列印時間:113/04/19 17:30

法規名稱:
入侵偵測防禦系統資通安全檢測技術規範 (民國 100 年 10 月 17 日修正)
1.概說
  入侵偵測防禦系統(Intrusion Detection and Prevention system,
  以下簡稱 IDP)是補充防毒軟體和防火牆功能的網路安全設備。IDP 能
  夠監視網路或網路設備的網路資料傳輸行為,當偵測到一些不正常或是
  具有傷害性的網路資料傳輸行為時,能夠採取適當的防禦措施,如即時
  中斷、調整或隔離。
2.適用範圍
  規範適用於獨立式硬體架構,並使用嵌入式韌體或專屬軟體之網路型入
  侵偵測防禦系統,可支援開放系統介面(OSI, Open System Interface
  )至第七層應用層(Layer 7) ,支援預設安全策略或自訂安全策略,
  用以檢測封包傳輸及阻擋異常或攻擊流量。
3.安全等級
  本規範之設備安全等級分為基礎型(Basic) 與進階型(Advanced)之
  入侵偵測防禦系統(IDP) ,對於進階型入侵偵測防禦系統比基礎型有
  更嚴格的技術要求。
3.1.基礎型入侵偵測防禦系統
    指具有安全稽核、身分認驗證、資料安全管理、功能自我保護、入侵
    偵測等功能之防禦系統。
3.2.進階型入侵偵測防禦系統
    指具有基礎型入侵偵測防禦功能外,還須具備資料加密、資源配置等
    功能之防禦系統。
4.參考標準
  ISO/IEC 15408 共同準則(Common Criteria for Information 
          Technology Security Evaluation, CC)
  ICSA    Network IPS Enterprise Certification Testing Criteria 
          Version -1.4
  NSS     IPS Group Test Methodology Version-6.1
5.用語釋義
5.1.共同準則
    共同準則為世界各國進行資通安全產品評估及驗證時所遵循之共同標
    準,依其定義之評估保證等級(Evaluation Assurance Level,簡稱
    EAL) 來判定產品之安全等級,EAL 共有 7  個等級,最低等級為
    EAL1,最高等級為 EAL 7,提供申請者/ 贊助者、檢測實驗室與驗證
    機關(構)評估及驗證資通安全產品安全性與功能性之依據。
5.2.入侵偵測防禦系統保護剖繪(U.S. Government Protection Profile
    Intrusion Detection System for Basic Robustness Environments
    )
    指美國政府機關採購入侵偵測防禦系統之設備技術參考指引。
5.3.評估標的(Target Of Evaluation, TOE)
    指申請評估及驗證之產品及其相關使用手冊。
5.4.保護剖繪(Protection Profile, PP)
    指滿足資通安全產品評估標的(TOE) 製作之安全基本需求文件。
5.5.安全標的(Security Target, ST)
    指產品能符合保護剖彙(PP)或特定安全需求製作之規格文件
5.6.安全功能(TOE Security Functions, TSF)
    指該產品用於實現安全標的(ST)所要求安全功能需求(Security
    Functional Requirement, SFR) 之相關功能。
5.7.安全屬性(Security Attribute)
    指定義主體、使用者(包括設備外部資訊產品)、受體、資訊、對談
    (Session) 或資源的一種特性,並根據其定義的特性(值)來執行
    安全功能。
5.8.可信賴通道(Trusted Channel)
    指安全功能與一個外部可信賴的資訊產品達到安全通訊的方法。
5.9.安全功能需求(Security Functional Requirement, SFR)
    指為定義於共同準則第二部(Common Criteria, Part 2) 的安全相
    關需求條文,用以描述一產品之安全功能(TSF) 所需滿足的各項要
    求。此要求條文會被引用於保護剖繪及安全標的中,用以具體陳述該
    產品功能的安全方面的需求。
5.10. 安全功能介面(TOE Security Functions Interface, TSFI)
      指為評估標的(TOE) 用於實現安全功能需求(SFR) 之對外溝通
      介面。
5.11. 安全領域(Security Domain)
      指一個主動式個體(包括人、機器)被授權存取的資源集合,為安
      全架構的屬性之一。
5.12. 自我保護(Self-Protection)
      指安全功能本身無法被無關的程式碼或設施破壞,為安全架構的屬
      性之一。
5.13. 繞道(Bypass)
      指以非安全功能之方式去執行設備安全功能需求(SFR) 的動作。
