列印時間:113/02/27 12:42

法規名稱:
入侵偵測防禦系統資通安全檢測技術規範 (民國 102 年 03 月 13 日修正)
公(發)布日期:
民國 100 年 10 月 17 日
6.技術要求
6.1.書面審查類別
6.1.1.安全標的
      審查待測物之設備規格及安全功能需求。
6.1.2.安全功能設計
      審查待測物之設計安全性、安全架構及安全指引。
6.2.書面審查類別之項目及判定標準
    申請者應依基礎型或進階型之安全等級,提供符合該等級之安全標的
    及安全功能設計類別相關文件(如表 1)。
6.2.1.安全標的
      申請者應提供待測物之設備規格說明書,包含設備規格(附表 1-1
      )及該設備可執行的安全功能需求(附表 1-2)。
6.2.1.1.設備規格說明
        本項書面審查內容依申請者提供之設備規格說明書,檢視設備規
        格是否符合附表 1-1  設備規格之書面審查內容:
6.2.1.2.安全功能需求(SFR)
        本項書面審查內容依申請者提供之設備規格說明書,檢視安全功
        能需求(SFR) 之執行內容是否符合附表 1-2。安全功能需求之
        書面審查內容。
6.2.2.安全功能設計
      申請者應提供待測物安全功能規格、設計安全性、安全架構及安全
      指引等文件,以確保安全功能(TSF) 能正確執行
6.2.2.1.安全功能規格
        本項書面審查內容依申請者提供之附件一、安全功能規格表,檢
        視安全功能規格之內容是否符合附表 1-3:安全功能規格之書面
        審查內容。
6.2.2.2.設計安全性 
        本項書面審查內容依申請者提供之附件二、設計安全性表,檢視
        設計安全性之內容是否符合附表 1-4  設計安全性之書面審查內
        容。
        本項書面審查內容與判定標準說明如附表 1-4:
6.2.2.3.安全架構 
        本項書面審查內容依申請者提供之附件三、安全架構表,檢視安
        全架構之內容是否符合附表 1-5  安全架構之書面審查內容。
        本項書面審查內容與判定標準說明如附表 1-5:
6.2.2.4.安全指引
        本項書面審查內容依申請者提供之指引文件,檢視文件內容是否
        符合附表 1-6  安全指引之書面審查內容。
        本項書面審查內容與判定標準說明如附表 1-6:
6.3.實機測試類別
    實機測試包含安全功能測試、壓力測試、堅實測試及穩定測試。
6.3.1.安全功能測試
      測試待測物所具有安全防護相關功能
6.3.2.壓力測試
      測試待測物於面臨大量網路封包或連線時,安全功能是否能保持正
      常運作。
6.3.3.堅實測試
      測試待測物本身開啟服務或協定時,面臨針對待測物本身而來的不
      正常連線行為,是否能保持正常運作。
6.3.4.穩定測試
      將待測物置於真實網路流量下運作測試,是否有不穩定的狀況發生
      。
6.4.實機測試類別之項目及判定標準
    實機測試分為基礎型與進階型,皆包含安全功能測試、壓力測試、堅
    實測試及穩定測試四個類別。實機測試項目及標準如表 2。
6.4.1.安全功能測試
      檢視待測物之安全功能需求是否符合書面送審資料,並依下列各測
      試項目進行實機測試。
6.4.1.1.異常/ 攻擊偵測
6.4.1.1.1.測試環境
       (1)測試平台:可產生網路封包之測試儀器或程式。
       (2)測試平台 A  埠:模擬用戶端送收網路封包。
       (3)測試平台 B  埠:模擬伺服器端送收網路封包。
       (4)網路連接線:乙太網路線或光纖纜線。
       (5)連接測試平台及待測物如圖 1,其中乙太網路線或光纖線路
            連接數量依待測物運作模式(如 Proxy  或 Transparent 
            Mode)決定。
       (6)代理模式(Proxy Mode):乙太網路線或光纖線路連接數量
            為一條,測試平台 A  埠及 B  埠為同一連接埠。
       (7)通透模式(Transparent Mode):乙太網路線或光纖線路連
            接數量為兩條,測試平台 A  埠及 B  埠為獨立的兩個連接
            埠。
       (8)開啟待測物之異常/ 攻擊偵測功能。
6.4.1.1.2.測試樣本
       (1)必測樣本:自 NVD(美國國家弱點資料庫)篩選待測物送測
