Embed Size (px)
Citation preview
103 年資通設備之安全檢測規範增修訂及推廣計畫
徵求建議書說明文件
國家通訊傳播委員會中華民國 103 年 1 月
V1.1.
目錄壹、 計畫緣由.......................................................................2
貳、 計畫目標.......................................................................3
一、 增加政府機關選用符合本會安全檢測規範之資通設備.................................................................3二、 邀集資安設備廠商試測,完善新增訂之安全檢測技術規範...........................................................3三、 檢討現行資通設備安全檢測技術規範,以更符合產業實際所需....................................................3四、 推廣符合本會安全檢測規範之資通設備....................................................................................3
參、 工作項目.......................................................................4
一、 研提本年度資通設備之安全檢測規範草案................................................................................4二、 研提政府機關(構)資通設備採購參考指引草案...........................................................................4三、 邀集資安設備廠商新試測增訂之資通設備安全檢測技術規範.......................................................4四、 檢討現行資通設備安全檢測技術規範.......................................................................................4五、 對新增訂及現行資通設備安全檢測規範廣徵修正意見.................................................................5六、 推動政府機關選用符合本會安全檢測規範之資通設備.................................................................5七、 提出本案與性別相關之統計及分析:.......................................................................................5
肆、 專案經費.......................................................................5
伍、 交付規定.......................................................................5
一、 交付之期中、期末報告內容應符合以下要求:..........................................................................5二、 其他規定及注意事項.............................................................................................................6
陸、 投標廠商建議書製作規定.....................................................6
一、 裝訂及交付.........................................................................................................................6二、 建議書內容.........................................................................................................................7
柒、 廠商評選及決標...............................................................8
