应遵循GB/T20275—2013中6.1.1.3.3的要求

5.2.1.3.3排除响应

空调标准规范范本5.2.1.3.4定制响应

入侵检测系统应允许用户对被检测网段中指定的主机或特定的事件定制不同的响应方式，以对特定 的事件突出告警。

Q/GDW109412018

Q/GDW109412018

Q/GDW109412018

5.2.1.3.5入侵检测联动

5.2.1.4管理控制

5.2.1.4.1图形界面

系统应提供友好的用户界面用于管理、配置入侵检测系统。管理配置界面应包含配置和管理产品 需的所有功能。

5.2.1.4.2分布式部署

5.2.1.4.3集中管理

5.2.1.4.4端口分离

5.2.1.4.5硬件失效处理

5.2.1.4.6双机热备

5.2.1.4.7事件数据库

5.2.1.4.8事件分级

5.2.1.4.9策略配置

应遵循GB/T20275—2013中6.2.1.4.4的要

喜循GB/T202752013中6.2.1.4.4的要求

5.2.1.4.10系统升级

系统应具有及时更新，升级产品和事件库的能力，应提供由控制台对各探测器的事件库进行统一升 级的功能。

5.2.1.4.11远程管理

系统应支持通过网络接口进行远程管理 官理端与系统之间的所有通讯应加告 保安全。

5.2.1.5检测结果处理

5.2.1.5.1事件记录

5.2.1.5.2事件可视化

5.2.1.5.3报告生成

5.2.1.5.4报告查阅

5. 2. 1.5.5报告输出

5.2.1.6产品灵活性

5.2.1.6.1报告定制

Q/GDW109412018

持授权管理员按照自已的要求修改和定制报告内容，

5.2. 1.6.2事件定义

系统应允许授权管理员自定义事件，或者对开发商提供的事件做修改，并应提供方便、快捷的定 方法。

5.2.1.6.3协议定义

5.2.1.6.4通用接口

系统应提供对外的通用接口，以便与其他安全设备（如网络管理软件、入侵防御等）共享信息或 范化联动。

5.2.1.7公司统一监控系统支持

入侵检测系统应支持公司统一监控系统，具体测试要求如下： a）入侵检测系统应支持将Syslog日志输出到指定的服务器，基本数据格式、数据质量要求等应 符合Q/GDW11802及公司统一监控系统数据接入规范的其他要求： D 入侵检测系统应支持通过安全增强的SNMP对入侵检测系统进行监控，SNMP协议版本应支持 SNMPV2c及以上

