电力监控系统网络安全监测装置检测规范

IQ/GDW11894—2018前言 II1范围 32规范性引用文件 73术语和定义 34缩略语 35总则 46送检设备要求 47检测环境及检测设备要求 47.1检测环境大气条件 47.2检测环境总体架构 47.3检测设备要求 68检测方法及要求 78.1版本管理检测 78.2外观检测 88.3硬件配置检测 118.4基本功能检测 118.5基本性能检测 188.6通信协议检测 218.7软件可靠性检测 228.8安全检测 248.9电源影响检测 358.10环境条件影响检测 368.11绝缘性能检测 378.12电磁兼容性能检测 388.13机械性能检测 428.14稳定运行检测 42编制说明 43Q/GDW11894—2018前言为验证电力监控系统网络安全监测装置的外观及配置、功能、性能、安全性等是否符合技术规范要求，规范对电力监控系统网络安全监测装置的检测要求和检测方法，满足对电力监控系统网络安全监测装置应用及检测的需求，制定本标准。本标准由国家电网有限公司国家电力调度控制中心提出并解释。本标准由国家电网有限公司科技部归口。本标准起草单位：中国电力科学研究院有限公司、国家电网有限公司华北分部、国家电网有限公司华中分部、国家电网有限公司西南分部、国网天津市电力有限公司、国网江苏省电力有限公司、国网宁夏电力有限公司、国网辽宁省电力有限公司、国网冀北电力有限公司、国网浙江省电力有限公司、国网河南省电力公司、国网吉林省电力有限公司、国网陕西省电力公司、国网四川省电力公司、国网山东省电力公司、全球能源互联网集团有限公司。本标准主要起草人：张金虎、陶洪铸、周劼英、沈艳、严敏辉、詹雄、黄益彬、张晓、李立新、李劲松、贾玲、汪明、刘苇、刘之滨、韩水保、刘成江、高翔、霍雪松、张宏杰、赵军、李新鹏、刘寅、丁峰、王丹、胡可为、李永、喻显茂、刘勇、冯小凤、张錋、李鸾英、马力、李昂。本部分首次发布。本标准在执行过程中的意见或建议反馈至国家电网有限公司科技部。3Q/GDW11894—2018电力监控系统网络安全监测装置检测规范1范围本标准规定了电力监控系统网络安全监测装置检测的环境条件要求、检测设备要求、检测项目、检测要求及检测方法。本标准适用于电力监控系统网络安全监测装置的入网检测，也可为装置的研发及应用提供参考。2术语和定义下列术语和定义适用于本文件。3.1电力监控系统electricpowersupervisoryandcontrolsystem用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等。3.2网络安全管理平台cybersecuritymanagementplatform由安全核查、安全监视及告警、安全审计、安全分析等功能构成，能够对电力监控系统的安全风险和安全事件进行实时的监视和在线的管理。3.3网络安全监测装置cybersecuritymonitoringdevice部署于电力监控系统局域网网络中，用于对监测对象的网络安全信息进行采集，为网络安全管理平台上传事件并提供服务代理功能。根据性能差异分为Ⅰ型网络安全监测装置和Ⅱ型网络安全监测装置两种。Ⅰ型网络安全监测装置采用高性能处理器，可接入至少1000个监测对象，主要用于主站侧。Ⅱ型网络安全监测装置采用中等性能处理器，可接入至少500个监测对象，主要用于厂站侧。3.4守时保持状态timekeepingmode电力监控系统网络安全监测装置处于非同步状态，即在外部对时信号源故障或不能满足对时要求时，通过内部频标保持时间信息的状态。3缩略语下列缩略语适用于本文件。CA：证书认证机构(CertificationAuthority)IRIG-B：B类串行时间交换码(Inter-rangeInstrumentationGroup-B)LED：发光二级管(LightEmittingDiode)NTP：网络时间协议(NetworkTimeProtocol)SNMP：简单网络管理协议(Simplenetworkmanagementprotocol)4Q/GDW11894—2018SNTP：简单网络时间协议(SimpleNetworkTimeProtocol)TCP：传输控制协议(TransmissionControlPotocol)UDP：用户数据报协议(UserDatagramProtocol)4总则5.1本标准依据技术规范设置检测项目和检测方法，如无特殊说明，I型和Ⅱ型监测装置均应满足检测要求。对于个别非通用测试要求，将测试项设为可选项，可依据实际应用要求选择是否检测该项。5.2对于在测试过程中监测装置发生的非预期结果，导致装置无法正常工作的严重问题，视为装置检测不合格。5送检设备要求送检设备应满足如下要求：a)提供电力监控系统网络安全监测装置体系结构描述、主要性能指标参数及操作说明书；b)提供电力监控系统网络安全监测装置的关键部件参数，至少应包括：软件版本号及校验码、主要元件型号(CPU配置、内存配置、硬盘配置)、接口配置、电源模块配置等；c)整机性能检测按实际应用进行最大化配置。6检测环境及检测设备要求6.1检测环境大气条件除另有规定外，试验应在正常试验大气条件下进行。正常试验大气环境条件：a)环境温度：+15℃~+35℃；b)相对湿度：45%~75%；c)大气压力：86kPa~106kPa。基准条件为：a)环境温度：20℃±2℃；b)相对湿度：45%~75%；c)大气压力：86kPa~106kPa。6.2检测环境总体架构电力监控系统网络安全监测装置测试拓扑结构如图1所示，检测环境可根据需要进行扩展。5Q/GDW11894—2018注1：虚框内设备为被测装置；注2：图中设备及软件信息如表1所示。图1电力监控系统网络安全监测装置测试拓扑结构图表1电力监控系统网络安全监测装置测试环境软硬件信息列表序号设备名称设备类型数量说明1管理平台服务器3用于验证监测装置上行通信工作站12网关机网关机2用于信息转换3交换机网络设备6用于组网4路由器网络设备2用于组网5服务器监测对象3用于验证监测装置与服务器通信6工作站监测对象3用于验证监测装置与工作站通信7数据库监测对象1用于验证监测装置与数据库通信6Q/GDW11894—2018序号设备名称设备类型数量说明8防病毒系统监测对象1用于验证监测装置与防病毒系统通信9入侵检测系统监测对象1用于验证监测装置与入侵检测系统通信横向隔离装置监测对象4用于验证监测装置与横向隔离装置设备通信纵向加密认证装置监测对象2用于验证监测装置与纵向加密认证装置设备通信防火墙监测对象2用于验证监测装置与防火墙设备通信I型网络安全监测装置监测装置1被测装置Ⅱ型网络安全监测装置监测装置1被测装置网络设备监测对象2用于验证监测装置与网络设备通信厂站监控系统厂站应用1用于模拟现场环境综合应用服务器厂站应用1用于模拟现场环境6.3检测设备要求6.3.1程控交直流电源检测采用的程控交直流电源满足以下要求：a)交流电源；1V~300V；b)直流电源：±1.4V~±424V。6.3.2时间同步系统测试仪检测采用的时间同步系统测试仪应满足以下要求：a)时间同步系统测试仪能(但不限于)提供以下时间同步信号：1)脉冲信号；2)IRIG-B信号；3)串行口对时信号；4)网络对时信号；5)SNTP/NTP监测信号。b)时间同步系统测试仪能支持配置NTP乒乓协议客户端和服务器端；c)时间同步系统测试仪的时间分辨率优于10ns，如果内置标准时间源和频率源，则它们的精度优于监测装置标称的时间准确度的四分之一；d)支持DL/T860通信规约客户端功能。