万物联网的时代,为我们带来愈来愈便利的生活环境,然而,当这些联网设备没有做好信息安全防护,往往也让我们曝露于信息安全风险之中。例如,用于保全的网络监控摄影机(IP Camera),提供如视讯通话、远程监控、直播等服务,皆有可能在远程监控或录像联网时,遭受恶意信息安全黑客攻击。
根据“资策会资安所”最近的抽检,发现部分厂牌设备的韧体,其更新档没有加密,可轻易被窜改,造成启动不需要的预设服务。甚至发现其默认密码容易破解,或通讯内容没有加密等缺失。
在第五期“资讯通信安全发展方案”中,为强化台湾资通讯安全能力,打造数字经济时代的生态系统,提升岛内信息安全产品的核心技术,同时支持岛内业界实际掌握防御面向,将参考国际物联网信息安全标准发展趋势,结合岛内环境需求,推动台湾联网设备信息安全标准与检测制度。
目前台湾制造的网络监控摄影机占全球产品比重约25%-30%。因安装数量庞大,其信息安全漏洞极易造成个人隐私问题,与网络服务应用的损害及财务损失,相关部门将选定台湾最有竞争优势的网络摄影机、监控录像主机(NVR/DVR)等设备,制定“影像监控系统网络摄影机信息安全标准”草案,及“影像监控系统网络摄影机信息安全标准测试规范”草案,以成为产业标准基础,并逐步建立台湾智慧联网设备信息安全检测服务能量。
虽然,智慧连网设备信息安全的国际标准迄今尚未成熟,但是台湾很可能欲藉此时机自主发展产业标准。目前相关部门正连同有关业者晶睿通讯、奇偶科技、友讯科技、中华电信、安华联网等,陆续发展一系列连网设备标准及测试规范,未来将于岛内进行标准实证试炼,再推动与国际标准接轨,提升台湾的智慧联网设备业者的国际市场竞争力。
“影像监控系统网络摄影机信息安全标准”草案,将着重网络摄影机的四大安全面向,包括:系统安全、通讯安全、身分认证与授权及隐私保护,信息安全需求;同时参酌国际上物联网信息安全规范,如ISO 27001、UL 2900系列标准、GSMA IoT Security Guideline,、OWASP Top IoTVulnerabilities、以及日本政府的物联网安全指导方针等标准,制定网络摄影机之安全要求与验证测试规范,做为设备开发商、采购单位与检测实验室共同的规范,将提升台湾物联网环境信息安全水平。
(来源:国家工业信息安全发展研究中心综合整理自台湾“工研院”)