NO.49 | 2018.11.30
banner
title有備而來 友善列印>>
2018國際共同準則研討會(ICCC, International Common Criteria Conference)之心得_資通安全組 徐瑋辰副工程師



    隨著網路的興起,資訊科技一步步地走進吾輩之生活,重要性日益提升,從以下面向可見一般。曾聞人戲言道,生存4大要素「空氣、水、陽光、Wi-Fi」。歌手陳奕迅2017年推出的EP《海膽&誰來剪月光》其中歌詞提到,「因為故事跟你說了一半,於是擱在所謂雲端,誰忘不了誰孤單」,雲端運算、物聯網、人工智慧等議題雖不能說深植人心,但早就已經不再陌生。然而,「水能載舟,亦能覆舟」,人們享受著資訊科技帶來的方便,同時也將自己的個人資產,暴露於無遠弗屆的網際網路當中,各種IT資訊安全的解決方案百家爭鳴,各個稱道自己產品安全的嫑嫑的,社會亟需一安全評估方法,幫助普羅大眾進行評估保證。

    自20世紀末,歐美各國政府對於資訊安全評估機制大放異采,共同準則(CC, Common Criteria)標準試圖收斂各區域規範,力求成為一個放諸四海而皆準的評估方法論。20多年過去,共同準則固然成為智慧卡、網通設備等產品安全驗證的指標性驗證,但規模較大、較複雜的產品驗證,對大多數的廠商而言,CC驗證耗時太長,通過驗證的時程恐大於產品改版的週期、同時驗證費用所費不貲,甚至高過於驗證產品所帶來的收益。從收斂而發散,十多年來,除了CC驗證的EAL等級普遍下降外,各國政府各自發展出其他的驗證制度,如法國的CSPN、荷蘭的BSPA、英國的CPA等,皆為各國政府採購ICT設備時,進行的資安評估方法。

    我國政府亦公告各項資安檢測標準,如NCC推行「資通設備之安全檢測研究計畫」時,公告防火牆等各項資通安全檢測規範、經濟部行動應用App基本資安檢測等。從行政院國家資通安全會報所公告之「資安管理法」相關細則可見,現有的規劃中,包含管理面、技術面及認知與訓練,惟缺ICT設備於採購時,進行的安全保證相關評估機制。參加ICCC時,見聞歐美、馬來西亞等國皆以CC或其他資安評估進行採購程序。見賢思齊,建議我國政府進行採購時納入資安相關需求,或公告資安檢測方法論、抑或公告核可產品清單供機關選擇,為處理國家、黎民百姓重要資訊之相關設備扮演資安守門員的角色。