6.3.3网络测试仪检测采用的网络测试仪应满足以下要求：a)具有24个以上的100M网口；b)能够产生可控流量的单播/组播/广播流量；c)抗电磁干扰性能高于IV级。7Q/GDW11894—20186.3.4辐射温度计检测采用的辐射温度计应满足以下要求：a)测量范围应满足-30℃~650℃；b)光学分辨率应满足12:1。7检测方法及要求8规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件；凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T17626.2GB/T17626.3GB/T17626.4GB/T17626.5GB/T17626.6GB/T17626.8GB/T17626.9GB/T17626.10GB/T17626.11GB/T17626.18GB/T17626.29的抗扰度试验GB/T19520.12电磁兼容电磁兼容电磁兼容电磁兼容电磁兼容电磁兼容电磁兼容电磁兼容电磁兼容电磁兼容电磁兼容试验和测量技术试验和测量技术试验和测量技术试验和测量技术试验和测量技术试验和测量技术试验和测量技术试验和测量技术试验和测量技术试验和测量技术试验和测量技术静电放电抗扰度试验射频电磁场辐射抗扰度试验电快速瞬变脉冲群抗扰度试验浪涌(冲击)抗扰度试验射频场感应的传导骚扰抗扰度工频磁场抗扰度试验脉冲磁场抗扰度试验阻尼振荡磁场抗扰度试验电压暂降、短时中断和电压变化的抗扰度试验阻尼振荡波抗扰度试验直流电源输入端口电压暂降、短时中断和电压变化电子设备机械结构482.6mm(19in)系列机械结构尺寸第3-101部分：插箱及其插件GB/T20271—2006信息安全技术信息系统通用安全技术要求GB/T22239信息安全技术网络安全等级保护基本要求GB/T28448—2012信息安全技术信息系统安全等级保护测评要求DL/T634.5104远动设备及系统第5部分：传输规约第104篇：采用标准传输协议子集的DL/T634.5101网络访问DL/T1455—2015电力系统控制类软件安全性及其测评技术要求Q/GDW1597—2015国家电网有限公司应用软件系统通用安全要求Q/GDW11539—2016电力系统时间同步及监测技术规范Q/GDW11914—2018电力监控系统网络安全监测装置技术规范国家发展和改革委员会2014年第14号令电力监控系统安全防护规定国能安全[2015]36号令电力监控系统安全防护总体方案8.1版本管理检测8.1.1软件版本检测软件版本检测要求和方法如下：a)检测要求：监测装置软件应由送检单位自主研发。b)检测方法：收集监测装置的版本信息，检测监测装置软件版本是否与其他厂商软件版本雷同。8Q/GDW11894—20188.1.2版本命名检测版本命名检测要求和方法如下：a)检测要求：监测装置版本命名由监测装置型号和版本信息两部分组成，其中监测装置型号包括厂家硬件代码、厂家装置系列代码，版本信息包括版本号、生成日期和校验码，应能查询软件版本，描述方法见图2所示。图2装置命名规范要求示意图b)检测方法：查看并记录监测装置型号和版本信息，检测版本命名是否与图2中①、②、③、④、⑤部分的要求相符。8.2外观检测8.2.1整体外观检测外观检测要求和方法如下：a)检测要求：1)机箱尺寸应符合GB/T19520.12的规定，I型监测装置可采用1U或2U整层机箱，II型监测装置应采用1U整层机箱；2)不带电金属部分应在电气上连成一体，并具备明显的接地点；3)应有安全警示标志，如：接地标志，防触电标志等；4)插件应均匀涂覆；5)机箱颜色及封装材料应与厂商提供的一致；6)外观应无明显缺陷；7)应符合IP20级防护性能。b)检测方法：1)使用测量工具测量并记录机箱的长、宽、高尺寸；2)使用电气测量工具检测监测装置的不带电金属部分在电气上是否连成一体，是否具备可靠接地点；3)查看并记录监测装置是否有安全标志；4)查看并记录插件覆层的颜色是否均匀一致，无明显的色差和眩光，涂覆层表面无砂粒、趋皱、流痕等；5)查看并记录监测装置机箱颜色及封装材料；9Q/GDW11894—20186)查看并记录监测装置外观有无明显缺陷；7)使用测量工具检测监测装置的机壳开孔直径是否≤12.5mm。8.2.2面板布局检测I型网络安全监测装置面板布局检测要求和方法如下：a)检测要求：1)前面板应包括运行监视区域、通信接口区域、厂家标识区域、装置型号区域及铭牌标识区域等，布局示意图见图3所示；图3I型网络安全监测装置面板布局示意图2)背面板应包括电源区域，其中电源区域包含双电源模块，背面板示意图见图4所示。图4I型网络安全监测装置背板布局示意图b)检测方法：查看前、后面板各区域配置及布局，检测面板布局图是否与检测要求一致。Ⅱ型网络安全监测装置面板布局检测要求和方法如下：a)检测要求：1)前面板应包括运行监视区域、网口监视区域、厂家标识区域、监测装置型号区域及铭牌标识区域等，装置前面板布局应符合图5要求；图5装置前面板布局图Q/GDW11894—20182)背面板应包括外设接口区域、通信接口区域及电源区域，其中外设接口区域包含IRIG-B码对时接口及USB接口等，通信接口区包含固定网口区、扩展网口区，电源区域包含双电源模块、失电告警接口等，监测装置背板布局应符合图6要求。图6装置背板布局图b)检测方法：查看前、后面板各区域配置及布局，验证面板布局图是否与检测要求一致。8.2.3LED灯检测LED灯检测要求和方法如下：a)检测要求：应具备5个运行指示灯，指示灯定义见表2；表2指示灯定义表序号名称定义颜色1运行监测装置上电后该灯为常亮状态，由于硬件或是软件出现异常时导致装置不能工作或部分功能缺失时，处于常灭状态。绿灯2监测装置电源1上电后点亮，失电后熄灭。绿灯3监测装置电源2上电后点亮，失电后熄灭。绿灯序号名称定义颜色4告警监测装置由于硬件、软件或是配置出现异常时会处于常亮状态，正常运行时处于常灭状态，其中通信中断及对时异常时不亮告警灯。红灯5对时异常对时状态异常时会处于常亮状态，对时正常时处于常灭状态。红灯b)检测方法：1)查看监测装置正常工作时运行灯是否处于长亮状态，且为绿色；不能工作或部分功能缺失时运行灯是否熄灭；1上电后，查看电源1灯是否处于长亮状态，且为绿色；切断电源1后，查看电源1灯是否处于常灭状态；上电后，查看电源2灯是否处于长亮状态，且为绿色；切断电源2后，查看电源2灯是否处于常灭状态；4)查看监测装置正常运行时告警灯是否处于常灭状态；当监测装置硬件、软件配置等出现异常时，查看告警灯是否处于长亮状态，且为红色；Q/GDW11894—20185)接入对时信号，查看对时异常灯是否处于常灭状态；断开对时信号、设置IRIG-B对时信号校验码错误或时间质量位等异常时，查看对时异常灯是否处于长亮状态，且为红色。8.3硬件配置检测8.3.1I型网络安全监测装置硬件配置检测要求和方法如下：a)检测要求：1)接口配置要求：应具备不少于4个10M/100M/1000M自适应以太网电口(支持网口扩展)，2)内存配置要求：监测装置内存≥8GB；存储配置要求：监测装置存储空间≥500GB；3)硬件设计要求：宜采用非x86低功耗工业级硬件架构设计；4)电源模块配置要求：采用双路交流独立供电，交流电源电压：220V。