- Advertisement -
財團法人電信技術中心副執行長林炫佑指出,國發會正在推動亞洲矽谷計畫,倡導物聯網應用,而強化物聯網的資訊安全,則是其中不可或缺的一環。但物聯網應用種類繁多,涉及的設備型態也十分多樣化,這使得守護物聯網資安的工作變得千頭萬緒,產業鏈的各方都必須承擔一定的責任。系統層級的資安檢測標準,則可協助設備製造商、使用者在實現安全物聯網的過程中,逐步理出頭緒,進而落實對應的防禦機制。
具體來說,要實現系統層級的物聯網安全,資安團隊必須先從威脅模型的建立著手,找出可能危害系統安全的資安威脅型態;第二步則是針對這些資安威脅型態進行系統漏洞偵測,找出防禦脆弱的環節;第三步則是針對這些環節進行滲透測試,確認是否能成功滲透。最後則是對此漏洞可能造成多大的損害進行衝擊評估。這套標準作業流程可用來評估物聯網系統的安全程度,且根據電信技術中心的經驗,目前市面上有很多物聯網設備都是有漏洞的,而且很難修補。
林炫佑分析,這些漏洞之所以難以修補,主要原因有以下幾個:一、系統過於老舊,早已有大量漏洞被發現,但原廠已停止對這些系統提供修補或維護;二、系統在設計時沒有把資安納入考量,當發現漏洞時,修補的代價太高。因此,當企業或組織在採購、招標時,就應該把資安規格寫入招標採購書內,這樣供應商才會在產品開發時,把資安納入設計考量。
