釐清物聯網資安規範 安華聯網協助客戶與國際接軌

2021/06/22 - DIGITIMES企劃

經過將近10年的發展，物聯網在各領域的落地開始加速。不過，在帶來便利生活、提升企業效率的同時，資安問題也逐漸浮現。因此安華聯網技術長劉作仁特別提醒台灣廠商，除了滿足上市時程與產品效能外，還需符合國際資安規範，才能順利搶攻全球物聯網市場。在「邁向國際--物聯網產品安全如何國際接軌」演講中，他針對目前各國的主流資安標準與廠商申請認證時常見的問題，提出相關看法。

劉作仁指出，目前歐洲、美國、日本等三大市場，都已制定出資安標準與認證規範。其中歐洲在2019年通過安全法(Cybersecurity Act)，資通訊產品認證分為Basic、Substantial、High等三種層級，目前還沒有各層級對應的資安標準，但是在Basic Level可能對應的要求為ETSI EN 303 645、Substantial Level則是IEC 62443-4-1與IEC 62443-4-2、High則要通過CC EAL 4+。至於美國較知名的是SB-327，此條例針對設備密碼設置特殊要求，其用意是避免所有裝置都使用相同的預設密碼，降低駭客使用預設密碼取得設備控制權限的機率。

另外美國食品藥品監督管理局(FDA)，也在2018年公告醫療設備上市前網路安全要求的草案，並且要求在產品上市後，還要持續符合第三方單位的安全要求。日本則是於2019年修正IoT產品防護對策，並在電氣通訊事業法中，加強資安要求。

除了各國的規範外，國際認證單位的資安標準條例也逐漸完備，為了符合相關要求，各大品牌廠商開始要求旗下供應商的產品，必須通過指定的認證法規。在所有認證標準中，ISO 15408屬於共通標準，從產品設計、開發到生產，在不同環節都需有對應的文件與相關技術水準，此標準的認證最為嚴僅，成為多數大型跨國品牌企業以及歐美政府採用或參考的標準，而其供應商也須依循此標準並取得認證，才有機會成為合格且具國際水準的供應商。

除了ISO 15408這類通用標準外，還有針對不同產業與設備的標準，像是要求密碼演算法與模組必須符合國際規範的FIPS 140-3、工控領域近年最熱門的工業通訊資安標準IEC 62443、聚焦於車載系統的 IS0 21434，都是目前常見的認證要求。

劉作仁彙整各協會的認證條例後指出，這些條例的共通點包括風險管理、軟體更新、密碼設置與產品弱點通報等五大項，他表示對台灣製造業者而言，這些資安條例是較為陌生的領域，因此在設計與認證時不易找出重點，他建議企業可善用外部專業力量，加速產品認證時程。

劉作仁表示，安華聯網深耕標準認證領域多年，不僅有通過各大標準機構與大廠認證的實驗室，還有完整的專業團隊，以ISA/IEC 62443標準為例，目前官方在全球總計發出的17張證書中，該公司就擁有6張，由此可見其專業實力。除了認證之外，安華聯網也提供諮詢服務與訓練課程，協助企業充分掌握相關條例的重點，並藉此培養內部種子教師，藉此建構強大的資安法規認知，順利與國際標準接軌。


圖說：ISA/IEC 62443官方在全球總計發出的17張證書中，安華聯網就擁有6張，展現其專業實力。(DIGITIMES)


圖說：為了強化物聯網系統安全，歐、美、日等國家近期紛紛制定出相關資安規範。(安華聯網)


圖說：各協會的資安認證共通點包括風險管理、軟體更新、密碼設置與產品弱點通報...等項目。(安華聯網)


圖說：物聯網的資安防護，必須從設計階段就開始，後續的各環節也各有需要注意的重點。(安華聯網)