跳到主要內容區塊

搜尋
手機板瀏覽
::: 資安新聞 活動訊息 手機資安 法規介紹 English
我是連結

常見問題

Q01.何謂資通安全產品?
faqicon指具備資通技術安全防護措施所用,或具資通技術安全功能之硬體、韌體、軟體或其組合。
Q02.何謂保護剖繪(Protection Profile,簡稱PP)?
faqicon指申請者依共同準則規範(CC)製作之資通安全產品安全基本需求文件,可提供資通安全產品開發者開發產品之依據。
Q03.資通安全產品及保護剖繪所遵循之技術規範為何?
faqicon資通安全產品及保護剖繪審驗所遵循之技術規範如下所示: 1. 共同準則(CC),即國際標準組織之ISO/IEC 15408規範。 2. 共同方法論(CEM),即國際標準組織之ISO/IEC 18045規範。 3. 國家標準CNS 15408-1 :資訊技術安全評估準則-第1部:簡介及一般模型(第2.1版) 4. 國家標準CNS 15408-2 :資訊技術安全評估準則- 第2部:安全功能需求(第2.1版) 5. 國家標準CNS 15408-3 :資訊技術安全評估準則-第3部:安全保證需求(第2.1版) 6. 資訊技術安全評估共同準則第二部-安全功能需求(第2.2版) 7. 資訊技術安全評估共同準則第二部-安全功能需求(第2.3版) 8. 資訊技術安全評估共同準則第三部-安全保證需求(第2.2版) 9. 資訊技術安全評估共同準則第三部-安全保證需求(第2.3版)
Q04.何謂安全標的(Security Target,簡稱ST)?
faqicon指申請者依共同準則規範(CC)製作之資通安全產品安全規格文件,產品審驗時確認是否可達申請者所宣稱安全功能之依據。
Q05.資通安全產品及保護剖繪有那些安全等級?
faqicon資通安全產品及保護剖繪之安全等級為共同準則定義之評估保證等級(Evaluation Assurance Level,簡稱EAL),EAL共有7個等級,最低等級為EAL1,最高等級為EAL 7。 目前在國際相互承認協議的基礎原則下,各國對於EAL 5等級以上(包括EAL 5)之資通安全產品及保護剖繪審驗另有自訂的標準,因此承認範圍為EAL 1 至EAL 4之安全等級。本會資通安全產品及保護剖繪審驗之安全等級亦以EAL 1至EAL 4為主。
Q07.那個單位是我國資通安全產品及保護剖繪審驗的主管機關?
faqicon國家通訊傳播委員會(NCC)為我國資通安全產品及保護剖繪審驗主管機關,負責資通安全審驗、督導及管理事項,資通安全測試實驗室(或稱評估實驗室 )認可、督導及管理事項,並制訂資通安全審驗相關技術規範。
Q08.如何取得資通安全產品審驗證明?
faqicon資通安全產品或保護剖繪經本會認可之資通安全測試實驗室評估後,由本會審核評估結果並完成驗證工作,以確保國內資通安全產品及保護剖繪符合國際標準。經本會審驗合格之資通安全產品及保護剖繪,將核發共同準則審驗證明。
Q13.資通安全測試實驗室需要符合那些規定或要求?
faqicon資通安全測試實驗室須經認證機構認證及本會認可後,始能成為合格之測試實驗室。目前經本會認可之認證機構為財團法人全國認證基金會(簡稱全國認證基金會,TAF)。測試實驗室符合本會及認證機構之相關規定時,由認證機構核發實驗室認證證書,本會核發資通安全設備及保護剖繪測試實驗室認可證書,實驗室得以執行資通安全評估,合格之測試實驗室本會將公布於網站上。
Q14.那些資通安全測試實驗室經過主管機關認可?
faqicon目前經全國認證基金會認證及本會認可之資通安全測試實驗室為財團法人電信技術中心(Telecom Technology Center,TTC),網址www.ttc.org.tw。
Q15.國外資通安全產品審驗制度為何?
faqicon目前世界各國資通安全產品審驗制度係以「資訊技術安全共同準則憑證承認協議」(簡稱共同準則承認協議,CCRA) 為發展依據。此協議為美國、加拿大、法國、德國及英國於1998年首次簽署,並發展國際認同的資通安全標準「共同準則」(CC)及「共同評估方法論」(CEM),作為各國資通安全審驗及技術規範遵循的基礎。澳洲及紐西蘭於2000年5月加入協議,協議自此擴大範圍。近10年來,由於資通安全議題漸漸為各國所重視,日本、韓國、荷蘭、挪威及西班牙等國政府為確保資通安全產品及保護剖繪之品質,建立符合ISO Guide 65規範之資通安全驗證機關及ISO/IEC 17025規範之資通安全測試實驗室,依CC及CEM為技術規範執行資通安全審驗。各國審驗制度公布於CCRA網站http://www.commoncriteriaportal.org,審驗合格之資通安全產品及保護剖繪公布於http://www.commoncriteriaportal.org/public/developer/index.php。
Q16.申請資通安全審驗需自備那些知識?