b)检测方法：1)查看监测装置是否具备不少于4个10M/100M/1000M自适应以太网电口(支持网口扩展)，是否采用RJ45接口，并记录网口的数量；2)查看监测装置内存是否大于8GB，存储空间配置是否大于500GB，并记录内存和存储空间的大小；3)查看并记录监测装置硬件配置是否为非x86架构；4)查看并记录电源模块电压类型、等级以及数量。8.3.2Ⅱ型网络安全监测装置硬件配置检测要求和方法如下：a)检测要求：1)接口配置要求：应具备不少于4个10M/100M/1000M自适应以太网电口(支持网口扩展)，2)内存配置要求：监测装置内存≥4GB；3)存储配置要求：监测装置存储空间≥250GB；4)硬件设计要求：宜采用非x86低功耗工业级硬件架构设计；应采用无风扇、无旋转部件硬件设计；电源模块失电信号有硬接点输出；5)电源模块配置要求：支持双路交流和直流电源独立供电；直流电源电压：可支持110V或220V；交流电源电压：220V。b)检测方法：1)查看监测装置是否具备不少于4个10M/100M/1000M自适应以太网电口(支持网口扩展)，2)查看监测装置是否具备IRIG-B码对时接口及USB接口；3)查看并记录监测装置内存是否大于4GB，存储空间配置是否大于250GB；4)查看并记录监测装置硬件配置是否为非x86架构；检查监测装置是否有风扇及其他旋转部件；检查监测装置是否有失电硬接点输出；5)查看并记录电源模块电压类型、等级以及数量，检查是否支持双路交流和直流电源独立供电。8.4基本功能检测Q/GDW11894—20188.4.1数据采集检测I型网络安全监测装置数据采集检测要求和方法如下：a)检测要求：应支持对资产配置以内和资产配置以外的服务器、工作站、网络设备、安全防护设备、数据库等监测对象进行数据采集；具体采集信息见Q/GDW11914—2018附录B.1；b)检测方法：1)触发资产配置以内的服务器、工作站、网络设备、安全防护设备(防火墙、横向隔离装置、纵向加密装置、防病毒系统、入侵检测系统)、数据库等监测对象的事件信息，通过本地客户端或管理平台查看采集信息是否完整、格式是否正确；2)触发资产配置以外的服务器、工作站、网络设备、安全防护设备(防火墙、横向隔离装置、纵向加密装置、防病毒系统、入侵检测系统)、数据库等监测对象的事件信息，通过本地客户端或管理平台查看采集信息是否完整、格式是否正确。II型网络安全监测装置数据采集检测要求和方法如下：a)检测要求：应支持对资产配置以内和资产配置以外的服务器、工作站、网络设备、安全防护设备等监测对象进行数据采集；具体采集信息见Q/GDW11914—2018附录B.2；b)检测方法：1)触发资产配置以内的服务器、工作站、网络设备、安全防护设备(防火墙、横向隔离装置)等监测对象的事件信息，通过本地客户端或管理平台查看采集信息是否完整、格式是否正确；2)触发资产配置以外的服务器、工作站、网络设备、安全防护设备(防火墙、横向隔离装置)等监测对象的事件信息，通过本地客户端或管理平台查看采集信息是否完整、格式是否正确。8.4.2事件上传检测I型网络安全监测装置事件上传检测要求和方法如下：a)检测要求：1)应支持对监测装置自身、服务器、工作站、网络设备、安全防护设备、数据库等监测对象信息进行分析处理，并形成相应的外设接入事件、用户登录事件、危险操作事件、状态异常事件、异常网络访问事件等上传事件，详见Q/GDW11914—2018附录C.2；2)应支持以分钟级统计周期，对重复出现的事件进行归并处理。b)检测方法：1)分别配置事件上传方式为DL/T634.5104协议和消息总线，触发监测装置自身、服务器、工作站、网络设备、安全防护设备(防火墙、横向隔离装置、纵向加密装置、防病毒系统、入侵检测系统)、数据库等监测对象的事件信息，检测监测装置上传事件是否完整、格式是否正确；2)触发生成重复的事件信息，检测监测装置是否能够对Q/GDW11914—2018附录C.2要求归并的事件按照归并周期进行上传。II型网络安全监测装置Q/GDW11894—2018事件上传检测要求和方法如下：a)检测要求：1)应支持对监测装置自身、服务器、工作站、网络设备、安全防护设备等监测对象信息进行分析处理，并形成相应的外设接入事件、用户登录事件、危险操作事件、状态异常事件、异常网络访问事件等上传事件，详见Q/GDW11914—2018附录C.3；2)应支持以分钟级统计周期，对重复出现的事件进行归并处理。b)检测方法：1)触发监测装置自身、服务器、工作站、网络设备、安全防护设备(防火墙、横向隔离装置)等监测对象的事件信息，检测监测装置上传事件是否准确；2)触发生成重复的事件信息，检测监测装置是否能够对Q/GDW11914—2018附录C.3要求归并的事件按照归并周期进行上传。8.4.3服务代理检测I型网络安全监测装置服务代理检测要求和方法如下：a)检测要求：1)应支持远程调阅采集信息、上传事件等数据信息，应支持根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息；2)应支持配置参数的远程管理，包括系统参数、通信参数、事件处理参数、资产参数及证书参数；3)应支持通过代理方式实现对服务器、工作站等设备基线核查功能的调用；4)应支持通过代理方式实现对服务器、工作站等设备禁用网卡命令的调用；5)应支持通过管理平台对监测装置进行远程程序升级；6)应支持通过代理方式实现对服务器、工作站等设备漏洞扫描功能的调用；7)应支持通过管理平台对监测装置自身进行版本管理；8)应支持通过代理方式实现对服务器、工作站等设备版本管理功能的调用；9)应支持通过代理方式实现对服务器、工作站等设备中漏洞扫描模块特征数据的更新；10)应支持对管理平台访问监测装置的权限进行划分，包括查询权限、监测装置自身参数设置权限、监测对象参数设置与命令控制权限等；11)通过服务代理远程进行的修改、更新、升级等操作应自动生效，无须重启装置；12)应支持通过代理方式实现对监测装置的配置进行备份和恢复。b)检测方法：1)通过管理平台分别调阅采集信息、上传事件数据信息，检测是否能够查看到采集信息和上传事件信息；设置事件记录条数、设备类型、事件等级、起止时间等一个或多个组合过滤条件对采集信息和上传事件数据信息进行过滤，检测过滤结果是否正确；2)通过管理平台查看和配置监测装置系统参数，包括网卡参数、路由参数的查看、添加、修改与删除，NTP对时参数的查看与修改，检测远程系统参数配置管理功能是否符合检测要求，检测配置是否自动生效；3)通过管理平台查看和修改监测装置通信参数，包括主机端口、安防设备服务端口、网络设备端口、服务代理端口、平台IP地址、事件上传端口、平台IP地址权限参数，检测远程通信参数配置管理功能是否符合检测要求，检测修改是否自动生效；Q/GDW11894—20184)通过管理平台查看和修改监测装置事件处理参数，包括CPU利用率上限阈值、内存使用率上限阈值、连续登录失败阈值、归并周期、磁盘空间使用率上限阈值、历史事件上报分界时间参数，检测远程事件处理参数配置管理功能是否符合检测要求，检测修改是否自动生效；5)通过管理平台查看、添加、删除、修改监测装置资产参数，检测远程资产参数是否能够被远程管理，检测配置是否自动生效；6)通过管理平台分别对DER、PEM两种格式的证书文件进行查看和配置操作，检测远程证书参数管理功能是否符合检测要求，证书链式验证是否正确，检测配置是否自动生效；7)通过管理平台对服务器、工作站等