跳至主要內容
:::
去格式引用 轉存PDF 轉存RTF 友善列印

歷史法規

法規名稱: 入侵偵測防禦系統資通安全檢測技術規範
修正日期: 民國 101 年 03 月 30 日
1.概說
  入侵偵測防禦系統(Intrusion Detection and Prevention system,
  以下簡稱 IDP)能夠監視網路或網路設備的網路資料傳輸行為,當偵測
  到不正常或具有傷害性的網路資料傳輸行為時,能夠採取適當的防禦措
  施,免受惡意攻擊之影響。
2.適用範圍
  規範適用於獨立式硬體架構,並使用嵌入式韌體或專屬軟體之網路型入
  侵偵測防禦系統,可檢測封包傳輸及阻擋網路應用層通訊協定之攻擊流
  量。
3.安全等級
  本規範之設備安全等級分為基礎型(Basic) 與進階型(Advanced)。
3.1.基礎型入侵偵測防禦系統
    基礎型設備安全功能測試項目包括異常/ 攻擊偵測、安全管理、異常
    / 攻擊事件紀錄及線上更新;壓力測試項目包括吞吐量;堅實測試項
    目包括阻斷式攻擊、躲避攻擊及非正常關機復原;穩定測試項目包括
    真實流量長時間測試。
3.2.進階型入侵偵測防禦系統
    進階型設備除基礎型設備之測試項目外,另增加安全功能測試項目包
    括異常/ 攻擊偵測、使用者自訂安全規則及 IPv6 封包檢測;壓力測
    試項目包括最大同時連線數與最大建立連線速率;堅實測試項目包括
    異常流量;穩定測試項目包括真實流量長時間測試。
4.參考標準
  ISO/IEC 15408 共同準則(Common Criteria for Information
  Technology Security Evaluation, CC)
  ICSA Network IPS Enterprise Certification Testing Criteria
  Version -1.4
  NSS IPS Group Test Methodology Version-6.1
5.用語釋義
5.1.共同準則(Common Criteria, CC)
    為國際資通安全產品評估及驗證之標準(ISO/IEC 15408) ,依其定
    義之評估保證等級(Evaluation Assurance Level,簡稱 EAL)判定
    產品之安全等級,EAL 共有 7  個等級,最低等級為 EAL 1,最高等
    級為 EAL 7,提供申請者/ 贊助者、檢測實驗室與驗證機關(構)評
    估及驗證資通安全產品安全與功能性。參考網址
    http://www.commoncriteriaportal.org
5.2.入侵偵測防禦系統保護剖繪(U.S. Government Protection Profile
    Intrusion Detection System for Basic Robustness Environments
    )
    指美國政府機關採購入侵偵測防禦系統之設備技術參考指引。
5.3.評估標的(Target Of Evaluation, TOE)
    指申請資通安全評估及驗證之產品及其相關使用手冊。
5.4.保護剖繪(Protection Profile, PP)
    指滿足資通安全產品評估標的(TOE) 製作之安全基本需求文件。
5.5.安全標的(Security Target, ST)
    指資通安全產品能符合保護剖彙(PP)或特定安全需求製作之規格文
    件
5.6.安全功能(TOE Security Functions, TSF)
    指資通安全產品用於實現安全標的(ST)所要求安全功能需求(
    Security Functional Requirement, SFR)之相關功能。
5.7.安全屬性(Security Attribute)
    指定義主體、使用者(包括設備外部資訊產品)、受體、資訊、對談
    (Session) 或資源的一種特性,並根據其定義的特性(值)來執行
    安全功能。
5.8.可信賴通道(Trusted Channel)
    指安全功能與一個外部可信賴的資訊產品達到安全通訊的方法。
5.9.安全功能需求 (Security Functional Requirement, SFR)
    指共同準則第二部份(Common Criteria, Part 2) 所定義之安全相
    關需求條文,用以描述一資通安全產品之安全功能(TSF) 所需滿足
    的各項要求。此要求條文會被引用於保護剖繪及安全標的中,用以具
    體陳述該產品功能的安全方面的需求。
5.10. 安全功能介面(TOE Security Functions Interface, TSFI)
      指為評估標的(TOE) 用於實現安全功能需求(SFR) 之對外溝通
      介面。
5.11. 安全領域(Security Domain)
