華邦助力GlobalPlatform型塑物聯網資安標準

GlobalPlatform和華邦電子共同舉辦IoT Security and Certification Schemes Workshop引領建構資安生態系統。

物聯網技術因為多樣化連網技術的濫觴，連網電子裝置數量不斷攀升，「萬物互連」的理想情境也近在咫尺，雖然情景看好，但是也面臨更廣泛的安全管理風險與更嚴峻的資訊安全的挑戰，搭配5G商轉與各式各樣的人工智慧的加乘效應，物聯網裝置出現的漏洞讓駭客得以挾持或控制關鍵的資產，造成企業與一般消費者使用物聯網時，產生疑慮，同時造成物聯網的成長產生鈍化的現象，解決物聯網世代的資安防護與探討可行的解決方案，成為重要的議題。

致力於數位服務和設備相關國際安全標準的非營利機構GlobalPlatform和華邦電子(Winbond Electronics Corporation)於2020年8月25日在新竹喜來登飯店舉辦IoT Security and Certification Schemes Workshop，並攜手Arm和工業技術研究院(ITRI)共同合作執行，透過這個研討會讓產業界瞭解GlobalPlatform所推動安全元素(SE)和可信執行環境(TEE)技術發展動態，並同步獲得歐美國家與各地區對於網路安全標準和政策的資訊，深入瞭解GlobalPlatform對資安風險評估和認證計畫的內容，型塑物聯網安全架構，以幫助與支援設備製造商，做好資訊安全防護的充分準備。

GlobalPlatform執行總監Kevin Gillick先生透過網路視訊發表開場致詞，他首先感謝華邦電子與Arm、ITRI團隊的協助，促成這個半實體半網路研討會的舉行，他認為應對物聯網資安挑戰是一個產業界與政府群策群力的合作關係，全球估計至2025年將有754億台連網裝置，這個天文數字讓網路安全的威脅有增無減。

為了提供物聯網產業發展有一個更堅實穩靠的基礎，Gillick強調部署一個足夠安全 (secure enough) 的安全性架構的重要性，所以他提點安全評估方法和認證的重要價值，透過與國際物聯網資安組織接軌，以及了解各國資訊安全相關的法規與產業標準的動向，從而得以在關鍵垂直行業中，部署可信賴的物聯網資安解決方案，這是GlobalPlatform本次研討會的主軸。

GlobalPlatform是一個致力於數位服務和設備相關國際安全標準的非營利機構，成立20年，有超過80個核心會員，重要的成員都從產業而來，並合作發展資訊安全標準規範和產品認證計畫，以滿足物聯網服務供應商需求的資訊安全，保護應用程式開發人員確保服務免受攻擊，同時讓使用者確信資料的安全。

5G時代信任鏈(Chain of Trust)架構　保障資訊安全與隱私權的根本

國家通訊傳播委員會委員孫雅麗博士的開場演說，她特別強調5G寬頻網路在驅動並促成產業數位轉型與升級，協助國家、社會及企業創造出更多創新應用服務，開創下一波經濟榮景，扮演著促成者與推動者(Enabler)的角色。所以世界經濟論壇(WEF)將5G視為是第四代工業革命，更是實踐萬物聯網願景的關鍵基礎建設。

5G網路的架構為了具備足夠以服務為導向的彈性與快速反應，採取網路功能軟體化以及導入各種新興ICT運算與網路技術。5G網路安全不但是世界各國所重視的重要課題，當中牽涉到包含5G網路治理、可信賴的軟硬體與供應鏈、可信賴的營運與管理、可信賴的端到端整體網路的運作，以及整合資安防護與網路運作機制等重要範疇。

無論是5G網路設備系統或是物聯網裝置，從資安防護的角度，有兩個重要的特性：這些設備與裝置可能是許多軟硬體元件的複雜組合，以及其涉及多個利益相關者(例如硬體製造商、軟體開發商、行動業者、使用者、資料擁有者等)的參與。所以她以兩個關鍵的問題來讓連網裝置或設備的所有者如何簡單地判斷裝置安全與否，第一，裝置所組成的軟硬體是否是通過可信賴的供應鏈採購？第二，所有者是否對其裝置或設備擁有正向控制 (Positive control) ?