一、 評選方式............................................................................................................................8二、 評選辦法與決標.................................................................................................................10
I
壹、計畫緣由依行政院 98年 12月 30日院臺經字第 0980099463號函,核定「行政院『塑
造資安文化、推升資安產值』產業科技策略會議關鍵推動方案,本會於行政院國家資通安全會報組織架構中,列屬標準規範組與政府資通安全分組,除負責制定技術規範提供各界遵循外,更擔負通訊傳播資訊安全督導之責,以完成「提升網路環境安全」、「強化民眾個資保護」、「推動資安產業發展」三大政策為目標。
為達前開政策目標,本會 100年完成網路型防火牆(Firewall)、入侵偵測防禦系統(IDP)、防毒閘道設備(Anti Virus)、網路型垃圾郵件過濾設備(Anti Spam)、網頁應用防火牆(WAF)、應用軟體控管系統(Application Control)、乙太網路交換器(L2Switch)、路由交換器(L3Switch) 等 8種資通設備之安全檢測技術規範及 8種資通設備項目之資通設備採購參考指引,並於 101年完成無線接取設備(Thin AP+控制器或 Fat AP)及無線區域網路路由器(Wireless Router) 2種資通設備之安全檢測技術規範及 2種資通設備項目之資通設備採購參考指引。惟資通設備種類繁多,該等資通設備實不足因應全面提升我國資通設備環境安全之所需,爰有賡續增訂其他資通設備安全檢測技術規範之必要性。
考量各國資通環境與資安攻擊不盡相同,資通設備安全檢測技術規範具有環境適用之差異性,且資安攻擊日新月異,為與時俱進,使國內設備製造廠商所研發之設備適用於本國市場,並讓我國設備檢測工作更符合產業所需,爰檢討現行相關技術規範。
另為有效遏止資安攻擊事件,現階段首要工作就是全面進行檢測規範的推動及整體資安環境的強化,然該工作可藉由供、需端的良性互動機制達到。準此,應加強對政府機關(構)的宣導,讓使用者認同此些檢測技術規範,了解資安環境建立的必要性,進而於開立設備採購需求規格時,將之納入。屆時,資通相關設備提供者自因要求而逕送檢測,如此一來,除可迅速提升國內產品的品質與競爭力外,也使資通安全產業鏈更趨完善。
2
貳、計畫目標為強化政府機關(構)使用之資通設備安全性,並促進我國資通環境安全,
本專案之計畫目標如下:一、增加政府機關選用符合本會安全檢測規範之資通設備
本會截至 101年底已制定 10種資通設備安全檢測技術規範,為滿足政府採購資通安全設備的多樣性,及因應資安攻擊技術的日新月異,我國資通設備安全檢測實驗室可依據本專案產出之資通設備安全檢測技術規範,增加政府採購資通安全設備多樣需求。二、邀集資安設備廠商試測,完善新增訂之安全檢測技術規範
為使新增訂之資通設備安全檢測技術規範於實務上達到其產品資安防護水準,應邀集資安設備廠商進行試測作業,以透過實機試測結果讓廠商了解自身產品的資安問題,並以試測結果調整新增訂之資通設備安全檢測技術規範,確認規範之可用性。三、檢討現行資通設備安全檢測技術規範,以更符合產業實際所需
藉由本會認可之資通設備安全檢測實驗室,就現行安全檢測技術規範進行檢討,提供修正意見,了解規範本身施行之盲點,讓設備檢測規範內容更符產業需求。四、推廣符合本會安全檢測規範之資通設備
藉由檢測技術規範的推廣,可使通過本會檢測之產品品項,更容易為政府機關所採購使用,讓機關使用者對本會所擬之檢測技術規範更具信心,以建立買方市場規模,逐步將供需雙方之資安品質要求向上提升,進而健全國內資安環境。
3
參、工作項目本專案規劃之研究工作項目如下:一、研提本年度資通設備之安全檢測規範草案
(一) 依據本會 100年「資通設備之安全檢測研究計畫」(以下稱檢測研究計畫)所擬定的短期、中期及長期檢測技術規範發展策略(附件1),並參考國內產業現況、國外相關檢測技術規範與標準產業現況及 CCRA(Common Criteria Recognition Arrangement) 之 ISO/IEC
15408 共同準則,篩選國內發展成熟且已廣泛應用之資通設備,擇出至少 4種本年度優先訂定規範之資通設備(以下簡稱「擇出之資通設備」),須將「擇出之資通設備」項目名稱於建議書明列,並說明擇定理由。「擇出之資通設備」項目於本案執行階段時,須先徵求各方意見,並經本會確認。
(二) 就「擇出之資通設備」蒐集國際間具代表性組織及有關資通設備安全檢測實驗室等所制訂之相關資通設備安全檢測技術規範與標準,並透過座談會集納各方檢測意見。
(三) 參酌國際做法及國內產業環境,並以現行本會公告 10種資通安全檢測技術規範為參考架構(可參考本會網站首頁 › 資訊櫥窗 > 本會法令 > 行政規則 > 技術管理類 > 技術規範類),擬訂「擇出之資通設備」之安全檢測技術規範草案。
