前NCC委員孫雅麗：企業建置5G專網不可忽視資通安全，5項安全議題要注意

「5G除了公眾網路，也是因應企業在數位轉型過程通訊需求的重要驅動力，5G的價值就在服務垂直應用領域」，臺灣大學資管系專任教授，過去曾任NCC委員的孫雅麗說。

目前全球5G標準仍在演進中，現今的5G公眾服務主要基於3GPP R15標準，強調大頻寬（eMBB），孫雅麗表示，這是第一階段，更重要的是第二階段才是開啟5G的新紀元，2020年通過的3GPP R16，還有在今年6月通過的R17，高效能、可靠性、超低延遲及邊緣運算，才能真正發揮5G在垂直應用領域的價值。

5G專網成為驅動企業轉型的重要通訊技術，除了各國投入企業專網，臺灣也不落人後。今年7月，NCC已公告行動寬頻專用電信網路的管理辦法草案，供企業未來申請專網使用頻段的依據，目前該草案正在公告階段，未來只要開放申請，企業就能依據管理辦法，向NCC申請專用頻段以建置5G專用網路。孫雅麗在NCC委員任內參與草案規畫，熟悉管理辦法草案的她從學者角度，看國內5G專網法規面、架構及資安挑戰。

孫雅麗表示，德國、法國、香港、日本都有專用的頻段讓企業建置專用5G網路，臺灣目的是推動數位產業、數位經濟及數位企業。政府預計釋出的專用頻段為4.8到4.9GHz的100MHz頻寬，作為5G專網頻譜使用。目前已開放企業PoC驗證建置實驗網路，預估在今年底完成釋照。由於該頻段為和諧共用，必需確保互相不干擾正常運作。

企業建置5G專網不可忽視資通安全

依據公告的行動寬頻專用電信網路管理辦法草案第4條，依專網設置用途分為公共服務網路、自用網路2種，其中申請自用網路需提出網路設置計畫，說明設置的目的、用途、應用情境、場域範圍、無線電頻率使用規畫等，其中也包括防干擾規畫，孫雅麗認為，干擾將是設置專網很重要的資安疑慮，如果有心人特意干擾台積電的專網，影響台積電的正常運作就會造成不小的損失。

過去對專用電信網路不允許連接公眾電信網路，然而，NCC考量到數位時代，企業應用需要連接雲端運算、儲存等資源，因此草案開放專用電信網路可連接雲端。孫雅麗表示，企業建置專用電信網路自行使用，不只是涉及企業自己的利益，也關係到產業的穩定，專網使用國家的頻譜，也悠關國家的經濟、安全，因此草案也要求專頻專網的電信設備，必需符合國家安全考量。

事實上，國內早在4G時代就基於國家安全，禁止國內電信業者採購中國的電信設備，後來隨著美中關係緊張，美國禁止電信商使用中興、華為等中國的設備，英國也宣佈禁用華為的5G設備。依據行動寬頻專用電信網路管理辦法草案，不只是電信商禁用中國的電信設備，國內企業建置5G專案也要考量國家安全。

孫雅麗也提醒，專網的網路架構除了可連接雲端，尚有許多網路營運管理的問題，值得注意可能帶來的資安威脅及風險。

因此在管理辦法草案中，要求設置自用網路者如為上市、上櫃公司，需提出資通安全維護計畫經主管機關審核，維護計畫需包括資通安全的目標及維護範圍、專責組織、風險評估、防護及控制措施、安全事件通報機制等，如果非上市櫃公司，只要檢具資通安全維護計畫供主管機關備查即可。

由於使用無線頻譜資源建置網路，依法電信商需提出資通安全計畫，在企業專網管理辦法中，企業也不例外。

孫雅麗表示，上市、上櫃企業需對股東負責，其正常運作不只是自身的利益、商譽，也關乎產業穩定、國家安全，提出資通安全維護計畫供主管機關審核，同時也呼應金管會對上市櫃公司要求設立資安長的政策。而相較於電信商提出資通安全維護計畫，內容要求較嚴格，有較多的項次，為了減輕企業申請專頻專網的負擔，NCC簡化企業申請建置專用電信網路的資通安全維護計畫項次，保留基本要求，例如對專網維運的最小安全風險評估、控管、安全事件通報機制。

