物聯網的時代,連網設備安全問題不斷被強調,其中網路攝影機(IP CAM)的資安問題,是最受關注的設備之一,不論是殭屍惡意程式的攻擊,致使大量網路攝影機(IP camera)與數位影像錄影機(Digital video recorder,DVR)變成DDoS的幫凶,前兩三年甚至有臺灣業者被美國FTC控訴產品不安全,企業與消費者都因此蒙受傷害。

為了提升臺灣製造商做好資安功能,自2017年資安產業策略會議(SRB),已經提到可採推動資安產業標準及認證制度的方式,來擴展國內外市場,而去年政府也實際推動了物聯網資安標準,期許透過標準與制度,帶動國內的資安水準,並強化本土產品的國際競爭力。

對於制訂物聯網資安產業標準,這樣的議題往往可能被忽視,甚至有人質疑此類標章,是否只是一個低標準線的強制性標章?在本週的臺灣資安大會上,資策會資安所聯網安全檢測組組長高傳凱,特別針對目前進度最快的影像監控系統系列資安標準,揭露其詳細的安全要求與最新的發展現況。

事實上,從影像監控系統系列資安標準框架來看,對於設備安全防護的要求,其實是以高標準的規格來制訂。

高傳凱進一步解釋,在影像監控系統系列資安標準框架的共通要求中,共包含了五大面向,分別是實體安全、系統安全、通訊安全、身分識別與授權,以及隱私保護。因此網路攝影機、影像錄影機與網路儲存裝置都將符合這些要求,後兩者並還有應用程式安全的面向。

提升影像監控產品的資安要求,以高規格標準從五大面向著手,並期望成為國內相關設備商在裝置開發時的依據

在共通的五大面向中,為了要確保網路攝影機的資訊安全,也各自有不同的安全功能要求。例如,不僅是要求設備上必須建置認證、加密及完整性三大資安功能,並要檢視裝置本身是否有資安漏洞,以及具備日誌與警示的功能。換句話說,這五大安全面向將有不同的安全要求分項,來對應上述的要求。這也意謂著,國內相關設備商在裝置開發時,就可依此標準為依據。

舉例來說,在作業系統層的系統安全中,就包含了對應認證的應用程式介面安全,對應加密的敏感性資料儲存安全,對應認證、加密及完整性的更新安全,對應資安漏洞的作業系統與網路服務安全、網路服務連接埠安全與網頁管理介面安全,以及對應記錄功能的系統日誌檔與警示。

對於目前發展趨勢與國內發展現況,高傳凱也從目前看到的問題與經驗來簡單說明,希望讓企業更瞭解這項認驗證的要求,或是業者送驗產品時可能不清楚的地方,以及最新的規範變化。

例如,在實體層的實體安全方面,其中的安全啟動測試分項中,是爭議較大的一處,因為這要求產品,應該要具備安全晶片,像是TPM、HSM等,使安全啟動功能得以確保。但是,這樣的要求對於現行廠商而言,難度不小,有廠商反應,他們的產品可以達到安全啟動的效果,但不是做在安全晶片。

高傳凱表示,目前檢測項目及對應的安全等級,共畫分為三級,在安全啟動這一部分,當初他在制訂時,目標就是以最高規格為出發點,雖然因為現行推廣上的需求,一開始還沒有達到第三級的最高要求,但他認為,目前各界一致看法都是要具備硬體晶片。除非設備商可以舉出其他同方法,達到跟晶片一樣安全,並說服實驗室與驗證單位。

此外,高傳凱表示,有廠商可能擔心其設備是PoE供電,若是網路線拔掉,就會因斷電就無法通過,他也說明將透過PoE電源供應器來輔助測試,避免導致測項不過。

在系統安全方面,針對作業系統安全與網路服務安全測試,高傳凱說明了今年最新的變動。由於之前實驗室在測試時,遇到廠商不會給高權限的帳號來測試的狀況,如此一來測試就不夠徹底,因此今年將變得更嚴格,必須要求提供高權限帳號來測試。

