标准规范下载简介
Q/GDW 10941-2018 入侵检测系统测试要求.pdf对拓扑展示的测试方法与预期结果如下: a)测试方法: 1)在集中管理平台(厂家提供)上进行拓扑配置,将所部属的设备在网络拓扑中展示 2)检查拓扑中是否可查看设备的运行状态,如设备的系统信息、攻击发生情况等。 b) 预期结果:测试结果符合5.2.2.3.3的要求。 6.3.2.3.4策略权限控制 对策略权限控制的测试方法与预期结果如下: a) 测试方法: 1)使用上级管理控制台向下级管理控制台下发策略: 2)使用下级管理控制台对上级控制台下发的策略进行操作。 b) 预期结果:测试结果符合5.2.2.3.4的要求。
对拓扑展示的测试方法与预期结果如下: a)测试方法: 1)在集中管理平台(厂家提供)上进行拓扑配置,将所部属的设备在网络拓扑中展示; 2)检查拓扑中是否可查看设备的运行状态,如设备的系统信息、攻击发生情况等。 b)预期结果:测试结果符合5.2.2.3.3的要求。
3.2.3.4策略权限控制 对策略权限控制的测试方法与预期结果如下: a)测试方法: 1)使用上级管理控制台向下级管理控制台下发策略: 2)使用下级管理控制台对上级控制台下发的策略进行操作。 b) 预期结果:测试结果符合5.2.2.3.4的要求。
TB/T 2231.1-2017标准下载6.3.2.3.4策略权限控制
6.3.2.4IPv6
6.3.2.4.1双协议栈
对双协议栈的测试方法与预期结果如下: a)测试方法: 1)同时在网络中发送IPv4和IPv6流量; 2)检查入侵检测系统是否可同时识别IPv4和IPv6协议流量。 b)预期结果:测试结果符合5.2.2.4.1的要求。
6.3.2.4.2特征识别
6.4.1基本级性能测试方
6.4.1基本级性能测试方法
6.4.1.1最大监控流量
6.4.1.2最大监控并发连接数
对最大监控并发连接数的测试方法与预期结果女
Q/GDW109412018
6.4.1.3最大监控新建TCP连接速率
6.4. 1.4误报率
Q/GDW109412018
D/GDW109412018
6.4.2增强级性能测试方法
6.4.2.1还原能力
对还原能力的测试方法与预期结果如下: a) 测试方法: 1)开启入侵检测系统的内容还原功能,检查可还原的入侵行为: 2) 在指定的网络带宽(百兆网络、千兆网络、或厂商生命的其他网络带宽)测试环境下,抽 样测试还原效果。 b) 预期结果:测试结果符合5.3.2.1的要求。 4.2.2已知漏洞攻击检测能力 对已知漏洞攻击检测能力的测试方法和预期结果如下: a 测试方法: 1) 使用漏洞攻击工具针对带有CVE的标号的漏洞和国家信息安全漏洞库中发布的漏洞攻击对 入侵检测设备进行攻击: 2)对比入侵检测设备审计日志中漏洞名称,计算入侵检测设备对已知漏洞的检测率, b预期结果,测试结果符合5.3.2.2的要求
6.4.2.2已知漏洞攻击检测能力
对已知漏洞攻击检测能力的测试方法和预期结果如下: a 测试方法: 1)使用漏洞攻击工具针对带有CVE的标号的漏洞和国家信息安全漏洞库中发布的漏洞攻击对 入侵检测设备进行攻击: 2)对比入侵检测设备审计日志中漏洞名称,计算入侵检测设备对已知漏洞的检测率。 b)预期结果:测试结果符合5.3.2.2的要求。
6.5.1.1身份鉴别
6.5.1.1.1用户鉴别
对用户鉴别的测试方法与预期结果如下: a)测试方法:登录系统,检查是否在执行所有功能之前要求首先进行身份认证: b)预期结果:测试结果符合5.4.1.1.1的要求。
6.5.1.1.2鉴别失败的处理
6. 5. 1. 1. 3超时设置
D/GDW109412018
