- PDF Free Download

Size: px

Start display at page:

Download ""

冬晏
9 years ago
Views:

1 資通設備之安全檢測規範增修訂及推廣計畫委託研究案期末報告書執行單位 : 中華民國資訊軟體協會中華民國 101 年 11 月 20 日

3 目次壹專案概述... 1 一專案名稱... 1 二專案目標... 1 三專案研究範圍... 1 四期末交付項目... 2 貳研提本年度資通設備之安全檢測技術規範... 3 一本年度資通設備之安全檢測規範項目... 3 二本年度安全檢測技術規範參研提政府機關 ( 構 ) 資通設備採購參考指引草案肆研擬資通安全設備檢測技術規範推廣建議方針一背景說明二現階段執行現況說明三檢測技術規範推廣建議伍舉辦座談會陸舉辦推廣說明會柒檢討資通設備安全檢測技術規範捌附件一附件 1 無線接取設備資通安全檢測技術規範... 附件 1-1 二附件 2 無線接取設備採購參考指引... 附件 2-1 三附件 3 無線區域網路路由器資通安全檢測技術規範... 附件 3-1 四附件 4 無線區域網路路由器採購參考指引... 附件 4-1 五附件 5 網路型防火牆資通安全檢測技術規範... 附件 5-1 I

.. 30 三檢測技術規範推廣建議... 33 伍舉辦座談會... 41 陸舉辦推廣說明會... 47 柒檢討資通設備安全檢測技術規範... 57 捌附件... 69 一附件 1 無線接取設備資通安全檢測技術規範.

4 六附件 6 入侵偵測防禦系統資通安全檢測技術規範... 附件 6-1 七附件 7 期中審查委員意見與回覆... 附件 7-1 八附件 8 期末審查委員意見與回覆... 附件 8-1 九附件 9 期末審查會議簡報... 附件 9-1 II

5 圖目次圖 1 Fat AP 示意圖... 4 圖 2 Thin AP + 控制器示意圖... 4 圖 3 無線區域網路路由器示意圖... 5 圖 4 檢測技術規範架構圖年 SRB 會議提出之我國資通安全政策目標圖 6 我國資通安全政策長期發展藍圖圖 7 推動資通訊設備安全檢測進程說明圖 8 資通設備檢測技術規範推廣建議流程圖圖 9 申請試測流程圖圖 10 資通設備資通安全審驗申請作業流程圖圖 11 資通設備資通安全審驗申請作業流程圖 ( 建議修改 ) 圖 12 推廣說明會花絮 (1) 圖 13 推廣說明會花絮 (2) III

.. 30 圖 7 推動資通訊設備安全檢測進程說明... 31 圖 8 資通設備檢測技術規範推廣建議流程圖... 34 圖 9 申請試測流程圖.

6 表目次表 1 短中長期檢測技術規範發展策略... 3 表 2 2 項資通產品近年採購數量統計... 6 表 3 WLAN 設備的共同威脅 (5 大類 36 種威脅 )... 7 表 4 2 項資通產品與其對應廠商表 5 書面審查類別表 6 書面審查項目表 7 實機檢測類別表 8 實機檢測項目摘錄 ( 無線接取設備 ) 表 9 實機檢測項目摘錄 ( 無線區網路由器設備 ) 表 10 資通設備採購參考指引摘要表年度 8 項資通設備與代表廠商列舉表 12 短中期資通設備檢測技術規範與共同供應契約對應參照表 13 台灣銀行 102 年度標案採購期程規劃表 14 台銀共同供應契約 (LP5_990074)100/9/22~101/7/23 期間採購數量統計表 15 專家學者座談會概述表 16 共同準則與 NCC 檢測技術規範差異比較表 17 資通設備採購數量統計表 18 機關是否會優先採購通過通傳會檢測之資通安全設備調查結果表 19 未優先採購通傳會檢測通過之資通設備原因調查結果表 20 採購資通安全設備優先考量因素表 21 希望通傳會對於資通設備檢測技術規範可提供機關哪些協助表 22 資通設備安全檢測技術規範實機測試項目表 23 網路型防火牆設備檢測技術規範檢討修改內容表 24 入侵偵測防禦設備檢測技術規範檢討修改內容 IV

.. 30 表 12 短中期資通設備檢測技術規範與共同供應契約對應參照... 32 表 13 台灣銀行 102 年度標案採購期程規劃... 35 表 14 台銀共同供應契約 (LP5_990074)100/9/22~101/7/23 期間採購數量統計.

7 壹專案概述一專案名稱資通設備之安全檢測規範增修訂及推廣計畫委託研究計畫二專案目標為持續國家通訊傳播委員會 100 年資通設備之安全檢測研究計畫, 強化政府機關 ( 構 ) 使用之資通設備安全性, 並促進我國資通環境安全, 本專案之計畫目標如下 : ( 一 ) 增加政府機關選用符合國家通訊傳播委員會安全檢測規範之資通設備我國資通設備安全檢測實驗室可依據本專案產出之資通設備之安全檢測技術規範, 檢測不同於 100 年所訂 8 種資通設備之安全性, 以增加政府採購資通安全設備多樣需求 ( 二 ) 推動政府機關選用符合國家通訊傳播委員會安全檢測規範之資通設備國家通訊傳播委員會可依據本專案產出之資通安全設備檢測技術規範推廣建議方針, 有效推動政府機關採購符合安全檢測規範之資通安全設備 ( 三 ) 檢討現行資通設備安全檢測技術規範依據國家通訊傳播委員會通過合格檢測實驗室之試測結果, 檢討現行安全檢測技術規範施行之盲點, 作為相關技術規範修正之依據, 讓設備檢測工作更符產業實際所需三專案研究範圍 ( 一 ) 研提二項資通產品檢測技術規範, 包括書面審查與實機檢測, 實機檢測包含功能面效能面穩定面以及堅實面 1

以增加政府採購資通安全設備多樣需求 ( 二 ) 推動政府機關選用符合國家通訊傳播委員會安全檢測規範之資通設備國家通訊傳播委員會可依據本專案產出之資通安全設備檢測技術規範推廣建議方針, 有效推動政府機關採購符合安

8 ( 二 ) 檢討二項現行資通安全設備檢測規範並提出修正建議 ( 三 ) 提出資通安全設備檢測規範推動建議, 並辦理相關推廣活動四期末交付項目自契約生效次日起至 101 年 11 月 20 日前提出期末報告中文版本 14 份期末報告書應包含下列項目 : ( 一 ) 至少 2 種資通設備之 : 1. 安全檢測技術規範草案 ( 含期中之 1 種資通設備之安全檢測技術規範草案 ) 2. 資通設備採購參考指引草案 ( 含期中之 1 種資通設備採購參考指引草案 ) ( 二 ) 至少 3 場規範座談會之會議紀錄 ( 含期中至少 1 場規範座談會之會議記錄 ) ( 三 ) 至少 1 場推廣說明會之會議紀錄 ( 四 ) 檢討現行安全檢測技術規範 ( 網路型防火牆入侵偵測防禦設備 ) 2

安全檢測技術規範草案 ( 含期中之 1 種資通設備之安全檢測技術規範草案 ) 2.

9 貳研提本年度資通設備之安全檢測技術規範一本年度資通設備之安全檢測規範項目本會於 100 年度之前期研究計畫中, 依據國際檢測項目及國內產業發展狀況政府採購設備需求等, 研提短中長期檢測技術規範發展策略, 並經國家通訊傳播委員會通過如下表表 1 短中長期檢測技術規範發展策略編號類別範例項目 CCRA 驗證類別 1 應用服務類 2 伺服系統類 3 終端存取類 4 資安防護類公文管理系統監控管理系統金鑰管理系統數位簽章系統智慧卡網站伺服系統資料庫伺服系統儲存伺服系統乙太網路交換器路由交換器網路電話設備網路電話類比閘道器無線網路攝影機無線接取設備無線區域網路路由器設備入侵偵測防禦設備防火牆設備防毒閘道器設備垃圾郵件過濾設備網頁應用防火牆應用軟體控管系統網路封包鑑識分析設備網路流量分析設備網路日誌事件監控設備 6. 數位簽章裝置與系統 7. 積體電路智慧卡及智慧卡相關裝置與系統 8. 金鑰管理系統 3. 資料庫 10. 作業系統 1. 存取控制裝置與系統 9. 網路與網路相關裝置與系統 2. 界限保護裝置與系統 4. 資料保護 5. 偵測裝置與系統 5 其它類 11. 其它裝置與系統註 : 短期中期長期 3

料庫伺服系統儲存伺服系統乙太網路交換器路由交換器網路電話設備網路電話類比閘道器無線網路攝影機無線接取設備無線區域網路路由器設備入侵偵測防禦設備防火牆設備防毒閘道器設備垃圾郵件過濾設備網頁應用防火牆應用

10 上表中建議短期優先發展項目已於 100 年度撰擬完成, 本年度將於建議中期發展項目中擇二撰擬, 本會建議本年度撰擬之二項資通產品為 : - 無線接取設備 ( 存取點 Access Point (AP) + 控制器 Controller) 無線接取設備包含存取點與控制器二單元, 其中存取點可分為 Fat AP 與 Thin AP,Fat AP 的設定組態皆由設備本身自行控制, 讓通過身分認證許可的使用者可直接存取乙太網路並瀏覽網路上的資料, 而 Thin AP 設定並非存在於設備本身, 而是透過網路連接的方式向控制器索取設定組態, 無論是 Thin AP + 控制器的組合或 Fat AP 其主要功能都只單純做為網路的橋接圖 1 Fat AP 示意圖圖 2 Thin AP + 控制器示意圖 4

由設備本身自行控制, 讓通過身分認證許可的使用者可直接存取乙太網路並瀏覽網路上的資料, 而 Thin AP 設定並非存在於設備本身, 而是透過網路連接的方

11 - 無線區域網路路由器設備 (Wireless Router) 無線區域網路路由器設備為國內自產比例最高的網通設備, 同時具備無線網路 (WiFi) 與多個乙太網路埠 (Ethernet Port) 具有乙太網路交換器相同之功能, 有一或多個屬於廣域網路端的乙太網路埠可連接至網際網路, 如其具備一個以上的廣域網路埠, 則各埠之間可進行負載平衡, 部分無線區域網路路由器更具備與數位用戶線路 (DSL) 連線之功能圖 3 無線區域網路路由器示意圖篩選上述二項產品時考量機關用戶數多寡設備資安顧慮資通設備廠商數量等原因 1. 機關用戶數多寡依據台灣銀行採購部公告無線接取設備與無線區域網路路由器設備採購數量, 自 96 年起持續增加, 顯見該二項產品之需求量多 5

部分無線區域網路路由器更具備與數位用戶線路 (DSL) 連線之功能圖 3 無線區域網路路由器示意圖篩選上述二項產品時考量機關用戶數多寡設備資安顧慮資通設備

12 序號產品標案年度表 2 2 項資通產品近年採購數量統計 96 年 97 年 98 年 99 年尚未完整統計 (100/9/22~101/7/23) 總計 1 無線接取設備無線區域網路路由器設備資料來源 : 台灣銀行採購部公告 2. 設備資安顧慮資通設備本身之資安顧慮愈高, 就愈需以檢測來區分及保障設備安全等級, 因此優先性亦愈高共同威脅 : (1) 未經授權的使用者存取服務 (2) 資料傳送時遭竊聽 (3) 傳送的資料遭到竄改 (4) 使用者認證資料遭到竊取 (5) 遭受阻斷服務式 (DoS) 攻擊無線區域網路路由器之額外威脅 : (1)NAT 功能失效 (2) 路由功能失效茲將無線設備的共同威脅彙整如下表 6

設備資安顧慮資通設備本身之資安顧慮愈高, 就愈需以檢測來區分及保障設備安全等級, 因此優先性亦愈高共同威脅 : (1) 未經授權的使用者存取服務 (2) 資

13 表 3 WLAN 設備的共同威脅 (5 大類 36 種威脅 ) 攻擊分類存取控制攻擊 (Access control attacks) 機密性攻擊 (Confidentiality attacks) 攻擊型態 War Driving 攻擊 (War Driving) 惡意無線接取設備 (Rogue Access Points) 隨意關聯攻擊 (Ad Hoc Associations) MAC 偽裝攻擊 (MAC Spoofing) 破解 802.1X RADIUS (802.1X RADIUS Cracking) 竊聽 (Eavesdropping) 描述藉由收集訊號來發現無線區域網路, 或是發送探索請求用以發動下一步的攻擊 (Discovering wireless LANs by listening to beacons or sending probe requests, thereby providing launch point for further attacks.) 試圖在防火牆內安裝一個不安全的無線接取設備, 透過此無線接取設備在可信任的網路中開啟後門程式 (Installing an unsecured AP inside firewall, creating open backdoor into trusted network.) 避開無線接取設備的安全性檢驗並直接發動攻擊 (Connecting directly to an unsecured station to circumvent AP security or to attack station.) 將攻擊者的 MAC 位址偽裝成已授權的無線接取設備或基地台 (Reconfiguring an attacker's MAC address to pose as an authorized AP or station.) 架設與合法無線接取設備 SSID 同名的惡意無線接取設備, 將其所收到 802.1X 的存取請求透過暴力法來破解 RADIUS 的機密資訊 (Recovering RADIUS secret by brute force from 802.1X access request, for use by evil twin AP.) 從無線網路攔截未有保護措施的流量並將之解碼來獲得機密資訊 (Capturing and decoding unprotected application traffic to obtain potentially sensitive information.) 擷取資料來破解利用被動方法或是主動方法所建破解 WEP 金鑰構的 WEP 金鑰 (WEP Key Cracking) (Capturing data to recover a WEP key using passive or active methods.) 邪惡雙重攻擊 (Evil Twin AP) 無線接取設備釣魚攻擊 (AP Phishing) 中間人攻擊 (Man in the Middle) 利用與已授權的無線接取設備相同的名稱來偽裝成合法的無線接取設備 (Masquerading as an authorized AP by beaconing the WLAN's service set identifier (SSID) to lure users.) 在偽裝的無線接取設備中建置假的入口網站或是網路伺服器欺騙使用者輸入其登入資訊及個人的信用卡號碼 (Running a phony portal or Web server on an evil twin AP to "phish" for user logins, credit card numbers.) 在偽裝的無線接取設備上執行中間人攻擊工具, 7

1X RADIUS Cracking) 竊聽 (Eavesdropping) 描述藉由收集訊號來發現無線區域網路, 或是發送探索請求用以發動下一步的攻擊 (Discovering wireless LANs by listening to beacons or sending probe requests, thereby

14 攻擊分類攻擊型態插入框架攻擊 ( Frame Injection) 資料重送 ( Data Replay) replay.) 資料完整性攻擊 (Integrity 802.1X EAP 重送攻 attacks) 擊 (802.1X EAP Replay) 802.1X RADIUS 重送攻擊 (802.1X RADIUS Replay) 身分鑑別攻擊 (Authentication attacks) 猜測共享金鑰攻擊 (Shared Key Guessing) 破解 PSK (PSK Cracking) 竊取應用程式登入資訊 (Application Login Theft) 破解網域登入資訊 (Domain Login Cracking) 破解 VPN 登入資訊 (VPN Login Cracking) 描述使之可以攔截 TCP 的 Session 或 SSL/SSH 通道 (Running traditional man-in-the-middle attack tools on an evil twin AP to intercept TCP sessions or SSL/SSH tunnels.) 利用傳送假冒的框架來破解其安全性 (Crafting and sending forged frames.) 擷取的資料框架用於之後的重送攻擊 (Capturing data frames for later (modified) 擷取 802.1X 的 EAP 資訊用於之後的重送攻擊 (Capturing 802.1X Extensible Authentication Protocols (e.g., EAP Identity, Success, Failure) for later replay.) 擷取 RADIUS 存取成功 / 失敗訊息用於之後的重送攻擊 (Capturing RADIUS Access-Accept or Reject messages for later replay.) 試圖去猜測 802/11 共享金鑰鑑別資訊或是破解 WEP 金鑰 (Attempting Shared Key Authentication with guessed, vendor default or cracked WEP keys.) 從攔截到的金鑰交握框架中, 利用字典攻擊工具破解 WPA/WPA2 使用之共享金鑰 (PSK) (Recovering a WPA/WPA2 PSK from captured key handshake frames using a dictionary attack tool.) 從應用程式通訊協定傳送的明文中, 截取使用者的機密資訊, 如 : 電子郵件位址和通行碼 (Capturing user credentials (e.g., address and password) from cleartext application protocols.) 利用暴力法或是字典攻擊工具來破解 NetBIOS 通行碼的雜湊值, 進而取到使用者的機密資訊, 如 : Windows 的登入資訊及通行碼 (Recovering user credentials (e.g., Windows login and password) by cracking NetBIOS password hashes, using a brute-force or dictionary attack tool.) 利用暴力法攻擊 VPN 鑑別協定, 進而得到使用者的機密資訊, 如 PPTP 通行碼或 IPsec 使用的共享金鑰 (Recovering user credentials (e.g., PPTP password or IPsec Preshared Secret Key) by running brute-force attacks on VPN authentication protocols.) 8

1X RADIUS Replay) 身分鑑別攻擊 (Authentication attacks) 猜測共享金鑰攻擊 (Shared Key Guessing) 破解 PSK (PSK Cracking) 竊取應用程式登入資訊 (Application Login Theft) 破解網域登入資訊 (Domain Login

15 攻擊分類攻擊型態竊取 802.1X 身分 (802.1X Identity Theft) 猜測 802.1X 通行碼 (802.1X Password Guessing) 破解 802.1X EAP (802.1X LEAP Cracking) 802.1X EAP 下降攻擊 (802.1X EAP Downgrade) 偷取無線接取設備 (AP Theft) 昆士蘭阻斷服務攻擊 (Queensland DoS) 信號泛洪攻擊 ( Beacon Flood) 服務可用性攻擊關聯 / 鑑別泛 (Availability 洪式攻擊 attacks) ( Associate / Authenticate Flood) TKIP MIC 弱點攻擊 ( TKIP MIC Exploit) Deauthenticate 氾濫式攻擊 ( 描述從 802.1X 的明文回應封包中取得使用者的身分 (Capturing user identities from cleartext 802.1X Identity Response packets.) 利用竊取之身分重複地去猜測使用者在 802.1X 鑑別協定中所使用的通行碼 (Using a captured identity, repeatedly attempting 802.1X authentication to guess the user's password.) 擷取 802.1X 之封包並利用字典攻擊以獲得使用者的機密資訊, 進而用此機密資訊來破解在 NT 通行碼雜湊值中的通行碼 (Recovering user credentials from captured 802.1X Lightweight EAP (LEAP) packets using a dictionary attack tool to crack the NT password hash.) 利用假的 EAP-response/Nak 封包來讓 802.1X 伺服器提供安全性較弱的鑑別方法 (Forcing an 802.1X server to offer a weaker type of authentication using forged EAP-Response/Nak packets.) 從公眾場合中移開無線接取設備 (Physically removing an AP from a public space.) 利用 CSMA/CA 的 CCA 方法讓通道處於忙碌狀態而無法提供服務 (Exploiting the CSMA/CA Clear Channel Assessment (CCA) mechanism to make a channel appear busy.) 產生數千個的假信號來讓基地台難以尋找合法的無線接取設備 (Generating thousands of counterfeit beacons to make it hard for stations to find a legitimate AP.) 從隨機 MAC 挑選假的鑑別資訊或是關聯資訊, 將其傳送至攻擊目標 AP 的關聯表中 (Sending forged Authenticates or Associates from random MACs to fill a target AP's association table.) 產生不合法的 TKIP 資料造成攻擊目標物 AP 的 MIC 錯誤超過門檻值上限, 進而使其無法正常提供服務 (Generating invalid TKIP data to exceed the target AP's MIC error threshold, suspending WLAN service.) 對使用者傳送極大量的 Deauthenticates 指令或 Disassociates 指令使其與無線接取設備斷線 (Flooding station(s) with forged Deauthenticates or Disassociates to disconnecting users from an AP.) 9

11 Associate / Authenticate Flood) 802.11 TKIP MIC 弱點攻擊 (802.11 TKIP MIC Exploit) 802.11 Deauthenticate 氾濫式攻擊 (802.11 描述從 802.

16 攻擊分類攻擊型態 Deauthenticate Flood) 802.1X EAP-Start 氾濫式攻擊 (802.1X EAP-Start Flood) 802.1X EAP- Failure 攻擊 (802.1X EAP-Failure) 802.1X EAP-of-Death 攻擊 (802.1X EAP-of-Death) 802.1X EAP 長度攻擊 (802.1X EAP Length Attacks) 變形的 Frame-Assoc 請求 (Malformed Frame-Assoc Request) 變形 Frame-Auth (Malformed Frame-Auth) 虛擬 Carrier-Sense 攻擊 (Virtual Carrier-Sense Attack) 描述不斷傳送 EAP-Start 訊息來消耗目標物的資源或使其癱瘓 (Flooding an AP with EAP-Start messages to consume resources or crash the target.) 取得合法之 802.1X EAP 交換資訊, 然後偽冒一個 EAP-Failure 訊息至基地台 (Observing a valid 802.1X EAP exchange, and then sending the station a forged EAP-Failure message.) 傳送變形的 802.1X EAP 鑑別回應訊息, 使得某些 AP 持續鑑別此資訊進而造成癱瘓 (Sending a malformed 802.1X EAP Identity response known to cause some APs to crash.) 傳送符合 EAP 型態但長度不正確的訊息, 進而利用此訊息癱瘓目標物 AP 或 RADIUS 伺服器 (Sending EAP type-specific messages with bad length fields to try to crash an AP or RADIUS server.) 產生一個含有空白 SSID 的惡意關聯請求用以癱瘓目標物 (A malicious association request with a null SSID can crash the targeted device.) 以變形的鑑別框架來發現目標物的弱點 (Malformed authentication frames can expose vulnerabilities in devices.) 利用長時間出現之 ACK, data, RTS 及 CTS 框架, 阻礙合法使用者正常存取頻道 (Large duration ACK, data, RTS, and CTS frame types can prevent channel access to legitimate users.) (1) 無線接取設備中,Fat AP 類型可由使用者自行設定組態, 若設定頁面安全機制不夠完善, 將造成惡意使用者可以竄改設定或自由進出網域, 因而造成後端伺服器被入侵 Thin AP 類型設定組態由控制器設定, 需預防駭客冒用控制器身分發送惡意設定命令進而改變設備之組態 (2) 無線區域網路路由器設備除了需要保護組態設定頁面不被任意存取外, 亦需要預防駭客發動阻斷式攻擊來攻擊該設備, 或企 10

1X EAP Length Attacks) 變形的 Frame-Assoc 請求 (Malformed Frame-Assoc Request) 變形 Frame-Auth (Malformed Frame-Auth) 虛擬 Carrier-Sense 攻擊 (Virtual Carrier-Sense Attack) 描述不斷傳送 EAP-Start 訊息來消耗

17 圖癱瘓設備的路由功能, 進而影響資料透過網路進行傳送, 故應驗證其設定組態頁面的保全及強韌性是否合格外, 同時也需要驗證該設備在阻斷式攻擊發生後, 其網路服務可自動復原, 避免因攻擊而造成網路癱瘓 3. 資通設備廠商數量國際資通訊市場競爭激烈, 我國雖為全球通訊用戶終端設備重要的研發與生產重鎮, 唯國際大廠以產品通過國際組織 CC(Common Criteria ) 驗證通過之優勢, 進入我國政府及民間大廠市場, 為協助我國資通訊設備廠商發展, 將選擇國內具自主研發能量, 且有與國際大廠競爭外銷實力之產品, 期望透過資通設備安全檢測技術規範之實作, 讓業者提高產品品質, 預做國際檢測之準備茲將 2 項資通產品與其對應廠商統計如下表 4 2 項資通產品與其對應廠商序號 1 2 產品無線接取設備無線區域網路路由器設備製造或品牌廠商友訊科技合勤科技友勁科技正文科技美商優科無線台灣思科美商防特網明泰科技普聯技術 (TP-Link) 訊舟科技久德電子東訊陞峰科技傳象科技居易科技臺灣塔米歐 (TOTOLINK) 久森資訊光寶科技捷元台灣東芝電子華碩電腦惠普科技速連通訊友訊科技合勤科技友勁科技正文科技明泰科技智邦集團 (SMC) 群睿科技永洋科技盛達電業技嘉科技亞旭電腦啟碁科技建漢科技居易科技華碩電腦台達電子明基電通訊康科技盟訊科技速連通訊盛達電業資料來源 : 本計畫自行整理 11

廠商發展, 將選擇國內具自主研發能量, 且有與國際大廠競爭外銷實力之產品, 期望透過資通設備安全檢測技術規範之實作, 讓業者提高產品品質, 預做國際檢測之準備茲將 2 項資通產品與其對應廠商統計如下表 4 2 項資通產品與其

18 上述二項產品已於評選會議時經委員同意, 並於 9 月 13 日第一次專家學者座談會, 經各業者與專家學者認同, 部分專家學者建議將原無線基地台之名稱進行修改, 避免與電信業者所建置之手機無線基地台造成混淆建議可修改為無線存取系統 (wireless local area network access systems) 或是無線接取設備, 並建請台灣銀行於共同供應契約中進行產品品項調整二本年度安全檢測技術規範參考去年度計畫已經驗證可行之規範架構, 並以 101 年 4 月試測計畫之實際檢測情形進行第二階段檢討, 整合規範中之測項用語, 並參考美國國家標準與技術研究院 (National Institute of Standards and Technology,NIST) 共同準則承認協定之國際組織 (Common Criteria Recognition Arrangement,CCRA) 測試資安產品功能實驗室 (ICSA 及 NSS) 測試網通產品實驗室 (UNH-IOL) 制定 IEEE 規格之無線網通產品之國際組織 (WiFi Alliance) 相關文獻等資料依據過去檢測技術規範將檢測項目分為書面審查及實機檢測兩部分, 檢測技術規範檢測項目之制定主要是參考與該項資通安全產品功能相近之共同準則 (Common Criteria, CC) 的保護剖繪 (Protection Profile, PP), 並根據台銀共同供應契約所列之主要產品規格及功能, 選取適當之安全功能需求 (SFR, 以下簡稱 SFR), 作為該技術規範主要的檢測項目所有選定之 SFR 皆須進行書面審查, 而部分 SFR 則需要實機檢測來確保其安全功能書面審查部分以產品出廠後, 最主要且直接影響產品安全功能及品質的項目進行審查此外, 本規範設計了安全功能測試壓力測試堅實測試及穩定測試等四個主要的實機檢測項目來彌補書面審查的不足及盲點並納入基礎型與進階型之檢測分類, 詳細檢測技術規範請參閱附件 1 附件 3 12

之實際檢測情形進行第二階段檢討, 整合規範中之測項用語, 並參考美國國家標準與技術研究院 (National Institute of Standards and Technology,NIST) 共同準則承認協定之國際組織 (Common Criteria Recognition

19 圖 4 檢測技術規範架構資料來源 : 本專案自行整理 ( 一 ) 書面審查書面審查包含安全標的安全功能設計等, 其中安全功能設計包含安全功能規格設計安全性安全架構安全指引安全功能測試等基礎型於設計安全性可免進行書審, 進階型則需全部進行審查表 5 書面審查類別類別安全標的安全功能設計項目基礎型進階型設備規格安全功能需求安全功能規格設計安全性安全架構安全指引 13

礎型於設計安全性可免進行書審, 進階型則需全部進行審查表 5 書面審查類別類別安全標的安全

20 表 6 書面審查項目類別項目審查細項 ( 無線接取設備 ) 審查細項 ( 無線區網路由器設備 ) 設備規格 1. 設備識別 2. 範圍 3. 安全功能安全功能需求 1. 稽核紀錄 1. 稽核紀錄 2. 稽核紀錄之查詢 3. 稽核資料儲存保護 4. 加解密金鑰管理 2. 加解密金鑰管理 5. 加解密演算法操作 3. 加解密演算法操作 6. 殘餘資訊保護 4. 殘餘資訊保護 7. 鑑別失敗處理 5. 鑑別失敗處理 8. 通行碼管理 6. 通行碼管理安全 9. 鑑別機制 7. 鑑別機制標的 10. 安全功能行為管理 8. 安全功能行為管理 11. 管理功能規格 9. 管理功能規格 12. 安全角色 10. 安全角色 13. 失效保全 11. 失效保全 14. 重送攻擊偵測 12. 重送攻擊偵測 13. 管理者通行碼保護 15. 可信賴之時戳 14. 可信賴之時戳 16. 安全功能自我測試 15. 安全功能自我測試 17. 可信賴更新 16. 可信賴更新 18. 最大資源配置 17. 最大資源配置 19. TSF 啟動之終止 18. TSF 啟動之終止 20. 使用者啟動之終止 19. 使用者啟動之終止 14

安全功能行為管理 8. 安全功能行為管理 11. 管理功能規格 9. 管理功能規格 12. 安全角色 10. 安全角色 13. 失效保全 11. 失效保全 14. 重送攻擊偵測 12. 重送攻擊偵測 13. 管理者通行碼保護 15. 可信賴之時戳 14.

21 類別安全功能設計項目安全功能規格設計安全性審查細項審查細項 ( 無線接取設備 ) ( 無線區網路由器設備 ) 20. 待測物存取預設標語 21. 金鑰保護 21. TOE 存取預設標語 22. TOE 交談建立 23. TSF 間可信賴通道 22. TSF 間可信賴通道 ( 僅進階型 ) ( 僅進階型 ) 24. 可信賴路徑 23. 可信賴路徑 ( 僅進階型 ) ( 僅進階型 ) 24. 資料流控制 ( 僅進階型 ) 25. 安全屬性初始值 ( 僅進階型 ) 安全功能介面應實現安全功能需求, 應說明安全功能介面 (TSFI) 以下規格 : 1. 安全功能介面名稱 2. 目的 3. 可實現的安全功能需求 4. 操作方式 5. 參數 6. 執行的動作 7. 錯誤訊息應說明如何以子系統組成安全功能規格之安全功能介面, 並說明安全功能子系統以下規格 : 1. 子系統名稱 15

22 類別項目安全架構安全指引審查細項審查細項 ( 無線接取設備 ) ( 無線區網路由器設備 ) 2. 目的 3. 子系統隸屬之安全功能介面 4. 子系統行為說明應依據安全功能規格及設計安全性之檢附文件, 說明待測物安全架構如何滿足安全功能需求 (SFR), 並作為實機測試項目設計的參考針對安全功能介面及子系統, 提出安全架構的設計概念與操作安全建議, 也需符合後續提供的指引文件安全架構應說明下列項目 : 1. 待測物因執行安全功能所區隔的安全領域 2. 安全功能的安全初始程序 3. 安全功能的自我保護機制 4. 安全功能執行如何避免被繞道 1. 應定義每個使用者角色 2. 應提供每個使用者角色於執行安全功能 (TSF) 時之相關說明, 包括 :A. 週邊設備及安全設定 B. 允許使用的介面 C. 安全參數定義 D. 可能產生的安全事件 E. 應遵循的安全措施 3. 應說明於特殊權限操作時的安全環境要求, 並提供適當的警告 4. 應列舉待測物操作時的所有運作模式 5. 應列舉待測物作業失敗 (Failure) 或人員操作錯誤產生的各種情況及處理方式 6. 應說明待測物運作前的安全準備作業, 包含待 16

23 類別項目審查細項審查細項 ( 無線接取設備 ) ( 無線區網路由器設備 ) 測物安裝及啟動方式 7. 應說明待測物操作的安全環境設置, 應包括以下項目 :A. 待測物使用目的 ( 如 : 針對伺服器進行網路協定管制作業等 ) B. 實體環境安全 ( 如 : 待測物置於具備門禁管制的環境等 ) C. 人員安全 ( 如 : 僅有授權人員可存取待測物等 ) D. 連接安全 ( 如待測物與其他網路伺服器之連線安全等 ) 指引文件將做為實機測試的依據 ( 二 ) 實機檢測實機檢測包括功能面效能面堅實面以及穩定面四大層面的測試項目, 內容規劃如下表 7 實機檢測類別類別項目 ( 無線接取設備 ) 項目 ( 無線區網路由器設備 ) 基礎型進階型安全功 1. 稽核資料產出 1. 稽核資料產出能測試 2. 與稽核伺服器失去連線後的應變措施 3. 重送攻擊偵測 4. 可信賴更新 2. 重送攻擊偵測 3. 可信賴更新 5. 待測物的安全功能自測 17

24 類別項目 ( 無線接取設備 ) 項目 ( 無線區網路由器設備 ) 基礎型進階型 6. 鑑別失敗控制功能 4. 鑑別失敗控制功能 7. 使用者識別及授權 5. 使用者識別及授權功能功能 8. 通行碼逾期功能 6. 檢查通行碼功能 9. 更新通行碼重新鑑 7. 更新通行碼重新鑑別功能別功能 10. 登入畫面保密功能 8. 登入畫面保密功能 X 使用者識別及鑑別功能 12. 安全管理 13. 資源最大配額 9. 資源最大配額 14. 安全功能初始會談 10. 安全功能初始會談鎖定鎖定 15. 使用者初始階段中 11. 使用者初始階段中斷斷 12. 安全角色 13. 資料流控制 ( 僅進階型 ) 14. 安全屬性初始值 ( 僅進階型 ) 壓力測試吞吐量 18

25 類別堅實測試穩定測試項目項目 ( 無線接取設備 ) ( 無線區網路由器設備 ) 1. 異常流量測試 2. 非正常關機恢復依據基礎型與進階型有不同之測項真實流量依據基礎型與進階型有不同要求標準基礎型進階型表 8 實機檢測項目摘錄 ( 無線接取設備 ) 類別安全功能測試項目判定標準稽核資料產出待測物產出之稽核資訊應具備 : (1) 是否成功啟動稽核功能, 包含未被明確定義 / 指定等級稽核 (2) 所有可稽核之事件 (3) 所有可管理之行為 (4) 將發生的稽核事件與使用者之間進行關聯性連結 (5) 紀錄事件的日期時間類別主題識別碼及結果 ( 成功或失敗 ) 待測物的安全功能應支援選擇性的稽核的事件集與稽核伺服器失去連待測物的安全功能應包含當收集稽核資訊線後的應變措施的外部儲存裝置失去連線時, 能夠執行一些應變措施或任務的指派重送攻擊偵測待測物的安全功能應支援 : (1) 偵測出重送至待測物的網路封包 (2) 應拒絕重送封包的連線要求 19

26 類別項目判定標準待測物的安全功能自待測物開機後其安全功能可自我測試測鑑別失敗控制功能待測物應具備下列功能 : (1) 使用正確之通行碼應可正常登入 (2) 當輸入錯誤通行碼超過最大錯誤次數且封鎖管理介面後, 使用正確通行碼亦無法登入待測物使用者識別及授權功待測物應具備下列功能 : 能 (1) 輸入正確的帳號及通行碼方能登入 (2) 使用錯誤帳號或通行碼時, 應提示使用者無法登入的訊息 (3) 需要驗證使用者帳號及通行碼的網路服務, 應輸入正確的帳號及通行碼, 方能存取這些服務通行碼逾期功能如通行碼逾期時, 應強迫登入者更換通行碼, 方能進行後續操作更新通行碼重新鑑別待測物更新通行碼後, 應要求使用者重新功能登入方能進行後續操作登入畫面保密功能登入過程中, 待測物之顯示畫面應以特殊號 ( 如 :*) 遮蔽輸入之通行碼字元 802.1X 使用者識別通過 RADIUS Server 鑑別後, 應可經由待及鑑別功能測物連上網際網路安全管理待測物應允許管理者正確輸入通行碼後登入進行設定資源最大配額待測物應支援 : (1) IP 位址個數未達到最大值, 輸入正確 20

27 類別壓力測試項目安全功能初始會談鎖定使用者初始階段中斷吞吐量判定標準的無線連線帳號及通行碼時可以與待測物建立連線 (2) IP 位址個數達到最大值, 即使輸入正確的無線連線帳號及通行碼時亦不可與待測物建立連線 (3) 登出後, 待測物應可以收回原先指派之 IP 位址供下次使用當鎖定計時之時間到達期限時, 登入者應無法讀取待測物任何資訊當終止計時之時間到達期限, 此次登入之會談 (Session) 應被終止當使用者登出後, 使用者之會談應立即終止當待測物所負荷的吞吐量達到其規格說明之最大值時, 不能發生封包遺失且安全功能應正常運作堅實測試穩定測試異常流量測試待測物遠端管理介面對異常之協定或攻擊流量應保持正常運作非正常關機恢復待測物應可重新開機復原到斷電前的最後正常狀態真實流量基礎型待測物應持續 168 小時穩定運作進階型待測物應持續 336 小時穩定運作 21