设备执行基线核查命令(启动核查、停止/取消核查、查看核查状态与获取核查结果)，检测基线核查命令是否生效；通过管理平台启动基线核查，等待24小时后查看核查状态为成功时，检测是否能够获取核查结果；8)通过管理平台对服务器、工作站执行禁用网卡命令，检测该命令是否执行正确；9)通过管理平台使用监测装置功能或配置的升级包进行远程软件升级，检测远程升级功能是否成功并自动生效；10)通过管理平台对服务器、工作站等设备执行漏洞扫描操作(启动、停止/取消、查看漏洞扫描状态与获取漏洞扫描结果)，检测远程漏洞扫描功能是否生效；11)通过管理平台对监测装置自身及服务器、工作站进行版本管理(版本匹配、版本校验、配置更新)，检测监测装置是否返回正确格式的版本信息；12)通过管理平台远程更新服务器、工作站中漏洞扫描的特征数据，检测更新是否成功并自动生效；13)通过管理平台查看和修改管理平台访问监测装置的权限，并进行相应的读/写操作，检测监测装置对管理平台的访问限制是否与设定的一致；14)通过管理平台备份监测装置自身的配置，再次将备份的配置参数进行恢复，检测远程备份与恢复功能是否成功并自动生效。II型网络安全监测装置服务代理检测要求和方法如下：a)检测要求：1)应支持远程调阅采集信息、上传事件等数据信息，应支持根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息；2)应支持配置参数的远程管理，包括系统参数、通信参数、事件处理参数、资产参数及证书参数；3)应支持通过代理方式实现对服务器、工作站等设备基线核查功能的调用；4)应支持通过代理方式实现对服务器、工作站等设备主动断网命令的调用；5)应支持通过代理方式实现对服务器、工作站等监测对象的参数管理，包括网络连接白名单、服务端口白名单、关键文件/目录清单、存在光驱设备检测周期、非法端口检测周期、危险操作命令清单等参数的查看与设置；6)应支持通过管理平台对监测装置进行远程程序升级；7)应支持通过代理方式实现对服务器、工作站等设备漏洞扫描功能的调用；8)应支持通过管理平台对监测装置自身进行版本管理；9)应支持通过代理方式实现对服务器、工作站等设备版本管理功能的调用；10)应支持通过代理方式实现对服务器、工作站等设备中漏洞扫描模块特征数据的更新；Q/GDW11894—201811)应支持对管理平台访问监测装置的权限进行划分，包括查询权限、监测装置自身参数设置权限、监测对象参数设置与命令控制权限等；12)通过服务代理远程进行的修改、更新、升级等操作应自动生效，无须重启装置；13)应支持通过代理方式实现对监测装置的配置进行备份和恢复。b)检测方法：1)通过管理平台分别调阅采集信息、上传事件数据信息，检测是否能够查看到采集信息和上传事件信息；设置事件记录条数、设备类型、事件等级、起止时间等一个或多个组合过滤条件对采集信息和上传事件数据信息进行过滤，检测过滤结果是否正确；2)通过管理平台查看和配置监测装置系统参数，包括网卡参数、路由参数的查看、添加、修改与删除，NTP对时参数的查看与修改，检测远程系统参数配置管理功能是否符合检测要求，检测配置是否自动生效；3)通过管理平台查看和修改装置通信参数，包括主机端口、安防设备服务端口、网络设备端口、服务代理端口、平台IP地址、事件上传端口、平台IP地址权限参数，检测远程通信参数配置管理功能是否符合检测要求，检测修改是否自动生效；4)通过管理平台查看和修改监测装置事件处理参数，包括CPU利用率上限阈值、内存使用率上限阈值、连续登录失败阈值、归并周期、磁盘空间使用率上限阈值、历史事件上报分界时间参数，检测远程事件处理参数配置管理功能是否符合检测要求，检测修改是否自动生效；5)通过管理平台查看、添加、删除、修改监测装置资产参数，检测远程资产参数是否能够被远程管理，检测配置是否自动生效；6)通过管理平台分别查看和配置DER、PEM两种格式的证书文件，检测远程证书参数管理功能是否符合检测要求，证书链式验证是否正确，检测配置是否自动生效；7)通过管理平台对服务器、工作站执行基线核查命令(启动核查、停止/取消核查、查看核查状态与获取核查结果)，检测远程基线核查命令是否生效；通过管理平台启动基线核查，等待24小时后查看核查状态为成功时，检测是否能够获取核查结果；8)通过管理平台对服务器、工作站执行主动断网命令，检测该命令是否执行正确；9)通过管理平台查看与设置监测装置自身的网络连接白名单、服务端口白名单、非法端口检测周期、危险操作命令清单参数；通过服务代理方式查看与设置服务器、工作站等监测对象的网络连接白名单、服务端口白名单、关键文件/目录清单、存在光驱设备检测周期、非法端口检测周期、危险操作命令清单参数，检测远程监控对象参数管理功能是否符合检测要求，检测配置是否自动生效；10)通过管理平台使用监测装置功能或配置的升级包进行远程软件升级，检测远程升级功能是否成功并自动生效；11)通过管理平台对服务器、工作站执行漏洞扫描操作(启动、停止/取消、查看漏洞扫描状态与获取漏洞扫描结果)，检测远程漏洞扫描功能是否生效；12)通过管理平台对监测装置自身及服务器、工作站等设备进行版本管理(版本匹配、版本校验、配置更新)，检测监测装置是否返回正确格式的版本信息；13)通过管理平台远程更新服务器、工作站漏扫模块的特征数据，检测更新是否成功并自动生效；14)通过管理平台查看和修改管理平台访问监测装置的权限，并进行相应的读/写操作，检测监测装置对管理平台的访问限制是否与设定的一致；15)通过管理平台备份监测装置自身的配置，再次将备份的配置参数进行恢复，检测远程备份与恢复功能是否成功并自动生效。Q/GDW11894—20188.4.4本地管理功能检测本地管理功能检测要求和方法如下：a)检测要求：1)应提供本地图形化界面；2)应具备自诊断功能，至少包括进程异常、通信异常、硬件异常、CPU占用率过高、存储空间剩余容量过低、内存占用率过高等，检测到异常时应提示告警，诊断结果应记录日志；3)应具备用户管理功能，基于三权分立原则划分管理员、操作员、审计员等不同角色，并为不同角色分配不同权限；应满足不同角色的权限相互制约要求，不应存在拥有所有权限的超级管理员角色；4)应具备资产管理功能，包括资产信息的添加、删除、修改、查看等，资产信息应包括：设备名称、设备IP、MAC地址、设备类型、设备厂家、序列号、系统版本等；5)支持采集信息、上传信息的本地查看，应支持根据时间段、设备类型、事件等级、事件条数等综合过滤条件进行信息查看；6)应支持对监视对象数量、在离线状态的统计展示，应支持从设备类型、事件等级等维度对采集信息、上传信息进行统计展示；7)应具备日志审计功能，日志类型至少包括登录日志、操作日志、维护日志等；日志内容读性；8)应支持通过本地实现对服务器、工作站等设备的基线核查功能的调用；9)应支持通过本地客户端对系统参数、通信参数、事件处理参数、资产参数、证书参数进行查看与配置；应支持参数配置导出功能及同产品的参数配置备份导入功能；10)应支持对CA根证书、管理平台证书的导入与管理；11)应支持对监测装置的配置进行备份和恢复；12)通过本地管理进行的修改、更新等操作应自动生效。