QGDW 11894-2018 电力监控系统网络安全监测装置检测规范

Q/GDW118942018

8.1.1软件版本检测

软件版本检测要求和方法如下： a）检测要求：监测装置软件应由送检单位自主研发。 b）检测方法：收集监测装置的版本信息垫片标准，检测监测装置软件版本是否与其他厂商软件版本

8.1.2版本命名检测

版本命名检测要求和方法如下： a）检测要求：监测装置版本命名由监测装置型号和版本信息两部分组成，其中监测装置型号包括 厂家硬件代码、厂家装置系列代码，版本信息包括版本号、生成日期和校验码，应能查询软件 版本，描述方法见图2所示。

图2装置命名规范要求示意图

b）检测方法：查看并记录监测装置型号和版本信息，检测版本命名是否与图2中①、②、③ ③部分的要求相符。

8.2.1整体外观检测

外观检测要求和方法如下： 检测要求： 1） 机箱尺寸应符合GB/T19520.12的规定，I型监测装置可采用1U或2U整层机箱，II 型监测装置应采用1U整层机箱： 不带电金属部分应在电气上连成一体，并具备明显的接地点： 3) 应有安全警示标志，如：接地标志，防触电标志等： 插件应均匀涂覆； 5） 机箱颜色及封装材料应与厂商提供的一致； 6） 外观应无明显缺陷： 7) 应符合IP20级防护性能。 b 检测方法： 1） 使用测量工具测量并记录机箱的长、宽、高尺寸： 2) 使用电气测量工具检测监测装置的不带电金属部分在电气上是否连成一体，是否具备可 靠接地点： 3） 查看并记录监测装置是否有安全标志； 查看并记录插件覆层的颜色是否均匀一致，无明显的色差和眩光，涂覆层表面无砂粒、 趋皱、流痕等； 查看并记录监测装置机箱颜色及封装材料：

Q/GDW 11894—2018

8.2.3LED灯检测

LED灯检测要求和方法如下： a）检测要求：应具备5个运行指示灯，指示灯定义见表2：

1）查看监测装置正常工作时运行灯是否处于长亮状态，且为绿色；不能工作或部分功能缺 失时运行灯是否熄灭； 2） 电源1上电后，查看电源1灯是否处于长亮状态，且为绿色：切断电源1后，查看电源 灯是否处于常灭状态： 3） 电源2上电后，查看电源2灯是否处于长亮状态，且为绿色；切断电源2后，查看电源 灯是否处于常灭状态： 查看监测装置正常运行时告警灯是否处于常灭状态；当监测装置硬件、软件配置等出现 异常时，查看告警灯是否处于长亮状态，且为红色：

Q/GDW118942018

B.3.11型网络安全监测装置

硬件配置检测要求和方法如下： a） 检测要求： 1） 接口配置要求：应具备不少于4个10M/100M/1000M自适应以太网电口（支持网口扩展） 采用RJ45接口； 2） 内存配置要求：监测装置内存≥8GB；存储配置要求：监测装置存储空间≥500GB； 3） 硬件设计要求：宜采用非x86低功耗工业级硬件架构设计； 4） 电源模块配置要求：采用双路交流独立供电，交流电源电压：220V。 6) 检测方法： 1）查看监测装置是否具备不少于4个10M/100M/1000M自适应以太网电口（支持网口扩展） 是否采用RJ45接口，并记录网口的数量； 2） 查看监测装置内存是否大于8GB，存储空间配置是否大于500GB，并记录内存和存储空间 的大小； 3） 查看并记录监测装置硬件配置是否为非x86架构； 4） 查看并记录电源模块电压类型、等级以及数量。

硬件配置检测要求和方法如下： a） 检测要求： 1）接口配置要求：应具备不少于4个10M/100M/1000M自适应以太网电口（支持网口扩展） 采用RJ45接口； 2） 内存配置要求：监测装置内存≥8GB；存储配置要求：监测装置存储空间≥500GB； 3 硬件设计要求：宜采用非x86低功耗工业级硬件架构设计； 4） 电源模块配置要求：采用双路交流独立供电，交流电源电压：220V。 检测方法： 1）查看监测装置是否具备不少于4个10M/100M/1000M自适应以太网电口（支持网口扩展） 是否采用RJ45接口，并记录网口的数量： 2） 查看监测装置内存是否大于8GB，存储空间配置是否大于500GB，并记录内存和存储空间 的大小； 3 查看并记录监测装置硬件配置是否为非x86架构； 4） 查看并记录电源模块电压类型、等级以及数量。

8.3.2ⅡI型网络安全监测装置

Q/GDW118942018

8.4.1数据采集检测

8.4.1.11型网络安全监测装置

数据采集检测要求和方法如下： a 检测要求：应支持对资产配置以内和资产配置以外的服务器、工作站、网络设备、安全防护设 备、数据库等监测对象进行数据采集；具体采集信息见Q/GDW11914一2018附录B.1； b） 检测方法： 1）触发资产配置以内的服务器、工作站、网络设备、安全防护设备（防火墙、横向隔离装 置、纵向加密装置、防病毒系统、入侵检测系统）、数据库等监测对象的事件信息，通过 本地客户端或管理平台查看采集信息是否完整、格式是否正确； 2） 触发资产配置以外的服务器、工作站、网络设备、安全防护设备（防火墙、横向隔离装 置、纵向加密装置、防病毒系统、入侵检测系统）、数据库等监测对象的事件信息，通过 本地客户端或管理平台查看采集信息是否完整、格式是否正确。

