 移動存儲介質。

5.2.1.1.2　病毒檢測類型

產品能夠對一種或多種病毒家族類型進行檢測。

5.2.1.2　病毒處理

產品應能夠對檢測到的病毒進行處理，處理方式應包括以下種類的一種或多種：

a) 阻止，即產品能夠對阻止病毒文件的運行、惡意操作或傳播；

b) 刪除，即產品能夠將病毒文件刪除；

c) 隔離，即產品能夠將病毒文件從原有位置刪除，并備份到一個受限的“隔離區”內。

5.2.1.3　策略自定義

5.2.1.3.1　病毒檢測方式

產品應能夠允許用戶自定義病毒檢測方式，檢測策略應包括以下種類的一種或多種：

a) 全面檢測，即對產品能夠訪問的所有本地或網絡位置以及所有支持的通信協議傳輸信道進行病毒檢測；

b) 按需檢測，即對用戶選擇的特定的本地或網絡位置或指定的通信協議傳輸信道進行病毒檢測。

5.2.1.3.2　病毒處理策略

產品應能夠允許用戶自定義病毒處理策略，處理策略應包括以下種類的一種或多種：

a) 詢問用戶后處理；

b) 用戶可以根據產品支持的病毒處理方式，預先設定病毒處理策略，檢測到病毒后按照策略直接處理。

5.2.1.4　隔離區管理

如產品支持病毒隔離處理方式，產品應允許用戶查看隔離區中的文件，并至少能夠進行以下類型的操作：

a) 刪除文件，在刪除前提示用戶刪除文件可能引起的后果；

b) 還原文件，允許用戶按自定義路徑或文件原始路徑還原文件，在還原前提示用戶還原文件可能引起的后果。

5.2.1.5　逃避檢測防護

產品應能有效檢測識別無口令保護的壓縮格式文件中的病毒文件，包括zip，rar，tgz，7z等壓縮格式。

5.2.1.6　告警信息

產品應能夠對病毒檢測事件為用戶提供醒目的告警信息。告警信息應包括以下內容：

a) 病毒文件、宿主文件、進程等對象的路徑和文件名稱；

b) 病毒名稱；

c) 檢測日期和時間。

5.2.1.7　日志

5.2.1.7.1　日志記錄

產品應能夠對病毒檢測事件進行日志記錄，至少能夠記錄以下內容中的一種或多種：

a) 事件日期和時間；

b) 病毒文件、宿主文件、進程等對象的路徑和文件名稱；

c) 病毒名稱。

5.2.1.7.2　日志導出

產品應能夠將日志記錄的內容輸出成方便人讀和機讀的文件格式。

5.2.1.7.3　日志保存

產品應能夠允許用戶自定義日志保存期限，但最低保存期限不應少于6個月。

5.2.1.8　升級更新

5.2.1.8.1　升級方式

產品應支持通過以下方式中的一種或多種進行升級：

a) 網絡；

b) 離線升級包；

c) 其他能夠傳輸升級數據的信道。

5.2.1.8.2　升級內容

產品應支持對以下內容類型中的一種或多種進行升級：

a) 病毒特征庫；

b) 策略文件；

c) 程序文件。

5.2.1.9　統一管理

產品應具備通過管理平臺對用戶環境中安裝部署的多個產品副本的以下功能的一種或多種進行統一管理的能力：

a) 升級更新；

b) 病毒檢測；

c) 病毒處理；

d) 告警信息；

e) 日志；

f) 策略自定義。

5.2.1.10　異常文件處理

產品應能夠對以下幾種異常文件進行有效的檢查和處理：

a) 超大文件；

b) 畸形格式文件；

c) 其他特殊文件。

5.2.2　增強級

5.2.2.1　病毒檢測

5.2.2.1.1　病毒檢測范圍

在產品獲得相應訪問權限的條件下，產品應能夠對以下存儲位置或其他可能用于傳輸文件數據或程序代碼的通信協議傳輸信道進行病毒檢測，并且不應對正常的系統程序文件、應用程序文件、文檔、程序代碼和數據等產生誤報警：

