第 7-2 部 5.1 系統安全要求

--- title: 第 7-2 部 5.1 系統安全要求 tags: 5G 智慧杆系統技術規範 image: --- # 5.1 系統安全要求 [toc] ## 5.1.1 系統最基本功能 ### 5.1.1.1 系統應明確定義必要之功能 * a) **測試依據** 「本系列規範第 7-1 部」之 [6.1.1.(a)](https://hackmd.io/dgjvzeb0QmuSRyOwXp5wtw#611-%E7%B3%BB%E7%B5%B1%E6%9C%80%E5%9F%BA%E6%9C%AC%E5%8A%9F%E8%83%BD)。 * b) **適用安全等級** 第 1 級、第 2 級、第 3 級。 * c) **測試目的** 查證待測標的必要之資訊安全功能。 * d) **前置條件** 廠商應提供書面資料，==說明必要之功能==、==目的==及==預設值==。 * e) **測試方法及步驟** 測試人員檢視待測標的之功能及其目的。 * f) **判定條件** * ++符合要求++ 待測標的所提供之功能與書面資料記載內容一致。 * ++不符合要求++ 待測標的所提供之功能與書面資料記載內容不一致。 * ++不適用++ 本測試項目無不適用之條件。 ### 5.1.1.2 系統日誌儲存容量應符合 NIST SP 800-92~[4]~之建議 * a) 測試依據「本系列規範第 7-1 部」之 [6.1.1.(b)](https://hackmd.io/dgjvzeb0QmuSRyOwXp5wtw#611-%E7%B3%BB%E7%B5%B1%E6%9C%80%E5%9F%BA%E6%9C%AC%E5%8A%9F%E8%83%BD)。 * b) 適用安全等級第 1 級、第 2 級、第 3 級。 * c) 測試目的查證待測標的是否有針對安全事件日誌檔配置之儲存容量應符合 NIST SP 800-92~[4]~之建議。 * d) 前置條件廠商應提供書面資料，==說明設置文件==、==待測標的之日誌儲存設置環境==與==安全事件日誌儲存容量==。 * e) 測試方法及步驟 * (1) 測試人員審查廠商所提供之書面資料，並依設置文件建置日誌儲存環境。 * (2) ++嘗試以錯誤之帳戶及通行碼登入待測標的以觸發安全事件日誌。++ * f) 判定條件 * ++符合要求++ 待測標的可將安全事件日誌儲存至儲存環境，並從管理介面 (例: 系統之硬碟管理工具) 得知目前儲存容量。 * ++不符合要求++ 待測標的不支援儲存安全事件日誌，或無法從管理介面得知儲存裝置之儲存容量。 * ++不適用++ 本測試項目無不適用之條件。 ### 5.1.1.3 系統時間應與世界協調時間 (Coordinated Universal Time, UTC) 同步 * a) 測試依據「本系列規範第 7-1 部」之 6.1.1.(c)。 * b) 適用安全等級第 1 級、第 2 級、第 3 級。 * c) 測試目的查證待測標的時間與 UTC 同步，且僅經授權之使用者與系統管理者可進行設定。 * d) 前置條件待測標的應與 UTC 參照來源伺服器連接。 * e) 測試方法及步驟 * (1) 測試人員以測試電腦連接至待測標的之管理介面。 * (2) 以系統管理者，手動調整系統時間至錯誤之時間。再啟用時間校時功能，確認測試標的時間是否重新調整與 UTC 一致。 * f) 判定條件 * ++符合要求++ 待測標的可重新調整與 UTC 同步。 * ++不符合要求++ 待測標的無法重新調整與 UTC 同步。 * ++不適用++ 本測試項目無不適用之條件。 ### 5.1.1.4 系統時間參照來源應受保護，以防止未經授權更改 * a) 測試依據「本系列規範第 7-1 部」之 6.1.1.(d)。 * b) 適用安全等級第 1 級、第 2 級、第 3 級。 * c) 測試目的查證待測標的之時間可與外部系統時間參照來源同步，且僅經授權之使用者可者進行設定。 * d) 前置條件 * (1) 待測標的可與需系統時間參照來源伺服器連接。 * (2) 提供使用者角色與權限對照表。 * e) 測試方法及步驟 * (1) 測試人員以測試電腦連接至測試標的之管理介面。 * (2) 以經授權使用者或系統管理者，手動調整系統時間至錯誤之時間。再啟用時間校時功能，確認測試標之時間是否重新調整與時間參照來源同步。 * (3) 以未經授權的使用者身分登入系統，嘗試關閉時間校時功能或調整系統時間。 * f) 判定條件 * ++符合要求++ 僅經授權使用者或系統管理者可設定系統時間參照來源。 * ++不符合要求++ 待測標的不支援設定系統時間參照來源；或未經授權使用者可設定系統時間參照來源。 * ++不適用++ 本測試項目無不適用之條件。 ## 5.1.2 裝置安全強化 ### 5.1.2.1 代理伺服器、組態伺服器及應用伺服器應刪除非必要之應用程式及網路服務 * a) 測試依據「本系列規範第 7-1 部」之 6.1.2.(a)。 * b) 適用安全等級第 1 級、第 2 級、第 3 級。 * c) 測試目的查證待測標的應不存在非必要之應用程式及網路服務。 * d) 前置條件 * (1) 待測標的保持預設出廠資訊。 * (2) 廠商應提供書面資料說明應用程式及網路服務、目的及預設值。 * (3) 提供作業系統存取權限。 * e) 測試方法及步驟 * (1) 測試人員使用管理者登入待測標的之作業系統，列出所有執行的應用程式及網路服務。 * (2) 核對待測測標的實際執行之應用程式及網路服務是否一致。 * f) 判定條件 * ++符合要求++ 待測標的預設執行之應用程式及網路服務與書面資料一致。 * ++不符合要求++ 待測標的預設執行之應用程式及網路服務與書面資料不一致。 * ++不適用++ 本測試項目無不適用之條件。 ### 5.1.2.2 代理伺服器、組態伺服器及應用伺服器應使用最少必要之通訊協定 * a) 測試依據「本系列規範第 7-1 部」之 6.1.2.(b)。 * b) 適用安全等級第 1 級、第 2 級、第 3 級。 * c) 測試目的查證待測標的應不存在非必要之通訊協定。 * d) 前置條件 * (1) 待測標的保持預設出廠資訊。 * (2) 廠商應提供書面資料說明必要通訊協定，說明功能、目的及預設值。 * (3) 提供作業系統存取權限。 * e) 測試方法及步驟 * (1) 測試人員以**封包側錄工具側錄待測標的對外之網路連接**，記錄待測標的對外連接所使用的通訊協定。 * (2) 測試人員登入作業系統，列出所有執行的網路連接，記錄所有網路連接對應之應用程式，並判定所使用通訊協定。 * (3) 核對待測標的實際執行之通訊協是否一致。 * f) 判定條件 * ++符合要求++ 待測標的使用的通訊協定與書面資料一致。 * ++不符合要求++ 待測標的使用的通訊協定與書面資料不一致。 * ++不適用++ 本測試項目無不適用之條件。 ### 5.1.2.3 代理伺服器、組態伺服器及應用伺服器不得使用已知存在脆弱性之應用程式及網路服務 * a) 測試依據「本系列規範第 7-1 部」之 6.1.2.(c)。 * b) 適用安全等級第 1 級、第 2 級、第 3 級。 * c) 測試目的查證待測標的所使用的應用程式及網路服務不存在已知安全脆弱性。 * d) 前置條件廠商應提供待測標的之軟體物料清單。 * e) 測試方法及步驟 * (1) 測試人員檢視待測標的之軟體物料清單。 * (2) 測試人員針對每一筆軟體物料，將依版本資訊或共同平台列舉字串在美國國家弱點資料庫是否存在已知安全脆弱性。 * f) 判定條件 * ++符合要求++ 所有軟體物料皆不存在已知安全脆弱性。 * ++不符合要求++ 任一筆軟體物料存在至少 1 個已知安全脆弱性。 * ++不適用++ 本測試項目無不適用之條件。 ## 5.1.3 系統日誌 ### 5.1.3.1 網路設備、代理伺服器、組態伺服器及應用伺服器應具安全日誌功能並記錄完整網路、系統及資訊安全事件 * a) 測試依據「本系列規範第 7-1 部」之 6.1.3.(a)。 * b) 適用安全等級第 1 級、第 2 級、第 3 級。 * c) 測試目的查證待測標的具備安全日誌功能，應記錄完整網路、系統及資訊安全事件。 * d) 前置條件 * (1) 廠商應提供書面資料，說明設定安全日誌功能之步驟。 * (2) 測試人員依書面資料，設定待測標的安全日誌功能。 * e) 測試方法及步驟 * (1) 測試人員連接至待測標的之管理介面。 * (2) 測試人員分別使用正確使用者帳戶通行碼與錯誤的使用者帳戶通行碼登入系統，並記錄登入時間。 * (3) 測試人員依書面資料，檢視檢測標的安全日誌是否有記錄步驟(2)之登入成功與登入未成功之紀錄。 * f) 判定條件 * ++符合要求++ 待測標的具備安全日誌功能，且正確記錄使用者登入成功與未成功之紀錄。 * ++不符合要求++ 待測標的不支援安全日誌功能或無法記錄使用者登入成功與未成功之紀錄。 * ++不適用++ 本測試項目無不適用之條件。 ### 5.1.3.2 網路設備、代理伺服器、組態伺服器及應用伺服器應防止遭修改或刪除安全日誌 * a) 測試依據「本系列規範第 7-1 部」之 6.1.3.(b)。 * b) 適用安全等級第 1 級、第 2 級、第 3 級。 * c) 測試目的查證待測標的是否防止任何人修改或刪除安全日誌。 * d) 前置條件測試人員依待測標的書面資料，設定安全日誌功能。 * e) 測試方法及步驟 * (1) 測試人員登入待測標的介面並瀏覽安全日誌功能頁面，記錄安全日誌功能頁面 URL。 * (2) 測試人員登出待測標的管理介面，並重新瀏覽安全日誌功能頁面，確認是否可以存取安全日誌並執行修改與刪除作業。 * f) 判定條件 * ++符合要求++ 測試人員無法修改或刪除安全日誌。 * ++不符合要求++ 測試人員可修改或刪除安全日誌。 * ++不適用++ 本測試項目無不適用之條件。 ### 5.1.3.3 網路設備、代理伺服器、組態伺服器及應用伺服器，應能自動將安全日誌傳送到安全資訊與事件管理系統或異地紀錄伺服器儲存 * a) 測試依據「本系列規範第 7-1 部」之 6.1.3.(c)。 * b) 適用安全等級(全文修改) 第 2 級、第 3 級。 * c) 測試目的查證待測標的是否支援將安全日誌傳送至日誌伺服器或其他集中管理伺服器。 * d) 前置條件 * (1) 廠商應提供書面資料，說明設定安全日誌步驟。 * (2) 測試人員依書面資料，設定待測標的安全日誌功能。 * (3) 待測標的與日誌伺服器需能正常進行網路連接，並確認中間無防火牆阻擋其網路連接。 * e) 測試方法及步驟 * (1) 測試人員登入待測標的管理介面，並將安全日誌設定傳送至遠端日誌伺服器。 * (2) 測試人員登出待測標的管理介面，並以錯誤使用者帳戶通行碼登入待測標的管理介面。 * (3) 測試人員確認是否可以於遠端日誌伺服器查詢到剛才的登入未成功行為。 * f) 判定條件 * ++符合要求++ 測試人員可於遠端日誌伺服器檢視待測標的之安全日誌。 * ++不符合要求++ 待測標的不支援將安全日誌傳送至遠端日誌伺服器或無法從遠端日誌伺服器檢視待測標的安全日誌內容。 * ++不適用++ 本測試項目無不適用之條件。 ### 5.1.3.4 網路設備、代理伺服器、組態伺服器及應用伺服器間應具備時間同步機制 * a) 測試依據「本系列規範第 7-1 部」之 6.1.3.(d)。 * b) 適用安全等級第 1 級、第 2 級、第 3 級。 * c) 測試目的查證待測標的是否支援與時間同步伺服器進行網路校時之功能。 * d) 前置條件 * (1) 廠商應提供書面資料，說明設定時間同步伺服器步驟。 * (2) 測試人員依書面資料，設定待測標的之時間同步伺服器。 * (3) 測標的與時間同步伺服器需能正常進行網路連接，並確認中間無防火牆阻擋其網路連接。 * e) 測試方法及步驟 * (1) 測試人員登入管理介面，將時間設定成錯誤的日期與時間。 * (2) 測試人員登出之後，重新登入管理介面，並設定時間同步伺服器網址或 IP 位址。 * (3) 測試人員完成設定之後，檢視待測標的目前之日期與時間是否與時間同步伺服器一致。 * f) 判定條件 * ++符合要求++ 待測標的可連接至時間同步伺服器，且時間與時間同步伺服器一致。 * ++不符合要求++ 待測標的不支援時間同步功能，或時間校正之後與時間同步伺服器不一致。 * ++不適用++ 本測試項目無不適用之條件。 ### 5.1.3.5 網路設備、代理伺服器、組態伺服器及應用伺服器發生使用者異常登入安全事件時，應具備主動告警機制，將包括該設備識別符等訊息，回報相關人員 * a) 測試依據「本系列規範第 7-1 部」之 6.1.3.(e)。 * b) 適用安全等級第 1 級、第 2 級、第 3 級。 * c) 測試目的待測標的是否支援使用者異常登入安全事件主動告警機制。 * d) 前置條件 * (1) 廠商應提供書面資料，說明觸發告警機制之條件與告警方式步驟。 * (2) 測試人員依書面資料，確認待測標的觸發告警機制之條件與告警方式。 * e) 測試方法及步驟 * (1) 測試人員嘗試連續登入未成功達待測標的所設定的告警觸發次數。 * (2) 測試人員檢視是否有收到待測標的所送出的告警資訊，其內容應至少包括日期、時間及該設備之識別符。 * f) 判定條件 * ++符合要求++ 測試人員可接收到待測標的所發出之使用者異常登入安全事件告警訊息。 * ++不符合要求++ 待測標的不支援使用者異常登入安全事件告警機制，或其安全事件告警機制無主動通知功能。 * ++不適用++ 本次測試項目無不適用之情況。 ### 5.1.3.6 日誌系統儲存容量到達最大容量比例臨限值前，系統應於規定之時限內對相關人員發出告警訊息 * a) 測試依據「本系列規範第 7-1 部」之 6.1.3.(f)。 * b) 適用安全等級第 3 級。 * c) 測試目的查證待測標的是否具備日誌儲存容量告警功能。 * d) 前置條件 * (1) 廠商應提供書面資料，說明觸發告警機制之條件與告警方式步驟。 * (2) 測試人員依書面資料，確認待測標的觸發告警機制之條件與告警方式。 * e) 測試方法及步驟 * (1) 測試人員依書面資料，檢視待測標的是否有日誌儲存容量告警機制。 * (2) 測試人員利用工具將大量模擬之日誌或大型檔案，傳送至日誌系統並到達容量臨限值。 * f) 判定條件 * ++符合要求++ 待測標的本身支援日誌儲存容量告警機制並發出告警訊息。 * ++不符合要求++ 待測標的本身不支援日誌儲存容量告警機制或無法發出告警訊息。 * ++不適用++ 本測試項目無不適用之條件。 ## 5.1.4 作業系統及網路服務 ### 5.1.4.1 網路設備、代理伺服器、組態伺服器及應用伺服器之作業系統及網路服務，不應存在美國國家弱點資料庫所公布及更新之常見弱點與脆弱性資料 (CVE) 且通用脆弱性評分系統 (CVSS) 最新版本之分數評比 7 分以上或高風險等級 * a) 測試依據「本系列規範第 7-1 部」之 6.1.4.(a)。 * b) 適用安全等級第 1 級、第 2 級、第 3 級。 * c) 測試目的查證待測標的之作業系統及網路服務是否存在已知高資安風險之脆弱性。 * d) 前置條件測試標的至少 1 個通訊介面支援使用 IP 網路進行資料傳輸。 * e) 測試方法及步驟 * (1) 測試人員將安裝掃描工具之測試電腦與測試標的連接至同一區域網路，測試電腦與測試標的間，不得有入侵防禦系統或防火牆等資安防護工具。 * (2) 測試人員將測試標的還原至出廠預設設定值，並依測試環境需求設定網路位址。 * (3) 測試人員以掃描工具對測試標的網路位址(IP)執行測試作業。 * f) 判定條件 * ++符合要求++ 作業系統及網路服務未檢測出美國國家脆弱性資料庫之資安脆弱性；或所有檢測出之資安脆弱性其公告最新版之脆弱性評分系統 (CVSS) 皆未達 7.0 分。 * ++不符合要求++ 作業系統及網路服務檢測出美國國家脆弱性資料庫所公告之資安脆弱性，且該資安脆弱性對應之最新版脆弱性評分系統(CVSS)為 7.0 分(含)以上。 * ++不適用++ 測試標的不支援使用 IP 網路進行資料傳輸。 ### 5.1.4.2 網路設備、代理伺服器、組態伺服器及應用伺服器應具抵禦阻絕服務(DoS)攻擊之能力，即當網路介面充斥資料或收到錯誤訊息時，網路設備、代理伺服器、組態伺服器及應用伺服器應不應長時間無法運作 * a) 測試依據「本系列規範第 7-1 部」之 6.1.4.(b)。 * b) 適用安全等級第 2 級、第 3 級。 * c) 測試目的查證待測標的在 DoS 攻擊結束後，網路設備可自動恢復運作。 * d) 前置條件測試標的至少 1 個通訊介面支援使用 IP 網路進行資料傳輸。 * e) 測試方法及步驟 * (1) 測試人員將安裝掃描工具之測試電腦與測試標的連接至同一個區域網路，測試電腦與測試標的間，不得有入侵防禦系統或防火牆等資安防護工具。 * (2) 測試人員將測試標的還原至出廠預設設定，並依測試環境需求設定網路位址。 * (3) 測試人員以 DoS 測試工具對測試標的網路位址(IP)執行 UDP Flooding 測試作業 300 秒後停止攻擊。 * f) 判定條件 * ++符合要求++ 待測標的在 DoS 攻擊結束後，網路設備 30 分鐘內可自動恢復運作。 * ++不符合要求++ 待測標的在 DoS 攻擊結束後，網路設備無法 30 分鐘內自動恢復運作。 * ++不適用++ 測試標的不支援使用 IP 網路進行資料傳輸。 ### 5.1.4.3 防火牆規則設定及維護應文件化，並提供定期檢視機制 * a) 測試依據「本系列規範第 7-1 部」之 6.1.4.(c)。 * b) 適用安全等級第 2 級、第 3 級。 * c) 測試目的確保廠商對待測標之防火牆規則設定應有相關管理作業程序。 * d) 前置條件 * (1) 待測標的本身支援防火牆功能。 * (2) 廠商應提供書面資料，說明防火牆規則與管理程序。 * e) 測試方法及步驟 * (1) 測試人員檢視書面資料，內容是否包括如何設定防火牆規則。 * (2) 測試人員檢視書面資料，內容是否包括要求使用者定期檢視防火牆規則之書面資料。 * f) 判定條件 * ++符合要求++ 廠商有提供該待測標的之防火牆規則設定、管理及更新之書面資料。 * ++不符合要求++ 廠商未提供該待測標的之防火牆規則設定、管理及更新之書面資料。 * ++不適用++ 待測標的本身無防火牆功能。