b)检测方法：1)依据厂家提供的本地客户端程序，部署运行后检测本地客户端是否具备图形化界面；2)触发监测装置进程异常、通信异常、硬件异常、CPU占用率过高、存储空间剩余容量过低、内存占用率过高等故障，通过本地客户端查看是否生成相应的告警信息，查询日志记录，检测告警信息是否在日志中被完整记录；3)分别使用管理员、操作员、审计员等不同角色在本地客户端执行登录退出操作，且登录期间执行用户管理操作，检测用户登录/退出功能及用户管理功能是否正确；分别使用管理员、操作员、审计员等不同角色登录进行相关操作，检测不同角色之间是否拥有交叉的权限，是否存在拥有所有权限的超级管理员角色；4)通过本地客户端分别查看采集信息和上传信息，检测是否能够查看到采集信息和上传信息；设置不同的时间段、设备类型、事件等级、事件条数等综合条件对采集信息和上传信息进行过滤，检测过滤结果是否正确；5)通过本地客户端检测监测装置是否支持从设备类型、事件等级等维度对采集信息、上传信息进行准确统计展示；检测监测装置是否支持对监测对象数量、在/离线状态的准确统计展示；6)分别触发记录到登录日志、操作日志、维护日志等的事件，通过本地客户端查看相应日志是否被记录，且日志的级别、时间、类型和内容均正确；7)通过本地客户端对服务器、工作站进行基线核查操作，检测基线核查功能是否正确；8)通过本地客户端查看系统参数、通信参数、事件处理参数、资产参数、证书参数，检测各参数配置项是否符合Q/GDW11914—20188.6章条的要求；通过本地客户端配置系统Q/GDW11894—2018参数、通信参数、事件处理参数、资产参数、证书参数并保存，检测配置是否成功并自动生效；9)通过本地客户端对系统参数、通信参数、事件处理参数、资产参数、证书参数进行导出操作，检测是否能够成功导出；将导出的配置参数导入到同类产品之中，检测导入是否成功；将备份参数进行恢复，检测配置参数是否具备备份与恢复功能；10)通过本地客户端对DER、PEM两种格式的证书文件进行导入与管理，检测证书导入是否满足链式验证，检测上述操作是否自动生效。8.4.5时间同步功能检测时间同步功能检测要求和方法如下：a)检测要求：1)应支持NTP/SNTP对时方式；2)Ⅱ型监测装置还应支持IRIG-B码对时方式，且优先选择IRIG-B信号；3)开机后应迅速同步NTP/SNTP或IRIG-B对时信号；守时恢复时，若对时信号与本地偏差大于3600s，则装置继续守时，若对时信号与本地偏差小于等于3600s时，则装置应迅速同步；4)应具备守时功能；5)应支持NTP乒乓协议(参见Q/GDW11539—20167.2)，且测量协议应携带TSSM标志位；6)应能正确接收并处理闰秒信息，正闰秒应多一秒(NTP/SNTP应在59s后连续出现两个0s；b)检测方法：1)查看并记录监测装置对时前的时间，利用时间同步系统测试仪为监测装置提供NTP/SNTP对时信号，检测监测装置时间是否与时间同步系统测试仪同步；2)查看并记录Ⅱ型监测装置对时前的时间，利用时间同步系统测试仪为监测装置提供IRIG-B对时信号，检测监测装置时间是否与时间同步系统测试仪同步；3)按照1)完成Ⅱ型监测装置NTP/SNTP对时后，调整时间同步系统测试仪IRIG-B输出信号使之与NTP/SNTP信号产生偏差，为监测装置接入IRIG-B信号，检测监测装置时间是否IRIGB时间一致；4)在开机和守时恢复时，分别调整时间同步系统测试仪的时间使之与装置时间相差3600s之内和之外，重复1)和2)查看监测装置对时功能是否正确；5)当监测装置与外部时间基准信号同步并进入跟踪锁定状态后，断开外部对时信号，使监测装置进入守时状态，检测监测装置是否具备守时功能；6)配置监测装置为NTP乒乓协议的服务器端，时间同步系统测试仪为客户端，利用时间同步系统测试仪查看监测装置的时间信息；7)利用时间同步系统测试仪模拟NTP正闰秒和负闰秒，通过NTP乒乓协议检测监测装置正闰秒和负闰秒处理方式是否正确；8)利用时间同步系统测试仪模拟IRIG-B正闰秒和负闰秒，通过NTP乒乓协议检测Ⅱ型监测装置正闰秒和负闰秒处理方式是否正确。8.4.6兼容性检测兼容性检测要求和方法如下：a)检测要求：1)应支持在运的已通过检测的各类操作系统的agent信息采集；Q/GDW11894—20182)应支持在运的主流厂家的交换机设备事件信息的采集，如：华为、华三、中兴以及常见的工业以太网交换机；3)应支持在运的主流厂家的安防设备事件信息的采集，如：科东、南瑞信通、绿盟、迪普；4)I型监测装置还应支持在运的主流厂家的数据库事件信息的采集，如金仓、达梦等。b)检测方法：1)触发兼容性测试所用操作系统生成相关事件信息，通过本地客户端或管理平台查看信息采集是否完整、格式是否正确；2)触发兼容性测试所用交换机设备生成相关事件信息，通过本地客户端或管理平台查看信息采集是否完整、格式是否正确；3)触发兼容性测试所用安防设备生成相关事件信息，通过本地客户端或管理平台查看信息采集是否完整、格式是否正确；4)触发兼容性测试所用数据库设备生成相关事件信息，通过本地客户端或管理平台查看信息采集是否完整、格式是否正确。8.5基本性能检测8.5.1采集信息吞吐量检测采集信息吞吐量检测要求和方法如下：a)检测要求：I型监测装置采集信息吞吐量≥4000条/s，Ⅱ型监测装置采集信息吞吐量≥2000条/s；b)检测方法：分别以检测要求的速率模拟生成服务器、工作站、网络设备、安防设备等监测对象的事件信息，持续测试20s，检测监测装置的采集信息吞吐量是否达到设定值；模拟生成大于设定值的监测对象的事件信息，检测并记录监测装置每秒接收采集信息的最大吞吐量数值。8.5.2通信对象数量检测通信对象数量检测要求和方法如下：a)检测要求：I型监测装置支持监测对象数量≥1000，Ⅱ型监测装置分别支持监测对象数量≥500个，管理平台≥4个；b)检测方法：1)分别配置连接的监测对象数量为设定值，触发每个监测对象生成事件信息，检测监测装置接收到的事件信息与监测对象发送的事件信息是否一致；同理，配置监测对象大于设定值，重复上述操作，检测并记录监测装置的最大监测对象数量；2)配置管理平台4个，检测监测装置与每个管理平台的服务代理和事件上传功能是否均正常；同理，配置管理平台大于4个，重复上述操作，检测并记录监测装置支持的最大管理平台数量。8.5.3事务处理时间检测事务处理时间检测要求和方法如下：a)检测要求：1)上传事件信息的处理时间≤1s；2)远程调阅的处理时间≤3s。b)检测方法：Q/GDW11894—20181)按照图7构建检测环境，触发监测对象生成事件信息，通过网络分析仪抓取监测装置接收到该事件信息报文并将该时刻记为t1，监测装置发出该事件报文的时刻记为t2，重复上述操作三次，计算并记录差值(t2-t1)及平均值，检测监测装置上传事件信息处理时间的平均值是否符合检测要求；图7事件处理时间性能检测2)按照图8构建检测环境，通过管理平台分别调阅1000条事件采集信息和事件上传信息，利用网络分析仪进行抓包，重复上述操作三次，取其平均值作为远程调阅处理时间的结果，检测远程调阅的处理时间是否符合检测要求。图8调阅处理事件性能检测8.5.4装置启动时间检测装置启动时间检测要求和方法如下：a)检测要求：监测装置启动时间≤120s；b)检测方法：接通监测装置电源或重启装置，检测装置从上电到正常工作所需时间是否≤120s。8.5.5本地存储能力检测本地存储能力检测要求和方法如下：a)检测要求：本地存储采集信息、上传事件信息条数≥6300000条，本地日志审计记录条数≥10000；b)检测方法：1)触发监测对象事件信息至本地存储的采集信息、上传事件信息条数≥6300000条，查看最新采集信息、上传事件信息是否被记录；2)在本地客户端触发日志存储信息条数至10000条，查看最新日志信息是否被记录。