5.2.1.8NTP支持

入侵检测系统应支持NTP协议，具体测试要求如下： a）入侵检测系统应支持使用NTP进行时间同步； b）入侵检测系统应支持对NTP时间源的认证。

5.2.2增强级功能测试

Q/GDW109412018

5.2.2.1入侵分析

曼检测系统应具有把不同的事件关联起来，发现低危害事件中隐含的高危害攻击的能力

5.2.2.2入侵响应

5.2.2.2.1全局预警

入侵检测系统应具有全局预警功能，控制台可在设定全局预警的策略后，将局部出现的重大安全 件通知其上级控制台或者下级控制台。

5.2.2.2.2入侵管理

5.2.2.2.3其他设备联动

入侵检测系统应具有与其他网络设备和网络安全部件（如漏洞扫描，交换机）按照设定的策略进 联动的能力。

5.2.2.2.4攻击快照

以便进行进一步的事件分析。

5.2.2.2.5原始数据留存

入侵检测系统应支持根据协议、IP地址 端口等参数将原始网络数据保存为通用网络数据分析软 可读的文件：还应支持只留存与特定事件相关的数据。

5.2.2.3管理控制

5.2.2.3.1多级管理

入侵检测系统应具有多级管理、分级管理的能力。

5.2.2.3.2多重并发登录控制

5.2.2.3.3拓扑展示

入侵检测系统应支持集中管理设备的拓扑展示功能 可通过直观显示设备运行状态。

2.2.3.4策略权限控制

入侵检测系统应支持上级管理中心下发到下级管理中心的策略优先级高于下级管理中心本地策略 本地用户无权进行修改。

5.2.2.4 Pv6

5.2.2.4.1双协议栈

入侵检测系统应支持IPv6/IPv4双协议栈功能，能同时辨识IPv4和IPv6通讯流量

5.2.2.4.2特征识别

5.3.1.1最大监控流量

Q/GDW109412018

入侵检测系统的最大监控流量视不同速率的人侵检测系统有所不同： a）百兆入侵检测系统应达到的最大监控流量应达到如下指标：整机最大监控流量应不小于 800MbpS; b）千兆入侵检测系统应达到的最大监控流量应达到如下指标：整机最大监控流量应不小于2Gbps c）万兆入侵检测系统应达到的最大监控流量应达到如下指标：整机监控流量应不小于9GbpS。

5.3.1.2最大监控并发连接数

入侵检测系统的最大监控并发连接数视不同速率的入侵检测系统有所不同： ）百兆入侵检测系统监控并发连接数应不小于80万个； b）千兆入侵检测系统监控并发连接数应不小于400万个： ）万兆入侵检测系统监控并发连接数应不小于800万个

5.3.1.3最大监控新建TCP连接速率

入侵检测系统的最大监控新建TCP连接速率视不同速率的入侵检测系统有所不同： a）百兆入侵检测系统监控每秒新建TCP连接数应不小于6万个： b）千兆入侵检测系统监控每秒新建TCP连接数应不小于10万个： c）万兆入侵检测系统监控每秒新建TCP连接数应不小于15万个。

测试人员应按照指定的测试方法、测试工具、测试环境和测试步骤测试入侵检测系统的误报率，不 能对产品的正常使用产生较大影响

入侵检测系统应按照指定的测试方法、测试工具、测试环境和测试步骤，在正常网络流量和各种指 定的网络背景流量下，分别测试产品未能对指定的入侵行为进行告警的数据，系统应将漏报率控制在应 用许可的范围，不能对正常使用产品产生较大影响

5.3.2增强级性能测试要求

5.3.2.1还原能力

入侵检测系统应对HTTP、FTP、SMTP、 当背景数据流低于网络有效带宽的80%时，系统应保证数据的获取和还原能够正常运行。

5.3.2.2已知漏洞攻击检测能力

入侵检测系统应可检测针对目前国际、国内已知的漏洞进行的攻击，应可检测出针对CVE和中国国 家信息安全漏洞库中已发布的漏洞的攻击，检测率应不小于漏洞数总量的80%

Q/GDW109412018

Q/GDW109412018

Q/GDW109412018

5.4.1基本级安全测试要求

5. 4. 1.1身份鉴别

5.4.1.1.1用户鉴别

应在用户执行任何与安全功能相关的操作之前对用户进行鉴别

5.4.1.1.2鉴别失败的处理

当用户鉴别尝试失败连续达到指定次数后，系统应锁定该帐号，并将有关信息生成审计事件。最多 失败次数仅由授权管理员设定。

5. 4. 1.1.3超时设置

应具有管理员登录超时重新鉴别功能。 段内没有任何操作的情况下，终止会话，需要 再次进行身份鉴别才能够重新管理产品， 最大超时时间仅由授权管理员设定。

5.4.1.1.4控制台鉴别

统应在通过控制台对引擎执行任何与安全功能相关的操作之前对控制台进行鉴别

5.4.1.1.5会话锁定

5. 4. 1.2 用户管理

5.4.1.2.1标识唯一性及口令复杂度

5.4.1.2.2用户角色

系统应设置多个角色，并应保证每一个用户标识是全局唯一的。

4.1.2.3用户属性定义

系统应为每一个用户保存安全属性表，属性应包括：用户标识、鉴别数据（如密码）、授权信息或

系统应为每一个用户保存安全属性表，属性应包括：用户标识、鉴别数据（如密码）、授权信息或 用户组信息、其他安全属性等。

5.4.1.2.4安全行为管理

系统应仅限于已识别了的指定的授权角色对产品的功能具有禁止、修改的能力。

5.4.1.3安全审计

5.4.1.3.1审计数据生成

应为下述可审计事件产生审计记录：审计功能的启动和关闭，审计级别以内的所有可审计事件等。 应在每个审计记录中至少记录如下信息：事件的日期和时间，事件类型，主体身份，事件的结果等。审 计记录应保存6个月以上。