            前一個月起一年內、CVSS≧7.0 且與 IDP  設備相關之弱點
            ,以此數量的 5%為依據,由測試平台或儀器產生大於或等
            於該數量之測試樣本。
       (2)加測樣本:除上述必測樣本外,自 NVD(美國國家弱點資料
            庫)篩選待測物送測前二至三年內、CVSS≧7.0 且與 IDP  
            設備相關之弱點,以此數量的 5%為依據,由測試平台或儀
            器產生大於或等於該數量之測試樣本。
6.4.1.1.3.測試方法及標準
       (1)基礎型測試:使用測試平台將攻擊測試樣本之必測樣本自 A
            埠送至基礎型待測物,B 埠無法收到異常或攻擊流量之封包
            ,並可記錄此異常或攻擊事件。基礎型待測物對於攻擊測試
            樣本之漏判率須小於或等於 10 %。
       (2)進階型測試:使用測試平台將攻擊測試樣本之必測樣本及加
            測樣本分別自 A  埠送至進階型待測物,B 埠無法收到異常
            或攻擊流量之封包,並可記錄此異常或攻擊事件。待測物對
            於必測樣本之漏判率須小於或等於 7%,對於加測樣本之漏
            判率須小於或等於 10 %。
6.4.1.2.躲避攻擊偵測
6.4.1.2.1.測試環境 同 6.4.1.1.1.。
6.4.1.2.2.測試方法及標準
          開啟待測物預設之安全規則,使用測試平台自 A  埠各式躲避
          攻擊之流量,如:IP Packet Fragmentation、TCP Stream
          Segmentation、URL Obfuscation、FTP Evasion  及 RPC
          Fragmentation 等躲避攻擊之流量,確認無法從 B  埠收到躲
          避攻擊之封包。
6.4.1.3.安全管理功能
6.4.1.3.1.測試環境
       (1)(1) 測試平台:可供測試人員連線至待測物之終端設備。
       (2)網路連接線:乙太網路線或光纖纜線。
       (3)連接待測物及測試平台如圖2。
6.4.1.3.2.測試方法及標準
       (1)由測試平台連線至待測物,確認待測物是否需要通行碼才可
            進行設定,待測物應須輸入正確通行碼才可進行管理設定。
       (2)嘗試輸入錯誤通行碼,待測物是否檢查當超過最大錯誤次數
            時,會封鎖管理介面一段時間,避免遭受攻擊。
6.4.1.4.異常/ 攻擊事件紀錄
6.4.1.4.1.測試環境
       (2)(1) 測試平台:可供測試人員連線至待測物之終端設備。
       (2)網路連接線:乙太網路線或光纖纜線。
       (3)連接待測物及測試平台如圖 2。
       (4)開啟待測物之異常/ 攻擊偵測功能。
6.4.1.4.2.測試方法及標準
          當違反安全事件紀錄的網路流量通過待測物,待測物的流量統
          計資訊應正確紀錄違反安全規則之事件名稱、時間、來源 IP
          、目的 IP 及內容。
6.4.1.5.線上更新
6.4.1.5.1.測試環境
       (1)測試平台:可供測試人員連線至待測物之終端設備。
       (2)網路連接線:乙太網路線或光纖纜線。
       (3)連接待測物、測試平台與網際網路如圖 3。
       (4)開啟待測物之自動線上更新功能。
6.4.1.5.2.測試方法及標準
          待測物應至少每天一次自動進行線上入侵攻擊特徵碼之更新。
6.4.1.6.IPv6  封包檢測(適用進階型) 
6.4.1.6.1.測試環境
       (1)測試平台:可產生 IPv4 及 IPv6 網路封包之測試儀器或程
            式。
       (2)測試平台A埠:模擬用戶端送收網路封包。
       (3)測試平台B埠:模擬伺服器端送收網路封包。
       (4)網路連接線:乙太網路線或光纖纜線。
       (5)連接測試平台及待測物如圖 1,其中乙太網路線或光纖線路
            連接數量依待測物運作模式(如 Proxy  或 Transparent 
            Mode)決定。
       (6)代理模式(Proxy Mode):乙太網路線或光纖線路連接數量
            為一條,測試平台 A  埠及 B  埠為同一連接埠。
       (7)通透模式(Transparent Mode):乙太網路線或光纖線路連