4
二、研提政府機關(構)資通設備採購參考指引草案以本會所訂定之現行資通安全共通規範參考指引文件為參考架構(如附件
2),撰擬「擇出之資通設備」採購參考指引草案。三、邀集資安設備廠商新試測增訂之資通設備安全檢測技術規範邀集資安設備廠商,依據新增訂之資通設備安全檢測技術規範進行試測
作業,試測部分不得向送測廠商收取費用,並以試測結果調整新增訂之資通設備安全檢測技術規範草案。四、檢討現行資通設備安全檢測技術規範邀集本會認可之資通設備安全檢測實驗室及相關設備商,檢討本會現行
網路型防火牆 (Firewall)、入侵偵測防禦系統 (IDP)、防毒閘道設備 (Anti Virus)、網路型垃圾郵件過濾設備(Anti Spam)、網頁應用防火牆(WAF)、應用軟體控管系統(Application Control)、乙太網路交換器(L2Switch)、路由交換器(L3Switch)、無線接取設備(Thin AP+控制器或 Fat AP)、無線區域網路路由器(Wireless Router)等 10種安全檢測技術規範(包括書面審查標準及實機測試標準),徵求外界意見,作為參據,提出修正建議。五、對新增訂及現行資通設備安全檢測規範廣徵修正意見
為擇出至少新增訂 4種資通設備安全檢測技術規範項目名稱、新增訂至少 4種資通設備安全檢測技術規範及檢討 10種現行資通設備安全檢測技術規範之妥適性,應邀請政府機關 3機關以上、專家學者 3 人以上及通知相關公協會參與,至少辦理各 1 場次座談會,以使本專案所訂之設備安全檢測技術規範符合國內市場需求。六、推動政府機關選用符合本會安全檢測規範之資通設備
為推動本計畫擬定之資通設備安全檢測技術規範,擬針對規範內容與通過審驗之資通設備優點向設備廠商及政府機關(構)進行推廣說明,應邀請相關公協會與政府機關(構)承辦人員,其中政府機關至少邀請包含中央部會所有機關,辦理北部地區、中部地區、南部地區、花東地區及離(外)島地區(金
5
門、馬祖及澎湖)總計 7 場次推廣說明會,以使本專案各項設備安全檢測技術規範內容使產業界與政府機關(構)充分了解。七、提出本案與性別相關之統計及分析:
辦理座談會及說明會出席人員之人數、學歷、性別、職稱、年齡、薪資、行業別及其他相關統計事項,以分析性別對資通設備安全檢測之差異性。
肆、專案經費本專案預算為新臺幣 582 萬元整。
伍、交付規定一、交付之期中、期末報告內容應符合以下要求:
(一)期中報告書廠商交付之期中報告書應包含:1. 至少 4項新增加之資通設備安全檢測規範項目。2. 至少 2種新增加之資通設備安全檢測技術規範草案(初稿)。3. 至少 2種新增加之資通設備採購參考指引草案(初稿)。4. 新增加資通設備試測作業規劃報告。5. 檢討並提出至少 5種現行資通設備安全檢測技術規範修正意見。
(二)期末報告書廠商交付之期末報告書應包含完整期中報告之各項交付項目,並將
審查委員會之意見納入修正,其內容至少應包含下列項目:1. 至少 4種新增加之資通設備安全檢測技術規範草案。
6
2. 至少 4種新增加之資通設備採購參考指引草案。3. 至少 4種新增加之資通設備試測結果報告。4. 至少 3 場次座談會之活動紀錄。5. 檢討並完成修訂 10種現行資通設備安全檢測技術規範。(含期中之 5種資通設備安全檢測技術規範)
6. 至少 7 場次推廣說明會之活動紀錄。7. 性別相關之統計及分析。
二、其他規定及注意事項(一) 本專案交付之各式文件及文件電子檔中之文章、圖表及資料庫等,
須以Microsoft Word 2007 版本(以上)撰寫,且須提供 PDF 格式之檔案,統計數據與圖表應以Microsoft Excel 2007 版本(以上)編輯,圖片以 JPEG或 GIF等格式儲存,相關資料庫應以 Microsoft Access 2007 格式建立)。
(二) 履約期間,廠商須就相關事項與本會進行協商、說明、報告等。得標廠商須提出本專案聯絡窗口,提供本會諮詢。
陸、投標廠商建議書製作規定一、裝訂及交付
(一)製作及裝訂原則1. 以A4 紙印製,直式橫書,裝訂線在左。2. 裝訂成冊,原則不得以活頁方式裝訂。3. 數量:紙本 1式 14 份(電子檔 1 份得隨同交付);投標廠商於
簡報現場,不得發送任何資料(含簡報時播放電子檔或紙本資料),如有需要可附於投標文件內。
7
(二)交付1. 截止日期及時間:依本會招標公告規定。2. 交付地點:本會總收文室(100 臺北市中正區仁愛路 1 段 50號 1
樓)。(三)逾期交付、修改及增訂
1. 建議書不得逾期交付,否則視為不合格標。2. 投標廠商對其所交付之建議書,不得提出修改或增訂要求。3. 建議書交付後著作權歸本會,建議書除採購評選委員及業務需求
人員外,本會不得交付第三者參閱或應用。二、建議書內容
投標廠商建議書應包括下列各項:(一) 摘評選項目需求與回應對照表(附件 3,請詳列各評選項目於服務建議書之參考頁次)
(二) 摘要(三) 簡介
1. 建議書之目的。2. 專案背景分析與依據。
(四) 專案概述1. 專案名稱。2. 專案目標。3. 專案研究範圍。
8
4. 專案時程。(五) 專案工作完整性、合理性及可行性
