物联网装置五花八门 网络信息安全规范如何兼顾？

时序进入2020年，人工智能(AI)与5G的发展仍不停歇。而在5G进入商转的同时，趁着硬件产业的强盛，物联网(IoT)的发展也因此愈加蓬勃。不过，随着IoT的普及，边缘装置的网络信息安全威胁却随之增加，有越来越多的网络信息安全攻击通过入侵IoT的终端装置，进而进入核心网络窃取信息以进行诈骗等不法行为。

然而，目前IoT网络信息安全的痛点在于，相关装置不仅五花八门，甚至不同装置中的零组件也过于多元化。而这样的状况让IoT难以拥有单一规格的限制，尤其目前全球法规针对IoT的网络信息安全规定也非常稀少，因而让制造业者难以按照一套既有规范，为生产的产品安装一套既定的安全防护机制。

仲至信息科技自2014年成立后，便深耕于IoT网络信息安全领域，主营项目之一便是为客户提供IoT产品网络信息安全解决方案。仲至信息科技总经理洪光钧先生表示，目前IoT网络信息安全在国际上尚未有一套统一标准，因此只能根据IoT的应用产业、出口的国家或区域规范来为IoT产品打造网络信息安全安全解决方案。此外，洪光钧先生也表示，网络信息安全产业确实需要一套统一的网络信息安全标准，这不仅能让厂商有所依据，也能够进一步为客户提升产品的安全性，以增加产品价值。

同时，洪光钧先生还指出，制造业者也许对网络信息安全意识有所感知，但多数不知道该从何下手。因此在网络信息安全愈加受到重视的潮流之下，设备制造商应该作安全规划部署，并及早寻求相关协助，以此加强自身产品网络信息安全防护。

另外，在企业永续发展的潮流下，企业逐渐重视DevOps，换言之便是将开发团队与IT维运团队之间的桥梁建立起来，加入自动化过程以促进彼此之间进行顺畅沟通与协作等，进而有效地维护产品生命周期。不过，洪光钧先生指出在这潮流之下却忽略了安全性在其中也扮演至关重要的角色，因此强调应在DevOps中再加入安全，这就成为了DevSecOps。

相较于DevOps，DevSecOps多了一层安全把关。洪光钧先生提出，过往产品的漏洞惟有在上市之后才能够发现，不过现在却能在开发与设计阶段兼顾安全性问题。在DevSecOps的运作下，安全团队可在开发阶段测试产品可能会出现的网络信息安全漏洞，通过部门间的沟通协作，开发与维运团队将对漏洞做进一步的产品维护与优化。

除了物联网信息安全，仲至信息科技同时还面向企业提供内部网络信息安全评估服务。洪光钧先生提及，对企业进行数字化转型的观察，认为企业仅期盼能够将资料上传云端，却对云端安全太过于自信，因而导致企业将所有资料在没有防护措施的状况下直接上传云端。事实上，资料安全维护与云端维护均属企业的管辖范畴，若是错失警觉性，可能会造成资料信息安全威胁。

针对2020年的网络信息安全趋势，洪光钧先生表示，在COVID-19（新冠肺炎）疫情的影响下，使企业对 VPN、VDI等远程办公的需求及使用量有所增加，也因此增加了相关的网络信息安全攻击与威胁。除此之外，困扰企业许久的勒索软件仍然会是今年主流的网络信息安全威胁之一，不过因攻击方式变化多端，所以唯有提高企业员工的网络信息安全意识才能降低威胁的发生机率。