經濟部工業局電子資訊組組長林俊秀強調,檢測要有生態系才能永續經營。先要有認證實驗室,再由實驗室驗證產品,並透過產業的公協會來發證,之後,再推動政府部門採購這些有證照的產品,透過整個生態系來推動資安檢測的產業。而最後的目標,是希望將產業標準變成國家標準。

政府如何帶頭促進資安產業發展,是臺灣各界關注的一大焦點。在19日到21日舉行的2019「臺灣資安大會」,今年特別安排了一系列資安產業發展的主題論壇,包括資安產業標準發展、資安新創交流,與臺灣資安國際拓銷,並分別於大會中的臺灣資安館現場接連三天召開。

今日(19日),首先進行的資安產品標準論壇中,全面揭露了政府在物聯網資安產業標準發展,以及檢測認驗證制度上的實際作為。

事實上,經濟部與通傳會(NCC)在去年6月,已經共同發布了物聯網設備資安驗證標章制度,並計畫先從網路攝影機切入,制定出相關資安規範與檢測制度,並於去年12月正式啟動了物聯網資安標章。

今年3月,經濟部工業局電子資訊組組長林俊秀公布了最新現況。例如,對於物聯網資安產業標準的制訂,他們預期將逐年增修,其中,在影像監控系統資安標準方面,去年不僅是發布第2版網路攝影機(IP CAM)的資安標準,也釋出了第1版的影像錄影機資安標準,以及網路儲存裝置的資安標準,並且還有智慧巴士車載資通訊系統資安標準(車載機、智慧站牌)。而以影像監控系統資安標準而言,會中也提到,其實是採高標準的規格來制訂。

林俊秀表示,今年預計將會再新增兩項物聯網標準。他並強調,需建構一個物聯網資安生態體系,才能一併推動資安檢測的產業。而目前國內也有5家測試實驗室通過TAF認可,希望在明年增加至9家,並已邀集16家安防業界廠商,參與資安產品檢測的輔導。

在制定物聯網資安產業標準方面,現在已經發布的相關標準,包括網路攝影機V2.0、影像錄影機v1.0、網路儲存裝置v1.0等,2019年將再新增兩項。

期許以標準制度帶動臺灣產品資安水準,建立物聯網資安檢測生態系

關於網路攝影機的資安問題,近年我們已經不時聽聞,包括像是殭屍惡意程式駭入數十萬支網路攝影機,更值得關注的是,前幾年還發生美國FTC控告臺灣網通大廠的網路監視器、攝影機等產品,具有嚴重的安全性漏洞。

談到網路攝影機的資安事件,林俊秀也特別指出,像是2016年殭屍網路Mirai,臺灣名列被攻擊國家第8名,最近還有在蘋果Mac電腦上,發現有Fruitfly惡意程式,會自動開啟Webcam遠端竊錄截圖的狀況,以及民眾購買網路攝影機觀看家中情況,反被駭客入侵並偷窺隱私等。

對此,林俊秀一開始也點出了產業議題與挑戰的三大面向,包括新興資安事件頻傳、物聯網資安拉警報,以及資通產品國際輸出受阻。在此局勢之下,物聯網設備資安產業標準與檢測認驗證,就成為了政府看重的一大焦點。

畢竟,臺灣常是駭客攻擊熱點,但也造就我們成為資安實測場域,而且,臺灣製造生產的網路攝影機,其實占了全球產品比重達30%,若能透過標準、制度來帶動資安水準,也將進一步強化我國產品在國際上的競爭力。

經濟部工業局電子資訊組組長林俊秀強調,檢測要有生態系才能永續經營,舉例來說,先要有認證實驗室,再由實驗室驗證產品,並透過產業的公協會來發證,之後,再推動政府部門採購這些有證照的產品,透過整個生態系來推動資安檢測的產業。而最後的目標,就是把產業標準變成國家標準。

到底,臺灣在物聯網設備資安產業上,政府在推動策略與作法又是如何?林俊秀進一步解釋,他們主要分成三階段來進行,分別是規畫期、推廣期與成熟期。其中,推廣期的重要目標,首先,就是要推動國內物聯網資安測試實驗室成立,以完備認驗證制度,同時也會輔導製造商產品取得認證,進而推動國內公部門、場域導入使用。未來,更希望的是,能夠推動產業標準逐步成為國家標準,並促成國際標準相互認證。

