【國際快訊】新加坡資通訊媒體發展管理局發布物聯網網路安全指南
<研究企劃組/黃子宴>
隨著物聯網的應用越來越多元,資料保護與網路安全管理的議題也越趨重要,新加坡資通訊媒體發展管理局(Infocomm Media Development Authority of Singapore, IMDA)於2020年3月13日發布物聯網網路安全指南(Internet of Things Cyber Security Guide,以下簡稱「物聯網安全指南」)。
此份物聯網安全指南由新加坡資通訊媒體發展管理局(IMDA)與新加坡網路安全局(Cyber Security Agency of Singapore, CSA)共同制定並完成公眾諮詢,以協助企業及其供應商在採購、開發、實行及維護物聯網系統時,具有標準指引得以緩解網路安全問題。
物聯網安全指南主要聚焦於系統層面的建議,並以新加坡資訊技術標準委員會(Information Technology Standards Committee, ITSC)TR 64「2018年智慧國家物聯網安全指南」(Guidelines IoT security for smart nation)中的概念為基礎,提供物聯網開發者(IoT developers)、物聯網供應者(IoT providers)以及物聯網使用者(IoT users)於物聯網系統開發或實行階段的網路安全基準建議(Baseline security recommendations)。同時,物聯網安全指南也提供網路安全相關基礎概念、威脅建模清單(Threat modelling checklist)與供應商自我揭露清單(Vendor disclosure checklist),並聚焦於物聯網的採購、開發、實行以及維護方面的網路安全性,其重點為:
-
安全基準建議:為物聯網使用者與開發者提供物聯網開發與實行階段的安全基準建議,安全基準建議涵蓋四大物聯網安全設計原則,包括預設安全(Secure by defaults)、嚴謹防禦(Rigour in defence)、問責性(Accountability)及強韌性(Resiliency),並就各原則設定各項安全建議步驟,使用者與開發者可採取這些安全步驟,確保物聯網系統的核心安全級別。
-
威脅建模清單(Threat modelling checklist):此份清單係以做為系統開發者威脅建模的指引,檢視並確保威脅建模(Threat modelling)過程是否正常且系統性地進行。至於威脅建模則是用於分析與發現系統漏洞與威脅,並將威脅進行優先排序,再以合適的風險減緩技術解決安全問題。
-
供應商自我揭露清單(Vendor disclosure checklist):此份清單係以界定物聯網供應者應注意的安全功能與服務,同時也讓物聯網使用者在採購時,得以評估與比較不同供應者提供的物聯網解決方案與系統的安全性。