Security Summit 2024：台湾业界齐心合力提升供应链防护等级

为期两日的网安峰会，听众热情参与回响热烈。DIGITIMES摄

在网安日益重要的现代社会，随着科技的快速发展与数码转型的加速推进，企业和政府面临的网络威胁不断加剧。为了应对这些挑战，业界必须从多个角度提升网安能力，尤其是在供应链、5G、量子计算和物联网领域。DIGITIMES、台湾网安主管联盟与移动网安联盟在Security Summit 2024网安峰会上深度探讨了这些网安议题，并提出了有效的应对策略。此活动强调了在企业运营中提升网安韧性的重要性，涵盖了从供应链网安、5G专网到硬件防护技术、量子计算等多方议题。

全球供应链网安挑战已不容忽视

供应链安全已成为全球企业网安的关键问题之一。供应链安全之所以重要，是因为任何一个供应链环节出现问题，都可能导致整个系统的脆弱。台湾网安主管联盟副会长暨远传电信网安长朱建国于峰会第二天开场致词时表示，当前企业面临的挑战之一就是如何确保其供应商的网安水平达到要求。台湾的企业供应链多数较为分散，而其中72%的企业供应商曾遭遇过勒索病毒的攻击，这对企业的整体网安防护构成了极大威胁。

企业必须关注的问题不仅是其自身的网络防护措施，还要确保供应链中的每个环节都同样具备足够的防护能力。黑客已不再单单攻击大型企业，而是更倾向于攻击那些网安水平较弱的小型供应商，并利用供应链漏洞对整体系统发动攻击。这意味着企业不仅要建立强大的防火墙和网络安全系统，还需对供应链上下游的合作夥伴进行网安能力的评估和审查，确保整个链条的网安稳定。

全球视角下的网安风险

不仅台湾企业面临网安挑战，全球范围内的网安事件层出不穷。台湾网络信息中心董事长黄胜雄也呼应了朱建国的说法，全球性网安事件的规模越来越大，许多案例甚至未曾被广泛报导，例如印度在过去一年中发生了一起规模高达8.1亿笔医疗数据外泄的事件，而这类事件在全球范围内频频发生，对公众与企业的数据安全构成极大威胁。

在台湾，诈骗事件也持续增加。据报导，2023年因诈骗造成的损失高达88亿台币，而到了2024年7月，单月损失已经飙升至110亿台币。这些数据显示，随着技术的发展，诈骗行为的复杂性和规模也在不断扩大。对于企业而言，提升网安防护的投入不再仅仅是一项支出，而是一项必要投资，以确保其在面对未来更多潜在威胁时具备足够的应对能力。

黄胜雄还强调，尽管台湾政府已经在网安防护方面投入了大量资源，并且成立了多个专门针对网安的机构，企业在面对网安威胁时依然存在诸多挑战。部分企业缺乏网安专业知识，难以理解与应用技术层面的专业术语，此外，对于网安投资的回报率仍存在疑虑。企业需要更具体的指导，了解如何最大化其网安投入，从而提高网安防护能力。

硬件芯片网安风险虽低，但攻击力道强大

随着物联网、人工智能和大数据等技术的发展，硬件层面的网安问题越来越受到关注。资策会网安科技研究所副所长高传凯指出，尽管硬件遭受攻击的风险相对较低，但一旦遭到攻击，影响往往会非常严重。具体来说，芯片的旁通道攻击和硬件故障注入是两种常见的攻击方式，这些攻击方式能够绕过传统的网络防护，直接针对硬件进行破坏或窃取数据。

面对这些潜在威胁，业界开始采取更加复杂的防护手段。例如，高传凯介绍了一种名为信号混淆的技术，该技术通过干扰攻击者的数据分析，来增强芯片的网安防护能力。虽然这类技术可以有效提升硬件的防护能力，但它同时也增加了芯片获得国际认证的难度，对于业界而言，这是一个必须解决的矛盾点。