对超时设置的测试方法与预期结果如下: 测试方法: 1)检查系统是否具有管理员登录超时重新鉴别功能: 2)设定管理员登录超对重新鉴别的时间段,检查登录管理员在设定的时间段内没有任何操作 的情况下,系统是否终止了会话,管理员是否需要再次进行身份鉴别才能够重新管理和便 用系统。 预期结果:测试结果符合5.4.1.1.3的要求。
6.5.1.1.4控制台鉴别
对控制台鉴别的测试方法与预期结果如下: a)测试方法:通过控制台连接引擎,检查是否在执行所有功能之前要求首先进行控制台认证: b)预期结果:测试结果符合5.4.1.1.4的要求。
6.5.1.1.5会话锁定
对会话锁定的测试方法与预期结果如下: a)测试方法:登录系统,检查是否允许管理员锁定当前的交互会话.锁定后是否需要再次进行身 份鉴别才能够重新管理系统: b)预期结果:测试结果符合5.4.1.1.5的要求
6.5.1.2用户管理
6.5.1.2.1标识唯一性及口令复杂度
对标识唯一性及口令复杂度的测试方法与预期结果如下: a)测试方法: 1)尝试允许定义多个管理员: 2)尝试添加一个已有标识的管理员: 3)检查系统是否提示该标识管理员已存在,拒绝具有相同标识管理员的添加; 4)尝试使用常见弱口令登录入侵检测系统。 b)预期结果:测试结果符合5.4.1.2.1的要求。
6.5.1.2.2用户角色
对用户角色的测试方法与预期结果如下: a)测试方法:检查系统的安全功能是否允许定义多个角色的管理员; b)预期结果:测试结果符合5.4.1.2.2的要求。
6.5.1.2.3用户属性定义
对用户属性定义的测试方法与预期结果如下: a)测试方法:定义分属于不同角色的多个管理员,检查输入的管理员信息是否都能被保存: b)预期结果:测试结果符合5.4.1.2.3的要求。
6.5.1.2.4安全行为管理
对安全行为管理的测试方法与预期结果如下: a)测试方法:
Q/GDW109412018
1)检查系统的安全功能是否明确规定仅限于指定的授权角色对系统的功能具有禁止、修改的 能力: 2)检查指定的授权角色对系统的功能进行禁止、修改等操作前,是否先登录才能操作。 b)预期结果:测试结果符合5.4.1.2.4的要求。
6.5.1.3安全审计
6.5.1.3.1审计数据生成
6.5.1.3.2审计数据可用性
对审计数据可用性的测试方法与预期结果如下: a 测试方法:审查产品安全功能是否使审计日志中的所有审计数据可为人所理解(至少包括能 人理解的描述内容以及审计数据本身): b 预期结果:测试结果符合5.4.1.3.2的要求
6.5.1.3.3审计查阅
对审计查阅的测试方法与预期结果如下: a)测试方法: 1)以授权管理员身份尝试从审计日志中读取全部审计信息: 2)审查产品安全功能是否为授权管理员提供从审计日志中读取全部审计信息的功能。 b)预期结果,测试结果符合5.4.1.3.3的要求
.1.3.4受限的审计查阅
对受限的审计查阅的测试方法与预期结果如下: 测试方法:模拟授权与非授权管理员访问审计日志,产品安全功能是否仅允许授权管理员访问 审计日志: b)预期结果:测试结果符合5.4.1.3.4的要求
6.5.1.4.1安全数据管理
6.5.1.4.2数据保护
对数据保护的测试方法与预期结果如下:
Q/GDW109412018
6.5.1.5通信安全
6.5.1.5.1通信完整性
6.5.1.5.2通信稳定性
6.5.1.5.3升级安全
6.5.1.6产品自身安全
6.5. 1.6. 1自我隐摄
对自我隐藏的测试方法与预期结果如下: a)测试方法:检查开发者文档中对系统自身安全的描述; b)预期结果:测试结果符合5.4.1.6.1的要求。
6.5.1.6.2自我监测