8.4.1.21I型网络安全监测装置

数据采集检测要求和方法如下： a） 检测要求：应支持对资产配置以内和资产配置以外的服务器、工作站、网络设备、安全防护设 备等监测对象进行数据采集；具体采集信息见Q/GDW11914一2018附录B.2； b 检测方法： 1）触发资产配置以内的服务器、工作站、网络设备、安全防护设备（防火墙、横向隔离装 置）等监测对象的事件信息，通过本地客户端或管理平台查看采集信息是否完整、格式 是否正确： 2） 触发资产配置以外的服务器、工作站、网络设备、安全防护设备（防火墙、横向隔离装 置）等监测对象的事件信息，通过本地客户端或管理平台查看采集信息是否完整、格式 是否正确。

8.4.2事件上传检测

B.4.2.11型网络安全监测装置

事件上传检测要求和方法如下： a）检测要求： 1）应支持对监测装置自身、服务器、工作站、网络设备、安全防护设备、数据库等监测对 象信息进行分析处理，并形成相应的外设接入事件、用户登录事件、危险操作事件、状 态异常事件、异常网络访问事件等上传事件，详见Q/GDW11914一2018附录C.2； 2）应支持以分钟级统计周期，对重复出现的事件进行归并处理。 b） 检测方法： 1）分别配置事件上传方式为DL/T634.5104协议和消息总线，触发监测装置自身、服务器 工作站、网络设备、安全防护设备（防火墙、横向隔离装置、纵向加密装置、防病毒系 统、入侵检测系统）、数据库等监测对象的事件信息，检测监测装置上传事件是否完整、 格式是否正确； 2） 触发生成重复的事件信息，检测监测装置是否能够对Q/GDW11914一2018附录C.2要求 归并的事件按照归并周期进行上传

8.4.2.21I型网络安全监测装置

事件上传检测要求和方法如下：

Q/GDW118942018

a）检测要求： 1）应支持对监测装置自身、服务器、工作站、网络设备、安全防护设备等监测对象信息进 行分析处理，并形成相应的外设接入事件、用户登录事件、危险操作事件、状态异常事 件、异常网络访问事件等上传事件，详见Q/GDW11914一2018附录C.3； 2）应支持以分钟级统计周期，对重复出现的事件进行归并处理。 6） 检测方法： 1）触发监测装置自身、服务器、工作站、网络设备、安全防护设备（防火墙、横向隔离装 置）等监测对象的事件信息，检测监测装置上传事件是否准确； 2） 触发生成重复的事件信息，检测监测装置是否能够对Q/GDW11914一2018附录C.3要求 归并的事件按照归并周期进行上传。

8.4.3服务代理检测

8.4.3.1型网络安全监测装置

务代理检测要求和方法如下： 检测要求： 1） 应支持远程调阅采集信息、上传事件等数据信息，应支持根据时间段、设备类型、事件 等级、事件记录个数等综合过滤条件远程调阅数据信息； 2） 应支持配置参数的远程管理，包括系统参数、通信参数、事件处理参数、资产参数及证 书参数； 3 应支持通过代理方式实现对服务器、工作站等设备基线核查功能的调用： 应支持通过代理方式实现对服务器、工作站等设备禁用网卡命令的调用： 5 应支持通过管理平台对监测装置进行远程程序升级： 6） 应支持通过代理方式实现对服务器、工作站等设备漏洞扫描功能的调用； 7 应支持通过管理平台对监测装置自身进行版本管理； 8） 应支持通过代理方式实现对服务器、工作站等设备版本管理功能的调用： 9） 应支持通过代理方式实现对服务器、工作站等设备中漏洞扫描模块特征数据的更新； 10 应支持对管理平台访问监测装置的权限进行划分，包括查询权限、监测装置自身参数设 置权限、监测对象参数设置与命令控制权限等； 11）通过服务代理远程进行的修改、更新、升级等操作应自动生效，无须重启装置； 12）应支持通过代理方式实现对监测装置的配置进行备份和恢复。 检测方法： 1）通过管理平台分别调阅采集信息、上传事件数据信息，检测是否能够查看到采集信息和 上传事件信息；设置事件记录条数、设备类型、事件等级、起止时间等一个或多个组合 过滤条件对采集信息和上传事件数据信息进行过滤，检测过滤结果是否正确； 2） 通过管理平台查看和配置监测装置系统参数，包括网卡参数、路由参数的查看、添加、 修改与删除，NTP对时参数的查看与修改，检测远程系统参数配置管理功能是否符合检测 要求，检测配置是否自动生效； 3 通过管理平台查看和修改监测装置通信参数，包括主机端口、安防设备服务端口、网络 设备端口、服务代理端口、平台IP地址、事件上传端口、平台IP地址权限参数，检测 远程通信参数配置管理功能是否符合检测要求，检测修改是否自动生效：