8.5.6对时精度及守时能力检测20Q/GDW11894—2018对时精度及守时能力检测要求和方法如下：a)检测要求：1)通过IRIG-B同步，对时精度≤1ms，或通过SNTP同步，对时精度≤100ms；2)在没有外部时钟源校正时，24小时守时误差不应超过1s。b)检测方法：1)将I型监测装置的SNTP接口连接在测试仪上，利用NTP乒乓协议检测监测装置对时精度是否≤100ms；将Ⅱ型监测装置的IRIG-B码接口连接在测试仪上，利用NTP乒乓协议检测监测装置对时精度是否≤1ms；将Ⅱ型监测装置的SNTP接口连接在测试仪上，利用NTP乒乓协议检测监测装置对时精度是否≤100ms；2)当监测装置与外部时间基准信号同步并进入跟踪锁定状态后，断开外部对时信号，使监测装置进入守时保持状态，记录下监测装置此时的对时精度r1，继续运行至少24小时后，记录下监测装置此时的对时精度r2，检测监测装置守时误差是否不超过1s。8.5.7网络通信接口处理能力检测通信接口处理能力检测要求和方法如下：a)检测要求：监测装置的上、下行网络接口在线速30%的广播和组播流量下，监测装置各项应用功能应正常，数据传输正确，性能不下降；b)检测方法：分别向监测装置的上、下行网络接口施加线速30%的广播和组播流量，测试帧长64~1518字节，每组持续60s，检测监测装置各项应用功能是否满足检测要求，性能是否有明显影8.5.8装置功耗性能检测装置功耗性能检测要求和方法如下：a)检测要求：监测装置宜采用低功耗设计，I型监测装置功耗≤60W，Ⅱ型监测装置功耗≤30W；b)检测方法：使用伏安法测量电源回路功耗的功率并记录，检测监测装置的功率消耗是否满足检测要求。8.5.9装置散热性能检测装置散热性能检测要求和方法如下：a)检测要求：监测装置宜具备良好的散热性能；b)检测方法：在标准环境温度下，开机运行2h后，使用辐射温度计测量监测装置外壳多个位置的温度并记录最大值。8.5.10资源利用率检测资源利用率检测要求和方法如下：a)检测要求：1)在无负载条件下，监测装置CPU、内存利用率均不应超过30%；2)在正常工作情况下，监测装置CPU、内存利用率的变化应与系统负载的变化趋势保持一致。b)检测方法：1)在装置开机初始化完成后，检测无负载条件下监测装置的CPU、内存利用率是否满足检测要求；2)在逐步增加或减少系统负载时，观察监测装置的CPU、内存利用率是否与系统负载的变化趋势保持一致。21Q/GDW11894—20188.6通信协议检测8.6.1与监测对象通信功能检测与监测对象通信功能检测要求和方法如下：a)检测要求：1)Ⅱ型监测装置应支持采用自定义TCP协议与服务器、工作站等设备进行通信，报文格式包括报文头、报文体和报文尾三部分，具体报文格式见Q/GDW11914—2018附录F.3.2；2)I型监测装置应采用消息总线方式与服务器、工作站和数据库等设备进行通信；3)应采用SNMP、SNMPTRAP多版本协议与网络设备进行通信；应支持通过日志协议采集网络设备信息；4)应支持通过GB/T31992协议采集安全防护设备信息。b)检测方法：1)通过管理平台查看和配置Ⅱ型监测装置资产内的服务器、工作站的参数，同时抓取报文(TCP自定义协议)，检测报文协议是否符合检测要求；2)通过管理平台对Ⅱ型监测装置资产内的服务器、工作站启动基线核查、主动断网、漏洞扫描、版本检查和特征数据更新，同时抓取报文(TCP自定义协议)，检测报文协议是否符合检测要求；3)触发I型监测装置资产内的服务器、工作站的登录操作、配置、状态和告警等事件信息，同时抓取报文(消息总线)，检测报文协议是否符合检测要求；4)通过管理平台对I型监测装置资产内的服务器、工作站启动基线核查、链路阻断、禁用网卡、漏洞扫描、版本检查和特征数据更新，同时抓取报文(消息总线)，检测报文协议是否符合检测要求；5)触发数据库事件信息，同时抓取报文(消息总线)，检测报文协议是否符合检测要求；6)分别触发网络设备的SNMP及日志协议事件信息，同时抓取报文，检测报文协议是否符合检测要求；7)触发安全防护设备的事件信息，同时抓取报文，检测报文协议是否符合检测要求。8.6.2与管理平台通信协议检测事件上传通信协议事件上传通信协议检测要求和方法如下：a)检测要求：1)应采用DL/T634.5104通信协议；管理平台作为服务端，监测装置作为客户端；应采用自定义的报文类型；TCP连接建立后，应首先进行基于调度数字证书的双向身份认证，认证请求由网络安全监测装置发起，只有认证通过后才能进行事件上传；具体通信格式见Q/GDW11914—2018附录D；2)I型监测装置还应支持通过消息总线与网络安全管理平台进行事件上传通信。b)检测方法：1)管理平台与监测装置建立基于DL/T634.5104通信协议的TCP连接，同时抓取认证过程报文，检测认证过程报文是否符合检测要求，检测整个认证过程是否在TCP连接建立成2)多次断开重连，检测监测装置是否每次均能与管理平台连接成功；22Q/GDW11894—20183)TCP认证完成后，抓取监测装置发出的STARTDT激活报文，检测报文协议是否符合检测要求，是否只在收到管理平台回复的STARTDT确认报文之后，才开始事件上传；4)触发上传事件，同时抓取监测装置发出的事件上传报文，检测报文协议是否符合检测要；5)将事件上传报文的确认超时时间、确认序列号、k值、w值等参数改为异常值，检测监测装置是否能够按照检测要求处理；6)链路就绪处于长期空闲时，抓取监测装置发出的TESTFR测试帧报文，检测报文协议是否符合检测要求；7)触发I型监测装置的事件上传信息，同时抓取监测装置与管理平台之间的消息总线报文，检测报文协议是否符合检测要求。服务代理通信协议服务代理通信协议检测要求和方法如下：a)检测要求：应支持采用基于TCP的自定义通信协议；监测装置作为服务端，管理平台作为客户端，具体通信格式见Q/GDW11914—2018附录E；b)检测方法：1)通过管理平台调阅采集信息和上传事件信息，同时抓取监测装置响应报文，检测报文协议是否符合检测要求；2)通过管理平台进行基线核查启动、停止/取消、获取核查状态以及结果时，同时抓取监测装置响应报文，检测报文协议是否符合检测要求；3)通过管理平台进行命令控制、配置管理、软件升级、监控对象参数管理等操作时，同时抓取监测装置响应报文，检测该报文是否符合检测要求；4)通过管理平台进行漏洞扫描的启动、停止/取消、获取漏洞扫描状态以及结果时，同时抓取监测装置响应报文，检测报文协议是否符合检测要求；5)通过管理平台进行版本检查(版本匹配、版本校验、配置更新等)，同时抓取监测装置响应报文，检测报文协议是否符合检测要求；6)通过管理平台远程更新监测装置自身版本管理的特征数据，同时抓取监测装置响应报文，检测报文协议是否符合检测要求；7)通过管理平台远程更新服务器、工作站漏洞扫描、版本管理等模块特征数据，同时抓取监测装置响应报文，检测报文协议是否符合检测要求；8)通过管理平台备份与恢复监测装置配置参数，同时抓取监测装置响应报文，检测报文协议是否符合检测要求；9)修改管理平台的时间，使其与监测装置当前时间差值大于30s，通过管理平台进行基线核查、命令控制、配置管理、软件升级、监控对象参数管理、漏洞扫描、版本管理、特征数据更新、备份与恢复、链路阻断等操作，检测监测装置是否拒绝执行上述操作。