            接數量為兩條,測試平台 A  埠及 B  埠為獨立的兩個連接
            埠。
       (8)開啟待測物之異常/ 攻擊偵測功能。
6.4.1.6.2.測試方法及標準
       (1)以測試平台自 A  埠產生異常/ 攻擊之 IPv6 網路流量通過
            待測物,待測物應偵測異常/ 攻擊之網路封包,並可正確紀
            錄此異常/ 攻擊事件。
       (2)設定待測物對異常/ 攻擊流量進行阻擋,以測試平台自 A 
            埠產生異常/ 攻擊之 IPv4 及 IPv6 混合網路流量通過待測
            物,待測物應偵測異常/ 攻擊之網路封包,並可正確紀錄此
            異常/ 攻擊事件。
6.4.2.壓力測試
6.4.2.1.吞吐量測試
6.4.2.1.1.測試環境
       (1)測試平台:可產生網路封包之測試儀器或程式。
       (2)測試平台 A  埠:模擬用戶端送收網路封包。
       (3)測試平台 B  埠:模擬伺服器端送收網路封包。
       (4)網路連接線:乙太網路線或光纖纜線。
       (5)連接測試平台及待測物如圖 4,其中乙太網路線或光纖線路
            連接數量依待測物運作模式(如 Proxy  或 Transparent 
            Mode)決定。
       (6)代理模式(Proxy Mode):乙太網路線或光纖線路連接數量
            為一條,測試平台 A  埠及 B  埠為同一連接埠。
       (7)通透模式(Transparent Mode):乙太網路線或光纖線路連
            接數量為兩條,測試平台 A  埠及 B  埠為獨立的兩個連接
            埠。
       (8)開啟待測物之安全功能。
       (9)測試平台產生大小為 64、570、594 及 1518 位元組之網路
            封包,並依 IMIX 之比例 57%、7%、16%  及 20% 混合
            ,時間為 60 秒。
6.4.2.1.2.測試方法及標準
          測試平台建立自 A  埠經待測物至 B  埠之網路連線後,傳送
          不同大小之封包。當待測物所負荷的吞吐量達到其規格說明之
          最大值時,待測物安全功能應正常運作。
6.4.2.2.最大連線數(適用進階型)
6.4.2.2.1.測試環境  同 6.4.2.1.1.。
6.4.2.2.2.測試方法及標準
          測試平台每秒建立一條自 A  埠經待測物至 B  埠之連線。當
          達到待測物規格說明之最大連線數時,不能發生斷線且待測物
          安全功能應正常運作。
6.4.2.3.最大連線建立速率(適用進階型)
6.4.2.3.1.測試環境  同 6.4.2.1.1.。
6.4.2.3.2.測試方法及標準
          測試平台建立自 A  埠經待測物至 B  埠之連線,並逐漸提高
          連線建立速率,當達到待測物規格說明之最大連線建立速率時
          ,不能發生斷線且待測物安全功能應正常運作。
6.4.3.堅實測試
6.4.3.1.阻斷式攻擊
6.4.3.1.1.測試環境
       (1)測試平台:可產生大量網路流量之測試儀器或程式。
       (2)網路連接線:乙太網路線或光纖纜線。
       (3)連接測試平台及待測物如圖 5。
       (4)開啟待測物之安全功能。
       (5)測試平台針對待測物的服務連接埠,發動阻斷式攻擊。
6.4.3.1.2.測試方法及標準
          測試平台產生待測物規格說明之最大吞吐量 300%的 HTTP 封
          包,持續 600  秒攻擊待測物開啟的連接埠以阻斷其服務,待
          測物不能發生當機、重開或斷線之情況。當攻擊結束後,安全
          功能應正常運作。
6.4.3.2.遠端管理異常流量
6.4.3.2.1.測試環境
       (1)測試平台:可產生大量網路流量之測試儀器或程式。
       (2)網路連接線:乙太網路線或光纖纜線。
       (3)連接測試平台及待測物如圖 5。
       (4)開啟待測物之安全功能。
       (5)透過待測物提供的終端管理介面進入待測物進行設定,開啟
            待測物之遠端管理功能。
6.4.3.2.2.測試樣本
          以測試平台針對待測物提供之每項服務皆產生 10 種異常流量
          作為測試樣本。
6.4.3.2.3.測試方法及標準
          測試平台送出測試樣本至待測物,待測物之遠端管理功能應正
