杀毒软件政府采购需求标准

（征求意见稿）

前言

本文件按照GB/T1.1-2020给出的规则起草。

本文件由中华人民共和国财政部提出并归口。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件起草单位：财政部国库司、海关总署物资装备采购中心、云南省财政厅。

杀毒软件政府采购需求标准

1.范围

本文件适用于各级国家机关、事业单位、团体组织使用财政性资金采购杀毒软件及与其配套的升级维护服务。

2.法律协调性

本文件内容及要求与《中华人民共和国政府采购法》《中华人民共和国政府采购法实施条例》等相关法律、行政法规及文件规定没有冲突和矛盾。如因法律法规变更或其他原因导致本文件中内容要求与相关法律、行政法规及文件规定等相冲突，应以相关法律、行政法规及文件规定为准。

3.定义

下列术语和定义适用于本文件：

3.1

杀毒软件 antivirus software

用于检测、发现或阻止计算机病毒、恶意代码和其他恶意威胁的传播以及对主机操作系统、应用软件、用户文件、固件和网络环境的篡改、窃取和破坏的一类软件。

注：业内所称“防病毒软件”、“安全防护软件”、“病毒防护软件”等用于或部分用于防治计算机病毒等恶意软件代码和其他恶意威胁的一类软件，都属于杀毒软件范畴。

3.2 缩略语

下列缩略语适用于本文件。

ID  身份地址（IDentification）

NTP 网络时间协议（Network  Time Protocol）

CPU 中央处理器（Central  Processing  Unit）

IO 输入输出（Input Output)

4.基本要求

4.1 杀毒软件应符合《中华人民共和国计算机信息系统安全保护条例》《计算机病毒防治管理办法》等相应法律法规和强制性标准的要求。

4.2 杀毒软件应在中华人民共和国公安部公共信息网络安全监察局组织的计算机病毒防治产品评级中取得合格（含）以上的评级。

4.3 杀毒软件供应商应确保使用过程中知识产权无争议。

5.功能要求

5.1 概述

根据应用场景不同，杀毒软件可分为控制中心-客户端版（多用于企业级用户）和纯客户端版（多用于个人用户）。本章节5.3、5.4功能内容，仅适用于控制中心-客户端版杀毒软件。

5.2 基础功能

5.2.1 适配性与兼容性

根据使用终端操作系统不同，杀毒软件可分为Linux版（适配Linux系列操作系统及在Linux系列操作系统基础上开发的符合我国信息安全和供应链安全稳定要求的操作系统）和其它版（适配其它用户终端中安装运行的符合我国信息安全和供应链安全稳定要求的操作系统）等。

Linux版杀毒软件应支持主流Linux操作系统，支持范围至少应包括用户终端中安装运行的Linux系列操作系统及在Linux系列操作系统基础上开发的符合我国信息安全和供应链安全稳定要求的操作系统。

根据用户实际需求，杀毒软件也须支持适配其他用户终端中安装运行的符合我国信息安全和供应链安全稳定要求的操作系统。

5.2.2 病毒查杀与处理

5.2.2.1 实时监控查杀功能

应具备实时监控并处置终端中病毒、木马、蠕虫、恶意软件、勒索软件等恶意威胁的功能。

5.2.2.2 特殊文件类型查杀功能

应具备对压缩文件、共享文件扫描、检测并处置其中可能存在的恶意威胁的功能。

5.2.2.3 存储媒体实时检测查杀功能

应具备对USB闪存盘等存储媒体的扫描功能，当存储媒体与终端处于连接状态下可实时监控并处置存储媒体中的恶意威胁的功能。

5.2.2.4 扫描检测范围及功能

应具备对终端启动项、服务与驱动、系统进程、系统关键位置等进行扫描的功能。

应具备通过将扫描结果与特征库进行匹配、对可疑活动进行识别、对可疑行为进行检测或处理的功能。

5.2.2.5 多种恶意威胁处理

应具备检测到通过邮件、网页代码等形式传播的多种恶意威胁、可疑活动或企图逃避检测的病毒变种的功能，具备多种发现恶意威胁的处理方式，如忽略\信任、清除\修复、隔离等。