就現況而言,關於物聯網資安測試實驗室的成立,以及輔導製造商產品取得認證,都已經有不小的進展。林俊秀指出,為建構物聯網資安檢測生態體系,目標是至2020年度至少有9家通過全國認證基金會(TAF)認可,而去年就已經有4家通過,包括電信技術中心、安華聯網、台灣電子檢驗中心與勤業眾信,在今年2月,行動檢測成為第五家通過。

在製造商取得認證方面,去年底奇偶科技的兩款網路攝影機,已獲頒物聯網資安標章合格產品證書,型號分別是GV-BX2700-FD、GV-MD8710-FD。而政府為進一步推動這項資安標準,其實也計畫輔導製造商產品取得認證,主要透過安防協會與資安服務團輔導,以幫助取得資安標準認證,進而提升本土產品資安水準,目前也已輔導了20件影像監控系統,共16家業者,預計在上半年就會有新一波認證產品。

當然,更值得關注的是,若是未來中央部會或地方政府,將影像監控系統資安標準,納入採購規範及共同供應契約,所創造出來的需求,也勢必讓資安檢測生態體系變得完備。而且,後續也將公告出通過資安標準認證的產品,作為一般民眾採購時的參考,進一步提升民眾消費認知。

至於最後的目標,林俊秀也表示,就是要打造臺灣物聯網資安檢測驗證機制,推動產業標準逐步成為國家標準,促成國際標準相互認證。

電信終端設備資安檢測新進展,將增加智慧音箱、寬頻數據機等

對於新的物聯網資安標章,與過去有何不同?國家通訊傳播委員會基礎設施事務處處長羅金賢也做出說明。為保障聯網裝置的資通安全,行政院資安處藉「行政院資安產業發展計畫」已要求NCC與經濟部相互合作,研訂物聯網設備資安標準,而過去設備產品的安全認證,是經濟部與NCC各自有一個標章,現在則將推動兩者整合。

關於分工的權責規畫,羅金賢也具體說明,NCC主要負責的是電信、射頻介面,其餘由資通設備由經濟部負責。所謂的電信、射頻介面,是指電信終端設備,定義上為與公眾電信網路連接的第一個元件。他舉例,像是在無線方面,手機與行動基地臺連接,手機就是由NCC管,或是介接的第一個元件,像是筆電產品過往會看到兩個標章,一個是筆電應施檢驗標章,一個無線模組的認證標章,而筆電裡面的無線模組,是跟網路介接的第一個元件,這部分就是歸NCC管。而未來,將推動整合兩者成為一個共同物聯網資安標章。

而在NCC的電信終端設備資安檢測推動現況上,他們在去年8月公告了無線IP CAM、Wi-Fi AP、無線路由器,以及連網功能MOD/有線電視機上盒的資安檢測技術指引,羅金賢指出,在今年2月底前,前三項已有財團法人電信技術中心(TTC)一家實驗室,通過TAF認可為資安檢測實驗室。至於MOD與機上盒方面,目前TTC也已規畫於今年上半取得認可。

另外,羅金賢還公布了他們最近的新計畫,將提出新的資安檢測技術指引草案,預計項目還會增加三種類型,包括智慧音箱、xDSL/Cable Modem、4G分享器等產品。

對於物聯網資安產業標準的推動,是近年政府為促進資安產業發展而推行,在今日資安產業標準論壇中,為了讓業界、企業與民眾更加認識這項標準,經濟部工業局電子資訊組組長林俊秀說明其推動策略與作法。

關於物聯網設備資安檢測,以往設備產品的安全認證,需要取得經濟部與NCC各自的標章,未來將有共同的物聯網資安標章,國家通訊傳播委員會基礎設施事務處處長羅金賢也指出,在分工規畫上,NCC主要負責電信、射頻介面。

 

●相關報導: 【臺灣資安大會直擊】網路攝影機資安認驗證的安全要求大公開,高標準助臺產品強化資安功能


Advertisement

更多 iThome相關內容