ICS 35.040 Q/GDW 国家电网有限公司企业标准 Q/GDW10941—2018 代替 Q/GDW 1941—2013 入侵检测系统测试要求 Testing requirements for instrucsion detection system 2019-07-26发布 2019-07-26实施 国家电网有限公司 发布 Q/GDW 10941—2018 目次 前 II 范围 规范性引用文件 术语和定义 3 缩略语. 4 测试要求 5 5.1 总体说明 功能测试要求 5.2 5.3 性能测试要求. 5.4 安全测试要求 5.5 开发者保障要求 10 测试方法 10 6.1 测试环境， 10 6.2 测试工具. 11 6.3 功能测试方法， 11 6.4 性能测试方法 20 6.5 安全测试方法 22 附录A(资料性附录) 等级划分表 27 编制说明 30 Q/GDW 10941—2018 前言 为规范入侵检测产品的测试工作，明确入侵检测产品的测试指标，保证入侵检测产品的正常使用， 应对入侵检测产品提出统一的测试要求，以此来规范入侵检测的测试工作，制定本标准。 要差异如下： 删除了Q/GDW1941—2013中的“分析方式”（见2013版的5.2.1.3.2）； 一 ，，， 一增加了“硬件失效处理”“双机热备”的功能测试要求； ，， 增加了第6章“测试方法”。 本标准由国家电网有限公司信息通信部提出并解释。 本标准由国家电网有限公司科技部归口。 本标准起草单位：中国电力科学研究院有限公司。 本标准主要起草人：郭旭、郑义、李凌、刘楠、严敏辉、李琳、贾玲、吴荣春、姜敏、朱朝阳、高 昆仑、刘莹、孙炜、詹雄、单松玲、陈艳红、宋小芹、白涛、张丞、李祉岐、邵志鹏、刘行、刘圣龙、 黄云、郭蔡炜、张亮、许放、袁琪、李福雷、翁征、孙强、庞天宇、陈华智。 本标准2014年05月首次发布，2017年11月第一次修订。 本标准在执行过程中的意见或建议反馈至国家电网有限公司科技部。 II Q/GDW 10941—2018 入侵检测系统测试要求 1范围 本标准规定了国家电网有限公司入侵检测系统的测试要求和测试方法，要求包括功能测试要求、性 能测试要求、安全测试要求和开发者保障要求 本标准适用于国家电网有限公司入侵检测系统的设计、开发与测试。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。 GB/T183362015信息技术安全技术信息技术安全评估准则 GB/T20275—2013信息安全技术网络入侵检测系统技术要求和测试评价方法 GB/T25069—2010信息安全技术术语 Q/GDW11802网络与信息安全风险监控预警平台数据接入规范 3术语和定义 GB/T 18336—2015、GB/T20275—2013和GB/T25069—2010界定的以及下列术语和定义适用于本文 件。 3.1 基本级 basic level 在国家电网有限公司内使用的入侵检测产品应满足的测试要求。 3.2 增强级 enhanced level 在基本级基础上对入侵检测系统提出的更高的测试要求，对满足增强级测试要求的入侵检测系统可 给予更高的产品评价。 4缩略语 下列缩略语适用于本文件。 ARP：地址解析协议（Address Resolution Protocol) CVE：公共漏洞和暴露（Common Vulnerabilities &Exposures) DNS：域名系统(Domain Name System) FTP：文件传输协议（File Transfer Protocol) HTML：超文本标记语言(Hypertext Language) Markup Transfer Protocol) HTTP：超文本传输协议(Hypertext Q/GDW 10941—2018 ICMP：网间控制报文协议(InternetControl Messages Protocol) IDS：入侵检测系统(Intrusion Detection System) IMAP：因特网消息访问协议(Intrusion Detection System) IP： 网际协议(Internet Protocol) IPv6: 网际协议6 (Internet Protocol Version 6) NFS:网络文件系统 (Network FileSystem) NNTP：网络新闻传送协议 (NetworkNewsTransfer Protocol) NTP：网络时间同步协议(NetworkTime