5.2.2.6 恶意威胁处置结果可视化

应具备恶意威胁处置结果可视化功能。

5.2.2.7 宏病毒查杀功能

应具备宏病毒查杀能力，客户端需提供宏病毒扫描功能。根据用户实际需求，供应商可提供宏病毒专项查杀功能，执行宏病毒扫描，并对发现宏病毒进行处置。

5.3 防护功能

5.3.1 文件白名单和网址黑名单功能

应具备文件白名单功能，宜具备网址黑名单功能，相关功能应支持软件预定义名单和用户自定义增删名单功能。

5.3.2 进程保护功能

应具备进程防护功能，对活跃进程的各种系统行为，发现风险自动进行提示和拦截。

5.3.3 扫描资源占用配置功能

应具备根据用户需求，调整扫描资源占用配置率功能。

5.3.4 定时、手动开启扫描功能

应具备定时扫描、手动开启或关闭扫描功能，根据软件预设或用户需求对终端进行全部或局部扫描。

5.3.5 勒索病毒防护功能

应具备勒索病毒防护功能，根据用户需求，对勒索病毒提供多重防御能力。

5.4 管理功能

5.4.1 管理控制台功能

控制中心应具备登录管理控制台的功能，管理控制台访问需进行加密访问的功能。

5.4.2 识别管理功能

控制中心应具备识别客户端的操作系统、体系架构、网络地址、局域网地址等信息，并进行管理的功能。

5.4.3 管理多系统功能

控制中心宜具备同时管理用户终端中安装运行的多种操作系统的功能。

5.4.4 客户端过滤功能

控制中心宜具备利用客户端网络地址、设备ID、操作系统的关联信息过滤客户端的功能。

5.4.5 NTP时间同步功能

控制中心应具备支持与NTP时间服务器同步，可设置同步时间间隔，使终端时间保持和时间服务器相同。

5.4.6 终端基本信息查询功能

控制中心宜具备支持对单个客户端进行维护，终端视角查看终端基本信息，包括计算机名、型号、网络地址、局域网地址、在线状态、操作系统信息等。

5.5 统计分析功能

5.5.1 病毒防护概况展示功能

根据用户实际需求，可提供病毒防护概况展示功能，包括终端基础信息、病毒库版本、发现病毒数、未处理病毒数、最后查杀时间、文件防护状态、引擎使用状态、扩展病毒库版本等信息。

5.5.2 病毒防护报表功能

根据用户实际需求，可提供病毒防护报表功能，报表包含病毒查杀趋势、扫描触发方式趋势、发现病毒趋势、终端感染趋势、病毒类型统计、病毒处理结果统计、病毒发现触方式统计等信息。

5.5.3 病毒查杀日志功能

应具备病毒查杀日志、查杀任务日志、系统防护日志等功能，可按分组、按终端、按时间查询。

5.5.4 恶意病毒专项统计功能

根据用户实际需求，可提供对“勒索病毒”等具有严重破坏能力的病毒进行专项统计，并对统计结果进行呈现的功能。

5.5.5 终端数据调查功能

宜支持对指定终端当下的状态进行深入调查，包括终端登录日志、启动项、计划任务、正在运行的服务等，查看固定时间段内终端的行为数据信息。

5.6 易用性指标及功能

5.6.1 资源占有率

在常用计算机环境中部署（具体测试标准以用户实际使用计算机机型为准），病毒查杀、软件版本升级、病毒库升级平稳运行后，杀毒软件客户端消耗的CPU、内存、网络、存储IO等资源的平均使用率不宜超过15%。

5.6.2 自定义扫描功能

宜支持按照文件类型、文件夹等分类进行自定义扫描。

5.6.3 扫描方式切换

宜支持传统扫描、云扫描等多种扫描方式，并根据用户需求切换扫描方式。

5.6.4 终端隔离区设置

宜支持设置终端隔离区大小，降低隔离区对终端磁盘的占用。

5.6.5 更新管理

应具备病毒特征库和杀毒引擎的管理功能，支持在线更新、离线更新客户端病毒库等多种更新方式。同时宜支持预设更新、自定义代理服务器配置等更新需求。

宜支持管理员对控制中心、客户端病毒特征库和杀毒引擎的更新进行管理、如批量升级。

宜支持客户端软件更新病毒特征库时做增量更新。

5.6.6 数据交互

宜支持根据用户需求，将杀毒软件日志、报告等数据信息通过接口等方式与外界交互的功能。

5.7 信息安全要求

5.7.1 系统服务

杀毒软件供应商应确保杀毒软件不包含与产品功能无关的多余网络和本地服务。

5.7.2 安全保密传输

杀毒软件通过网络或其他通信信道进行升级、更新、查询、样本提交等时，应采取保密措施保障产品与远程服务器间通信数据传输的安全。产品通过网络或其他通信信道与其他组件进行通信，宜采取保密措施保障组件间数据传输的安全。

5.7.3 更新安全

杀毒软件进行病毒库、策略文件和应用程序组件升级更新时，应事先对升级更新文件进行完整性和一致性校验。

5.7.4 用户数据安全

杀毒软件应确保不收集与病毒检测无关的用户数据，对数据的收集、使用和存储应符合国家有关法律法规和相关标准。

5.7.5 组件认证调用

杀毒软件的主程序和各组件之间在互相调用时，宜首先对调用对象的合法性和完整性进行校验。

5.7.6 自保护

杀毒软件宜保护自身进程不被第三方用户态应用程序干扰正常运行，包括：

a)终止产品相关进程：

b)篡改产品相关文件或配置；

c)卸载产品

5.7.7 多因子认证

杀毒软件应支持对管理员账户登录或高危操作进行多因子认证。

6   服务内容及要求

6.1  产品病毒库更新频率

杀毒软件病毒库应定期更新，更新频率不宜低于每周一次，遇有紧急重大病毒爆发等严重安全问题的情形应紧急更新样本库。

6.2  软件升级和漏洞修复服务

在质保期内供应商应提供最新版本软件升级服务，并协助用户完成所有使用中杀毒软件升级。遇有紧急重大病毒爆发等严重安全问题的情形，供应商应及时告知并提供软件升级或漏洞修复服务。

6.3  技术支持服务

根据实际需求，供应商宜提供电话、邮件技术支持等服务。

6.4  响应时间

根据实际需求，供应商宜及时响应实际技术支持或故障保修需求，并在约定时间内完成故障排除。

6.5  人员培训服务

根据实际需求，供应商宜提供必要的安装、维护、使用等相关技术培训，并提供相应的培训资料。

7   验证方法及证明材料

供应商应根据采购人实际需求，提供第5章中杀毒软件相关功能的演示视频、截图或其他相关证明材料。

供应商应根据采购人实际需求，提供第6章中杀毒软件相关内容及要求的演示视频、截图、包含相关内容的服务方案或其他相关证明材料。

参考文献

［1］  GB/T 37090-2018 信息安全技术 病毒防治产品安全技术要求和测试评价方法

［2］ 中华人民共和国政府采购法 2014.08.31

［3］ 中华人民共和国政府采购法实施条例 2015.01.30