      指一個主動式個體(人或機器)被授權存取的資源集合,為安全架
      構的屬性之一。
5.12. 自我保護(Self-Protection)
      指安全功能本身無法被無關的程式碼或設施破壞,為安全架構的屬
      性之一。
5.13. 繞道(Bypass)
      指避開待測物安全功能檢查之技巧。(如:未經過身分鑑別,直接
      進入稽核功能介面)。
5.14. 角色(Role)
      指預先定義之規則,以描述使用者與待測物間的操作權限。
6.技術要求
6.1.書面審查類別
6.1.1.安全標的
      審查待測物之設備規格及安全功能需求。
6.1.2.安全功能設計
      審查待測物之設計安全性、安全架構及安全指引。
6.2.書面審查類別之項目及判定標準
    申請者應依基礎型或進階型之安全等級,提供符合該等級之安全標的
    及安全功能設計類別相關文件(如表 1)。
6.2.1.安全標的
      申請者應提供待測物之設備規格說明書,包含設備規格(附表 1-1
      )及該設備可執行的安全功能需求(附表 1-2)。
6.2.1.1.設備規格說明
        本項書面審查內容依申請者提供之設備規格說明書,檢視設備規
        格是否符合附表 1-1  設備規格之書面審查內容:
6.2.1.2.安全功能需求(SFR)
        本項書面審查內容依申請者提供之設備規格說明書,檢視安全功
        能需求(SFR) 之執行內容是否符合附表 1-2。安全功能需求之
        書面審查內容。
6.2.2.安全功能設計
      申請者應提供待測物安全功能規格、設計安全性、安全架構及安全
      指引等文件,以確保安全功能(TSF) 能正確執行
6.2.2.1.安全功能規格
        本項書面審查內容依申請者提供之附件一、安全功能規格表,檢
        視安全功能規格之內容是否符合附表 1-3:安全功能規格之書面
        審查內容。
6.2.2.2.設計安全性 
        本項書面審查內容依申請者提供之附件二、設計安全性表,檢視
        設計安全性之內容是否符合附表 1-4  設計安全性之書面審查內
        容。
        本項書面審查內容與判定標準說明如附表 1-4:
6.2.2.3.安全架構 
        本項書面審查內容依申請者提供之附件三、安全架構表,檢視安
        全架構之內容是否符合附表 1-5  安全架構之書面審查內容。
        本項書面審查內容與判定標準說明如附表 1-5:
6.2.2.4.安全指引
        本項書面審查內容依申請者提供之指引文件,檢視文件內容是否
        符合附表 1-6  安全指引之書面審查內容。
        本項書面審查內容與判定標準說明如附表 1-6:
6.3.實機測試類別
    實機測試包含安全功能測試、壓力測試、堅實測試及穩定測試。
6.3.1.安全功能測試
      測試待測物所具有安全防護相關功能
6.3.2.壓力測試
      測試待測物於面臨大量網路封包或連線時,安全功能是否能保持正
      常運作。
6.3.3.堅實測試
      測試待測物本身開啟服務或協定時,面臨針對待測物本身而來的不
      正常連線行為,是否能保持正常運作。
6.3.4.穩定測試
      將待測物置於真實網路流量下運作測試,是否有不穩定的狀況發生
      。
6.4.實機測試類別之項目及判定標準
    實機測試分為基礎型與進階型,皆包含安全功能測試、壓力測試、堅
    實測試及穩定測試四個類別。實機測試項目及標準如表 2。
6.4.1.安全功能測試
      檢視待測物之安全功能需求是否符合書面送審資料,並依下列各測
      試項目進行實機測試。
6.4.1.1.異常/ 攻擊偵測
6.4.1.1.1.測試環境
       (1)測試平台:可產生網路封包之測試儀器或程式。
       (2)測試平台 A  埠:模擬用戶端送收網路封包。
       (3)測試平台 B  埠:模擬伺服器端送收網路封包。
       (4)網路連接線:乙太網路線或光纖纜線。
       (5)連接測試平台及待測物如圖 1,其中乙太網路線或光纖線路
            連接數量依待測物運作模式(如 Proxy  或 Transparent 
            Mode)決定。
       (6)代理模式(Proxy Mode):乙太網路線或光纖線路連接數量
            為一條,測試平台 A  埠及 B  埠為同一連接埠。
       (7)通透模式(Transparent Mode):乙太網路線或光纖線路連
            接數量為兩條,測試平台 A  埠及 B  埠為獨立的兩個連接
            埠。
       (8)開啟待測物之異常/ 攻擊偵測功能。
