• 网路摄影机资安认验证的安全要求大公开,高标准助台产品强化资安

    导读: 安全上网,是使用互联网的最基本条例,网络上经常会有一些窃取个人信息的事情发生。为了更好的在互联网上游览,个人信息不被泄露,网路摄影机将更好的为大众服务检测。 近来政府为网路摄影机资安制订的标准,是企业和消费者都该关注的话题,它并不是一个低标

    安全上网,是使用互联网的最基本条例,网络上经常会有一些窃取个人信息的事情发生。为了更好的在互联网上游览,个人信息不被泄露,网路摄影机将更好的为大众服务检测。

    近来政府为网路摄影机资安制订的标准,是企业和消费者都该关注的话题,它并不是一个低标准线的强制性标章,而是采用高标准的规格来制订的,范围涵盖实体安全、?#20302;?#23433;全、通讯安全、身分识别与授权,以及隐私保护。甚至国内也将推广此标章,南向输出到印尼、马来西亚等,并推向国际标准组织。



    物联网的时代,连网设备安全问题不断被强调,其中网路摄影机(IP CAM)的资安问题,是最受关注的设备之一,不论是僵尸恶意程式的攻击,致使大量网路摄影机( IP camera)与数位影像录影机(Digital video recorder,DVR)变成DDoS的帮凶,前两三年甚至有台湾业者被美国FTC控诉产品不安全,企业与消费者都因此蒙受伤害。

    为了提升台湾制造商做好资安功能,自2017年资安产业策略会议(SRB),已经提到可采推动资安产业标准及认证制度的方式,来扩展国内外市场,而去年政府也?#23548;?#25512;动了物联网资安标准,期许透过标准与制度,带动国内的资安水准,并强化本土产品的国际竞争力。

    对于制订物联网资安产业标准,这样的议题往往可能被忽视,甚至有人质疑此类标章,是否只是一个低标准线的强制性标章?在本周的台湾资安大会上,资策会资安所联网安全检测组组长高传凯,特别针对目前进度最快的影像监控?#20302;?#31995;列资安标准,揭露其详细的安全要求与最新的发展现况。

    事实上,从影像监控?#20302;?#31995;列资安标准框架来看,对于设备安全防护的要求,其实是以高标准的规格来制订。

    高传凯进一步解释,在影像监控?#20302;?#31995;列资安标准框架的共通要求中,共包含了五大面向,分别是实体安全、?#20302;?#23433;全、通讯安全、身分识别与授权,以及隐私保护。因此网路摄影机、影像录影机与网路储存装置都将符合这些要求,后两者并还有应用程式安全的面向。

    提升影像监控产品的资安要求,以高规格标准从?#28216;?#22823;面向着手,并将成为国内相关设备商在装置开发时的依据

    在共通的五大面向中,为了要确保网路摄影机的资讯安全,也各自有不同的安全功能要求。例如,不仅是要求设备上必须建置认证、?#29992;?#21450;完整性三大资安功能,并要检视装置本身是否有资安漏洞,以及具备日志与警示的功能。换句话说,这五大安全面向将有不同的安全要求分项,来对应上述的要求。这也意谓着,国内相关设备商在装置开发?#20445;?#23601;可?#26469;?#26631;准为依据。

    举例来说,在作业?#20302;?#23618;的?#20302;?#23433;全中,就包含了对应认证的应用程式介面安全,对应?#29992;?#30340;敏?#34892;?#36164;料储存安全,对应认证、?#29992;?#21450;完整性的更新安全,对应资安漏洞的作业?#20302;?#19982;网路服务安全、网路服务连接埠安全与网页管理介面安全,以及对应记录功能的?#20302;?#26085;志档与警示。

    对于目前发展趋势与国内发展现况,高传凯也从目前看到的问题与经验来简单说明,希望让企业更了解这项认验证的要求,或是业者送验产品时可能不清楚的地方,以及最新的规范变化。

    例如,在实体层的实体安全方面,其中的安全启动测试分项中,是争议较大的一处,因为这要求产品,应该要具备安全晶片,像是TPM、HSM等,使安全启动功能得以确保。但是,这样的要求对于现行厂商而言,?#35759;?#19981;小,有厂商?#20174;Γ?#20182;们的产品可以达到安全启动的效果,但不是做在安全晶片。

