【臺灣資安大會直擊】5G最大價值在垂直場域，NCC正研擬5G專網管理辦法

國內正加速5G網路建設，隨著網路涵蓋率逐漸提升，不少企業對5G專網(5G private network)感興趣，其中政府準備釋出專頻供企業架構專網，目前已有業者展開實驗。今年資安大會第二天主題演講中，NCC委員孫雅麗揭露，NCC正研擬專網管理辦法，並提醒外界應正視專網潛在的資安風險。

全球行動電信市場從2020年加速步入5G時代，臺灣也在2019年首次啟動5G頻譜釋出作業，2020年初完成頻譜釋照，去年6月底中華電信搶下頭香，搶先其他業者之前先一步提供5G服務，爾後，其他電信業者也在下半年間先後開臺，臺灣行動通訊市場正式邁入5G時代。為了讓5G儘快普及，今年政府祭出數百億元的5G標金，補助電信業者加速基地臺建設，以加速加量方式，期望能擴大國內5G網路涵蓋。

儘管5G帶來比4G更快的網速，讓消費者在追劇、玩遊戲、直播有更好的體驗之外，但5G的潛力不僅於此。「5G是一種賦能科技，是帶動產業數位轉型的驅動力。5G通訊的最大價值在於垂直場域，包括智慧工廠(Smart Factory)、智慧健康(Smart Healthcare)、智慧城市(Smart City)等各種Smart X的智慧化應用」，孫雅麗說。

外界多看好5G在非公眾網路(non-public network)潛力，即在企業的特定場域中建置5G專用網路。3GPP對非公眾網路定義為供專屬單位(例如企業)單獨使用，以虛擬或實體方式組態布建，可以布建為完全獨立網路，或是公眾電信網路(PLMN)或以公眾電信網路切片提供非公眾網路。

研擬我國專網管理辦法

以目前專網的兩種建置方式來看，第一種是以電信業者競標取得的商業頻率及網路提供場域使用，也就是共頻專網，第二種是申請專用頻率，建立完全獨立網路，隔離、自主獨立運作的「行動寬頻專用電信網路」，即專頻專網。其中，第一種布建方式，隨著去年國內電信業者以商業頻率，開通5G服務，目前已開始提供5G共頻共網服務，而第二種方式，行政院在2019年拍板定案，準備在2020年到2021年之間釋出，規畫釋出4.8到4.9GHz的100MHz頻寬，國內已開放申請進行PoC的場域實驗。

按現行電信管理法，依是否使用專頻專網，有不同的監管法規，第一種布建因是以公眾網路提供企業5G網路，按電信管理法規管，而第二種布建方式，因採用專頻專網建置專用的電信網路，NCC正擬定行動寬頻專網管理方法，以訂定企業專頻專網的義務及責任。

現行法規對專網使用的限制

孫雅麗透露制定中的行動寬頻專網管理方法部分方向，例如現行的電信法規對專網使用設有限制。依據電信管理法，原則上，專用電信網路是不能連接公眾電信網路，或是設置目的之外的使用。

儘管如此，企業如果在臺北、高雄兩地各自建設專網，中間以VPN虛擬專線作為兩地專網的通訊，孫雅麗認為，因VPN連線至internet接取企業網路，並沒有透過internet連接第三地或其他服務，用途僅在不同專網間的通訊應無禁止的必要。

而上下游供應鏈間使用多個專網，彼此間以VPN連接交換資料，因用途僅作為企業與企業之間，不同地點的通訊，孫雅麗表示，未來在行動寬頻專網辦法中，沒有禁止連接公眾網路的必要。

而企業在雲端進行資料分析的需求之下，將資料蒐集儲存在雲端，中間需要連接公眾電信網路進行數據傳輸，考量到可能是企業運作的方式之一，依照電信管理法第50條第5項，得由NCC以專案核准方式，同意企業專網連接公眾電信網路。