1. 工作項目。2. 研究架構。3. 研究方法、技術與工具。4. 專案進行步驟。5. 工作時程控管及查核點。6. 交付項目與日期。7. 研究預期成果。8. 相關參考資料
(六) 專案組織規劃與執行管理能力1. 專案組織架構與職責。
(1)專案組織架構。(2)專案小組成員職責。
2. 專案實施與管理方法。3. 專案成員能力
(1)計畫主持人與協同主持人過去 5年內參與相關研究之經驗為佳。
(2) 填寫專案主要成員之專長資格證明及相關研究之經驗。(七)廠商履約能力:
9
1. 投標廠商技術能力。2. 投標廠商財務狀況。3. 投標廠商相關領域研究經驗或實績。4. 投標廠商(研究主持人)同一時間承接政府機關委託研究計畫說明。5. 投標廠商投入本專案之人力、物力資源等。
(八)研究經費配置之合理性(預算分配及費用明細支用情形):項目可包含人事費、儀器設備費、設備使用費及消耗性器材費、管
理費、業務費、旅運費、維護費,或其他研究有關費用等。(九) 投標廠商如須額外補充或建議,得於建議書中另闢章節描述。
柒、廠商評選及決標一、評選方式
本案依據政府採購法第 22條第 1項第 9款及「機關委託專業服務廠商評選及計費辦法」之規定,採限制性招標方式辦理評選,以最有利標評選辦法第 15條第 1項第 1款所規定採序位法(價格納入評比),經評選出優勝廠商,並經本會主任委員或其授權人員核定後,依優勝廠商序位辦理議價程序。
(一)採購評選委員會依政府採購法第 94條規定訂定之採購評選委員會組織準則及採購
評選委員會審議規則組成。(二)投標廠商簡報及詢答
1. 投標文件經審查合於招標文件規定者,始得為評選之對象,經審查合格之投標廠商(簡稱受評廠商),於開標時抽籤決定「簡報及詢答」之順序。本會依其投標時間(以本會收件時間為準) 之先後,
10
分別安排抽籤(收件時間較早者先抽),未依指定時間到場抽籤之廠商,由本會開標主持人代抽。
2. 本會通知受評廠商「簡報與詢答」之時間、地點,並由採購評選委員會進行評選(依抽籤順序進行「簡報及詢答」)。(1)廠商應依指定時間、地點向採購評選委員「簡報及詢答」。
簡報時間為 15分鐘,詢答以統問統答方式進行,統答時間 10
分鐘,時間終止前 1分鐘按 1 短鈴,時間終止時按 1 長鈴。簡報後即進行統問,統問後即進行統答,簡報時間不足 15分鐘者,其剩餘時不得併入統答時間。
(2)受評廠商於出席評選會議時,由計畫主持人或協(共)同主持人(必要時本會得請受評廠商檢附證明)出席並負責主要簡報為原則,出席簡報相關總人數不得超過 5 人。
(3)受評廠商簡報及詢答不得更改其投標文件內容,受評廠商在簡報時如另提出變更或補充資料者,該資料應不納入評選。
(4)受評廠商未依本會通知排定時間進行簡報及詢答,如經本會唱名 3 次未到者,視同放棄簡報及詢答權利,評選委員逕就建議書內容評分,簡報及詢答項目以 0分計。
(5)本會於簡報會場備有投影設備及筆記電腦供簡報使用(使用Microsoft PowerPoint 2007)。
(三)評選項目及評分標準(評分說明):評選滿分為 100分,評選項目、評審標準(評分說明)及配分說明如下表。
11
項次 評選項目 評審標準(評分說明) 配分一 專 案 工 作 完 整
性、合理性及可行性
工作項目。 研究架構。 研究方法、技術與工具。 專案進行步驟。 工作時程控管及查核點。 交付項目與日期。 研究預期成果。
30
二 專案組織規劃與執行管理 能力
專案組織架構與職責。 專案組織架構。 專案小組成員職責。
專案實施與管理方法。 專案成員能力
計畫主持人與共同主持人過去 5年內參與相關研究之經驗為佳。 填寫專案主要成員之專長資格證明及相關研究之經驗。
20
三 廠商履約能力 投標廠商技術能力。 投標廠商財務狀況。 投標廠商相關領域研究經驗或實績。 投標廠商(研究主持人)同一時間承接政府機關委託研究計畫說明。 投標廠商投入本專案之人力、物力資源等。
20
四 廠商經費分配及費用明細分析之合理性
本案所需經費分配及費用明細分析 20
五 簡報及詢答 10
本專案將就投標廠商所提建議書內容依「評選項目與配分表」(如附件 4)予以評分。二、評選辦法與決標
(一)建議書評選1. 評選委員經由書面審查、「簡報及詢答」方式辦理評選,並就各
12
評選項目、受評廠商建議書及工作小組初審意見,逐項討論後,由各評選委員辦理序位評比,就個別受評廠商各評選項目分別評分後予以加總,總滿分為 100分,並依加總分數高低轉換為序位,分數最高者其序位為 1,次高者為 2,餘依此類推。
2. 受評廠商如經半數出席(含)以上評選委員評定得分達 70分(含)
以上,方列入優勝廠商,反之為不合格廠商,不合格廠商不列為優勝廠商。若所有受評廠商經評選委員評定後,均非優勝廠商時,則優勝廠商從缺並廢標。
3. 評選委員於各評選項目之評分加總轉換為序位後,彙整合計各廠商之序位,序位合計值最低之受評廠商為序位第 1(評選總表如附件 5),如其標價合理,無浪費公帑情形,且經出席評選委員過半數之決定者為優勝廠商。序位合計值為序位第 2(序位合計值次低)以後之受評廠商,如其標價合理,無浪費公帑情形,且經出席評選委員過半數之決定者,亦得列為優勝廠商。
