标准规范下载简介
Q/GDW 10941-2018 入侵检测系统测试要求.pdf简介:
"Q/GDW 10941-2018 入侵检测系统测试要求.pdf" 是一个由国家电网公司(中国电力企业联合会)制定的关于电力系统入侵检测系统的测试标准。这个标准详细规定了电力系统中使用的入侵检测系统(IDS,Intrusion Detection System)在设计、开发、部署和运行过程中应满足的各项技术要求和测试方法。它涵盖了入侵检测系统的功能测试、性能测试、安全性测试、可靠性测试等方面,旨在确保入侵检测系统的有效性、稳定性和安全性,以保障电力系统的网络安全。这个标准适用于所有涉及电力系统网络安全的组织和设备。
Q/GDW 10941-2018 入侵检测系统测试要求.pdf部分内容预览:
.1.3.2审计数据可用性
5.4.1.3.3审计查阅
系统应为授权管理员提供从审计记录中读取全部审计信息的功能。
5.4.1.3.4受限的审计查阅
《塑料管材和管件 聚乙烯(PE)鞍形旁通 抗冲击试验方法 GB/T 19712-2005》5.4.1.4.1安全数据管理
5.4.1.4.2数据保护
5.4.1.5通信安全
5.4. 1.5.1通信完整性
Q/GDW109412018
5.4.1.5.2通信稳定性
应采取点到点协议等保证通信稳定性的方法,保证各部件和控制台之间传递的信息不因网络故障而 丢失或延迟。
5.4.1.5.3升级安全
5.4.1.6产品自身安全
5.4.1.6.1自我隐藏
入侵检测系统应采取隐藏探测 皮攻击的可能价
5.4.1.6.2自我监测
5.4.2增强级安全测试要求
5.4.2.1身份鉴别功能
5.4.2.1.1鉴别数据保护
应遵循GB/T20275—2013中6.3.2.1.3的要求
5.4.2.1.2多鉴别机制
Q/GDW109412018
Q/GDW109412018
应遵循GB/T20275—2013中6.3.2.1.6的要求
5.4.2.2用户管理功能
系统应仅限于已识别了的指定的授权角色可以对指定的安全属性进行查询、修改、删除、改变其默 认值等操作。
5. 5.1 配置管理
5.5.1.1配置管理能力
5.5.1.2配置管理覆盖
5.5.2.1测试覆盖
应遵循GB/T20275—2013中6.3.3.6.1的
5.5.2.2测试深度
5.5.2.3功能测试
应遵循GB/T20275一2013中6.3.3.6.3的要求。
5.5. 2. 4独立测试
应遵循GB/T20275—2013中6.3.3.6.4的要
洁构参见图2,全局预警功能测试拓扑结构参见图3。测试设备包括测试所需的交换机、网络性能测试仪 模拟攻击源计算机、防火墙,以及网络入侵检测系统控制台、网络入侵检测系统探测器等。
Q/GDW109412018
图2联动功能测试拓扑图
图3全局预警功能测试拓扑图
包获取软件;测试产品报警能力的扫描和攻击工具包。只要有利于科学、公正、可重复地得到入侵检测 系统的测试结果,可采取多种测试工具和测试方法对系统进行测试。
6.3.1基本级功能测试方法
6.3.1.1数据探测
Q/GDW109412018
6.3.1.1.1数据收集
对数据收集的测试方法与预期结果如下: a)测试方法: 1)打开系统的安全策略配置,配置受保护的网段; 2)对受保护的网段发起攻击: 3)检查是否具有实时获取受保护网段内的数据包的能力。 b)预期结果:测试结果符合5.2.1.1.1的要求
6.3.1.1.2协议分析
6.3.1.1.3行为监测
6.3.1.1.4流量监测
6.3.1.2入侵分析
6.3.1.2.1数据分析
/GDW109412018
6.3.1.2.2防躲避能力
对防躲避能力的测试方法与预期结果如下: )测试方法:利用入侵检测躲避工具进行攻击,测试系统是否对攻击进行报警; b)预期结果:测试结果符合5.2.1.2.2的要求。
6.3.1.3入侵响应
6.3.1.3.1安全告警
6.3.1.3.2告警方式
对告警方式的测试方法与预期结果如下: a)测试方法: 1)打开菜单,查看告警方式的选择: 2)依次选择各种告警方式,测试是否能够按照指定的方法告警 b)预期结果:测试结果符合5.2.1.3.2的要求。
6.3.1.3.3排除响应
Q/GDW109412018
6.3.1.3.4定制响应
6.3.1.3.5入侵检测联动
6.3.1.4管理控制
6.3.1.4.1图形界面
对图形界面的测试方法与预期结果如下: a)测试方法: 1)登录控制台界面: 2)查看管理员界面的功能,包括管理配置界面、报警显示界面等: 3)通过界面配置控制台和探测器的连接。 b 预期结果:测试结果符合5.2.1.4.1的要求
6.3.1.4.2分布式部署
对分布式部署的测试方法与预期结果如下: 测试方法:配置系统的分布式部署模式,检测系统是否能够部署在本地或异地的至少两个子 内,在网络连通的情况下是否可以统一管理探测器; b)预期结果:测试结果符合5.2.1.4.2的要求。