28 表 9 實機檢測項目摘錄 ( 無線區網路由器設備 ) 類別安全功能測試項目判定標準稽核資料產出待測物產出之稽核資訊應具備 : (1) 是否成功啟動稽核功能, 包含未被明確定義 / 指定等級稽核 (2) 所有可稽核之事件 (3) 所有管理之行為 (4) 將發生的稽核事件與使用者之間進行關聯性連結 (5) 紀錄稽核事件的日期時間類別主題識別碼及結果 ( 成功或失敗 ) 待測物的安全功能應支援選擇性的稽核的事件集重送攻擊偵測待測物的安全功能應支援 : (1) 偵測送至待測物的重送攻擊流量之封包 (2) 偵測出重送攻擊之封包, 應拒絕該封包的連線要求可信賴更新待測物應具備下列韌體更新功能 : (1) 允許被授權的管理者查詢待測物目前韌體版本 (2) 允許被授權的管理者更新韌體版本 (3) 在安裝更新前使用電子簽章機制, 於韌體更新前, 可辨別欲更新韌體之真偽鑑別失敗控制功能待測物應具備下列功能 : (1) 使用正確之通行碼應可正常登入 (2) 當輸入錯誤通行碼超過最大錯誤次數 22

29 類別項目判定標準且封鎖管理介面後, 使用正確通行碼亦無法登入待測物使用者識別及授權功待測物應具備下列功能 : 能 (1) 輸入正確的帳號及通行碼方能登入 (2) 使用錯誤帳號或通行碼時, 應提示使用者無法登入的訊息 (3) 需要驗證使用者帳號及通行碼的網路服務, 應輸入正確的帳號及通行碼, 方能存取這些服務檢查通行碼功能待測物應具備下列功能 : (1) 管理者須正確輸入通行碼通過身分驗證後才能登入待測物 (2) 管理者通行碼如果逾期, 在輸入逾期的通行碼登入待測物後應要求管理者設定新通行碼更新通行碼重新鑑別待測物更新通行碼後, 應要求使用者重新功能登入方能進行後續操作登入畫面保密功能登入過程中, 待測物之顯示畫面應以特殊號 ( 如 :*) 遮蔽輸入之通行碼字元資源最大配額待測物應支援 : (1) IP 位址個數未達到最大值, 輸入正確的帳號及通行碼時可以與待測物建立連線 (2) IP 位址個數達到最大值, 即使輸入正確的帳號及通行碼時亦不可與待測物建立連線 23

30 類別壓力測試堅實測試穩定測試項目判定標準 (3) 登出後, 待測物應可以回收原先指派之 IP 位址供下次使用安全功能初始會談鎖當鎖定計時之時間到達期限時, 登入者應定無法讀取待測物任何資訊當終止計時之時間到達期限, 此次登入之會談 (Session) 應被終止使用者初始階段中斷當使用者登出後, 使用者之會談 (Session) 應立即終止安全角色待測物需滿足至少二種角色以上類別及事件關聯性上的設定資料流控制待測物應具備下列流量管理功能 : (1) 應可阻擋設定之流量 (2) 應可通過設定之流量安全屬性初始值待測物需具備下列功能 : (1) 資料流控制功能應包含基本規則 (2) 被授權的管理者可變更資料流控制功能之規則吞吐量與無線接取設備相同, 請參酌異常流量測試與無線接取設備相同, 請參酌非正常關機恢復與無線接取設備相同, 請參酌真實流量與無線接取設備相同, 請參酌 24

31 參研提政府機關 ( 構 ) 資通設備採購參考指引草案為協助政府機關熟悉資通設備產品, 以及其佈署之規劃設定檢查與更新資訊, 將撰擬資通設備採購參考指引, 提供檢測項目功能之說明, 使機關了解檢測分級保障範圍及效益, 以利機關將來選擇採購產品時之參考詳細內容請參閱附件 2 附件 4 本年度參考去年計畫所撰擬之綱要, 包含下列項目 : 表 10 資通設備採購參考指引摘要章節標題內容大綱內容大綱 ( 無線接取設備 ) ( 無線區網路由器設備 ) 前言目的旨在說明採購該設備所需注意的功能方面及效能方面考量政府機關 ( 構 ) 得參考本指引進行採購, 以強化無線網路之安全管理, 本指引係屬建議性質適用對象本文件適用於政府機關 ( 構 ) 運用資訊科技從事業務維運之所有人員一般使用者可以略過第二章的部分設備介紹無線網路簡介無線連網技術可以透過 WiFi 3G WiMAX UWB 等技術,WiFi 及 3G 是兩種最為被廣泛使用的技術,3G 訊號範圍大但傳輸頻寬小, WiFi 傳輸頻寬大但訊號範圍小, 兩者剛好互補, 因此室外空間多以 3G 技術來提供連網服務, 而室內空間則以 WiFi 來提供無線連網服務無線區域網路路由器是指具備無線功能的路由器, 路由器的功能為串連多個網路並負責將封包傳送至正確的網路中, 傳送封包的過程稱為路由, 因此負責這項工作的設備被賦予路由器的名稱在一般的無線區域網路路由器設定中,WiFi 介面屬於區域網路的一部分, 因此可以視為透共 WiFi 來連接區域網 25

32 章節標題內容大綱 ( 無線接取設備 ) 內容大綱 ( 無線區網路由器設備 ) 路系統架構運作原理常見安裝方式在區域網路環境中, 有別於在無線區域網路路由器的幫一般有線網路環境下使用者助下, 使用者只需開啟無線需帶著網路線尋找資訊插座網路掃描是否有無線區域網的情況, 在無線接取設備的路路由器提供上網服務, 並幫助下, 使用者通過認證授通過認證授權確認是有存取權即可與網際網路連線, 並網路權限的使用者後, 即可可在連網其間內任意移動與網際網路連線, 無線區域網路路由器同時具備無線接取點與路由器的功能, 因此可以降低網管人員架設及維護網路的複雜度設備透過 WiFi 的方式與使用者所使用的終端裝置進行連線, 並將使用者由 WiFi 傳送過來的封包轉送至有線網路界面, 如乙太網路及數位用戶線路等, 藉以讓使用者透過 WiFi 得以存取網際網路上的資源無線接取設備為無線與有線透過無線介面將使得無線區介面的轉換裝置, 常被大量域網路路由器附近的使用者的佈建在網路邊界在收的到無線訊號的狀況下 (NetworkEdge), 因每一台無可以任意存取, 因此每一台線接取設備都需要設定對應無線區域網路路由器都需要的加密與存取認證設定, 造設定對應的加密與存取認證成管理上的困難, 因此發展等安全機制出了兩種不同形式的無線接取設備, 分別為一般型無線 26

33 章節資安需求標題如何評估防護措施內容大綱內容大綱 ( 無線接取設備 ) ( 無線區網路由器設備 ) 接取設備 (FatAP) 與精簡型無線接取設備 (ThinAP) 無線訊號有不需接線的特性, 為了避免有心人在收到的訊號範圍內任意的存取網路, 必須針對該設備進行加密認證設定, 在加密認證中, 有三個部分需要特別注意 :A. 須有確認使用者是否具備存取網路的權限的機制 B. 須使用加密防止使用者透過無線傳輸的資料遭到竊聽 C. 僅管理人員可被授權更動無線接取設備設定有鑑於該設備可能帶來的風險, 採購單位在選購相關產品時, 應注意設備安全功能效能穩定性等, 以免產品的衍生風險影響單位內正常使用, 除此之外, 採購單位亦可優先考慮採購經過規範認證的產品如此將可以有效避免潛在性風險所帶來的不便和危害採購認證設備降低資安風險有效資安健檢根據資通設備安全檢測技術規範針對上述規範的檢測方式, 就該設備在使用上的主要風險, 可透過安全功能測試堅實測試, 壓力測試及穩定測試進行檢測檢測技術規範裡定義基礎等級以及進階等級二種不同程度的標準, 所要求符合的測試項目也有所差異, 以進階等級的要求較為嚴格資通設備安全檢測技術規範針對設備基本的存取和使用安全做完整的功能包括 : 稽核資料產出安全管理功能等等經過嚴格縝密的測試, 才能確保產品在使用的過程中, 符合使用單位基本安全及效能上的需求 27

34 肆研擬資通安全設備檢測技術規範推廣建議方針一背景說明數位化時代的巨輪迅速往前邁進, 加深人們對資通訊技術及網路的依賴然而, 確保資通訊安全的能力卻未及其建設的腳步, 過去幾年來, 不同類型的資通安全事故層出不窮, 無論個人企業關鍵基礎建設業者與政府機關, 皆曾遭受資安事故困擾資安風險是一種可以將商業社會和國家置於高度危機的風險 2009 年 8 月所舉辦之資安 SRB 會議, 於國家資通訊安全發展方案的架構下, 更明確具體規劃環境面應用面 ( 含電子商務與電子病歷安全 ), 以及資安產業面的目標與相對應的推動措施, 詳參考圖 5 希望經由前瞻政策的引導, 透過國家整體力量, 實踐各項行動計畫, 並達成提升網路環境安全強化民眾個資保護推動資安產業發展三大政策目標上述目標於提升網路環境安全則提及推動資通訊設備安全檢測, 藉以降低資安風險, 更可藉此推動資安產業發展 1 1 上述文字擷取於 2010 資通安全政策白皮書 28

35 圖年 SRB 會議提出之我國資通安全政策目標資料來源 : 2010 資通安全政策白皮書依據 2010 資通安全政策白皮書中, 國家資通訊安全發展方案從需求端供應端及環境面三個面向考量達成我國資安政策目標之發展藍圖需求端透過強化緊急應變能力落實電子化政府資安管理推動關鍵基礎建設網路安全及強化企業資訊安全等措施, 達成強化整體回應能力提供可信賴的資訊服務及部分優質化企業競爭力之政策目標此外, 有關優質化企業競爭力, 還需要供應端的支持, 透過技術研發建構產品認驗證標準與體系人才培育, 藉由需求趨動進而發展資安產業在環境面, 則包含完備法制建設推動認知宣導鼓勵創新促進合作規劃衡量指標, 亦分別設計相對應的行動方案, 以達建構資安文化發展環境目標 29

36 圖 6 我國資通安全政策長期發展藍圖資料來源 : 2010 資通安全政策白皮書二現階段執行現況說明推動資通訊設備安全檢測為確保政府機關所使用之資通設備具備安全性, 國家通訊傳播委員會推動政府機關採購經資安驗證合格之設備具體作法包含研析國內廠商資通設備之市場規模及研發能力, 據以研訂適合我國短中長期資通設備安全檢測適用設備類別項目及安全防護等級, 並訂出短期 ( 第一階段 ) 各項技術標準與資通安全設備採購參考指引, 上述內容已於 100 年度執行完畢試測表年度 8 項資通設備與代表廠商列舉產品廠商數量代表廠商列舉 * 防火牆 (Firewall) 40 文佳友旺桓基合勤 SOCUS * 入侵偵測防禦系統 (IDP) 20 威播鴻璟新軟友旺眾至 30

37 試測產品防毒閘道器設備 (Anti-Virus) 垃圾郵件過濾設備 (Anti-Spam) 網頁應用防火牆 (WAF) 應用軟體控管系統 (AC) 乙太網路交換器 (L2Switch) 路由交換器 (L3Switch) 資料來源 : 本計畫自行整理廠商數量代表廠商列舉 15 友訊文佳合勤全景 23 綠色運算友旺碩琦中華數位 15 阿碼安穩特文佳 18 利基威播文佳 50 友訊合勤華碩明泰 20 華碩明泰鈺登 ( 智邦 ) 友訊合勤圖 7 推動資通訊設備安全檢測進程說明資料來源 : 本計畫自行整理年 11 月交付 8 項檢測技術規範 ( 草案 ), 並於 101 年 3 月底公布所有檢測技術規範內容, 上述 8 項資通設備總計超過 200 家次廠商 31

38 2. 考量防火牆與入侵偵測設備二項產品已於台灣銀行共同供應契約中納入 CC 為優規標準, 故於 101 年 4 月進行上述二項產品試測作業, 共計 7 家廠商 ( 文佳友旺桓基合勤 SOCUS 威播鴻璟 ) 進行試測年 8 月開始開放正式送驗, 並於 101 年 9 月將通傳會公布之資通設備安全檢測規範納入台灣銀行共同供應契約優規標準年 10 月 1 日第一家廠商產品送測, 共計 6 項系列產品通過資通設備檢測, 並拿到審驗證明後續規範推動將挑選政府機關用戶最多資安顧慮較高者優先, 鼓勵資通設備廠商參與檢測對廠商來說, 證明本身產品具安全防護效力, 增加使用者信心, 更可協助廠商做好準備國際驗證之前測, 增加廠商參與意願茲將短中期之資通設備檢測技術規範與今年度公布之共同供應契約 (LP5_101018) 對應參照如下表表 12 短中期資通設備檢測技術規範與共同供應契約對應參照期間短期產品品項網路型防火牆 (Firewall) 入侵偵測防禦系統 (IDP) 防毒閘道設備 (AntiVirus) 網路型垃圾郵件過濾設備 (AntiSpam) 網頁應用防火牆 (WAF) 應用軟體控管系統 (ApplicationControl) 共同供應契約 (LP5_101018) 第三組第 22~45 項防火牆第三組第 1~21 項入侵偵測防禦系統第三組第 50~63 項防毒閘道器第三組第 81~84 項垃圾郵件過濾第三組第 46~49 項網站防火牆第三組第 72~80 項網路日誌事件監控 32

39 期間中期產品品項乙太網路交換器 (L2Switch) 路由交換器 (L3Switch) 無線接取設備 (Thin AP+ 控制器或 Fat AP) 無線區域網路路由器 (Wireless Router) 網路電話設備網路電話類比閘道器無線網路攝影機網路封包鑑識分析設備網路流量分析設備網路日誌事件監控設備共同供應契約 (LP5_101018) 第一組 10~48 項有網管交換器第一組 49~85 項有網管路由交換器第二組 4~18 21~30 項無線基地台第二組 1~3 項無線寬頻 IEEE 第五組 1~7 項 SIP 網路電話第五組 8~18 項 SIP 語音交換器第六組 13~15 項無線網路攝影機第三組 64~68 項網路封包鑑識分析第三組 69~71 項網路流量分析第三組 72~80 項網路日誌事件監控三檢測技術規範推廣建議資通安全設備本身之安全性攸關使用者安全防護之效益, 對安全防護環境之維護極為重要, 若設備本身不能發揮應有之作用, 甚至有資安漏洞或被植入木馬等重大疏失, 對使用者之影響將即為嚴重, 尤其使用者為政府機關時, 甚至將影響國家安全國家通訊傳播委員會主責技術規範內容, 然推動資通設備檢測技術規範之落實, 並非訂出檢測規範後即可, 仍需從整體推動面進行, 包含逐年進行規範編撰規範試測暨檢測推廣機關導入推廣作業等 33

40 圖 8 資通設備檢測技術規範推廣建議流程圖 ( 一 ) 逐年進行規範編撰 1. 至 101 年底制定完成 10 項檢測技術規範本計畫已於 100 年度計畫中完成 8 項檢測技術規範, 包含 : 網路型防火牆 (Firewall) 入侵偵測防禦系統 (IDP) 防毒閘道設備 (AntiVirus) 網路型垃圾郵件過濾設備 (AntiSpam) 網頁應用防火牆 (WAF) 應用軟體控管系統 (ApplicationControl) 乙太網路交換器 (L2Switch) 路由交換器 (L3Switch) 等於今 (101) 年度計畫中完成無線接取設備 (Thin AP+ 控制器或 Fat AP) 無線區域網路路由器 (Wireless Router) 二項資通設備檢測技術規範 2. 依據供需雙方需求逐年增加檢測技術規範依據 SRB 會議決議, 通傳會已制定 8 項檢測技術規範, 並訂定短中長期之設備項目, 應逐年編列預算進行規範之編撰 3. 透過規範編撰建全資安整體環境面藉由產品檢測技術規範之編撰逐步提升資安產業自我研發能量, 34

41 進一步推動使政府機關採購之資通設備產品納入檢測範圍中, 藉以強化我國整體資訊安全 ( 二 ) 規範試測暨檢測推廣作業 1. 配合共同供應契約採購期程進行試測作業推廣資通設備之試測計畫應與台灣銀行共同供應契約之招標時程相互配合, 考量台灣銀行共同供應契約本年度之契約將至 102/10/31 止, 目前台灣銀行規劃次年度採購期程如下表 : 表 13 台灣銀行 102 年度標案採購期程規劃項次採購流程項目時間規劃 1 公開閱覽 102/6 月中 2 招標公告 102/7 月底 3 截止送件 / 決標 102/8 月底 4 產品上架 102/11 月初由於本規範之測試期間約為 2 個月, 故建議以每 3 個月為一期程, 逐步進行設備試測作業, 可提供廠商瞭解檢測技術規範與檢測流程, 待整體試測完成後即可針對試測結果進一步調整規範內容 35

42 圖 9 申請試測流程圖 36

43 圖 10 資通設備資通安全審驗申請作業流程圖資料來源 : 資通設備資通安全審驗作業要點 ( 公告 ) 37

44 圖 11 資通設備資通安全審驗申請作業流程圖 ( 建議修改 ) 38

45 2. 新撰擬之檢測技術規範示範性試測驗證規範內容建議本年度新撰擬之檢測技術規範可於草案完成後, 由合格之檢測試驗室進行試測作業, 以了解檢測技術規範之可行性後續進行規範檢討作業, 並提供廠商模擬檢測相關檢測內容與流程 3. 透過檢測規範納入共同供應契約或檢測補助, 提高廠商參與意願國內資安業者營運不易, 資安問題亦層出不窮急需各業者投入資源研發, 建議可透過檢測規範納入共同供應契約或檢測補助, 提高廠商參與意願 ( 三 ) 機關導入推廣作業 1. 逐步推動規範納入台銀共同供應契約依據台灣銀行共同供應契約 (LP5_990074)100/9/22~101/7/23 期間採購數量統計得知, 含加值項目之產品品項確實採購數量顯著高於未含加值項目之產品相信推動檢測技術規範納入台灣銀行共同供應契約, 對於業者提高產品之附加價值確有一定程度之助益表 14 台銀共同供應契約 (LP5_990074)100/9/22~101/7/23 期間採購數量統計產品品項含加值項目 (CC) 之採購數量未含加值項目之採購數量網路型防火牆 (Firewall) 入侵偵測防禦系統 (IDP) 推動示範性機關使用通過檢測設備資通設備廠商送驗產品不外乎希望能提高產品附加價值, 並有更多消費者願意採購檢測通過之產品, 因此除本計畫於未來可持續進行規範推廣活動外, 擬建議通傳會定期辦理規範說明會並與研 39

46 考會合作推動示範性機關採購通過檢測規範之產品 3. 通過檢測設備廠商與機關使用經驗分享, 強化檢測品質與優勢透過通過檢測之設備廠商對於提升產品優勢與競爭力之經驗分享, 與示範性機關採購通過檢測之資通設備後所獲得之助益, 供需雙方之經驗分享擴散, 強化通過檢測之產品品質與優勢, 有助於吸引更多資安業者加入檢測行列, 共同研發更安全優質之資通設備產品 40

47 伍舉辦座談會配合本專案各項工作項目需要於期末報告前辦理 3 場座談會, 座談會至少邀請政府機關 3 機關以上具代表性之設備廠商 10 家以上及專家學者 3 人以上, 會議中討論資通設備應檢測之項目流程等議題, 以使本專案擇出之資通設備及各設備安全檢測技術規範符合國內市場之需求表 15 專家學者座談會概述場次第一次專家學者座談會第二次專家學者座談會第三次專家學者座談會時間 101/9/13 14:00~15:30 101/10/25 14:00~15:00 101/10/25 15:00~16:00 議題議題一專案簡介並說明本專案擇定二項資通產品之原因議題二以無線基地台設備為例說明檢測技術規範的內容議題一無線接取設備 ( 原無線基地台 ) 檢測技術規範內容議題二無限寬頻路由器設備 ( 無線區域網路路由器 ) 檢測技術規範內容議題一 100 年度網路型防火牆檢測技術規範與實測檢討議題二 100 年度入侵偵測防禦系統檢測技術規範與實測檢討 41

48 第一場座談會時間 :101 年 9 月 13 日 ( 四 )14:00~15:30 地點 : 中華軟協會議室 ( 台北市承德路二段 239 號 6 樓 ) 主席 : 張國鴻秘書長 / 計畫主持人參與人員 : 略會議紀錄 : 1. 主席致詞 ( 略 ) 2. 報告事項 : 由計畫團隊李佳穎博士報告計畫目標, 及預訂新增之二項安全檢測技術規範, 並以無線基地台檢測技術規範草稿為例說明 3. 意見交流 Q1. 無線基地台之安全功能需求 (SFR) 目前項次為 47 項, 是否足以涵蓋完整之安全需求, 該安全功能需求於技術規範中是否完整引用或是有訂定引用比例? A1. 目前 WLANAS 該 PP 所列 47 項安全功能需求 (SFR) 已完整涵蓋於檢測技術規範中, 唯在加解密金鑰管理與加解密演算法操作上, 為避免待測物須完全符合 NIST 制定之密碼模組標準 ( 如 :FIPS140-2) 而使規範過於嚴苛, 因而將其中的 21 項要求整合為 5 項此外, 因無線基地台產品上市前皆須通過 WiFi 相容性認證, 故檢測技術規範將密碼模組與安全管理面部分之內容僅採書審方式, 其餘項次則以書面審查與實機測試二種方式並行 Q2. 去年所訂檢測規範之 8 項產品之銷售單價較高, 此次 2 項產品之單價較低, 測試費用過高會影響廠商參與意願, 請問未來檢測費用為何? A2. 本計畫僅訂定檢測技術規範, 測試費用由檢測實驗室訂定後送至通傳會進行核備, 才得以對外公開, 目前此二項產品之檢測技術規範正在擬定中, 檢測實驗室無法於現階段評估費用高 42

49 低, 然費用原則已於 100 年度計畫中訂定, 仍要求檢測實驗室依該原則進行訂價, 並區分為基礎型與進階型之費用 Q3. 目前國外資通設備產品於台灣銷售前, 須通過進口海關電磁檢測 WIFI 檢測等多項關卡, 並需負擔各項費用, 若再加上通傳會之資安檢測, 會增加整體成本, 若不同步進行共同供應契約之改變, 對業者而言是增加負擔卻未有任何助益 A3. 此部分涉及政府政策, 本計畫僅負責訂定檢測規範, 所提意見將記錄並提供通傳會參考 Q4. 建議無線基地台之名稱可考量改為無線存取系統或是無線接取器, 避免因無線基地台之名稱造成使用者誤解 A4. 同意所提建議, 將向通傳會說明後修改 4. 散會 : 下午 3 時 30 分第二場座談會時間 :101 年 10 月 25 日 ( 星期四 )14:00~15:00 地點 : 中華軟協會議室 ( 台北市承德路二段 239 號 6 樓 ) 主席 : 喻維貞資深處長 / 協同計畫主持人參與人員 : 略會議紀錄 : 1. 主席致詞 ( 略 ) 2. 報告事項 : 由計畫團隊林盈達教授及李佳穎博士報告無線接取設備以及無線區域網路路由器檢測技術規範內容 3. 意見交流 Q1. 堅實測試之認證協定 IEEE802.1X 是否有如 WPA2 等之連線加密機制之測試 A1. 堅實測試主要以 8 種類常見的 Wireless Attacks ( 包含 IEEE 802.1X 攻擊 ) 進行測試, 由於本技術規範不涉及 FIPS 相關密碼測試, 因此堅實測試不含 WPA2 加密機制之測試 43

50 Q2. 書面審查各項目列了審查標準, 但其內容較屬要填寫之項目或內容, 是否會落於有填寫就通過? A2. 書面審查是依產品應具備之安全功能訂定要求, 請廠商提供送審產品之相關書面資料, 並搭配相關實機檢測進行驗證的程序, 以避免資料任意填寫的情況發生 Q3. 投影片第 9 頁是否改為安全功能介面規格? A3. 附表中第二欄的安全功能規格, 其填寫內容除安全介面相關資訊外, 還有相對應的安全功能需求, 不單指介面本身的資訊, 因此不建議修改 Q4. 在安全功能 ( 安全架構 ) 文件中有部分為廠商列舉 ( 如防止繞道功能 ), 若無書審通過基準, 是否在實機測試之測項會有因列舉內容不同而有差異? 恐影響測試公平性! 建議書審對功能範圍可有審視基準 A4. 此部分皆使用實機測試進行補強, 也會測試廠商未填寫的在安全架構送審文件中, 產品用何種方式防止繞道功能端看各廠商的設計及產品需求, 不適合強制規範單一審查標準 Q5. 書面審查通過之設備功能與實機測試的項目有落差, 建議能明確說明, 以避免使用者誤解 A5. 所有安全功能需求 (SFR) 皆需書面審查, 部分安全功能則需以實機測試加以驗證, 詳細項目請參考檢測技術規範 4. 散會 : 下午 15 時 00 分第三場座談會時間 :101 年 10 月 25 日 ( 星期四 )15:00~16:00 地點 : 中華軟協會議室 ( 台北市承德路二段 239 號 6 樓 ) 主席 : 喻維貞資深處長 / 協同計畫主持人參與人員 : 略 44

51 會議記錄 : 1. 主席致詞 ( 略 ) 2. 報告事項 : 由計畫團隊林盈達教授及李佳穎博士報告防火牆設備修訂之檢測技術規範內容 3. 意見交流 Q1. 建議 Firewall 技術規範修訂 (5/5) 流量平均速率及處理能力最大值 50% 之說明可再修正, 避免造成廠商誤解實際測試方法 A1. 經技術團隊討論後, 已修訂為 : 重播之網路流量須以線性放大或縮小以維持波形, 並使其平均流量為待測物規格說明處理能力最大值之 50% Q2. 建議 IDP 技術規範中測試樣本部份, 進階型之鑑別度不應只以前 2~3 年之 NVD 樣本為增加數量依據, 而是可考量漏判通過率提升, 不同弱點測試樣本 set 涵蓋度等作為更嚴謹之鑑別度設計 A2. 經技術團隊討論後, 該測項已修訂為 : (1) 基礎型測試 : 使用測試平台將攻擊測試樣本之必測樣本自 A 埠送至基礎型待測物,B 埠無法收到異常或攻擊流量之封包, 並可記錄此異常或攻擊事件基礎型待測物對於攻擊測試樣本之漏判率須小於或等於 10% (2) 進階型測試 : 使用測試平台將攻擊測試樣本之必測樣本及加測樣本分別自 A 埠送至進階型待測物,B 埠無法收到異常或攻擊流量之封包, 並可記錄此異常或攻擊事件待測物對於必測樣本之漏判率須小於或等於 7%, 對於加測樣本之漏判率須小於或等於 10% A3. 有關測試樣本進階型之篩選條件, 宜再斟酌 A4. 測試樣本篩選條件已修訂為 : (1) 必測樣本 : 自 NVD ( 美國國家弱點資料庫 ) 篩選待測物送 45

52 測前一個月起一年內 CVSS 7.0 且與 IDP 設備相關之弱點, 以此數量的 5% 為依據, 由測試平台或儀器產生大於或等於該數量之測試樣本 (2) 加測樣本 : 除上述必測樣本外, 自 NVD ( 美國國家弱點資料庫 ) 篩選待測物送測前二至三年內 CVSS 7.0 且與 IDP 設備相關之弱點, 以此數量的 5% 為依據, 由測試平台或儀器產生大於或等於該數量之測試樣本 Q3. 建議推廣說明會能邀請更多政府機關來參與, 將行銷做好才能吸引更多政府機關在未來採購時採購認證過的商品 A5. 此部分建議可由主辦單位進行發文可有效提升機關參與程度 Q4. 建議可建置認證網站將認證過的版本版本的認證期限以及相關資訊放在網站上供大家參考, 才不會因而造成更大的資訊漏洞 A6. 此部分將與主辦單位進行商討, 可考量於未來建置專屬網站以利各項推廣作業 Q5. 目前似乎是對設備廠商推廣較多, 那未來是否容易造成產品認證都通過了政府機關以及民眾卻都不來採購 A7. 推廣作業需分為二種方面, 除了廠商送測達到標準外, 更會向機關使用者進行推廣, 產品納入共同供應契約後, 民間自然而然會跟進, 採納通過 NCC 審驗之設備 4. 散會 : 下午 16 時 00 分 46

53 陸舉辦推廣說明會為推動本計畫擬定之資通設備安全檢測技術規範, 針對規範內容與通過審驗之益處向政府機關 ( 構 ) 進行推廣說明, 會中邀請中央部會所有機關及具代表性之設備廠商, 並蒐集意見作為未來推動方向之參考時間 :101 年 11 月 14 日 ( 三 )13:30~17:00 地點 : 台北市建國南路二段 231 號 B1 文化大學推廣部國際會議廳主席 : 國家通訊傳播委員會羅金賢副處長議程 : 時間議題討論 13:30-14:00 與會者報到 14:00-14:10 主辦單位致詞 14:10-15:10 資通安全檢測技術規範介紹 15:10-15:30 資通安全檢測技術規範測試經驗分享 15:30-15:40 休息時間 15:40-16:00 資通安全檢測技術規範送測經驗分享 16:00-17:00 資通安全檢測規範未來推動意見交流參與人員 : 略推廣說明會中針對檢測技術規範進行說明, 包含與共同供應契約產品之對應,10 項資通設備安全檢測技術規範書面審查項目與實機測試之測項進行比對等資料, 透過最簡單明瞭的方式讓機關了解檢測技術規範 47

54 圖 12 推廣說明會花絮 (1) 圖 13 推廣說明會花絮 (2) 除上述外, 亦針對共同準則與 NCC 檢測技術規範差異比較, 目的使各政府機關了解 NCC 檢測技術規範的確可為機關進行客觀之把關作業 48

55 表 16 共同準則與 NCC 檢測技術規範差異比較項目標準共同準則 (CC) NCC 檢測技術規範檢測時程費時約個月進階 :2 個月內完成基礎 :1-2 個月內完成檢測費用花費數百萬 50 萬元以內互通標準無 CC, ICSA, NSS 書面審查涵蓋與產品生命週期相關之項目含待測物之安全標的安全功能規格等主要安全項目實機測試安全功能測試 (Security Function Evaluation) 壓力測試 (Stress Test) 由廠商提供測試計畫與測試報告, 檢測實驗室僅針對廠商提出資料抽測 CC 無此檢測項目 1. 由 NCC 明確制定安全功能之實機測試項目與標準 2. 誤判漏判測試使用國內收集之檢測樣本 ( 具地域性 ) 檢測待測物在高壓力高流量之環境下之功能是否正常堅實測試 (Robustness Test) 由檢測實驗室自行進行弱點分析與滲透測試, 不同的檢測實驗室可能會有不同的檢測標準由 NCC 統一制定弱點分析與滲透測試之檢測標準穩定測試 CC 無此檢測項目利用真實網路流量來驗證 49

56 項目標準共同準則 (CC) NCC 檢測技術規範 (Stability Test) 待測物長時間運作之穩定本次推廣說明會總計有 65 位機關代表與會, 為了解各機關對於檢測規範之意見與機關運作現況調查, 特進行問卷調查, 以蒐集意見作為未來推動方向之參考, 總計蒐集有效問卷 51 份, 問卷內容如下請問您對於下列問題的滿意程度 ( 直接圈選數字 ) 一說明會講題內容 1. 資通安全檢測技術規範介紹檢測實驗室 ( 書面審查 ) 經驗分享檢測實驗室 ( 實機測試 ) 經驗分享二說明會整體規劃 4. 本說明會符合您期望的程度本說明會滿足您需求的程度本說明會議程內容的安排本說明會提供的資料本說明會舉辦地點三機關採購規劃 9. 機關過去三年內曾採購哪些資通安全設備 ( 請勾選並填寫數量 ) 防火牆設備 ( 台 ) 入侵偵測防禦 ( 台 ) 防毒閘道器設備 ( 台 ) 垃圾郵件過濾 ( 台 ) 網頁應用防火牆 ( 台 ) 應用軟體控管系統 ( 台 ) 乙太網路交換器 ( 台 ) 路由交換器 ( 台 ) 無線接取設備 ( 台 ) 無線區域網路路由器 ( 台 ) 其他. ( 台 ) 10. 機關未來三年內預計採購哪些資通安全設備 ( 請勾選並填寫數量 ) 防火牆設備 ( 台 ) 入侵偵測防禦 ( 台 ) 防毒閘道器設備 ( 台 ) 垃圾郵件過濾 ( 台 ) 網頁應用防火牆 ( 台 ) 應用軟體控管系統 ( 台 ) 乙太網路交換器 ( 台 ) 路由交換器 ( 台 ) 無線接取設備 ( 台 ) 無線區域網路路由器 ( 台 ) 其他. ( 台 ) 11. 機關未來是否會優先採購通過通傳會檢測之資通安全設備是, 原因可能會, 原因不一定, 原因否, 原因 12. 未優先採購通傳會檢測通過之資通設備原因為 ( 可複選 ) 需有其他機關採用才會考慮跟進依據預算選購產品, 無論是否有通過國內外檢測性非常滿意很滿意滿意不滿意非常不滿意 50

57 相信國外大廠才能有保障視功能需求考量採購與否其他 13. 採購資通安全設備優先考量因素 ( 可複選, 至多選擇三項 ) 價位廠牌功能穩定度售後服務是否有國內外認證其他 ( 可填寫多樣因素 ) 14. 希望通傳會對於資通設備檢測技術規範可提供機關哪些協助 ( 可複選 ) 針對機關所採購之資通設備皆能撰擬檢測技術規範, 進而協助機關購買到安全無虞之產品希望能有更多推廣活動, 使機關了解檢測技術規範內容希望更多廠商通過檢測, 使機關能有更多安全產品可購買希望將規範納入共同供應契約, 使機關可更便利購買到安全之產品希望可有專屬規範網站可查詢規範通過檢測廠商清單等相關內容其他四您對資通設備檢測技術規範的建議五您對未來推廣的建議九成以上之與會人員表示滿意本次推廣活動, 並將問卷回收後資料進行統計如下, 以與會機關代表問卷統計過去三年採購數量以乙太網路交換器無線接取設備與路由交換器為大宗, 未來三年預計採購數量則仍以無線接取設備與乙太網路交換器為主, 然由於目前個資法初步實施, 亦有機關將於未來三年內採購資料遺失防護 (DLP) 與資料庫稽核保護 (DAM) 等個資相關資安設備表 17 資通設備採購數量統計項目過去三年內未來三年採購數量預計採購數量防火牆設備入侵偵測防禦防毒閘道器設備 9 10 垃圾郵件過濾 16 3 網頁應用防火牆

58 項目過去三年內未來三年採購數量預計採購數量應用軟體控管系統 2 5 乙太網路交換器路由交換器無線接取設備無線區網路由器 11 3 就機關未來是否會優先採購通過通傳會檢測之資通安全設備問項, 有 22% 之機關表示會有先採購通過通傳會檢測之產品,47% 之機關表示可能會優先採購,14% 表示不一定會優先採購, 原因調查如下表 18 機關是否會優先採購通過通傳會檢測之資通安全設備調查結果填答項目人數比例原因是 11 22% 1. 安全穩定有保障 2. 能確保防護效果及穩定性 3. 資訊安全日趨重要, 通過檢測者較有保障可能會 24 47% 1. 品質可信度高就會用 2. 視政策而定 3. 規範符合標準, 較容易說服機關主管 4. 視設備是否符合需求及預算額度 5. 視需求考量購買 6. 須考慮預算, 但會優先考慮採購 7. 需參考其他機關採購後, 設備使用狀況及成效不一定 7 14% 1. 採購時會考量功能規格價格市 52

59 填答項目人數比例原因場佔有率, 是否為領導廠商等, 若通過檢測廠牌增加, 則會列為較優先考量的因素之一 2. 若通過檢測設備與未通過之價格差異極小, 則當然採購通過之產品, 目前財政經費有限, 採購與預算須通盤考量 3. 國際大廠應不會採用 NCC 認證 4. 視功能售後服務或採購專案性質而定 5. 視與現有環境架構相容性與擴充性等因素否 0 0% 未填答 9 17% 半數以上機關代表表示會視功能需求考量採購之資通設備, 其次則依預算選購商品表 19 未優先採購通傳會檢測通過之資通設備原因調查結果填答項目 ( 可複選 ) 人數比例備註需有其他機關採用才會考慮跟進 10 20% 依據預算選購產品, 無論是否有通過國內 18 35% 外檢測相信國內外大廠才能有保障 9 18% 視功能需求考量採購 29 57% 53

60 填答項目 ( 可複選 ) 人數比例備註與否其他 6 12% 只有其他廠商未提供的功能國內廠商之品質令人無法信任沒有經費看政策而定與現有設備之相容性需相容於原設備系統機關採購資通安全設備之優先考量因素為功能與穩定度, 價位與售後服務部分則為次之考量選項表 20 採購資通安全設備優先考量因素填答項目 ( 可複選, 至多三項 ) 人數比例價位 22 43% 廠牌 14 27% 穩定度 28 55% 功能 35 69% 售後服務 25 49% 是否有國內外認證 13 25% 針對希望通傳會對於資通設備檢測技術規範可提供機關哪些協助該問項, 機關除了希望能將規範納入共同供應契約, 使機關可更便利購買到安全之產品外, 也希望能有更多廠商通過檢測, 使機關能有更多安全的產品可購買, 可有專屬規範網站可查詢規範通過檢測廠商清單等相關內容表 21 希望通傳會對於資通設備檢測技術規範可提供機關哪些協助填答項目 ( 可複選 ) 人數比例 54