对自我监测的测试方法与预期结果如下: a)测试方法: 1)检查开发者文档中对网络型入侵检测系统自身安全的描述; 2)检查入侵检测系统探测器是否在启动和正常工作时能够周期性地、或者按照授权管理员的 要求执行自检,包括硬件工作状态监测、组件连接状态监测等。 b)预期结果:测试结果符合5.4.1.6.2的要求
对自我监测的测试方法与预期结果如下: a)测试方法: 1)检查开发者文档中对网络型入侵检测系统自身安全的描述: 2)检查入侵检测系统探测器是否在启动和正常工作时能够周期性地、或者按照授权管理员的 要求执行自检,包括硬件工作状态监测、组件连接状态监测等。 b)预期结果:测试结果符合5.4.1.6.2的要求
Q/GDW109412018
Q/GDW109412018
6.5.2增强级安全测试方法
6.5.2.1身份鉴别功能
6.5.2.1身份鉴别功能
6.5.2.1.1鉴别数据保护
对鉴别数据保护的测试方法与预期结果如下: a)测试方法: 1)检查系统是否仅允许制定的角色查阅或修改身份鉴别数据: 2)以非授权管理员的身份尝试查阅或修改身份鉴别数据。 b)预期结果:测试结果符合5.4.2.1.1的要求。
6.5. 2. 1.2多鉴别机制
对多鉴别机制的测试方法与预期结果如下: a 测试方法: 1)检查系统的安全功能是否提供多种鉴别方式: 2)检查系统是否提供允许授权管理员执行自定义鉴别措施的功能; 3)检查多鉴别机制是否可同时使用。 b)预期结果:测试结果符合5.4.2.1.2的要求。
6.5.2.2用户管理功能
对安全属性管理的测试方法与预期结果如下: a)测试方法: 1)检查系统的安全功能是否明确规定仅限于指定的授权角色对指定的安全属性进行查询、 改、删除、改变其默认值等操作; 2) 检查指定的授权角色对指定的安全属性进行查询、修改、删除、改变其默认值等操作育 是否先登录才能操作。 b)预期结果:测试结果符合5.4.2.2.1的要求。
D/GDW109412018
附录A 资料性附录) 等级划分表
表A.1入侵检测系统功能测试要求等级划分表
Q/GDW109412018
表A.2入侵检测系统性能测试要求等级划分表
表A.3入侵检测系统安全测试要求等级划分表
Q/GDW109412018
Q/GDW109412018
/GDW109412018
编制主要原则 32 与其他标准文件的关系 32 主要工作过程 32 标准结构和内容 33 条文说明 33
Q/GDW109412018
本标准依据《国家电网公司关于下达2017年度公司第一批技术标准制修订计划的通知》(国家电网 公司(2017)72号)的要求编写。 随着技术的不断发展和进步,安全产品的技术也在不断发展,入侵检测产品,近几年已经发生了较 大的变化。为了贯彻国家电网公司信息化建设“四统一”原则,规范和加强公司信息化建设,为公司集 团化运作、集约化发展和精细化管理提供坚强支撑,规范入侵检测产品的测试工作,明确入侵检测产品 的测试指标,保证入侵检测产品的正常使用,将对现行的入侵检测产品企业标准进行修订,增加或更新 现有技术指标,因此需要对原标准进行修订。 本标准编制主要目的是明确国家电网公司系统入侵检测系统的测试要求和测试方法,为公司在测试 选型、采购过程中选择的入侵检测产品符合国家相关要求且为市场上主流、先进的产品提供依据。
坚持先进性与全性相结合、统一性与灭活性 相结合、可靠性与经济性相结合的原则,以标准化为引领,服务公司科学发展。本次标准修订将以国标 GB/T20275一2013《信息安全技术网络入侵检测系统技术要求和测试评价方法》为主要参考依据DB41/T 1995-2020 人工影响天气飞机安全作业规范.pdf,从 功能、性能、安全性等方面全面提升目前公司企业标准对入侵检测产品的要求。 坚持测试要求具备可操作性,可直接作为各单位在入侵检测产品的测试、选型过程中的技术指导文 牛。 进一步规范入侵检测产品的术语和定义、测试要求等相关内容,切实指导入侵检测产品的测试、选 型。 遵循已有的国家、行业相关标准,符合公司入侵检测相关要求,推动公司信息化建设
