NO.53 | 2019.03.29
banner
title有備而來 友善列印>>
IoT-SI 智慧聯網資安查驗辦公室_資通安全組 郭麗靜副理



 
圖1:智慧聯網資安查驗辦公室
(圖片來源: 智慧聯網資安查驗辦公室)
 
      因應物聯網(IoT)技術發展,各界將IoT技術應用於不同領域,從日常應用到工業領域基礎建設,甚至到國家基礎建設或關鍵基礎設施予以創新應用,以提高系統運作效率及整合系統網路提供創新IoT服務。然而,各項智慧聯網裝置應用於IoT領域時,可能因為初步追求能順利運作及使用,而忽略智慧聯網裝置運作中針對重要資訊之資訊安全控管,致使有心人士有機可趁,可取得系統漏洞且攻擊風險日益激增。

      智慧聯網系統從提供娛樂及便利性的應用,逐步擴展至車聯網、醫療、金融、製造及民生等涉及生命安全與財產的應用,資訊安全成為決定智慧聯網垂直應用是否成功的重要關鍵因素之一。為把關智慧聯網資訊安全及落實智慧聯網資訊安全查驗,「智慧聯網資安查驗辦公室」角色因應而生,以協助有意願導入資安查驗之政府單位或企業完成資安查驗,及確保查驗範圍內資訊安全控管措施適切性與符合性。

一、    智慧聯網資安查驗辦公室組織架構與作業流程

      智慧聯網資安查驗辦公室主要由台北市電腦公會(TCA)擔任窗口,集結具備資安查驗能量之法人單位(包含財團法人電信技術中心、財團法人資訊工業策進會、國立交通大學網路測試中心與國家中山科學研究院)組成聯合實驗室,共同成立「智慧聯網資安查驗辦公室」,並建立智慧聯網資安查驗制度,由政府執行或補助計畫推動智慧聯網資安查驗以提升資安防護能力,智慧聯網資安查驗辦公室組織架構說明參考圖1。
圖2:智慧聯網資安查驗辦公室組織架構說明圖
(圖片來源:TTC)
智慧聯網資安查驗辦公室作業流程參考圖2。
  • 智慧聯網應用單位(簡稱應用單位):有意願導入資安查驗之政府單位或企業,提出智慧聯網資安查驗申請,並且配合資安查驗要求提供相關文件及配合時程表進行資安查驗作業。
  • 智慧聯網資安查驗辦公室窗口(簡稱窗口):擔任對外溝通及協調總窗口、智慧聯網資安查驗案件窗口,與辦理教育訓練、案件時程及品質控管,以及交付智慧聯網資安查驗報告。
  • 智慧聯網資安查驗辦公室聯合實驗室(簡稱聯合實驗室):回覆物聯網資安規劃書之意見、依智慧聯網資安查驗規範執行資安查驗工作,以及依據查驗實務制定資安查驗標準作業程序書。
       首先由應用單位向窗口進行智慧聯網資安查驗申請,隨即由窗口擔任召集,並向聯合實驗室討論專案分配及安排資安查驗時程。由聯合實驗室依據資安查驗時程與資安要求向應用單位實施資安查驗工作。資安查驗工作完成後,由聯合實驗室交付智慧聯網資安查驗報告予窗口,窗口審閱後交付給應用單位。
圖3:智慧聯網資安查驗辦公室作業流程說明圖
(圖片來源:TTC)
二、    智慧聯網資安查驗辦公室資安查驗概要說明

智慧聯網資安查驗辦公室提供以下與資安查驗相關服務:
  • 教育訓練:介紹資訊安全基本觀念、物聯網感知設備之安全要求及資訊安全驗證等。透過訓練課程研討,使受訓之學員對於資訊安全基本觀念均能充分瞭解並應用於工作層面。並且提供物聯網資安規劃書框架以供智慧聯網應用單位參閱。
  • 初次資安查驗:安排進行初次資安查驗作業,包含訪談與共識資安查驗範疇,以及檢視各計畫範圍內「資訊安全要求」安全控管因素。
  • 正式資安查驗:安排實地進行正式資安查驗作業,查驗單位將進行《物聯網資安規劃書》文件審查作業、辦理後續文件審查回覆,及檢視各計畫範圍內「資訊安全要求」安全控管因素。
三、    智慧聯網資安查驗辦公室資安查驗主要範疇及資安要求

      智慧聯網資安查驗辦公室資安查驗主要範疇針對物聯網底層至上層,分別為感測層、網路層與應用層,各層各司其職且環環相扣。感測層作用在於識別、感測與控制末端物體各種狀態,並經由感測網路將資訊蒐集並傳遞至網路層;網路層作用在於傳遞感測資訊至應用層的應用系統;應用層作用在於結合資料分析技術及系統重新整合,以提供各種物聯網應用與服務。

      智慧聯網資安查驗辦公室將依據各主管機關所公告「資訊安全要求」,進行智慧聯網資安查驗。資安要求主要包含以下安全領域:(一)物聯網感知設備安全要求、(二)物聯網閘道器安全要求、(三)監控設備之安全管理要求、(四)    系統後台伺服器安全要求、(五)網路連線之安全要求、(六)安全的系統開發、(七)加解密、認證之安全要求、(八)日誌與稽核的安全管理、(九)安全性更新、(十)系統持續運作需求,以及(十一)資訊安全驗證。

圖4:資安要求包含之主要安全領域
(圖片來源:TTC)