資訊安全TUVNORD以完整驗證服務助業者掌握商機

漢德公司IT事業群協理林家弘

在工業4.0、物聯網、雲端運算、自駕車、行動支付等全新應用帶動產業快速進展的同時，產品與系統的資訊安全也成為不可忽視的重要議題。因此，在既有的資訊安全管理系統ISO 27001標準之外，近來資訊技術安全評估共同準則(Common Criteria或CC)、以及工業自動化系統資訊安全IEC 62443等標準也已越來越受到業者的重視，甚至成為打入國際市場的必備條件。對此，TUV NORD漢德公司建構了完備的評鑑與驗證服務，以協助業者掌握全新的市場商機。

Common Criteria—從產品開發源頭就確保資訊安全性

TUV NORD漢德公司IT事業群協理林家弘表示，CC，亦即ISO/IEC 15408標準，早從1999年就定義完成，歷經多年演進，到2017年4月已正式發布v3.1 Revision 5版本。由於資訊產品安全議題日益受到重視，近年來此標準也開始普遍獲得採用。相較於一般消費者較熟悉的資訊安全問題是在使用端的防護，而CC對於資訊安全的需求則是從產品開發的整個生命周期開始，包括概念開發、功能性／高階設計、操作手冊、測試、生產、運送、操作等完整的過程，以確保生產過程中每個環節的資訊安全都能受到完全保護。

經過標準評估的產品可獲得「評估保證等級」(Evaluation Assurance Level；EAL)以判定產品之安全等級，EAL共有7個等級，最低等級為EAL1，最高等級為EAL7，EAL評等可以提供資訊產品使用者採購及使用的依據。

CC共定義了14個產品類別。據統計，截至2017年6月，14個產品類別共發出2,212張CC證書。其中，IC、智慧卡、以及智慧卡相關裝置與系統領域的數量最高，共佔1,061個，比例最高。若以EAL等級來看，數量主要集中在EAL 4~5+，共有1294個。針對台灣科技產業的特性，漢德也特別專注於推廣IC、智慧卡、以及智慧卡相關裝置與系統領域業者的CC認證。

此外，由於資訊產品若要通過CC驗證，評估過程必須要對於開發或製造的「場域」(Site)進行實地稽核，確保其過程的安全措施與管理機制足以保護設計資料及產品的評估標的(Target of Evaluation)。但對開發或製造商而言，不同客戶的產品驗證，其所代表的就是得配合不同客戶的安全產品通過CC的實地稽核驗證。為此，德國聯邦資訊安全局(BSI)制定了場域驗證(Site Certification)規範，提供產品製造廠商或代工場域可以單獨取得安全評估認證，以簡化重複稽核的時間與成本。

林家弘指出，一個場域取得認證後，只要該認證的服務內容、範圍與等級均符合客戶的安全產品要求，則此認證可直接運用在該場域製造的許多其他安全產品。不過，場域認證的期限是兩年，每兩年要重新評估1次。漢德從2014年開始在台推廣與驗證CC標準，包括，台積電、聯電、日月光、矽品、京元、矽格都已透過漢德的協助取得場域認證。

不過，他也坦承，雖然CC已經行之有年，但目前在台灣接受度尚未普及，主要是由於導入CC標準所需的成本與時間比一般的ISO標準高，除非客戶或政府有明確的採購規範與要求，否則業者導入的動機並不強烈。然而，隨著產品資訊安全的重要性日益凸顯，來自客戶端的要求已使得台灣業者欲打入國外市場時，也開始需要遵循CC標準。

林家弘強調，CC是全球趨勢，隨著資訊安全產品的增加並在亞洲製造，大陸、東南亞也開始重視此一標準。由於有更多的場域需要認證，TUV NORD樂觀看待亞洲製造環境對此標準的需求。憑藉著擁有德國最高等級的安全產品評估實驗室，全球CC產品評估市場極高的市場佔有率，與台灣專業的資安團隊， TUV NORD可以協助遍及亞洲、歐洲及美洲各地的客戶及客戶產品順利通過CC評估。

FIPS 140-2 ─ 密碼模組與演算法測試

林家弘同時提到，在美國、加拿大與台灣重要的政府機關在採購密碼應用相關的資訊產品或裝備時，皆要求產品供應商必須取得由美國國家標準與技術研究院NIST (National Institute of Standards and Technology)所核發的密碼模組驗證證明，而TUV NORD所建置的密碼模組檢測實驗室即是針對此標準，提供客戶密碼模組與演算法的檢測與顧問諮詢服務。該實驗室也是國內唯一取得NIST認可，具備 FIPS 140-2檢測密碼模組及演算法資格的實驗室(NVLAP lab code: 201038-0)，此殊榮更是展現出TUV NORD團隊在資安領域的專業能力。

協助客戶建立「工業4.0準備度」

另一方面，隨著工業4.0的發展，為了因應工業自動化與控制系統的資訊安全要求，近來也有IEC 62443國際電工委員會制定的標準，旨在提升企業內部流程與SCADA (Supervisory Control And Data Acquisition數據採集與監控系統)環境的數位安全性。遵循此標準，能為公司的生產環境流程提供更高的網路安全性，以抵禦各種駭客攻擊。

林家弘指出，安全性包含了資訊安全(IT Security)與功能安全(Functional Safety)兩種意涵，在物聯網趨勢下，自動化機台的資訊安全已與功能安全息息相關，對此，TUV NORD特別提出S4S(Security4Safety)的概念，這是一種安全觀念的整合，以建立全面性的風險評估。

因此，為因應工業4.0時代的來臨，對於許多已具備ISO27001或ISO9001標準系統認證的業者來說，可以再整合IEC 62443或 ISO 15408等產品／製程安全認證，以滿足完整的資訊安全與功能安全需求。未來，安全測試必須連同IT安全以及管理系統認證，才能建構完整的能力，以達成工業4.0準備度(Industry 4.0 Readiness)的目標。

林家弘解釋說，IEC 62443和 ISO 15408彼此有相關性，然而後者的層次較高。因此，業者可藉由先導入IEC 62443標準，再跨入ISO 15408，以建構更完善的資訊安全環境，並迎接新的市場機會。TUV NORD在台灣已累積了豐富的輔導經驗，結合客戶既有的管理機制，可協助客戶快速導入新標準。

最後，林家弘提到，在行動應用程式方面，雖然智慧型手機上的App已成為消費者不可或缺的生活必需品，但App的資訊安全與個資保護標準卻付之闕如，不像汽車、食物、甚至保健品都設有嚴格的審核與驗證機制。

針對App的資安保護，目前雖然尚未有國際標準，但各家驗證機構試圖透過參考相關規範，並結合自己的know-how，定義出手機App安全檢測的測試準則，希望以第三方角色，為消費者做把關，讓使用者下載App時能有更高的信賴感。

目前，TUV NORD已可為行動App提供可信賴的安全性測試，主要著重於檢測資料傳輸的加密與保護、認證機制、存取控制、以及資料儲存等。此外，針對雲端服務，TUV NORD也可提供歐洲雲服務聯盟(ECE)所推廣的StarAudit雲服務星級驗證稽核與訓練服務，以建立雲端服務供應商及其客戶或使用者間的信賴機制。

林家弘表示，雖然此市場才剛起步，但由於有越來越多的企業內部簽核與管理系統是以行動App的形式運作，或是透過雲端服務的架構提供使用者多元化的服務，對資訊安全有更高的需求，客戶的重視程度也遠比以前高。TUV NORD將因應產業對資訊安全議題的持續需求，提供先進與完整的驗證、檢測與顧問服務，以建構世界級的資訊安全環境。