faqicon申請者於申請資通安全審驗前,需自備資通安全產品或保護剖繪之評估文件,如安全標的(ST)或保護剖繪(PP)以進行評估工作。評估文件係說明資通安全產品或保護剖繪宣稱達到安全功能或需求及等級之證據資料,申請者對於如何依據共同準則(CC)準備評估文件之標準、內容及要求需有一定程度的認識。
Q17.資通安全產品或保護剖繪是否在開發完成後再提出審驗?
faqicon申請者於申請審驗時須先提供測試實驗室所需之評估文件,使得評估得以進行。 評估文件若符合共同準則規範將有助於審驗作業順利進行。安全等級較高的審驗案例通常所需的時間超過一年,而資通安全審驗內容涵蓋產品發展的整個過程,從初期產品設計(Design)、生產(Production)、交付(Delivery),到產品的運作(Operation)等階段。申請者宜於資通安全產品或保護剖繪開發階段與測試實驗室接洽,共同探討與制定評估文件應有的品質及內容。 經由實驗室提供之諮詢服務,開發者可有效研發符合國際規範的產品,節省審驗的時間及費用,加速產品進入市場的時間,掌握商機及提昇國際競爭力。
Q19.申請者如何準備審驗所需安全標的(ST)或保護剖繪(PP)之評估文件?
faqicon申請者於審驗時所需提供之評估文件主要為評估所需之安全標的(ST)或保護剖繪(PP)。 評估文件係依據共同準則(CC)規範之七項保證類別(Assurance Class)進行準備,分別為組態管理(ACM,Configuration Management)、交付與運作(ADO,Delivery and Operation)、開發(ADV,Development)、指引文件(AGD,Guidance Documents)、生命週期支援(ALC,Life Cycle Support)、測試(ATE,Tests)、及脆弱性評鑑(AVA,Vulnerability Assessment)。送審之資通安全產品或保護剖繪評估保證等級(EAL)的高低與評估文件的準備範圍有直接關聯,評估保證等級愈高,申請者需準備的評估文件範圍愈廣。申請者應與測試實驗室接洽,以進一步了解如何製作符合共同準則標準的評估文件。
Q20.申請資通安全產品或保護剖繪審驗時,需要繳交那些費用?
faqicon申請資通安全產品或保護剖繪審驗計有評估費用及審驗費用: (1) 申請者向測試實驗室繳交評估費用。 (2) 申請者向本會繳交審驗費用。
Q22.如何取得資通安全產品或保護剖繪審驗合格之資訊?
faqicon本會將審驗合格之資通安全產品及保護剖繪資訊公布於本會網站「審驗合格清單」。
Q23.審驗合格之資通安全產品是否表示已足夠安全?
faqicon資通安全產品經本會審驗合格者,表示產品的安全規格符合申請者所宣稱可達到的安全功能及等級。申請者將資通安全產品的安全功能及評估保證等級描述於安全標的(ST)文件,經審驗作業判定該產品是否符合所宣稱的功能。因此,資通安全產品使用者應考慮其安全需求,並檢視安全標的內容,以選擇適當的資通安全產品。
Q24.資訊安全管理系統(簡稱ISMS)驗證制度是否屬於資通安全產品及保護剖繪審驗範疇?
faqicon資通安全作業可概略分為管理及技術兩個層面。ISMS為管理層面的審核機制,而資通安全產品審驗屬於技術層面的審核機制。ISMS驗證制度為經濟部標準檢驗局依據行政院「建立我國通資訊基礎建設安全機制計畫」,負責完成建置國家資訊安全管理系統之驗證業務。其驗證作業由全國認證基金會(TAF)認可之ISMS驗證機構對申請者所建立之資訊安全管理系統進行驗證,驗證標準為標準檢驗局公布之國家標準CNS 27001,通過驗證者由驗證機構核發ISMS驗證證書。
Q26.甚麼是電腦病毒?
faqicon電腦病毒(Computer Virus)為存在於電腦、系統及手機等電子化設備中,可自我複製並感染至其它設備的一種惡意程式。受害者之電腦通常經由隨身碟、網路及e-mail等途徑感染電腦病毒。常見之中毒症狀為:無法開機、出現不預期畫面、磁碟機無法開啓、耗盡系統資源(CPU使用率增高、記憶體不足)等。
Q27.甚麼是惡意軟體?
faqiconMalware為Malicious Software之簡稱,也常被稱為malicious code(惡意程式),泛指非法植入使用者電腦,且對於系統、檔案及資料文件造成破壞與損傷的程式。駭客常藉由多種方式來散佈惡意軟體以造成他人電腦中毒或癱瘓。常見之惡意軟體如病毒(virus)、蠕蟲(worm)、特洛依木馬(Trojan horse)、間碟程式(spyware)。
Q28.甚麼是駭客?
faqicon駭客(hacker),也被稱為黑客。依RFC1392所定義,是一群熱衷於研究系統和計算機(特別是計算機網路)內部運作秘密的人。通常駭客擅長於電腦科學、編程和電腦網路等方面。而另一種電腦高手則是惡意、非法地試圖破解或破壞某個程式、系統及網路安全的人。這群人被稱為cracker。在cracker裡又有一群被稱為指令碼小子(script kids)的團體,指令碼小子(script kids)通常在網路上下載由他人所編輯的惡意程式來發起網路攻擊,他們無法對攻擊目標進行漏洞偵測且不懂攻擊程式之設計原理及攻擊成功、失敗之原因。