9.2 安全事件響應

9.2.1　事件告警

對網絡監測產品的事件警告功能的測試評價方法與預期結果如下：

a) 測試評價方法：

1) 打開產品的事件庫，檢查是否每個事件都有分級信息；

2) 檢查界面顯示的安全事件是否具備事件級別信息；

3) 測試儀向被測設備發送攻擊報文。

b) 預期結果：

1) 被測設備能夠對收集到的數據包進行分析，發現入侵事件；

2) 被測設備以直觀有效的方式（例如屏幕實時提示）傳達告警訊息；

3) 被測設備能夠按照事件的嚴重程度將事件分級并報告給管理員；

4) 事件庫的所有事件都具有分級信息；

5) 界面顯示的安全事件，都以文字等形式顯示事件級別。

9.2.2　告警過濾

對網絡監測產品的告警過濾功能的測試評價方法與預期結果如下：

a) 測試評價方法：

1) 通過被測設備的控制臺界面選取工業控制設備IP地址，指定不予告警。

b) 預期結果：

1) 可以對工業控制設備指定不予告警。

9.2.3　事件合并

對網絡監測產品的事件合并功能的測試評價方法與預期結果如下：

a) 測試評價方法：

1) 設置事件合并規則，將某些內容進行合并，如只顯示告警信息的事件名稱、發生的次數、

2) 連續觸發同一事件，查看告警顯示的情況，是否是將同一事件進行合并顯示。

b) 預期結果：

1) 可以根據需要進行同類事件的合并；

2) 可以按照設置顯示告警信息的事件名稱、發生的次數、源IP地址等信息。

9.2.4　定制響應

對網絡監測產品的定制響應功能的測試評價方法與預期結果如下：

a) 測試評價方法：

1) 打開控制臺界面，檢查產品是否允許管理員設置僅對被檢測網段中指定的設備進行告警；

2) 通過被測設備的控制臺界面選取IP地址，指定響應方式。

b) 預期結果：

1) 可以對工業控制設備指定不同的響應方式。