NCC明年1月1日將成立國家級通訊軟體安全實驗室,將聚焦4大5G網路資安議題,更要建DevSecOps與資通安全分析檢測平臺。

圖片來源: 

攝影/余至浩

臺灣在7月第一家5G開臺後,不到一個月內,國內4家電信業者都推出5G服務,僅剩一家也將於第三季開臺。在今天(8/12)臺灣資安大會一場5G資安的演講上,NCC委員孫雅麗透露,明年1月初將成立國家級通訊軟體領域安全實驗室,來協助5G網路業者,與第三方服務商完成5G相關軟體安全測試,以確保其安全、可靠與韌性,未來還將聚焦4大5G網路資安議題,更要建DevSecOps與安全分析檢測兩大平臺。

有別於4G網路,5G採用新架構設計全新電信網路架構,對於電信業者來說,雖然在整體網路運營及服務提供上,帶來更靈活彈性的網路調度與管理方式,但也將以往企業資料中心網路架構存在的資安風險,一併帶進5G網路環境。尤其,未來很多5G服務與功能,都變成是軟體化架構,或以虛擬化方式提供網路服務,也帶來新的資安風險與威脅。

有鑒於5G資安對國家數位發展的重要性,孫雅麗也預告,NCC之後將會成立一個國家級通訊軟體領域安全實驗室,提供給5G網路業者,與第三方服務提供者來利用,用以補足業者在5G軟體安全檢測能力的不足,若是以後這些業者對使用軟體本身有安全性疑慮,就能將該軟體送交到實驗室來測試,藉由實驗室檢測,以確保其5G網路安全、可靠且具韌性,該實驗室預計明年1月1日正式啟用。

她表示,未來這個實驗室,將聚焦4大議題與兩大平臺。其中4大議題,依序是強化5G相關軟體系統與應用程式的安全性,並要建立軟體更新的安全管理機制,以及提供安全可信賴的5G網路供應鏈管理,最後則是加強對於用戶隱私保護的政策、制度、相關技術與防護措施。

再者,該實驗室還要建置兩大平臺,其中一個是5G安全軟體整合暨開發程序的平臺,也就是要將資安導入開發流程之中,做到DevSecOps,以及還有一個平臺是軟體系統資通安全分析及檢測平臺。更會有三大產出,除了有相關測試結果,會提供業者參考外,未來還將提供5G網路軟體系統建置與營運安全管理的參考框架、指引文件與機制,並會協助業者提高資安防護能量與能力,此外,除了提供檢測之外,也會有相關驗證的服務。

不只要透過這個通訊軟體安全實驗室來強化5G資安,其實早在5G開臺前,NCC就有依規定要求5G電信業者於開臺前,須提交資通安全維護計畫,說明對資通安全防護的整體規劃及架構,確保其5G系統是安全、可信賴。並且須經過NCC審議通過後,才准許業者開始布建5G。這份資通安全維護計畫,主要包括5G系統的資通安全防護政策、目標、範圍、措施等,以及相關時程、人力與資源配置、流程管理、風險評估及設置等事項。

孫雅麗表示,由於這是不同過去3G、4G的作法,因此,一開始,當她看到電信業者提交的計畫書後,連自己也嚇了一跳,「只用能慘來形容」她坦言,這些電信業者,雖然對於5G建設很積極,但是對於5G資安議題卻不是那麼清楚。後來,NCC先在這份計畫書中框列了17個項目,要求業者確實落實執行,再搭配自述方式,了解他們會如何做好資安防護,另外還設計出一個參考框架,讓這些業者可以很快聚焦到須關注的重要5G資安議題上。

她也提到5G網路圍繞的8大資安議題,包括有軟體開發與品質控管、軟體更新安全、供應鏈安全管理、資安落實OT、MEC邊緣運算、隱私保護,以及5G專網。除了不要用到禁止的網路設備軟硬體外,她特別強調,5G業者也須做到透明度,來完善供應鏈安全管理,另外,她也提醒,電信或服務業者需謹慎使用開源軟體,尤其在使用前須檢查其安全性,確認沒問題才拿來用。

又以5G專網為例,即使將網路從5G電信商搬到企業家裡,一樣會有資安風險,舉例來說,當以後智慧工廠生產流程,都是透過5G專網做訊息傳遞與機臺控制,也同樣可能成為攻擊的標的,例如駭客可能透過訊號干擾方式,而阻斷工廠5G訊號傳遞,嚴重可能導製整座工廠產線受牽連,生產延遲後果,就容易造成財產上損失。

相關報導請見:臺灣資安大會直擊(上)資安將是臺灣新戰略產業


Advertisement

更多 iThome相關內容