還有幾個重點,例如,在網路服務連接埠管控測試上,最常見的狀況就是擔心開啟了不知道的網路埠,因此廠商必須自我宣告所開啟的網路埠,並且必須與實驗室檢測結果一致;在韌體檔案安全測試中,他們要求加密演算法必須採用FIPS 140-2 Annex A所認可,且不可被實際解析出檔案系統目錄,或是韌體不能實驗室被拆解開,進而找出帳號密碼、金鑰、IP與URL等;他並特別提醒,在韌體更新檔之完整性及可信度測試方面,不可執行遊測,也就是一定要在實驗室的場地進行,否則報告將會失效。

特別值得注意的是,由於實驗室檢測的要求相當多,也才處於施行初期的階段,廠商若有不得已或執行上有困難之處,他們目前也規畫有一致性會議,讓問題能夠攤開來談。同時,現在政府也有IP CAM廠商輔導的計畫,來促進與協助廠商通過認驗證,希望各業者趁此階段,讓自身產品能強化其資安功能。

預計第二季將有更多本土業者網路攝影機產品通過驗證,並期望推廣物聯網資安標章於國際

另一方面,政府在物聯網產品資安認驗證制度上,為了讓執行更具嚴謹度,將由台灣資通產業標準協會(TAICS)負責核發物聯網資安標章,以及針對實驗室及產品稽核管理。TAICS副處長黃雅琤也在大會現場,說明更多該協會與相關制度的進展。

對於TAICS,不熟悉國內標準產業的人可能感到較為陌生,該協會是在2015年成立,關於成立的原因,黃雅琤表示,成立原因是因為經濟部為了產業出口的問題,初衷是希望臺灣也要能建立區域性標準制定組織(SDO),以整合臺灣網通業在標準與專利上的意見,並致力於國際標準組織。對於臺灣的資通訊產業而言,其實不只網通業,還包含行動通訊、網路通訊、影音服務、物聯網,以及資安等,因此TAICS協會組織下共成立了七個技術工作委員會,來處理各項不同的工作。

黃雅琤指出,基本上,國際上已有標準的領域,他們將援引國際標準,但不見得所有國際標準都適用於臺灣,因此還是會根據國內產業情況來制訂適宜的標準。

而在資安標準這一塊,黃雅琤更是強調其他特殊性,因為他們目前看到國際上最主要的是OWASP與UL。其中OWASP屬於聯盟,但歐美國家沒有往該聯盟傾斜,而UL是美國的公司,並不是標準制定組織。因此,他們認為這就是臺灣的機會,期望有能力自己定自己的標準。

而台灣資通產業標準,也是仿照歐洲電信標準協會的嚴謹度,來打造自己的制訂標準平臺,並將針對臺灣適合的技術,並選定一些特定的目標,來制訂臺灣的產業標準,並跟國際上11個國際組織連結。

對於網路攝影機的認驗證現況,會後黃雅琤也透露,原本年初將有第二家業者的產品通過,但因為有一項測試始終無法通過,因此還要等等,再加上輔導計畫時程的因素,預計第二季就會有數家業者的產品通過認證。

同時,黃雅琤也首次對外說明了今年的主要工作目標,就是希望推廣物聯網資安標章,南向輸出到印尼、馬來西亞等智慧城市建置實施採用,並要推動IP Cam資安測試規範於歐洲電信標準協會(ETSI)出版。

現場,台灣資通產業標準協會(TAICS)副處長黃雅琤也說明了物聯網資安驗證申請流程,並公布今年的主要工作目標,希望推廣物聯網資安標章於國際。

 

●相關報導:【臺灣資安大會直擊】最新臺灣資安產業標準發展現況揭露,已有5家認可實驗室正式上路


Advertisement

更多 iThome相關內容