6.4.1.1.2.測試樣本
       (1)基礎型測試樣本:自 NVD(美國國家弱點資料庫)篩選待測
            物送測前一個月起一年內、CVSS  大於或等於 7.0  分且與
            IDP 相關弱點數量的 5% 為依據。由測試儀器或攻擊程式產
            生至少等於該數量之攻擊測試樣本。
       (2)進階型測試樣本:自 NVD(美國國家弱點資料庫)篩選待測
            物送測前一個月起三年內、CVSS  大於或等於 7.0  分且與
            IDP 相關弱點數量的 10%(一年內之弱點數量必須佔半數以
            上)為依據。由測試平台產生至少等於該數量之攻擊測試樣
            本。
6.4.1.1.3.測試方法及標準
       (1)設定待測物對異常及攻擊流量進行阻擋,使用測試平台將攻
            擊測試樣本自 A  埠送至待測物,B 埠無法收到異常及攻擊
            流量之封包,並可記錄此異常及攻擊事件。基礎型及進階型
            待測物,對於攻擊測試樣本之漏判率皆須小於或等於 10%。
       (2)使用測試平台自 A  埠產生無異常或攻擊行為之樣本至少
            5000  筆,B 埠可正常接收到封包且不會產生異常及攻擊事
            件之紀錄。基礎型及進階型待測物之誤判率皆須小於或等於
            5%。
6.4.1.2.躲避攻擊偵測
6.4.1.2.1.測試環境 同 6.4.1.1.1.。
6.4.1.2.2.測試方法及標準
          開啟待測物預設之安全規則,使用測試平台自 A  埠各式躲避
          攻擊之流量,如:IP Packet Fragmentation、TCP Stream
          Segmentation、URL Obfuscation、FTP Evasion  及 RPC
          Fragmentation 等躲避攻擊之流量,確認無法從 B  埠收到躲
          避攻擊之封包。
6.4.1.3.安全管理功能
6.4.1.3.1.測試環境
       (1)(1) 測試平台:可供測試人員連線至待測物之終端設備。
       (2)網路連接線:乙太網路線或光纖纜線。
       (3)連接待測物及測試平台如圖2。
6.4.1.3.2.測試方法及標準
       (1)由測試平台連線至待測物,確認待測物是否需要密碼才可進
            行設定,待測物應須輸入正確密碼才可進行管理設定。
       (2)嘗試輸入錯誤密碼,待測物是否檢查當超過最大錯誤次數時
            ,會封鎖管理介面一段時間,避免遭受攻擊。
6.4.1.4.異常/ 攻擊事件紀錄
6.4.1.4.1.測試環境
       (2)(1) 測試平台:可供測試人員連線至待測物之終端設備。
       (2)網路連接線:乙太網路線或光纖纜線。
       (3)連接待測物及測試平台如圖 2。
       (4)開啟待測物之異常/ 攻擊偵測功能。
6.4.1.4.2.測試方法及標準
          當違反安全事件紀錄的網路流量通過待測物,待測物的流量統
          計資訊應正確紀錄違反安全規則之事件名稱、時間、來源 IP
          、目的 IP 及內容。
6.4.1.5.線上更新
6.4.1.5.1.測試環境
       (1)測試平台:可供測試人員連線至待測物之終端設備。
       (2)網路連接線:乙太網路線或光纖纜線。
       (3)連接待測物、測試平台與網際網路如圖 3。
       (4)開啟待測物之線上更新功能(自動更新或手動更新)。
6.4.1.5.2.測試方法及標準
       (1)以測試平台開啟待測物之自動更新功能,確認待測物可自動
            更新掃毒引擎與特徵碼。
       (2)以測試平台開啟待測物之手動更新功能,並設定每 5  分鐘
            自動更新,確認待測物可自動更新掃毒引擎與病毒特徵碼。
       (3)以測試平台開啟待測物之手動更新功能,並設定每 60 分鐘
            自動更新,確認待測物可自動更新掃毒引擎與病毒特徵碼。
       (4)以測試平台開啟待測物之手動更新功能,並設定每周一、三
            及五之凌晨 5  點自動更新,確認待測物可自動更新掃毒引
            擎與病毒特徵碼。
6.4.1.6.IPv6  封包檢測(適用進階型) 
6.4.1.6.1.測試環境
       (1)測試平台:可產生 IPv4 及 IPv6 網路封包之測試儀器或程
            式。
       (2)測試平台A埠:模擬用戶端送收網路封包。
       (3)測試平台B埠:模擬伺服器端送收網路封包。
