「5G除了公眾網路,也是因應企業在數位轉型過程通訊需求的重要驅動力,5G的價值就在服務垂直應用領域」,臺灣大學資管系專任教授,過去曾任NCC委員的孫雅麗說。

目前全球5G標準仍在演進中,現今的5G公眾服務主要基於3GPP R15標準,強調大頻寬(eMBB),孫雅麗表示,這是第一階段,更重要的是第二階段才是開啟5G的新紀元,2020年通過的3GPP R16,還有在今年6月通過的R17,高效能、可靠性、超低延遲及邊緣運算,才能真正發揮5G在垂直應用領域的價值。

5G專網成為驅動企業轉型的重要通訊技術,除了各國投入企業專網,臺灣也不落人後。今年7月,NCC已公告行動寬頻專用電信網路的管理辦法草案,供企業未來申請專網使用頻段的依據,目前該草案正在公告階段,未來只要開放申請,企業就能依據管理辦法,向NCC申請專用頻段以建置5G專用網路。孫雅麗在NCC委員任內參與草案規畫,熟悉管理辦法草案的她從學者角度,看國內5G專網法規面、架構及資安挑戰。

孫雅麗表示,德國、法國、香港、日本都有專用的頻段讓企業建置專用5G網路,臺灣目的是推動數位產業、數位經濟及數位企業。政府預計釋出的專用頻段為4.8到4.9GHz的100MHz頻寬,作為5G專網頻譜使用。目前已開放企業PoC驗證建置實驗網路,預估在今年底完成釋照。由於該頻段為和諧共用,必需確保互相不干擾正常運作。

企業建置5G專網不可忽視資通安全

依據公告的行動寬頻專用電信網路管理辦法草案第4條,依專網設置用途分為公共服務網路、自用網路2種,其中申請自用網路需提出網路設置計畫,說明設置的目的、用途、應用情境、場域範圍、無線電頻率使用規畫等,其中也包括防干擾規畫,孫雅麗認為,干擾將是設置專網很重要的資安疑慮,如果有心人特意干擾台積電的專網,影響台積電的正常運作就會造成不小的損失。

過去對專用電信網路不允許連接公眾電信網路,然而,NCC考量到數位時代,企業應用需要連接雲端運算、儲存等資源,因此草案開放專用電信網路可連接雲端。孫雅麗表示,企業建置專用電信網路自行使用,不只是涉及企業自己的利益,也關係到產業的穩定,專網使用國家的頻譜,也悠關國家的經濟、安全,因此草案也要求專頻專網的電信設備,必需符合國家安全考量。

事實上,國內早在4G時代就基於國家安全,禁止國內電信業者採購中國的電信設備,後來隨著美中關係緊張,美國禁止電信商使用中興、華為等中國的設備,英國也宣佈禁用華為的5G設備。依據行動寬頻專用電信網路管理辦法草案,不只是電信商禁用中國的電信設備,國內企業建置5G專案也要考量國家安全。

孫雅麗也提醒,專網的網路架構除了可連接雲端,尚有許多網路營運管理的問題,值得注意可能帶來的資安威脅及風險。

因此在管理辦法草案中,要求設置自用網路者如為上市、上櫃公司,需提出資通安全維護計畫經主管機關審核,維護計畫需包括資通安全的目標及維護範圍、專責組織、風險評估、防護及控制措施、安全事件通報機制等,如果非上市櫃公司,只要檢具資通安全維護計畫供主管機關備查即可。

由於使用無線頻譜資源建置網路,依法電信商需提出資通安全計畫,在企業專網管理辦法中,企業也不例外。

孫雅麗表示,上市、上櫃企業需對股東負責,其正常運作不只是自身的利益、商譽,也關乎產業穩定、國家安全,提出資通安全維護計畫供主管機關審核,同時也呼應金管會對上市櫃公司要求設立資安長的政策。而相較於電信商提出資通安全維護計畫,內容要求較嚴格,有較多的項次,為了減輕企業申請專頻專網的負擔,NCC簡化企業申請建置專用電信網路的資通安全維護計畫項次,保留基本要求,例如對專網維運的最小安全風險評估、控管、安全事件通報機制。

5G在垂直場域的應用之一是,工業物聯網在工廠自動化的應用,孫雅麗指出,自動化不是只有不開燈工廠,更重要的是追求智慧化,而工廠內的工具機對網路有高頻寬、低延遲的連線需求,才能達到彈性製造、無線連網的需要。過去,因為Wi-Fi訊號不夠穩定,斷訊可能導致工安或生產品質的問題,而4G在頻寬、延遲、移動及安全可能也無法滿足需求,因此過去大多使用有線的方式連網。