.1.3.2审计数据可用性

5.4.1.3.3审计查阅

系统应为授权管理员提供从审计记录中读取全部审计信息的功能。

5.4.1.3.4受限的审计查阅

5.4.1.4事件数据安全

5.4.1.4.1安全数据管理

5.4.1.4.2数据保护

5.4.1.5通信安全

5.4. 1.5.1通信完整性

Q/GDW109412018

系统应确保各组件之间传输的数据（如配置和控制信息、告警和事件数据等）不被泄漏或篡改

5.4.1.5.2通信稳定性

应采取点到点协议等保证通信稳定性的方法，保证各部件和控制台之间传递的信息不因网络故障而 丢失或延迟。

5.4.1.5.3升级安全

系统应确保事件库和版本升级时的通信安全，应确保升级包是由开发商提供的

5.4.1.6产品自身安全

5.4.1.6.1自我隐藏

入侵检测系统应采取隐藏探测 皮攻击的可能价

5.4.1.6.2自我监测

5.4.2增强级安全测试要求

5.4.2.1身份鉴别功能

5.4.2.1.1鉴别数据保护

应遵循GB/T20275—2013中6.3.2.1.3的要求

5.4.2.1.2多鉴别机制

Q/GDW109412018

Q/GDW109412018

应遵循GB/T20275—2013中6.3.2.1.6的要求

5.4.2.2用户管理功能

系统应仅限于已识别了的指定的授权角色可以对指定的安全属性进行查询、修改、删除、改变其默 认值等操作。

5.4.2.3事件数据安全

系统应在发生事件数据存储器空间将耗尽等情况时，自动产生告警，并采取措施避免事件数据丢失。 产生告警的剩余存储空间大小应由用户自主设定。

5. 5.1 配置管理

5.5.1.1配置管理能力

5.5.1.2配置管理覆盖

5.5.2.1测试覆盖

应遵循GB/T20275—2013中6.3.3.6.1的

5.5.2.2测试深度

5.5.2.3功能测试

应遵循GB/T20275一2013中6.3.3.6.3的要求。

5.5. 2. 4独立测试

应遵循GB/T20275—2013中6.3.3.6.4的要

洁构参见图2，全局预警功能测试拓扑结构参见图3。测试设备包括测试所需的交换机、网络性能测试仪 模拟攻击源计算机、防火墙，以及网络入侵检测系统控制台、网络入侵检测系统探测器等。

Q/GDW109412018

图2联动功能测试拓扑图

图3全局预警功能测试拓扑图

包获取软件；测试产品报警能力的扫描和攻击工具包。只要有利于科学、公正、可重复地得到入侵检测 系统的测试结果，可采取多种测试工具和测试方法对系统进行测试。

6.3.1基本级功能测试方法

电动汽车标准规范范本6.3.1.1数据探测

Q/GDW109412018

6.3.1.1.1数据收集

对数据收集的测试方法与预期结果如下： a）测试方法： 1）打开系统的安全策略配置，配置受保护的网段； 2）对受保护的网段发起攻击： 3）检查是否具有实时获取受保护网段内的数据包的能力。 b）预期结果：测试结果符合5.2.1.1.1的要求

6.3.1.1.2协议分析

对协议分析的测试方法与预期结果如下： a）测试方法： 1）打开系统的安全策略配置，检测安全事件的描述是否具有协议类型等属性： 2） 检查产品说明书，查找关于协议分析方法说明，按照系统所声明的协议分析类型，抽样 成协议时间，组成攻击事件测试集： 3 配置系统的检测策略为最大策略集： 4）发送安全事件测试集中的所有事件，记录系统的检测结果。 b）预期结果：测试结果符合5.2.1.1.2的要求

6.3.1.1.3行为监测

6.3.1.1.4流量监测

对流量监测的测试方法与预期结果如下： a）测试方法： 1）开启流量显示功能建筑标准规范范本，定义流量事件，查看流量显示界面，显示流量变化 2）对某一服务器发起大流量的攻击，如pingflood； 3）对特定的端口（如80端口）发起拒绝服务攻击。 b）预期结果：测试结果符合5.2.1.1.4的要求