61 針對機關所採購之資通設備皆能撰擬檢測技術規範, 進而協助機關購買到安全無虞之產品希望能有更多推廣活動, 使機關了解檢測技術規範內容希望更多廠商通過檢測, 使機關能有更多安全產品可購買希望將規範納入共同供應契約, 使機關可更便利購買到安全之產品希望可有專屬規範網站可查詢規範通過檢測廠商清單等相關內容 23 45% 26 51% 31 61% 32 63% 31 61% ( 一 ) 對於資通設備檢測技術規範的建議 1. 除硬體設備外, 希望未來能對軟體資安產品進行規範 2. 納入其他資通設備產品品項之品項, 以健全資安環境 3. 未來是否可將 Log 的不可竄改性 ( 產品證據不可否認性等特性 ) 納入檢測範圍, 以符合個資相關設備的選用 4. 建議將台銀共同供應契約的第三項 CC 認證選項以 NCC 進階型認證來取代, 原本第二項的 NCC 認證以 NCC 基本型認證來取代 5. 建議可邀請國內及國外大廠能加入檢測, 讓公務部門可以有更多的產品可供選擇 6. 檢測技術規範需與國際各國相互認證才有意義 7. 請列入資安設備採購規範要求, 供政府機關資安設備採購規格之訂定 8. 儘量將所有規範納入共同供應契約規範 55

62 ( 二 ) 對未來推廣的建議 1. 廠商機關都須了解本技術規範流程檢測差異, 提高廠商參與意願與機關採購意願 2. 納入共同供應契約, 免除機關尋找資通安全產品之困難於共同供應契約所採買的設備皆是通過規範檢測, 是穩定安全的設備 3. 加速輔導廠商, 提供機關更多設備選擇 4. 可考量利用資訊展及研討會推廣 5. 希望可至機關向所屬機關廣為推廣 6. 希望這項推廣活動愈來愈正向循環, 通過檢測的產品愈來愈多, 機制愈來愈健全, 謝謝你們的努力 7. 長期仍須輔導廠商通過 CC, 才能與國際接軌 8. 建議以一段時間 ( 如 2013 一年內 ) 以免費或極低優惠的 NCC 認證 ( 書面 + 實機檢測 ) 來吸引資安廠激勵前來參與認證, 如同 IPV6 認證, 之前以免費認證好幾年, 後來才以實施付費認證作業 56

63 柒檢討資通設備安全檢測技術規範本次除訂定二項資通設備安全檢測技術規範外, 並將目前已經訂定之檢測技術規範有關實機測試項目進行逐一比對, 詳參表 22, 並依據 101 年資通設備之安全檢測試辦結果, 以檢測研究計畫所訂定之資通設備安全檢測技術規範為基礎, 檢討網路型防火牆入侵偵測防禦系統 2 種現行安全檢測技術規範, 提出修正建議如表 23 表 24 詳細修改內容請參閱附件 5 附件 6 表 22 資通設備安全檢測技術規範實機測試項目 O 基礎 & 進階適用 V 僅進階適用類別 Fire- 項目 wall IDP Anti- Virus Anti- Spam WAF AC L2 Switch L3 Switch AP Wireless- Router 安全功能測試封包過濾 O O 逃脫技巧偵測異常 / 攻擊偵測異常 / 攻擊事件紀錄 O O O O 安全功能測試躲避攻擊病毒偵測流量內容統計流量控管規則安全事件紀錄 O O O O V O O O O O 安全管理 O O O O O O O O O O 57

64 O 基礎 & 進階適用 V 僅進階適用類別 Fire- 項目 wall IDP Anti- Virus Anti- Spam WAF AC L2 Switch L3 Switch AP Wireless- Router 線上更新 O O 備援管理 V O O V 組態備援管理 V V 具備 IPv6 封包檢測 V 運作模式切換惡意網址過濾 V V 郵件內容反釣魚網址過濾 V 網路偵測與預防機制 V 網路用戶認證機制 V 安全功能測試即時流量內容監控安全稽核功能資料流控制可靠時戳 O O O O 密碼支援 58

65 O 基礎 & 進階適用 V 僅進階適用類別 Fire- 項目 wall IDP Anti- Virus Anti- Spam WAF AC L2 Switch L3 Switch AP Wireless- Router 功能使用者識別與鑑別功能 O 虛擬區網 (VLAN) 保護功能 V 自動登出功能 O 路由認證保護 O 路由被動介面 O 稽核資料產出 O O 與稽核伺服器失去連線後的應變措施 O O 重播偵測 O 安全功能測試重送攻擊偵測待測物的安全功能自測認證失敗控制功能 O O O 59

66 O 基礎 & 進階適用 V 僅進階適用類別 Fire- 項目 wall IDP Anti- Virus Anti- Spam WAF AC L2 Switch L3 Switch AP Wireless- Router 使用者識別及授權功能 O O 通行碼逾期功能 O O 更新通行碼重新認證功能 O O 登入畫面保密功能 O 802.1X 使用者識別及認證功能 O O 資源最大配額 O O 安全功能初始會談鎖定 O O 安全功使用者初始階段中斷鑑別失敗控制功能 O O O 能測試安全功能自測安全角色 O O 金鑰保護 V 60

67 O 基礎 & 進階適用 V 僅進階適用類別 Fire- 項目 wall IDP Anti- Virus Anti- Spam WAF AC L2 Switch L3 Switch AP Wireless- Router 資料流控制 V 安全屬性初始值 V 吞吐量 O O O O O O O V V V 壓力測試最大同時連線數最大建立連線速率最大虛擬 (VLAN) 容量 V V V V V V V V V V V V V 最大 MAC 容量 V 阻斷式攻擊 O O O O O O O O 堅實測試穩定測試遠端管理異常流量異常流量測試非正常關機復原真實流量測試資料來源 : 本計畫自行整理 V V V V V V V V O O O O O O O O O O V V O O O O O O O O O O 61

68 表 23 網路型防火牆設備檢測技術規範檢討修改內容章節原文 (9) 測試平台產生大小為及 1518 位元組之網路封包, 將其依 IMIX 之比例 57% 7% 16% 及 20% 混合, 時間至少 60 秒測試平台送出大量的網路流量, 持續 600 秒攻擊待測物開啟的連接埠, 並阻斷其服務當攻擊流量低於或等於待測物規格說明之吞吐量最大值時, 安全功能應正常運作以測試平台產生之服務或協定異常流量至少 10 種作為建議修改內容 (9) 測試平台產生大小為及 1518 位元組之網路封包, 並依 IMIX 之比例 57% 7% 16% 及 20% 混合, 時間為 60 秒測試平台產生待測物規格說明之最大吞吐量 300% 的 HTTP 封包, 持續 600 秒攻擊待測物開啟的連接埠以阻斷其服務, 待測物不能發生當機重開或斷線之情況當攻擊結束後, 安全功能應正常運作以測試平台針對待測物提供之每項服務皆產生 10 種異修改原因測試時間至少 60 秒的描述過於模糊, 不同實驗室間可能使用 60 秒 120 秒或 300 秒進行測試造成測試標準不一壓力測試之測項對待測物加壓之時間應有一致的標準, 故於技術規範中將加壓之時間至少 60 秒改為定值 60 秒進行壓力測試未清楚定義何謂阻斷式攻擊流量之內容與流量大小, 將造成測試標準不一建議指定待測物規格說明最大吞吐量 300% 的 HTTP 封包為阻斷式攻擊流量通常待測物會提供至少 1 種以上之服務, 但規範原文可能造成 (1) 每項服務需 62

69 章節原文測試樣本待測物運作期間不正常關閉電源時, 經重新啟動後, 待測物應可復原到非正常關閉電源前的最後狀態 (4) 流量最大速度在測試期間需達待測物規格說明處理能力最大值之 50% 建議修改內容常流量作為測試樣本待測物運作期間不正常關閉電源時, 經重新啟動後, 應復原到非正常關閉電源前的狀態且須符合下列要求 (1) 應保留最後設定的系統組態 (2) 應保留斷電時間點前最後 5 分鐘的日誌檔案 ( 含系統日誌及安全事件日誌 ) (3) 能以最後設定的系統組態正常開機 (4) 流量之平均速率在測試期間應維持待測物規格說明處理能力最大值之修改原因要至少 10 個測試樣本或 (2) 全部服務至少有 10 個測試樣本等兩種不同解讀如為後者之知況, 若 10 個測試樣本都只針對其中一種服務進行測試, 將無法驗證其他服務的安全狀態恢復到關閉電源前的最後狀態描述過於模糊, 建議修正為待測物斷電後需回復至以下要求 :(1) 最後設定的系統組態 (2) 保留斷電時間點前最後 5 分鐘的日誌檔案以及 (3) 可使用最後設定的系統組態正常開機原文將造成用來測試待測物的流量介於 50% ~ 範圍, 當標準訂為 50% 時, 對待測物而言相對容易通 63

70 章節原文建議修改內容修改原因以上 50% 過, 但標準超過 100% 時, 則待測物形同處於阻斷式攻擊的狀況下此外, 真實環境的網路流量呈現非固定數值, 為保留真實流量測試的精神與意義, 穩定測試不應採用固定百分比的方式進行流量重播為取得一致的測試標準, 重播之網路流量須以線性放大或縮小之原則使其維持待測物規格說明處理能力最大值之 50% 表 24 入侵偵測防禦設備檢測技術規範檢討修改內容章節原文建議修改內容修改原因 (1) 基礎型測試樣 (1) 必測樣本 : 自本 : 自 NVD ( 美國 NVD ( 美國國家弱國家弱點資料庫 ) 篩選待測物送測前一個月起一年內 CVSS 大於或等於 7.0 分且與 IDP 相關弱點數量的 5% 為依據由測試儀點資料庫 ) 篩選待測物送測前一個月起一年內 CVSS 7.0 且與 IDP 設備相關之弱點, 以此數量的 5% 為依據, 由測試平測試樣本部份, 進階型之測試樣本鑑別度不足, 故將樣本部分調整為必測樣本與加測樣本, 提高進階型設備之鑑別度器或攻擊程式產生台或儀器產生大於至少等於該數量之或等於該數量之測 64

71 章節原文建議修改內容修改原因攻擊測試樣本試樣本 (2) 進階型測試樣 (2) 加測樣本 : 除本 : 自 NVD ( 美國上述必測樣本外, 國家弱點資料庫 ) 自 NVD ( 美國國家篩選待測物送測前弱點資料庫 ) 篩選一個月起三年內待測物送測前二至 CVSS 大於或等於三年內 CVSS 7.0 分且與 IDP 相 7.0 且與 IDP 設備關弱點數量的相關之弱點, 以此 10% ( 一年內之弱數量的 5% 為依點數量必須佔半數據, 由測試平台或以上 ) 為依據由儀器產生大於或等測試平台產生至少於該數量之測試樣等於該數量之攻擊本測試樣本 (1) 設定待測物對 (1) 基礎型測試 : 異常及攻擊流量進使用測試平台將攻行阻擋, 使用測試擊測試樣本之必測平台將攻擊測試樣樣本自 A 埠送至基本自 A 埠送至待測礎型待測物,B 埠除測試樣本外, 增加考量物,B 埠無法收到無法收到異常或攻漏判通過率提升, 不同弱異常及攻擊流量之擊流量之封包, 並點測試樣本 set 涵蓋度封包, 並可記錄此可記錄此異常或攻等, 提高進階型設備更嚴異常及攻擊事件擊事件基礎型待謹之鑑別度設計基礎型及進階型待測物對於攻擊測試測物, 對於攻擊測樣本之漏判率須小試樣本之漏判率皆於或等於 10% 須小於或等於 (2) 進階型測試 : 65

72 章節原文 10% (2) 使用測試平台自 A 埠產生無異常或攻擊行為之樣本至少 5000 筆,B 埠可正常接收到封包且不會產生異常及攻擊事件之紀錄基礎型及進階型待測物之誤判率皆須小於或等於 5% (9) 測試平台產生大小為及 1518 位元組之網路封包, 將其依 IMIX 之比例 57% 7% 16% 及 20% 混合, 時間至少 60 秒測試平台送出大量的網路流量, 持續 600 秒攻擊待測物開啟的連接埠, 並建議修改內容使用測試平台將攻擊測試樣本之必測樣本及加測樣本分別自 A 埠送至進階型待測物,B 埠無法收到異常或攻擊流量之封包, 並可記錄此異常或攻擊事件待測物對於必測樣本之漏判率須小於或等於 7%, 對於加測樣本之漏判率須小於或等於 10% (9) 測試平台產生大小為及 1518 位元組之網路封包, 並依 IMIX 之比例 57% 7% 16% 及 20% 混合, 時間為 60 秒測試平台產生待測物規格說明之最大吞吐量 300% 的 HTTP 封包, 持續 66 修改原因測試時間至少 60 秒的描述過於模糊, 不同實驗室間可能使用 60 秒 120 秒或 300 秒進行測試造成測試標準不一壓力測試之測項對待測物加壓之時間應有一致的標準, 故於技術規範中將加壓之時間至少 60 秒改為定值 60 秒進行壓力測試未清楚定義何謂阻斷式攻擊流量之內容與流量大小, 將造成測試標準不一建議指定待測物規格

73 章節原文阻斷其服務當攻擊流量低於或等於待測物規格說明之吞吐量最大值時, 安全功能應正常運作以測試平台產生之服務或協定異常流量至少 10 種作為測試樣本待測物運作期間不正常關閉電源時, 經重新啟動後, 待測物應可復原到非正常關閉電源前的最後狀態建議修改內容 600 秒攻擊待測物開啟的連接埠以阻斷其服務, 待測物不能發生當機重開或斷線之情況當攻擊結束後, 安全功能應正常運作以測試平台針對待測物提供之每項服務皆產生 10 種異常流量作為測試樣本待測物運作期間不正常關閉電源時, 經重新啟動後, 應復原到非正常關閉電源前的狀態且須符合下列要求 (1) 應保留最後設定的系統組態 (2) 應保留斷電時間點前最 67 修改原因說明最大吞吐量 300% 的 HTTP 封包為阻斷式攻擊流量通常待測物會提供至少 1 種以上之服務, 但規範原文可能造成 (1) 每項服務需要至少 10 個測試樣本或 (2) 全部服務至少有 10 個測試樣本等兩種不同解讀如為後者之知況, 若 10 個測試樣本都只針對其中一種服務進行測試, 將無法驗證其他服務的安全狀態恢復到關閉電源前的最後狀態描述過於模糊, 建議修正為待測物斷電後需回復至以下要求 :(1) 最後設定的系統組態 (2) 保留斷電時間點前最後 5 分鐘的日誌檔案以及 (3) 可使用最後設定的系統組態正常開機

74 章節原文 (4) 流量最大速度在測試期間需達待測物規格說明處理能力最大值之 50% 以上建議修改內容後 5 分鐘的日誌檔案 ( 含系統日誌及安全事件日誌 ) (3) 能以最後設定的系統組態正常開機 (4) 流量之平均速率在測試期間應維持待測物規格說明處理能力最大值之 50% 修改原因原文將造成用來測試待測物的流量介於 50% ~ 範圍, 當標準訂為 50% 時, 對待測物而言相對容易通過, 但標準超過 100% 時, 則待測物形同處於阻斷式攻擊的狀況下此外, 真實環境的網路流量呈現非固定數值, 為保留真實流量測試的精神與意義, 穩定測試不應採用固定百分比的方式進行流量重播為取得一致的測試標準, 重播之網路流量須以線性放大或縮小之原則使其維持待測物規格說明處理能力最大值之 50% 68

75 捌附件一附件 1 無線接取設備資通安全檢測技術規範二附件 2 無線接取設備採購參考指引三附件 3 無線區域網路路由器資通安全檢測技術規範四附件 4 無線區域網路路由器採購參考指引五附件 5 網路型防火牆資通安全檢測技術規範六附件 6 入侵偵測防禦系統資通安全檢測技術規範七附件 7 期中審查委員意見與回覆八附件 8 期末審查委員意見與回覆九附件 9 期末審查會議簡報 69

76 70

77 附件 1 無線接取設備資通安全檢測技術規範

79 附件 2 無線接取設備採購參考指引

81 附件 3 無線區域網路路由器資通安全檢測技術規範

83 附件 4 無線區域網路路由器採購參考指引

85 附件 5 網路型防火牆資通安全檢測技術規範

87 附件 6 入侵偵測防禦系統資通安全檢測技術規範

89 附件 7 期中審查委員意見與回覆

91 資通設備之安全檢測規範增修訂及推廣計畫期中審查委員會委員與 NCC 意見與回覆委員意見回覆內容頁碼 / 項次 1. 建議期中報告之檢測實驗室測試流程圖, 應有起始終止, 其中申請資料不齊全時, 補正送件之流程應回歸送件處, 檢測不合格時, 應有後續處理流程, 完整之測試流程圖才容易讓測試廠商遵循 2. 期中報告依台銀共同供應契約 100/9/20~101/7/21 之採購量分析含加值項目 CC 之採購量較佳, 應加檢定分析是否達顯著水準, 較俱說服力 3. 資通安全設備檢測技術規範推廣建議應更具體 4. 無線基地台修正為無線接取設備 5. 壓力測試 : 網路流量, 延遲制定之依據 6. 穩定測試 : 真實流量之大小依據 ; 判定標準, 無網路中斷或服務之小時依據此流程僅為試測期間之流程, 故不會有檢測不合格後之處理流程, 完整之檢測流程已載明於審驗作業規範中, 並於期中報告中補充說明此部分僅針對該產品採購數量進行統計, 故就採購數量而言確實以含加值項目 CC 項次較多, 由於該項次與往年不盡相同, 故無法進行顯著差異比較謝謝委員指教, 已將相關推廣辦法修改於期中報告中名稱已修正為無線接取設備依 NCC 建議, 壓力測試之測項對待測物加壓之時間應有一致的標準, 故於技術規範中將加壓之時間至少 60 秒改為定值 60 秒進行壓力測試依據國內檢測實驗室 ( 交大網路測試中心 ) 真實流量穩定測試認證之通過標準為連續 120 小時待測物不中斷服務或當機, 經與業界先進討論進而了解一般業界產品出貨前穩定測試平均為 72 小時, 檢測技術規範考量資安重要性, 故以更嚴格之標準 168 及 336 小時進行穩定測試 P37 圖 10 P28-40 已於全篇文字進行修改附件 (7) 附件 (1) 附件 7-1

92 委員意見回覆內容頁碼 / 項次 7. 已通過 FIPS 或 CC 檢測之產品, 是否僅須書面審查即可? 宜從政策面再考慮其影響性 8. 無線基地台 accesspoint 易造成一般使用者誤解, 建議可改為無線存取器或無線接取器依標準局用語 9. 採購參考指引是否與研考會曾提出的參考指引相配合? 或不須再另訂參考指引 10. 專有名詞之中譯宜參照標準並敘明出處 11. 文件品質請在結案時再加強, 如部份中譯不順, 另文件中有錯誤! 找不到參照來源請確認交互參照連結 12. 非正常關閉電源前的最後狀態, 最後狀態定義不明確此部分非屬研究計畫範圍內, 然就政策面而言, 目前各國檢測標準於產品輸入至該國前皆須依據該國之檢測標準進行檢測, 並不會有違反國際約定之問題, 以 NCC 之角度仍維持所有國內外產品一視同仁需進行相關檢測作業名稱已修正為無線接取設備已於全篇文字進行修改研考會訂定之資安產品選擇參考指引乃為整體資安架構自風險分析控制措施產品採購需求等階段進行說明, 本計畫之採購參考指引則為各資安產品個別分析, 包含系統架構運作原理說明等, 與研考會之參考指引並無重複之處將依據經濟部標檢局國家標準檢索系統 ( 或 t=inf) 之中譯名詞修訂規範內容的中譯專有名詞已修訂相關報告誤植部分, 未來將加強品質控管修正規範測試要求待測物斷電後, 需回復至以下要求 : (1) 最後設定的系統組態 (2) 保留斷電時間點前最後 5 分鐘的日誌檔案 ( 含系統日附錄 ~3-3 附件 (3) 附件 7-2

93 委員意見回覆內容頁碼 / 項次誌與安全日誌 ) (3) 可使用最後設定的系統組態正常開機 13. 至少包含 10 種應用類型舉例 : 附件 1-46I.Others J.web:http, 需交換此 2 項 (6) 所使用之流量必須包含最近 2 週, 是必須是最近 2 週之流量, 或包含最近 2 週即可 14. 委託案工作項目, 六檢討資通設備現行安全檢測技術規範至少包含網路無防火牆及 IDP 技術規範修正, 請依實際檢測經驗, 重修正之 15. FIPS 不屬於本會職掌資通安全範圍, 檢測項目請排除之 16. 基礎型及進階型於 CC 及實測之審查及測試項目建議有區隔尤其對低價之產品 17. 建議壓力測試堅實測試及穩定測試能加註英文名稱 18. 簡報第 26 頁壓力測試判定標準 : 待測物延遲或當機之狀況建議明確說明延遲到那種狀況將判定不合格 (1) 將修正規範使 smtp pop3 imap ftp smb http https dns snmp 等成為必測協定 (2) 已修正規範為必須是最近 2 周之流量根據日前檢測實驗室試測結果, 針對通過率偏低之測項進行檢討, 並參考委員及檢測實驗室提出之修改建議進行測項評估與修訂, 詳細之修改內容將於期末審查時一併提供將依委員建議移除 FIPS 相關檢測項目已於附件一檢測規範中將書面審查之項目安全功能介面 (TSF) 間可信賴通道與可信賴路徑調整為進階型審查項目, 以明顯區隔基礎與進階型之差異已將上述測試名稱加註英文名稱如下 : 壓力測試 (StressTest) 堅實測試 (RobustnessTest) 穩定測試 (StabilityTest) 簡報內容誤植延遲一詞, 經確認檢測技術規範之壓力測試之測項並無此項要求附件 1-41~ 附件 (2) 及 (5) P63-74 附件 1-19 附表附件 ~6.3.4 壓力測試之測項並無此項要求附件 1-27 表 2 附件 7-3

94 委員意見回覆內容頁碼 / 項次 19. 簡報第 29 頁 : 穩定測試可註記 169 及 336 小時的依據標準或國內外經驗 20. 附 1-2 之第 5 項第 (2) 條能加入 WPA 與 WPA2 21. 附 1-2 之第 9 項第 (12) 條建議調整為 SHA-1 及 SHA-2 系列函數轉換字元 22. 附 1-42 之第 (3)(4) 建議說明 50% 之依據為何? 23. I 附件之頁碼編排 ( 同問題 6) 依據國內檢測實驗室 ( 交大網路測試中心 ) 真實流量穩定測試認證之通過標準為連續 120 小時待測物不中斷服務或當機, 經與業界先進討論進而了解一般業界產品出貨前穩定測試平均為 72 小時, 檢測技術規範考量資安重要性, 故以更嚴格之標準 168 及 336 小時進行穩定測試附件 (1) 將依委員建議修訂附件 1-14 附表 1-2 之第 5 項第 (2) 條將依委員建議修訂附件 1-16 附表 1-2 之第 9 項第 (12) 條於真實網路環境中, 網路流量呈現非固定數值, 為保留真實流量測試的精神與意義, 穩定測試將不採用固定百分比的方式進行流量重播為取得一致的測試標準, 重播之網路流量須以線性放大或縮小之原則使其維持待測物規格說明處理能力最大值之 50% 假設錄得的真實網路流量之平均值 XMbps, 待測物於壓力測試所測得之實際最大吞吐量為 YMbps, 則重播測試設定的重播倍數 Y Z = 2X 將依委員建議修訂附件 (3)(4) 整份文件已進行修調附件 7-4

95 委員意見回覆內容頁碼 / 項次項次 ( 一 )( 二 )( 三 ) 之縮排請調整將依委員建議修訂整份文件已進行修調 25. 表 1WLAN 設備的共同威脅將依委員建議修訂, 已將表格內容翻譯成中文 P7-10 表 3 建議翻譯成中文 26. 書面審查類別中安全功能設計類別似缺安表 5 僅表示書審的項目, 實際安全功能測試項目列於表 6 P14-17 表 6 全功能測試項目 27. 實機檢測類別安全功能測試類別 2. 避免與稽核伺服器失去連線後的應變措施略有語病, 建議刪除避免將依委員建議修訂 P19 表 8 安全功能測試類別第 2 項 28. 避免與稽核伺服器失去連線後的應變措施本頁有此項目之判定標準 : 待測物的安全功能應包含當收集稽核資訊的外部儲存裝置失去連線時, 能夠執行一些應變措施或任務的指派建議刪除避免 29. 重送偵測項目待測物的安全功應支援缺能字 30. 鑑別失敗控制功能項目待測物應具備下列功能 : 1. 當輸入通行碼超過最大錯誤次數時, 會封鎖管理介面一段時間, 使用正確帳號通行碼則可正常登入 2. 當輸入錯誤通行碼超過最大錯誤次數且完全封鎖管理介面後, 如使用正確將依委員建議修訂 P19 表 8 安全功能測試類別第 2 項將依委員建議修訂 P19 表 8 安全功能測試類別第 3 項將依委員建議修訂, 適當調整文字說明附件 7-5 P20 表 8 鑑別失敗控制功能項目

96 委員意見回覆內容頁碼 / 項次帳號通行碼也無法登入待測物 1.&2. 說明似乎不易理解參考附件無線基地台專家學者建議更名為無線名稱已修正為無線接取設備已於全篇文字進行修改存取系統或是無線接取器尚待本會決定 32. 封面將依委員建議修訂附件 1 封面定訂日期應更正為訂定日期 33. 封面通傳技字第應改為通傳資技字第將依委員建議修訂附件 1 封面 34. 附件基礎型無線基地台避免與稽核伺服器失去連線後的應變措施建議刪除避免 35. 附件 HTTPS 與 SSL/TLS 合併使用建議前面增加一條 SSL 說明 36. 附件安全功能需求內容是否符合附表 1-2 安全功能需求之書面審查內容建議改為內容是否符合附表 1-2( 安全功能需求之書面審查內容 ) 37. 附件 1-25 表 2 實機測試之類別項目及判定標準避免與稽核伺服器失去連線後的應變措施建議刪除避免將依委員建議修訂附件將依委員建議修訂, 已於用語釋義增加 SSL 說明附件 ~5.7. 將依委員建議修訂附件將依委員建議修訂附件 1-25 外部稽核伺服器失去連線後的應變措施項目附件 7-6

97 委員意見回覆內容頁碼 / 項次 38. 附件 1-26 表 2 實機測試之類別項目及判定標準 (1) 當輸入通行碼超過最大錯誤次數時, 會封鎖管理介面一段時間, 使用正確帳號通行碼則可正常登入 (2) 當輸入錯誤通行碼超過最大錯誤次數且完全封鎖管理介面後, 如使用正確帳號通行碼也無法登入待測物請更加說明清楚如何區分封鎖管理介面一段時間與完全封鎖管理介面參考附件 1-33 將依委員建議修訂, 適當調整文字說明附件 1-25 鑑別失敗控制功能項目 (1) (2) 39. 附件避免與稽核伺服器失去連線後的應變措施建議刪除避免 40. 附件吞吐量測試 (7) 原文測試平台產生大小為及 1518 位元組之網路封包, 將其依 IMIX 之比例 57% 7% 16% 及 20% 混合, 時間至少 60 秒惟至少 60 秒的描述保留了相當大的模糊空間, 不同實驗室間可能使用 60 秒 120 秒 300 秒等不同參數造成通過標準不一建議 : 測試平台產生大小為及 1518 位元組之網路封包, 將其將依委員建議修訂附件將依委員建議修訂, 規範已修訂為以固定 60 秒來進行測試附件 (7) 附件 7-7

98 委員意見回覆內容頁碼 / 項次依 IMIX 之比例 57% 7% 16% 及 20% 混合, 時間 60 秒 41. 附件表格應加入編號表格內容建議翻成中文將依委員建議修訂, 表格內容已翻譯成中文附件附件 1-41 建議圖 9 中繪出 A 埠 B 埠 43. 附件原文待測物運作期間不正常關閉電源時, 經重新啟動後, 待測物應可復原到非正常關閉電源前的最後狀態惟恢復到最後狀態描述過於模糊建議 : 具體指定電源恢復時 (1) 系統設定狀態 (2) 日誌檔 ( 含安全日誌與系統日誌 ) 應恢復到電源不正常關閉前狀態已修訂規範 (7) 流量重播平台將網路流量透過無線界面重播至待測物, 使內文與圖 9 相符合 ( 同問題 12) 修正規範測試要求待測物斷電後, 需回復至以下要求 : (4) 最後設定的系統組態 (5) 保留斷電時間點前最後 5 分鐘的日誌檔案 ( 含系統日誌與安全日誌 ) 可使用最後設定的系統組態正常開機附件 (7) 附件附件 (3)(4) 僅要求流量的需為待測物最大值之 50% 以上為流量低標, 但未制定流量高標為何, 這樣的指定方法使得實際執行測試時, 用來測試待測物的流量標準會介於 50%~ %( 錄製測試樣本的真實網路環境效能指標遠大於待測物時, 可能發生效能指標數倍的狀況, 故以 % 代表這個不確定值 ); 當標準為 50% 時, 對待測物而言相對容易通 ( 同問題 22) 於真實網路環境中, 網路流量呈現非固定數值, 為保留真實流量測試的精神與意義, 穩定測試將不採用固定百分比的方式進行流量重播為取得一致的測試標準, 重播之網路流量須以線性放大或縮小之原則使其維持待測物規格說明處理能力最大值之 50% 假設錄得的真實網路流量之平均值 XMbps, 待測物於壓力測附件 (3)(4) 附件 7-8

99 委員意見回覆內容頁碼 / 項次過 ; 當標準超過 100% 時, 試所測得之實際最大吞吐量為待測物形同長時間處於阻斷式攻擊的狀況下, 有過 YMbps, 則重播測試設定的重於苛求之嫌, 同一份測試 Y 播倍數 Z = 2X 規範將有不同的通過標準建議 : 現今流量重播測試工具可控制, 測試時發送流量的效能指標數據, 建議基於壓力測試中所測得的結果作為指定標準, 例如指定壓力測試結果的 95% 為一致測試標準, 讓負責執行檢測業務的實驗室直接參照進行設定即可 45. 附錄 1-1 附錄一安全功能介面表, 文件中有錯誤! 找不到參照來源請確認交互參照連結 46. 附錄 2-1 附錄二子系統描述與分類表, 文件中有錯誤! 找不到參照來源請確認交互參照連結 47. 附錄 3-1 附錄三安全架構描述表, 透過 TSFI_GUI 來執行管理功能石, 應更正為透過 TSFI_GUI 來執行管理功能時將依委員建議修訂附錄 1-1 將依委員建議修訂附錄 2-1 將依委員建議修訂附錄 3-1 附件 7-9

100 附件 7-10

101 附件 8 期末審查委員意見與回覆

102

103 國家通訊傳播委員會資通設備之安全檢測規範增修訂及推廣計畫委託研究案 1. 期末報告書第 45 頁, 陸舉辦推廣說明會, 請說明說明會日期及參與人員, 並檢附佐證資料 2. 期末報告書第 40 頁至 43 頁, 所舉辦座談會請詳細說明參與人員, 並檢附佐證資料 3. 簡報 13 頁應修正第二次及第三次座談會參與人員是否同一批人員, 請澄清之, 並修正簡報內容 4. 簡報第 7 頁及第 8 頁, 有關期中修正回覆, 請加記已於期末報告書詳細回覆期末報告之委員意見回覆亦應一併納入期末報告中 ( 使用列表方式呈現 ) 5. 檢討現行安全檢測技術規範中, 相關修正章節內容, 應明確說明本計畫兩種新技術規範也一併比照制訂 6. 將簡報修正後納入期末報告書中期末審查意見委員意見回覆內容頁碼 / 項次依委員意見新增相關佐證資 P50-53 料附件 9 7. 期末報告書 P46-P51 與 P43 意見交流之回答 2(A2) 預估台灣資安設備商有多少比率可通過? 若予以輔導後可以通過多少? 依委員意見新增相關佐證資料 P41-47 附件 9 依委員意見新增說明附件 9-7 依委員意見新增說明附件 9-4 依委員意見新增說明依委員意見加入期末簡報內容於期末報告附件 9 由於目前僅有一家 IDP 類產品廠商以六個系列產品送測, 較難預估總體之通過率若以今年四月份試辦期間,Firewall 及 IDP 的測試結果推估, 幾乎沒有廠商可以一次就通過測項, 若經輔導後, 透過 3~4 次的韌體調整與重測, 約有 1/4 的廠商可以通過測試 P12 附件 9 附件 8-1

104 委員意見回覆內容頁碼 / 項次 50 萬元主要是針對進階型產品檢測流程所推估出的價格, 基礎型產品之檢測費用會較低收費標準是由 NCC 所核定, 本協會將盡力協調檢測實驗室與 NCC, 共同協商出送測廠商可以接受的合理價格 8. 期末報告 P41 之 2 與 A2 中, 說明 100 年有 8 項單價較高, 101 年有 2 項單價較低以 P51 檢測費用 50 萬元以內, 對一般台灣資安廠商會是很大負擔, 可否再思考降低 50 萬元之檢測費?( 如基礎檢測少就應較便宜!) 9. 建議 P46-P51 名詞中英名對照表例 :1. 吞吐量 2. 躲避攻擊 2. 另名詞一致性 : 如 P46 P32 IDP 入侵偵測防禦系統而在 P46 P51 為檢測項目而不是系統 10. P52 穩定測試 : 利用真實網路流量如何建立及檢測真實網路流量之環境? 11. P51: 可否補充說明基礎 & 進階相對之 EAL 等級為何? 12. 表 17 置於陸舉辦推廣說明會, 可再斟酌 13. 表 18 亦宜斟酌放置章節期末報告原表 17 是舉例說明各類產品的實機檢測項目之異同, 相關名詞於規範中第一次出現時, 皆有在其中譯名詞後註記英文原文, 相關名詞中譯是以標檢局的翻譯為依據, 謝謝委員的提醒及建議如以重播的方式來進行真實流量測試, 真實網路環境所錄製的測試流量樣本, 可統一由 NCC 提供給各檢測實驗室, 檢測用的題庫相同可確保測試結果之一致性前八份產品的技術規範, 基礎型測試可對應至 EAL2, 進階型測試可對應至 EAL4 新制定兩份技術規範主要參考的 CC/PP 是符合 EAL1 的等級, 因此, 兩份規範基礎型及進階型測試皆對應至 EAL1 的等級依委員意見將表格挪移至柒檢討資通設備安全檢測技術規範, 表 22 由於共同準則與 NCC 檢測技術規範差異比較表, 乃為推廣說明會之說明彙整文件, 原檢測技術規範參考共同準則部分已有說明, 故比較部分仍維附件 8-2 已於全篇文字進行修調 P63 表 22

105 委員意見回覆內容頁碼 / 項次持原置放位置, 謝謝委員指教 14. 目次可稍加調整, 例如 : 表 21 未優先... 結果 ( 可複選 ) 宜將 ( 可複選 ) 刪除 15. 檢測項目之取選宜增加 rationales 16. 本委託研究案目標之一為推動政府機關選用符合國家通訊傳播委員會安全檢測規範之資通訊設備, 惟研究報告中仍未看到研擬出有效的可行的推動方案 17. 本會推動資通設備安全檢測, 應為確保全國使用者之資通設備具安全性, 而非僅針對政府機關依委員意見調整於文件中 P59-60 表謝謝委員的建議, 檢測技術規 P12 範檢測項目之制定主要是參考與該項資通安全產品功能相近之共同準則的保護剖繪, 並根據台銀共同供應契約所列之主要產品規格及功能, 選取適當之安全功能需求 (SFR), 作為該技術規範主要的檢測項目所有選定之 SFR 皆須進行書面審查, 而部分 SFR 則需要實機檢測來確保其安全功能書面審查部分以產品出廠後, 最主要且直接影響產品安全功能及品質的項目進行審查上述說明已補充至期末報告中現階段之檢測技術規範已經發展告一個段落, 首要任務即是將規範推廣至產業及機關, 讓機關願意採購通過審驗產品, 讓業者願意將產品送驗, 未來可配合共同供應契約採購期程進行試測作業推廣, 進而推動規範納入台銀共同供應契約及示範性機關使用通過檢測設備, 以期達到整體推廣作業之正向循環本研究計畫目標乃為 1. 增加政府機關選用符合本會安全檢測規範之資通設備,2. 推動政府機關選用符合本會安全檢測規範之資通設備,3. 檢討現附件 8-3