4. 優勝廠商為 1家者,以議價方式辦理;優勝廠商在 2家以上者,以依序議價方式辦理。如有 2家(含)以上優勝廠商序位合計值相同時,則以標價(投標金額)低者優先議價,若標價(投標金額)仍相同,擇獲得採購評選委員評定配分最高項目得分合計值較高者優先議價;仍相同者,則由採購評選委員召集人抽籤決定之。
13
5. 採購評選委員會議,應有委員總額 1/2以上委員出席,其決議應經出席委員過半數之同意行之。出席委員中之外聘專家、學者人數應至少 2 人且不得低於出席委員人數之 1/3。
6. 評選結果,須經出席評選委員過半數同意,並簽請本會主任委員(或其授權人員)核定後方生效,本會將另以書面通知各受評廠商。投標廠商於投標過程中所支付之任何費用,本會概不予補償。
(二)議價、決標與簽約1. 本會將由優勝廠商序位(議價順序)第 1開始通知辦理議價程序。且依據採購法施行細則第 54條第 3項於評選後議價前,參考各優勝廠商之報價,分別訂定底價。議價廠商之報(減)價金額進入本會訂定之底價以內時,本案決標,該廠商為得標廠商,其餘優勝廠商不再辦理議價程序。若序位(議價順序)第 1之優勝廠商報(減)價後未進入底價以內時,本會將邀序位(議價順序)第 2之優勝廠商進行議價;餘依此類推。
2. 優勝廠商報價如超過底價,經減價程序者,其減價次數不得逾 3
次。3. 本會於完成議價程序後,通知得標廠商辦理簽約手續。4. 如所有優勝廠商均未能得標時,本案廢標。
14
附件 1:本會短、中、長期檢測技術規範發展策略編號 類別 範例項目 CCRA 驗證類別
1 應用服務類公文管理系統、監控管理系統、金鑰管理系統、數位簽章系統、智慧卡
6.數位簽章裝置與系統7.積體電路、智慧卡及智慧卡相關裝置與系統8.金鑰管理系統
2 伺服系統類 網站伺服系統、資料庫伺服系統、儲存伺服系統
3.資料庫10.作業系統
3 終端存取類乙太網路交換器、路由交換器、網路電話設備、網路電話類比閘道器、無線網路攝影機、無線接取設備、無線區域網路路由器設備
1.存取控制裝置與系統9.網路與網路相關裝置與系統
4 資安防護類
入侵偵測防禦設備、防火牆設備、防毒閘道器設備、垃圾郵件過濾設備、網頁應用防火牆、應用軟體控管系統、網路封包鑑識分析設備、網路流量分析設備、網路日誌事件監控設備
2.界限保護裝置與系統4.資料保護5.偵測裝置與系統
5 其它類 11.其它裝置與系統註:短期、中期、長期
15
附件 2:現行資通安全共通規範參考指引文件參考架構
執行單位:○○○○中華民國○○年○○月
16
無線區域網路路由器採購參考指引
(草案)
目 次1. 前言.............................................................................○○
1.1. 目的.......................................................................................................................................................................○○
1.2. 適用對象...............................................................................................................................................................○○
2. 設備介紹.......................................................................○○
2.1. 無線網路簡介.......................................................................................................................................................○○
2.2. 系統架構...............................................................................................................................................................○○
2.3. 運作原理...............................................................................................................................................................○○
