top of page

如何準備門禁系統資安送審文件給驗證公司?

2024-07-09

全球安防科技網
新聞來源:

台灣自2022年發布「門禁系統資安標準暨測試規範」後,取得相關認驗證成了門禁廠商的重點工作,而將產品送到TAF核可的實驗室進行資安檢測更是重中之重。

在現代企業和機構中,門禁系統已成為確保安全和控制人員進出的重要手段。為了確保門禁系統符合行業標準和法規要求,許多公司選擇將其系統送至驗證公司進行評估。準備這些文件的過程既需要仔細的規劃,也需要精確的執行。以下是如何準備門禁系統文件送審的指南。

 


一、確認驗證標準

第一步是了解並確認驗證公司所依據的標準和規範。目前在台灣,法國必維國際檢驗集團(Bureau Veritas, BV)是依據行動資安聯盟網站上面的IoT-2006-6 v2.0-門禁系統資安測試規範(6本)與IoT-2006-6 v2.0-門禁系統資安測試標準(6本),一共12本做為測試依據。


測試規範與測試標準的差別是在於,規範內明確定義了適用範圍、引用標準、用語及定義與安全等級等;而測試標準則是針對每一條規範提供更仔細明確的測試範圍、測試條件與測試步驟與結果等等。 


門禁系統這一系列涵蓋一般要求、門禁管理平台、門禁閘道控制器、門禁讀取器、智慧門鎖與人臉辨識門禁裝置。而一個完整的測試範圍,除需各自符合單項的條文外,還須符合一般要求的條文。在大致了解整個測試框架跟範圍後,依循標準的要求開始著手準備送審文件,是確保門禁系統測試流程完整順利的基礎。


 

二、文件清單

第二步是準備好一份詳細的文件清單,這些文件應該涵蓋門禁系統的各個方面,並將其作文件編號,方便實驗室尋找相關文件。而關於內容的填寫,建議廠商可參考測試標準,其內都有涵蓋測試資料與測試方法,廠商可依自己公司產品的特性填寫與提供,而這些都是提供實驗室做為參考的依據。


 

三、自我審核與模擬審查

在正式提交文件之前,建議進行一次內部自我審核,模擬驗證公司的審查過程。這一步非常重要,但在實務經驗上發現,許多廠商都忽略了這一步的重要性!很容易覺得測試規範與標準所要求的功能已導入產品,但卻未做確認,導致送審版本其實未導入而不自知;或是條文要求要做測試,但廠商只有用文字說明,導致最後得到「不通過」的結果,無意間延長了取證的時間。 


除了進行內部自我審核,實驗室這邊還建議廠商應將自我審核的步驟與截圖,製作成一份參考文件提供給實驗室。這樣不只可以減少往返溝通的時間,還可以提前發現並解決潛在問題,提升文件的準確性和完整性。 



為了讓讀者可以更明白實驗室測試的流程跟方法,以下舉幾個例子說明文件準備的方向:


例1:一般要求-5.2.1.6異常狀態回復預定義機制測試


此項測試目的為「當產品無法正常維持使用者設定的運作狀態時,產品應可自動恢復為預定義狀態。」針對此測試項,送件廠商常犯的錯誤是:第一,廠商沒有給一個異常狀態的預定義;第二,廠商給的預定義是出廠值。如何定義此狀態,常常使廠商感到困擾,也是經常測試不通過的原因。舉例來說,如果定義是出廠值,那代表一旦產品產生異常就必須能自行回到出廠值。但就實務上來說,每次出現斷線、更新錯誤就回到出廠值,其實是不太可能的使用情境,因此廠商可以依各家公司產品的狀況來撰寫。 


例2:一般要求-5.2.1.9安全敏感性資料禁用硬編碼測試


測試目的為「驗證產品之原始碼中是否存在安全敏感性資料。」可以從測試方法中發現,實驗室須對產品之韌體/軟體檔案進行拆解,如果往回看測試資料,就可以看到廠商須提供未加密的軟/韌體檔案,也須提供自行宣告的安全敏感性資料。這部分廠商常犯的錯誤,一是未提供未加密之檔案,二是未提供安全敏感性資料(例如金鑰或是產品的MAC),從而造成測試無法執行。  


例3:一般要求-5.4.1.6備份能力測試


測試目的為「驗證產品是否支援備份功能,以防止失效或錯誤設定時可恢復正常狀態。」因此能從測試方法中發現,產品必須要能達到備份與還原之功能,而實驗室必須測試此功能。而在實務經驗上,以讀取器與閘道器等作資料擷取的門禁系統機器,是需要透過第三方的軟/硬體才能達到備份與還原的效果。但廠商常常在送測的時候並沒有提供相關設備與測試流程文件,導致測試無法順利執行,進而增加溝通的時間。  


從上述三個例子讀者可以發現,實驗室的作法與準則是跟著標準走。如果廠商在送測前,能夠先進行自我審核與模擬審查,便可及時發現問題並進行改善,以減少與實驗室反覆溝通的時間。

 


四、文件提交與跟進

最後一步,是按照驗證公司的要求格式和方式提交文件。在提交文件的時候,須將不同的文件與其對應的標準明確標示。再則,如文件在送審後有做修改,建議用「顯目的」標記(如紅字、黃底等)標出。並在提交後,持續跟進審查進度,及時回應驗證公司的反饋和問題,以確保整個審查過程順利進行。 


通過這四大步驟,廠商可以更好地準備門禁系統文件,確保其符合驗證公司的要求和標準,順利通過審查。仔細的準備和積極的配合,是確保門禁系統獲得資安認可的關鍵。

bottom of page