- 民國 102 年 03 月 13 日
-
6.4.1.1.2 測試樣本部份,進階型之測試樣本鑑別度不足,故將樣本部分調整為必測
樣本與加測樣本,提高進階型設備之鑑別度。
6.4.1.1.3.除測試樣本外,增加考量漏判通過率提升,不同弱點測試樣本 set、涵蓋
度等,提高進階型設備更嚴謹之鑑別度設計。
6.4.2.1.1.測試時間至少 60 秒的描述過於模糊,不同實驗室間可能使用 60 秒、12
0 秒或 300 秒進行測試造成測試標準不一。壓力測試之測項對待測物加
壓之時間應有一致的標準,故於技術規範中將加壓之時間“至少 60 秒”
改為定值“60秒”進行壓力測試。
6.4.3.1.2.未清楚定義何謂阻斷式攻擊流量之內容與流量大小,將造成測試標準不一
。建議指定待測物規格說明最大吞吐量 300%的 HTTP 封包為阻斷式攻擊
流量。
6.4.3.2.2.通常待測物會提供至少 1 種以上之服務,但規範原文可能造成(1) 每
項服務需要至少 10 個測試樣本或(2) 全部服務至少有 10 個測試樣本
等兩種不同解讀。如為後者之知況,若 10 個測試樣本都只針對其中一種
服務進行測試,將無法驗證其他服務的安全狀態。
6.4.3.3.2.恢復到關閉電源前的最後狀態描述過於模糊,建議修正為待測物斷電後需
回復至以下要求:(1) 最後設定的系統組態、(2) 保留斷電時間點前
最後 5 分鐘的日誌檔案以及(3) 可使用最後設定的系統組態正常開機
。
6.4.4.1.2.原文將造成用來測試待測物的流量介於 50 %~∞範圍,當標準訂為 50
%時,對待測物而言相對容易通過,但標準超過 100%時,則待測物形同
處於阻斷式攻擊的狀況下。此外,真實環境的網路流量呈現非固定數值,
為保留真實流量測試的精神與意義,穩定測試不應採用固定百分比的方式
進行流量重播。為取得一致的測試標準,重播之網路流量須以線性放大或
縮小之原則使其維持待測物規格說明處理能力最大值之 50 %。
- 民國 101 年 06 月 25 日
-
將密碼用語統一改為通行碼,避免混淆。
原條文要求待測物必須支援客製化更新頻率與時間,實無必要。考量整體安全性與參
考國際大廠現行做法,將條文修改為每日至少進行一次特徵碼之自動更新。
進行壓力測試時,待測物丟棄部分封包屬正常功能,故刪除此要求。
- 民國 101 年 03 月 30 日
-
修訂書面審查及實機測試之審查類別、審查內容及審查標準。
- 民國 100 年 10 月 17 日
-
1.明定書面審查及實機測試之類別。
2.明定書面審查項目及標準。
3.明定實機測試項目及標準。