文章提供：图文资通组

文章来源：https://www.bnext.com.tw/article/54506/twnicip2

资安事件频传，面对万物联网时代，您的资安做好没？

发佈日期：2019/08/19 消息来源：数位时代

2019.08.19 by TWNIC

随着物联网（IoT，Internet of Things）技术普及与5G释照在即，资通讯产业、电信事业莫不摩拳擦掌，准备抢攻智慧城市/家庭/工厂/医疗/零售……等庞大商机，各种智慧应用场域带来便捷生活，也为骇客带来更多有机可乘的攻击入侵弱点。新应用带来新弱点，未来该如何让民众享受智慧生活而不被侵害隐私？不只新应用，在现今环境下骇客就以不断创新手法挑战网际网路基础环境的秩序，例如边界闸道器协定（BGP，Border Gateway Protocol）路由挟持攻击拦截封包，造成企业机密与民众个资外洩。

图为NCC基础设施事务处罗金贤处长。图片来源：TWNIC

垂直领域整体系统及终端设备 从点到面推动资安
NCC基础设施事务处罗金贤处长指出，政府持续透过订定IoT终端设备资安标准及相关垂直应用管理规定两个面向，展开IoT及5G应用的资安工作。由于IoT的资安备受各界瞩目，目前已有许多国际组织针对IoT制定国际标准，包括由多个电信标准组织伙伴组成的3GPP所制定的NB-IoT及国际电信联盟通信标准化组（ITU-T）提出的标准等，这些标准从IoT整体架构的终端设备、传输层、应用系统层等都有着墨。因此政府目前正进行先期研究计画，锁定八大垂直应用领域，深入探讨各领域IoT应用可能面临哪些系统风险及盘点相关法规，同时亦建立实验场域以验证国际标准的实务作法，未来可据此订定各垂直应用领域的专属资安评估管理办法。

另一方面关于IoT终端设备的安全，NCC于107年已推出IoT设备资安检测制度及认证标章，目前已发布无线网路摄影机、智慧手机系统内建软体、Wi-Fi接取点、Wi-Fi路由器、具连网功能的机上盒等产品的资安检测指引，并鼓励业者自发性取得认证，NCC也唿吁消费者应购买取得资安认证标章的产品。

不只是消费性终端产品，未来智慧工厂、智慧零售等各种IoT应用场域的管理规范将回归到中央目的事业主管机关负责，以智慧交通、车联网为例，将由交通部主责，然而若电信业者跨足车联网5G应用市场，NCC则可藉由电信管理法子法，规定电信业者须採购取得资安认证标章的资通设备来提供服务。

RPKI加上BGP路由器安全管理 降低路由劫持风险
除了创新应用可能衍生新弱点，由于各种行动支付、行动商务日益普及，骇客也瞄准网际网路基础环境的漏洞，以窃取网路传递的信用卡号码等个资。107年即传出骇客集团入侵网际网路服务业者（ISP，Internet Service Provider）伺服器后，攻击边界闸道器协定（BGP），以广播不实的路由资讯，伪冒宣告拥有某区段IP位址，例如支付业者的伺服器，使原本要连向该位址的流量都导到骇客的恶意网站，因此骇客得以拦截封包、窃取信用卡资料。

对此，台湾网路资讯中心（TWNIC）执行长黄胜雄指出，从107年10月开始，TWNIC开始发放RPKI资源凭证，以证明资源持有者所声明的传输路由资讯是正确的，目前已有将近90%部署边界路由器的单位已导入使用。
罗金贤处长指出，向TWNIC登录资源凭证是保障路由安全的基本功，现今在互联的网际网路上，若是连结到的外国网站没有使用RPKI，封包还是有被劫持的风险，因此第二步是要求电信业者对于BGP路由的安全管理，需具备特定防护要求。有鑑于此，NCC已制定「BGP路由安全管理功能查核表」，并将要求电信业者应将此查核表纳入资通安全管理法规定的「资通安全维护计画」中加以落实，未来NCC将依法进行查核。

TWNIC执行长黄胜雄指出从107年10月开始发放RPKI资源凭证，目前已近90%部署边界路由器的单位导入使用。图片来源：TWNIC

新应用带来新风险，若能在各种IoT创新应用服务推出前，就先做好Security by design，才能建立起消费者的信任，而消费者认明选购有资安认证标章的产品，也才能促使设备制造商更重视资通安全。