106 委員意見回覆內容頁碼 / 項次行資通設備安全檢測技術規範, 希望透過推動政府機關選用通過檢測之資通設備, 進而影響民間起而效尤, 可同步提升廠商研發能力與產值 18. 研究報告中之申請檢測作業流程圖應可畫的更簡便及精準, 備供申請廠商易於了解 19. 如何以檢測實績帶動設備商機關採購參與檢測, 採購之標的及意願 20. 如何輔導設備商參與檢測及易於了解試測流程部分已依據委員建議調整, 可用於明年度試測作業, 另申請檢測作業流程圖, 為 NCC 已審核並公告之版本, 故將呈核另行確認是否公告現階段已有廠商通過 NCC 審驗, 除可透過通過檢測設備廠商與機關使用經驗分享, 強化檢測品質與優勢, 並可配合共同供應契約採購期程進行試測作業, 進一步推動示範性機關使用通過檢測設備, 使整體技術規範推廣走向正面循環, 才得以持續提升我國整體資訊安全與推動產業發展可透過通過檢測之設備廠商對於提升產品優勢與競爭力之經驗分享, 與示範性機關採購通過檢測之資通設備後所獲得之助益, 供需雙方之經驗分享擴散, 強化通過檢測之產品品質與優勢, 有助於吸引更多資安業者加入檢測行列, 共同研發更安全優質之資通設備產品 P36.38 圖 9.11 附件 8-4

107 附件 8-5

108 附件 9 期末審查會議簡報

109

110 附件 9-1

111 附件 9-2

112 附件 9-3

113 附件 9-4

114 附件 9-5

115 附件 9-6

116 附件 9-7

117 附件 9-8

118 附件 9-9

119 附件 9-10

120 附件 9-11

121 附件 9-12

122 附件 9-13

123 附件 9-14

124 附件 9-15

125 附件 9-16

126 附件 9-17

127 附件 9-18

128 附件 9-19

129 附件 9-20

130 附件 9-21

131 附件 9-22

132 附件 9-23

133 附件 9-24

134 附件 9-25

135 電信技術規範檢驗規範資通安全 0000 (IS0000-0) 訂定日期 101 年 12 月 10 日通傳資技字第號無線接取設備資通安全檢測技術規範 ( 草案 ) 執行單位 : 中華民國資訊軟體協會中華民國 101 年 12 月

136

137 目次 1. 概說... 附件適用範圍... 附件安全等級... 附件基礎型無線接取設備... 附件進階型無線接取設備... 附件參考標準... 附件用語釋義... 附件技術要求... 附件書面審查類別... 附件安全標的... 附件安全功能設計... 附件書面審查類別之項目及判定標準... 附件安全標的... 附件安全功能設計... 附件實機測試類別... 附件安全功能測試 (Security Functionality Test)... 附件壓力測試 (Stress Test)... 附件堅實測試 (Robustness Test)... 附件穩定測試 (Stability Test)... 附件實機測試類別之項目及判定標準... 附件安全功能測試... 附件壓力測試... 附件堅實測試... 附件穩定測試... 附件 1-40 附件 1-1

138 圖次圖 1 稽核測試接續示意圖... 附件 1-28 圖 2 重送攻擊偵測接續示意圖... 附件 1-30 圖 3 可信賴更新測試接續示意圖... 附件 1-31 圖 X 使用者識別及鑑別功能測試接續示意圖... 附件 1-34 圖 5 安全管理測試接續示意圖... 附件 1-36 圖 6 吞吐量測試接續示意圖... 附件 1-38 圖 7 異常流量測試接續示意圖... 附件 1-39 圖 8 流量錄製接續示意圖... 附件 1-41 圖 9 流量重播接續示意圖... 附件 1-41 附件 1-2

139 表次表 1 書面審查之類別項目及審查內容... 附件 1-11 表 2 實機測試之類別項目及判定標準... 附件 1-24 附件 1-3

140 附表次附表 1-1 設備規格之書面審查內容... 附件 1-12 附表 1-2 安全功能需求之書面審查內容... 附件 1-13 附表 1-3 安全功能規格之書面審查內容... 附件 1-20 附表 1-4 設計安全性之書面審查內容... 附件 1-20 附表 1-5 安全架構之書面審查內容... 附件 1-21 附表 1-6 安全指引之書面審查內容... 附件 1-22 附件 1-4

141 附錄附錄一安全功能介面表... 附錄 1-1 附錄二子系統描述與分類表... 附錄 2-1 附錄三安全架構描述表... 附錄 3-1 附件 1-5

142 附件 1-6

143 1. 概說無線接取設備檢測技術規範無線接取設備 (Wireless Access Point, 縮寫為 AP) 是一個連接無線網路, 亦可以連接有線網路的乙太網裝置其主要功能為網路傳輸之中介點, 使得有線及無線網路裝置可互相連接並傳輸資料 2. 適用範圍本規範適用於獨立式硬體架構, 並使用嵌入式韌體或專屬軟體之區域網路無線接取設備, 可支援開放系統介面 (OSI, Open System Interface) 網路架構 3. 安全等級本規範之設備安全等級分為基礎型 (Basic) 與進階型 (Advanced) 3.1. 基礎型無線接取設備基礎型設備安全功能測試項目包括稽核資料產出外部稽核伺服器失去連線的應變措施重送攻擊 (Replay Attacks) 偵測可信賴更新待測物安全功能自我測試鑑別 (Authentication) 失敗控制功能使用者識別及授權功能檢查通行碼逾期功能通行碼重新鑑別功能登入畫面加密功能 802.1X 使用者識別及鑑別功能安全功能行為管理資源最大配額登入連線之鎖定及登入連線之終止等 15 個主要測試 ; 堅實測試項目包括異常或攻擊流量測試 ; 穩定測試包括真實網路流量長時間測試 3.2. 進階型無線接取設備進階型設備除基礎型設備之測試項目外, 另增加壓力測試包括吞吐量 ; 堅實測試包括非正常關機恢復 ; 穩定測試中的真實網路流量測試時間要求為基礎的兩倍 4. 參考標準 ISO/IEC 共同準則 (Common Criteria for Information 附件 1-7

144 5. 用語釋義 TechnologySecurity Evaluation, CC) 5.1. RFC(Request For Comments) 由網際網路工程任務組 (IETF) 發行的一系列備忘錄檔案收集了有關網際網路相關資訊, 以及 UNIX 和網際網路社群的軟體檔案, 以編號排定目前 RFC 檔案是由網際網路協會 (ISOC) 贊助發行 5.2. IEEE 802.1X 電機電子工程師學會 (IEEE) 制定關於用戶接入網路的鑑別標準, 運行於網路中資料連結層 5.3. IP 安全協定 (InternetProtocolSecurity, IPSec) 為建立在網路層上的安全協議, 對所有通訊的 IP 封包使用鑑別和加密, 並在雙方建立通訊時進行相互鑑別及金鑰交換 5.4. SSH (Secure Shell) 為建立在應用層基礎上的安全協議, 對所有傳輸的資料進行加密及壓縮, 可以增加傳輸安全並加快傳輸速度 5.5. 傳送層安全 (TransportLayerSecurity, TLS) 為建立在傳輸層基礎上的安全協議, 是為網路通信提供安全及數據完整性的一種安全協議 5.6. 安全接套層 (Secure Sockets Layer, SSL) 為 Netscape 公司推出 Web 瀏覽器首版時提出的協議 SSL 採用公開金鑰密碼技術, 保證兩個應用程式間通信的保密性和可靠性, 使客戶與伺服器之間的通信不被攻擊者竊聽 5.7. 安全的超文字傳送協定 (Hypertext Transfer Protocol Secure, HTTPS) 附件 1-8

145 與 SSL/TLS 合併使用, 用以提供加密通訊及對網路伺服器身分之鑑別 5.8. RADIUS (Remote Authentication Dial In User Service) 包含驗證 (Authentication) 授權 (Authorization) 及計費 (Accounting) 三種服務的通訊協議 (Protocol), 通常用於網路存取或浮動 IP 服務, 亦適用於區域網或漫遊服務 5.9. X.509 國際電信聯盟 (ITU-T) 制定的一種數位憑證標準, 屬於公開金鑰密碼系統之通訊標準, 可用於單一登入及權限管理架構用途提供通信實體鑑別機制, 並規範鑑別過程中廣泛適用的憑證語法及資料介面角色 (Role) 指預先定義之規則, 以描述使用者與待測物間的操作權限最大同時連線數指防火牆能同時處理之 TCP 連線數最大值吞吐量指待測物處理網路流量的速度, 通常的表示法為 Mbps ( 每秒一百萬位元 ) 或 Gbps ( 每秒十億位元 ) 最大連線建立速度指防火牆能處理的 TCP 連線建立速度, 通常的表示法為 TCP 連線數 / 每秒共同準則 (Common Criteria, CC) 為國際資通安全產品評估及驗證之標準 (ISO/IEC 15408), 依其定義之評估保證等級 (Evaluation Assurance Level, EAL) 判定產品之安全等級,EAL 共有 7 個等級, 最低等級為 EAL 1, 最高等級為 EAL 7, 提供申請者 / 贊助者檢測實驗室與驗證機關 ( 構 ) 評估及驗證資通安全產品安全與功能附件 1-9

146 性參考網址無線網路存取系統保護剖繪 (U.S. Government Protection Profile for Wireless Local Area Network Access Systems) 指美國政府機關採購無線網路存取系統之技術參考指引評估標的 (Target of Evaluation, TOE) 指待測物及其相關之手冊保護剖繪 (Protection Profile, PP) 指滿足資通安全產品評估標的 (TOE) 製作之安全基本需求文件安全標的 (Security Target, ST) 指資通安全產品能符合保護剖繪 (PP) 或特定安全需求製作之規格文件安全功能 (TOE Security Functions, TSF) 指資通安全產品用於實現安全標的 (ST) 所要求安全功能需求之相關功能安全功能需求 (Security Functional Requirement, SFR) 指共同準則第二部份 (Common Criteria, Part 2) 所定義之安全相關需求條文, 用以描述一資通安全產品之 TSF 所需滿足的各項要求此要求條文會被引用於保護剖繪及安全標的中, 用以具體陳述該產品功能的安全方面的需求安全功能介面 (TOE Security Functions Interface, TSFI) 為評估標的 (TOE) 用於實現安全功能需求 (SFR) 之對外溝通介面安全領域 (Security Domain) 指一個主動式個體 ( 人或機器 ) 被授權存取的資源集合, 為安全架構的屬性之一附件 1-10

147 5.23. 自我保護 (Self-Protection) 指安全功能無法被無關的程式碼或設施破壞, 為安全架構的屬性之一 6. 技術要求 6.1. 書面審查類別安全標的審查待測物之設備規格及安全功能需求安全功能設計審查待測物之設計安全性安全架構及安全指引 6.2. 書面審查類別之項目及判定標準申請者應依基礎型或進階型之安全等級, 提供符合該等級之安全標的及安全功能設計類別相關文件 ( 如 : 表 1) 表 1 書面審查之類別項目及審查內容類別項目審查內容檢附文件基礎型進階型安全標的安全功能設計設備規格附表 1-1 設備規格說明書安全功能需求附表 1-2 設備規格說明書安全功能規格附表 1-3 附件一安全功能介面表設計安全性附表 1-4 附件二子系統描述與分類表安全架構附表 1-5 附件三安全架構描述表安全指引附表 1-6 指引文件附件 1-11

148 安全標的申請者應提供待測物之設備規格說明書, 包含設備規格 ( 附表 1-1) 及該設備可執行的安全功能需求 ( 附表 1-2) 設備規格說明本項書面審查內容依申請者提供之設備規格說明書, 檢視設備規格是否符合附表 1-1 設備規格之書面審查內容 : 附表 1-1 設備規格之書面審查內容類別項目子項目審查標準安全設備應標示下列內容 : 標的規格 (1) 名稱廠牌型號及版本 1. 設備識別 (2) 申請者名稱 ( 製造商或代理商 ) (3) 製造商名稱 (4) 設備形式 ( 硬體韌體或軟體 ) 應說明下列內容 : (1) 待測物之實體範圍 : 包含待測物外觀尺寸主要零組件及執行 2. 範圍必須之相關週邊設施 (2) 待測物之邏輯範圍 : 包含待測物安全功能以及功能之間相互關係 3. 安全功能應說明待測物之安全功能如何滿足本規範之安全功能需求基礎型進階型安全功能需求 (SFR) 附件 1-12

149 本項書面審查內容依申請者提供之設備規格說明書, 檢視安全功能需求 (SFR) 之執行內容是否符合附表 1-2 ( 安全功能需求之書面審查內容 ) 類別安全標的附表 1-2 安全功能需求之書面審查內容項目安全功能需求子項目審查標準 1. 稽核紀錄待測物應具備以下稽核紀錄 : 2. 稽核紀錄之查詢 (1) 待測物應依下列事件產生其稽核紀錄, 並存於資料庫中 : A. 啟閉稽核功能 B. 管理者透過管理介面操作待測物的所有行為 C. 使用者之識別與鑑別活動 D. 待測物系統時間變更 E. 軟韌體更新 F. 解除交談鎖定之活動 G. 終止登入連線之活動 H 啟動終止或失敗之可信任通道連結 (2) 每筆稽核紀錄至少包含下列資訊 : A. 事件識別碼 B. 事件日期及時間 C. 事件類型 D. 事件成功或失敗 (3) 每筆稽核事件需可識別是因何使用者所產生待測物應具備以下稽核紀錄之查詢 : (1) 管理者的身分 (2) 事件類型基礎型進階型附件 1-13

150 類別項目子項目審查標準基礎型進階型 (3) 成功之稽核事件 (4) 失敗之稽核事件 (5) 或其他屬性 3. 稽核資料待測物應具備以下稽核資料之保護 : 儲存保護 (1) 待測物應防止非授權人員透過安全功能介面竄改或刪除稽核資料 (2) 待測物應將稽核資料儲存於外部的稽核資料儲存裝置 ; 存取外部的稽核資料儲存裝置時需透過 IPsec SSH TLS 或 TLS/HTTPS 等可信賴通道 (3) 如外部的稽核資料儲存裝置失聯, 待測物應停止將稽核資料傳遞到外部的稽核資料儲存裝置, 並即刻通知管理者 4. 加解密金待測物應具備以下加解密金鑰管理功能 : 鑰管理 (1) 待測物應以加解密演算法 (Cryptographic Algorithm) 產生分配儲存及銷毀金鑰 (2) 任何明文或金鑰在不需要使用時, 必須將資料清除 5. 加解密演待測物應具備以下加解密演算法操作功能 : 算法操作 (1) 待測物應以加解密演算法保護遠端管理連線 (2) 應提供 WPA2 或相同安全等級之保密機制 (3) 與 Radius Server 之間的連線應以 IPSec 或其他相同等級之安全協定加密保護 6. 殘餘資訊當待測物配置系統資源 ( 如 : 資料暫存區 ) 用之於保護處理通過之資料封包, 應確保該新配置之系統資源附件 1-14

151 類別項目子項目審查標準基礎型進階型的內容已於前次使用歸還時清除, 或於本次使用前清除, 不致將前次使用之殘餘資訊外洩 7. 鑑別失敗待測物應具備以下鑑別失敗處理能力 : 處理 (1) 可偵測出連續鑑別失敗次數 (2) 當使用者進行登入, 連續鑑別失敗次數達到指定值時, 待測物應拒絕該使用者後續之任何登入鑑別要求 ; 該使用者須經管理者解除鎖定後, 始可重新登入 8. 通行碼管待測物應提供下列通行碼管理功能 : 理 (1) 通行碼可以由大小寫字元數字或特殊字元組成 (2) 通行碼最短長度可由管理人員設定, 產品需支援 15 字元以上長度 (3) 通行碼需定期更換 ; 管理者可設定更換週期 (4) 通行碼更換時至少需有 4 個以上字元更動 9. 鑑別機制待測物應具備以下鑑別機制 : (1) 列舉使用者成功完成身分鑑別前, 可執行的安全功能 ( 如 :DHCP 或 Show Status 等 ) (2) 除前列之安全功能, 使用者應成功完成身分鑑別後, 始可執行被授權的安全功能 (3) 應提供管理者本地通行碼 (Local Password) 鑑別機制 (4) 通行碼過期時, 待使用者成功登入後, 待測物應要求使用者立即更新通行碼 (5) 當使用者更改通行碼時, 需重新登入 (6) 鑑別過程中應避免在顯示器上顯示相關鑑別附件 1-15

152 類別項目子項目審查標準基礎型進階型資訊 ( 如輸入的通行碼等 ) (7) 需支援 IEEE 802.1X 標準與外界 RADIUS 鑑別伺服器溝通, 執行相關鑑別工作 (8) 與 RADIUS 鑑別伺服器溝通需符合 RFC 2865 和 3579 規範 (9) 應確保無線用戶在成功完成身分鑑別前, 無法透過待測物接取網路 (10) IPSec 或其他傳輸協議應支援共享金鑰 (Pre-shared Key) (11) 續上, 待測物應支援長度為 22 字元的共享金鑰 ( 可由大小寫英文字母 #" $" %" ^" &" *" ( 和 )" 等特殊字元所組成 ) (12) 續上, 待測物應具備由安全雜湊演算法 (Secure Hash Algorithm, SHA) 轉換字元的共享金鑰 (13) 續上, 待測物應有接受或產生亂數位元的共享金鑰功能 (14) 應支援 RFC 5280 所規範之 X.509 v3 數位憑證功能, 協助 IPsec TLS SSH 或其他通訊協定進行身分鑑定 (15) 待測物應儲存並保護憑證使之免於遭受未授權之刪除與修改 (16) 待測物應支援授權之管理者匯入 X.509 v3 數位憑證功能附件 1-16

153 類別項目子項目審查標準基礎型進階型 10. 安全功只有授權之管理者可管理安全功能相關之資料, 以能行為管及對任何安全功能進行更動與設定理 11. 管理功待測物應具備以下管理功能規格 : 能規格 (1) 提供遠端或本機登入管理功能 (2) 提供更新待測物韌體之能力, 並於韌體更新前能驗證其真偽 12. 安全角待測物應具備及設定以下安全角色 : 色 (1) 經授權的管理者 (2) 可以賦予使用者管理者之角色 (3) 管理者可以透過遠端或本機登入系統但預設值應禁止遠端登入 13. 失效保當待測物於電源啟動後, 若自我測試發生錯誤時, 全應確保金鑰與使用者資料仍處於保護狀態 14. 重送攻待測物應具備以下偵測功能 : 擊偵測 (1) 對通過待測物的網路封包進行重送攻擊偵測 (2) 當發現重送之封包, 應拒絕接收該資料 15. 管理者待測物應具備以下管理者通行碼保護功能 : 通行碼保 (1) 應避免以明文 (Plaintext) 方式展示通行碼護 (2) 通行碼應以非明文方式儲存 16. 可信賴待測物應具備可信賴之時戳, 正確記錄稽核資料的之時戳日期及時間 17. 可信賴待測物應具備以下韌體更新功能 : 更新 (1) 可查詢待測物當前的韌體版本以及目前原廠提供可更新之最新韌體版本附件 1-17

154 類別項目子項目審查標準基礎型進階型 (2) 管理者可以啟動韌體更新程序 (3) 需支援一機制, 令管理者於韌體更新前, 可辨別欲更新韌體之真偽 18. 安全功待測物應於啟動後進行安全功能自我測試, 以確保能自我測其可提供正常服務待測物必須通過安全功能自我試測試才可提供服務 19. 最大資待測物應支援對以下資源上限配置的設定功能 : 源配置 (1) 可同時登入的管理者數量 (2) 可同時連結 (Associate) 的無線用戶數 20. 登入連若管理者登入後閒置時間超過待測物所允許的閒線之鎖定置時間值, 待測物應 : (1) 若為本地 (Local) 交談, 待測物應鎖定或終止該連線 ; 若為鎖定該連線, 待測物應確保顯示資料不造成資訊外洩同時, 欲解除鎖定, 待測物應重新進行使用者鑑別 (2) 若為遠端連線, 待測物應立即終止該遠端連線 21. 登入連待測物應允許管理者自行終止已登入之連線線之終止 22. 待測物待測物應支援管理者可設定之登入注意事項畫存取預設面, 並於使用者欲登入時顯示此畫面標語 23. 金鑰保待測物應具備以下防護措施 : 護 (1) 防止共享金鑰對稱金鑰 (Symmetric Keys) 以及私密金鑰 (Private Keys) 等各種金鑰被讀取附件 1-18

155 類別項目子項目審查標準基礎型進階型 (2) 不得提供讀取各種金鑰之指令 24. 待測物待測物應能依據地點時間和日期拒絕無線用戶的交談建立交談建立請求 25. 可信賴待測物與其他被授權的外部 IT 設備之連線應具備通道以下防護措施 : (1) 應使用 IPSec SSH TLS TLS/HTTPS 或其他加密之通訊協定, 在待測物與其他被授權的 IT 設備 ( 如,RADIUS Server) 之間提供可信賴通道 (2) 允許待測物或其他被授權的 IT 設備使用可信賴通道發起連線 (3) 請列出所有由待測物所發起與被授權的外部 IT 設備之連線 26. 可信賴待測物與遠端管理者的連線應具備以下防護措施 : 路徑 (1) 應使用 IPsec SSH TLS TLS/HTTPS 或其他加密之通訊協定與遠端管理者建立可信賴路徑進行連線, 以保護通訊資料免遭修改或揭露 (2) 管理者可用上述之可信賴路徑於遠端主動發起連線 (3) 管理者所發起的遠端連線的鑑別與後續通訊, 都必須透過可信賴路徑進行安全功能設計申請者應提供待測物安全功能規格設計安全性安全架構及安全指引等文件, 以確保安全功能 (TSF) 能正確執行附件 1-19

156 安全功能規格本項書面審查內容依申請者提供之附件一安全功能規格表, 檢視安全功能規格之內容是否符合附表 1-3 安全功能規格之書面審查內容附表 1-3 安全功能規格之書面審查內容類別項目審查標準安全安全安全功能介面應實現安全功能需求, 應說明安全功功能功能能介面 (TSFI) 以下規格 : 設計規格 (1) 安全功能介面名稱 (2) 目的 (3) 可實現的安全功能需求 (4) 操作方式 (5) 參數 (6) 執行的動作 (7) 錯誤訊息設計安全性基礎型進階型本項書面審查內容依申請者提供之附件二設計安全性表, 檢視設計安全性之內容是否符合附表 1-4 設計安全性之書面審查內容本項書面審查內容與判定標準說明如附表 1-4: 附表 1-4 設計安全性之書面審查內容基進類別項目審查標準礎階型型安全設計應說明如何以子系統組成安全功能規格之安全功能介功能安全面, 並說明安全功能子系統以下規格 : 附件 1-20

157 類別項目審查標準設計性 (1) 子系統名稱 (2) 目的 (3) 子系統隸屬之安全功能介面 (4) 子系統行為說明安全架構基礎型進階型本項書面審查內容依申請者提供之附件三安全架構表, 檢視安全架構之內容是否符合附表 1-5 安全架構之書面審查內容本項書面審查內容與判定標準說明如附表 1-5: 附表 1-5 安全架構之書面審查內容基進類別項目審查標準礎階型型安全安全應依據安全功能規格及設計安全性功能架構之檢附文件, 說明待測物安全架構如何滿足安全功能設計需求 (SFR), 並作為實機測試項目設計的參考針對安全功能介面及子系統, 提出安全架構的設計概念與操作安全建議, 也需符合後續提供的指引文件安全架構應說明下列項目 : (1) 待測物因執行安全功能所區隔的安全領域 (2) 安全功能的安全初始程序 (3) 安全功能的自我保護機制 (4) 安全功能執行如何避免被繞道附件 1-21

158 安全指引本項書面審查內容依申請者提供之指引文件, 檢視文件內容是否符合附表 1-6 安全指引之書面審查內容本項書面審查內容與判定標準說明如附表 1-6: 附表 1-6 安全指引之書面審查內容基進類別項目審查標準礎階型型安全安全 (1) 應定義每個使用者角色功能指引 (2) 應提供每個使用者角色於執行安全功能 (TSF) 設計時之相關說明, 包括 : A. 週邊設備及安全設定 B. 允許使用的介面 C. 安全參數定義 D. 可能產生的安全事件 E. 應遵循的安全措施 (3) 應說明於特殊權限操作時的安全環境要求, 並提供適當的警告 (4) 應列舉待測物操作時的所有運作模式 (5) 應列舉待測物作業失敗 (Failure) 或人員操作錯誤產生的各種情況及處理方式 (6) 應說明待測物運作前的安全準備作業, 包含待測物安裝及啟動方式 (7) 應說明待測物操作的安全環境設置, 應包括以下項目 : 附件 1-22

159 基進類別項目審查標準礎階型型 A. 待測物使用目的 ( 如 : 針對伺服器進行網路協定管制作業等 ) B. 實體環境安全 ( 如 : 待測物置於具備門禁管制的環境等 ) C. 人員安全 ( 如 : 僅有授權人員可存取待測物等 ) D. 連接安全 ( 如 : 待測物與其他網路伺服器之連線安全等 ) (8) 指引文件將做為實機測試的依據 6.3. 實機測試類別實機測試包含安全功能測試壓力測試堅實測試及穩定測試安全功能測試 (Security Functionality Test) 測試待測物所具有安全防護相關功能壓力測試 (Stress Test) 測試待測物面臨大量網路封包或連線時, 安全功能是否能保持正常運作堅實測試 (Robustness Test) 測試待測物本身開啟服務或協定時, 面臨針對待測物本身而來的不正常連線行為, 是否能保持正常運作穩定測試 (Stability Test) 將待測物置於真實網路流量下運作測試, 是否有不穩定的狀況發生附件 1-23

160 6.4. 實機測試類別之項目及判定標準實機測試分為基礎型與進階型, 皆包含安全功能測試壓力測試堅實測試及穩定測試四個類別實機測試項目及標準如表 2 表 2 實機測試之類別項目及判定標準類別項目判定標準安全稽核資料產出依 (1) 進行測試, 待測物產出之稽功能核資訊應具備 : 測試 (1) 是否成功啟動稽核功能, 包含未被明確定義 / 指定等級稽核 (2) 所有可稽核之事件 (3) 所有可管理之行為 (4) 將發生的稽核事件與使用者之間進行關聯性連結 (5) 紀錄事件的日期時間類別主題識別碼及結果 ( 成功或失敗 ) 依 (2) 進行測試, 待測物的安全功能應支援選擇性的稽核的事件集外部稽核伺服依進行測試, 如外部稽核伺服器器失去連線的失去連線時, 待測物應進行一些處置行為應變措施或新任務指派重送攻擊偵測依進行測試, 待測物應支援 : (1) 偵測出重送至待測物的網路封包 (2) 應拒絕重送封包的連線要求基礎型進階型附件 1-24

161 類別項目判定標準可信賴更新依進行測試, 待測物應具備下列韌體更新功能 : (1) 允許被授權的管理者查詢待測物目前韌體版本 (2) 允許被授權的管理者更新韌體版本 (3) 在安裝更新前使用電子簽章機制, 於韌體更新前, 可辨別欲更新韌體之真偽基礎型進階型待測物安全功能自我測試依進行測試, 待測物應於啟動後進行安全功能自我測試鑑別失敗控制依進行測試, 待測物應具備下列功能功能 : (1) 使用正確之通行碼應可正常登入 (2) 當輸入錯誤通行碼超過最大錯誤次數且封鎖管理介面後, 使用正確通行碼亦無法登入待測物使用者識別及依進行測試, 待測物應具備下列授權功能功能 : (1) 輸入正確的帳號及通行碼方能登入 (2) 使用錯誤帳號或通行碼時, 應提示使用者無法登入的訊息 (3) 需要驗證使用者帳號及通行碼的網路服務, 應輸入正確的帳號及通行附件 1-25

162 類別項目判定標準碼, 方能存取這些服務檢查通行碼逾依進行測試, 如通行碼逾期時, 期功能應強迫登入者更換通行碼, 方能進行後續操作通行碼重新鑑依進行測試, 變更通行碼後, 待別功能測物應要求使用者重新登入方能進行後續操作登入畫面保密依進行測試, 登入過程中, 待功能測物之顯示畫面應以特殊號 ( 如 : *") 遮蔽輸入之明文通行碼字元 802.1X 使用者依進行測試, 通過 RADIUS 識別及鑑別功 Server 鑑別後, 應可經由待測物連上網際網能路安全功能行為依進行測試, 待測物應允許管管理理者正確輸入通行碼後登入進行設定資源最大配額依進行測試, 待測物應支援 : (1) IP 位址個數未達到最大值, 輸入正確的無線連線帳號及通行碼時可以與待測物建立連線 (2) IP 位址個數達到最大值, 即使輸入正確的無線連線帳號及通行碼時亦不可與待測物建立連線 (3) 登出後, 待測物應可以收回原先指派之 IP 位址供下次使用基礎型進階型附件 1-26

163 類別項目判定標準登入連線之鎖依進行測試, 當鎖定計時之時定間到達期限時, 使用者應無法讀取待測物任何資訊當終止計時之時間到達期限, 應立即終止本次會談 (Session) 基礎型進階型登入連線之終止依進行測試, 當使用者登出後, 與待測物建立的連線應立即中斷壓力吞吐量依進行測試, 當待測物所負荷的測試吞吐量達到其規格說明之最大值時, 不能發生封包遺失且安全功能應正常運作堅實異常流量測試依進行測試, 待測物遠端管理介測試面對異常之協定或攻擊流量應保持正常運作非正常關機恢復依進行測試, 待測物應可重新開機復原到斷電前的最後正常狀態穩定測試真實流量依進行測試, 待測物應持續 168 小時穩定運作依進行測試, 待測物應持續 336 小時穩定運作安全功能測試檢視待測物之安全功能需求是否符合書面送審資料, 並依下列各測試項目進行實機測試稽核資料產出測試環境附件 1-27

164 稽核伺服器 Radius Server 無線網路控制器 (Controller) 集線器精簡型無線接取設備 (Thin AP) 多功能智慧型無線接取設備 (Fat AP) 測試平台 A 測試平台 B 圖 1 稽核測試接續示意圖 (1) 測試平台 A: 模擬被授權存取的無線用戶 A (2) 測試平台 B: 模擬被授權存取的無線用戶 B (3) 待測物 : 精簡型無線接取設備 + 無線網路控制器的組合, 或是多功能智慧型無線接取設備 (4) RADIUS Server: 提供 RADIUS 功能的伺服器 (5) 稽核伺服器 : 提供記錄稽核事件功能的伺服器 (6) 集線器 : 匯集多條通訊纜線之裝置 (7) 網路連接線 : 乙太網路線或光纖纜線 (8) 連接測試平台 A 測試平台 B 待測物無線網路控制器稽核伺服器及 Radius Server 如圖 1 附件 1-28

165 (9) 開啟待測物稽核功能及外部稽核伺服器的相關設定測試方法及標準 (1) 稽核伺服器上有關管理上的操作及相關資訊應被紀錄且須產出下列稽核資訊 : A. 稽核功能啟動成功與否 B. 所有可稽核的事件, 包含未被明確定義 / 指定等級稽核 C. 所有管理行為 D. 將發生的稽核事件與使用者進行關聯性連結 E. 事件的日期時間類別主題識別碼及結果 ( 成功或失敗 ) (2) 應支援選擇性的稽核事件集並根據下列屬性, 在所有可稽核事件的列表中進行稽核 : A. 管理者身分鑑別 B. 事件類型 C. 可稽核安全事件的成功通知 D. 可稽核安全事件的成功與否 E. 其它待測物規格說明書所列舉之事件外部稽核伺服器失去連線的應變措施測試環境同圖測試方法及標準如外部稽核伺服器失去連線時, 待測物應進行一些處置行為或新任務指派附件 1-29

166 重送攻擊偵測測試環境測試平台 A 待測物測試平台 B 圖 2 重送攻擊偵測接續示意圖 (1) 測試平台 A 及測試平台 B: 具備無線介面之測試儀器 (2) 待測物 : 精簡型無線接取設備 + 無線網路控制器的組合, 或是多功能智慧型無線接取設備 (3) 透過無線方式連接測試平台與待測物如圖 2 (4) 以測試平台 B 模擬一惡意使用者 B 在訊號範圍內開啟無線網卡監聽模式, 並以測試平台 A 模擬同一頻段中另一使用者 A, 當取得使用者 A 與待測物間傳送的封包內容及相關資訊後, 惡意使用者 B 偽裝成使用者 A 並注入偽造的 Deauth 的指令至待測物, 企圖中斷使用者 A 與待測物間的連線測試方法及標準待測物的安全功能需滿足下列條件 : (1) 應偵測出惡意使用者重送至待測物的網路封包附件 1-30

167 (2) 偵測出重送之網路封包後, 應拒絕該封包的連線要求可信賴更新測試環境圖 3 可信賴更新測試接續示意圖 (1) 測試平台 : 可連線至待測物之測式儀器或程式 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接測試平台及待測物如圖 3 (4) 開啟待測物安全管理功能測試方法及標準待測物的安全功能應滿足下列條件 : (1) 被授權的管理者登入後, 可以查詢待測物內部韌體版本資訊及更新內部韌體版本 (2) 在安裝更新前須通過待測物之電子簽章機制驗證, 如驗證失敗, 應拒絕執行該次更新操作待測物安全功能自我測試測試環境同圖測試方法及標準 (1) 開啟待測物安全事件紀錄之功能附件 1-31

168 (2) 將待測物重新啟動, 應於開機前進行自我檢測, 並於開機後進行安全功能自我測試鑑別失敗控制功能測試環境同圖測試方法及標準開啟待測物之安全管理功能, 並依其規格說明提供之功能, 以下列方法擇一進行測試 (1) 方法一 ( 待測物提供 Quiet Period 功能 ): A. 應輸入正確通行碼才能對待測物進行管理設定 B. 輸入錯誤通行碼, 待測物應檢查是否超過最大錯誤次數時, 如超過最大錯誤次數, 則應封鎖管理介面一段時間 (Quiet Period) 以避免遭受攻擊於管理介面封鎖期間內即便使用正確的通行碼亦無法登入待測物之管理介面 C. 靜置待測物一段時間, 不對待測物進行任何操作, 直到 Quiet Period 逾時, 使用正確的通行碼應可正常登入管理介面 (2) 方法二 ( 待測物永久鎖定登入管理介面 ) : A. 應輸入正確通行碼才能對待測物進行管理設定 B. 輸入錯誤通行碼, 待測物應檢查是否超過最大錯誤次數時, 如超過最大錯誤次數, 則應封鎖管理介面以避免遭受攻擊封鎖登入管理介面後, 即便使用正確的通行碼亦無法登入待測物之管理介面 C. 根據待測物使用手冊的說明步驟, 解除管理介面之封鎖解除後, 輸入正確通行碼應能正常登入管理介面附件 1-32

169 使用者識別及授權功能測試環境同圖測試方法及標準 (1) 應輸入正確通行碼才能登入待測物, 如使用錯誤帳號通行碼時, 應提示使用者無法登入的訊息 (2) 開啟待測物需要驗證使用者帳號及通行碼的網路服務, 應於輸入正確的帳號及通行碼後, 方能存取這些服務並進行後續操作檢查通行碼逾期功能測試環境同圖測試方法及標準 (1) 開啟待測物之檢查通行碼逾期功能 (2) 輸入已逾期的通行碼進行登入程序 (3) 待測物應提示通行碼已逾期, 並強制更換新的通行碼, 否則無法繼續對待測物進行任何操作通行碼重新鑑別功能測試環境同圖測試方法及標準 (1) 開啟待測物之安全管理功能附件 1-33

170 (2) 完成登入程序後立即更換通行碼 (3) 待測物應要求以新通行碼重新登入後, 方能進行後續操作登入畫面保密功能測試環境同圖測試方法及標準 (1) 開啟待測物之安全管理功能 (2) 輸入帳號及通行碼進行登入 (3) 登入過程中, 待測物之使用者介面應以特殊代號 ( 如 : *") 遮蔽輸入的明文通行碼字元 X 使用者識別及鑑別功能測試測試環境圖 X 使用者識別及鑑別功能測試接續示意圖 (1) 測試平台 : 可供測試人員連線至待測物及網際網路之測試儀器 (2) 網路連接線 : 乙太網路線或光纖纜線附件 1-34

171 (3) RADIUS Server: 提供 RADIUS 功能的伺服器 (4) 待測物 : 精簡型無線接取設備 + 無線網路控制器的組合, 或是多功能智慧型無線接取設備 (5) 連接測試平台及待測物如圖 4 (6) 開啟待測物之 802.1X 存取鑑別功能測試方法及標準 (1) 尚未 RADIUS Server 的鑑別前, 應無法透過待測物連上 Internet (2) 通過 RADIUS Server 的鑑別後, 應可透過待測物連上 Internet (3) 如使用錯誤的 Client 端數位憑證進行 EAP-TLS 鑑別,EAP-TLS 鑑別應無法順利進行且無法透過待測物連上 Internet (4) 如使用錯誤的 RADIUS 端數位憑證進行 EAP-TLS 鑑別, EAP-TLS 鑑別應無法順利進行且無法透過待測物連上 Internet 安全功能行為管理測試環境同圖測試方法及標準 (1) 以管理者身分透過 console 埠 IPsec SSH TLS/HTTPS 或無線介面登入待測物, 管理者應輸入正確通行碼後方能進行後續操作 (2) 正確登入後, 管理者應可正確設定各項安全功能設定資源最大配額附件 1-35