      (例如:未經過身分鑑別,直接進入稽核功能介面)
5.14. 角色(Role)
      指一組預先定義的規則,用來建立操作者與送驗設備使用權限的關
      係。
6.技術要求
  本規範技術要求包括書面審查及實機測試。書面審查標準主要參考共同
  準則規範,實機測試標準主要參考 ICSA 與 NSS  等國際實驗室測試標
  準。
6.1.書面審查類別
6.1.1.安全標的
      審查待測物之驗證範圍定義及安全功能(TSF) 概述。
6.1.2.安全功能設計
      審查待測物之安全功能(TSF) ,包含安全功能規格、安全設計、
      安全架構、安全指引、安全功能測試等說明。
6.2.書面審查類別之項目及判定標準
    應要求申請者依安全等級為基礎型或進階型需要,提供安全標的及安
    全功能設計類別之相關文件,如表 1。
6.2.1.安全標的
      申請廠商提供送驗設備的基本資料、安全功能(TSF) 範圍及該設
      備可執行的安全技術要求安全功能需求(SFR)。
6.2.1.1.設備類型說明
        本項書面審查內容與判定標準說明如附表 1-1:
6.2.1.2.安全功能需求(SFR)
        本項書面審查內容將根據廠商所提供的附件一資料(進階設備另
        需提供附件二資料),檢視安全功能需求(SFR) 的之執行內容
        是否符合附表 1-2-1  與附表 1-2-2  之判定標準。
6.2.2.安全功能設計
      申請廠商應提出安全功能需求(SFR) 執行的設計文件、功能規格
      、安全架構、指引文件等資料供書面審查,以確保設備的安全功能
      (TSF) 在特定的條件下能正確執行。本項書面審查應提供以下設
      計文件:
6.2.2.1.安全功能規格
        應描述安全功能介面(TSFI)規格及安全功能(TSF)如何處理
        使用者所請求的服務。
        功能規格內容需能與前列之安全技術功能要求對應,並能和之後
        所需提供的設計安全性、安全架構及安全指引手冊的內容相符。
        本項書面審查內容與判定標準說明如附表 1-3:
6.2.2.2.設計安全性 
        本節適用於進階型設備驗證,依安全功能規格所對應的功能子系
        統(Subsystem) ,提供以下訊息描述:
     (1)子系統(列表)
     (2)子系統的行為類型:
          A.執行SFR
          B.支援SFR
          C.非涉SFR
          這些行為的敘述須與 6.2.2.1  的方式相同。
     (3)子系統的行為描述應符合安全功能需求,包含以下內容:
          A.所有安全功能運作的資訊
          B.與其他子系統間互動之資訊,該資訊足以識別不同子系統間
            的溝通以及傳遞資料的特性。
        本項書面審查內容與判定標準說明如附表1-4:
6.2.2.3.安全架構 
        安全架構分析應依據 6.2.2.1  安全功能規格及 6.2.2.2  設計
        安全性(進階型設備)之檢附文件,說明該設備能達成所描述的
        安全功能需求(SFR) 。安全架構分析也將作為實機測試項目設
        計的參考。
        本項書面審查內容與判定標準說明如附表 1-5:
6.2.2.4.安全指引
        內容須包括設備安全處理之訊息,以及人為疏失下可能造成錯誤
        的設定與作業程序。
        本項書面審查內容與判定標準說明如附表 1-6:
6.3.實機測試類別
    實機測試包含安全功能測試、壓力測試、堅實測試、穩定測試。
6.3.1.安全功能測試
      測試待測物所具有安全防護相關功能
6.3.2.壓力測試
      測試待測物於面臨大量網路封包或連線時安全功能是否有受影響。
6.3.3.堅實測試
      測試待測物於開啟服務或協定的情況下,是否能夠處理不正常的連
      線行為,仍保持正常運作而不受影響。
6.3.4.穩定測試
      將待測物置於真實網路流量下運作測試,了解待測物在真實的網路
      流量下是否有不穩定的狀況發生。
6.4.實機測試類別之項目及判定標準
    實機測試分為基礎型與進階型,每個型包含安全功能測試、壓力測試
    、堅實測試及穩定測試四個類別。實機測試項目及標準如表 2。
6.4.1.安全功能測試
6.4.1.1.異常/ 攻擊偵測
6.4.1.1.1.測試環境
6.4.1.1.2.測試參數
       (1)異常/ 攻擊流量之 Mandatory  樣本:根據測試周期開始前
            1 個月內,由 CVSS 系統中挑取具備分數為 7.0~10.0 之 1
            00  項攻擊為樣本,若不足 100  項則以實際取樣項目數量
            計算通過率.