务代理检测要求和方法如下： 检测要求： 1） 应支持远程调阅采集信息、上传事件等数据信息，应支持根据时间段、设备类型、事件 等级、事件记录个数等综合过滤条件远程调阅数据信息； 2） 应支持配置参数的远程管理，包括系统参数、通信参数、事件处理参数、资产参数及证 书参数； 3 应支持通过代理方式实现对服务器、工作站等设备基线核查功能的调用： 应支持通过代理方式实现对服务器、工作站等设备禁用网卡命令的调用： 5 应支持通过管理平台对监测装置进行远程程序升级： 6） 应支持通过代理方式实现对服务器、工作站等设备漏洞扫描功能的调用； 7 应支持通过管理平台对监测装置自身进行版本管理； 8） 应支持通过代理方式实现对服务器、工作站等设备版本管理功能的调用： 9） 应支持通过代理方式实现对服务器、工作站等设备中漏洞扫描模块特征数据的更新； 10 应支持对管理平台访问监测装置的权限进行划分，包括查询权限、监测装置自身参数设 置权限、监测对象参数设置与命令控制权限等； 11）通过服务代理远程进行的修改、更新、升级等操作应自动生效，无须重启装置； 12）应支持通过代理方式实现对监测装置的配置进行备份和恢复。 检测方法： 1）通过管理平台分别调阅采集信息、上传事件数据信息，检测是否能够查看到采集信息和 上传事件信息；设置事件记录条数、设备类型、事件等级、起止时间等一个或多个组合 过滤条件对采集信息和上传事件数据信息进行过滤，检测过滤结果是否正确； 2） 通过管理平台查看和配置监测装置系统参数，包括网卡参数、路由参数的查看、添加、 修改与删除，NTP对时参数的查看与修改，检测远程系统参数配置管理功能是否符合检测 要求，检测配置是否自动生效； 3 通过管理平台查看和修改监测装置通信参数，包括主机端口、安防设备服务端口、网络 设备端口、服务代理端口、平台IP地址、事件上传端口、平台IP地址权限参数，检测 远程通信参数配置管理功能是否符合检测要求，检测修改是否自动生效：

Q/GDW118942018

通过管理平台查看和修改监测装置事件处理参数，包括CPU利用率上限值、内存使用 率上限阅值、连续登录失败值、归并周期、磁盘空间使用率上限值、历史事件上报 分界时间参数，检测远程事件处理参数配置管理功能是否符合检测要求，检测修改是否 自动生效； 通过管理平台查看、添加、删除、修改监测装置资产参数，检测远程资产参数是否能够 被远程管理，检测配置是否自动生效； 通过管理平台分别对DER、PEM两种格式的证书文件进行查看和配置操作，检测远程证书 参数管理功能是否符合检测要求，证书链式验证是否正确，检测配置是否自动生效； 通过管理平台对服务器、工作站等设备执行基线核查命令（启动核查、停止/取消核查、 查看核查状态与获取核查结果），检测基线核查命令是否生效；通过管理平台启动基线核 查，等待24小时后查看核查状态为成功时，检测是否能够获取核查结果； 通过管理平台对服务器、工作站执行禁用网卡命令，检测该命令是否执行正确； 通过管理平台使用监测装置功能或配置的升级包进行远程软件升级，检测远程升级功能 是否成功并自动生效； 10）通过管理平台对服务器、工作站等设备执行漏洞扫描操作（启动、停止/取消、查看漏洞 扫描状态与获取漏洞扫描结果），检测远程漏洞扫描功能是否生效； 11）通过管理平台对监测装置自身及服务器、工作站进行版本管理（版本匹配、版本校验、 配置更新），检测监测装置是否返回正确格式的版本信息； 2）通过管理平台远程更新服务器、工作站中漏洞扫描的特征数据，检测更新是否成功并自 动生效； 13）通过管理平台查看和修改管理平台访问监测装置的权限，并进行相应的读/写操作，检测 监测装置对管理平台的访问限制是否与设定的一致； 14）通过管理平台备份监测装置自身的配置，再次将备份的配置参数进行恢复，检测远程备 份与恢复功能是否成功并自动生效，

8.4.3.2型网络安全监测装置

服务代理检测要求和方法如下： a）检测要求： 1） 应支持远程调阅采集信息、上传事件等数据信息，应支持根据时间段、设备类型、事件 等级、事件记录个数等综合过滤条件远程调阅数据信息； 2） 应支持配置参数的远程管理，包括系统参数、通信参数、事件处理参数、资产参数及证 书参数； 3） 应支持通过代理方式实现对服务器、工作站等设备基线核查功能的调用； 4） 应支持通过代理方式实现对服务器、工作站等设备主动断网命令的调用； 5） 应支持通过代理方式实现对服务器、工作站等监测对象的参数管理，包括网络连接白名 单、服务端口白名单、关键文件/目录清单、存在光驱设备检测周期、非法端口检测周期 危险操作命令清单等参数的查看与设置： 6 应支持通过管理平台对监测装置进行远程程序升级； 应支持通过代理方式实现对服务器、工作站等设备漏洞扫描功能的调用； 8 应支持通过管理平台对监测装置自身进行版本管理； 9 应支持通过代理方式实现对服务器、工作站等设备版本管理功能的调用； 10）应支持通过代理方式实现对服务器、工作站等设备中漏洞扫描模块特征数据的更新：