172 測試環境圖 5 安全管理測試接續示意圖 (1) 測試平台 : 可模擬無線用戶之測式儀器或程式 (2) 待測物 :Thin AP + Controller 的組合或 Fat AP (3) 透過無線之方式連接測試平台及待測物如圖測試方法及標準 (1) 開啟待測物指派 IP 位址之功能並設定固定時間內可以指派的 IP 位址個數 (2) 當指派之 IP 位址個數尚未達到規格說明所列之最大值時, 輸入正確的連線帳號及通行碼應可建立無線傳輸之連線此時, 待測物應指派一個新 IP 位址給用戶端且可用的 IP 位址個數應自動減少一個 (3) 測試平台模擬用戶經無線介面使用 IPSec SSH TLS 或 HTTPS 連至待測物, 如指派之 IP 位址個數達到最大值, 即使輸入正確的連線帳號及號通行碼應無法與待測物建立連線 (4) 當無線用戶登出後或離線後, 待測物應收回原先指派之 IP 位址, 且可用之 IP 位址個數應自動加一登入連線之鎖定測試環境同圖 3 附件 1-36

173 測試方法及標準 (1) 開啟待測物之登入連線鎖定功能 (2) 指定待測物自動鎖定 (Lock) 之計時時間值或自動終止 (Terminate) 之計時時間值 (3) 由測試平台以 IPSec SSH TLS 或 HTTPS 方式連至待測物, 並輸入正確之帳號及通行碼 (4) 成功登入後如無任何操作, 鎖定之計時應自動啟動當時間到達設定之期限應無法讀取待測物任何資訊, 除非重新登入成功, 否則無法繼續對待測物進行任何操作 (5) 成功登入後如無任何操作, 終止之計時應開始啟動, 當時間到達設定之期限, 此次會談應立即終止登入連線之終止測試環境同圖測試方法及標準 (1) 輸入正確之使用者帳號及通行碼後應可登入待測物 (2) 當使用者登出後, 與待測物建立的連線應立即中斷壓力測試吞吐量測試測試環境附件 1-37

174 圖 6 吞吐量測試接續示意圖 (1) 測試平台 : 可產生網路封包之測試儀器或程式 (2) 測試平台 A 埠 : 模擬用戶端收送網路封包 (3) 測試平台 B 埠 : 模擬伺服器端收送網路封包 (4) 通道模擬器 : 模擬無線通訊環境可將有線訊號轉換成無線訊號 (5) 訊號遮蔽箱 : 可遮蔽無線訊號之裝置 (6) 網路連接線 : 乙太網路線或光纖纜線 (7) 連接測試平台通道模擬器及待測物如圖 6 (8) 開啟待測物之安全功能 (9) 測試平台產生大小為及 1518 位元組之網路封包, 並依 IMIX 之比例 57% 7% 16% 及 20% 混合, 時間為 60 秒測試方法及標準測試平台建立自 A 埠經待測物至 B 埠之網路連線後, 開始傳送不同大小之封包當待測物所負荷的吞吐量達到其規格說明之最大值時, 待測物安全功能應正常運作堅實測試異常流量測試附件 1-38

175 測試環境待測物測試平台圖 7 異常流量測試接續示意圖 (1) 測試平台 : 可產生各種異常或攻擊流量之測試儀器或程式 (2) 以無線方式連接測試平台及待測物如圖測試樣本以測試平台分別產生下列 8 種類型之異常或攻擊流量攻擊類型 (1) 關聯 / 鑑別氾濫式攻擊 ( Associate / Authenticate Flood) (2) TKIP MIC 弱點攻擊 ( TKIP MIC Exploit) (3) 802.1X EAP-Start 氾濫式攻擊 (802.1X EAP-Start Flood) (4) 802.1X EAP-of-Death 攻擊 (802.1X EAP-of-Death) (5) 802.1X EAP 長度攻擊 (802.1X EAP Length Attacks) (6) 變形的 Frame-Assoc 請求 (Malformed Frame-Assoc Request) (7) 變形 Frame-Auth (Malformed Frame-Auth) (8) 虛擬 Carrier-Sense 攻擊 (Virtual Carrier-Sense Attack) 行為描述從隨機產生的 MAC 表中大量傳送偽冒的鑑別或關聯資訊產生不合法的 TKIP 資料造成目標物 AP 的 MIC 錯誤超過上限值, 進而使其無法正常提供服務 ) 不斷傳送 EAP-Start 訊息來消耗目標的資源或使其癱瘓傳送變形的 802.1X EAP 鑑別回應訊息, 使得某些 AP 持續鑑別此資訊進而造成癱瘓傳送符合 EAP 型態但長度不正確的訊息, 進而利用此訊息癱瘓目標物 AP 或 RADIUS 伺服器產生一個含有空白 SSID 的惡意關聯請求用以癱瘓目標物以變形的鑑別框架試探目標物的弱點利用長時間出現之 ACK, data, RTS 及 CTS 框架, 阻礙合法使用者正常存取頻道測試方法及標準測試平台送出異常或攻擊流量至待測物, 待測物之遠端管理功能應正附件 1-39

176 常運作非正常關機恢復測試環境無測試方法及標準待測物運作期間不正常關閉電源時, 經重新啟動後, 應復原到非正常關閉電源前的狀態且須符合下列要求 : (1) 應保留最後設定的系統組態 (2) 應保留斷電時間點前最後 5 分鐘的日誌檔案 ( 含系統日誌及安全事件日誌 ) (3) 能以最後設定的系統組態正常開機穩定測試真實流量在一般使用者上線的真實運作之網路, 以場測方式進行測試, 或將真實網路流量錄製後, 再以重播之方式進行測試測試環境 (1) 流量錄製平台 : 錄製網路封包 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接流量錄製平台路由器內部網路及網際網路如圖 8 (4) 路由器將往來 A B 兩埠的網路封包複製一份後, 經 C 埠送至流量錄製平台, 流量錄製平台將網路封包錄製成為檔案儲存 (5) 流量重播平台 : 具備無線介面之重播設備, 能將預先錄製之真實流量檔案還原成網路封包送至待測物 (6) 連接流量重播平台與待測物如圖 9 附件 1-40

177 (7) 流量重播平台將網路流量透過無線界面重播至待測物圖 8 流量錄製接續示意圖圖 9 流量重播接續示意圖測試樣本測試樣本必須滿足以下要求 : (1) 具備至少 100 位使用者同時上線之網路環境 (2) 若以重播方式進行測試, 所使用之網路流量必須為送測日前 2 周內從真實網路環境所錄製之流量 (3) 重播之網路流量其最大同時連線數於測試期間必須達待測物規格說明處理能力最大值之 50% 以上 (4) 重播之網路流量須以線性放大或縮小以維持波形, 並使其平均流量為待測物規格說明處理能力最大值之 50% 附件 1-41

178 (5) 流量內容須涵蓋 10 種以上之應用類型並包含 smtp pop3 imap ftp smb http https dns 及 snmp 等應用項目, 全部之應用項目須達 50 個以上應用項目舉例如下 : A. Chat: msn yahoo messenger qq xmpp 及 aol-icq B. gmail smtp pop3 imap 及 webmail C. File Transfer:ftp flashget 及 smb D. Game:garena facebook app 及 steam E. P2P:gnutella edonkey bt xunlei fasttrack ares kazaa 及 ed2k F. Remote Access:windows remote desktop telnet ssh 及 vnc G. Streaming:rtsp protocol, qqtv, pplive, qvod, flashcom, itunes, funshion H. Web:http, http download, http video, http range get, https, http proxy I. Others:sslvpn, nntp protocol, dns protocol, snmp protocol, dhcp protocol, mysql, ntp protocol 測試方法及標準 (1) 基礎型待測物應進行連續 168 小時測試 ; 進階型待測物應進行連續 336 小時測試 (2) 測試過程不能發生下列不穩定之情況 : A. 當機 B. 重新開機 C. 連線不正常中斷 D. 安全功能失效附件 1-42

179 附錄附錄一安全功能介面表安全功能介面名稱 TSFI 目的 Purpose 安全功能介面可實現之安全功能需求 SFR 操作方式 Method of Use 參數 Parameter 執行動作 Actions 錯誤訊息 Error Message 列出所有安全功能說明各安全功能說明各安全功能說明如何使用說明各安全功說明各安說明執行各安介面介面之安全功能介面如何實現附各安全功能介能介面所有參全功能介全功能介面產目的表 1-2 所列之安面數及其意義面如何運生之錯誤訊全功能需求作及其執息, 包含其意行細節義及產生條件範例 : 範例 : 範例 : 範例 : 範例 : 範例 : 範例 : TSFI_CLI 提供命令列模式 SFR_ 安全管理 : 以 ssh 連接待測 ID & password 可下達管連接失敗操作介面提供安全管理功物, 即提供命令理命令操鑑別失敗能列模式操作介作待測物面附錄 1-1

180 附錄二子系統描述與分類表子系統名稱 Subsystem 目的 Purpose 子系統隸屬之安全功能介面 TSFI 子系統行為說明 Behavior Description 列出各安全功說明各子系說明各子系統說明各子系統行為如下 : 能介面之子系統之安全功隸屬於附件一 (1) 如何實現安全功能介面的功能統能目的所列之安全功 (2) 與其他子系統間互動之資訊, 包含不同子系統間的溝通以及傳遞資料的能介面特性範例 : 範例 : 範例 : 範例 : Subsystem_ssh 提供 ssh 服務 TSFI_CLI (1) 提供 TSFI_CLI 命令列模式操作介面 (2) 與其他子系統之互動 : (A) Subsystem_auth: 傳遞鑑別資訊給 Subsystem_auth, 並由回覆訊息確認鑑別是否成功 (B) Subsystem_terminal: 附錄 2-1

181 附錄三安全架構描述表項目說明 1. 安全領域 Security Domain 安全領域名稱列出各安全功能介面對應之安全領域安全領域說明在安全功能操作環境及內部執行限制下, 如何區隔所需保護的資料範例 : TSFI_GUI: Domain_SecureLogAudit Domain_SecureConnection 範例 : 透過 TSFI_GUI 來執行管理功能時, 該 TSFI 同一時間只能有單一遠端連線, 並只能執行單一稽核資料處理請求附錄 3-1

182 項目說明 2. 初始程序 Secure Initialization 相關元件操作待測物的相關元件 / 環境初始程序說明提供安全啟動待測物之相關元件起始步驟及安裝程序範例 : 待測物網路連接程序範例 : 1. 從端口標記為 0/ 0(ethernet0 / 0 接口 ) 連接一個 RJ- 45 電纜到交換機或路由器 Trust 安全區 2. 從端口標記為 0/ 1(ethernet0 / 1 接口 ) 連接一個 RJ- 45 電纜到交換機或路由器中的 DMZ 安全區附錄 3-2

183 項目說明 3. 自我保護 Self-Protection 自我保護功能與外部設備之關係自我保護機制說明列出各安全功能介面對應之自說明安全功能及其介面需說明安全功能介面提供實體上或我保護機制與外部設備之資料交換邏輯上的自我保護機制動作範例 : TSFI_WEB: 自我保護 1: 身分驗證自我保護 2: 遠端連線加密範例 : 範例 : 遠端以瀏覽器連線待測 1. 應輸入通行碼才能進入介面物進行管理功能時, 以 2. 資料傳輸機制 :TLS/SSL TSFI_WEB GUI 介面進 3. 特殊執行方式 : 指紋辨識行身分認驗證 4. 特殊設備需求 : 指紋辨識器附錄 3-3

184 項目說明 4. 防止繞道 Non-Bypassibility 防止繞道功能列出各安全功能對應之防止繞道機制防止繞道機制說明 1. 列舉可能繞道之手法 2. 說明防範作法, 包含進入安全功能的介面如何被保護執行階段的資料處理如何保護是否存有其他對外通道及相關防範非法進入之機制等範例 : TSF_Authentication 身分驗證功能範例 : 可能直接以維護介面不經身分鑑別操控待測物防範作法 : 以實體封鎖方式, 防止利用維護介面繞道身分鑑別程序附錄 3-4

185 無線接取設備採購參考指引 ( 草案 ) 執行單位 : 中華民國資訊軟體協會中華民國 101 年 11 月

186

187 目次 1. 前言... 附件目的... 附件適用對象... 附件設備介紹... 附件無線網路簡介... 附件系統架構... 附件運作原理... 附件 WiFi 技術... 附件 WEP... 附件 WPA/WPA2... 附件常見安裝方式... 附件資安需求... 附件如何評估... 附件防護措施... 附件採購認證設備... 附件降低資安風險... 附件有效的資安健檢... 附件 2-8 附件 2-1

188 圖目次圖 1 系統架構... 附件 2-4 圖 2 多功能智慧型無線接取設備設定情境... 附件 2-6 圖 3 精簡型無線接取設備與無線網路控制器設定情境... 附件 2-7 附件 2-2

189 1. 前言 1.1. 目的本文件旨在說明採購無線接取設備須注意之功能面及效能面考量政府機關 ( 構 ) 得參考本指引進行採購, 以強化無線網路之安全管理本指引係屬建議性質, 單位進行設備採購時仍需符合單位資安管理規範之要求無線接取設備之目的在於提供政府機關 ( 構 ) 人員無線上網之能力, 使政府機關 ( 構 ) 員工與洽公民眾可以存取網際網路, 以 E 化方式辦理公務申請 1.2. 適用對象本文件適用於政府機關 ( 構 ) 運用資訊科技從事業務維運之所有人員為便於閱讀與使用, 特將適用對象區分為一般主管資訊人員及一般使用者一般主管及資訊人員可考慮閱讀整份文件, 一般使用者則可略過第二章的部份 2. 設備介紹 2.1. 無線網路簡介與網際網路的連線方式可分為無線與有線兩大類, 傳統有線方式可以透過乙太網路 (Ethernet) 數位用戶線路 (DSL) 或光纖 (Fiber) 等線路上網, 然而無論透過上述哪一種方式, 要與網際網路連線的裝置必須以實體線材進行連接, 因而導致使用者只能在定點位置上無法移動無線上網可提供使用者更方便的使用環境, 可透過 WiFi 3G WiMAX 或 UWB 等無線技術上網, 目前 WiFi 及 3G 是兩種最為被廣泛使用的技術,3G 訊號範圍大但傳輸頻寬小,WiFi 傳輸頻寬大但訊號範圍小, 兩者可互補使用, 因此, 室外空間多以 3G 技術來提供連網服務, 而室內空間則以 WiFi 來提供無線連網服務 2.2. 系統架構在區域網路的環境中, 為了提供使用者無線上網能力, 需要有一台網路設備進行有線訊號與無線訊號的轉換工作, 負責這項工作的設備統稱為無線附件 2-3

190 接取設備 (Access Point), 有別於一般有線網路環境下使用者需帶著網路線尋找網路插座的情況, 在無線接取設備的訊號涵蓋範圍中, 使用者只需開啟無線網路掃描是否有提供上網服務的無線接取設備, 通過身分鑑別及授權為合法使用者後, 即可與網際網路進行連線, 可大幅減少尋找網路插座的時間, 並可發揮裝置可移動的特性, 主要系統架構如圖 1 所示圖 1 系統架構 2.3. 運作原理透過 WiFi 的方式與使用者所使用的終端裝置進行連線, 並將使用者由 WiFi 傳送過來的封包轉送至有線網路中, 如 : 乙太網路或數位用戶線路等, 藉以讓使用者透過 WiFi 得以存取網際網路上的資源 WiFi 技術 Wi-Fi 技術建立在 IEEE 標準上, 如 :802.11a, b, g, n, 現在仍在討論中的 ac 亦為 WiFi 標準 IEEE 制訂與出版這些標準, 但不負責測試符合 WiFi 設備間的相容性因而有非營利性的 Wi-Fi 聯盟於 1999 年成立, 其主要任務是確保 WiFi 執行標準操作性與相容性, 並推動無線區域網路技術 WEP 有線等效加密 (Wired Equivalent Privacy), 又稱無線加密協議 (Wireless Encryption Protocol), 簡稱 WEP, 是用以保護無線網路 (Wi-Fi) 資料安全的機制無線網路是用無線電把訊息傳播出去, 因而容易遭受竊聽 WEP 的設計是要提供與有線的區域網路相當的機密性近年密碼學者已經指出 WEP 附件 2-4

191 數個弱點, 因此 WEP 在 2003 年被 IEEE i 標準的 Wi-Fi Protected Access (WPA) 所淘汰, 之後於 2004 年後由 WPA2 所取代, 目前 WPA2 是無線接取設備內建的主要無線訊號保護方法之一 WPA/WPA2 WPA 全名為 Wi-Fi Protected Access, 有 WPA 和 WPA2 兩個標準, 是一種確保無線網路安全的機制 WPA 實作了 IEEE i 標準的大部分, 是在 i 完備之前替代 WEP 的過渡方案 WPA 的設計可以用在所有的無線網卡上, 但未必能用在第一代的無線取用點上 WPA2 實作了完整的標準, 部分老舊的網卡並不支援 2.4. 常見安裝方式無線接取設備為無線與有線介面的轉換裝置, 常被大量的佈建在網路邊界 (Network Edge), 由於每一台無線接取設備都需要設定對應的加密與存取認證方式, 造成管理上的困難, 因此發展出了兩種不同形式的無線接取設備, 分別為多功能智慧型無線接取設備 (Fat AP) 與精簡型無線接取設備 (Thin AP) 多功能智慧型無線接取設備可透過網頁介面來設定網路位置連網方式及 WEP WPA WPA2 或 802.1x 等安全機制, 使用者必須連線到每臺無線接取設備並設定相關資訊, 如圖 2, 無法集中管理是主要的缺點精簡型無線接取設備採集中管理無線網路的方式, 必須配合無線網路控制器 (Controller) 來進行相關設定, 精簡型無線接取設備只提供無線訊號傳遞之功能, 相關設定參數則由無線網路控制器進行指派, 如圖 3, 由控制器管理所有精簡型無線接取設備, 可節省去逐一連線至每臺無線接取設備進行設定的困擾附件 2-5

192 設定多功能智慧型無線接取設備 (Fat AP) 設定網管人員設定多功能智慧型無線接取設備 (Fat AP) 多功能智慧型無線接取設備 (Fat AP) 圖 2 多功能智慧型無線接取設備設定情境附件 2-6

193 圖 3 精簡型無線接取設備與無線網路控制器設定情境 3. 資安需求 3.1. 如何評估無線訊號有不需接線的特性, 為了避免有心人在收到的訊號範圍內任意的存取網路, 必須針對無線接取設備進行加密認證設定, 在加密認證中, 有三個部分需要特別注意 : (1) 須有驗證使用者具備存取網路的權限的機制透過鑑別使用者身分的機制, 以過濾未經授權的使用者, 一來可以避免網路遭盜用, 二來可以確保在相同區域網路下的內部伺服器不被攻擊 (2) 須使用加密防止無線用戶端傳輸的資料遭竊聽無線訊號透過空氣為傳播介質, 訊號於傳播過程中可能遭有心人士攔截並竊取傳送的資料, 如傳送的資料未經加密, 可能發生資料遺失或外洩的狀況, 因此須具備完善的加密機制以確保資料之私密性附件 2-7

194 (3) 僅管理人員可被授權更動多功能智慧型無線接取設備或無線網路控制器的設定值前述 (1) 與 (2) 項皆可在無線接取設備的設定介面中選擇是否啟用, 為了避免設定值或參數遭到惡意竄改, 當進入修改設定的網頁時會被要求輸入管理者帳號與通行碼, 以確保修改設定的人員為合法授權之網管人員 3.2. 防護措施有鑑於無線接取設備可能帶來的資安風險, 採購單位在選購相關產品時, 應注意下列事項 : 安全功能 : 應有無線加密機制及安全控管等功能效能 : 應符合設備的規格說明之最大吞吐量 (Throughput) 穩定性 : 應於異常流量或高用量的環境下長時間正常運作此外, 採購單位應優先採購經過檢測技術規範認證的產品, 可有效避免產品潛在瑕疵所帶來的不便和危害 4. 採購認證設備 4.1. 降低資安風險根據資通設備安全檢測技術規範針對無線接取設備所規範的檢測方式, 就無線接取設備在使用上的主要風險, 可透過安全功能測試堅實測試壓力測試及穩定測試進行檢測檢測技術規範裡定義基礎等級以及進階等級二種不同程度的標準, 所要求符合的測試項目也有所差異, 以進階等級的要求的通過標準較為嚴格穩定性測試方面, 基礎等級和進階等級必需在流量重播測試的環境下, 分別持續正常運作超過 168 及 336 小時不論是基礎等級或是進階等級的設備, 檢測技術規範均會量測該設備可承受的最大吞吐量, 以供資訊人員採購參考 4.2. 有效的資安健檢附件 2-8

195 資通設備安全檢測技術規範針對設備基本存取和使用安全做完整的功能測試包括 : 稽核資料產出 : 應可完整紀錄事件發生之時間與內容安全管理功能 : 具備基本的存取控制及自我保護能力唯有嚴格且縝密的測試, 方能確保產品於使用過程中, 符合各使用單位之安全及效能需求附件 2-9

196 電信技術規範檢驗規範資通安全 0000 (IS0000-0) 修訂日期 101 年 12 月 10 日通傳資技字第號無線區域網路路由器資通安全檢測技術規範 ( 草案 ) 執行單位 : 中華民國資訊軟體協會中華民國 101 年 12 月

197

198 目次 1. 概說... 附件適用範圍... 附件安全等級... 附件基礎型無線區域網路路由器... 附件進階型無線區域網路路由器... 附件參考標準... 附件用語釋義... 附件技術要求... 附件書面審查類別... 附件安全標的... 附件安全功能設計... 附件書面審查類別之項目及判定標準... 附件安全標的... 附件安全功能設計... 附件實機測試類別... 附件安全功能測試 (Security Functionality Test)... 附件壓力測試 (Stress Test)... 附件堅實測試 (Robustness Test)... 附件穩定測試 (Stability Test)... 附件實機測試類別之項目及判定標準... 附件安全功能測試... 附件壓力測試... 附件堅實測試... 附件穩定測試... 附件 3-40 附件 3-1

199 圖次圖 1 稽核測試接續示意圖... 附件 3-28 圖 2 重送攻擊偵測接續示意圖... 附件 3-29 圖 3 可信賴更新測試接續示意圖... 附件 3-30 圖 4 資料流控制測試接續示意圖... 附件 3-35 圖 5 吞吐量測試接續示意圖... 附件 3-37 圖 6 異常流量測試接續示意圖... 附件 3-38 圖 7 流量錄製接續示意圖... 附件 3-41 圖 8 流量重播接續示意圖... 附件 3-41 附件 3-2

200 表次表 1 書面審查之類別項目及審查內容... 附件 3-11 表 2 實機測試之類別項目及判定標準... 附件 3-24 附件 3-3

201 附表次附表 1-1 設備規格之書面審查內容... 附件 3-11 附表 1-2 安全功能需求之書面審查內容... 附件 3-12 附表 1-3 安全功能規格之書面審查內容... 附件 3-20 附表 1-4 設計安全性之書面審查內容... 附件 3-20 附表 1-5 安全架構之書面審查內容... 附件 3-21 附表 1-6 安全指引之書面審查內容... 附件 3-22 附件 3-4

202 附錄附錄一安全功能介面表... 附錄 1-1 附錄二子系統描述與分類表... 附錄 2-1 附錄三安全架構描述表... 附錄 3-1 附件 3-5

203 附件 3-6

204 1. 概說無線區域網路路由器檢測技術規範無線區域網路路由器 (Wireless Local Area Network Router, WLAN Router) 是一種電腦網路裝置, 它能選擇資料的傳輸路徑, 將資料封包透過網路傳送至目的地一般路由器亦提供動態主機設定協定 (Dynamic Host Configuration Protocol, DHCP) 或防火牆 (Firewall) 等功能 2. 適用範圍本規範適用於獨立式硬體架構, 並使用嵌入式韌體或專屬軟體之無線區域網路路由器, 可支援開放系統介面 (OSI, Open System Interface) 網路架構的第三層網際網路協定 (Internet Protocol,IP) 層 3. 安全等級本規範之設備安全等級分為基礎型 (Basic) 與進階型 (Advanced) 3.1. 基礎型無線區域網路路由器基礎型設備安全功能測試項目包括稽核資料產出重送攻擊 (Replay Attacks) 偵測可信賴更新鑑別 (Authentication) 失敗控制功能使用者識別及授權功能檢查通行碼逾期功能更新通行碼重新鑑別功能登入畫面保密功能資源最大配額登入連線之鎖定登入連線之終止及安全角色等 12 個主要測試 ; 堅實測試項目包括異常或攻擊流量測試 ; 穩定測試包括真實網路流量長時間測試 3.2. 進階型無線區域網路路由器進階型設備除基礎型設備之測試項目外, 另增加資料流控制功能安全屬性初始值功能 ; 壓力測試包括吞吐量 ; 堅實測試包括非正常關機恢復 ; 穩定測試中的真實網路流量測試時間要求為基礎型之兩倍附件 3-7

205 4. 參考標準 ISO/IEC 共同準則 (Common Criteria for Information Technology Security Evaluation, CC) 5. 用語釋義 5.1. IPSec(Internet Protocol Security)IP 安全協定為建立在網路層上的安全協議, 所有通訊之網路封包必須鑑別和加密, 並在雙方建立通訊時進行相互鑑別及金鑰 (Key) 交換 5.2. SSH (Secure Shell) 為建立在應用層基礎上的安全協議, 對所有傳輸的資料進行加密及壓縮, 可以增加傳輸安全並加快傳輸速度 5.3. TLS (Transport Layer Security) 傳送層安全為建立在傳輸層基礎上的安全協議, 是為網路通信提供安全及數據完整性的一種安全協議 5.4. SSL (Secure Sockets Layer) 安全接套層為 Netscape 在推出 Web 瀏覽器首版的同時提出的協議 SSL 採用公開密鑰技術, 保證兩個應用程式間通信的保密性和可靠性, 使客戶與伺服器之間的通信不被攻擊者竊聽 5.5. HTTPS (Hypertext Transfer Protocol Secure) 保全的超文字傳送協定與 SSL/TLS 合併使用, 用以提供加密通訊及對網路伺服器身分之鑑別 5.6. 角色 (Role) 指預先定義之規則, 以描述使用者與待測物間的操作權限 5.7. 最大同時連線數指防火牆能同時處理之 TCP 連線數最大值附件 3-8

206 5.8. 吞吐量指待測物處理網路流量的速度, 通常的表示法為 Mbps ( 每秒一百萬位元 ) 或 Gbps ( 每秒十億位元 ) 5.9. 最大連線建立速度指防火牆能處理的 TCP 連線建立速度, 通常的表示法為 TCP 連線數 / 每秒共同準則 (Common Criteria, CC) 為國際資通安全產品評估及驗證之標準 (ISO/IEC 15408), 依其定義之評估保證等級 (Evaluation Assurance Level, EAL) 判定產品之安全等級,EAL 共有 7 個等級, 最低等級為 EAL 1, 最高等級為 EAL 7, 提供申請者 / 贊助者檢測實驗室與驗證機關 ( 構 ) 評估及驗證資通安全產品安全與功能性參考網址網路裝置保護剖繪 (U.S. Government Protection Profile for Network Device) 指美國政府機關採購網路裝置之設備技術參考指引評估標的 (Target of Evaluation, TOE) 指待測物及其相關之手冊保護剖繪 (Protection Profile, PP) 指滿足資通安全產品評估標的 (TOE) 製作之安全基本需求文件安全標的 (Security Target, ST) 指資通安全產品能符合保護剖繪 (PP) 或特定安全需求製作之規格文件安全功能 (TOE Security Functions, TSF) 指資通安全產品用於實現安全標的 (ST) 所要求安全功能需求之相關功附件 3-9

207 能安全功能需求 (Security Functional Requirement, SFR) 指共同準則第二部份 (Common Criteria, Part 2) 所定義之安全相關需求條文, 用以描述一資通安全產品之 TSF 所需滿足的各項要求此要求條文會被引用於保護剖繪及安全標的中, 用以具體陳述該產品功能的安全方面的需求安全功能介面 (TOE Security Functions Interface, TSFI) 為評估標的 (TOE) 用於實現安全功能需求 (SFR) 之對外溝通介面安全領域 (Security Domain) 指一個主動式個體 ( 人或機器 ) 被授權存取的資源集合, 為安全架構的屬性之一自我保護 (Self-Protection) 指安全功能無法被無關的程式碼或設施破壞, 為安全架構的屬性之一 6. 技術要求 6.1. 書面審查類別安全標的審查待測物之設備規格及安全功能需求安全功能設計審查待測物之設計安全性安全架構及安全指引 6.2. 書面審查類別之項目及判定標準申請者應依基礎型或進階型之安全等級, 提供符合該等級之安全標的及安全功能設計類別相關文件 ( 如 : 表 1) 附件 3-10

208 表 1 書面審查之類別項目及審查內容類別項目審查內容檢附文件基礎型進階型安全標的安全功能設計設備規格附表 1-1 設備規格說明書安全功能需求附表 1-2 設備規格說明書安全功能規格附表 1-3 附件一安全功能介面表設計安全性附表 1-4 附件二子系統描述與分類表安全架構附表 1-5 附件三安全架構描述表安全指引附表 1-6 指引文件安全標的申請者應提供待測物之設備規格說明書, 包含設備規格 ( 附表 1-1) 及該設備可執行的安全功能需求 ( 附表 1-2) 設備規格說明本項書面審查內容依申請者提供之設備規格說明書, 檢視設備規格是否符合附表 1-1 設備規格之書面審查內容 : 附表 1-1 設備規格之書面審查內容類別項目子項目審查標準安全設備應標示下列內容 : 標的規格 (1) 名稱廠牌型號及版本 1. 設備識別 (2) 申請者名稱 ( 製造商或代理商 ) (3) 製造商名稱 (4) 設備形式 ( 硬體韌體或軟體 ) 基礎型進階型附件 3-11

209 類別項目子項目審查標準應說明下列內容 : (1) 待測物之實體範圍 : 包含待測物外觀尺寸主要零組件及執行 2. 範圍必須之相關週邊設施 (2) 待測物之邏輯範圍 : 包含待測物安全功能以及功能之間相互關係 3. 安全功能應說明待測物之安全功能如何滿足本規範之安全功能需求安全功能需求 (SFR) 基礎型進階型本項書面審查內容依申請者提供之設備規格說明書, 檢視安全功能需求 (SFR) 之執行內容是否符合附表 1-2 ( 安全功能需求之書面審查內容 ) 附表 1-2 安全功能需求之書面審查內容類別項目子項目審查標準安全安全 1. 稽核紀錄待測物應具備以下稽核紀錄 : 標的功能 (1) 待測物應依下列事件產生其稽核需求紀錄, 並存於資料庫中 : A. 啟閉稽核功能 B. 管理者透過管理介面操作待測物的所有行為 C. 使用者之識別與鑑別活動 D. 待測物系統時間變更基礎型進階型附件 3-12

210 類別項目子項目審查標準 E. 軟韌體更新 F. 解除交談鎖定之活動 G. 終止登入連線之活動 H 啟動終止或失敗之可信任通道連結 (2) 每筆稽核紀錄至少包含下列資訊 : A. 事件識別碼 B. 事件日期及時間 C. 事件類型 D. 事件成功或失敗 (3) 每筆稽核事件需可識別是因何使用者所產生 2. 加解密金待測物應具備以下加解密金鑰管理功鑰管理能 : (1) 待測物應以加解密演算法 (Cryptographic Algorithm) 產生分配儲存及銷毀金鑰 (2) 任何明文或金鑰在不需要使用時, 必須將資料清除 3. 加解密演待測物應具備以下加解密演算法操作算法操作功能 : (1) 待測物應以加解密演算法保護遠端管理連線 (2) 應提供 WPA2 或相同安全等級之保密機制基礎型進階型附件 3-13

211 類別項目子項目審查標準 4. 殘餘資訊當待測物配置系統資源 ( 如資料暫存保護區 ) 用之於處理通過之資料封包, 應確保該新配置之系統資源的內容已於前次使用歸還時清除, 或於本次使用前清除, 不致將前次使用之殘餘資訊外洩 5. 鑑別失敗待測物應具備以下鑑別失敗處理能力 : 處理 (1) 可偵測出連續鑑別失敗次數 (2) 當使用者進行登入, 連續鑑別失敗次數達到指定值時, 待測物應拒絕該使用者後續之任何登入鑑別要求 ; 該使用者須經管理者解除鎖定後, 始可重新登入 6. 通行碼管待測物應提供下列通行碼管理功能 : 理 (1) 通行碼可以由大小寫字元數字或特殊字元組成 (2) 通行碼最短長度可由管理人員設定, 且需支援 15 字元以上長度 (3) 通行碼需定期更換且管理者可設定更換週期 (4) 通行碼更換時至少需有 4 個以上字元更動 7. 鑑別機制待測物應具備以下鑑別機制 : (1) 列舉使用者成功完成身分鑑別前, 可執行的安全功能 ( 如 : DHCP 或 Show Status 等 ) (2) 除前列之安全功能, 使用者應成基礎型進階型附件 3-14

212 類別項目子項目審查標準功完成身分鑑別後, 始可執行被授權的安全功能 (3) 應提供管理者本地通行碼 (Local Password) 鑑別機制 (4) 通行碼過期時, 待使用者成功登入後, 待測物應要求使用者立即更新通行碼 (5) 當使用者更改通行碼時, 需重新登入 (6) 鑑別過程中應避免在顯示器上顯示相關鑑別資訊 ( 如輸入的通行碼等 ) (7) 應確保無線用戶在成功完成身分鑑別前, 無法透過待測物接取網路 (8) 待測物之無線傳輸協定應支援共享金鑰 (Pre-shared Key) (9) 續上, 待測物應支援長度為 22 字元的共享金鑰 ( 可由大小寫英文字母 # $ % ^ & * ( 和 ) 等特殊字元所組成 ) 8. 安全功能只有授權之管理者可管理安全功能相行為管理關之資料, 以及對任何安全功能進行更動與設定基礎型進階型 9. 管理功能待測物應具備以下管理功能規格 : 附件 3-15

213 類別項目子項目審查標準規格 (1) 提供遠端或本機登入管理功能 (2) 提供更新待測物韌體之能力, 並於韌體更新前驗證其真偽 10. 安全角待測物應具備及設定以下安全角色 : 色 (1) 經授權的管理者 (2) 可賦予使用者管理者之角色 (3) 管理者可以透過遠端或本機登入系統, 但預設值應禁止遠端登入 11. 失效保當待測物於電源啟動後, 自我測試發生全錯誤時, 應確保金鑰與使用者資料仍處於保護狀態 12. 重送攻待測物應具備以下偵測功能 : 擊偵測 (1) 對通過待測物的網路封包進行重送攻擊偵測 (2) 當發現重送之封包, 應拒絕接收該資料 13. 管理者待測物應具備以下管理者通行碼保護通行碼保功能 : 護 (1) 應避免以明文 (Plaintext) 方式展示通行碼 (2) 通行碼應以非明文方式儲存 14. 可信賴待測物應具備可信賴之時戳, 正確記錄之時戳稽核資料的日期及時間 15. 可信賴待測物應具備以下韌體更新功能 : 更新 (1) 可查詢待測物當前的韌體版本, 基礎型進階型附件 3-16

214 類別項目子項目審查標準 16. 安全功能自我測試 17. 最大資源配置 18. 登入連線之鎖定 19. 登入連線之終止以及目前最新的韌體版本 (2) 管理者可以啟動韌體更新程序 (3) 需支援一機制, 令管理者於韌體更新前, 可辨別欲更新韌體之真偽待測物應於啟動後進行安全功能自我測試, 以確保其可提供正常服務待測物必須通過安全功能自我測試才可提供服務待測物應支援對以下資源上限配置的設定功能 : (1) 可同時登入的管理者數量 (2) 可同時連結 (Associate) 的無線用戶數若管理者登入後閒置時間超過待測物所允許的閒置時間值, 待測物應 : (1) 若為本地交談, 待測物應鎖定或終止該連線 ; 若為鎖定該連線, 待測物應確保顯示資料不造成資訊外洩同時, 欲解除鎖定, 待測物應重新進行使用者鑑別 (2) 若為遠端連線, 待測物應立即終止該遠端連線待測物應允許管理者自行終止自己的登入連線 20. 待測物待測物應支援管理者可設定之登入注基礎型進階型附件 3-17

215 類別項目子項目審查標準存取預設意事項畫面, 並於使用者欲登入時顯示標語此畫面 21. 金鑰保待測物應具備以下防護措施 : 護 (1) 防止共享金鑰對稱金鑰 (Symmetric Keys) 以及私密金鑰 (Private Keys) 等各種金鑰被讀取 (2) 不得提供讀取各種金鑰之指令 22. 可信賴待測物與其他被授權的外部 IT 設備之通道連線應具備以下防護措施 : (1) 應使用 IPSec SSH TLS TLS/HTTPS 或其他加密之通訊協定, 在待測物與其他被授權的 IT 設備 ( 如, 其他路由器 ) 之間提供可信賴通道 (2) 允許待測物或其他被授權的 IT 設備使用可信賴通道發起連線 (3) 請列出所有由待測物所發起與被授權的外部 IT 設備之連線 23. 可信賴待測物與遠端管理者的連線應具備以路徑下防護措施 : (1) 應使用 IPsec SSH TLS TLS/HTTPS 或其他加密之通訊協定與遠端管理者建立可信賴路徑進行連線, 以保護通訊資料免遭修改或揭露基礎型進階型附件 3-18