          常運作。
6.4.3.3.非正常關機
6.4.3.3.1.測試環境 無
6.4.3.3.2.測試方法及標準
          待測物運作期間不正常關閉電源時,經重新啟動後,應復原到
          非正常關閉電源前的狀態且須符合下列要求(1) 應保留最後
          設定的系統組態。(2) 應保留斷電時間點前最後 5  分鐘的
          日誌檔案(含系統日誌及安全事件日誌)。(3) 能以最後設
          定的系統組態正常開機。
6.4.4.穩定測試
6.4.4.1.真實流量測試
        在一般使用者上線的真實運作之網路,以場測方式進行測試,或
        是將真實網路流量錄製後,再以重播之方式進行測試,測試環境
        同 6.4.4.1.1.。
6.4.4.1.1.測試環境
       (1)流量錄製平台:錄製網路封包。
       (2)網路連接線:乙太網路線或光纖纜線。
       (3)連接流量錄製平台、路由器、內部網路及網際網路如圖5。
       (4)路由器將往來 A、B 兩埠的網路封包複製一份後,經 C  埠
            送至流量錄製平台,流量錄製平台將網路封包錄製成為檔案
            儲存。
       (5)流量重播平台:將預先錄製之真實流量檔案還原成網路封包
            送至待測物。
       (6)連接流量重播平台與待測物如圖6。
       (7)網路封包來源 IP 位址如屬內部網路,流量重播平台將網路
            封包經 A  埠送至待測物;反之,來源 IP 位址如屬網際網
            路,則網路封包經 B  埠送至待測物。
6.4.4.1.2.測試樣本
          測試樣本必須滿足以下要求:
       (1)具備至少 100  位使用者同時上線的網路流量。
       (2)若以重播方式進行測試,應為該待測物送測前 2  周內所錄
            製之網路流量。
       (3)網路流量之最大同時連線數於測試期間必須達待測物規格說
            明處理能力最大值之 50%  以上。
       (4)流量之平均速率在測試期間應維持待測物規格說明處理能力
            最大值之 50%。
       (5)網路流量內容包含至少 10 種應用類型,每一種應用類型至
            少包括一個應用項目,全部之應用項目須達 50 個以上。舉
            例如下:
         (3)A. Chat:msn、yahoo messenger、qq、xmpp 及 aol-icq
              。
         (4)B. Email:gmail、smtp、pop3、imap 及 webmail。
         (5)C. File Transfer:ftp、flashget 及 smb。
         (6)D. Game:garena、facebook app 及 steam。
         (7)E. P2P:gnutella、edonkey、bt、xunlei、fasttrack、
                 ares、kazaa及ed2k。
         (8)F. Remote Access:windows remote desktop、telnet、
                 ssh  及 vnc。
         (9)G. Streaming:rtsp、qqtv、pplive、ppstream、qvod、
                 flashcom、itunes、rtp及shoutcast。
         (10)H. VoIP:skype 及 sip。
         (11)I. Web:http、https、http download、http video 及
                  http range get。
         (12)J. Others:hopster、softether、dns、snmp、oracle
                  及 ms-sql。
6.4.4.1.3.測試方法及標準
       (1)基礎型待測物須進行連續 168  小時測試;進階型待測物須
            進行連續 336  小時測試。
       (2)測試過程待測物不能發生下列不穩定之情況:
            A.當機。
            B.重新開機。
            C.連線不正常中斷。
            D.安全功能失效。
資料來源:通訊傳播法規解釋函令查詢系統