Q/GDW118942018

11）应支持对管理平台访问监测装置的权限进行划分，包括查询权限、监测装置自身参数设 置权限、监测对象参数设置与命令控制权限等； 12）通过服务代理远程进行的修改、更新、升级等操作应自动生效，无须重启装置： 13）应支持通过代理方式实现对监测装置的配置进行备份和恢复。 险测方法： 1）通过管理平台分别调阅采集信息、上传事件数据信息，检测是否能够查看到采集信息和 上传事件信息；设置事件记录条数、设备类型、事件等级、起止时间等一个或多个组合 过滤条件对采集信息和上传事件数据信息进行过滤，检测过滤结果是否正确； 2 通过管理平台查看和配置监测装置系统参数，包括网卡参数、路由参数的查看、添加、 修改与删除，NTP对时参数的查看与修改，检测远程系统参数配置管理功能是否符合检测 要求，检测配置是否自动生效； 3） 通过管理平台查看和修改装置通信参数，包括主机端口、安防设备服务端口、网络设备 端口、服务代理端口、平台IP地址、事件上传端口、平台IP地址权限参数，检测远程 通信参数配置管理功能是否符合检测要求，检测修改是否自动生效； 通过管理平台查看和修改监测装置事件处理参数，包括CPU利用率上限阅值、内存使用 率上限阅值、连续登录失败阈值、归并周期、磁盘空间使用率上限阅值、历史事件上报 分界时间参数，检测远程事件处理参数配置管理功能是否符合检测要求，检测修改是否 自动生效： 通过管理平台查看、添加、删除、修改监测装置资产参数，检测远程资产参数是否能够 被远程管理，检测配置是否自动生效； 通过管理平台分别查看和配置DER、PEM两种格式的证书文件，检测远程证书参数管理 功能是否符合检测要求，证书链式验证是否正确，检测配置是否自动生效； 通过管理平台对服务器、工作站执行基线核查命令（启动核查、停止/取消核查、查看核 查状态与获取核查结果），检测远程基线核查命令是否生效；通过管理平台启动基线核查： 等待24小时后查看核查状态为成功时，检测是否能够获取核查结果： ） 通过管理平台对服务器、工作站执行主动断网命令，检测该命令是否执行正确； 力 通过管理平台查看与设置监测装置自身的网络连接白名单、服务端口白名单、非法端口 检测周期、危险操作命令清单参数：通过服务代理方式查看与设置服务器、工作站等监 测对象的网络连接白名单、服务端口白名单、关键文件/目录清单、存在光驱设备检测周 期、非法端口检测周期、危险操作命令清单参数，检测远程监控对象参数管理功能是否 符合检测要求，检测配置是否自动生效； 10）通过管理平台使用监测装置功能或配置的升级包进行远程软件升级，检测远程升级功能 是否成功并自动生效； 11）通过管理平台对服务器、工作站执行漏洞扫描操作（启动、停正/取消、查看漏洞扫描状 态与获取漏洞扫描结果），检测远程漏洞扫描功能是否生效； 12）通过管理平台对监测装置自身及服务器、工作站等设备进行版本管理（版本匹配、版本 校验、配置更新），检测监测装置是否返回正确格式的版本信息： 13）通过管理平台远程更新服务器、工作站漏扫模块的特征数据，检测更新是否成功并自动 生效； 14）通过管理平台查看和修改管理平台访问监测装置的权限，并进行相应的读/写操作，检测 监测装置对管理平台的访问限制是否与设定的一致； 15）通过管理平台备份监测装置自身的配置，再次将备份的配置参数进行恢复，检测远程备 份与恢复功能是否成功并自动生效。

Q/GDW118942018

8.4.4本地管理功能检测

地管理功能检测要求和方法如下： 检测要求： 1） 应提供本地图形化界面； 2） 应具备自诊断功能，至少包括进程异常、通信异常、硬件异常、CPU占用率过高、存储空 间剩余容量过低、内存占用率过高等，检测到异常时应提示告警，诊断结果应记录日志； 3） 应具备用户管理功能，基于三权分立原则划分管理员、操作员、审计员等不同角色，并 为不同角色分配不同权限；应满足不同角色的权限相互制约要求，不应存在拥有所有权 限的超级管理员角色； 4） 应具备资产管理功能，包括资产信息的添加、删除、修改、查看等，资产信息应包括： 设备名称、设备IP、MAC地址、设备类型、设备厂家、序列号、系统版本等： 5） 支持采集信息、上传信息的本地查看，应支持根据时间段、设备类型、事件等级、事件 条数等综合过滤条件进行信息查看； 6 应支持对监视对象数量、在离线状态的统计展示，应支持从设备类型、事件等级等维度 对采集信息、上传信息进行统计展示； 7） 应具备日志审计功能，日志类型至少包括登录日志、操作日志、维护日志等；日志内容 应包括日志级别、日志时间、日志类型、日志内容等信息，日志应具备可读性； 8 应支持通过本地实现对服务器、工作站等设备的基线核查功能的调用： 9 应支持通过本地客户端对系统参数、通信参数、事件处理参数、资产参数、证书参数进 行查看与配置；应支持参数配置导出功能及同产品的参数配置备份导入功能； 10）应支持对CA根证书、管理平台证书的导入与管理； 11）应支持对监测装置的配置进行备份和恢复； 12）通过本地管理进行的修改、更新等操作应自动生效。 检测方法： 1 依据厂家提供的本地客户端程序，部署运行后检测本地客户端是否具备图形化界面； 2） 触发监测装置进程异常、通信异常、硬件异常、CPU占用率过高、存储空间剩余容量过低 内存占用率过高等故障，通过本地客户端查看是否生成相应的告警信息，查询日志记录 检测告警信息是否在日志中被完整记录： 3） 分别使用管理员、操作员、审计员等不同角色在本地客户端执行登录退出操作，且登录 期间执行用户管理操作，检测用户登录/退出功能及用户管理功能是否正确；分别使用管 理员、操作员、审计员等不同角色登录进行相关操作，检测不同角色之间是否拥有交叉 的权限，是否存在拥有所有权限的超级管理员角色； 4 通过本地客户端分别查看采集信息和上传信息，检测是否能够查看到采集信息和上传信 息；设置不同的时间段、设备类型、事件等级、事件条数等综合条件对采集信息和上传 信息进行过滤，检测过滤结果是否正确； 5） 通过本地客户端检测监测装置是否支持从设备类型、事件等级等维度对采集信息、上传 信息进行准确统计展示；检测监测装置是否支持对监测对象数量、在/离线状态的准确统 计展示； 6） 分别触发记录到登录日志、操作日志、维护日志等的事件，通过本地客户端查看相应日 志是否被记录，且日志的级别、时间、类型和内容均止确； 7） 通过本地客户端对服务器、工作站进行基线核查操作，检测基线核查功能是否正确； 8） 通过本地客户端查看系统参数、通信参数、事件处理参数、资产参数、证书参数，检测 各参数配置项是否符合Q/GDW11914一20188.6章条的要求：通过本地客户端配置系统