6.3.1.4.3集中管理
对集中管理的测试方法与预期结果如下: a)测试方法: 1)部署至少2个控制台: 2)选取至少一个控制台,为其部署至少2个探测器
Q/GDW109412018
3)检查控制台是否可以同时管理并设置所有下级控制台和探测器,查看是否有可以显示部 情况的信息。 b)预期结果:测试结果符合5.2.1.4.3的要求。
6.3.1.4.4端口分离
对端口分离的测试方法与预期结果如下: a)测试方法:检查入侵检测系统是否配备进行产品管理和网络数据监听的端口; b)预期结果:测试结果符合5.2.1.4.4的要求。
6.3.1.4.5硬件失效处理
对硬件失效处理的测试方法与预期结果如下: a)测试方法:检查系统具备何种硬件失效处理机制,如硬件失效后,系统具有相应的报警措方 b)预期结果:测试结果符合5.2.1.4.5的要求。
6.3.1.4.6双机热备
对双机热备的测试方法与预期结果如下: a)测试方法:按照产品部署方案进行双机热备环境部署,关闭其中一台设备,查看另一设备是 可以及时工作: b) 预期结果:测试结果符合5.2.1.4.6的要求
6.3.1.4.9策略配置
6.3.1.4.10系统升级
Q/GDW109412018
6.3.1.4.11远程管理
对远程管理的测试方法与预期结果如下: a)测试方法: 1)远程通过浏览器或者专用管理控制台连接入侵检测系统: 2)在管理主机与入侵检测系统之间抓包。 b) 预期结果:测试结果符合5.2.1.4.11的要求。
6.3.1.5检测结果处理
6.3.1.5.3报告生成
6.3.1.5.4报告查阅
6.3.1.5.5报告输出
a)测试方法: 1)检查报告是否可输出: 2)检查系统支持的输出格式。 b)预期结果:测试结果符合5.2.1.5.5的要求。
6.3.1.6产品灵活性
6.3.1.6.1报告定制
/GDW109412018
对报告定制的测试方法与预期结果如下: a)测试方法:查看系统设置,是否支持报告内容的自定义; b)预期结果:测试结果符合5.2.1.6.1的要求。
6.3.1.6.3协议定义
6.3.1.6.4通用接口
对通用接口的测试方法与预期结果如下: a) 测试方法: 1)查看系统是否在设置与防火墙等安全设备的联动策略时明确支持了共享或联动协议; 2) 查看系统是否提供系统自已定义的对外开放通用接口,以支持与其他安全设备的共享信 或规范化联动。 b)预期结果:测试结果符合5.2.1.6.4的要求
6.3.1.7公司统一监控系统支持
对公司统一监控系统注册的测试方法与预期结果如下: a)测试方法: 1)配置入侵检测系统syslog日志外发的相关功能,将syslog日志发往指定的日志服务器,日 志服务器上查看是否收到日志信息,同时进行网络抓包:
Q/GDW109412018
Q/GDW109412018
2) 配置入侵检测系统基于安全增强的SNMP的监控功能,指定SNMP服务器,用SNMP监控工具 行监控,查看是否能观察到设备的运行信息。 b)预期结果:测试结果符合5.2.1.7的要求。
6.3.1.8NTP支持
对NTP支持的测试方法与预期结果如下: a)测试方法: 1)配置入侵检测系统的时间同步功能,配置指定的NTP时间源进行认证;进行时间同步,检 查入侵检测系统的时间是否自动被设置为时间源提供的时间(可选用本地主机时间和网络 时间源); 2)检查入侵检测系统是否具备时间源的认证功能, a)预期结果:测试结果符合5.2.1.8的要求,
6.3.2增强级功能测试方法
6.3.2.1入侵分析
6.3. 2.2入侵响应
6.3.2.2.1全局预警
JC∕T 865-2000 平板玻璃用石灰石6. 3. 2. 2. 2入侵管理
对入侵管理的测试方法与预期结果如下: a)测试方法: 1)检查入侵检测系统的响应策略配置界面是否具有安全管理中心或网络管理中心联动选项: 2)配置安全管理中心或网络管理中心联动策略: 3)检查入侵检测系统在监测到相应攻击时是否向安全管理中心或网络管理中心发送通知。 b)预期结果:测试结果符合5.2.2.2.2的要求
3.2.2.3其他设备联动
对其他设备联动的测试方法与预期结果如下: a)测试方法: 1)查看系统是否具有与其他网络设备和网络安全部件(如漏洞扫描,交换机)按照设定的策 略进行联动的设置:
2)设置联动策略: 3)检查系统是否能够与指定的网络安全部件进行联动。 b)预期结果:测试结果符合5.2.2.2.3的要求。
GBT 5310-2017标准下载6.3.2.2.4攻击快照
/GDW109412018
对攻击快照的测试方法与预期结果如下: a)测试方法: 1)启动入侵检测系统攻击快照功能,向入侵检测系统监视的网段内的主机发起攻击: 2)检查入侵检测系统是否记录了该次攻击并记录该次攻击的特征,如攻击的协议、异常字 等内容。 b)预期结果:测试结果符合5.2.2.2.4的要求。