       (2)異常/ 攻擊之 Optional 樣本:根據測試周期開始前 3  個
            月內,由 CVSS 系統中挑取具備分數為 0.0~6.9  之 100
            項攻擊為樣本,若不足 100  項則以實際取樣項目數量計算
            通過率.
       (3)無異常/ 攻擊之流量樣本:不含任何異常及攻擊之正常流量
6.4.1.1.3.測試組態
       (1)開啟預設安全規則,以測試程式平台產生包含(異常/ 攻擊
            流量之 Mandatory  樣本、Optional  樣本、無異常/ 攻擊
            之流量樣本)之流量。
6.4.1.1.4.測試方法及標準
       (1)設定待測物對異常及攻擊流量進行阻擋,使用檢測程式執行
            平台自 A  埠產生異常及攻擊流量,B 埠無法收到異常及攻
            擊流量之封包,並且記錄此異常及攻擊事件。基礎及進階等
            級對於 Mandatory  樣本之異常及攻擊事件漏判率須為 0%
            ;進階等級對於 Optional 樣本之異常及攻擊事件漏判率需
            小於 10%。
       (2)設定待測物對異常及攻擊流量不進行阻擋,使用檢測程式執
            行平台自 A  埠產生異常及攻擊流量,B 埠收到異常及攻擊
            流量之封包,並且記錄此異常及攻擊事件。基礎及進階等級
            對於 Mandatory  樣本之異常及攻擊事件漏判率須為 0% ;
            進階等級對於 Optional 樣本之異常及攻擊事件漏判率需小
            於 10%。
       (3)設定待測物對無異常/ 攻擊之流量樣本進行阻擋,使用檢測
            程式執行平台自 A  埠產生無異常/ 攻擊之流量樣本,B 埠
            會接收到封包,並且不會產生異常及攻擊事件之紀錄。基礎
            型待測物誤判率須為小於 10%,進階型待測物誤判率須為小
            於 5% 。
6.4.1.2.躲避攻擊偵測
6.4.1.2.1.測試環境  同圖 1
6.4.1.2.2.測試組態 
          開啟預設安全規則,以測試程式平台產生包含各式躲避攻擊之
          流量,流量內容應包含(如:IP Packet Fragmentation、TCP
          Stream Segmentation、URL Obfuscation、FTP Evasion、RPC
          Fragmentation) 等躲避攻擊之流量。
6.4.1.2.3.測試方法及標準
       (1)開啟安全規則,使用測試程式執行平台自 A  埠產生躲避攻 
            擊,B 埠無法收到躲避攻擊之封包。
6.4.1.3.安全管理功能
6.4.1.3.1.測試環境
6.4.1.3.2.測試組態 無
6.4.1.3.3.測試方法及標準
       (1)如圖 2  所示,由測試程式執行平台連線至待測物,確認待
            測物是否需要密碼才可進行設定,待測物應需密碼才可進行
            管理設定。
       (2)嘗試輸入錯誤通行碼,檢查當超過最大錯誤次數時,待測物
            是否會封鎖管理介面一段時間,超過最大錯誤次數後待測物
            應封鎖管理介面一段時間,避免遭受攻擊。
6.4.1.4.異常/ 攻擊事件紀錄
6.4.1.4.1.測試環境  同圖 1。
6.4.1.4.2.測試組態
       (1)連線至待測物啟用異常/ 攻擊事件紀錄功能。透過待測物提
            供的管理介面進入入侵防禦系統,將異常/ 攻擊事件紀錄功
            能開啟。
       (2)參數
            A.待測物參數:啟用待測物偵測防禦功能。
            B.流量產生參數:測試程式執行平台埠 A  產生違反安全規
              則的流量,通過待測物。
6.4.1.4.3.測試方法及標準
          由測試程式執行平台產生違反安全規則的流量通過待測物,待
          測物之異常/ 攻擊事件紀錄功能應正確紀錄違反安全規則發生
          的時間與內容。
6.4.1.5.線上更新
6.4.1.5.1.測試環境  同圖 2。
6.4.1.5.2.測試組態
       (1)透過待測物提供的 Web GUI  管理介面或 Console  管理介
            面進入待測物,找到待測物線上特徵碼更新功能的對應設定
            位置,將待測物線上特徵碼資料庫更新功能開啟。。
       (2)參數
            更新方式:自動更新、手動更新
6.4.1.5.3.測試方法及標準
       (1)由測試程式執行平台設定待測物,啟用手動更新功能,確認
            待測物可線上更新特徵碼。
       (2)由測試程式執行平台設定待測物,並設定排程每 10 分鐘自
            動更新,確認待測物可自動更新特徵碼。
       (3)由測試程式執行平台設定待測物,啟用自動更新功能,並設
