近年來,物聯網(internet of things, IoT)已在全世界蓬勃發展,相關應用不斷推陳出新,其應用範圍十分廣泛,包括:視訊通話、遠端監控、直播服務等,網路攝影機為此等應用所不可或缺之工具。
而如自動駕駛汽車、智慧製造、智慧城市等應用,影像監控系統運作之良窳將至關重要。
但隨之而來的問題是網路攻擊事件,例如:2016年底網路駭客以Mirai為名的惡意程式(俗稱殭屍網路病毒),藉由網路攝影機為跳板,大規模感染相關物聯網裝置,癱瘓美國網路10小時,此種網路攻擊手法前所未聞,讓人們意識到網路攝影機等影像監控系統各環節安全性的重要。
有鑑於資訊安全是物聯網產業成功與否最主要的關鍵,因此政府提出制定物聯網資安環境標準的目標,包括影像監控系統資安標準、車聯網系統資安標準、物聯網通用資安標準、輔助應用程式資安標準、工控系統資安標準、醫療儀器資安標準及銷售點終端系統資安標準等,以促進國內產業整體優質化及產品競爭力,並確保消費者在影像監控裝置之運用上達到資訊安全的目的。
其中,關於影像監控系統資安標準,標檢局積極結合台灣資通產業標準協會(Taiwan Association of Information and Communication Standards, TAICS)等各界力量制定相關標準,業於去(108)年11月29日制定公布CNS 16120-1「影像監控系統安全-第1部:一般要求事項」及CNS 16120-2「影像監控系統安全-第2部:網路攝影機要求事項」兩項國家標準,分別建立我國在影像監控系統及網路攝影機資安品質的要求基準,包含實體安全、系統安全、通訊安全、鑑別與授權機制安全及隱私保護,從該5大安全面向針對影像監控裝置及網路攝影機加以規範應採取的共通方法。
CNS 16120系列標準係依據台灣資通產業標準協會之 TAICS TS-0014-1「影像監控系統資安標準-第1部:一般要求」、 TAICS TS-0014-2「影像監控系統資安標準-第2部:網路攝影機」、 TAICS TS-0014-3「影像監控系統資安標準-第3部:影像錄影機」、 TAICS TS-0014-4「影像監控系統資安標準-第4部:網路儲存裝置」產業標準, 並參考物聯網相關資安標準/規範,例如:CNS 27001「資訊技術-安全技術-資訊安全管理系統-要求事項」、ANSI/CAN/UL 2900-1:2017「Software Cybersecurity for Network Connectable Products − Part 1: General Requirements」、Groupe Speciale Mobile Association (GSMA) IoT Security Guideline、Open Web Application Security Project (OWASP) Top IoT Vulnerabilities及日本物聯網安全指導方針等,且根據影像監控裝置的系統架構(如圖1)所制定而成。 因此,該系列標準中資安需求的涵蓋率與國際標準的涵蓋率也有非常高的一致性。
就CNS 16120-1而言,該標準規定影像監控系統之資訊安全一般要求事項。影像監控系統係為監看特定場所以達到安全目的,主要是由網路攝影機(IP camera)、數位錄影機(DVR)、網路錄影機(NVR)及網路附接儲存裝置(NAS)所組成,此外,亦監控所有攝影機畫面的監控中心,包括本地端或遠端電腦設備、行動裝置及雲端伺服器,以及連接監控設備之網路環境,包括Wi-Fi 存取點、路由器及交換機等,構成整個影像監控系統。在安全等級方面,為降低或消弭產品之資訊安全威脅,透過最適切的安全組合,以確保產品達到安全之要求。CNS 16120-1標準之表1列出實體安全、系統安全、通訊安全、鑑別與授權機制安全及隱私保護五大安全構面(第1欄);第2欄為各安全構面所對應之該標準內容中安全要求項目條文節次;第3欄為安全等級,分為1級、2級及3級,安全等級大小代表該安全要求之高低,並按各安全要求項目之驗證結果,作為安全等級評估標準。
表1 影像監控系統安全等級總表
至於CNS 16120-2標準則適用於影像監控系統中具連網功能之嵌入式攝影機(如圖2):
圖2 網路攝影機應用架構示意圖
該標準針對網路攝影機提供資訊安全之要求事項,並說明網路攝影機之資訊安全等級及其安全要求事項,以供相關產業業務執行上之參考。在安全等級方面,CNS 16120-2適用該系列標準CNS 16120-1第5節之安全等級。
標檢局將持續致力於CNS 16120系列及其他相關標準的制定,期幫助今後國內相關物聯網設備商於裝置開發時可以該系列標準為依據,且未來公私部門採購時,若能將該系列標準納入採購規範內,將有助於選擇具有高資安品質的網路監控系統裝置。同時,亦可讓該系列標準連結國際,讓國內產品在外銷國際市場時,可以成為具資安規格的優良商品,取得具有特色的競爭力。
上述CNS 16120-1及CNS 16120-2國家標準相關資訊(料)皆置放於標檢局「國家標準(CNS)網路服務系統」,歡迎各界上網查詢閱覽,如需查詢價格或網路操作,請撥打服務專線02-23431980、23431994或02-23414772洽詢。
參考資料來源:CNS 16120-1、CNS 16120-2