216 類別項目子項目審查標準 (2) 管理者可用上述之可信賴路徑於遠端主動發起連線 (3) 管理者所發起的遠端連線的鑑別與後續通訊, 都必須透過可信賴路徑進行 24. 資料流待測物資料流控制功能應根據以下資控制料屬性, 具備資料流控制及過濾等管理能力 : (1) 來源端位址及其他自行指定之來源格式 (2) 目的端位址及其他自行指定之目的格式 (3) 通訊協定 (4) 網路卡介面 (5) 服務型態 (6) 其他 ( 自行指定 ) 25. 安全屬當資料流控制功能開啟時, 應具備以下性初始值功能 : (1) 應預設拒絕外部網路的設備發起進到內部網路的連線 (2) 允許被授權的管理者變更預設值安全功能設計基礎型進階型申請者應提供待測物安全功能規格設計安全性安全架構及安全指引等文件, 以確保安全功能 (TSF) 能正確執行附件 3-19

217 安全功能規格本項書面審查內容依申請者提供之附件一安全功能規格表, 檢視安全功能規格之內容是否符合附表 1-3 安全功能規格之書面審查內容附表 1-3 安全功能規格之書面審查內容類別項目審查標準安全安全安全功能介面應實現安全功能需求, 應說明安全功功能功能能介面 (TSFI) 以下規格 : 設計規格 (1) 安全功能介面名稱 (2) 目的 (3) 可實現的安全功能需求 (4) 操作方式 (5) 參數 (6) 執行的動作 (7) 錯誤訊息設計安全性基礎型進階型本項書面審查內容依申請者提供之附件二設計安全性表, 檢視設計安全性之內容是否符合附表 1-4 設計安全性之書面審查內容本項書面審查內容與判定標準說明如附表 1-4: 附表 1-4 設計安全性之書面審查內容類別項目審查標準安全設計應說明如何以子系統組成安全功能規格之安全功能功能安全介面, 並說明安全功能子系統以下規格 : 基礎型進階型附件 3-20

218 類別項目審查標準設計性 (1) 子系統名稱 (2) 目的 (3) 子系統隸屬之安全功能介面 (4) 子系統行為說明安全架構基礎型進階型本項書面審查內容依申請者提供之附件三安全架構表, 檢視安全架構之內容是否符合附表 1-5 安全架構之書面審查內容本項書面審查內容與判定標準說明如附表 1-5: 附表 1-5 安全架構之書面審查內容類別項目審查標準安全安全安全功能規格及設計安全性之檢功能架構附文件, 說明待測物安全架構如何滿足安全功能需設計求 (SFR), 並作為實機測試項目設計的參考針對安全功能介面及子系統, 提出安全架構的設計概念與操作安全建議, 也需符合後續提供的指引文件安全架構應說明下列項目 : (1) 待測物因執行安全功能所區隔的安全領域 (2) 安全功能的安全初始程序 (3) 安全功能的自我保護機制 (4) 安全功能執行如何避免被繞道安全指引基礎型進階型附件 3-21

219 本項書面審查內容依申請者提供之指引文件, 檢視文件內容是否符合附表 1-6 安全指引之書面審查內容本項書面審查內容與判定標準說明如附表 1-6: 附表 1-6 安全指引之書面審查內容類別項目審查標準安全安全 (1) 應定義每個使用者角色功能指引 (2) 應提供每個使用者角色於執行安全功能設計 (TSF) 時之相關說明, 包括 : A. 週邊設備及安全設定 B. 允許使用的介面 C. 安全參數定義 D. 可能產生的安全事件 E. 應遵循的安全措施 (3) 應說明於特殊權限操作時的安全環境要求, 並提供適當的警告 (4) 應列舉待測物操作時的所有運作模式 (5) 應列舉待測物作業失敗 (Failure) 或人員操作錯誤產生的各種情況及處理方式 (6) 應說明待測物運作前的安全準備作業, 包含待測物安裝及啟動方式 (7) 應說明待測物操作的安全環境設置, 應包括以下項目 : A. 待測物使用目的 ( 如 : 針對伺服器進行網路協定管制作業等 ) B. 實體環境安全 ( 如 : 待測物置於具備門禁管制的環境等 ) 附件 3-22 基礎型進階型

220 類別項目審查標準 C. 人員安全 ( 如 : 僅有授權人員可存取待測物等 ) D. 連接安全 ( 如待測物與其他網路伺服器之連線安全等 ) (8) 指引文件將做為實機測試的依據 6.3. 實機測試類別基礎型進階型實機測試包含安全功能測試壓力測試堅實測試及穩定測試安全功能測試 (Security Functionality Test) 測試待測物所具有安全防護相關功能壓力測試 (Stress Test) 測試待測物面臨大量網路封包或連線時, 安全功能是否能保持正常運作堅實測試 (Robustness Test) 測試待測物本身開啟服務或協定時, 面臨針對待測物本身而來的不正常連線行為, 是否能保持正常運作穩定測試 (Stability Test) 將待測物置於真實網路流量下運作測試, 是否有不穩定的狀況發生 6.4. 實機測試類別之項目及判定標準實機測試分為基礎型與進階型, 皆包含安全功能測試壓力測試堅實測試及穩定測試四個類別實機測試項目及標準如表 2 附件 3-23

221 表 2 實機測試之類別項目及判定標準類別項目判定標準基礎型進階型安全功能測試稽核資料產出依 (1) 進行測試, 待測物產出之稽核資訊應具備 : (1) 是否成功啟動稽核功能, 包含未被明確定義 / 指定等級稽核 (2) 所有可稽核之事件 (3) 所有管理之行為 (4) 將發生的稽核事件與使用者之間進行關聯性連結 (5) 紀錄稽核事件的日期時間類別主題識別碼及結果 ( 成功或失敗 ) 依 (2) 進行測試, 待測物的安全功能應支援選擇性的稽核的事件集重送依進行測試, 待測物的安全功能應支援 : 攻擊 (1) 偵測送至待測物的重送攻擊流量之封包偵測 (2) 偵測出重送攻擊之封包, 應拒絕該封包的連線要求可信賴更新依進行測試, 待測物應具備下列韌體更新功能 : (1) 允許被授權的管理者查詢待測物目前韌體版本 (2) 允許被授權的管理者更新韌體版本 (3) 在安裝更新前使用電子簽章機制, 於韌體更新前, 可辨別欲更新韌體之真偽鑑別依進行測試, 待測物應具備下列功能 : 附件 3-24

222 類別項目判定標準失敗 (1) 使用正確之通行碼應可正常登入控制 (2) 當輸入錯誤通行碼超過最大錯誤次數且封鎖功能管理介面後, 使用正確通行碼亦無法登入待測物使用依進行測試, 待測物應具備下列功能 : 者識 (1) 輸入正確的帳號及通行碼方能登入別及 (2) 使用錯誤帳號或通行碼時, 應提示使用者無法授權登入的訊息功能 (3) 需要驗證使用者帳號及通行碼的網路服務, 應輸入正確的帳號及通行碼, 方能存取這些服務檢查依進行測試, 如通行碼逾期時, 應強迫登通行入者更換通行碼, 方能進行後續操作碼逾期功能更新依進行測試, 變更通行碼後, 待測物應要通行求使用者重新登入方能進行後續操作碼重新鑑別功能登入依進行測試, 登入過程中, 待測物之顯示畫面畫面應以特殊號 ( 如 : *") 遮蔽輸入之明文通行保密碼字元功能附件 3-25 基礎型進階型

223 類別項目判定標準資源最大配額登入連線之鎖定登入連線之終止安全角色資料流控制安全屬性初始值依進行測試, 待測物應支援 : (1) IP 位址個數未達到最大值, 輸入正確的帳號及通行碼時可以與待測物建立連線 (2) IP 位址個數達到最大值, 即使輸入正確的帳號及通行碼時亦不可與待測物建立連線 (3) 登出後, 待測物應可以回收原先指派之 IP 位址供下次使用依進行測試, 當鎖定計時之時間到達期限時, 使用者應無法讀取待測物任何資訊當終止計時之時間到達期限, 應立即終止本次會談 (Session) 依進行測試, 當使用者登出後, 與待測物建立的連線應立即中斷依進行測試, 待測物需滿足至少二種角色以上類別及事件關聯性上的設定依進行測試, 待測物應具備下列資料流控制功能 : (1) 應可阻擋特定之網路流量 (2) 應可放行特定之網路流量依進行測試, 待測物需具備下列功能 : (1) 資料流控制功能應包含基本規則 (2) 被授權的管理者可變更資料流控制功能之規則基礎型進階型附件 3-26

224 類別項目判定標準基礎型進階型壓力測試吞吐量依進行測試, 當待測物所負荷的吞吐量達到其規格說明之最大值時, 不能發生封包遺失且安全功能應正常運作堅實測試異常流量依進行測試, 待測物遠端管理介面對服務 / 協定異常或攻擊流量應保持正常運作測試非正依進行測試, 待測物應可重新開機復原到常關非正常關機前的最後正常狀態機恢復穩定真實依進行測試, 待測物應可持續 168 小時穩測試流量定運作依進行測試, 待測物應可持續 336 小時穩定運作安全功能測試檢視待測物之安全功能需求是否符合書面送審資料, 並依下列各測試項目進行實機測試稽核資料產出測試環境附件 3-27

225 圖 1 稽核測試接續示意圖 (1) 測試平台 A: 模擬被授權存取的無線用戶 A (2) 測試平台 B: 模擬被授權存取的無線用戶 B (3) 稽核伺服器 : 提供記錄稽核事件功能的伺服器 (4) 網路連接線 : 乙太網路線或光纖纜線 (5) 連接測試平台 A 測試平台 B 待測物及稽核伺服器如圖 1 (6) 開啟待測物稽核功能及稽核伺服器的相關設定測試方法及標準 (1) 稽核伺服器上有關管理上的操作及相關資訊應被紀錄且須產出下列稽核資訊 : A. 稽核功能啟動成功與否 B. 所有可稽核的事件, 包含未被明確定義 / 指定等級稽核 C. 所有管理行為 D. 將發生的稽核事件與使用者進行關聯性連結 E. 事件的日期時間類別主題識別碼及結果 ( 成功或失敗 ) 附件 3-28

226 (2) 應支援選擇性的稽核事件集並根據下列屬性, 在所有可稽核事件的列表中進行稽核 : A. 管理者身分鑑別 B. 事件類型 C. 可稽核安全事件的成功通知 D. 可稽核安全事件的成功與否 E. 其它待測物規格說明書所列舉之事件重送攻擊偵測測試環境圖 2 重送攻擊偵測接續示意圖 (1) 測試平台 A 及測試平台 B: 具備無線介面之測試儀器 (2) 透過無線方式連接測試平台與待測物如圖 2 (3) 以測試平台 B 模擬一惡意使用者 B 在訊號範圍內開啟無線網卡監聽模式, 並以測試平台 A 模擬同一頻段中另一使用者 A, 當附件 3-29

227 取得使用者 A 與待測物間傳送的封包內容及相關資訊後, 惡意使用者 B 偽裝成使用者 A 並注入偽造的 Deauth 的指令至待測物, 企圖中斷使用者 A 與待測物間的連線測試方法及標準待測物開啟此項安全功能後, 應滿足下列條件 : (1) 應偵測出惡意使用者重送至待測物的網路封包 (2) 偵測出重送之網路封包後, 應拒絕該封包的連線要求可信賴更新測試環境圖 3 可信賴更新測試接續示意圖 (1) 測試平台 : 可連線至待測物之測式儀器或程式 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接測試平台及待測物如圖 3 (4) 開啟待測物安全管理功能測試方法及標準待測物的安全功能應滿足下列條件 : (1) 被授權的管理者登入後, 可以查詢待測物內部韌體版本資訊及更新內部韌體版本附件 3-30

228 (2) 在安裝更新前須通過待測物之電子簽章機制驗證, 如驗證失敗, 應拒絕執行該次更新操作鑑別失敗控制功能測試環境如圖測試方法及標準開啟待測物之安全管理功能, 並依其規格說明提供之功能, 以下列方法擇一進行測試 (1) 方法一 ( 待測物提供 Quiet Period 功能 ): A. 應輸入正確通行碼才能對待測物進行管理設定 B. 輸入錯誤通行碼, 待測物應檢查是否超過最大錯誤次數時, 如超過最大錯誤次數, 則應封鎖管理介面一段時間 (Quiet Period) 以避免遭受攻擊於管理介面封鎖期間內即便使用正確的通行碼亦無法登入待測物之管理介面 C. 靜置待測物一段時間, 不對待測物進行任何操作, 直到 Quiet Period 逾時, 使用正確的通行碼應可正常登入管理介面 (2) 方法二 ( 待測物永久鎖定登入管理介面 ) : A. 應輸入正確通行碼才能對待測物進行管理設定 B. 輸入錯誤通行碼, 待測物應檢查是否超過最大錯誤次數時, 如超過最大錯誤次數, 則應封鎖管理介面以避免遭受攻擊封鎖登入管理介面後, 即便使用正確的通行碼亦無法登入待測物之管理介面 C. 根據待測物使用手冊的說明步驟, 解除管理介面之封鎖解除後, 輸入正確通行碼應能正常登入管理介面附件 3-31

229 使用者識別及授權功能測試環境同圖測試方法及標準 (1) 應輸入正確通行碼才能登入待測物, 如使用錯誤帳號通行碼時, 應提示使用者無法登入的訊息 (2) 開啟待測物需要驗證使用者帳號及通行碼的網路服務, 應於輸入正確的帳號及通行碼後, 方能存取這些服務並進行後續操作檢查通行碼逾時功能測試環境同圖測試方法及標準 (1) 開啟待測物之檢查通行碼逾期功能 (2) 輸入已逾期的通行碼進行登入程序 (3) 待測物應提示通行碼已逾期, 並強制更換新的通行碼, 否則無法繼續對待測物進行任何操作更新通行碼重新鑑別功能測試環境同圖測試方法及標準 (1) 開啟待測物此項安全管理功能附件 3-32

230 (2) 完成登入程序後立即更換通行碼 (3) 待測物應要求以新通行碼重新登入後, 才能對待測物進行操作登入畫面保密功能測試環境同圖測試方法及標準 (1) 開啟待測物此項安全管理功能 (2) 輸入帳號及通行碼登入待測物 (3) 登入過程中, 待測物之使用者介面應以特殊代號 ( 如 : *"), 遮蔽輸入的通行碼字元資源最大配額測試環境同圖測試方法及標準 (1) 開啟待測物指派 IP 位址之功能並設定固定時間內可以指派的 IP 位址個數 (2) 當指派之 IP 位址個數尚未達到規格說明所列之最大值時, 輸入正確的連線帳號及通行碼應可建立無線傳輸之連線此時, 待測物應指派一個新 IP 位址給用戶端且可用的 IP 位址個數應自動減少一個 (3) 無線用戶端經無線介面使用 IPSec SSH TLS 或 HTTPS 連至待測物, 如指派之 IP 位址個數達到最大值, 即使輸入正確的連附件 3-33

231 線帳號及號通行碼應無法與待測物建立連線 (4) 當無線用戶端登出後或離線後, 待測物應收回原先指派之 IP 位址, 且可用之 IP 位址個數應自動加一登入連線之鎖定測試環境同圖測試方法及標準 (1) 開啟待測物之會談鎖定功能 (2) 指定待測物之自動鎖定 (Lock) 之計時時間值或自動終止 (Terminate) 之計時時間值 (3) 由測試平台以 IPSec SSH TLS 或 HTTPS 方式連至待測物, 並輸入正確之帳號及通行碼 (4) 成功登入後如無任何操作, 鎖定之計時應自動啟動當時間到達設定之期限應無法讀取待測物任何資訊, 除非重新登入成功, 否則無法繼續對待測物進行任何操作 (5) 成功登入後如無任何操作, 終止之計時應開始啟動, 當時間到達設定之期限, 此次會談應立即終止登入連線之終止測試環境同圖測試方法及標準 (1) 輸入正確之使用者帳號及通行碼後應可登入待測物 (2) 當使用者登出後, 與待測物建立的連線應立即中斷附件 3-34

232 安全角色測試環境同圖測試方法及標準 (1) 由測試平台連至待測物並以管理者身分登入進行設定 (2) 待測物應支援管理者建立多種使用者身分, 如 :admin limited admin 或 user (3) 套用不同的身分, 應確定不同的身分所擁有的權限及事件通知具有差異性 (4) 預設之功能應禁止管理者帳號遠端登入操作, 由本機變更功能後, 管理者帳號應能使用遠端方式登入待測物, 並完成上述所有角色管理上的要求資料流控制測試環境圖 4 資料流控制測試接續示意圖 (1) 測試平台 A: 可產生網路封包之測試儀器或程式 (2) 測試平台 B: 可模擬無線用戶端之設備 (3) 網路連接線 : 乙太網路線或光纖纜線 (4) 測試平台 B 利用無線及有線介面與待測物建立連線並分別取得附件 3-35

233 無線及有線之 IP 位址, 連接測試平台 A 與待測物如圖 4 (5) 開啟待測物此項安全功能測試方法及標準 (1) 使用測試平台 A 產生一來源 IP 位址為無線用戶端無線 IP 位址的流量, 待測物開啟流量過濾功能, 測試平台 B 應無法收到測試流量 (2) 使用測試平台 A 產生一來源 IP 位址為無線用戶端有線 IP 位址的流量, 待測物開啟流量過濾功能, 測試平台 B 應無法收到測試流量 (3) 使用測試平台 B 自無線界面產生一目的 IP 位址為測試平台 IP 位址的流量, 待測物開啟流量過濾功能, 測試平台 A 應無法收到測試流量 (4) 使用測試平台 B 自有線界面產生一目的 IP 位址為測試平台 IP 位址的流量, 待測物開啟流量過濾功能, 測試平台 A 應無法收到測試流量 (5) 待測物關閉流量過濾功能, 重複以上步驟, 測試平台 A 與測試平台 B 應正常收到測試流量安全屬性初始值測試環境同圖測試方法及標準 (1) 由測試平台載入待測物之出廠預設值 (2) 確定待測物回復出廠預設值後, 以正確通行碼登入待測物管理介面, 資料流控制功能應包含基本規則, 如 : 限制外到內或內到外附件 3-36

234 的連線存取 (3) 以正確的管理者通行碼登入待測物管理介面, 應可變更或修改資料流控制功能之規則壓力測試吞吐量測試測試環境圖 5 吞吐量測試接續示意圖 (1) 測試平台 : 可產生網路封包之測試儀器或程式 (2) 測試平台 A 埠 : 模擬用戶端送收網路封包 (3) 測試平台 B 埠 : 模擬伺服器端送收網路封包 (4) 通道模擬器 : 模擬無線通訊環境可將有線訊號轉換成無線訊號 (5) 訊號遮蔽箱 : 可遮蔽無線訊號之裝置 (6) 網路連接線 : 乙太網路線或光纖纜線 (7) 連接測試平台通道模擬器及待測物如圖 5 (8) 開啟待測物之安全功能 (9) 測試平台產生大小為及 1518 位元組之網路封包, 附件 3-37

235 並依 IMIX 之比例 57% 7% 16% 及 20% 混合, 時間為 60 秒測試方法及標準測試平台建立自 A 埠經待測物至 B 埠之網路連線後, 傳送不同大小之封包當待測物所負荷的吞吐量達到其規格說明之最大值時, 待測物安全功能應正常運作堅實測試異常流量測試測試環境圖 6 異常流量測試接續示意圖 (1) 測試平台 : 可產生各種異常或攻擊流量之測試儀器或程式 (2) 以無線方式連接測試平台及待測物如圖測試樣本以測試平台產生下表之異常或攻擊流量攻擊類型 (1) DoS/DDoS 阻斷式攻擊 (2) Ethernet ARP IP TCP UDP DHCP 及 ICMP 等通訊協定之異常封包描述同時產生多組不同來源且具有相同目的 IP 位址的封包送至待測物, 造成待測物無法繼續提供服務產生多種通訊協定之異常封包使其通過待測物, 造成待測物無法正常運作附件 3-38

236 攻擊類型 (3) 變形的 Frame-Assoc 請求 (Malformed Frame-Assoc Request) (4) 變形 Frame-Auth (Malformed Frame-Auth) (5) 虛擬 Carrier-Sense 攻擊 (Virtual Carrier-Sense Attack) (6) 關聯 / 鑑別泛洪式攻擊 ( Associate / Authenticate Flood) (7) TKIP MIC 弱點攻擊 ( TKIP MIC Exploit) 描述產生 SSID 空白之連線要求, 與待測物建立連線, 造成待測物無法正常運作產生錯誤的鑑別訊框送至待測物, 造成待測物產生弱點產生多種持續長時間的 ACK, 資料, RTS 及 CTS 訊框種類至待測物, 會使得合法使用者不能存取待測物從隨機 MAC 挑選假的鑑別資訊或是關聯資訊, 將其傳送至攻擊目標 AP 的關聯表中產生不合法的 TKIP 資料, 使攻擊目標 AP 的 MIC 超出其可承受之錯誤臨限, 進而使得無線網路停止服務測試方法及標準測試平台送出異常或攻擊流量至待測物, 待測物之遠端管理功能應正常運作非正常關機恢復測試環境無測試方法及標準待測物運作期間非正常關機時, 經重新啟動後, 待測物應復原到非正常關機前的狀態且須達到下列要求 : 附件 3-39

237 (1) 應保留非正常關機前最後設定的系統組態 (2) 應保留非正常關機時間點前最後 5 分鐘的日誌檔案 ( 含系統日誌及安全事件日誌 ) (3) 應使用非正常關機前最後設定的系統組態正常開機穩定測試真實流量在一般使用者上線的真實運作之網路, 以場測方式進行測試, 或將真實網路流量錄製後, 再以重播之方式進行測試測試環境 (1) 流量錄製平台 : 錄製網路封包 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接流量錄製平台路由器內部網路及網際網路如圖 7 (4) 路由器將往來 A B 兩埠的網路封包複製一份後, 經 C 埠送至流量錄製平台, 流量錄製平台將網路封包錄製成為檔案儲存 (5) 流量重播平台 : 具備有線及無線介面之重播設備, 能將預先錄製之真實流量檔案還原成網路封包送至待測物 (6) 連接流量重播平台與待測物如圖 8 (7) 流量重播平台將網路流量透過有線及無線界面重播至待測物附件 3-40

238 圖 7 流量錄製接續示意圖圖 8 流量重播接續示意圖測試樣本測試樣本必須滿足以下要求 : (1) 具備至少 100 位使用者同時上線的網路流量 (2) 若以重播方式進行測試, 所使用之網路流量必須為送測日前 2 周內從真實網路環境所錄製之流量 (3) 重播之網路流量其最大同時連線數於測試期間必須達待測物規格說明處理能力最大值之 50% 以上 (4) 重播之網路流量須以線性放大或縮小以維持波形, 並使其平均流量為待測物規格說明處理能力最大值之 50% (5) 流量內容須涵蓋 10 種以上之應用類型並包含 smtp pop3 imap ftp smb http https dns 及 snmp 等應用項目, 全部之應用項目須達 50 個以上應用項目舉例如下 : 附件 3-41

239 A. Chat: msn yahoo messenger qq xmpp 及 aol-icq B. gmail smtp pop3 imap 及 webmail C. File Transfer:ftp flashget 及 smb D. Game:garena facebook app 及 steam E. P2P:gnutella edonkey bt xunlei fasttrack ares kazaa 及 ed2k F. Remote Access:windows remote desktop telnet ssh 及 vnc G. Streaming:rtsp protocol, qqtv, pplive, qvod, flashcom, itunes, funshion H. Web:http, http download, http video, http range get, https, http proxy I. Others:sslvpn, nntp protocol, dns protocol, snmp protocol, dhcp protocol, mysql, ntp protocol 測試方法及標準 (1) 基礎型待測物應進行連續 168 小時測試 ; 進階型待測物應進行連續 336 小時測試 (2) 測試過程不能發生下列不穩定之情況 : A. 當機 B. 重新開機 C. 連線不正常中斷 D. 安全功能失效附件 3-42

240 附錄附錄一安全功能介面表安全功能介面名稱 TSFI 目的 Purpose 安全功能介面可實現之安全功能需求 SFR 操作方式 Method of Use 參數 Parameter 執行動作 Actions 錯誤訊息 Error Message 列出所有安全功能說明各安全功能說明各安全功能說明如何使用說明各安全功說明各安說明執行各安介面介面之安全功能介面如何實現附各安全功能介能介面所有參全功能介全功能介面產目的表 1-2 所列之安面數及其意義面如何運生之錯誤訊全功能需求作及其執息, 包含其意行細節義及產生條件範例 : 範例 : 範例 : 範例 : 範例 : 範例 : 範例 : TSFI_CLI 提供命令列模式 SFR_ 安全管理 : 以 ssh 連接待測 ID & password 可下達管連接失敗操作介面提供安全管理功物, 即提供命令理命令操鑑別失敗能列模式操作介作待測物面附錄 1-1

241 附錄二子系統描述與分類表子系統名稱 Subsystem 目的 Purpose 子系統隸屬之安全功能介面 TSFI 子系統行為說明 Behavior Description 列出各安全功說明各子系說明各子系統說明各子系統行為如下 : 能介面之子系統之安全功隸屬於附件一 (1) 如何實現安全功能介面的功能統能目的所列之安全功 (2) 與其他子系統間互動之資訊, 包含不同子系統間的溝通以及傳遞資料的能介面特性範例 : 範例 : 範例 : 範例 : Subsystem_ssh 提供 ssh 服務 TSFI_CLI (1) 提供 TSFI_CLI 命令列模式操作介面 (2) 與其他子系統之互動 : (A) Subsystem_auth: 傳遞鑑別資訊給 Subsystem_auth, 並由回覆訊息確認鑑別是否成功 (B) Subsystem_terminal: 附錄 2-1

242 附錄三安全架構描述表項目說明 1. 安全領域 Security Domain 安全領域名稱列出各安全功能介面對應之安全領域安全領域說明在安全功能操作環境及內部執行限制下, 如何區隔所需保護的資料範例 : TSFI_GUI: Domain_SecureLogAudit Domain_SecureConnection 範例 : 透過 TSFI_GUI 來執行管理功能時, 該 TSFI 同一時間只能有單一遠端連線, 並只能執行單一稽核資料處理請求附錄 3-1

243 項目說明 2. 初始程序 Secure Initialization 相關元件操作待測物的相關元件 / 環境初始程序說明提供安全啟動待測物之相關元件起始步驟及安裝程序範例 : 待測物網路連接程序範例 : 1. 從端口標記為 0/ 0(ethernet0 / 0 接口 ) 連接一個 RJ- 45 電纜到交換機或路由器 Trust 安全區 2. 從端口標記為 0/ 1(ethernet0 / 1 接口 ) 連接一個 RJ- 45 電纜到交換機或路由器中的 DMZ 安全區附錄 3-2

244 項目說明 3. 自我保護 Self-Protection 自我保護功能與外部設備之關係自我保護機制說明列出各安全功能介面對應之自說明安全功能及其介面需說明安全功能介面提供實體上或我保護機制與外部設備之資料交換邏輯上的自我保護機制動作範例 : TSFI_WEB: 自我保護 1: 身分驗證自我保護 2: 遠端連線加密範例 : 範例 : 遠端以瀏覽器連線待測 1. 應輸入通行碼才能進入介面物進行管理功能時, 以 2. 資料傳輸機制 :TLS/SSL TSFI_WEB GUI 介面進 3. 特殊執行方式 : 指紋辨識行身分認驗證 4. 特殊設備需求 : 指紋辨識器附錄 3-3

245 項目說明 4. 防止繞道 Non-Bypassibility 防止繞道功能列出各安全功能對應之防止繞道機制防止繞道機制說明 1. 列舉可能繞道之手法 2. 說明防範作法, 包含進入安全功能的介面如何被保護執行階段的資料處理如何保護是否存有其他對外通道及相關防範非法進入之機制等範例 : TSF_Authentication 身分驗證功能範例 : 可能直接以維護介面不經身分鑑別操控待測物防範作法 : 以實體封鎖方式, 防止利用維護介面繞道身分鑑別程序附錄 3-4

246 無線區域網路路由器採購參考指引 ( 草案 ) 執行單位 : 中華民國資訊軟體協會中華民國 101 年 11 月

247

248 目次 1. 前言... 附件目的... 附件適用對象... 附件設備介紹... 附件無線網路簡介... 附件無線區域網路路由器... 附件系統架構... 附件運作原理... 附件 WiFi 技術... 附件 WEP... 附件 WPA/WPA2... 附件 Network Address Translation(NAT)... 附件常見安裝方式... 附件如何評估... 附件防護措施... 附件採購認證設備... 附件降低資安風險... 附件有效的資安健檢... 附件 4-9 附件 4-1

249 圖目次圖 1 系統架構... 附件 4-5 圖 2 常見無線區域網路路由器設定流程... 附件 4-7 附件 4-2

250 1. 前言 1.1. 目的本文件旨在說明採購無線區域網路路由器須注意之功能面及效能面考量政府機關 ( 構 ) 得參考本指引進行採購, 以強化無線網路之安全管理本指引係屬建議性質, 單位進行設備採購時仍需符合單位資安管理規範之要求無線區域網路路由器之目的在於提供政府機關 ( 構 ) 人員無線上網之能力, 使政府機關 ( 構 ) 員工與洽公民眾可以存取網際網路, 以 E 化方式辦理公務申請 1.2. 適用對象本文件適用於政府機關 ( 構 ) 運用資訊科技從事業務維運之所有人員為便於閱讀與使用, 特將適用對象區分為一般主管資訊人員及一般使用者一般主管及資訊人員可考慮閱讀整份文件, 一般使用者則可略過第二章的部份 2. 設備介紹 2.1. 無線網路簡介與網際網路的連線方式可分為無線與有線兩大類, 傳統有線方式可以透過乙太網路 (Ethernet) 數位用戶線路 (DSL) 或光纖 (Fiber) 等線路上網, 然而無論透過上述哪一種方式, 要與網際網路連線的裝置必須以實體線材進行連接, 因而導致使用者只能在定點位置上無法移動無線上網可提供使用者更方便的使用環境, 可透過 WiFi 3G WiMAX 或 UWB 等無線技術上網, 目前 WiFi 及 3G 是兩種最為被廣泛使用的技術,3G 訊號範圍大但傳輸頻寬小,WiFi 傳輸頻寬大但訊號範圍小, 兩者可互補使用, 因此, 室外空間多以 3G 技術來提供連網服務, 而室內空間則以 WiFi 來提供無線連網服務 2.2. 無線區域網路路由器無線區域網路路由器是指具備無線網路功能的路由器, 路由器的主要功附件 4-3

251 能為串連多個網路並負責將封包傳送至正確的目的地, 傳送封包的過程稱為路由, 因此負責這項工作的網路設備被賦予路由器之名稱路由器可透過乙太網路或光纖網路介面串連多個網路, 而無線區域網路路由器除了傳統的有線介面外, 更提供了無線介面與網路進行連接, 目前市場上之產品主要以 WiFi 或第三代行動網路為主要的無線介面, 而以 WiMAX 為無線介面的產品在市場上也有部分產品近來廠商已著手研發提供第四代行動網路為無線介面的無線區域網路路由器產品目前共同供應契約中所要求之無線區域網路路由器規格皆以 WiFi 為其無線介面, 因此本參考指引中將討論以 WiFi 為無線介面的無線區域網路路由器無線區域網路路由器在路由器中屬於中低階的產品, 通常應用於家庭或小型工作室, 市場上也有人將其稱之為 SOHO 路由器一般無線區域網路路由器, 至少具備乙太網路及 WiFi 兩種介面乙太網路埠根據其產品的特性有一至多個, 當乙太網路埠只有一個的時候, 此埠通常被用於連接網際網路 (Internet), 稱之為廣域網路埠 (WAN Port), 當產品具有兩個以上乙太網路埠時, 除了一個埠作為廣域網路埠外, 其他的埠會用於連接區域網路, 稱之為區域網路埠 (LAN Port), 少數產品會有兩個廣域網路埠用於平衡上網流量並進行備援, 但這類型的產品不在我們討論的範圍中在一般的無線區域網路路由器設定中,WiFi 介面屬於區域網路的一部分, 因此可以視為透過 WiFi 來連接區域網路為了達成路由工作, 路由器廣域網路埠與區域網路埠各自會綁定一個屬於廣域及區域網路的 IP 位址廣域網路的 IP 位址可以使用固定 IP 位址, 也可以透過 PPTP 或 DHCP 取得區域網路的 IP 位址通常預設為虛擬 IP 位址, 由於虛擬 IP 位址在網際網路中無法正確送收封包, 因此當區域網路中使用虛擬 IP 位址的設備要與網際網路進行溝通時, 則需透過無線區域網路路由器提供的網路位址轉換技術 (Network Address Translation, NAT) 對外進行連線 2.3. 系統架構網路環境中, 為了串連多個網路並提供無線上網能力, 需要有一台設備附件 4-4

252 進行封包路由並提供無線介面供使用者存取, 負責這項工作的設備統稱為無線區域網路路由器 (Wireless LAN Router) 有別於一般有線網路環境下使用者需帶著網路線尋找網路插座的情況, 在無線區域網路路由器的訊號涵蓋範圍中, 使用者只需開啟無線網路掃描是否有提供上網服務的無線區域網路路由器, 通過身分鑑別及授權為合法使用者後, 即可與網際網路進行連線, 可大幅減少尋找網路插座的時間, 並可發揮裝置可移動的特性, 主要系統架構如圖 1 所示通常對於終端使用者而言, 使用無線區域網路路由器或無線接取點上網並沒有差異但對於網管人員而言, 無線接取點只能提供單純的無線網路與有線網路間的訊號轉換, 而分配 IP 位址或封包路由等功能則需仰賴其他的設備來處理, 但無線區域網路路由器同時具備無線接取點與路由器的功能, 因此可以降低網管人員架設及維護網路的複雜度圖 1 系統架構 2.4. 運作原理無線區域網路路由器透過 WiFi 的方式與使用者所使用的終端裝置進行連線, 並將使用者由 WiFi 傳送過來的封包轉送至適當的網路上, 如 : 乙太網路或數位用戶線路等, 藉以讓使用者透過 WiFi 得以存取網際網路上的資源 WiFi 技術 Wi-Fi 技術建立在 IEEE 標準上, 如 :802.11a, b, g, n, 現在仍在討論中的 ac 亦為 WiFi 標準 IEEE 制訂與出版這些標準, 但不負責測試符合 WiFi 設備間的相容性因而有非營利性的 Wi-Fi 聯附件 4-5

253 盟於 1999 年成立, 其主要任務是確保 WiFi 執行標準操作性與相容性, 並推動無線區域網路技術 WEP 有線等效加密 (Wired Equivalent Privacy), 又稱無線加密協議 (Wireless Encryption Protocol), 簡稱 WEP, 是用以保護無線網路 (Wi-Fi) 資料安全的機制無線網路是用無線電把訊息傳播出去, 因而容易遭受竊聽 WEP 的設計是要提供與有線的區域網路相當的機密性近年密碼學者已經指出 WEP 數個弱點, 因此 WEP 在 2003 年被 IEEE i 標準的 Wi-Fi Protected Access (WPA) 所淘汰, 之後於 2004 年後由 WPA2 所取代, 目前 WPA2 是無線區域網路路由器內建的主要無線訊號保護方法之一 WPA/WPA2 WPA 全名為 Wi-Fi Protected Access, 有 WPA 和 WPA2 兩個標準, 是一種確保無線網路安全的機制 WPA 實作了 IEEE i 標準的大部分, 是在 i 完備之前替代 WEP 的過渡方案 WPA 的設計可以用在所有的無線網卡上, 但未必能用在第一代的無線取用點上 WPA2 實作了完整的標準, 部分老舊的網卡並不支援 Network Address Translation(NAT) NAT 是一種在 IP 封包通過路由器或防火牆時重寫來源 IP 地址或 / 和目的 IP 位址的技術這種技術被普遍使用在有多台主機但只透過一個公開 IP (Public IP) 位址訪問網際網路的私有網路中 NAT 讓主機之間的通信變得複雜, 導致通訊效率的降低, 其技術細節請參閱 RFC 常見安裝方式透過無線電波的傳輸方式, 使用者在收的到無線區域網路路由器無線訊號的範圍內可以存取其服務, 因此每一台無線區域網路路由器都需要設定對應的加密與存取認證等安全機制一般無線區域網路路由器會透過網頁介面附件 4-6