            定每小時更新,確認待測物可自動更新特徵碼。
       (4)由檢測程式執行平台設定待測物,啟用自動更新功能,並設
            定排程每日凌晨 6  點更新,確認待測物可自動更新特徵碼
            。
6.4.1.6.使用者自訂安全規則(進階型)
6.4.1.6.1.測試環境  同圖 1。
6.4.1.6.2.測試組態
       (1)連線至待測物管理介面,啟用入侵偵測防禦功能,並且確認
            關閉全部預設安全規則。
       (2)自訂安全規則屬性及辨識條件,安全策略屬性選擇通訊協定
            欄位(包含 IP/TCP/UDP/ICMP/IGMP 等 Header 各欄位)及
            自訂比對特徵條件(包含第七層內容特徵或事件發生次數/
            秒)、應用任務介面或任務區域及採取動作(如:阻擋或紀
            錄),且套用自訂規則。
       (3)參數
            A.以阻擋 TCP Syn Flood  為例,新增一筆自訂規則,違反
              規則類型為 DoS,辨識條件為次數達到 10,000 次/ 秒,
              套用區域為網路進出(雙向),採取動作為阻擋。
6.4.1.6.3.測試方法及標準
       (1)由測試程式執行平台設定待測物開啟自訂安全規則後,使用
            測試程式執行平台自 A  埠產生違反規則之異常/ 攻擊流量
            ,B 埠無法收到測試流量之封包,並且紀錄此異常/ 攻擊事
            件。
       (2)由測試程式執行平台設定待測物開啟自訂安全規則後,使用
            測試程式執行平台自B埠產生違反安全規則之異常/ 攻擊流
            量,A埠無法收到測試流量之封包,並且紀錄此異常/ 攻擊
            事件
6.4.1.7.IPv6  封包檢測(進階型) 
6.4.1.7.1.測試環境  同圖 1。
6.4.1.7.2.測試組態
          啟用待測物偵測防禦功能且開啟預設安全規則,以測試程式執
          行平台產生 IPv4 及 IPv6 之異常/ 攻擊流量。
6.4.1.7.3.測試方法及標準
       (1)設定待測物對異常/ 攻擊流量不進行阻擋,使用測試程式執
            行平台自 A  埠產生基於 IPv6 之違反安全規則的流量,B
            埠收到違反安全規則的測試封包,並且紀錄此異常/ 攻擊事
            件。
       (2)設定待測物對異常/ 攻擊流量進行阻擋,使用測試程式執行
            平台自 A  埠產生基於 IPv6 之違反安全策略的流量,B 埠
            無法收到測試封包,並且紀錄此異常/ 攻擊事件。
       (3)設定待測物對異常/ 攻擊流量進行阻擋,使用測試程式執行
            平台自 A  埠產生基於 IPv4 及包含 IPv6 之違反安全策略
            的混合流量,B 埠無法收到測試封包,並且紀錄此異常/ 攻
            擊事件。
       (4)測試過程中管理介面皆須能正常運作。
6.4.2.壓力測試
6.4.2.1.吞吐量
6.4.2.1.1.測試環境
       (1)開啟待測物之安全功能。
       (2)參數設定
            封包大小:64~1518 位元組。
6.4.2.1.2.測試方法及標準
          測試程式執行平台自 A  埠產生各種封包大小的流量送往 B  
          埠,過程中不能發生封包遺失,當待測物所負荷的吞吐量達到
          其規格說明之最大值時,其安全功能應能正常運作。
6.4.2.2.最大同時連線數
6.4.2.2.1.測試環境  同圖 3。
6.4.2.2.2.測試組態
          開啟待測物之安全功能。
6.4.2.2.3.測試方法及標準
          測試程式執行平台自 A  埠每秒建立一條 TCP  連線至 B  埠
          ,過程中所有 TCP  連線皆建立成功且維持不斷線,當待測物
          所負荷的同時 TCP  連線數達到其規格說明之最大值時,其安
          全功能應能正常運作。
6.4.2.3.最大連線速率
6.4.2.3.1.測試環境  同圖 3。
6.4.2.3.2.測試組態
          開啟待測物之安全功能。
6.4.2.3.3.測試方法及標準
          測試程式執行平台自 A  埠建立 TCP  連線至 B  埠,過程中
          所有 TCP  連線皆建立成功且維持不斷線,TCP 連線建立速率
          持續加快直到待測物所負荷的 TCP  連線建立速率達到其規格
          說明之最大值時,其安全功能應能正常運作。
6.4.3.堅實測試
6.4.3.1.阻斷式攻擊
6.4.3.1.1.測試環境
6.4.3.1.2.測試組態
          針對待測物提供服務的連接埠發動阻斷式攻擊。
6.4.3.1.3.測試方法及標準
          自測試程式執行平台產生各類阻斷式攻擊,攻擊待測物有開啟
