厘清物联网网安规范 安华联网协助客户与国际接轨

2021/06/22 - DIGITIMES企划

经过将近10年的发展，物联网在各领域的落地开始加速。不过，在带来便利生活、提升企业效率的同时，网安问题也逐渐浮现。因此安华联网技术长刘作仁特别提醒台湾厂商，除了满足上市时程与产品效能外，还需符合国际网安规范，才能顺利抢攻全球物联网市场。在「迈向国际--物联网产品安全如何国际接轨」演讲中，他针对目前各国的主流网安标准与厂商申请认证时常见的问题，提出相关看法。

刘作仁指出，目前欧洲、美国、日本等三大市场，都已制定出网安标准与认证规范。其中欧洲在2019年通过安全法(Cybersecurity Act)，资通讯产品认证分为Basic、Substantial、High等三种层级，目前还没有各层级对应的网安标准，但是在Basic Level可能对应的要求为ETSI EN 303 645、Substantial Level则是IEC 62443-4-1与IEC 62443-4-2、High则要通过CC EAL 4+。至于美国较知名的是SB-327，此条例针对设备口令设置特殊要求，其用意是避免所有装置都使用相同的缺省口令，降低黑客使用缺省口令取得设备控制权限的机率。

另外美国食品药品监督管理局(FDA)，也在2018年公告医疗设备上市前网络安全要求的草案，并且要求在产品上市后，还要持续符合第三方单位的安全要求。日本则是于2019年修正IoT产品防护对策，并在电气通讯事业法中，加强网安要求。

除了各国的规范外，国际认证单位的网安标准条例也逐渐完备，为了符合相关要求，各大品牌厂商开始要求旗下供应商的产品，必须通过指定的认证法规。在所有认证标准中，ISO 15408属于共通标准，从产品设计、开发到生产，在不同环节都需有对应的文件与相关技术水准，此标准的认证最为严仅，成为多数大型跨国品牌企业以及欧美政府采用或参考的标准，而其供应商也须依循此标准并取得认证，才有机会成为合格且具国际水准的供应商。

除了ISO 15408这类通用标准外，还有针对不同产业与设备的标准，像是要求口令演算法与模块必须符合国际规范的FIPS 140-3、工控领域近年最热门的工业通讯网安标准IEC 62443、聚焦于车载系统的 IS0 21434，都是目前常见的认证要求。

刘作仁汇整各协会的认证条例后指出，这些条例的共通点包括风险管理、软件更新、口令设置与产品弱点通报等五大项，他表示对台湾制造业者而言，这些网安条例是较为陌生的领域，因此在设计与认证时不易找出重点，他建议企业可善用外部专业力量，加速产品认证时程。

刘作仁表示，安华联网深耕标准认证领域多年，不仅有通过各大标准机构与大厂认证的实验室，还有完整的专业团队，以ISA/IEC 62443标准为例，目前官方在全球总计发出的17张证书中，该公司就拥有6张，由此可见其专业实力。除了认证之外，安华联网也提供谘询服务与训练课程，协助企业充分掌握相关条例的重点，并借此培养内部种子教师，借此建构强大的网安法规认知，顺利与国际标准接轨。


图说：ISA/IEC 62443官方在全球总计发出的17张证书中，安华联网就拥有6张，展现其专业实力。(DIGITIMES)


图说：为了强化物联网系统安全，欧、美、日等国家近期纷纷制定出相关网安规范。(安华联网)


图说：各协会的网安认证共通点包括风险管理、软件更新、口令设置与产品弱点通报...等项目。(安华联网)


图说：物联网的网安防护，必须从设计阶段就开始，后续的各环节也各有需要注意的重点。(安华联网)