       (4)網路連接線:乙太網路線或光纖纜線。
       (5)連接測試平台及待測物如圖 1,其中乙太網路線或光纖線路
            連接數量依待測物運作模式(如 Proxy  或 Transparent 
            Mode)決定。
       (6)代理模式(Proxy Mode):乙太網路線或光纖線路連接數量
            為一條,測試平台 A  埠及 B  埠為同一連接埠。
       (7)通透模式(Transparent Mode):乙太網路線或光纖線路連
            接數量為兩條,測試平台 A  埠及 B  埠為獨立的兩個連接
            埠。
       (8)開啟待測物之異常/ 攻擊偵測功能。
6.4.1.6.2.測試方法及標準
       (1)以測試平台自 A  埠產生異常/ 攻擊之 IPv6 網路流量通過
            待測物,待測物應偵測異常/ 攻擊之網路封包,並可正確紀
            錄此異常/ 攻擊事件。
       (2)設定待測物對異常/ 攻擊流量進行阻擋,以測試平台自 A 
            埠產生異常/ 攻擊之 IPv4 及 IPv6 混合網路流量通過待測
            物,待測物應偵測異常/ 攻擊之網路封包,並可正確紀錄此
            異常/ 攻擊事件。
6.4.2.壓力測試
6.4.2.1.吞吐量測試
6.4.2.1.1.測試環境
       (1)測試平台:可產生網路封包之測試儀器或程式。
       (2)測試平台 A  埠:模擬用戶端送收網路封包。
       (3)測試平台 B  埠:模擬伺服器端送收網路封包。
       (4)網路連接線:乙太網路線或光纖纜線。
       (5)連接測試平台及待測物如圖 4,其中乙太網路線或光纖線路
            連接數量依待測物運作模式(如 Proxy  或 Transparent 
            Mode)決定。
       (6)代理模式(Proxy Mode):乙太網路線或光纖線路連接數量
            為一條,測試平台 A  埠及 B  埠為同一連接埠。
       (7)通透模式(Transparent Mode):乙太網路線或光纖線路連
            接數量為兩條,測試平台 A  埠及 B  埠為獨立的兩個連接
            埠。
       (8)開啟待測物之安全功能。
       (9)測試平台產生大小為 64、570、594 及 1518 位元組之網路
            封包,將其依 IMIX 之比例 57%、7%、16% 及 20%  混合,
            時間至少 60 秒。
6.4.2.1.2.測試方法及標準
          測試平台建立自 A  埠經待測物至 B  埠之網路連線後,傳送
          不同大小之封包。當待測物所負荷的吞吐量達到其規格說明之
          最大值時,不能發生封包遺失且待測物安全功能應正常運作。
6.4.2.2.最大連線數(適用進階型)
6.4.2.2.1.測試環境  同 6.4.2.1.1.。
6.4.2.2.2.測試方法及標準
          測試平台每秒建立一條自 A  埠經待測物至 B  埠之連線。當
          達到待測物規格說明之最大連線數時,不能發生斷線且待測物
          安全功能應正常運作。
6.4.2.3.最大連線建立速率(適用進階型)
6.4.2.3.1.測試環境  同 6.4.2.1.1.。
6.4.2.3.2.測試方法及標準
          測試平台建立自 A  埠經待測物至 B  埠之連線,並逐漸提高
          連線建立速率,當達到待測物規格說明之最大連線建立速率時
          ,不能發生斷線且待測物安全功能應正常運作。
6.4.3.堅實測試
6.4.3.1.阻斷式攻擊
6.4.3.1.1.測試環境
       (1)測試平台:可產生大量網路流量之測試儀器或程式。
       (2)網路連接線:乙太網路線或光纖纜線。
       (3)連接測試平台及待測物如圖 5。
       (4)開啟待測物之安全功能。
       (5)測試平台針對待測物的服務連接埠,發動阻斷式攻擊。
6.4.3.1.2.測試方法及標準
          測試平台送出大量的網路流量,持續 600  秒攻擊待測物開啟
          的連接埠,並阻斷其服務。當攻擊流量低於或等於待測物規格
          說明之吞吐量最大值時,安全功能應正常運作。
6.4.3.2.遠端管理異常流量
6.4.3.2.1.測試環境
       (1)測試平台:可產生大量網路流量之測試儀器或程式。
       (2)網路連接線:乙太網路線或光纖纜線。
       (3)連接測試平台及待測物如圖 5。