Q/GDW118942018

参数、通信参数、事件处理参数、资产参数、证书参数并保存，检测配置是否成功并自 动生效； 通过本地客户端对系统参数、通信参数、事件处理参数、资产参数、证书参数进行导出 操作，检测是否能够成功导出；将导出的配置参数导入到同类产品之中，检测导入是否 成功；将备份参数进行恢复，检测配置参数是否具备备份与恢复功能； 10）通过本地客户端对DER、PEM两种格式的证书文件进行导入与管理，检测证书导入是否满 足链式验证，检测上述操作是否自动生效。

8.4.5时间同步功能检测

兼容性检测要求和方法如下： a）检测要求： 1）应支持在运的已通过检测的各类操作系统的agent信息采集：

Q/GDW118942018

2）应支持在运的主流厂家的交换机设备事件信息的采集，如：华为、华三、中兴以及常见 的工业以太网交换机； 3） 应支持在运的主流厂家的安防设备事件信息的采集，如：科东、南瑞信通、绿盟、迪普 等； 4）I型监测装置还应支持在运的主流厂家的数据库事件信息的采集，如金仓、达梦等。 b） 检测方法： 1 触发兼容性测试所用操作系统生成相关事件信息，通过本地客户端或管理平台查看信息 采集是否完整、格式是否正确； 2） 触发兼容性测试所用交换机设备生成相关事件信息，通过本地客户端或管理平台查看信 息采集是否完整、格式是否正确： 3） 触发兼容性测试所用安防设备生成相关事件信息，通过本地客户端或管理平台查看信息 采集是否完整、格式是否正确； 4） 触发兼容性测试所用数据库设备生成相关事件信息，通过本地客户端或管理平台查看信 息采集是否完整、格式是否正确

8.5.1采集信息吞吐量检测

采集信息吞吐量检测要求和方法如下： a）检测要求：I型监测装置采集信息吞吐量≥4000条/s，II型监测装置采集信息吞吐量≥2000条 /S； b） 检测方法：分别以检测要求的速率模拟生成服务器、工作站、网络设备、安防设备等监测对象 的事件信息，持续测试20s，检测监测装置的采集信息吞吐量是否达到设定值；模拟生成大于 设定值的监测对象的事件信息，检测并记录监测装置每秒接收采集信息的最大吞吐量数值。

8.5.2通信对象数量检测

通信对象数量检测要求和方法如下： a 检测要求：I型监测装置支持监测对象数量≥1000，Ⅱ型监测装置分别支持监测对象数量≥50 个，管理平台≥4个； 6） 检测方法： 1）分别配置连接的监测对象数量为设定值，触发每个监测对象生成事件信息，检测监测装 置接收到的事件信息与监测对象发送的事件信息是否一致；同理，配置监测对象大于设 定值，重复上述操作，检测并记录监测装置的最大监测对象数量； 2） 配置管理平台4个，检测监测装置与每个管理平台的服务代理和事件上传功能是否均正 常；同理，配置管理平台大于4个，重复上述操作，检测并记录监测装置支持的最大管 理平台数量。

8.5.3事务处理时间检测

事务处理时间检测要求和方法如下： a）检测要求： 1）上传事件信息的处理时间≤1s； 2）远程调阅的处理时间≤3s。 b）检测方法：

Q/GDW118942018

图7事件处理时间性能检测

按照图8构建检测环境，通过管理平台分别调阅1000条事件采集信息和事件上传信息， 利用网络分析仪进行抓包，重复上述操作三次，取其平均值作为远程调阅处理时间的结 果，检测远程调阅的处理时间是否符合检测要求。

5.4装置启动时间检测

图8调阅处理事件性能检测

装置启动时间检测要求和方法如下： a）检测要求：监测装置启动时间≤120s； b）检测方法：接通监测装置电源或重启装置，检测装置从上电到正常工作所需时间是否≤120s。

8.5.5本地存储能力检测

本地存储能力检测要求和方法如下： a） 检测要求：本地存储采集信息、上传事件信息条数≥6300000条，本地日志审计记录条数10000 条； b） 检测方法： 1） 触发监测对象事件信息至本地存储的采集信息、上传事件信息条数≥6300000条，查看最 新采集信息、上传事件信息是否被记录： 2）在本地客户端触发日志存储信息条数至10000条，查看最新日志信息是否被记录