华邦电子和旺宏电子在硬件领域同样也分享其对应作法。两家公司均推出了针对网安应用的快闪存储器产品，这些产品被广泛应用于金融、医疗等对数据安全有极高要求的行业。

华邦电子安全快闪存储器经理戴士雄表示，华邦过去在网安领域已有20年以上的经验，所以业界常见的网安认证，旗下的Secure Flash产品线，大致上皆有取得。华邦的W75F快闪存储器已获得EAL5+认证，这使其成为全球高网安应用的重要选择之一，所以可以满足金融交易这类的高网安等级应用场域。戴士雄也透露，一般来说，传统的系统设计可能可以透过MCU类型的芯片，视为安全元件，由这类产品肩负整体网安的工作，但万一该元件被迫离线，让系统失去保护，那麽快闪存储器能否扛起这样的重责？答案当然是肯定，若没有MCU的情况下，也能省去较多的成本与面积，而且黑客也不易攻破内部的逻辑电路，对客户而言是性价比相当高的选择。

而旺宏电子产品行销处专案部经理叶金瓒则指出，相较于eFlash与外挂的SPI Flash，Secure Flash在网安的表现皆明显优于前两者，同时他呼应高传凯的说法，旺宏的确会导入乱数产生器的设计，让黑客产生混淆，避免让黑客取得金钥，另外旺宏也有其他机制来避免其物理攻击，确保其储存的数据。叶金瓒谈到，实务上，也有黑客会刻意窜改系统内的程序码，为了确保系统能得以正常运作，旺宏旗下的ARMorBoot MX76会在系统启动前，先一步确认系统的程序码是否正确，若有异常也可以透过事先内建的程序码，让系统启动后得以正常运作。

同样也是以硬件视角出发，Swissbit AG亚太区业务经理林爱雪则指出，Swissbit的iShield Key产品线主要是以USB模块，协助客户以多因素验证（MFA）的方式来抵御黑客在不同的应用场景中透过社交工程的方式来窃取客户在公司内的机密数据。而伟康科技资深网安顾问林杭昱则是以Swissbit的合作伙伴角度，分享伟康科技如何协助金融业与跨产业客户在各种应用程序服务上导入FIDO，透过这种作法，客户能直接用生物识别的方式进行登入，而无需采用传统的口令来登录公司系统，避免可能有其他同事知道口令进而带来潜在的人为风险。

国内推动移动应用程序检测，初步已见具体成效

随着物联网和智能城市技术发展，移动应用程序的安全性变得越来越重要。移动应用网安联盟副会长黄政嘉在峰会上强调，移动应用网安检测的严谨性至关重要。该联盟已建立了一套完善的技术认证体系，这一体系不仅涵盖移动应用程序的检测，还涉及到物联网装置，从影像监控系统到智能交通、门禁系统等皆可依其网安强度进行分级检测。

这一检测标准已经初见成效，并逐步在国际上推广，特别是针对东南亚市场。台湾在这方面的技术已具有国际竞争力，未来随着物联网技术的进一步普及，网安检测技术的重要性将会更加突出。特别是物联网设备在家庭、工厂等环境中的应用，对数据保护和隐私安全的需求会持续增加。

OT网安仍是关键，IEC 62443扮演重要标准

随着智能制造技术的快速发展，营运技术（OT）系统的网安问题逐渐引起重视。OT系统和传统IT系统在逻辑和运作模式上存在显着差异，这也导致了不同的网安需求。

四零四科技产品行销经理郭彦徵指出，OT系统通常运行多年，无法轻易进行更新或替换。其次，大多端点设备的硬件效能相对有限，内建的处理器性能不足以处理加解密的工作，这使得防护工作更加困难。为了解决这一问题，企业可以采取网络协防的方式，通过部署防火墙和入侵检测系统来提升安全性。另一方面，IT与OT的网安逻辑也不甚相同，前者希望各部门之间需要一定的隔阂以确保安全，但OT现场，从SCADA到PLC，彼此之间都需要存取或是传输数据，这些观念上的差异都会造成网安实务上的两难。