5G在垂直場域的應用之一是，工業物聯網在工廠自動化的應用，孫雅麗指出，自動化不是只有不開燈工廠，更重要的是追求智慧化，而工廠內的工具機對網路有高頻寬、低延遲的連線需求，才能達到彈性製造、無線連網的需要。過去，因為Wi-Fi訊號不夠穩定，斷訊可能導致工安或生產品質的問題，而4G在頻寬、延遲、移動及安全可能也無法滿足需求，因此過去大多使用有線的方式連網。

「未來智慧製造趨勢有幾項要求，連線、即時監控、高穩定度，以及牽涉到營運所需要的安全」，孫雅麗說。企業使用的網路一旦遭入侵，不僅可能造成企業的財務、商譽損失，更可能影響到產業穩定、國家的安定及社會經濟，因此5G專網的安全也涉及國家安全。

以一座強調時間延遲（time critical）設計的智慧工廠為例，部署IIoT 5G及MEC網路，各式各樣連網設備，例如工控系統、AGV、攝影機、AR/VR、員工穿戴裝置等，經由5G基地臺連到5G核網，再經由UPF（User Plane Function）連接邊緣雲MEC系統，由MEC上執行數個控制服務，包括AGV控制、機器手臂控制、影像AI分析、IIoT等。

5項安全議題不可忽視

從此一IIoT 5G與MEC部署的案例來看，孫雅麗認為有5項相關安全議題值得關注，包括整合存取及身分管理、UPF的流量控制管理、持續即時監控營運及登入、第三方代管5G核網、第三方代管邊緣運算。

整合存取及身分管理部分，5G專網在使用者端是利用SIM或eSIM認證終端設備5G接取的使用權，一旦SIM卡被抽出，使用在陌生的設備就可能造成安全問題，因此除了SIM卡認證，也要對終端設備進行認證，避免非授權設備透過SIM卡連至5G專網。更進一步強化專網的接取安全，還要對終端設備上的應用、邊緣運算上的應用進行認證，同時要一對一綁定，換言之，在終端設備上的某項應用，只能接收邊緣運算伺服器某項應用的指令，即不能有通過認證的終端設備連到不該連的邊緣運算伺服器及應用。

UPF在5G中負責傳遞封包，是5G及下一代網路以服務為基礎（Service based architecture）架構的關鍵部分，UPF的使用者流量控制，負責封包路由及QoS服務品質控制的角色，控制資源管理、上傳分類，確保某些應用服務獲得高頻寬、低延遲的網路品質。

UPF在5G專網控制使用者流量、QoS的服務品質，在專網的資通安全重要性上不容忽視：

孫雅麗指出，確保UPF的安全，應該避免非授權的終端設備或應用接取後端的MEC伺服器，反之亦然，後端的MEC伺服器如果被入侵，無法任意下指令讓機器手臂斷線，影響整個生產線。由於UPF的流量控制、路由組態設定，是透過MEC，經核網的SMF（Session Mgmt Func）來設定，因此要確保UPF的安全，需保護MEC到核網間所有元件的運作安全。確保所有元件不被入侵，包含終端設備不被偽造，中間的訊息交換安全。

另外，因資安威脅無時無刻存在，5G專網必需要持續的即時監控營運及登入是否出現異常，包括時刻追蹤現在的組態設定是不是如預期的正常運作、偵測威脅，以及確認安全控管措施是否失效或是沒有完善之處，並評估安全團隊預防或快速應對資安威脅的能力。

考量到企業可能缺乏經驗、技術建置及管理5G專網，行動寬頻專用電信網路管理辦法草案讓企業可委託第三方管理5G核網，孫雅麗指出，受委託的業者必需可信任，具備足夠的資安能力，且可以保護客戶的資料隱私，還有具管控能力，企業雖可委託第三方管理其5G核網，但並不是所有事都交給被委託廠商就好了，企業也要知道委外廠商如何防護專網安全，發生什麼異常情形等等。相同地，企業如將MEC邊緣雲委託第三方管理，也同樣必需委託給信賴的業者，知道委外業者如何確保邊緣雲安全、確保客戶資料隱私，以及具管控能力。

她表示，5G專網對企業推動數位化而言，帶來的優勢以提升效率，被視為改變遊戲（Game Changer）的關鍵。5G專網在規畫、部署、運作、維運的複雜，企業計畫導入應該好好思考是否具備導入的能力，雖然市場上有專網服務商、設備供應商、系統整合商，甚至第三方代管，不論是否委外，導入專網的企業都應對專網的具備管控能力，企業不該忽視專網的安全，專網的安全不只對企業而言，對國家安全、整體社會經濟的穩定也很重要。