「未來智慧製造趨勢有幾項要求,連線、即時監控、高穩定度,以及牽涉到營運所需要的安全」,孫雅麗說。企業使用的網路一旦遭入侵,不僅可能造成企業的財務、商譽損失,更可能影響到產業穩定、國家的安定及社會經濟,因此5G專網的安全也涉及國家安全。

以一座強調時間延遲(time critical)設計的智慧工廠為例,部署IIoT 5G及MEC網路,各式各樣連網設備,例如工控系統、AGV、攝影機、AR/VR、員工穿戴裝置等,經由5G基地臺連到5G核網,再經由UPF(User Plane Function)連接邊緣雲MEC系統,由MEC上執行數個控制服務,包括AGV控制、機器手臂控制、影像AI分析、IIoT等。

5項安全議題不可忽視

從此一IIoT 5G與MEC部署的案例來看,孫雅麗認為有5項相關安全議題值得關注,包括整合存取及身分管理、UPF的流量控制管理、持續即時監控營運及登入、第三方代管5G核網、第三方代管邊緣運算。

整合存取及身分管理部分,5G專網在使用者端是利用SIM或eSIM認證終端設備5G接取的使用權,一旦SIM卡被抽出,使用在陌生的設備就可能造成安全問題,因此除了SIM卡認證,也要對終端設備進行認證,避免非授權設備透過SIM卡連至5G專網。更進一步強化專網的接取安全,還要對終端設備上的應用、邊緣運算上的應用進行認證,同時要一對一綁定,換言之,在終端設備上的某項應用,只能接收邊緣運算伺服器某項應用的指令,即不能有通過認證的終端設備連到不該連的邊緣運算伺服器及應用。

UPF在5G中負責傳遞封包,是5G及下一代網路以服務為基礎(Service based architecture)架構的關鍵部分,UPF的使用者流量控制,負責封包路由及QoS服務品質控制的角色,控制資源管理、上傳分類,確保某些應用服務獲得高頻寬、低延遲的網路品質。

UPF在5G專網控制使用者流量、QoS的服務品質,在專網的資通安全重要性上不容忽視:

孫雅麗指出,確保UPF的安全,應該避免非授權的終端設備或應用接取後端的MEC伺服器,反之亦然,後端的MEC伺服器如果被入侵,無法任意下指令讓機器手臂斷線,影響整個生產線。由於UPF的流量控制、路由組態設定,是透過MEC,經核網的SMF(Session Mgmt Func)來設定,因此要確保UPF的安全,需保護MEC到核網間所有元件的運作安全。確保所有元件不被入侵,包含終端設備不被偽造,中間的訊息交換安全。

另外,因資安威脅無時無刻存在,5G專網必需要持續的即時監控營運及登入是否出現異常,包括時刻追蹤現在的組態設定是不是如預期的正常運作、偵測威脅,以及確認安全控管措施是否失效或是沒有完善之處,並評估安全團隊預防或快速應對資安威脅的能力。

考量到企業可能缺乏經驗、技術建置及管理5G專網,行動寬頻專用電信網路管理辦法草案讓企業可委託第三方管理5G核網,孫雅麗指出,受委託的業者必需可信任,具備足夠的資安能力,且可以保護客戶的資料隱私,還有具管控能力,企業雖可委託第三方管理其5G核網,但並不是所有事都交給被委託廠商就好了,企業也要知道委外廠商如何防護專網安全,發生什麼異常情形等等。相同地,企業如將MEC邊緣雲委託第三方管理,也同樣必需委託給信賴的業者,知道委外業者如何確保邊緣雲安全、確保客戶資料隱私,以及具管控能力。

她表示,5G專網對企業推動數位化而言,帶來的優勢以提升效率,被視為改變遊戲(Game Changer)的關鍵。5G專網在規畫、部署、運作、維運的複雜,企業計畫導入應該好好思考是否具備導入的能力,雖然市場上有專網服務商、設備供應商、系統整合商,甚至第三方代管,不論是否委外,導入專網的企業都應對專網的具備管控能力,企業不該忽視專網的安全,專網的安全不只對企業而言,對國家安全、整體社會經濟的穩定也很重要。

熱門新聞

Advertisement