8.5.6对时精度及守时能力检测

Q/GDW 11894—2018

8.5.7网络通信接口处理能力检测

通信接口处理能力检测要求和方法如下： a） 检测要求：监测装置的上、下行网络接口在线速30%的广播和组播流量下，监测装置各项应用 功能应正常，数据传输正确，性能不下降； 检测方法：分别向监测装置的上、下行网络接口施加线速30%的广播和组播流量，测试顿长64~ 1518字节，每组持续60s，检测监测装置各项应用功能是否满足检测要求，性能是否有明显影 响。

8.5.8装置功耗性能检测

装置功耗性能检测要求和方法如下： a）检测要求：监测装置宜采用低功耗设计，I型监测装置功耗≤60W，I型监测装置功耗≤3 b）检测方法：使用伏安法测量电源回路功耗的功率并记录，检测监测装置的功率消耗是否满 测要求。

8.5.9装置散热性能检测

装置散热性能检测要求和方法如下： a） 检测要求：监测装置宜具备良好的散热性能： b) 检测方法：在标准环境温度下，开机运行2h后，使用辐射温度计测量监测装置外壳多个位置的 温度并记录最大值。

8.5.10资源利用率检测

资源利用率检测要求和方法如下： a）检测要求： 1）在无负载条件下，监测装置CPU、内存利用率均不应超过30%； 2）在正常工作情况下，监测装置CPU、内存利用率的变化应与系统负载的变化趋势保持一致， b） 检测方法： 1 在装置开机初始化完成后，检测无负载条件下监测装置的CPU、内存利用率是否满足检测 要求； 2） 在逐步增加或减少系统负载时，观察监测装置的CPU、内存利用率是否与系统负载的变化 趋势保持一致。

8.6.1与监测对象通信功能检测

Q/GDW118942018

与监测对象通信功能检测要求和方法如下： 检测要求： 1）II型监测装置应支持采用自定义TCP协议与服务器、工作站等设备进行通信，报文格式 包括报文头、报文体和报文尾三部分，具体报文格式见Q/GDW11914一2018附录F.3.2： 2） I型监测装置应采用消息总线方式与服务器、工作站和数据库等设备进行通信； 应采用SNMP、SNMPTRAP多版本协议与网络设备进行通信；应支持通过日志协议采集网 络设备信息： 4） 应支持通过GB/T31992协议采集安全防护设备信息。 检测方法： 通过管理平台查看和配置ⅡI型监测装置资产内的服务器、工作站的参数，同时抓取报文 （TCP自定义协议），检测报文协议是否符合检测要求： 2） 通过管理平台对I型监测装置资产内的服务器、工作站启动基线核查、主动断网、漏洞 扫描、版本检查和特征数据更新，同时抓取报文（TCP自定义协议），检测报文协议是否 符合检测要求； 触发I型监测装置资产内的服务器、工作站的登录操作、配置、状态和告警等事件信息 同时抓取报文（消息总线），检测报文协议是否符合检测要求： 4 通过管理平台对I型监测装置资产内的服务器、工作站启动基线核查、链路阻断、禁用 网卡、漏洞扫描、版本检查和特征数据更新，同时抓取报文（消息总线），检测报文协议 是否符合检测要求； 触发数据库事件信息，同时抓取报文（消息总线），检测报文协议是否符合检测要求； 6） 分别触发网络设备的SNMP及日志协议事件信息，同时抓取报文，检测报文协议是否符合 检测要求： 7 触发安全防护设备的事件信息，同时抓取报文，检测报文协议是否符合检测要求

8.6.2与管理平台通信协议检测

3.6.2.1事件上传通信

事件上传通信协议检测要求和方法如下： a）检测要求： 1）应采用DL/T634.5104通信协议；管理平台作为服务端，监测装置作为客户端；应采用 自定义的报文类型；TCP连接建立后，应首先进行基于调度数字证书的双向身份认证，认 证请求由网络安全监测装置发起，只有认证通过后才能进行事件上传；具体通信格式见 Q/GDW11914—2018附录D； 2）I型监测装置还应支持通过消息总线与网络安全管理平台进行事件上传通信。 b） 检测方法： 1）管理平台与监测装置建立基于DL/T634.5104通信协议的TCP连接，同时抓取认证过程 报文，检测认证过程报文是否符合检测要求，检测整个认证过程是否在TCP连接建立成 功后30秒内完成； ②）多次断开重连，检测监测装置是否每次均能与管理平台连接成功：

Q/GDW118942018

3）TCP认证完成后，抓取监测装置发出的STARTDT激活报文，检测报文协议是否符合检测要 求，是否只在收到管理平台回复的STARTDT确认报文之后，才开始事件上传： 4） 触发上传事件，同时抓取监测装置发出的事件上传报文，检测报文协议是否符合检测要 求； 5） 将事件上传报文的确认超时时间、确认序列号、k值、W值等参数改为异常值，检测监测 装置是否能够按照检测要求处理； 6 链路就绪处于长期空闲时，抓取监测装置发出的TESTFR测试顿报文，检测报文协议是否 符合检测要求； 7） 触发I型监测装置的事件上传信息，同时抓取监测装置与管理平台之间的消息总线报文， 检测报文协议是否符合检测要求。

