厘清物联网网安规范 安华联网协助客户与国际接轨 智能应用 影音
Microchip
Event

厘清物联网网安规范 安华联网协助客户与国际接轨

  • DIGITIMES企划

ISA/IEC 62443官方在全球总计发出的17张证书中,安华联网就拥有6张,展现其专业实力。DIGITIMES摄
ISA/IEC 62443官方在全球总计发出的17张证书中,安华联网就拥有6张,展现其专业实力。DIGITIMES摄

经过将近10年的发展,物联网在各领域的落地开始加速。不过,在带来便利生活、提升企业效率的同时,网安问题也逐渐浮现。因此安华联网技术长刘作仁特别提醒台湾厂商,除了满足上市时程与产品效能外,还需符合国际网安规范,才能顺利抢攻全球物联网市场。在「迈向国际--物联网产品安全如何国际接轨」演讲中,他针对目前各国的主流网安标准与厂商申请认证时常见的问题,提出相关看法。

刘作仁指出,目前欧洲、美国、日本等三大市场,都已制定出网安标准与认证规范。其中欧洲在2019年通过安全法(Cybersecurity Act),资通讯产品认证分为Basic、Substantial、High等三种层级,目前还没有各层级对应的网安标准,但是在Basic Level可能对应的要求为ETSI EN 303 645、Substantial Level则是IEC 62443-4-1与IEC 62443-4-2、High则要通过CC EAL 4+。至于美国较知名的是SB-327,此条例针对设备口令设置特殊要求,其用意是避免所有装置都使用相同的缺省口令,降低黑客使用缺省口令取得设备控制权限的机率。

为了强化物联网系统安全,欧、美、日等国家近期纷纷制定出相关网安规范。安华联网

为了强化物联网系统安全,欧、美、日等国家近期纷纷制定出相关网安规范。安华联网

各协会的网安认证共通点包括风险管理、软件更新、口令设置与产品弱点通报...等项目。安华联网

各协会的网安认证共通点包括风险管理、软件更新、口令设置与产品弱点通报...等项目。安华联网

物联网的网安防护,必须从设计阶段就开始,后续的各环节也各有需要注意的重点。安华联网

物联网的网安防护,必须从设计阶段就开始,后续的各环节也各有需要注意的重点。安华联网

另外美国食品药品监督管理局(FDA),也在2018年公告医疗设备上市前网络安全要求的草案,并且要求在产品上市后,还要持续符合第三方单位的安全要求。日本则是于2019年修正IoT产品防护对策,并在电气通讯事业法中,加强网安要求。

除了各国的规范外,国际认证单位的网安标准条例也逐渐完备,为了符合相关要求,各大品牌厂商开始要求旗下供应商的产品,必须通过指定的认证法规。在所有认证标准中,ISO 15408属于共通标准,从产品设计、开发到生产,在不同环节都需有对应的文件与相关技术水准,此标准的认证最为严仅,成为多数大型跨国品牌企业以及欧美政府采用或参考的标准,而其供应商也须依循此标准并取得认证,才有机会成为合格且具国际水准的供应商。

除了ISO 15408这类通用标准外,还有针对不同产业与设备的标准,像是要求口令演算法与模块必须符合国际规范的FIPS 140-3、工控领域近年最热门的工业通讯网安标准IEC 62443、聚焦于车载系统的 IS0 21434,都是目前常见的认证要求。

刘作仁汇整各协会的认证条例后指出,这些条例的共通点包括风险管理、软件更新、口令设置与产品弱点通报等五大项,他表示对台湾制造业者而言,这些网安条例是较为陌生的领域,因此在设计与认证时不易找出重点,他建议企业可善用外部专业力量,加速产品认证时程。

刘作仁表示,安华联网深耕标准认证领域多年,不仅有通过各大标准机构与大厂认证的实验室,还有完整的专业团队,以ISA/IEC 62443标准为例,目前官方在全球总计发出的17张证书中,该公司就拥有6张,由此可见其专业实力。除了认证之外,安华联网也提供谘询服务与训练课程,协助企业充分掌握相关条例的重点,并借此培养内部种子教师,借此建构强大的网安法规认知,顺利与国际标准接轨。