記者孟憲玉/台北報導
5G服務上路,臺灣通訊網路速度邁入下一個世代。然而5G帶來大量的IoT(物聯網)布建、網路虛擬化架構,將使得資安防護更加困難。為此,國家通訊傳播委員會(NCC)舉辦「解構5G網路軟體與供應鏈安全技術研討會」,邀請專家針對5G軟硬體、供應鏈及國際趨勢等資安議題,與會交流看法,期待為臺灣5G通訊網路打造成安全、可靠、具韌性的環境。
國家通訊傳播委員會(NCC)委員孫雅麗在開場引言中指出,蔡英文總統上任後,推動資訊及數位、資安卓越、台灣精準健康、綠電及再生能源、國防及戰略、民生及戰備的「六大核心戰略產業」,其中的5G、資安加上AI,絕對是產業的「重中之重」,而臺灣是全球第一個要求電信業者保護5G安全的國家,所以政府也會攜手業者共同打造可以有效保護自己,也能被世界信賴的資安系統及產業鏈。
孫雅麗進一步強調,行政院目前規劃交由NCC成立通訊領域的軟體安全實驗室,將於2021年掛牌營運,並聚焦四大議題(5G相關軟體系統與應用程式的安全、軟體部署及更新的安全管理、安全可信賴的供應鏈管理、用戶隱私的保護),以及兩大平臺(5G安全軟體整合暨開發程序、軟體系統資通安全分析及檢測),協助國內5家電信業者、第三方服務提供者、IoT(物聯網)製造商,做好資安風險的管控,提供民眾可信賴的通訊服務。
▲(圖/財團法人電信技術中心提供)
安全倚靠設計 從源頭建模檢測
提供物聯網技術管理平台服務的Pelion市場拓展資深總監姜新雨指出,5G的商轉建立在IoT的各式應用上,而每個IoT裝置都有密鑰、使用者重要數據資料,業者應設法將這些資料與硬體應用隔離,並保存在安全區域,例如IoT裝置的身分認證採用非對稱加密,因為有PKI(公開金鑰基礎架構),安全性會更高。
很早就與電信業者合作5G服務應用技術的Red Hat Taiwan副首席資深解決方案架構師游政杰,則提出5G全新的資安概念。他說,資訊安全必須持續,並且貫穿整個IT生命週期,每個環節皆不可輕忽,例如安全性要提早從源頭考慮與測試,不要等到最後組成複雜後再處理;採用自動化持續管控,減少人為介入,可以有效避免人為犯錯、惡意破壞或安全防護反應時間差等風險。
VMware臺灣總經理陳學智強調,現階段電信業的發展走向開放平台,全球也有多家大型企業開始測試自己的5G企業專網,相關應用面將延伸到機器人、智慧交通、智慧工廠、智慧醫療等領域,所以往後許多網路運算不會集中在核心端,而會轉移到邊緣端。
▲(圖/財團法人電信技術中心提供)
參考國際趨勢 建構在地適用策略
思科臺灣首席資安顧問游証硯說明5G供應鏈受到國際重視的安全議題,並強調未來的5G應該是一個生態系統,不管是開發者、服務商、在地供應商等,都應注重供應鏈的開發安全,例如思科就運用制式的方法論,協助供應鏈夥伴做到高品質產品不因安全管理的問題,造成更多的危害。
台灣微軟資安產品經理張仕龍從雲端化、軟體化的5G,介紹微軟對5G資安的看法。他說,微軟將台灣打造建立全球第66座Azure雲端中心,同時也希望藉此建立雲端與硬體基礎建設的團隊,並聚焦5G、AIoT的技術整合與策略,因此微軟提供營運商、終端使用者做到更輕鬆的5G資安防護。
中華電信研究所資通安全研究所所長張保中指出,5G的IoT設備安全必須建構在資安防護、資安檢測、資安監控三個面向,像是在資安防護上,應具備設備雙向認證、安全加密通道、身份存取控制,以及重要程式開機合法性檢測與白名單機制;在資安檢測上,聚焦主機、程式應用、資料庫、網路及IoT裝置的安全性;在資安監控上,針對日誌、流量及行為等,進行全方位資安監控。