.6.2.2服务代理通信

服务代理通信协议检测要求和方法如下： 2 检测要求：应支持采用基于TCP的自定义通信协议；监测装置作为服务端，管理平台作为客户 端，具体通信格式见Q/GDW11914一2018附录E； 6 检测方法： 1）通过管理平台调阅采集信息和上传事件信息，同时抓取监测装置响应报文，检测报文协 议是否符合检测要求； 2 通过管理平台进行基线核查启动、停止/取消、获取核查状态以及结果时，同时抓取监测 装置响应报文，检测报文协议是否符合检测要求： 3） 通过管理平台进行命令控制、配置管理、软件升级、监控对象参数管理等操作时，同时 抓取监测装置响应报文，检测该报文是否符合检测要求； 4 通过管理平台进行漏洞扫描的启动、停止/取消、获取漏洞扫描状态以及结果时，同时抓 取监测装置响应报文，检测报文协议是否符合检测要求； 5 通过管理平台进行版本检查（版本匹配、版本校验、配置更新等），同时抓取监测装置响 应报文，检测报文协议是否符合检测要求； 6 通过管理平台远程更新监测装置自身版本管理的特征数据，同时抓取监测装置响应报文 检测报文协议是否符合检测要求： 7 通过管理平台远程更新服务器、工作站漏洞扫描、版本管理等模块特征数据，同时抓取 监测装置响应报文，检测报文协议是否符合检测要求； 8） 通过管理平台备份与恢复监测装置配置参数，同时抓取监测装置响应报文，检测报文协 议是否符合检测要求； 9 修改管理平台的时间，使其与监测装置当前时间差值大于30s，通过管理平台进行基线核 查、命令控制、配置管理、软件升级、监控对象参数管理、漏洞扫描、版本管理、特征 数据更新、备份与恢复、链路阻断等操作，检测监测装置是否拒绝执行上述操作。

8.7.1事件补发机制检测

事件补发机制检测要求和方法如下： a）检测要求：当监测装置长时间离线后，再次上线时，需要对累积的未上传事件按照以下要求执 行：历史事件上报分界时间参数t（缺省值t=30），在t分钟内的未上传事件，全部需要上传。 t分钟之前的未上传事件，仅上传事件级别为紧急（级别=1）和重要（级别=2）的事件。上传 时，按照事件产生的先后顺序依次上传：

Q/GDW118942018

b）检测方法：断开监测 间的网络连接，触发紧急、重要、一般级别的上传事件， 接着恢复监测装置与管理平台间的网络连接，检查监测装置是否按照历史事件上报分界时间来 自动补发上相应级别的事件

8.7.2系统恢复度检测

系统恢复度检测要求和方法如下： a 检测要求：当系统遇到未响应、服务停用或崩溃等情况时，应能在2分钟内自恢复； b） 检测方法：模拟监测装置未响应、服务停用或崩溃等异常现象，检测监测装置是否能在 内恢复正常。

B. 7.3容错性检测

容错性检测要求和方法如下： 检测要求： 1）应具备非法输入的容错性； 2）当监测装置遇到异常断电、物理硬件错误等情况时，异常恢复后监测装置应能正常运行 b 检测方法： 1 模拟错误命令、非法数据、错误操作流程等异常现象，检测监测装置是否能够保持正常 稳定运行； 2） 模拟异常断电、物理硬件错误等现象，当异常恢复后，检测监测装置是否能够恢复正常 稳定运行。

8.7.4抗拒绝服务攻击检测

抗拒绝服务攻击检测要求和方法如下： a）检测要求：应具备拒绝服务攻击的防护措施： b） 检测方法：对监测装置进行控制操作时，使用测试工具对监测装置发起拒绝服务攻击，检 测装置是否有相应的防护策略，保证监测装置不出现误操作、死机、重启等现象，

8.7.5通信链路主备功能检测

通信链路主备功能检测要求和方法如下： a）检测要求： 1）监测装置应支持主备链路方式实现数据上传到管理平台。主备链路均需执行安全认证过 程（过程详见Q/GDW11914一2018附录D.4.2），未完成安全认证过程的链路不得参与主 备链路的选择； 2）主备链路选择：在同一分组中完成安全认证过程（过程详见Q/GDW11914一2018附录 D.4.2）的链路中，选择优先级最高的一个（若存在多个，则任意选择其中一个）作为主 链路。同一时刻，同一分组中只能有一个主链路； 3 所有主备链路，当连接空闲时，均按照DL/T634.5104标准发送TESTFR测试帧进行心跳 探测处理； 4） 链路自动切换：当存在主备链路时，默认由主链路执行数据传输过程（过程详见Q/GDW 11914一2018附录D.4.3)，备链路不执行数据传输过程。当检测到当前主链路异常时， 重新选举出新的主链路，新的主链路开始执行数据传输过程。在当前主链路正常情况下， 若检测到更高优先级的链路恢复时，则当前主链路向管理平台发送STOPDT停止，管理