另外，企業布建專網及管控也有不同的方式，例如5G基地臺、MEC、核心網路等設備都建置在大型企業的場域，由企業自行管理維運，或是5G基地臺、MEC、核心網路等設備都建置在企業的場域，但維運管理都在雲端，委托給業者，中小型企業的布建方式，將資料傳輸留在場域，控制及管理都在雲端。

在電信業者以商用頻段提供企業專網服務(國內為3.5GHz及28GHz兩個頻段)，電信業者主要提供4種共頻專網建置方式，包括以網路切片提供專網，只在企業場域建置基地臺，以及在企業場域建置基地臺與MEC，還有在企業場域建置完整的基地臺、MEC、核網的小型獨立網路。

孫雅麗指出，未來在擬定專網管理辦法時，應將企業運作及布建的方式一併納入考慮。

NCC也同時參照國際上各國對5G專網的監理做法，例如法國、德國、香港、英國、日本釋出的專頻專網頻段，有的地區釋出低頻段，也有的釋出高頻段供專頻專網使用，各國對專頻專網的監理政策也有差異，例如排除取得商用頻段的電信業者或全國性電信業者申請，專網的網路涵蓋範圍，以及是否能連接公眾電信網路等等。

應重視5G專網相關的資安議題

然而，孫雅麗認為，各國對專網的法規及監理做法上缺少一塊拼圖，那就是對資安議題的重視。

她以總統過去提出的資安即國安1.0為例，政府投入資源，確保8大關鍵基礎設施的資通安全，但有不少資安事件發生在私部門，如同總統所言，公私領域協力合作變得很重要，特別是對國家而言，重要的產業，資安的維護更是重中之重。當進入數位時代，數位升級，完全自動化及智能化，所曝露的威脅和風險將會更大。

未來有幾個值得重視的資安議題，例如在5G專網下，如何確保連接專網的用戶裝置(User Equipment, UE)是安全的，可被信賴的，在5G的大規模連網、低延遲特性下，用戶可能並非是人，而是機器設備，企業要如何確保接入專網的設備是安全的、來自可信賴的供應鏈，設備裝置上執行的應用是否安全。

UE的安全性，有兩項重要的議題：如何避免不被授權的裝置連結5G專網？如何在5G專網中驗證連結裝置？

第一個議題衍生相關的問題，例如，過去由電信商提供SIM卡，以作為用戶身分識別的依據，未來在5G專網下，SIM卡可能更換頻繁，如何確保SIM卡的製作是安全的？或是合法的SIM卡轉至非法的設備使用，還有SIM卡可能被複製，濫用於存取5G專網等等。

第二個議題則關係到裝置的身分認證機制，目前已有一些建議採用PKI的身分認證架構。

至於5G的大規模連結，帶動大量的IoT裝置連結5G專網，應如何確保IoT裝置的身分安全？孫雅麗建議採Security by design的思維，採用Root of Trust（RoT），尤其是獨立硬體如安全元件，從根本上確保IoT裝置的身分安全，從硬體、韌體向上到作業系統、應用、數據，層層建構信賴鏈(Chain of Trust)。

未來，5G帶動萬物聯網，但IoT裝置布署環境多變且複雜，其資安防護不比IT設備，使裝置曝露更多的安全威脅，更易受到攻擊，她引用NIST的文件，未來在物聯網時代，IoT設備製造商對裝置的安全是有責任（例如設計安全元件、修補漏洞），並非單靠使用者自己去防護。

另外，企業5G專網，如涵蓋室外的環境，則容易受到節訊號壅塞攻擊（Signal Jamming Attack），大量的非法訊號阻斷攻擊，可能使得仰賴5G專網的工廠自動化被癱瘓。

目前國內即將釋出的專頻專網，正在公開徵詢意見中，基於企業及業者的需求，政府也規畫3.7到3.8GHz（實驗頻譜）的專頻。「5G標準仍在持續演進中，未來期待5G成為帶動國家發展的重要驅動力」，孫雅麗說。