2.3.1. WiFi技術.....................................................................................................................................○○
2.3.2. WEP.............................................................................................................................................○○
2.3.3. WPA/WPA2...................................................................................................................................○○
2.4. 常見安裝方式.......................................................................................................................................................○○
3. 資安需求.......................................................................○○
3.1. 如何評估...............................................................................................................................................................○○
3.2. 防護措施...............................................................................................................................................................○○
4. 採購認證設備..................................................................○○
4.1. 降低資安風險.......................................................................................................................................................○○
4.2. 有效的資安健檢...................................................................................................................................................○○
17
圖 目 次
圖 1系統架構........................................................................................................○○
圖 2 多功能智慧型無線接取設備設定情境........................................................○○
圖 3 精簡型無線接取設備與無線網路控制器設定情境....................................○○
18
1. 前言1.1 目的
本文件旨在說明採購無線接取設備須注意之功能面及效能面考量。政府機關 (構) 得參考本指引進行採購,以強化無線網路之安全管理。本指引係屬建議性質,單位進行設備採購時仍需符合單位資安管理規範之要求。無線接取設備之目的在於提供政府機關 (構) 人員無線上網之能力,使政府機關 (構) 員工與洽公民眾可以存取網際網路,以 E化方式辦理公務申請。1.2 適用對象
本文件適用於政府機關 (構) 運用資訊科技從事「業務維運」之所有人員。為便於閱讀與使用,特將適用對象區分為「一般主管」、「資訊人員」及「一般使用者」。一般主管及資訊人員可考慮閱讀整份文件,一般使用者則可略過第二章的部份。2. 設備介紹2.1 無線網路簡介
與網際網路的連線方式可分為無線與有線兩大類,傳統有線方式可以透過乙太網路 (Ethernet)、數位用戶線路 (DSL) 或光纖 (Fiber) 等線路上網,然而無論透過上述哪一種方式,要與網際網路連線的裝置必須以實體線材進行連接,因而導致使用者只能在定點位置上無法移動。無線上網可提供使用者更方便的使用環境,可透過WiFi、3G、WiMAX或 UWB等無線技術上網,目前WiFi及 3G 是兩種最為被廣泛使用的技術,3G訊號範圍大但傳輸頻寬小,WiFi傳輸頻寬大但訊號範圍小,兩者可互補使用,因此,室外空間多以 3G技術來提供連網服務,而室內空間則以WiFi