    高传凯表示,目前检测项目及对应的安全等级,?#19981;?#20998;为三级,在安全启动这一部分,当初他在制订?#20445;?#30446;标就是以最高规格为出发点,虽然因为现行推广上的需求,一开始还没有达到第三级的最高要求,但他认为,目前各界一致看法都是要具备硬体晶片。除非设备商可以举出其他同方法,达到跟晶片一样安全,并说服实验室与验证单位。

    此外,高传凯表示,有厂商可能担心其设备是PoE供电,若是网路线拔掉,就会因断电就无法通过,他也说明将透过PoE电源供应器来辅助测试,避免导致测项不过。

    在?#20302;?#23433;全方面,针对作业?#20302;?#23433;全与网路服务安全测试,高传凯说明了今年最新的变动。由于之前实验室在测试?#20445;?#36935;到厂商不会给高权限的帐号来测试的状况,如此一来测试就不够彻底,因?#31169;?#24180;将变得更严格,必须要求提供高权限帐号来测试。

    还有几个重点,例如,在网路服务连接埠管控测试上,最常见的状况就是担心开启了不知道的网路埠,因此厂商必须自我宣告所开启的网路埠,并且必须与实验室检测结果一致;在韧体档案安全测试中,他们要求?#29992;?#28436;算法必须采用FIPS 140-2 Annex A所认可,且不可被?#23548;式?#26512;出档案?#20302;?#30446;录,或是韧体不能实验室被拆解开,进而找出帐号密码、金钥、IP与URL等;他并特别提醒,在韧体更新档之完整性及可信度测试方面,不可执行游测,也就是一定要在实验室的场地进行,否则报告将会失效。

    特别?#26723;?#27880;意的是,由于实验室检测的要求相当多,也才处于施行初期的阶段,厂商若有不得已或执行上有困难之处,他们目前也规画有一致性会议,让问题能够摊开来谈。同?#20445;?#29616;在政府也有IP CAM厂商辅导的计画,来促进与协助厂商通过认验证,希望各业者趁?#31169;?#27573;,让自身产品能强化其资安功能。

    预计第二季将有更多本土业者网路摄影机产品通过验证,并期望推广物联网资安标章于国际

    另一方面,政府在物联网产品资安认验证制度上,为了让执行更具严谨度,将由台湾资通产业标准协会(TAICS)负责核发物联网资安标章,以及针对实验室?#23433;?#21697;稽核管理。 TAICS副处长黄雅琤也在大会现场,说明更多该协会与相关制度的进展。

    对于TAICS,不熟悉国内标准产业的人可能感到较为陌生,该协会是在2015年成立,关于成立的原因,黄雅琤表示,成立原因是因为经济部为了产业出口的问题,初衷是希望台湾也要能建立区域性标准制定组织(SDO),以整合台湾网通业在标准与专利上的意见,并致力于国际标准组织。对于台湾的资通讯产业而言,其实不只统通业,还包含行动通讯、网路通讯、影音服务、物联网,以及资安等,因此TAICS协会组织下共成立了七个技术工作委员会,来处理各项不同的工作。

    黄雅琤指出,基本上,国际上已有标准的领域,他们将援引国际标准,但不见得所有国际标准都适用于台湾,因此还是会根据国内产业情况来制订?#23460;?#30340;标准。

    而在资安标准这一块,黄雅琤更是强调其他特殊性,因为他们目前看到国际上最主要的是OWASP与UL。其中OWASP属于联盟,但欧美国家没有往该联盟倾?#20445;?#32780;UL是美国的公司,并不是标准制定组织。因此,他们认为这就是台湾的机会,期望有能力自己定自己的标准。

    而台湾资通产业标准,也是仿照?#20998;?#30005;信标准协会的严谨度,来​​打造自己的制订标准平台,并将针对台湾适合的技术,并选定一些特定的目标,来制订台湾的产业标准,并跟国际上11个国际组织连结。

    对于网路摄影机的认验证现况,会后黄雅琤也透露,原本年初将有第二家业者的产品通过,但因为有一项测试始终无法通过,因此还要等等,再加上辅?#25216;?#30011;时程的因素,预计第二季就会有数家业者的产品通过认证。

    同?#20445;?#40644;雅琤也?#29366;?#23545;外说明了今年的主要工作目标,就是希望推广物联网资安标章,南向输出到印尼、马来西亚等智慧城市建置实施采用,并要推动IP Cam资安测试规范于?#20998;?#30005;信标准协会(ETSI)出版。

    福建36选7开奖公告