關於物聯網資安認驗證

關於

成立背景

隨著數位經濟與物聯網(Internet of ThingsIoT)時代來臨,物聯網(IoT)的資安威脅與日俱增,為此美國、日本、新加坡、以色列等國均建立並維運資通產品驗證機制,以強化其資通產品安全,確保該國在資安領域的領導地位。而我國為面對各種物聯網(IoT)資安挑戰,並協助物聯網產業發展,亦需建立國內物聯網廠商遵循之安全檢驗標準,以提高產品安全與消費者信心。在行政院科技會報即行政院資通安全處指導下,具有線介面之物聯網終端產品資安檢測,由經濟部負責推動;具無線介面或電信/傳播終端設備介面者則由國家通訊傳播委員會主責。相互合作制訂物聯網設備資安測試標準、檢測環境及輔導廠商產品進行資安檢測等業務,以建置產品淬煉場域,協助產業進軍國際。

制度目的

1.落實各類型物聯網資安測試規範,推動物聯網產品與設備商落實資安檢測。

2.推動物聯網資安驗證制度,強化物聯網安全。

3.建立物聯網資安標章制度,使消費者易於識別通過本資安驗證制度檢測之物聯網設備。

 

2018年將首先以與個人隱私息息相關的有線/無線網路攝影機為主,後續將陸續針對其它各種物聯網設備制定相對應的資安標準及測試規範。

 

物聯網資安-無線網路攝影機

國家通訊傳播委員會預計於8/31公告檢測技術指引等相關文件。

 

物聯網資安-有線網路攝影機

物聯網的盛行,使日常用品皆朝向數位化邁進,影像監控設備也是其中之一,運用範圍包括:車聯網、家聯網、醫聯網、社區聯網等,應用範圍十分廣泛。但隨之而來的問題是網路攻擊事件,從2014 年起網路資安事件日益頻繁,攻擊事件規模越來越大,2016 年底以Mirai 為名的惡意程式,藉由網路攝影機為跳板,製造出前所未聞之網路攻擊的手法。

有鑑於此, 經濟部工業局依其業管之物聯網相關設備委託財團法人資訊工業策進會與台灣資通產業標準協會,共同制定一系列針對影像監控系統中聯網設備之資安標準及驗測規範。

此系列標準/規範主要藉由參照國際物聯網相關資安標準/規範, 如CNS 27001 、ANSI/CAN/UL 2900-1:2017 標準、Groupe Speciale Mobile Association (GSMA) IoT Security Guideline 、Open Web Application Security Project (OWASP) Top IoT Vulnerabilities及日本政府的物聯網安全指導方針等,建立國內在影像監控系統上資安品質的標準,包含(1)實體安全、(2)系統安全、(3)通訊安全、(4)身分鑑別與授權機制安全、及(5)隱私保護,從此五大安全構面針對影像監控裝置詳盡載明應採取的共通方法。

驗證體系架構