          服務的連接埠,攻擊發生時待測物不應發生當機或重新啟動等
          情況,等攻擊結束後待測物之封包過濾功能應正常運作。
6.4.3.2.惡意流量
6.4.3.2.1.測試環境  同圖 4。
6.4.3.2.2.測試組態
          啟用待測物遠端管理功能。透過待測物提供的 Console  管理
          介面進入待測物進行設定,開啟待測物 Web、Telnet  或 SSH
          的管理功能。
6.4.3.2.3.測試方法及標準
          根據待測物所提供的遠端管理功能,選擇對應的服務攻擊程式
          (如待測物提供 WebGUI 設定服務,則使用 HTTP 攻擊程式)
          ,從外部網路對待測物施加各項服務攻擊流量(如HTTP 
          buffer overflow) ,嘗試繞過待測物的通行碼保護取得管理
          權限,各項攻擊流量應無法順利取得待測物之管理權限,此外
          待測物各項服務應正常運作。
6.4.3.3.非正常關機
6.4.3.3.1.測試環境 無。
6.4.3.3.2.測試組態 無。
6.4.3.3.3.測試方法及標準
          於待測物運作期間不正常移除電源,待測物於重新啟動後,應
          可正常恢復到失去電源前的最後正常狀態。
6.4.4.穩定測試
6.4.4.1.真實流量測試
6.4.4.1.1.測試環境
6.4.4.1.2.測試組態
       (1)設定一組異常/ 攻擊偵測之安全規則,偵測且阻擋異常/ 攻
            擊流量。
       (2)參數設定
            A.流量產生自至少 100  位使用者同時上線的網路環境
            B.流量最大同時連線數量應至少達 10,000 條,平均同時連
              線數量應至少達 3,000  條,並可依待測物規格進行調整
              。
            C.流量最大速度應至少達 100Mbps,平均速度至少達 
              30Mbps,並可依待測物規格進行調整。
            D.流量內容包含至少 10 種應用類型,每一種應用類型至少
              包括一個應用項目,全部之應用項目須達 50 個以上。舉
              例如下:
              a.Chat:msn, yahoo messenger, icq, qq
              b.Email:gmail, hotmail, smtp protocol, pop3
                protocol, imap protocol
              c.File Transfer:ftp protocol, flashget, smb
                protocol
              d.Game:garena, ms-directplay, facebook app
              e.P2P:bittorrent protocol, edonkey, xunlei,
                fs2you, ed2k, ares, emule
              f.Remote Access:windows remote desktop, telnet
                protocol, ssh protocol, vnc, Hamachi
              g.Streaming:rtsp protocol, qqtv, pplive, qvod,
                flashcom, itunes, funshion
              h.VoIP:skpye, skypeout, sip protocol
              i.Web:http, http download, http video, http range
                get, https, http proxy
              j.Others:sslvpn, nntp protocol, dns protocol,
                snmp protocol, dhcp protocol, mysql, ntp
                protocol
              E.流量內容包含 IPv4 及 IPv6。
              F.以重播方式進行測試所使用之流量其被錄製下來時的時
                間點與進行測試時的時間點兩者間隔不得超過 1  周
6.4.4.1.3.測試方法及標準
          透過場測(Field Trial) 或是流量錄製與重播工具將流量導
          入待測物進行測試,測試過程持續檢查待測物的網路是否暢通
          、網頁圖形使用者介面(Web GUI) 設定功能是否可用、待測
          物沒有發生任何網路中斷或服務停止等狀況。
       (1)基礎型待測物需通過連續 168  小時的測試。
       (2)進階型待測物需通過連續 336  小時的測試。
資料來源:通訊傳播法規解釋函令查詢系統