       (4)開啟待測物之安全功能。
       (5)透過待測物提供的終端管理介面進入待測物進行設定,開啟
            待測物之遠端管理功能。
6.4.3.2.2.測試樣本
          以測試平台產生之服務或協定異常流量至少 10 種作為測試樣
          本。
6.4.3.2.3.測試方法及標準
          測試平台送出測試樣本至待測物,待測物之遠端管理功能應正
          常運作。
6.4.3.3.非正常關機
6.4.3.3.1.測試環境 無
6.4.3.3.2.測試方法及標準
          待測物運作期間不正常關閉電源時,經重新啟動後,待測物應
          可復原到非正常關閉電源前的最後狀態。
6.4.4.穩定測試
6.4.4.1.真實流量測試
        在一般使用者上線的真實運作之網路,以場測方式進行測試,或
        是將真實網路流量錄製後,再以重播之方式進行測試,測試環境
        同 6.4.4.1.1.。
6.4.4.1.1.測試環境
       (1)流量錄製平台:錄製網路封包。
       (2)網路連接線:乙太網路線或光纖纜線。
       (3)連接流量錄製平台、路由器、內部網路及網際網路如圖5。
       (4)路由器將往來 A、B 兩埠的網路封包複製一份後,經 C  埠
            送至流量錄製平台,流量錄製平台將網路封包錄製成為檔案
            儲存。
       (5)流量重播平台:將預先錄製之真實流量檔案還原成網路封包
            送至待測物。
       (6)連接流量重播平台與待測物如圖6。
       (7)網路封包來源 IP 位址如屬內部網路,流量重播平台將網路
            封包經 A  埠送至待測物;反之,來源 IP 位址如屬網際網
            路,則網路封包經 B  埠送至待測物。
6.4.4.1.2.測試樣本
          測試樣本必須滿足以下要求:
       (1)具備至少 100  位使用者同時上線的網路流量。
       (2)若以重播方式進行測試,應為該待測物送測前 2  周內所錄
            製之網路流量。
       (3)網路流量之最大同時連線數於測試期間必須達待測物規格說
            明處理能力最大值之 50%  以上。
       (4)網路流量於測試期間必須達待測物吞吐量最大值之 50%以上
            。
       (5)網路流量內容包含至少 10 種應用類型,每一種應用類型至
            少包括一個應用項目,全部之應用項目須達 50 個以上。舉
            例如下:
         (3)A. Chat:msn、yahoo messenger、qq、xmpp 及 aol-icq
              。
         (4)B. Email:gmail、smtp、pop3、imap 及 webmail。
         (5)C. File Transfer:ftp、flashget 及 smb。
         (6)D. Game:garena、facebook app 及 steam。
         (7)E. P2P:gnutella、edonkey、bt、xunlei、fasttrack、
                 ares、kazaa及ed2k。
         (8)F. Remote Access:windows remote desktop、telnet、
                 ssh  及 vnc。
         (9)G. Streaming:rtsp、qqtv、pplive、ppstream、qvod、
                 flashcom、itunes、rtp及shoutcast。
         (10)H. VoIP:skype 及 sip。
         (11)I. Web:http、https、http download、http video 及
                  http range get。
         (12)J. Others:hopster、softether、dns、snmp、oracle
                  及 ms-sql。
6.4.4.1.3.測試方法及標準
       (1)基礎型待測物須進行連續 168  小時測試;進階型待測物須
            進行連續 336  小時測試。
       (2)測試過程待測物不能發生下列不穩定之情況:
            A.當機。
            B.重新開機。
            C.連線不正常中斷。
            D.安全功能失效。