Q/GDW 11894—2018

平台响应STOPDT确认顺后，监测装置选择优先级别更高的链路作为主链路，并开始执行 数据传输过程，要求从高优先级链路恢复到其成为主链路的时间不超过5分钟； 5）同一分组内的主备链路必须保证上传事件信息的连续性，即不存在重复上传的事件信息， b） 检测方法： 配置未完成安全认证过程的管理平台，将该管理平台IP对应分组号的优先级改为最高， 保存之后查看当前分组中的主链路切换情况，检测该管理平台是否参与主备链路的选择： 2 将完成安全认证过程的某一分组中1个备链路的优先级改为最高值，保存之后检测监测 装置是否选择该链路作为主链路：将完成安全认证过程的某一分组中2个（包含2）以上 备链路的优先级同时改为最高值，保存之后检测监测装置是否任意选择其中一个作为主 链路； 3） 当某一分组中所有完成安全认证过程的主备链路均处于连接空闲状态时，检测监测装置 是否按照DL/T634.5104标准向所有主备链路发送TESTFR测试顺： 4） 当主备链路正常时，触发上传事件，检测该上传事件是否通过主链路进行上送：触发当 前主链路A异常，检测监测装置是否会选择备链路B作为主链路，同时上传事件通过链 路B进行上送；将链路A恢复正常，检测链路B是否向管理平台发送STOPDT停止顿；在 管理平台响应STOPDT确认顿后，检测监测装置是否会选择链路A作为主链路，同时上传 事件通过链路A进行上送；记录链路A恢复到其成为主链路的时间，检测恢复时间是否 不超过5分钟； 5）查看链路A和链路B互相切换过程中的上传事件信息，检测上传事件信息是否具备连续 的数据是否有重发

8.8.1业务安全检测

代码安全检测要求和方法如下： 检测要求：软件源代码中不应存在扫描的特有安全漏洞和违背安全编码规则的内容； 检测方法： 1）通过工具扫描和人工验证的方式对目标软件源代码或可执行程序进行漏洞排查，检测是 否存在代码逻辑错误、数组越界、缓冲区溢出、死循环、未经验证的输入、整数溢出、 内存泄漏、未释放资源、资源注入、命令注入、不安全的优化算法、不明用途的恶意代 码、变量使用未初始化、弱加密、忽略返回值等安全漏洞； 2 分析可执行程序的逆向结果或源代码，获得程序的算法细节和实现原理，并与预期软件 设计进行对比，检测软件主要功能、程序流程是否与设计一致，是否存在恶意代码等非 预期代码块。

8.8.1.2人机安全

人机安全检测要求和方法如下： 检测要求：应保证人机交互的合法性、健壮性和可靠性，包含访问终端权限鉴别，访问用户身 份鉴别、访问内容权限控制、输入合法性校验、报文传输安全性、界面运行稳定性等方面； 检测方法： 1）使用非法终端（非法IP、MAC地址等）访问监测装置，检测监测装置是否拒绝访问； ②通过注入、反编译等方式对用户进行绕过登录，检测系统登录是否可以被绕过：

过滤器标准Q/GDW118942018

根据不同用户的访问内容权限，分别使用不同用户登录，检测该用户是否有非法的访问 内容：通过反编译等方式对已知用户进行提权，检测权限是否可被提升： 在人机客户端或通信端口输入非法数据、恶意代码，检测监测装置是否能够正确处理； 5 通过抓取人机客户端与监测装置之间通信报文，检测报文协议是否为自定义协议，检测 重要数据、敏感信息等是否被明文传输； 用户成功登录人机客户端，且使人机客户端连续运行12h，每隔4h查看人机客户端的运行 状态，检测人机客户端在运行过程中是否有非预期问题或崩溃等异常现象。

8. 8. 1.3通信安全

通信安全检测要求和方法如下： 检测要求：监测装置应保证通信对象身份鉴别、通道安全性、通信交互行为的安全性、通信协 议安全性、通信数据处理的安全性； 检测方法： 1） 触发监测装置内部和外部通信报文，分别纂改报文数据、伪造无签名认证状态交互信息 修改升级包和特征数据更新的MD5校验值，使用网络测试仪发送修改后的报文，检测监 测装置是否能够识别并正确处理； 2） 使用网络测试仪抓取登录、重要操作等报文，然后使用该报文对监测装置进行重放攻击 检测监测装置是否能够识别并拒绝执行； 3 在事件上传认证过程中，抓取安全认证过程报文，检测该报文SM2签名值是否正确； 4 对厂站服务器、工作站进行控制、参数设置等操作时，抓取报文，检测报文SM2签名值 是否正确； 通过构造半随机数据进行模糊测试，检测监测装置是否出现假死、卡顿、重启等异常现 象。

8.8.1.4功能安全

功能安全检测要求和方法如下： a） 检测要求：应保证服务对象的身份合法性、权限控制有效性、业务逻辑设计合理性、服务交互 行为的安全性、远程服务认证的安全性、业务安全防护机制有效性： 6 检测方法： 1）将合法管理平台的IP、端口号等配置参数改为非法值，检测监测装置是否拒绝连接； 2） 在管理平台对监测装置白名单外的资产进行基线核查、主动断网、监控对象参数管理、 漏洞扫描、版本管理等操作防水标准规范范本，检测监测装置是否拒绝执行； 3） 查看管理平台的操作权限，通过管理平台对监测装置执行越权操作，检测监测装置是否 拒绝执行； 4 使用非法的含SM2私钥数字证书文件进行基线核查、命令控制、参数配置、软件升级、 漏洞扫描、版本管理、特征数据更新、监控对象参数管理等操作，检测监测装置是否拒 绝执行； 5） 使用非法的含SM2私钥数字证书文件进行事件上传安全认证，检测事件上传安全认证过 程是否失败； 6 管理平台使用非法的升级文件对监测装置进行软件升级时，检测监测装置是否能够识别 并拒绝执行软件升级操作； 7 在人机客户端导入异常参数，检测监测装置是否有异常参数识别机制；将配置参数进行 导出操作时，检测监测装置是否对导出操作权限进行控制。

Q/GDW 11894—2018