【臺灣資安大會直擊】NCC：明年1月初將成立國家級通訊軟體安全實驗室，聚焦4大5G網路資安議題，更要建DevSecOps與安全分析檢測兩大平臺

臺灣在7月第一家5G開臺後，不到一個月內，國內4家電信業者都推出5G服務，僅剩一家也將於第三季開臺。在今天（8/12）臺灣資安大會一場5G資安的演講上，NCC委員孫雅麗透露，明年1月初將成立國家級通訊軟體領域安全實驗室，來協助5G網路業者，與第三方服務商完成5G相關軟體安全測試，以確保其安全、可靠與韌性，未來還將聚焦4大5G網路資安議題，更要建DevSecOps與安全分析檢測兩大平臺。

有別於4G網路，5G採用新架構設計全新電信網路架構，對於電信業者來說，雖然在整體網路運營及服務提供上，帶來更靈活彈性的網路調度與管理方式，但也將以往企業資料中心網路架構存在的資安風險，一併帶進5G網路環境。尤其，未來很多5G服務與功能，都變成是軟體化架構，或以虛擬化方式提供網路服務，也帶來新的資安風險與威脅。

有鑒於5G資安對國家數位發展的重要性，孫雅麗也預告，NCC之後將會成立一個國家級通訊軟體領域安全實驗室，提供給5G網路業者，與第三方服務提供者來利用，用以補足業者在5G軟體安全檢測能力的不足，若是以後這些業者對使用軟體本身有安全性疑慮，就能將該軟體送交到實驗室來測試，藉由實驗室檢測，以確保其5G網路安全、可靠且具韌性，該實驗室預計明年1月1日正式啟用。

她表示，未來這個實驗室，將聚焦4大議題與兩大平臺。其中4大議題，依序是強化5G相關軟體系統與應用程式的安全性，並要建立軟體更新的安全管理機制，以及提供安全可信賴的5G網路供應鏈管理，最後則是加強對於用戶隱私保護的政策、制度、相關技術與防護措施。

再者，該實驗室還要建置兩大平臺，其中一個是5G安全軟體整合暨開發程序的平臺，也就是要將資安導入開發流程之中，做到DevSecOps，以及還有一個平臺是軟體系統資通安全分析及檢測平臺。更會有三大產出，除了有相關測試結果，會提供業者參考外，未來還將提供5G網路軟體系統建置與營運安全管理的參考框架、指引文件與機制，並會協助業者提高資安防護能量與能力，此外，除了提供檢測之外，也會有相關驗證的服務。

不只要透過這個通訊軟體安全實驗室來強化5G資安，其實早在5G開臺前，NCC就有依規定要求5G電信業者於開臺前，須提交資通安全維護計畫，說明對資通安全防護的整體規劃及架構，確保其5G系統是安全、可信賴。並且須經過NCC審議通過後，才准許業者開始布建5G。這份資通安全維護計畫，主要包括5G系統的資通安全防護政策、目標、範圍、措施等，以及相關時程、人力與資源配置、流程管理、風險評估及設置等事項。

孫雅麗表示，由於這是不同過去3G、4G的作法，因此，一開始，當她看到電信業者提交的計畫書後，連自己也嚇了一跳，「只用能慘來形容」她坦言，這些電信業者，雖然對於5G建設很積極，但是對於5G資安議題卻不是那麼清楚。後來，NCC先在這份計畫書中框列了17個項目，要求業者確實落實執行，再搭配自述方式，了解他們會如何做好資安防護，另外還設計出一個參考框架，讓這些業者可以很快聚焦到須關注的重要5G資安議題上。

她也提到5G網路圍繞的8大資安議題，包括有軟體開發與品質控管、軟體更新安全、供應鏈安全管理、資安落實OT、MEC邊緣運算、隱私保護，以及5G專網。除了不要用到禁止的網路設備軟硬體外，她特別強調，5G業者也須做到透明度，來完善供應鏈安全管理，另外，她也提醒，電信或服務業者需謹慎使用開源軟體，尤其在使用前須檢查其安全性，確認沒問題才拿來用。

又以5G專網為例，即使將網路從5G電信商搬到企業家裡，一樣會有資安風險，舉例來說，當以後智慧工廠生產流程，都是透過5G專網做訊息傳遞與機臺控制，也同樣可能成為攻擊的標的，例如駭客可能透過訊號干擾方式，而阻斷工廠5G訊號傳遞，嚴重可能導製整座工廠產線受牽連，生產延遲後果，就容易造成財產上損失。

相關報導請見：臺灣資安大會直擊（上）資安將是臺灣新戰略產業