Protocol) POP3:邮局协议3 (Post Office Protocol 3) RIP：路由选择信息协议(RoutingInformation Protocol) RPC:远程过程调用(RemoteProcedureCall) SMTP：简单邮件协议(SimpleMailTransferI Protocol) SNMP：简单网络管理协议(Simple Network Management Protocol) TCP：传输控制协议（Transport Control Protocol) TELNET：远程登录(Telnet) TFTP：普通文件传送协议（Trivial File Transfer Protocol) UDP：用户数据报协议(UserDatagram Protocol) 5测试要求 5.1总体说明 本标准将入侵检测系统测试要求分为功能测试要求、性能测试要求、安全测试要求和开发者保障要 求四个大类。 a）功能测试要求：根据国家电网公司对入侵检测系统的需求提出的入侵检测系统应具备的功能要 求，分为基本级和增强级。增强级包含基本级的所有测试要求，5.2.2中不再重复描述基本级 的功能测试要求。所有在国家电网公司内使用的入侵检测系统应满足基本级功能测试要求。在 满足基本级功能测试要求的基础上，入侵检测系统如满足增强级要求，可对产品给予更高的评 价。具体功能测试要求等级划分参见附录A中表A.1; b）性能测试要求：根据国家电网公司对入侵检测系统的需求提出的入侵检测系统应达到的性能指 标要求，分为基本级和增强级。增强级包含基本级的所有测试要求，5.3.2中不再重复描述基 本级的性能测试要求。所有在国家电网公司内使用的入侵检测系统应满足基本级性能测试要求。 增强级性能测试要求从入侵检测产品的实际应用角度对产品的性能指标提出了要求。具体性能 测试要求等级划分参见附录A中表A.2; 安全测试要求：根据国家电网公司对入侵检测系统的安全要求以及入侵检测系统自身的特点提 c) 出的入侵检测系统的自身安全和防护能力要求，分为基本级和增强级。增强级包含基本级的所 有测试要求，5.4.2中不再重复描述基本级的安全测试要求。所有在国家电网公司内使用的入 侵检测系统应满足基本级安全测试要求。增强级入侵检测系统具备较高的自身安全防护功能。 具体安全测试要求等级划分参见附录A中表A.3; d）开发者保障要求：根据国家电网公司目前的网络现状，针对入侵检测系统开发者提出的具体要 求。 5.2功能测试要求 5.2.1基本级功能测试要求 2 Q/GDW 10941—2018 5.2.1.1数据探测 5.2.1.1.1数据收集 入侵检测系统应具有实时获取受保护网段内的数据包的能力，获取的数据包应确保系统可进行检测 分析。 5.2.1.1.2协议分析 入侵检测系统至少应监视基于以下协议的事件：IP、ICMP、ARP、RIP、TCP、UDP、RPC、HTTP、FTP、 TFTP、IMAP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、NNTP、TNS等。 5.2. 1.1.3行为监测 入侵检测系统至少应监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓 冲区溢出攻击、IP碎片攻击、网络蠕虫攻击、病毒攻击、僵尸网络攻击等。 5.2. 1.1. 4流量监测 应遵循GB/T20275—2013中6.1.1.1.4的要求。 5.2.1.2入侵分析 5.2.1.2.1数据分析 入侵检测系统应对收集的数据包进行分析，发现攻击事件，并对攻击事件类型进行分类。 5.2.1.2.2防躲避能力 入侵检测系统应能发现躲避或欺骗检测的行为，如IP碎片重组，TCP流重组，协议端口重定位，RPO 分片，HTML混淆，URL混淆，FTP躲避，HTTP躲避，UPL字符串变形，SHELL代码变形等 5.2. 1.2.3事件合并 入侵检测系统应具有对高频度发生的相同安全事件进行合并告警，避免出现告警风暴的能力。 5.2.1.3入侵响应 5.2.1.3.1安全告警 应遵循GB/T20275—2013中6.1.1.3.2的要求。 5.2.1.3.2告警方式 应遵循GB/T20275—2013中6.1.1.3.3的要求。 5.2.1.3.3排除响应 入侵检测系统应允许用户定义对被检测网段中指定的主机或特定的事件不予告警，降低误报 5.2.1.3.4定制响应 入侵检测系统应允许用户对被检测网段中指定的主机或特定的事件定制不同的响应方式，以对特定 的事件突出告警。 3