來提供無線連網服務。 2.2 系統架構
在區域網路的環境中,為了提供使用者無線上網能力,需要有一台網路設備進行有線訊號與無線訊號的轉換工作,負責這項工作的設備統稱為無線接取設備 (Access Point),有別於一般有線網路環境下使用者需帶著網路線尋找網路插座的情況,在無線接取設備的訊號涵蓋範圍中,使用者只需開啟無線網路掃描是否有提供
19
上網服務的無線接取設備,通過身分鑑別及授權為合法使用者後,即可與網際網路進行連線,可大幅減少尋找網路插座的時間,並可發揮裝置可移動的特性,主要系統架構如圖 1所示。
圖 1系統架構2.3 運作原理
透過WiFi 的方式與使用者所使用的終端裝置進行連線,並將使用者由WiFi傳送過來的封包轉送至有線網路中,如:乙太網路或數位用戶線路等,藉以讓使用者透過WiFi 得以存取網際網路上的資源。2.3.1 WiFi 技術
Wi-Fi 技術建立 在 IEEE 802.11 標準上,如: 802.11a, 802.11b, 802.11g,
802.11n,現在仍在討論中的 802.11ac亦為WiFi標準。IEEE制訂與出版這些標準,但不負責測試符合WiFi設備間的相容性。因而有非營利性的 Wi-Fi 聯盟於 1999年成立,其主要任務是確保WiFi 執行標準操作性與相容性,並推動無線區域網路技術。2.3.2 WEP
有線等效加密( Wired Equivalent Privacy ),又稱無線加密協議( Wireless
Encryption Protocol),簡稱 WEP,是用以保護無線網路(Wi-Fi)資料安全的機制。無線網路是用無線電把訊息傳播出去,因而容易遭受竊聽。WEP 的設計是要提供與有線的區域網路相當的機密性。近年密碼學者已經指出 WEP 數個弱點,因此 WEP
在 2003年被 IEEE 802.11i 標準的 Wi-Fi Protected Access (WPA) 所淘汰,之後於2004年後由WPA2 所取代,目前WPA2 是無線接取設備內建的主要無線訊號保護方法之一。
20
網際網路
使用者 無線接取設備
2.3.3 WPA/WPA2
WPA 全名為 Wi-Fi Protected Access,有WPA 和 WPA2兩個標準,是一種確保無線網路安全的機制。WPA 實作了 IEEE 802.11i 標準的大部分,是在 802.11i 完備之前替代 WEP 的過渡方案。WPA 的設計可以用在所有的無線網卡上,但未必能用在第一代的無線取用點上。WPA2 實作了完整的標準,部分老舊的網卡並不支援。2.4 常見安裝方式
無線接取設備為無線與有線介面的轉換裝置,常被大量的佈建在網路邊界 (Network Edge),由於每一台無線接取設備都需要設定對應的加密與存取認證方式造成管理上的困難,因此發展出了兩種不同形式的無線接取設備,分別為多功能智慧型無線接取設備 (Fat AP) 與精簡型無線接取設備 (Thin AP)。
多功能智慧型無線接取設備可透過網頁介面來設定網路位置、連網方式及WEP、WPA、WPA2或 802.1x等安全機制,使用者必須連線到每臺無線接取設備並設定相關資訊,如圖 2,無法集中管理是主要的缺點。
精簡型無線接取設備採集中管理無線網路的方式,必須配合無線網路控制器 (Controller) 來進行相關設定,精簡型無線接取設備只提供無線訊號傳遞之功能,相關設定參數則由無線網路控制器進行指派,如圖 3,由控制器管理所有精簡型無線接取設備,可節省去逐一連線至每臺無線接取設備進行設定的困擾。
21
圖 2 多功能智慧型無線接取設備設定情境
22
網管人員
多功能智慧型無線接取設備(Fat AP)
多功能智慧型無線接取設備(Fat AP)
多功能智慧型無線接取設備(Fat AP)
設定
設定
設定
網管人員設定
自動
指派
自動
指派
無線網路控制器(Controller)
自動指派
精簡型無線接取設備
精簡型無線接取設備
精簡型無線接取設備
圖 3 精簡型無線接取設備與無線網路控制器設定情境3. 資安需求3.1 如何評估
無線訊號有不需接線的特性,為了避免有心人在收到的訊號範圍內任意的存取網路,必須針對無線接取設備進行加密認證設定,在加密認證中,有三個部分需要特別注意:(1) 須有驗證使用者具備存取網路的權限的機制
透過鑑別使用者身分的機制,以過濾未經授權的使用者,一來可以避免網路遭盜用,二來可以確保在相同區域網路下的內部伺服器不被攻擊。(2) 須使用加密防止無線用戶端傳輸的資料遭竊聽
無線訊號透過空氣為傳播介質,訊號於傳播過程中可能遭有心人士攔截並竊取傳送的資料,如傳送的資料未經加密,可能發生資料遺失或外洩的狀況,因此須具備完善的加密機制以確保資料之私密性。(3) 僅管理人員可被授權更動多功能智慧型無線接取設備或無線網路控制器的設定值
前述 (1) 與 (2) 項皆可在無線接取設備的設定介面中選擇是否啟用,為了避免設定值或參數遭到惡意竄改,當進入修改設定的網頁時會被要求輸入管理者帳號與通行碼,以確保修改設定的人員為合法授權之網管人員。3.2 防護措施