主題演講所導引出幾個核心結論，首先，5G網路資訊安全能力的建立，必須仰賴網路營運商、服務供應商與政策制定機構三方的通力合作，第二，針對物聯網的資訊安全的建立，必須從具備信任根(Root of Trust)的硬體裝置為基礎，接續與韌體、作業系統、應用軟體等各個環節相整合以建立信任鏈(Chain of Trust)的架構，才能形成抵禦資安攻擊的根本架構。

台灣成為國際信賴、安全元件及設備的供應商

工研院院長劉文雄博士指出，後疫情時代催生數位經濟提早到來，也讓物聯網網路安全與供應鏈管理成為重要課題，台灣更有機會藉此於國際市場版圖佔有一席之地。劉文雄從分析目前IoT資安威脅與攻擊型態引言，他指出新型態模式往往以大規模攻擊開始，採取大量攻擊面與複雜繁複的攻擊執行計劃，而讓社會付出高昂的成本。

台灣因為半導體與電子製造供應鏈在全球物聯網產業扮演重要的角色，透過國際品牌客戶嚴謹的資安要求，再加上台灣經歷頻繁的世界級的資安攻擊的環境，以及國際品牌客戶嚴謹資安要求，讓台灣資安產業極具發展潛力與機會，包括在技術面，工研院攜手廠商在技術上，導入專門供應鏈安全監控系統、執行軟體安全診斷以確保軟體安全性，並利用獨立系統來防止硬體、軟體在移交過程中被篡改等防護手段。以伺服器製造業者為例，其進行IT和OT資安標準的稽核，確保採購之晶片未被寫入非授權的軟、韌體內容，還有物流夥伴提出資安合規認證等跨供應鏈的資安防護措施。

台灣廠商在國際市場不論從晶片到終端產品，成為解決方案供應商。產品面將可提升認證能力，成為國際品牌值得信賴的設備製造商，例如物流夥伴資安合規證明、晶片軟韌體授權認證等。台灣已逐漸發展出多元資訊安全防護產業，造就資安產業與相關的供應鏈，有利於全球供應鏈安全標準生態系逐漸成形，工研院期盼推動台灣的產品供應鏈成為國際信賴、安全元件及設備的供應商。

建立物聯網資安生態系統，打造物聯網時代的安全台灣

傳統觀念的思維，安全顧慮是擁有較多資源者的專屬。在IoT萬物聯網時代，科技發展與生活應用廣泛的連結，創新的架構與裝置，持續發展出超乎想像的價值與機會。每個人珍惜的有形與無形資產，都可轉變成儲存在網路世界中的數位訊息，每個人的資產安全需求通過平台而平等化了。在IoT的生態系統下，聯網工具成為個人有形與無形資產的入口，人人關心如何通過維護資訊安全以達成保護資產安全的時代已經來臨。

IoT的概念是萬物聯網，但相較於電腦與手機的軟硬體架構趨於成熟有序，物聯網的資安生態系統處於萌芽階段。基於應用與連結的架構多樣複雜且具有彈性，所有裝置都可聯網，成為IoT世界的萬物之一，我們需要消費者具備物聯網世代的安全概念，我們需要產業界有安全技術，我們需要政府的安全標準，我們需要認證機制。萬物聯網的安全生態系統，需要社會全員的共同參與。

華邦是程式碼儲存記憶體的領導供應商，新唐則專注在微控制器以及伺服器等解決方案。這兩種元件，都是人類決定如何指揮機器的關鍵元件。從物聯網的角度來看，從最底層的半導體元件，到電子裝置，通訊連結，雲端服務，一直到終端應用，每一層次都有對應的安全需求與技術。半導體產品是建立信任根(Root of Trust)的基礎，也是打造信任鏈(Chain of Trust)的重要起點。

華邦電子董事長焦佑鈞參加IoT Security and Certification Schemes會議時，表示如上並期許：台灣是全球半導體製造的重鎮，有完整的電子產業供應鏈，具備建立國際物聯網資安生態系統的基礎，與建構完整的物聯網安全產業鏈的優勢。華邦電子成為GlobalPlatform會員，深入資訊安全規範制定，參與物聯網資安防護生態系統建立，致力服務全球客戶提供資安半導體解決方案。我們會與台灣產業鏈合作，與政府相關單位合作，同心推動「物聯網時代的安全台灣」。