3与其他标准文件的关系
本标准与相关技术领域的国家现行法律、法规和政策保持一致。 本标准不涉及专利、著作权等知识产权间题
Q/GDW109412018
2017年11月,公司信息与通信技术标准专业工作组(TC06)组织召开了送审会,送审后的审查结 为:经专家组协商一致,同意修改后报批。 2017年11月,修改形成标准报批稿。
本标准按照《国家电网公司技术标准管理办法》(国家电网企管(2018)222号文)的要求编写 本标准的主要结构和内容如下: 本标准主题章分为2章,由测试要求和测试方法构成。 本标准代替Q/GDW1941—2013《国家电网公司入侵检测系统测试要求》,与Q/GDW1941—2013相比 本次修订做了如下结构和编辑性重大调整: 删除了Q/GDW1941—2013中的“分析方式”(见2013版的5.2.1.3.2); 删除了Q/GDW1941—2013中的“窗口定义”(见2013版的5.2.1.7.1); 增加了“最大监控流量”“最大监控并发连接数”“最大监控新建TCP连接速率”的性能要求; 一增加了“硬件失效处理”“双机热备”的功能测试要求; 增加了“控制台鉴别”“标识唯一性及口令复杂度”的安全测试要求: 增加了第6章“测试方法” 本标准原起草单位:中国电力科学研究院。本标准原主要起草人:郭旭、刘楠、李凌、高昆仑、 雄、单松玲、陈艳红、宋小芹、韩秀文、张翎、房磊、
本标准按照《国家电网公司技术标准管理办法》(国家电网企管(2018)222号文)的要求编写。 本标准的主要结构和内容如下: 本标准主题章分为2章,由测试要求和测试方法构成。 本标准代替Q/GDW1941—2013《国家电网公司入侵检测系统测试要求》JT/T 994-2015标准下载,与Q/GDW1941—2013相比, 本次修订做了如下结构和编辑性重大调整: 删除了Q/GDW1941—2013中的“分析方式”(见2013版的5.2.1.3.2); 删除了Q/GDW1941—2013中的“窗口定义”(见2013版的5.2.1.7.1); 增加了“最大监控流量”“最大监控并发连接数”“最大监控新建TCP连接速率”的性能要求; 增加了“硬件失效处理”“双机热备”的功能测试要求; 增加了“控制台鉴别”“标识唯一性及口令复杂度”的安全测试要求: 增加了第6章“测试方法” 本标准原起草单位:中国电力科学研究院。本标准原主要起草人:郭旭、刘楠、李凌、高昆仑、詹 维、单松玲、陈艳红、宋小芹、韩秀文、张翎、房磊
本标准第5.3条“性能测试要求”中的性能指标,均根据近三年公司集中招标采购所依据的技术规 范书制定。 本标准第5.3条规定了入侵检测产品的漏报率和误报率的要求,但由于在实际测试过程中各场景模 拟时所使用的特征库和攻击手段不同,实际测试结果也不相同,在本标准中不对其应达到的指标进行规 定 本标准第5.5条“开发者保障要求”是针对入侵检测产品开发者提出的要求。开发者在将提交产品 进行测试时,必须提交相关的证明文件,证明其所开发的产品符合此项要求。
本标准第5.3条“性能测试要求”中的性能指标,均根据近三年公司集中招标采购所依据的技术 范书制定。 本标准第5.3条规定了入侵检测产品的漏报率和误报率的要求,但由于在实际测试过程中各场景 拟时所使用的特征库和攻击手段不同,实际测试结果也不相同,在本标准中不对其应达到的指标进行 定 本标准第5.5条“开发者保障要求”是针对入侵检测产品开发者提出的要求。开发者在将提交产 进行测试时,必须提交相关的证明文件,证明其所开发的产品符合此项要求。