智慧應用 影音
電子時報行動版服務
活動+

釐清物聯網資安規範 安華聯網協助客戶與國際接軌

  • DIGITIMES企劃

ISA/IEC 62443官方在全球總計發出的17張證書中,安華聯網就擁有6張,展現其專業實力。DIGITIMES攝

經過將近10年的發展,物聯網在各領域的落地開始加速。不過,在帶來便利生活、提升企業效率的同時,資安問題也逐漸浮現。因此安華聯網技術長劉作仁特別提醒台灣廠商,除了滿足上市時程與產品效能外,還需符合國際資安規範,才能順利搶攻全球物聯網市場。在「邁向國際--物聯網產品安全如何國際接軌」演講中,他針對目前各國的主流資安標準與廠商申請認證時常見的問題,提出相關看法。

劉作仁指出,目前歐洲、美國、日本等三大市場,都已制定出資安標準與認證規範。其中歐洲在2019年通過安全法(Cybersecurity Act),資通訊產品認證分為Basic、Substantial、High等三種層級,目前還沒有各層級對應的資安標準,但是在Basic Level可能對應的要求為ETSI EN 303 645、Substantial Level則是IEC 62443-4-1與IEC 62443-4-2、High則要通過CC EAL 4+。至於美國較知名的是SB-327,此條例針對設備密碼設置特殊要求,其用意是避免所有裝置都使用相同的預設密碼,降低駭客使用預設密碼取得設備控制權限的機率。

為了強化物聯網系統安全,歐、美、日等國家近期紛紛制定出相關資安規範。安華聯網

各協會的資安認證共通點包括風險管理、軟體更新、密碼設置與產品弱點通報...等項目。安華聯網

物聯網的資安防護,必須從設計階段就開始,後續的各環節也各有需要注意的重點。安華聯網

另外美國食品藥品監督管理局(FDA),也在2018年公告醫療設備上市前網路安全要求的草案,並且要求在產品上市後,還要持續符合第三方單位的安全要求。日本則是於2019年修正IoT產品防護對策,並在電氣通訊事業法中,加強資安要求。

除了各國的規範外,國際認證單位的資安標準條例也逐漸完備,為了符合相關要求,各大品牌廠商開始要求旗下供應商的產品,必須通過指定的認證法規。在所有認證標準中,ISO 15408屬於共通標準,從產品設計、開發到生產,在不同環節都需有對應的文件與相關技術水準,此標準的認證最為嚴僅,成為多數大型跨國品牌企業以及歐美政府採用或參考的標準,而其供應商也須依循此標準並取得認證,才有機會成為合格且具國際水準的供應商。

除了ISO 15408這類通用標準外,還有針對不同產業與設備的標準,像是要求密碼演算法與模組必須符合國際規範的FIPS 140-3、工控領域近年最熱門的工業通訊資安標準IEC 62443、聚焦於車載系統的 IS0 21434,都是目前常見的認證要求。

劉作仁彙整各協會的認證條例後指出,這些條例的共通點包括風險管理、軟體更新、密碼設置與產品弱點通報等五大項,他表示對台灣製造業者而言,這些資安條例是較為陌生的領域,因此在設計與認證時不易找出重點,他建議企業可善用外部專業力量,加速產品認證時程。

劉作仁表示,安華聯網深耕標準認證領域多年,不僅有通過各大標準機構與大廠認證的實驗室,還有完整的專業團隊,以ISA/IEC 62443標準為例,目前官方在全球總計發出的17張證書中,該公司就擁有6張,由此可見其專業實力。除了認證之外,安華聯網也提供諮詢服務與訓練課程,協助企業充分掌握相關條例的重點,並藉此培養內部種子教師,藉此建構強大的資安法規認知,順利與國際標準接軌。