254 來進行設定, 當使用者第一次登入無線區域網路路由器時, 多數無線區域網路路由器將提供精靈介面 (Wizard Interface) 引導使用者進行設定, 設定過程中將依序設定廣域網路位址及取得方法 ( 如 : 靜態 IP 位址或透過 PPTP 取得位址 ), 接著再依序設定區域網路的 IP 位址範圍以及是否啟動 DHCP 伺服器等功能完成區域網路設定後, 即可設定無線介面的加密方式, 選擇無線介面使用 IEEE a, b, g, n, ac 何種方式進行連接, 連接過程使用何種加密機制等最後依每一台無線區域網路路由器的功能不同, 可以進行 QoS 設定或防火牆規則設定等圖 2 常見無線區域網路路由器設定流程 2.6. 如何評估無線訊號有不需接線的特性, 為了避免有心人在收到的訊號範圍內任意的存取網路, 必須針對無線區域網路路由器進行加密認證設定, 在加密認證中, 有三個部分需要特別注意 : (1) 須有驗證使用者具備存取網路的權限的機制透過鑑別使用者身分的機制, 以過濾未經授權的使用者, 一來可以避免網路遭盜用, 二來可以確保在相同區域網路下的內部伺服器不被攻擊 (2) 須使用加密防止無線用戶端傳輸的資料遭竊聽附件 4-7

255 無線訊號透過空氣為傳播介質, 訊號於傳播過程中可能遭有心人士攔截並竊取傳送的資料, 如傳送的資料未經加密, 可能發生資料遺失或外洩的狀況, 因此須具備完善的加密機制以確保資料之私密性 (3) 僅管理人員可被授權更動無線區域網路路由器的設定值前述 (1) 與 (2) 項皆可在無線區域網路路由器的設定介面中選擇是否啟用, 為了避免設定值或參數遭到惡意竄改, 當進入修改設定的網頁時會被要求輸入管理者帳號與通行碼, 以確保修改設定的人員為合法授權之網管人員 2.7. 防護措施有鑑於無線區域網路路由器可能帶來的資安風險, 採購單位在選購相關產品時, 應注意下列事項 : 安全功能 : 應有無線加密機制及安全控管等功能效能 : 應符合設備的規格說明之最大吞吐量 (Throughput) 穩定性 : 應於異常流量或高用量的環境下長時間正常運作此外, 採購單位應優先採購經過檢測技術規範認證的產品, 可有效避免產品潛在瑕疵所帶來的不便和危害 3. 採購認證設備 3.1. 降低資安風險根據資通設備安全檢測技術規範針對無線區域網路路由器所規範的檢測方式, 就無線區域網路路由器在使用上的主要風險, 可透過安全功能測試堅實測試壓力測試及穩定測試進行檢測檢測技術規範裡定義基礎等級以及進階等級二種不同程度的標準, 所要求符合的測試項目也有所差異, 以進階等級的要求的通過標準較為嚴格穩定性測試方面, 基礎等級和進階等級必需在流量重播測試的環境下, 分別持續正常運作超過 168 及 336 小時不論是基礎等級或是進階等級的設備, 檢測技術規範均會量測附件 4-8

256 該設備可承受的最大吞吐量, 以供資訊人員採購參考 3.2. 有效的資安健檢資通設備安全檢測技術規範針對設備基本存取和使用安全做完整的功能測試包括 : 稽核資料產出 : 應可完整紀錄事件發生之時間與內容安全管理功能 : 具備基本的存取控制及自我保護能力唯有嚴格且縝密的測試, 方能確保產品於使用過程中, 符合各使用單位之安全及效能需求附件 4-9

257 電信技術規範檢驗規範資通安全 0008 (IS0008-0) 修訂日期 101 年 12 月 10 日通傳技字第號網路型防火牆資通安全檢測技術規範 ( 修改建議 ) 執行單位 : 中華民國資訊軟體協會中華民國 101 年 12 月

258

259 目次 1. 概說... 附件適用範圍... 附件安全等級... 附件參考標準... 附件用語釋義... 附件技術要求... 附件書面審查類別... 附件安全標的... 附件安全功能設計... 附件書面審查類別之項目及判定標準... 附件安全標的... 附件安全功能設計... 附件實機測試類別... 附件安全功能測試 (Security Functionality Test)... 附件壓力測試 (Stress Test)... 附件堅實測試 (Robustness Test)... 附件穩定測試 (Stability Test)... 附件實機測試類別之項目及判定標準... 附件安全功能測試... 附件壓力測試... 附件堅實測試... 附件穩定測試... 附件 5-26 附件 5-1

260 圖次圖 1 封包過濾測試接續示意圖... 附件 5-20 圖 2 流量內容統計測試接續示意圖... 附件 5-21 圖 3 安全事件紀錄接續示意圖... 附件 5-21 圖 4 備援測試接續示意圖... 附件 5-23 圖 5 流量錄製接續示意圖... 附件 5-27 圖 6 流量重播接續示意圖... 附件 5-27 附件 5-2

261 表次表 1 書面審查之類別項目及審查內容... 附件 5-8 表 2 實機測試之類別項目及判定標準... 附件 5-18 附件 5-3

262 附錄附錄一安全功能介面表... 附錄 1-1 附錄二子系統描述與分類表... 附錄 2-1 附錄三安全架構描述表... 附錄 3-1 附件 5-4

263 1. 概說網路型防火牆資通安全檢測技術規範網路型防火牆 (Network-based Firewall, 以下簡稱防火牆 ) 可將網路分隔為內部網路 (Internal Network) 外部網路 (External Network) 及非軍事區域網路 (DMZ), 依不同的安全策略, 設定規則以管制特定流量, 進而提供網路存取之資訊安全防護 2. 適用範圍本規範適用於獨立式硬體架構, 並使用嵌入式韌體或專屬軟體之網路型防火牆, 可支援開放系統介面 (OSI, Open System Interface) 第四層 (Layer 4), 依不同網路區域設定所屬之安全策略 (policy), 管控封包本規範不適用安裝於電腦主機之純軟體防火牆 (Host-based Firewall) 3. 安全等級本規範之設備安全等級分為基礎型 (Basic) 與進階型 (Advanced) 3.1. 基礎型防火牆基礎型設備安全功能測試項目包括封包過濾流量內容統計安全事件紀錄及安全管理 ; 壓力測試項目包括吞吐量 ; 堅實測試項目包括阻斷式攻擊及非正常關機復原 ; 穩定測試項目包括真實流量長時間測試 3.2. 進階型防火牆進階型設備除基礎型設備之測試項目外, 另增加安全功能測試項目包括備援管理及規則控管 ; 壓力測試項目包括最大同時連線數與最大建立連線速率 ; 堅實測試項目包括異常流量 ; 穩定測試項目包括真實流量長時間測試 4. 參考標準 ISO/IEC 共同準則 (Common Criteria for Information Technology Security Evaluation, CC) ICSA Firewall Certification Criteria Baseline Module - Version 4.1x 附件 5-5

264 Firewall Certification Criteria Enterprise Module - Version 4.1x NSS Firewall Certification Methodology-Version 用語釋義 5.1. 角色 (Role) 指預先定義之規則, 以描述使用者與待測物間的操作權限 5.2. 內部網路 (Internal Network) 指透過防火牆所保護的網路區域 5.3. 外部網路 (External Network) 指透過防火牆所區隔之不可信任或非保護的網路區域 5.4. 非軍事區域網路 (Demilitarized Zone, DMZ) 指透過防火牆所保護的網路區域, 可藉由不同安全控管策略區隔其他內部網路, 對外提供網路服務 5.5. 最大同時連線數指防火牆能同時處理之 TCP 連線數最大值 5.6. 吞吐量指待測物處理網路流量的速度, 通常的表示法為 Mbps ( 每秒一百萬位元 ) 或 Gbps ( 每秒十億位元 ) 5.7. 最大連線建立速度指防火牆能處理的 TCP 連線建立速度, 通常的表示法為 TCP 連線數 / 每秒 5.8. 共同準則 (Common Criteria, CC) 為國際資通安全產品評估及驗證之標準 (ISO/IEC 15408), 依其定義之評估保證等級 (Evaluation Assurance Level, 簡稱 EAL) 判定產品之安全等級, 附件 5-6

265 EAL 共有 7 個等級, 最低等級為 EAL 1, 最高等級為 EAL 7, 提供申請者 / 贊助者檢測實驗室與驗證機關 ( 構 ) 評估及驗證資通安全產品安全與功能性參考網址網路型防火牆保護剖繪 (U.S. Government Protection Profile for Traffic Filter Firewall in Basic Robustness Environments) 指美國政府機關採購網路型防火牆之設備技術參考指引評估標的 (Target of Evaluation, TOE) 指申請資通安全評估及驗證之產品及其相關使用手冊保護剖繪 (Protection Profile, PP) 指滿足資通安全產品評估標的 (TOE) 製作之安全基本需求文件安全標的 (Security Target, ST) 指資通安全產品能符合保護剖繪 (PP) 或特定安全需求製作之規格文件安全功能 (TOE Security Functions, TSF) 指資通安全產品用於實現安全標的 (ST) 所要求安全功能需求 (Security Functional Requirement, SFR) 之相關功能安全功能需求 (Security Functional Requirement, SFR) 指共同準則第二部份 (Common Criteria, Part 2) 所定義之安全相關需求條文, 用以描述一資通安全產品之安全功能 (TSF) 所需滿足的各項要求此要求條文會被引用於保護剖繪及安全標的中, 用以具體陳述該產品功能的安全方面的需求安全功能介面 (TOE Security Functions Interface, TSFI) 為評估標的 (TOE) 用於實現安全功能需求 (SFR) 之對外溝通介面安全領域 (Security Domain) 附件 5-7

266 指一個主動式個體 ( 人或機器 ) 被授權存取的資源集合, 為安全架構的屬性之一自我保護 (Self-Protection) 指安全功能無法被無關的程式碼或設施破壞, 為安全架構的屬性之一 6. 技術要求 6.1. 書面審查類別安全標的審查待測物之設備規格及安全功能需求安全功能設計審查待測物之設計安全性安全架構及安全指引 6.2. 書面審查類別之項目及判定標準申請者應依基礎型或進階型之安全等級, 提供符合該等級之安全標的及安全功能設計類別相關文件 ( 如表 1) 表 1 書面審查之類別項目及審查內容類別項目審查內容檢附文件基礎型進階型安全標的安全功能設計設備規格附表 1-1 設備規格說明書安全功能需求附表 1-2 設備規格說明書安全功能規格附表 1-3 附錄一安全功能介面表設計安全性附表 1-4 附錄二子系統描述與分類表安全架構附表 1-5 附錄三安全架構描述表安全指引附表 1-6 指引文件附件 5-8

267 安全標的申請者應提供待測物之設備規格說明書, 包含設備規格 ( 附表 1-1) 及該設備可執行的安全功能需求 ( 附表 1-2) 設備規格說明本項書面審查內容依申請者提供之設備規格說明書, 檢視設備規格是否符合附表 1-1 設備規格之書面審查內容 : 附表 1-1 設備規格之書面審查內容類別項目子項目審查標準安全設備應標示下列內容 : 標的規格 1. 名稱廠牌型號及版本 1. 設備識別 2. 申請者名稱 ( 製造商或代理商 ) 3. 製造商名稱 4. 設備形式 ( 硬體韌體或軟體 ) 應說明下列內容 : 1. 待測物之實體範圍 : 包含待測物外 2. 範圍觀尺寸主要零組件及執行必須之相關週邊設施 2. 待測物之邏輯範圍 : 包含待測物安全功能以及功能之間相互關係 3. 安全功能應說明待測物之安全功能如何滿足本規範之安全功能需求安全功能需求 (SFR) 基礎型進階型本項書面審查內容依申請者提供之設備規格說明書, 檢視安全功能需求 (SFR) 之執行內容是否符合附表 1-2 安全功能需求之書面審查內附件 5-9

268 容類別安全標的附表 1-2 安全功能需求之書面審查內容項目安全功能需求子項目 1. 安全角色 2. 使用者屬性定義審查標準安全功能應具備及設定以下安全角色 : (1) 經授權的管理者 (2) 其他 ( 自行列舉 ) 安全功能應具備以下使用者屬性定義 : (1) 使用者身分識別 (Identity) (2) 使用者被設定的角色屬性 (3) 其他 ( 自行列舉 ) 基礎型進階型 3. 認證時安全功能應具備以下認證時序 : 序 (1) 列舉使用者身分認證前, 可執行的安全功能 ( 如 DHCP, Show Status 等 ) (2) 完成使用者身分認證後, 始可執行被授權的安全功能 4. 認證失安全功能應具備以下認證失敗處理 : 敗處理 (1) 可偵測出認證連續失敗次數 (2) 當使用者進行登入, 連續認證失敗次數達到指定值時, 應拒絕該使用者再次登入, 經採取特殊處置後, 始可重新登入 5. 單次使待測物對使用者進行身分認證時, 其認證資料 ( 如用認證機加密金鑰或登入通行碼 (Password) 僅限單次使制用, 以避免認證資料被重複使用 6. 資料流安全功能應具備根據以下資料屬性, 對資料流進行控制控制過濾等管理的能力 : (1) 來源端位址或其他自行指定之來源格式附件 5-10

269 類別項目子項目審查標準基礎型進階型 (2) 目的端位址及其他自行指定之目的格式 (3) 通訊協定 (4) 網路卡介面 (5) 服務型態 (6) 其他 ( 自行指定 ) 7. 初始化安安全功能應具備以下初始化安全屬性 : 全屬性 (1) 應提供預設之安全屬性, 如預設之阻擋規則 ( 值 ) 等 (2) 允許被授權的管理者, 變更不同的安全屬性 8. 安全功安全功能應具備以下安全功能行為管理 : 能行為管 (1) 可啟動及關閉待測物理 (2) 可允許及禁止管理者或設備登入待測物進行管理 (3) 如待測物具備遠端管理功能時, 可限制管理者自特定網址 (IP Address) 登入待測物進行管理 (4) 可變更待測物之登入失敗次數的最大值 (5) 當使用者登入待測物失敗次數超過最大值致無法登入時, 待測物應具備恢復使用者登入之管理功能 (6) 可對待測物之安全規則進行新增刪除修改與檢視 (7) 可對待測物之使用者屬性進行新增刪除修改與檢視 (8) 可修改待測物之系統時間附件 5-11

270 類別項目子項目審查標準基礎型進階型 (9) 可備份建立刪除清空或瀏覽待測物之稽核紀錄 (Audit Trail) (10) 可備份待測物之安全規則及使用者安全屬性 (11) 可將待測物組態復原至備份組態 9. 殘餘資當待測物處理通過之資料封包, 應清除或覆蓋可再訊保護使用的系統資源 ( 如資料暫存區 ) 之殘餘資訊, 或其他保護機制 10. 通行碼待測物應以加密演算法保護遠端管理連線操作 11. 可信賴待測物應具備可信賴之時戳 (Reliable 之時戳 Timestamp), 正確記錄稽核資料的日期及時間 12. 稽核紀安全功能應具備以下稽核紀錄 : 錄 (1) 待測物應依下列事件類型產生其稽核紀錄, 並存於資料庫中 : A. 啟閉稽核功能 B. 存取稽核資料 C. 使用者登錄成功或失敗登錄權限變更及恢復 D. 變更安全屬性 E. 變更系統時間 (2) 每筆稽核紀錄至少包含下列資訊 : A. 事件識別碼 B. 事件日期及時間 C. 事件類型 D. 事件成功或失敗附件 5-12

271 類別項目子項目審查標準基礎型進階型 13. 稽核紀安全功能應具備以下稽核紀錄之查詢 : 錄之查詢 (1) 可由被授權的管理者查詢各種稽核紀錄 ( 含事件之稽核紀錄 ) (2) 稽核紀錄應以適合管理者理解之方式呈現 (3) 可依設定條件查詢稽核紀錄 14. 稽核紀安全功能應具備以下稽核紀錄可用性之保證 : 錄可用性 (1) 應確保已儲存的稽核紀錄不被非授權使用者之保證刪除 (2) 當非授權使用者嘗試竄改已儲存的稽核紀錄時, 應偵測並記錄之 (3) 當發生稽核紀錄儲存設備之空間用盡故障或遭受攻擊時, 應維持儲存稽核紀錄之功能其中空間即將用盡時, 除提供系統警告外, 並應至少提供下列一種處置方式 : A. 另存稽核紀錄 : 將需要保存的稽核紀錄另存至其他儲存設備 B. 刪除稽核紀錄 : 將不需要保存之稽核紀錄予以刪除 C. 覆蓋稽核紀錄 : 新增之稽核紀錄覆蓋最舊的稽核紀錄安全功能設計申請者應提供待測物安全功能規格設計安全性安全架構及安全指引等文件, 以確保安全功能 (TSF) 能正確執行安全功能規格本項書面審查內容依申請者提供之附錄一安全功能規格表, 檢視安附件 5-13

272 全功能規格之內容是否符合附表 1-3 安全功能規格之書面審查內容附表 1-3 安全功能規格之書面審查內容類別項目審查標準安全安全安全功能介面應實現安全功能需求, 應說明安全功功能功能能介面 (TSFI) 以下規格 : 設計規格 (1) 安全功能介面名稱 (2) 目的 (3) 可實現的安全功能需求 (4) 操作方式 (5) 參數 (6) 執行的動作 (7) 錯誤訊息設計安全性基礎型進階型本項書面審查內容依申請者提供之附錄二設計安全性表, 檢視設計安全性之內容是否符合附表 1-4 設計安全性之書面審查內容本項書面審查內容與判定標準說明如附表 1-4: 附表 1-4 設計安全性之書面審查內容基進類別項目審查標準礎階型型安全設計應說明如何以子系統組成安全功能規格之安全功能介功能安全面, 並說明安全功能子系統以下規格 : 設計性 (1) 子系統名稱 (2) 目的附件 5-14

273 基進類別項目審查標準礎階型型 (3) 子系統隸屬之安全功能介面 (4) 子系統行為說明安全架構本項書面審查內容依申請者提供之附錄三安全架構表, 檢視安全架構之內容是否符合附表 1-5 安全架構之書面審查內容本項書面審查內容與判定標準說明如附表 1-5: 附表 1-5 安全架構之書面審查內容基進類別項目審查標準礎階型型安全安全應依據安全功能規格及設計安全性之檢功能架構附文件, 說明待測物安全架構如何滿足安全功能需求設計 (SFR), 並作為實機測試項目設計的參考針對安全功能介面及子系統, 提出安全架構的設計概念與操作安全建議, 也需符合後續提供的指引文件安全架構應說明下列項目 : (1) 待測物因執行安全功能所區隔的安全領域 (2) 安全功能的安全初始程序 (3) 安全功能的自我保護機制 (4) 安全功能執行如何避免被繞道安全指引本項書面審查內容依申請者提供之指引文件, 檢視文件內容是否符合附表 1-6 安全指引之書面審查內容附件 5-15

274 本項書面審查內容與判定標準說明如附表 1-6: 附表 1-6 安全指引之書面審查內容基進類別項目審查標準礎階型型安全安全 (1) 應定義每個使用者角色功能指引 (2) 應提供每個使用者角色於執行安全功能 (TSF) 時設計之相關說明, 包括 : A. 週邊設備及安全設定 B. 允許使用的介面 C. 安全參數定義 D. 可能產生的安全事件 E. 應遵循的安全措施 (3) 應說明於特殊權限操作時的安全環境要求, 並提供適當的警告 (4) 應列舉待測物操作時的所有運作模式 (5) 應列舉待測物作業失敗 (Failure) 或人員操作錯誤產生的各種情況及處理方式 (6) 應說明待測物運作前的安全準備作業, 包含待測物安裝及啟動方式 (7) 應說明待測物操作的安全環境設置, 應包括以下項目 : A. 待測物使用目的 ( 如針對伺服器進行網路協定管制作業等 ) B. 實體環境安全 ( 如待測物需置於有門禁管制的環境等 ) C. 人員安全 ( 如僅有授權人員能存取待測物等 ) D. 連接安全 ( 如待測物與其他網路伺服器之連線附件 5-16

275 基進類別項目審查標準礎階型型安全等 ) (8) 指引文件將做為實機測試的依據 6.3. 實機測試類別實機測試包含安全功能測試壓力測試堅實測試及穩定測試安全功能測試 (Security Functionality Test) 測試待測物所具有安全防護相關功能壓力測試 (Stress Test) 測試待測物於面臨大量網路封包或連線時, 安全功能是否能保持正常運作堅實測試 (Robustness Test) 測試待測物本身開啟服務或協定時, 面臨針對待測物本身而來的不正常連線行為, 是否能保持正常運作穩定測試 (Stability Test) 將待測物置於真實網路流量下運作測試, 是否有不穩定的狀況發生 6.4. 實機測試類別之項目及判定標準實機測試分為基礎型與進階型, 皆包含安全功能測試壓力測試堅實測試及穩定測試四個類別實機測試項目及標準如表 2 附件 5-17

276 表 2 實機測試之類別項目及判定標準類別項目判定標準安全功能測試壓力測試封包過濾依進行測試, 應具備下列過濾功能 : 1. 應可阻擋設定之封包 2. 應可通過設定之封包流量內容依進行測試, 應正確記錄通過之流統計量內容, 包含時間傳輸速率 (bps) 通訊協定及通訊埠號安全事件依進行測試, 應正確記錄違反安全紀錄規則之事件名稱時間來源 IP 目的 IP 及內容安全管理依進行測試, 應具備下列管理功能 : 1. 具備通行碼管理 2. 具備通行碼輸入錯誤次數之上限設定, 錯誤輸入超過上限次數後須封鎖管理介面一段時間備援管理依進行測試, 備援待測物應於規定時間內接替失效之待測物流量控管依進行測試, 應可設定規則以控管規則網路流量吞吐量依進行測試, 當待測物所負荷的吞吐量達到其規格說明之最大值時, 不能發生封包遺失且待測物安全功能應正常運作最大連線依進行測試, 當達到待測物規格說數明之最大連線數時, 不能發生斷線且待測物安全功能應正常運作基礎型進階型附件 5-18

277 類別項目判定標準最大連線依進行測試, 當達到待測物規格說建立速率明之最大連線建立速率時, 不能發生斷線且待測物安全功能應正常運作堅實阻斷式攻依進行測試, 不能發生當機重開測試擊或斷線之情況當攻擊結束後, 安全功能應正常運作遠端管理依進行測試, 待測物遠端管理介面異常流量對服務 / 協定異常流量應保持正常運作非正常關依進行測試, 待測物應復原到非正機恢復常關閉電源前的狀態 : (1) 應保留最後設定的系統組態 (2) 應保留斷電時間點前最後 5 分鐘的日誌檔案 ( 含系統日誌及安全事件日誌 ) (3) 能以最後設定的系統組態正常開機基礎型進階型穩定測試真實流量依進行測試, 待測物應可持續 168 小時穩定運作依進行測試, 待測物應可持續 336 小時穩定運作安全功能測試檢視待測物之安全功能需求是否符合書面送審資料, 並依下列各測試項目進行實機測試封包過濾附件 5-19

278 測試環境圖 1 封包過濾測試接續示意圖 (1) 測試平台 : 可產生網路封包之測試儀器或程式 (2) 測試平台 A 埠 : 模擬用戶端送收網路封包 (3) 測試平台 B 埠 : 模擬伺服器端送收網路封包 (4) 網路連接線 : 乙太網路線或光纖纜線 (5) 連接測試平台及待測物如圖 1, 其中乙太網路線或光纖線路連接數量依待測物運作模式 ( 如 Proxy 或 Transparent Mode) 決定 (6) 代理模式 (Proxy Mode): 乙太網路線或光纖線路連接數量為一條, 測試平台 A 埠及 B 埠為同一連接埠 (7) 通透模式 (Transparent Mode): 乙太網路線或光纖線路連接數量為兩條, 測試平台 A 埠及 B 埠為獨立的兩個連接埠 (8) 開啟待測物之封包過濾功能測試方法及標準 (1) 使用測試平台自 A 埠產生一來源 IP 位址為特定 IP 的封包, 並開啟待測物封包過濾功能,B 埠應無法接收該封包 (2) 使用測試平台自 A 埠產生一目的 IP 位址為特定 IP 的封包, 並開啟待測物封包過濾功能,B 埠應無法接收該封包 (3) 使用測試平台自 A 埠產生一來源 IP 位址為特定 IP 的封包, 並關閉待測物封包過濾功能,B 埠應可接收該封包附件 5-20

279 (4) 使用測試平台自 A 埠產生一目的 IP 位址為特定 IP 的封包, 並關閉待測物封包過濾功能,B 埠應可接收該封包流量內容統計測試環境圖 2 流量內容統計測試接續示意圖 (1) 測試平台 : 可供測試人員連線至待測物之終端設備 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接待測物測試平台與網際網路如圖 2 (4) 開啟待測物之流量統計功能測試方法及標準由測試平台產生 1000MB 的網路流量 ( 包含 IPv4 及 IPv6 之混合流量 ) 通過待測物, 待測物的流量統計資訊應正確紀錄該流量安全事件紀錄測試環境圖 3 安全事件紀錄接續示意圖附件 5-21

280 (1) 測試平台 A: 可模擬終端使用者之測試儀器或程式 (2) 測試平台 B: 可產生病毒測試樣本並提供網路服務之測試儀器或程式 (3) 連接待測物測試平台 A 及測試平台 B 如圖 3 (4) 開啟待測物之安全防護及事件記錄功能 (5) 由測試平台 A 產生違反安全事件之網路流量經待測物連線至測試平台 B 測試方法及標準當違反安全事件紀錄的網路流量通過待測物, 待測物的流量統計資訊應正確紀錄違反安全規則之事件名稱時間來源 IP 目的 IP 及內容安全管理功能測試環境同測試方法及標準 (1) 由測試平台連線至待測物, 確認待測物是否需要通行碼才可進行設定, 待測物應須輸入正確通行碼才可進行管理設定 (2) 嘗試輸入錯誤通行碼, 待測物是否檢查當超過最大錯誤次數時, 會封鎖管理介面一段時間, 避免遭受攻擊備援管理 ( 適用進階型 ) 測試環境 (1) 測試平台 : 可產生攻擊測試樣本之測試儀器或程式 (2) 交換集線器 (Switch Hub): 匯集多條通訊纜線之裝置 (3) 網路連接線 : 乙太網路線或光纖纜線 (4) 開啟待測物之備援功能及安全功能 (5) 連接測試平台待測物備援待測物及網際網路如圖 4 附件 5-22

281 待測物交換集線器交換集線器網際網路 (Internet) 測試平台備援待測物圖 4 備援測試接續示意圖測試方法及標準測試平台產生網路流量經待測物傳送至網際網路, 至少 30 秒後, 將待測物電源移除使之失效, 備援待測物應於 10 秒內自動接替待測物啟動安全功能, 確保安全功能仍可正常運作流量控管規則 ( 適用進階型 ) 測試環境同測試方法及標準 (1) 設定待測物之網路流量通過規則 (2) 以測試平台產生符合規則之網路流量通過待測物, 流量應正常通過待測物 (3) 以測試平台產生不符合規則的網路流量通過待測物, 流量應無法通過待測物壓力測試吞吐量測試測試環境附件 5-23

282 (1) 測試平台 : 可產生網路封包之測試儀器或程式 (2) 測試平台 A 埠 : 模擬用戶端送收網路封包 (3) 測試平台 B 埠 : 模擬伺服器端送收網路封包 (4) 網路連接線 : 乙太網路線或光纖纜線 (5) 連接測試平台及待測物如圖 1, 其中乙太網路線或光纖線路連接數量依待測物運作模式 ( 如 Proxy 或 Transparent Mode) 決定 (6) 代理模式 (Proxy Mode): 乙太網路線或光纖線路連接數量為一條, 測試平台 A 埠及 B 埠為同一連接埠 (7) 通透模式 (Transparent Mode): 乙太網路線或光纖線路連接數量為兩條, 測試平台 A 埠及 B 埠為獨立的兩個連接埠 (8) 開啟待測物之安全功能 (9) 測試平台產生大小為及 1518 位元組之網路封包, 並依 IMIX 之比例 57% 7% 16% 及 20% 混合, 時間為 60 秒測試方法及標準測試平台建立自 A 埠經待測物至 B 埠之網路連線後, 傳送不同大小之封包當待測物所負荷的吞吐量達到其規格說明之最大值時, 待測物安全功能應正常運作最大連線數測試環境同測試方法及標準測試平台每秒建立一條自 A 埠經待測物至 B 埠之連線當達到待測物規格說明之最大連線數時, 不能發生斷線且待測物安全功能應正常運作最大連線建立速率測試環境同附件 5-24

283 測試方法及標準測試平台建立自 A 埠經待測物至 B 埠之連線, 並逐漸提高連線建立速率, 當達到待測物規格說明之最大連線建立速率時, 不能發生斷線且待測物安全功能應正常運作堅實測試阻斷式攻擊測試環境 (1) 測試平台 : 可產生大量網路流量之測試儀器或程式 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接測試平台及待測物如圖 2 (4) 開啟待測物之安全功能 (5) 測試平台針對待測物的服務連接埠, 發動阻斷式攻擊測試方法及標準測試平台產生待測物規格說明之最大吞吐量 300% 的 HTTP 封包, 持續 600 秒攻擊待測物開啟的連接埠以阻斷其服務, 待測物不能發生當機重開或斷線之情況當攻擊結束後, 安全功能應正常運作遠端管理異常流量測試環境 (1) 測試平台 : 可產生大量網路流量之測試儀器或程式 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接測試平台及待測物如圖 2 (4) 開啟待測物之安全功能 (5) 透過待測物提供的終端管理介面進入待測物進行設定, 開啟待測物之遠端管理功能附件 5-25

284 測試樣本以測試平台針對待測物提供之每項服務皆產生 10 種異常流量作為測試樣本測試方法及標準測試平台送出測試樣本至待測物, 待測物之遠端管理功能應正常運作非正常關機恢復測試環境無測試方法及標準待測物運作期間不正常關閉電源時, 經重新啟動後, 應復原到非正常關閉電源前的狀態且須符合下列要求 : (1) 應保留最後設定的系統組態 (2) 應保留斷電時間點前最後 5 分鐘的日誌檔案 ( 含系統日誌及安全事件日誌 ) (3) 能以最後設定的系統組態正常開機穩定測試真實流量在一般使用者上線的真實運作之網路, 以場測方式進行測試, 或將真實網路流量錄製後, 再以重播之方式進行測試, 測試環境同測試環境 (1) 流量錄製平台 : 錄製網路封包 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接流量錄製平台路由器內部網路及網際網路如圖 5 (4) 路由器將往來 A B 兩埠的網路封包複製一份後, 經 C 埠送至流附件 5-26

285 量錄製平台, 流量錄製平台將網路封包錄製成為檔案儲存 (5) 流量重播平台 : 將預先錄製之真實流量檔案還原成網路封包送至待測物 (6) 連接流量重播平台與待測物如圖 6 (7) 網路封包來源 IP 位址如屬內部網路, 流量重播平台將網路封包經 A 埠送至待測物 ; 反之, 來源 IP 位址如屬網際網路, 則網路封包經 B 埠送至待測物圖 5 流量錄製接續示意圖圖 6 流量重播接續示意圖測試樣本測試樣本必須滿足以下要求 : (1) 具備至少 100 位使用者同時上線之網路流量附件 5-27

286 (2) 若以重播方式進行測試, 所使用之網路流量必須為送測日前 2 周內所錄製之流量 (3) 重播之網路流量其最大同時連線數量在測試期間必須達待測物規格說明處理能力最大值之 50% 以上 (4) 重播之網路流量須以線性放大或縮小以維持波形, 並使其平均流量為待測物規格說明處理能力最大值之 50% (5) 流量內容須涵蓋 10 種以上之應用類型並包含 smtp pop3 imap ftp smb http https dns 及 snmp 等應用項目, 全部之應用項目須達 50 個以上應用項目舉例如下 : A. Chat: msn yahoo messenger qq xmpp 及 aol-icq B. gmail smtp pop3 imap 及 webmail C. File Transfer:ftp flashget 及 smb D. Game:garena facebook app 及 steam E. P2P:gnutella edonkey bt xunlei fasttrack ares kazaa 及 ed2k F. Remote Access:windows remote desktop telnet ssh 及 vnc G. Streaming:rtsp protocol, qqtv, pplive, qvod, flashcom, itunes, funshion H. tps, http proxy I. Others:sslvpn, nntp protocol, dns protocol, snmp protocol, dhcp protocol, mysql, ntp protocol J. Web:http, http download, http video, http range get, https, http proxy 測試方法及標準附件 5-28

287 (1) 基礎型待測物須進行連續 168 小時測試 ; 進階型待測物須進行連續 336 小時測試 (2) 測試過程待測物不能發生下列不穩定之情況 : A. 當機 B. 重新開機 C. 連線不正常中斷 D. 安全功能失效附件 5-29

288 附件 5-30

289 附錄附錄一安全功能介面表安全功能介面名稱 TSFI 目的 Purpose 安全功能介面可實現之安全功能需求 SFR 操作方式 Method of Use 參數 Parameter 執行動作 Actions 錯誤訊息 Error Message 列出所有安全功能說明各安全功能說明各安全功能說明如何使用說明各安全功說明各安說明執行各安介面介面之安全功能介面如何實現附各安全功能介能介面所有參全功能介全功能介面產目的表 1-2 所列之安面數及其意義面如何運生之錯誤訊全功能需求作及其執息, 包含其意行細節義及產生條件範例 : 範例 : 範例 : 範例 : 範例 : 範例 : 範例 : TSFI_CLI 提供命令列模式 SFR_ 安全管理 : 以 ssh 連接待測 ID & password 可下達管連接失敗操作介面提供安全管理功物, 即提供命令理命令操認證失敗能列模式操作介作待測物面附錄 1-1

290 附錄二子系統描述與分類表子系統名稱 Subsystem 目的 Purpose 子系統隸屬之安全功能介面 TSFI 子系統行為說明 Behavior Description 列出各安全功說明各子系說明各子系統說明各子系統行為如下 : 能介面之子系統之安全功隸屬於附件一 (1) 如何實現安全功能介面的功能統能目的所列之安全功 (2) 與其他子系統間互動之資訊, 包含不同子系統間的溝通以及傳遞資料的能介面特性範例 : 範例 : 範例 : 範例 : Subsystem_ssh 提供 ssh 服務 TSFI_CLI (1) 提供 TSFI_CLI 命令列模式操作介面 (2) 與其他子系統之互動 : (A) Subsystem_auth: 傳遞認證資訊給 Subsystem_auth, 並由回覆訊息確認認證是否成功 (B) Subsystem_terminal: 附錄 2-1

291 附錄三安全架構描述表項目說明 1. 安全領域 Security Domain 安全領域名稱列出各安全功能介面對應之安全領域安全領域說明在安全功能操作環境及內部執行限制下, 如何區隔所需保護的資料範例 : TSFI_GUI: Domain_SecureLogAudit Domain_SecureConnection 範例 : 透過 TSFI_GUI 來執行管理功能時, 該 TSFI 同一時間只能有單一遠端連線, 並只能執行單一稽核資料處理請求附錄 3-1

292 項目說明 2. 初始程序 Secure Initialization 相關元件操作待測物的相關元件 / 環境初始程序說明提供安全啟動待測物之相關元件起始步驟及安裝程序範例 : 待測物網路連接程序範例 : 1. 從端口標記為 0/ 0(ethernet0 / 0 接口 ) 連接一個 RJ- 45 電纜到交換機或路由器 Trust 安全區 2. 從端口標記為 0/ 1(ethernet0 / 1 接口 ) 連接一個 RJ- 45 電纜到交換機或路由器中的 DMZ 安全區附錄 3-2

293 項目說明 3. 自我保護 Self-Protection 自我保護功能與外部設備之關係自我保護機制說明列出各安全功能介面對應之自說明安全功能及其介面需說明安全功能介面提供實體上或我保護機制與外部設備之資料交換邏輯上的自我保護機制動作範例 : TSFI_WEB: 自我保護 1: 身分驗證自我保護 2: 遠端連線加密範例 : 範例 : 遠端以瀏覽器連線待測 1. 應輸入通行碼才能進入介面物進行管理功能時, 以 2. 資料傳輸機制 :TLS/SSL TSFI_WEB GUI 介面進 3. 特殊執行方式 : 指紋辨識行身分認驗證 4. 特殊設備需求 : 指紋辨識器附錄 3-3

294 項目說明 4. 防止繞道 Non-Bypassibility 防止繞道功能列出各安全功能對應之防止繞道機制防止繞道機制說明 1. 列舉可能繞道之手法 2. 說明防範作法, 包含進入安全功能的介面如何被保護執行階段的資料處理如何保護是否存有其他對外通道及相關防範非法進入之機制等範例 : TSF_Authentication 身分驗證功能範例 : 可能直接以維護介面不經身分認證操控待測物防範作法 : 以實體封鎖方式, 防止利用維護介面繞道身分認證程序附錄 3-4

295 電信技術規範資通安全 0009 (IS0009-0) 檢驗規範修訂日期 101 年 12 月 10 日通傳技字第號入侵偵測防禦系統資通安全檢測技術規範 ( 修改建議 ) 執行單位 : 中華民國資訊軟體協會中華民國 101 年 12 月

