信息安全TUVNORD以完整验证服务助业者掌握商机

汉德公司IT事业群协理林家弘

在工业4.0、物联网、云端运算、自驾车、移动支付等全新应用带动产业快速进展的同时，产品与系统的信息安全也成为不可忽视的重要议题。因此，在既有的信息安全管理系统ISO 27001标准之外，近来信息技术安全评估共同准则(Common Criteria或CC)、以及工业自动化系统信息安全IEC 62443等标准也已越来越受到业者的重视，甚至成为打入国际市场的必备条件。对此，TUV NORD汉德公司建构了完备的评监与验证服务，以协助业者掌握全新的市场商机。

Common Criteria—从产品开发源头就确保信息安全性

TUV NORD汉德公司IT事业群协理林家弘表示，CC，亦即ISO/IEC 15408标准，早从1999年就定义完成，历经多年演进，到2017年4月已正式发布v3.1 Revision 5版本。由于信息产品安全议题日益受到重视，近年来此标准也开始普遍获得采用。相较于一般消费者较熟悉的信息安全问题是在使用端的防护，而CC对于信息安全的需求则是从产品开发的整个生命周期开始，包括概念开发、功能性／高端设计、操作手册、测试、生产、运送、操作等完整的过程，以确保生产过程中每个环节的信息安全都能受到完全保护。

经过标准评估的产品可获得「评估保证等级」(Evaluation Assurance Level；EAL)以判定产品之安全等级，EAL共有7个等级，最低等级为EAL1，最高等级为EAL7，EAL评等可以提供信息产品使用者采购及使用的依据。

CC共定义了14个产品类别。据统计，截至2017年6月，14个产品类别共发出2,212张CC证书。其中，IC、智能卡、以及智能卡相关装置与系统领域的数量最高，共占1,061个，比例最高。若以EAL等级来看，数量主要集中在EAL 4~5+，共有1294个。针对台湾科技产业的特性，汉德也特别专注于推广IC、智能卡、以及智能卡相关装置与系统领域业者的CC认证。

此外，由于信息产品若要通过CC验证，评估过程必须要对于开发或制造的「场域」(Site)进行实地稽核，确保其过程的安全措施与管理机制足以保护设计数据及产品的评估标的(Target of Evaluation)。但对开发或制造商而言，不同客户的产品验证，其所代表的就是得配合不同客户的安全产品通过CC的实地稽核验证。为此，德国联邦信息安全局(BSI)制定了场域验证(Site Certification)规范，提供产品制造厂商或代工场域可以单独取得安全评估认证，以简化重复稽核的时间与成本。

林家弘指出，一个场域取得认证后，只要该认证的服务内容、范围与等级均符合客户的安全产品要求，则此认证可直接运用在该场域制造的许多其他安全产品。不过，场域认证的期限是两年，每两年要重新评估1次。汉德从2014年开始在台推广与验证CC标准，包括，台积电、联电、日月光、矽品、京元、矽格都已透过汉德的协助取得场域认证。

不过，他也坦承，虽然CC已经行之有年，但目前在台湾接受度尚未普及，主要是由于导入CC标准所需的成本与时间比一般的ISO标准高，除非客户或政府有明确的采购规范与要求，否则业者导入的动机并不强烈。然而，随着产品信息安全的重要性日益凸显，来自客户端的要求已使得台湾业者欲打入国外市场时，也开始需要遵循CC标准。

林家弘强调，CC是全球趋势，随着信息安全产品的增加并在亚洲制造，大陆、东南亚也开始重视此一标准。由于有更多的场域需要认证，TUV NORD乐观看待亚洲制造环境对此标准的需求。凭藉着拥有德国最高等级的安全产品评估实验室，全球CC产品评估市场极高的市场占有率，与台湾专业的网安团队， TUV NORD可以协助遍及亚洲、欧洲及美洲各地的客户及客户产品顺利通过CC评估。

FIPS 140-2 ─ 口令模块与演算法测试

林家弘同时提到，在美国、加拿大与台湾重要的政府机关在采购口令应用相关的信息产品或装备时，皆要求产品供应商必须取得由美国国家标准与技术研究院NIST (National Institute of Standards and Technology)所核发的口令模块验证证明，而TUV NORD所建置的口令模块检测实验室即是针对此标准，提供客户口令模块与演算法的检测与顾问谘询服务。该实验室也是国内唯一取得NIST认可，具备 FIPS 140-2检测口令模块及演算法资格的实验室(NVLAP lab code: 201038-0)，此殊荣更是展现出TUV NORD团队在网安领域的专业能力。

协助客户建立「工业4.0准备度」

另一方面，随着工业4.0的发展，为了因应工业自动化与控制系统的信息安全要求，近来也有IEC 62443国际电工委员会制定的标准，旨在提升企业内部流程与SCADA (Supervisory Control And Data Acquisition数据采集与监控系统)环境的数码安全性。遵循此标准，能为公司的生产环境流程提供更高的网络安全性，以抵御各种黑客攻击。

林家弘指出，安全性包含了信息安全(IT Security)与功能安全(Functional Safety)两种意涵，在物联网趋势下，自动化机台的信息安全已与功能安全息息相关，对此，TUV NORD特别提出S4S(Security4Safety)的概念，这是一种安全观念的整合，以建立全面性的风险评估。

因此，为因应工业4.0时代的来临，对于许多已具备ISO27001或ISO9001标准系统认证的业者来说，可以再整合IEC 62443或 ISO 15408等产品／制程安全认证，以满足完整的信息安全与功能安全需求。未来，安全测试必须连同IT安全以及管理系统认证，才能建构完整的能力，以达成工业4.0准备度(Industry 4.0 Readiness)的目标。

林家弘解释说，IEC 62443和 ISO 15408彼此有相关性，然而后者的层次较高。因此，业者可藉由先导入IEC 62443标准，再跨入ISO 15408，以建构更完善的信息安全环境，并迎接新的市场机会。TUV NORD在台湾已累积了丰富的辅导经验，结合客户既有的管理机制，可协助客户快速导入新标准。

最后，林家弘提到，在移动应用程序方面，虽然智能手机上的App已成为消费者不可或缺的生活必需品，但App的信息安全与个资保护标准却付之阙如，不像汽车、食物、甚至保健品都设有严格的审核与验证机制。

针对App的网安保护，目前虽然尚未有国际标准，但各家验证机构试图透过参考相关规范，并结合自己的know-how，定义出手机App安全检测的测试准则，希望以第三方角色，为消费者做把关，让使用者下载App时能有更高的信赖感。

目前，TUV NORD已可为移动App提供可信赖的安全性测试，主要着重于检测数据传输的加密与保护、认证机制、存取控制、以及数据储存等。此外，针对云端服务，TUV NORD也可提供欧洲云服务联盟(ECE)所推广的StarAudit云服务星级验证稽核与训练服务，以建立云端服务供应商及其客户或使用者间的信赖机制。

林家弘表示，虽然此市场才刚起步，但由于有越来越多的企业内部签核与管理系统是以移动App的形式运作，或是透过云端服务的架构提供使用者多元化的服务，对信息安全有更高的需求，客户的重视程度也远比以前高。TUV NORD将因应产业对信息安全议题的持续需求，提供先进与完整的验证、检测与顾问服务，以建构世界级的信息安全环境。