有鑑於無線接取設備可能帶來的資安風險,採購單位在選購相關產品時,應注意下列事項:
安全功能:應有無線加密機制及安全控管等功能。 效能:應符合設備的規格說明之最大吞吐量 (Throughput) 。 穩定性:應於異常流量或高用量的環境下長時間正常運作。此外,採購單位應優先採購經過檢測技術規範認證的產品,可有效避免產品潛在
23
瑕疵所帶來的不便和危害。4. 採購認證設備4.1 降低資安風險
根據「資通設備安全檢測技術規範」針對「無線接取設備」所規範的檢測方式,就無線接取設備在使用上的主要風險,可透過安全功能測試、堅實測試、壓力測試及穩定測試進行檢測。檢測技術規範裡定義「基礎等級」以及「進階等級」二種不同程度的標準,所要求符合的測試項目也有所差異,以進階等級的要求的通過標準較為嚴格。穩定性測試方面,基礎等級和進階等級必需在流量重播測試的環境下,分別持續正常運作超過 168及 336 小時。不論是基礎等級或是進階等級的設備,檢測技術規範均會量測該設備可承受的最大吞吐量,以供資訊人員採購參考。4.2 有效的資安健檢
「資通設備安全檢測技術規範」針對設備基本存取和使用安全做完整的功能測試。包括:
稽核資料產出: 應可完整紀錄事件發生之時間與內容。 安全管理功能: 具備基本的存取控制及自我保護能力。唯有嚴格且縝密的測試,方能確保產品於使用過程中,符合各使用單位之安全
及效能需求。
24
附件 3 評選項目及評分說明需求與回應對照表評選項目 評審標準(評分說明) 參 考
頁 次專案工作完整性、合理性及可行性
工作項目。 研究架構。 研究方法、技術與工具。 專案進行步驟。 工作時程控管及查核點。 交付項目與日期。 研究預期成果。
專案組織規劃與執行管理能力
專案組織架構與職責。 專案組織架構。 專案小組成員職責。
專案實施與管理方法。 專案成員能力
計畫主持人與共同主持人過去 5年內參與相關研究之經驗為佳。 填寫專案主要成員之專長資格證明及相關研究之經驗。
廠商履約能力 投標廠商技術能力。 投標廠商財務狀況。 投標廠商相關領域研究經驗或實績。 投標廠商(研究主持人)同一時間承接政府機關委託研究計畫說明。 投標廠商投入本專案之人力、物力資源等
廠商經費分配及費用明細分析之合理性
本案所需經費分配及費用明細分析
25
摺疊線委員簽名:
國家通訊傳播委員會「103 年資通設備之安全檢測規範增修訂及推廣計畫」委託研究案評選項目及評分表(案號:NCCT103006)
採購評選委員代號: 日期:年月日評 選 項 目 評分說明(評審標準) 配分 廠商編號、名稱及得分
1 2 3 4 評選意見甲 乙 丙 丁
專案工作完整性、合理性及可行性
工作項目。 研究架構。 研究方法、技術與工具。 專案進行步驟。 工作時程控管及查核點。 交付項目與日期。 研究預期成果。
30
專案組織規劃與執行管理能力
專案組織架構與職責。 專案實施與管理方法。 專案成員能力
20
廠商履約能力 投標廠商技術能力。 投標廠商財務狀況。 投標廠商相關領域研究經驗或實
績。 投標廠商(研究主持人)同一時間承
接政府機關委託研究計畫說明*。 投標廠商投入本專案之人力、物力
資源等
20
廠商經費分配及費用明細分析之合理性
本案所需經費分配及費用明細分析 20
簡報及詢答 10
總 分 100
序 位註 1:請依評分加總分數高低轉換為序位(總分最高者為序位 1),依序類推。註 2:本表總滿分為 100分,受評廠商如經半數出席(含)以上評選委員評定得分達 70分(含)以上,方列
入優勝廠商,反之為不合格廠商。註 3:受評廠商得分加總低於 70分者,請委員於上方評選意見欄說明原因。
*:研究主持人同一期間接受政府委託研究計畫逾 2項以上、研究主持人有同一人同一年度承接本會委託研究計畫逾 2項之情形(原則上以承接案件數量越少,對本案之履約能力越高)
26
本人知悉並遵守「採購評選委員會委員須知」之內容。
附件 4
國家通訊傳播委員會「103 年資通設備之安全檢測規範增修訂及推廣計畫」委託研究案評
選序位統計總表(案號:NCCT103006) 日期: 年月日廠商編號 1 2 3 4 5
廠商名稱評選委員
廠商甲(報價:○) 廠商乙(報
價:○)廠商丙(報
價:○)廠商丁(報
價:○)廠商戊(報
價:○)總分 序
位 總分 序位 總分 序
位 總分 序位 總分 序
位A
B
C
D
E
F
G
是否為優勝廠商 □是□否
□是□否
□是□否
□是□否
□是□否
序位和(序位合計值)
優勝廠商序位(名次)
議價順序
全部評選委員姓名職業出席
(V)其他記事 1.評選委員是否先經逐項討論後,再予評分:□是 □否
2.不同委員評選結果有無明顯差異情形(如有,其情形及處置):□有_____________________________________________ □無
3.評選委員會或個別委員評選結果與工作小組初審意見有無差異情形(如有,其情形及處置):
27
附件 5
□有_____________________________ □無4.優勝廠商標價是否合理無浪費公帑情形:□是 □否5.評選結果於簽報本會主任委員或其授權人員核定後方生效。
出席評選委員簽名:
28