8.7软件可靠性检测8.7.1事件补发机制检测事件补发机制检测要求和方法如下：a)检测要求：当监测装置长时间离线后，再次上线时，需要对累积的未上传事件按照以下要求执行：历史事件上报分界时间参数t(缺省值t=30)，在t分钟内的未上传事件，全部需要上传。t分钟之前的未上传事件，仅上传事件级别为紧急(级别=1)和重要(级别=2)的事件。上传时，按照事件产生的先后顺序依次上传；23Q/GDW11894—2018b)检测方法：断开监测装置与管理平台间的网络连接，触发紧急、重要、一般级别的上传事件，接着恢复监测装置与管理平台间的网络连接，检查监测装置是否按照历史事件上报分界时间来自动补发上相应级别的事件。8.7.2系统恢复度检测系统恢复度检测要求和方法如下：a)检测要求：当系统遇到未响应、服务停用或崩溃等情况时，应能在2分钟内自恢复；b)检测方法：模拟监测装置未响应、服务停用或崩溃等异常现象，检测监测装置是否能在2分钟内恢复正常。8.7.3容错性检测容错性检测要求和方法如下：a)检测要求：1)应具备非法输入的容错性；2)当监测装置遇到异常断电、物理硬件错误等情况时，异常恢复后监测装置应能正常运行。b)检测方法：1)模拟错误命令、非法数据、错误操作流程等异常现象，检测监测装置是否能够保持正常稳定运行；2)模拟异常断电、物理硬件错误等现象，当异常恢复后，检测监测装置是否能够恢复正常稳定运行。8.7.4抗拒绝服务攻击检测抗拒绝服务攻击检测要求和方法如下：a)检测要求：应具备拒绝服务攻击的防护措施；b)检测方法：对监测装置进行控制操作时，使用测试工具对监测装置发起拒绝服务攻击，检测监测装置是否有相应的防护策略，保证监测装置不出现误操作、死机、重启等现象。8.7.5通信链路主备功能检测通信链路主备功能检测要求和方法如下：a)检测要求：1)监测装置应支持主备链路方式实现数据上传到管理平台。主备链路均需执行安全认证过程(过程详见Q/GDW11914—2018附录D.4.2)，未完成安全认证过程的链路不得参与主备链路的选择；2)主备链路选择：在同一分组中完成安全认证过程(过程详见Q/GDW11914—2018附录D.4.2)的链路中，选择优先级最高的一个(若存在多个，则任意选择其中一个)作为主链路。同一时刻，同一分组中只能有一个主链路；3)所有主备链路，当连接空闲时，均按照DL/T634.5104标准发送TESTFR测试帧进行心跳探测处理；4)链路自动切换：当存在主备链路时，默认由主链路执行数据传输过程(过程详见Q/GDW11914—2018附录D.4.3)，备链路不执行数据传输过程。当检测到当前主链路异常时，重新选举出新的主链路，新的主链路开始执行数据传输过程。在当前主链路正常情况下，若检测到更高优先级的链路恢复时，则当前主链路向管理平台发送STOPDT停止帧，管理24Q/GDW11894—2018平台响应STOPDT确认帧后，监测装置选择优先级别更高的链路作为主链路，并开始执行数据传输过程，要求从高优先级链路恢复到其成为主链路的时间不超过5分钟；5)同一分组内的主备链路必须保证上传事件信息的连续性，即不存在重复上传的事件信息。b)检测方法：1)配置未完成安全认证过程的管理平台，将该管理平台IP对应分组号的优先级改为最高，保存之后查看当前分组中的主链路切换情况，检测该管理平台是否参与主备链路的选择；2)将完成安全认证过程的某一分组中1个备链路的优先级改为最高值，保存之后检测监测装置是否选择该链路作为主链路；将完成安全认证过程的某一分组中2个(包含2)以上备链路的优先级同时改为最高值，保存之后检测监测装置是否任意选择其中一个作为主链路；3)当某一分组中所有完成安全认证过程的主备链路均处于连接空闲状态时，检测监测装置是否按照DL/T634.5104标准向所有主备链路发送TESTFR测试帧；4)当主备链路正常时，触发上传事件，检测该上传事件是否通过主链路进行上送；触发当前主链路A异常，检测监测装置是否会选择备链路B作为主链路，同时上传事件通过链BAB否向管理平台发送STOPDT停止帧；在管理平台响应STOPDT确认帧后，检测监测装置是否会选择链路A作为主链路，同时上传事件通过链路A进行上送；记录链路A恢复到其成为主链路的时间，检测恢复时间是否5)查看链路A和链路B互相切换过程中的上传事件信息，检测上传事件信息是否具备连续性，查看上送管理平台的数据是否有漏发，主站已确认的数据是否有重发。8.8安全检测8.8.1业务安全检测源代码安全(可选测试项)源代码安全检测要求和方法如下：a)检测要求：软件源代码中不应存在扫描的特有安全漏洞和违背安全编码规则的内容；b)检测方法：1)通过工具扫描和人工验证的方式对目标软件源代码或可执行程序进行漏洞排查，检测是否存在代码逻辑错误、数组越界、缓冲区溢出、死循环、未经验证的输入、整数溢出、内存泄漏、未释放资源、资源注入、命令注入、不安全的优化算法、不明用途的恶意代码、变量使用未初始化、弱加密、忽略返回值等安全漏洞；2)分析可执行程序的逆向结果或源代码，获得程序的算法细节和实现原理，并与预期软件设计进行对比，检测软件主要功能、程序流程是否与设计一致，是否存在恶意代码等非预期代码块。人机安全人机安全检测要求和方法如下：a)检测要求：应保证人机交互的合法性、健壮性和可靠性，包含访问终端权限鉴别，访问用户身份鉴别、访问内容权限控制、输入合法性校验、报文传输安全性、界面运行稳定性等方面；b)检测方法：1)使用非法终端(非法IP、MAC地址等)访问监测装置，检测监测装置是否拒绝访问；2)通过注入、反编译等方式对用户进行绕过登录，检测系统登录是否可以被绕过；25Q/GDW11894—20183)根据不同用户的访问内容权限，分别使用不同用户登录，检测该用户是否有非法的访问内容；通过反编译等方式对已知用户进行提权，检测权限是否可被提升；4)在人机客户端或通信端口输入非法数据、恶意代码，检测监测装置是否能够正确处理；5)通过抓取人机客户端与监测装置之间通信报文，检测报文协议是否为自定义协议，检测重要数据、敏感信息等是否被明文传输；6)用户成功登录人机客户端,且使人机客户端连续运行12h，每隔4h查看人机客户端的运行状态，检测人机客户端在运行过程中是否有非预期问题或崩溃等异常现象。通信安全通信安全检测要求和方法如下：a)检测要求：监测装置应保证通信对象身份鉴别、通道安全性、通信交互行为的安全性、通信协议安全性、通信数据处理的安全性；b)检测方法：1)触发监测装置内部和外部通信报文，分别篡改报文数据、伪造无签名认证状态交互信息、修改升级包和特征数据更新的MD5校验值，使用网络测试仪发送修改后的报文，检测监测装置是否能够识别并正确处理；2)使用网络测试仪抓取登录、重要操作等报文，然后使用该报文对监测装置进行重放攻击，检测监测装置是否能够识别并拒绝执行；3)在事件上传认证过程中，抓取安全认证过程报文，检测该报文SM2签名值是否正确；4)对厂站服务器、工作站进行控制、参数设置等操作时，抓取报文，检测报文SM2签名值是否正确；5)通过构造半随机数据进行模糊测试，检测监测装置是否出现假死、卡顿、重启等异常现功能安全功能安全检测要求和方法如下：a)检测要求：应保证服务对象的身份合法性、权限控制有效性、业务逻辑设计合理性、服务交互行为的安全性、远程服务认证的安全性、业务安全防护机制有效性；b)检测方法：1)将合法管理平台的IP、端口号等配置参数改为非法值，检测监测装置是否拒绝连接；2)在管理平台对监测装置白名单外的资产进行基线核查、主动断网、监控对象参数管理、漏洞扫描、版本管理等操作，检测监测装置是否拒绝执行；3)查看管理平台的操作权限，通过管理平台对监测装置执行越权操作，检测监测装置是否拒绝执行；4)使用非法的含SM2私钥数字证书文件进行基线核查、命令控制、参数配置、软件升级、漏洞扫描、版本管理、特征数据更新、监控对象参数管理等操作，检测监测装置是否拒绝执行；5)使用非法的含SM2私钥数字证书文件进行事件上传安全认证，检测事件上传安全认证过程是否失败；6)管理平台使用非法的升级文件对监测装置进行软件升级时，检测监测装置是否能够识别并拒绝执行软件升级操作；7)在人机客户端导入异常参数，检测监测装置是否有异常参数识别机制；将配置参数进行导出操作时，检测监测装置是否对导出操作权限进行控制。