网络信息安全攻击事件频传 最新物联网设备认验证制度大公开

每当新兴科技与应用出现在市场时，有时会衍生出当初规划时没有想到的问题，如同物联网产品的问市，也伴随着其他网络信息安全攻击事件的发生，例如2016年的Mirai僵尸网络[1]。当我们针对这些物联网产品网络信息安全攻击事件进行探讨时，可以发现这些攻击是建立在使用者未修改物联网产品登入接口的默认密码，再加上用户未完全了解与熟悉物联网产品提供的功能，让具有远程登录功能的物联网产品暴露在互联网上。此外，制造商没有关注网络信息安全议题与趋势，使用不安全的软件设计，例如使用存在已知漏洞弱点的软件套件、没有要求用户设定的密码长度与复杂度，甚至默认开启除错模式等，这些都是恶意软件对物联网产品进行攻击与扩散，所瞄准的产品网络信息安全设计缺失。

针对物联网产品的网络信息安全问题，国内外各组织也积极发展相关产品网络信息安全规范。以台湾地区为例，目前由经济部工业局与通讯传播委员会作为主管机构，委托资通产业标准协会（TAICS）所制定相关网络信息安全检测标准与认验证制度，目前已完成影像监控系统、智能巴士及智能路灯产业网络信息安全标准与认验证制度。制造商可以委托认可的网络信息安全实验室对物联网产品进行网络信息安全检测，通过检测与审核后即可取得产品检测合格证明标章[2]。

在美国则有美国无线产业协会（Cellular Telecommunication Industry Association, CTIA）制定物联网产品网络信息安全认证计划（IoT Cybersecurity Certification Program）[3]。物联网产品制造商欲取得CTIA所制定的IoT Cybersecurity Certification Program证书，可先选择CTIA认可实验室（CTIA Authorized Testing Laboratory, CATL）进行预测作业，接着通过CTIA认证网站发起认证需求，由CTIA认可实验室进行检测，并且将检测报告提交至CTIA审查，以获得CTIA的网络信息安全认证。
   

除了政府或产业协会等组织，大型企业也要求其供货商所制造的产品必须符合其网络信息安全要求，像Amazon便要求所有使用Alexa云端服务的产品都必须交由授权网络信息安全实验室进行网络信息安全检测[4]，最后将测试报告提交至Amazon进行审查，待审查通过之后，方能进行后续产品发布[5]。
   

藉由通过不同的网络信息安全认验证制度，使物联网产品具备抵抗黑客不同攻击手法的能力。网络信息安全认验证制度都是必须由合格的认证实验室进行，由认证实验室所出具的报告，才可以向管理单位申请合格证书。要成为认可实验室首先需通过ISO 17025实验室认证，熟悉网络信息安全标准与认验证制度的检测项目，并且将检测项目变成标准作业程序，从人员、工具、环境及测试手法都必须符合ISO 17025的要求。而仲至信息科技拥有ISO 17025认证的网络信息安全检测实验室，并且取得TAICS、CTIA、Amazon授权，成为认可网络信息安全检测实验室，能针对物联网产品、智能型手机、网络摄影机、Amazon Alexa产品等，进行网络信息安全认证测试，协助厂商取得网络信息安全证书或标章，满足买家要求，进入国际市场。