296

297 目次 1. 概說... 附件適用範圍... 附件安全等級... 附件參考標準... 附件用語釋義... 附件技術要求... 附件書面審查類別... 附件安全標的... 附件安全功能設計... 附件書面審查類別之項目及判定標準... 附件安全標的... 附件安全功能設計... 附件實機測試類別... 附件安全功能測試 (Security Functionality Test)... 附件壓力測試 (Stress Test)... 附件堅實測試 (Robustness Test)... 附件穩定測試 (Stability Test)... 附件實機測試類別之項目及判定標準... 附件安全功能測試... 附件壓力測試... 附件堅實測試... 附件穩定測試... 附件 6-29 附件 6-1

298 圖次圖 1 異常 / 攻擊偵測接續示意圖... 附件 6-22 圖 2 安全管理功能測試接續示意圖... 附件 6-24 圖 3 線上更新測試環境接續示意圖... 附件 6-25 圖 4 吞吐量測試接續示意圖... 附件 6-27 圖 5 阻斷式攻擊測試接續示意圖... 附件 6-28 圖 6 流量錄製接續示意圖... 附件 6-30 圖 7 流量重播接續示意圖... 附件 6-30 附件 6-2

299 表次表 1 書面審查之類別項目及審查內容... 附件 6-8 表 2 實機測試之類別項目及判定標準... 附件 6-19 附件 6-3

300 附錄附錄一安全功能介面表... 附錄 1-1 附錄二子系統描述與分類表... 附錄 2-1 附錄三安全架構描述表... 附錄 3-1 附件 6-4

301 1. 概說入侵偵測防禦設備資通安全檢測技術規範入侵偵測防禦系統 (Intrusion Detection and Prevention system, 以下簡稱 IDP) 能夠監視網路或網路設備的網路資料傳輸行為, 當偵測到不正常或具有傷害性的網路資料傳輸行為時, 能夠採取適當的防禦措施, 免受惡意攻擊之影響 2. 適用範圍規範適用於獨立式硬體架構, 並使用嵌入式韌體或專屬軟體之網路型入侵偵測防禦系統, 可檢測封包傳輸及阻擋網路應用層通訊協定之攻擊流量 3. 安全等級本規範之設備安全等級分為基礎型 (Basic) 與進階型 (Advanced) 3.1. 基礎型入侵偵測防禦系統基礎型設備安全功能測試項目包括異常 / 攻擊偵測安全管理異常 / 攻擊事件紀錄及線上更新 ; 壓力測試項目包括吞吐量 ; 堅實測試項目包括阻斷式攻擊躲避攻擊及非正常關機復原 ; 穩定測試項目包括真實流量長時間測試 3.2. 進階型入侵偵測防禦系統進階型設備除基礎型設備之測試項目外, 另增加安全功能測試項目包括異常 / 攻擊偵測使用者自訂安全規則及 IPv6 封包檢測 ; 壓力測試項目包括最大同時連線數與最大建立連線速率 ; 堅實測試項目包括異常流量 ; 穩定測試項目包括真實流量長時間測試 4. 參考標準 ISO/IEC 共同準則 (Common Criteria for Information Technology Security Evaluation, CC) 附件 6-5

302 ICSA Network IPS Enterprise Certification Testing Criteria Version -1.4 NSS IPS Group Test Methodology Version 用語釋義 5.1. 共同準則 (Common Criteria, CC) 為國際資通安全產品評估及驗證之標準 (ISO/IEC 15408), 依其定義之評估保證等級 (Evaluation Assurance Level, 簡稱 EAL) 判定產品之安全等級, EAL 共有 7 個等級, 最低等級為 EAL 1, 最高等級為 EAL 7, 提供申請者 / 贊助者檢測實驗室與驗證機關 ( 構 ) 評估及驗證資通安全產品安全與功能性參考網址入侵偵測防禦系統保護剖繪 (U.S. Government Protection Profile Intrusion Detection System for Basic Robustness Environments) 指美國政府機關採購入侵偵測防禦系統之設備技術參考指引 5.3. 評估標的 (Target Of Evaluation, TOE) 指申請資通安全評估及驗證之產品及其相關使用手冊 5.4. 保護剖繪 (Protection Profile, PP) 指滿足資通安全產品評估標的 (TOE) 製作之安全基本需求文件 5.5. 安全標的 (Security Target, ST) 指資通安全產品能符合保護剖彙 (PP) 或特定安全需求製作之規格文件 5.6. 安全功能 (TOE Security Functions, TSF) 指資通安全產品用於實現安全標的 (ST) 所要求安全功能需求 (Security Functional Requirement, SFR) 之相關功能 5.7. 安全屬性 (Security Attribute) 指定義主體使用者 ( 包括設備外部資訊產品 ) 受體資訊對談 (Session) 附件 6-6

303 或資源的一種特性, 並根據其定義的特性 ( 值 ) 來執行安全功能 5.8. 可信賴通道 (Trusted Channel) 指安全功能與一個外部可信賴的資訊產品達到安全通訊的方法 5.9. 安全功能需求 (Security Functional Requirement, SFR) 指共同準則第二部份 (Common Criteria, Part 2) 所定義之安全相關需求條文, 用以描述一資通安全產品之安全功能 (TSF) 所需滿足的各項要求此要求條文會被引用於保護剖繪及安全標的中, 用以具體陳述該產品功能的安全方面的需求安全功能介面 (TOE Security Functions Interface, TSFI) 指為評估標的 (TOE) 用於實現安全功能需求 (SFR) 之對外溝通介面安全領域 (Security Domain) 指一個主動式個體 ( 人或機器 ) 被授權存取的資源集合, 為安全架構的屬性之一自我保護 (Self-Protection) 指安全功能本身無法被無關的程式碼或設施破壞, 為安全架構的屬性之一繞道 (Bypass) 指避開待測物安全功能檢查之技巧 ( 如 : 未經過身分鑑別, 直接進入稽核功能介面 ) 角色 (Role) 指預先定義之規則, 以描述使用者與待測物間的操作權限附件 6-7

304 6. 技術要求 6.1. 書面審查類別安全標的審查待測物之設備規格及安全功能需求安全功能設計審查待測物之設計安全性安全架構及安全指引 6.2. 書面審查類別之項目及判定標準申請者應依基礎型或進階型之安全等級, 提供符合該等級之安全標的及安全功能設計類別相關文件 ( 如表 1) 表 1 書面審查之類別項目及審查內容類別項目審查內容檢附文件基礎型進階型安全標的安全功能設計設備規格附表 1-1 設備規格說明書安全功能需求附表 1-2 設備規格說明書安全功能規格附表 1-3 附錄一安全功能介面表設計安全性附表 1-4 附錄二子系統描述與分類表安全架構附表 1-5 附錄三安全架構描述表安全指引附表 1-6 指引文件安全標的申請者應提供待測物之設備規格說明書, 包含設備規格 ( 附表 1-1) 及該設備可執行的安全功能需求 ( 附表 1-2) 附件 6-8

305 設備規格說明本項書面審查內容依申請者提供之設備規格說明書, 檢視設備規格是否符合附表 1-1 設備規格之書面審查內容 : 附表 1-1 設備規格之書面審查內容類別項目子項目審查標準安全設備應標示下列內容 : 標的規格 1. 名稱廠牌型號及版本 1. 設備識別 2. 申請者名稱 ( 製造商或代理商 ) 3. 製造商名稱 4. 設備形式 ( 硬體韌體或軟體 ) 應說明下列內容 : 1. 待測物之實體範圍 : 包含待測物外 2. 範圍觀尺寸主要零組件及執行必須之相關週邊設施 2. 待測物之邏輯範圍 : 包含待測物安全功能以及功能之間相互關係 3. 安全功能應說明待測物之安全功能如何滿足本規範之安全功能需求基礎型進階型安全功能需求 (SFR) 本項書面審查內容依申請者提供之設備規格說明書, 檢視安全功能需求 (SFR) 之執行內容是否符合附表 1-2 安全功能需求之書面審查內容附表 1-2 安全功能需求之書面審查內容附件 6-9

306 類別項目子項目審查標準基礎型進階型安安 1. 安全角安全功能應具備及設定以下安全角色 : 全全色 (1) 經授權的管理者標功 (2) 其他 ( 自行列舉 ) 的能 2. 使用者安全功能應具備以下使用者屬性定義 : 需屬性定義 (1) 使用者身分識別 (Identity) 求 (2) 使用者被設定的角色屬性 (3) 其他 ( 自行列舉 ) 3. 認證時安全功能應具備以下認證時序 : 序 (1) 列舉使用者身分認證前, 可執行的安全功能 ( 如 DHCP, Show Status 等 ) (2) 完成使用者身分認證後, 始可執行被授權的安全功能 4. 認證失安全功能應具備以下認證失敗處理 : 敗處理 (1) 可偵測出認證連續失敗次數 (2) 當使用者進行登入, 連續認證失敗次數達到指定值時, 應拒絕該使用者再次登入, 經採取特殊處置後, 始可重新登入 5. 安全功安全功能應具備以下安全功能行為管理 : 能行為管 (1) 待測物數據蒐集功能之設定理 (2) 待測物數據分析與反應之設定 6. 安全功安全功能應具備以下安全功能資料管理 : 能資料管 (1) 查詢 / 新增系統與稽核資料理 (2) 查詢 / 修改其他安全屬性資料 7. 安全功待測物在提供遠端可信賴資訊產品有關系統與稽能之可用核資料時, 應確保資料的可用性性附件 6-10

307 類別項目子項目審查標準基礎型進階型 8. 安全功待測物應具備在系統資料傳送給遠端可信賴資訊能相互傳產品時 ( 如 : 下載特徵值 (Signature) 或遠端管理認證輸時之機等機制 ), 保護資料免於被揭露密性 9. 安全功安全功能應具備以下傳輸資料遭到修改時之偵測能間修改能力 : 之偵測 (1) 待測物在與遠端可信賴資訊產品間傳送或接收資料之間 ( 如 : 下載特徵值 ) 遭受非法竄改時, 應予以偵測 (2) 待測物應確認在與遠端可信賴資訊產品間所傳送或接收資料之完整性, 當偵測資料遭修改時, 定義所應採取的動作 10. 可信賴待測物應具備可信賴之時戳 (Reliable 之時戳 Timestamp), 正確記錄稽核資料的日期及時間 11. 稽核紀安全功能應具備以下稽核紀錄 : 錄 (1) 待測物應依下列事件類型產生其稽核紀錄, 並存於資料庫中 : A. 啟閉稽核功能 B. 存取稽核資料 C. 使用者登錄成功或失敗登錄權限變更及恢復 D. 變更安全屬性 E. 變更系統時間 (2) 每筆稽核紀錄至少包含下列資訊 : A. 事件識別碼 B. 事件日期及時間附件 6-11

308 類別項目子項目審查標準基礎型進階型 C. 事件類型 D. 事件成功或失敗 12. 稽核紀安全功能應具備以下稽核紀錄之查詢 : 錄之查詢 (1) 可由被授權的管理者查詢各種稽核紀錄 ( 含事件之稽核紀錄 ) (2) 稽核紀錄應以適合管理者理解之方式呈現 (3) 可依設定條件查詢稽核紀錄 13. 稽核紀安全功能應具備以下稽核紀錄可用性之保證 : 錄可用性 (1) 應確保已儲存的稽核紀錄不被非授權使用者之保證刪除 (2) 當非授權使用者嘗試竄改已儲存的稽核紀錄時, 應偵測並記錄之 (3) 當發生稽核紀錄儲存設備之空間用盡故障或遭受攻擊時, 應維持儲存稽核紀錄之功能其中空間即將用盡時, 除提供系統警告外, 並應至少提供下列一種處置方式 : A. 另存稽核紀錄 : 將需要保存的稽核紀錄另存至其他儲存設備 B. 刪除稽核紀錄 : 將不需要保存之稽核紀錄予以刪除 C. 覆蓋稽核紀錄 : 新增之稽核紀錄覆蓋最舊的稽核紀錄 14. 系統資安全功能應具備以下系統資料 : 料蒐集 (1) 待測物應從特定的資訊系統蒐集以下資訊 ( 自行挑選 ): A. 設備起始 / 關機附件 6-12

309 類別項目子項目審查標準基礎型進階型 B. 系統登入記錄 C. 資料存取 D. 服務請求 E. 網路流量 F. 安全組態變更 G. 資料轉送 H. 已被偵測之惡意碼 I. 存取控制組態 J. 服務組態 K. 授權組態 L. 可靠之規則組態 M. 已被偵測之弱點 N. 其他 ( 自行列舉 ) (2) 待測物至少應可蒐集與記錄以下資訊之能力 : A. 事件發生日期 / 時間 B. 事件類型 C. 識別發生來源 D. 事件發生的結果 15. 系統資安全功能應具備以下系統資料分析功能 : 料分析功 (1) 待測物應對接收之資料執行以下分析工能作 : A. 接收資料之統計特性及完整性 B. 其他分析動作 ( 自行列舉 ) (2) 待測物應就資料分析結果記錄以下訊息 : A. 日期與時間附件 6-13

310 類別項目子項目審查標準基礎型進階型 B. 結果類型 C. 資料來源 D. 其他 ( 自行列舉 ) 16. 系統資待測物偵測到入侵行為時應發出警示, 並採取回應料回應功措施 ( 自行列舉 ) 能 17. 受限制安全功能應具備以下限制系統資料審查之能力 : 的系統資 (1) 待測物應可設定被授權使用者讀取特定系料審查統資料 (2) 系統資料應以適合管理者理解之方式呈現 (3) 待測物應禁止未經授權使用者讀取系統資料 18. 系統資安全功能應具備以下系統資料可用性之保證 : 料可用性 (1) 待測物應防止儲存的系統資料被非授權使之保證用者刪除或竄改 (2) 當發生系統資料保存機制失效時 ( 如 : 儲存空間已滿設備故障或遭受攻擊 ), 設備安全功能應提供機制以維護已經儲存系統資料之可用性 19. 系統資當系統資料儲存空間耗盡時, 除提供系統告警外, 料漏失之安全功能應執行下列動作之一, 以維持儲存系統資預防料之功能 : (1) 忽略新增之系統資料 (2) 保護被授權使用者所選擇的系統資料 (3) 每筆最新的系統資料必須從最舊的系統資附件 6-14

311 類別項目子項目審查標準基礎型進階型料開始覆蓋安全功能設計申請者應提供待測物安全功能規格設計安全性安全架構及安全指引等文件, 以確保安全功能 (TSF) 能正確執行安全功能規格本項書面審查內容依申請者提供之附錄一安全功能規格表, 檢視安全功能規格之內容是否符合附表 1-3: 安全功能規格之書面審查內容附表 1-3 安全功能規格之書面審查內容類別項目審查標準安全安全安全功能介面應實現安全功能需求, 應說明安全功功能功能能介面 (TSFI) 以下規格 : 設計規格 (1) 安全功能介面名稱 (2) 目的 (3) 可實現的安全功能需求 (4) 操作方式 (5) 參數 (6) 執行的動作 (7) 錯誤訊息設計安全性基礎型進階型本項書面審查內容依申請者提供之附錄二設計安全性表, 檢視設計安全性之內容是否符合附表 1-4 設計安全性之書面審查內容附件 6-15

312 本項書面審查內容與判定標準說明如附表 1-4: 附表 1-4 設計安全性之書面審查內容基進類別項目審查標準礎階型型安全設計應說明如何以子系統組成安全功能規格之安全功能介功能安全面, 並說明安全功能子系統以下規格 : 設計性 (1) 子系統名稱 (2) 目的 (3) 子系統隸屬之安全功能介面 (4) 子系統行為說明安全架構本項書面審查內容依申請者提供之附錄三安全架構表, 檢視安全架構之內容是否符合附表 1-5 安全架構之書面審查內容本項書面審查內容與判定標準說明如附表 1-5: 附表 1-5 安全架構之書面審查內容基進類別項目審查標準礎階型型安全安全應依據安全功能規格及設計安全性之功能架構檢附文件, 說明待測物安全架構如何滿足安全功能需設計求 (SFR), 並作為實機測試項目設計的參考針對安全功能介面及子系統, 提出安全架構的設計概念與操作安全建議, 也需符合後續提供的指引文件安全架構應說明下列項目 : 附件 6-16

313 基進類別項目審查標準礎階型型 (1) 待測物因執行安全功能所區隔的安全領域 (2) 安全功能的安全初始程序 (3) 安全功能的自我保護機制 (4) 安全功能執行如何避免被繞道安全指引本項書面審查內容依申請者提供之指引文件, 檢視文件內容是否符合附表 1-6 安全指引之書面審查內容本項書面審查內容與判定標準說明如附表 1-6: 附表 1-6 安全指引之書面審查內容基進類別項目審查標準礎階型型安全安全 (1) 應定義每個使用者角色功能指引 (2) 應提供每個使用者角色於執行安全功能 (TSF) 時設計之相關說明, 包括 : A. 週邊設備及安全設定 B. 允許使用的介面 C. 安全參數定義 D. 可能產生的安全事件 E. 應遵循的安全措施 (3) 應說明於特殊權限操作時的安全環境要求, 並提供適當的警告 (4) 應列舉待測物操作時的所有運作模式附件 6-17

314 基進類別項目審查標準礎階型型 (5) 應列舉待測物作業失敗 (Failure) 或人員操作錯誤產生的各種情況及處理方式 (6) 應說明待測物運作前的安全準備作業, 包含待測物安裝及啟動方式 (7) 應說明待測物操作的安全環境設置, 應包括以下項目 : A. 待測物使用目的 ( 如針對伺服器進行網路協定管制作業等 ) B. 實體環境安全 ( 如待測物需置於有門禁管制的環境等 ) C. 人員安全 ( 如僅有授權人員能存取待測物等 ) D. 連接安全 ( 如待測物與其他網路伺服器之連線安全等 ) (8) 指引文件將做為實機測試的依據 6.3. 實機測試類別實機測試包含安全功能測試壓力測試堅實測試及穩定測試安全功能測試 (Security Functionality Test) 測試待測物所具有安全防護相關功能壓力測試 (Stress Test) 測試待測物於面臨大量網路封包或連線時, 安全功能是否能保持正常運作附件 6-18

315 堅實測試 (Robustness Test) 測試待測物本身開啟服務或協定時, 面臨針對待測物本身而來的不正常連線行為, 是否能保持正常運作穩定測試 (Stability Test) 將待測物置於真實網路流量下運作測試, 是否有不穩定的狀況發生 6.4. 實機測試類別之項目及判定標準實機測試分為基礎型與進階型, 皆包含安全功能測試壓力測試堅實測試及穩定測試四個類別實機測試項目及標準如表 2 表 2 實機測試之類別項目及判定標準類別項目判定標準基礎型進階型安全功能測試異常 / 攻擊偵測 1. 漏判測試 : 依 (1) 進行測試, 對於必測樣本之漏判率須小於或等於 10% 2. 誤判測試 : 依 (3) 進行測試, 誤判率須小於或等於 5% 1. 漏判測試 : 依 (2) 進行測試, 對於必測樣本之漏判率須小於或等於 7%, 對於加測樣本之漏判率須小於或等於 10% 2. 誤判測試 : 依 (3) 進行測試, 誤判率須小於或等於 5% 躲避攻擊依進行測試, 可阻擋惡意附件 6-19

316 類別項目判定標準基礎型進階型躲避偵測之攻擊行為安全管理依進行測試, 應具備下列管理功能 : 1. 具備通行碼 (Password) 管理 2. 具備通行碼輸入錯誤次數之上限設定, 錯誤輸入超過上限次數後須封鎖管理介面一段時間異常 / 攻擊依進行測試, 應正確記錄事件紀錄違反安全規則之事件名稱時間來源 IP 目的 IP 及內容線上更新依進行測試, 應可透過網路進行線上更新特徵碼資料 IPv6 封包 1. 依 (1) 進行測試, 應可檢測偵測 IPv6 之異常 / 攻擊網路封包 2. 依 (2) 進行測試, 應可偵測 IPv4 及 IPv6 混合之異常 / 攻擊網路封包壓力吞吐量依進行測試, 當待測物所測試負荷的吞吐量達到其規格說明之最大值時, 不能發生封包遺失且待測物安全功能應正常運作最大同時依進行測試, 當達到待測連線數物規格說明之最大連線數時, 不能發生斷線且待測物安全功能應正常運作最大連線建立速率依進行測試, 當達到待測物規格說明之最大連線建立速率附件 6-20

317 類別項目判定標準基礎型進階型時, 不能發生斷線且待測物安全功能應正常運作堅實阻斷式攻依進行測試, 不能發生當測試擊機重開或斷線之情況當攻擊結束後, 安全功能應正常運作遠端管理依進行測試, 待測物遠端異常流量管理介面對服務 / 協定異常流量應保持正常運作非正常關依進行測試, 待測物應復機復原原到非正常關閉電源前的狀態 : (1) 應保留最後設定的系統組態 (2) 應保留斷電時間點前最後 5 分鐘的日誌檔案 ( 含系統日誌及安全事件日誌 ) (3) 能以最後設定的系統組態正常開機穩定測試真實流量測試依進行測試, 待測物應可持續 168 小時穩定運作依進行測試, 待測物應可持續 336 小時穩定運作安全功能測試檢視待測物之安全功能需求是否符合書面送審資料, 並依下列各測試項目進行實機測試異常 / 攻擊偵測附件 6-21

318 A 埠 B 埠測試平台待測物圖 1 異常 / 攻擊偵測接續示意圖測試環境 (1) 測試平台 : 可產生網路封包之測試儀器或程式 (2) 測試平台 A 埠 : 模擬用戶端送收網路封包 (3) 測試平台 B 埠 : 模擬伺服器端送收網路封包 (4) 網路連接線 : 乙太網路線或光纖纜線 (5) 連接測試平台及待測物如圖 1, 其中乙太網路線或光纖線路連接數量依待測物運作模式 ( 如 Proxy 或 Transparent Mode) 決定 (6) 代理模式 (Proxy Mode): 乙太網路線或光纖線路連接數量為一條, 測試平台 A 埠及 B 埠為同一連接埠 (7) 通透模式 (Transparent Mode): 乙太網路線或光纖線路連接數量為兩條, 測試平台 A 埠及 B 埠為獨立的兩個連接埠 (8) 開啟待測物之異常或攻擊偵測功能測試樣本 (1) 必測樣本 : 自 NVD ( 美國國家弱點資料庫 ) 篩選待測物送測前一個月起一年內 CVSS 7.0 且與 IDP 設備相關之弱點, 以此數量的 5% 為依據, 由測試平台或儀器產生大於或等於該數量之測試樣本 (2) 加測樣本 : 除上述必測樣本外, 自 NVD ( 美國國家弱點資料庫 ) 篩選待測物送測前二至三年內 CVSS 7.0 且與 IDP 設備附件 6-22

319 相關之弱點, 以此數量的 5% 為依據, 由測試平台或儀器產生大於或等於該數量之測試樣本測試方法及標準 (1) 基礎型測試 : 使用測試平台將攻擊測試樣本之必測樣本自 A 埠送至基礎型待測物,B 埠無法收到異常或攻擊流量之封包, 並可記錄此異常或攻擊事件基礎型待測物對於攻擊測試樣本之漏判率須小於或等於 10% (2) 進階型測試 : 使用測試平台將攻擊測試樣本之必測樣本及加測樣本分別自 A 埠送至進階型待測物,B 埠無法收到異常或攻擊流量之封包, 並可記錄此異常或攻擊事件待測物對於必測樣本之漏判率須小於或等於 7%, 對於加測樣本之漏判率須小於或等於 10% (3) 誤判測試 : 使用測試平台自 A 埠產生無異常行為之樣本至少 5000 筆,B 埠可正常接收到封包且不會產生異常及攻擊事件之紀錄基礎型及進階型待測物之誤判率皆須小於或等於 5% 躲避攻擊偵測測試環境同測試方法及標準開啟待測物預設之安全規則, 使用測試平台自 A 埠各式躲避攻擊 (Evasion Attacks) 之流量, 如 :IP Packet Fragmentation TCP Stream Segmentation URL Obfuscation FTP Evasion 及 RPC Fragmentation 等躲避攻擊之流量, 確認無法從 B 埠收到躲避攻擊之封包安全管理功能測試環境附件 6-23

320 測試平台待測物圖 2 安全管理功能測試接續示意圖 (1) 測試平台 : 可供測試人員連線至待測物之終端設備 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接待測物及測試平台如圖測試方法及標準 (1) 由測試平台連線至待測物, 確認待測物是否需要通行碼才可進行設定, 待測物應須輸入正確通行碼才可進行管理設定 (2) 嘗試輸入錯誤通行碼, 待測物是否檢查當超過最大錯誤次數時, 會封鎖管理介面一段時間, 避免遭受攻擊異常 / 攻擊事件紀錄測試環境 (1) 測試平台 : 可供測試人員連線至待測物之終端設備 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接待測物及測試平台如圖 2 (4) 開啟待測物之異常 / 攻擊偵測功能測試方法及標準當違反安全事件紀錄的網路流量通過待測物, 待測物的流量統計資訊應正確紀錄違反安全規則之事件名稱時間來源 IP 目的 IP 及內容附件 6-24

321 線上更新測試環境圖 3 線上更新測試環境接續示意圖 (1) 測試平台 : 可供測試人員連線至待測物之終端設備 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接待測物測試平台與網際網路如圖 3 (4) 開啟待測物之自動線上更新功能測試方法及標準待測物應至少每天一次自動進行線上入侵攻擊特徵碼之更新 IPv6 封包檢測 ( 適用進階型 ) 測試環境 (1) 測試平台 : 可產生 IPv4 及 IPv6 網路封包之測試儀器或程式 (2) 測試平台 A 埠 : 模擬用戶端送收網路封包 (3) 測試平台 B 埠 : 模擬伺服器端送收網路封包 (4) 網路連接線 : 乙太網路線或光纖纜線 (5) 連接測試平台及待測物如圖 1, 其中乙太網路線或光纖線路連接數量依待測物運作模式 ( 如 Proxy 或 Transparent Mode) 決定 (6) 代理模式 (Proxy Mode): 乙太網路線或光纖線路連接數量為一條, 測試平台 A 埠及 B 埠為同一連接埠附件 6-25

322 (7) 通透模式 (Transparent Mode): 乙太網路線或光纖線路連接數量為兩條, 測試平台 A 埠及 B 埠為獨立的兩個連接埠 (8) 開啟待測物之異常 / 攻擊偵測功能測試方法及標準 (1) 以測試平台自 A 埠產生異常 / 攻擊之 IPv6 網路流量通過待測物, 待測物應偵測異常 / 攻擊之網路封包, 並可正確紀錄此異常 / 攻擊事件 (2) 設定待測物對異常 / 攻擊流量進行阻擋, 以測試平台自 A 埠產生異常 / 攻擊之 IPv4 及 IPv6 混合網路流量通過待測物, 待測物應偵測異常 / 攻擊之網路封包, 並正確紀錄此異常 / 攻擊事件壓力測試吞吐量測試測試環境 (1) 測試平台 : 可產生網路封包之測試儀器或程式 (2) 測試平台 A 埠 : 模擬用戶端送收網路封包 (3) 測試平台 B 埠 : 模擬伺服器端送收網路封包 (4) 網路連接線 : 乙太網路線或光纖纜線 (5) 連接測試平台及待測物如圖 4, 其中乙太網路線或光纖線路連接數量依待測物運作模式 ( 如 Proxy 或 Transparent Mode) 決定 (6) 代理模式 (Proxy Mode): 乙太網路線或光纖線路連接數量為一條, 測試平台 A 埠及 B 埠為同一連接埠 (7) 通透模式 (Transparent Mode): 乙太網路線或光纖線路連接數量為兩條, 測試平台 A 埠及 B 埠為獨立的兩個連接埠 (8) 開啟待測物之安全功能 (9) 測試平台產生大小為及 1518 位元組之網路封包, 並依 IMIX 之比例 57% 7% 16% 及 20% 混合, 時間為 60 秒附件 6-26

323 A 埠 B 埠測試平台待測物圖 4 吞吐量測試接續示意圖測試方法及標準測試平台建立自 A 埠經待測物至 B 埠之網路連線後, 傳送不同大小之封包當待測物所負荷的吞吐量達到其規格說明之最大值時, 待測物安全功能應正常運作最大連線數 ( 適用進階型 ) 測試環境同測試方法及標準測試平台每秒建立一條自 A 埠經待測物至 B 埠之連線當達到待測物規格說明之最大連線數時, 不能發生斷線且待測物安全功能應正常運作最大連線建立速率 ( 適用進階型 ) 測試環境同測試方法及標準測試平台建立自 A 埠經待測物至 B 埠之連線, 並逐漸提高連線建立速率, 當達到待測物規格說明之最大連線建立速率時, 不能發生斷線且待測物安全功能應正常運作堅實測試阻斷式攻擊測試環境附件 6-27

324 圖 5 阻斷式攻擊測試接續示意圖 (1) 測試平台 : 可產生大量網路流量之測試儀器或程式 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接測試平台及待測物如圖 5 (4) 開啟待測物之安全功能 (5) 測試平台針對待測物的服務連接埠, 發動阻斷式攻擊測試方法及標準測試平台產生待測物規格說明之最大吞吐量 300% 的 HTTP 封包, 持續 600 秒攻擊待測物開啟的連接埠以阻斷其服務, 待測物不能發生當機重開或斷線之情況當攻擊結束後, 安全功能應正常運作遠端管理異常流量測試環境 (1) 測試平台 : 可產生大量網路流量之測試儀器或程式 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接測試平台及待測物如圖 5 (4) 開啟待測物之安全功能 (5) 透過待測物提供的終端管理介面進入待測物進行設定, 開啟待測物之遠端管理功能測試樣本以測試平台針對待測物提供之每項服務皆產生 10 種異常流量作為測試樣本附件 6-28

325 測試方法及標準測試平台送出測試樣本至待測物, 待測物之遠端管理功能應正常運作非正常關機測試環境無測試方法及標準待測物運作期間不正常關閉電源時, 經重新啟動後, 應復原到非正常關閉電源前的狀態且須符合下列要求 : (1) 應保留最後設定的系統組態 (2) 應保留斷電時間點前最後 5 分鐘的日誌檔案 ( 含系統日誌及安全事件日誌 ) (3) 能以最後設定的系統組態正常開機穩定測試真實流量測試在一般使用者上線的真實運作之網路, 以場測方式進行測試, 或將真實網路流量錄製後, 再以重播之方式進行測試, 測試環境同測試環境附件 6-29

326 內部網路 (Intranet) A 埠 C 埠路由器 (Router) B 埠網際網路 (Internet) 流量錄製平台圖 6 流量錄製接續示意圖圖 7 流量重播接續示意圖 (1) 流量錄製平台 : 錄製網路封包 (2) 網路連接線 : 乙太網路線或光纖纜線 (3) 連接流量錄製平台路由器內部網路及網際網路如圖 6 (4) 路由器將往來 A B 兩埠的網路封包複製一份後, 經 C 埠送至流量錄製平台, 流量錄製平台將網路封包錄製成為檔案儲存 (5) 流量重播平台 : 將預先錄製之真實流量檔案還原成網路封包送至待測物 (6) 連接流量重播平台與待測物如圖 7 (7) 網路封包來源 IP 位址如屬內部網路, 流量重播平台將網路封包經 A 埠送至待測物 ; 反之, 來源 IP 位址如屬網際網路, 則網路附件 6-30

327 封包經 B 埠送至待測物測試樣本測試樣本必須滿足以下要求 : (1) 具備至少 100 位使用者同時上線的網路流量 (2) 若以重播方式進行測試, 所使用之網路流量必須為送測日前 2 周內從真實網路環境所錄製之流量 (3) 重播之網路流量其最大同時連線數於測試期間必須達待測物規格說明處理能力最大值之 50% 以上 (4) 重播之網路流量須以線性放大或縮小以維持波形, 並使其平均流量為待測物規格說明處理能力最大值之 50% (5) 流量內容須涵蓋 10 種以上之應用類型並包含 smtp pop3 imap ftp smb http https dns 及 snmp 等應用項目, 全部之應用項目須達 50 個以上應用項目舉例如下 : A. Chat: msn yahoo messenger qq xmpp 及 aol-icq B. gmail smtp pop3 imap 及 webmail C. File Transfer:ftp flashget 及 smb D. Game:garena facebook app 及 steam E. P2P:gnutella edonkey bt xunlei fasttrack ares kazaa 及 ed2k F. Remote Access:windows remote desktop telnet ssh 及 vnc G. Streaming:rtsp qqtv pplive ppstream qvod flashcom itunes rtp 及 shoutcast H. VoIP:skype 及 sip 附件 6-31

328 I. Web:http https http download http video 及 http range get J. Others:hopster softether dns snmp oracle 及 ms-sql 測試方法及標準 (1) 基礎型待測物須進行連續 168 小時測試 ; 進階型待測物須進行連續 336 小時測試 (2) 測試過程待測物不能發生下列不穩定之情況 : A. 當機 B. 重新開機 C. 連線不正常中斷 D. 安全功能失效附件 6-32

329 附錄附錄一安全功能介面表安全功能介面名稱 TSFI 目的 Purpose 安全功能介面可實現之安全功能需求 SFR 操作方式 Method of Use 參數 Parameter 執行動作 Actions 錯誤訊息 Error Message 列出所有安全功能說明各安全功能說明各安全功能說明如何使用說明各安全功說明各安說明執行各安介面介面之安全功能介面如何實現附各安全功能介能介面所有參全功能介全功能介面產目的表 1-2 所列之安面數及其意義面如何運生之錯誤訊全功能需求作及其執息, 包含其意行細節義及產生條件範例 : 範例 : 範例 : 範例 : 範例 : 範例 : 範例 : TSFI_CLI 提供命令列模式 SFR_ 安全管理 : 以 ssh 連接待測 ID & password 可下達管連接失敗操作介面提供安全管理功物, 即提供命令理命令操認證失敗能列模式操作介作待測物面附錄 1-1

330 附錄二子系統描述與分類表子系統名稱 Subsystem 目的 Purpose 子系統隸屬之安全功能介面 TSFI 子系統行為說明 Behavior Description 列出各安全功說明各子系說明各子系統說明各子系統行為如下 : 能介面之子系統之安全功隸屬於附件一 (1) 如何實現安全功能介面的功能統能目的所列之安全功 (2) 與其他子系統間互動之資訊, 包含不同子系統間的溝通以及傳遞資料的能介面特性範例 : 範例 : 範例 : 範例 : Subsystem_ssh 提供 ssh 服務 TSFI_CLI (1) 提供 TSFI_CLI 命令列模式操作介面 (2) 與其他子系統之互動 : (A) Subsystem_auth: 傳遞認證資訊給 Subsystem_auth, 並由回覆訊息確認認證是否成功 (B) Subsystem_terminal: 附錄 2-1

331 附錄三安全架構描述表項目 1. 安全領域 Security Domain 說明安全領域名稱列出各安全功能介面對應之安全領域安全領域說明在安全功能操作環境及內部執行限制下, 如何區隔所需保護的資料範例 : TSFI_GUI: Domain_SecureLogAudit Domain_SecureConnection 範例 : 透過 TSFI_GUI 來執行管理功能時, 該 TSFI 同一時間只能有單一遠端連線, 並只能執行單一稽核資料處理請求附錄 3-1

332 項目 2. 初始程序 Secure Initialization 說明相關元件操作待測物的相關元件 / 環境初始程序說明提供安全啟動待測物之相關元件起始步驟及安裝程序範例 : 待測物網路連接程序範例 : 1. 從端口標記為 0/ 0(ethernet0 / 0 接口 ) 連接一個 RJ- 45 電纜到交換機或路由器 Trust 安全區 2. 從端口標記為 0/ 1(ethernet0 / 1 接口 ) 連接一個 RJ- 45 電纜到交換機或路由器中的 DMZ 安全區附錄 3-2

333 項目 3. 自我保護 Self-Protection 說明自我保護功能與外部設備之關係自我保護機制說明列出各安全功能介面對應之自說明安全功能及其介面需說明安全功能介面提供實體上或我保護機制與外部設備之資料交換邏輯上的自我保護機制動作範例 : TSFI_WEB: 自我保護 1: 身分驗證自我保護 2: 遠端連線加密範例 : 範例 : 遠端以瀏覽器連線待測 1. 應輸入通行碼才能進入介面物進行管理功能時, 以 2. 資料傳輸機制 :TLS/SSL TSFI_WEB GUI 介面進 3. 特殊執行方式 : 指紋辨識行身分認驗證 4. 特殊設備需求 : 指紋辨識器附錄 3-3

334 項目 4. 防止繞道 Non-Bypassibilit y 說明防止繞道功能列出各安全功能對應之防止繞道機制防止繞道機制說明 1. 列舉可能繞道之手法 2. 說明防範作法, 包含進入安全功能的介面如何被保護執行階段的資料處理如何保護是否存有其他對外通道及相關防範非法進入之機制等範例 : TSF_Authentication 身分驗證功能範例 : 可能直接以維護介面不經身分認證操控待測物防範作法 : 以實體封鎖方式, 防止利用維護介面繞道身分認證程序附錄 3-4

展开

IDS-Concepts

IDS-Concepts !!! : (Internet) : Attacker (802.11) AP AP: Access Point, AP AP Drive by Hacking NoteBook 12 AP / 12 AP Personnel Records Trade Secrets Financials WiFi (802.11) LAN 802.11 MAC Address : AP MAC Address