26Q/GDW11894—20存储安全存储安全检测要求和方法如下：a)检测要求：应能够保证系统管理数据、鉴别信息和重要数据的完整性、有效性；b)检测方法：1)用户对存储数据执行未经过授权的读写操作，检测该读写操作是否被拒绝执行；2)通过查看监测装置证书文件、参数配置等重要数据，检测监测装置是否采取主动加密或其他有效保护措施；通过对加密前和解密后的数据进行比对分析，检测加密算法是否正确；3)触发监测装置存储数据使存储容量达到设定的阈值，检测监测装置是否具备存储空间余量控制策略。进程安全进程安全检测要求和方法如下：a)检测要求：对于监测装置的应用进程，应确保进程占用资源的合理性、进程无死锁问题、具备防注入能力等；b)检测方法：1)监测装置运行时，使用工具与装置建立多线程连接，检测监测装置是否具备进程占用资源异常处理策略，是否无假死、卡顿、重启等现象；2)使用不同用户访问同一资源或执行同一功能操作，检测监测装置进程是否存在死锁；3)使用调试工具，尝试在系统内存中修改执行码，检测系统是否可以被进程注入；4)通过源代码审计或者反编译程序，检测监测装置是否存在后门程序代码。8.8.2通用安全检测身份鉴别.1用户标识用户标识检测要求和方法如下：a)检测要求：检测系统的标识和鉴别机制，确认系统按照GB/T20271—2006的要求具有对所有登录用户进行唯一身份标识的功能；b)检测方法：1)查看系统用户的ID标识是否唯一，保证不存在重复标识的用户；2)删除用户A后，新建与其用户名相同的用户B，检查是否可新建成功；若可新建成功，检查用户A与用户B的唯一标识(如UID、登录账号或其他用户信息在系统中时唯一的，此标识能唯一识别该用户)是否一样；3)使用默认账号(guest、admin、root、anonymous等)，猜测如123，root，toor等常用弱口令，依次登录被检系统，检查是否可登录成功；4)查看是否有用户管理列表，确保用户管理列表与用户数据表信息一致。.2用户鉴别用户鉴别检测要求和方法如下：a)检测要求：检测系统的标识和鉴别机制，确认系统对所有登录用户进行身份鉴别；b)检测方法：27Q/GDW11894—20181)检测系统是否对所有登录用户进行身份标识和鉴别，需至少使用用户名+静态口令的强度进行身份认证；2)对被授予敏感权限的用户，在执行重要配置模块或操作时(如设置IP、系统升级、手动置数、参数更改等)查看是否再次进行身份验证(仅针对应用)。.3用户口令规范用户口令规范检测要求和方法如下：a)检测要求：检测系统的标识和鉴别机制，系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；b)检测方法：1)检测用户口令设置或修改用户口令时(包含：设置用户口令、修改用户口令等)，口令是否有最小长度及复杂度限制；首次登录必须修改口令(仅针对应用)；2)检测用户口令是否具有有效期限制，并强制对过期的用户口令进行修改；3)检测用户口令有效期是否限制在大于0且不超过3个月的有效范围内，超过时限后系统提示修改或强制要求修改(仅针对应用)；4)检测口令过期的用户更换口令时，口令是否可与用户名相同或包含用户名，检查是否可设置成功；是否可设置口令的历史重复次数(要求至少为1)；5)查看系统存储的口令文件是否加密。.4鉴别失败鉴别失败检测要求和方法如下：a)检测要求：检测系统的标识和鉴别机制，确认系统是否能够对用户连续登录失败的次数进行限制，并能对连续登录失败后系统所采取的行动进行定义；b)检测方法：1)检查系统是否能够设置24小时内用户账号连续登录失败限制的次数(应在1-10次之内)；是否能够设置账号锁定后的解锁策略(至少20分钟后自动解锁或由授权的管理员进行解锁)；2)尝试用户连续登录失败的操作，24小时内用户登录系统失败次数到达设置次数后，检查用户是否能被锁定，用户能否登录系统；3)在另一台测试机客户端使用被锁定的用户尝试登录系统，查看能否登录成功；4)查看被锁定的时间是否大于20分钟；5)当到达设置的锁定时间后，检查用户是否能自动解锁或由授权的管理员进行解锁，解锁成功后，用户能否登录系统。.5多重鉴别多重鉴别检测要求和方法如下：a)检测要求：检测系统是否采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，必须支持USBkey认证；b)检测方法：1)检测系统对同一用户是否采用静态口令、动态口令、数字证书、生物特征、USBkey、IC卡、口令卡等两种或两种以上组合技术实现用户身份鉴别，需至少支持口令加USBkey认证；28Q/GDW11894—20182)当系统使用一次性动态口令时，检查动态口令的位数，是否为6位或6位以上；接收到动态口令后，等待达到有效期时限输入动态口令，检查动态口令是否仍然有效；3)当系统采用数字证书进行鉴别时，检查数字证书的签发机构，公司内部使用的系统是否使用国家电网有限公司CA系统签发的数字证书，涉及第三方的系统是否采用国家权威机构签发的第三方数字证书。访问控制.1用户角色用户角色检测要求和方法如下：a)检测要求：检测系统的访问控制机制，确认系统具备角色的定义，且不同角色间权限互斥；b)检测方法：1)检测系统是否按照GB/T22239三级的要求及GB/T28448—2012测评要求，具有独立的系统管理员角色、审计管理员角色、普通操作员角色，且系统管理员角色、审计管理员角色必须为系统内置角色(即：角色及其对应的权限为初始化产生，不可配置)；2)检测系统中的系统管理员角色是否仅具有用户管理、角色管理、权限管理、系统配置，如系统时间、调试工具的使用、查看系统信息、设置工作模式、系统升级、重启、关闭等系统管理权限；3)检测系统中的审计员角色是否仅具有监控各类用户的操作轨迹及对审计数据进行管理、监视和运行维护的权限；4)查看普通操作员角色对应的权限列表，检查该类角色是否只有普通操作权限，不具有任何管理权限；5)检测系统是否可将不同的角色授予同一用户(系统管理员、审计员可为初始化用户，可创建相应权限用户，不能交叉建立用户；系统管理员如可创建审计员，须有审核员审核后才能生效)，被检系统应保证不同角色间权限互斥，且不能将不同的角色授予同一用户。.2访问控制策略访问控制策略检测要求和方法如下：a)检测要求：检测系统的访问控制机制，确认系统是否提供了管理用户授权的功能及访问控制能力，依据安全策略控制主体对客体的访问；b)检测方法：1)检测系统是否仅允许授权的管理员(如系统管理员)配置系统的访问控制策略。为主体A分配客体B的操作权限，检查主体A是否具有客体B的操作权限；2)查看系统用户列表，是否存在超级管理员；3)尝试设置用