文章提供：圖文資通組

文章來源：https://www.bnext.com.tw/article/54506/twnicip2

資安事件頻傳，面對萬物聯網時代，您的資安做好沒？

發佈日期：2019/08/19     消息來源：數位時代

2019.08.19 by TWNIC

隨著物聯網（IoT，Internet of Things）技術普及與5G釋照在即，資通訊產業、電信事業莫不摩拳擦掌，準備搶攻智慧城市/家庭/工廠/醫療/零售……等龐大商機，各種智慧應用場域帶來便捷生活，也為駭客帶來更多有機可乘的攻擊入侵弱點。新應用帶來新弱點，未來該如何讓民眾享受智慧生活而不被侵害隱私？不只新應用，在現今環境下駭客就以不斷創新手法挑戰網際網路基礎環境的秩序，例如邊界閘道器協定（BGP，Border Gateway Protocol）路由挾持攻擊攔截封包，造成企業機密與民眾個資外洩。

圖為NCC基礎設施事務處羅金賢處長。圖片來源：TWNIC

垂直領域整體系統及終端設備 從點到面推動資安
NCC基礎設施事務處羅金賢處長指出，政府持續透過訂定IoT終端設備資安標準及相關垂直應用管理規定兩個面向，展開IoT及5G應用的資安工作。由於IoT的資安備受各界矚目，目前已有許多國際組織針對IoT制定國際標準，包括由多個電信標準組織夥伴組成的3GPP所制定的NB-IoT及國際電信聯盟通信標準化組（ITU-T）提出的標準等，這些標準從IoT整體架構的終端設備、傳輸層、應用系統層等都有著墨。因此政府目前正進行先期研究計畫，鎖定八大垂直應用領域，深入探討各領域IoT應用可能面臨哪些系統風險及盤點相關法規，同時亦建立實驗場域以驗證國際標準的實務作法，未來可據此訂定各垂直應用領域的專屬資安評估管理辦法。

另一方面關於IoT終端設備的安全，NCC於107年已推出IoT設備資安檢測制度及認證標章，目前已發布無線網路攝影機、智慧手機系統內建軟體、Wi-Fi接取點、Wi-Fi路由器、具連網功能的機上盒等產品的資安檢測指引，並鼓勵業者自發性取得認證，NCC也呼籲消費者應購買取得資安認證標章的產品。

不只是消費性終端產品，未來智慧工廠、智慧零售等各種IoT應用場域的管理規範將回歸到中央目的事業主管機關負責，以智慧交通、車聯網為例，將由交通部主責，然而若電信業者跨足車聯網5G應用市場，NCC則可藉由電信管理法子法，規定電信業者須採購取得資安認證標章的資通設備來提供服務。

RPKI加上BGP路由器安全管理 降低路由劫持風險
除了創新應用可能衍生新弱點，由於各種行動支付、行動商務日益普及，駭客也瞄準網際網路基礎環境的漏洞，以竊取網路傳遞的信用卡號碼等個資。107年即傳出駭客集團入侵網際網路服務業者（ISP，Internet Service Provider）伺服器後，攻擊邊界閘道器協定（BGP），以廣播不實的路由資訊，偽冒宣告擁有某區段IP位址，例如支付業者的伺服器，使原本要連向該位址的流量都導到駭客的惡意網站，因此駭客得以攔截封包、竊取信用卡資料。

對此，台灣網路資訊中心（TWNIC）執行長黃勝雄指出，從107年10月開始，TWNIC開始發放RPKI資源憑證，以證明資源持有者所聲明的傳輸路由資訊是正確的，目前已有將近90%部署邊界路由器的單位已導入使用。
羅金賢處長指出，向TWNIC登錄資源憑證是保障路由安全的基本功，現今在互聯的網際網路上，若是連結到的外國網站沒有使用RPKI，封包還是有被劫持的風險，因此第二步是要求電信業者對於BGP路由的安全管理，需具備特定防護要求。有鑑於此，NCC已制定「BGP路由安全管理功能查核表」，並將要求電信業者應將此查核表納入資通安全管理法規定的「資通安全維護計畫」中加以落實，未來NCC將依法進行查核。

TWNIC執行長黃勝雄指出從107年10月開始發放RPKI資源憑證，目前已近90%部署邊界路由器的單位導入使用。圖片來源：TWNIC

新應用帶來新風險，若能在各種IoT創新應用服務推出前，就先做好Security by design，才能建立起消費者的信任，而消費者認明選購有資安認證標章的產品，也才能促使設備製造商更重視資通安全。