a) 主機磁盤；

b) 主機內存；

c) 主機引導區；

d) 移動存儲介質；

e) 網絡型產品應支持網絡文件共享SMB/CIFS協議傳輸信道**；**

f) 網絡型產品應支持HTTP協議傳輸信道**；**

g) 網絡型產品應支持FTP協議傳輸信道**；**

h) 網絡型產品應支持**電子郵件SMTP/POP3/IMAP等協議傳輸信道。**

5.2.2.1.2　病毒檢測類型

產品應至少能夠對以下病毒家族的進行檢測：

a) 文件感染型病毒；

b) 宏病毒；

c) 蠕蟲**；**

d) 木馬程序；

e) 間諜軟件**；**

f) 腳本惡意程序**；**

g) 后門程序**；**

h) 僵尸程序**；**

i) 勒索**軟件；**

j) RootKit**惡意程序；**

k) BootKit惡意程序**。**

5.2.2.2　病毒處理

產品應能夠對檢測到的病毒進行處理，處理方式應包括以下種類：

a) 阻止，即產品能夠對阻止病毒文件的運行、惡意操作或傳播；

b) 刪除，即產品能夠將病毒文件刪除；

c) 隔離，即產品能夠將病毒文件從原有位置刪除，并備份到一個受限的“隔離區”內；

d) 清除還原**，即產品應能夠對已感染病毒的宿主程序文件或已感染病毒的操作系統中被病毒篡改的系統配置、系統文件等進行修復，使其恢復正常狀態。**

5.2.2.3　策略自定義

5.2.2.3.1　病毒檢測方式

產品應能夠允許用戶自定義病毒檢測方式，檢測策略**應**包括以下種類：

a) 全面檢測，即對產品能夠訪問的所有本地或網絡位置以及所有支持的通信協議傳輸信道進行病毒檢測；

b) 按需檢測，即對用戶選擇的特定的本地或網絡位置或指定的通信協議傳輸信道進行病毒檢測。

5.2.2.3.2　病毒處理策略

產品應能夠允許用戶自定義病毒處理策略，處理策略**應**包括以下種類：

a) 詢問用戶后處理；

b) 用戶可以根據產品支持的病毒處理方式，預先設定病毒處理策略，檢測到病毒后按照策略直接處理。

5.2.2.3.4　隔離區管理

如產品支持病毒隔離處理方式，產品應允許用戶查看隔離區中的文件，并至少能夠進行以下類型的操作：

a) 刪除文件，在刪除前提示用戶刪除文件可能引起的后果；

b) 還原文件，允許用戶按自定義路徑或文件原始路徑還原文件，在還原前提示用戶還原文件可能引起的后果。

5.2.2.3.5　樣本提交

產品應能夠允許用戶在充分知情的情況下選擇指定文件作為病毒樣本提交給產品生產者。

5.2.2.6　逃避檢測防護

5.2.2.6.1　壓縮文件檢測

產品應能有效檢測識別采用**無口令保護的多層（不超過三層）壓縮格式的病毒文件。**

5.2.2.6.2　加殼文件檢測

產品應能有效識別采用常見加殼技術處理后的病毒文件。

5.2.2.6.3　格式混淆檢測

產品應能有效識別常見的格式混淆技術處理后的病毒文件。

5.2.2.6.4　捆綁文件檢測

產品應能有效識別采用文件捆綁技術處理后的病毒文件。

5.2.2.7　未知病毒檢測

產品應具備對與已知病毒文件特征**相似的未知病毒文件的檢測能力，特征包括：**

a) 靜態文件二進制特征；

b) 動態行為特征**，包括但不限于文件操作、進程操作、網絡操作等。**

5.2.2.8　告警信息

產品應能夠對病毒檢測事件為用戶提供醒目的告警信息。告警信息應包括以下內容：

a) 病毒文件、宿主文件、進程等對象的路徑和文件名稱；

b) 病毒名稱；

c) 檢測日期和時間；

d) 網絡型產品應提供病毒傳播的來源和目的地址**。**

5.2.2.9　日志

5.2.2.9.1　日志記錄

產品應能夠對病毒檢測事件進行日志記錄，應能夠記錄以下內容：

a) 事件日期和時間；

b) 病毒文件、宿主文件、進程等對象的路徑和文件名稱；

c) 病毒名稱；

d) 網絡型產品應記錄病毒傳播的來源地址和目的地址。

5.2.2.9.2　日志導出

產品應能夠將日志記錄的內容輸出成方便人讀和機讀的文件格式。

5.2.2.9.3　日志保存

產品應能夠允許用戶自定義日志保存期限，但最低保存期限不應少于6個月。

5.2.2.10　升級更新

5.2.2.10.1　升級方式

產品應支持通過以下方式進行升級：

a) 網絡；

b) 離線升級包；

c) 其他能夠傳輸升級數據的信道。

5.2.2.10.2　升級內容

產品應支持對以下內容類型進行升級：

a) 病毒特征庫；

b) 策略文件；

c) 程序文件。

5.2.2.11　統一管理

產品應**具備通過管理平臺對用戶環境中安裝部署的多個產品副本的以下功能進行統一管理的能力：**

a) 升級更新；

b) 病毒檢測；

c) 病毒處理；

d) 告警信息；

e) 日志；

f) 策略自定義。

5.2.2.12　異常文件處理

產品應能夠對以下幾種異常文件進行有效的檢查和處理：

a) 超大文件；

b) 畸形格式文件；

c) 其他特殊文件。