国际自动化协会台湾分会行销长詹燿州则提出了基于IEC 62443标准的解决方案。这一标准涵盖了资产拥有者、设备供应商和服务提供商三个不同角色，并要求三方协同合作来确保整体系统的安全性。目前，已有多个国家将IEC 62443纳入其国家标准，这为未来OT系统的网安防护奠定了坚实基础。业界甚至也开始将云端服务供应商（CSP）纳入IEC 62443的讨论范畴，进而让OT与CSP之间的网安防护可以更加落实。

量子电脑成传统加密模式威胁，后量子口令学概念兴起

量子计算技术的发展对传统加密技术构成了新的挑战。池安量子网安技术顾问郭博钧指出，随着量子计算的计算能力提升，许多现行加密技术如RSA和ECC可能在未来失效。传统加密算法依赖于现代计算机无法在合理时间内破解某些数学问题的特性，但量子电脑却有办法在短时间内破解，也因此市场开始讨论后量子口令学的概念。

郭博钧表示，尽管现今量子电脑的发展还处在初期阶段，可能仍有不少困难需要克服，对于现今的口令破解来说不会造成威胁，但可能有很多数据的保存期需要维持至少几十年，届时的时空背景可能是量子电脑技术相当成熟的时期，所以很多数据的外泄是可以预期的。美国政府也预计，到2035年为止，将会花费71亿美元进行加密系统更换，所要更换的系统就是采用后量子口令相关的设计架构，在该领域中也会探讨像是数码签章的发展。台湾的表现其实相当出色，郭博钧也提及量子安全迁移中心（QSMC）这个全球组织，正致力于发展后量子口令学，台湾自然也在该组织扮演不可或缺的角色。

5G专网提升网安强度，供应链网安需从业务面向着力

峰会第二天的Panel，则是分别由辰隆科技总经理娄道生与合勤投资控股网安长游政卿，就5G专网网安与供应链网安管理实务等议题进行分享。

娄道生分析，5G专网对于企业网安来说基本上会有加分效果，他指出单以无线网络而言，Wi-Fi毕竟还是采用开放频谱的作法，相较于3GPP所提供的专频专网，前者仍会有黑客利用开放频谱的特性进行攻击，但后者本身就会有3GPP的认证机制加上使用者付费机制等，所以网安防护等级相对较高。但娄道生也提醒，在企业内部网安防护工作都已经到位，员工也能善尽本分的前提下，需要留意的是外部维修人员对于企业网安带来的威胁。

游政卿指出，供应链网安的挑战不仅来自技术层面，还涉及国际间对网安标准的差异。黑客不一定攻击最弱的一环，他们可能从「最具价值」的目标下手，一旦攻破其中一家企业，便能逐步攻击其供应链中的其他企业，扩大影响范围。游政卿更强调，强化网安防护不应只是单纯要求供应商配合，还应将网安措施与业务订单绑定，唯有如此才能推动整体供应链提升网安意识，采取正确的防护移动，避免盲目投资与不当操作，反而得不偿失。

从Security Summit 2024第二天的议题分享可以发现，面对日益复杂的网络威胁，企业必须采取多层次的网安防护策略。首先，在供应链方面，企业需要关注上下游合作夥伴的网安能力，并进行定期审查和监测，以避免整个系统因供应链的某个环节遭到攻击而受损。

其次，随着量子计算技术快速发展，企业需要着手准备采用后量子加密技术来保护其数据。此外，在5G和物联网等新兴技术领域，企业应强化其专网和边缘设备的安全性，并针对这些新兴风险制定专门的防护方案。

最后，面对持续增长的数据泄漏风险，企业还需考虑如何在法律和合规要求下保护用户隐私，特别是针对金融、医疗等高度依赖敏感数据的行业。无论是透过技术升级还是安全策略调整，未来的网络安全角势将要求企业具备更高的灵活性和预测性，以应对不断演变的威胁。

总体来说，Security Summit 2024网安峰会提供了一个广泛而深入的平台，让业界领袖能够共同探讨并解决当前最棘手的网安问题。随着网络威胁的不断演变，企业和政府机构需要保持高度的警觉，并积极采取防护措施来应对未来可能出现的各类网安挑战。

附档：0926_06_ISA_s-04813.jpg

附档：0926_Moxa摊位_s-09641.jpg