淺談安防系統資安國家標準之因應
2023-08-28
全球安防科技網
本文作者為本會秘書長/李豐榮
新聞來源:
萬物聯網的時代,資安相關威脅日益加劇;而自美中貿易戰及美國NDAA以國安疑慮禁止政府機構購買被列入「黑名單」的中國產品(包含影像監控設備)後,全球對網路型安防產品的資安重視程度也隨之升高。
隨著市場對安防產品資安的要求逐漸提升,愈來愈多的廠商也開始關注物聯網(IoT)資安的產業標準、認證標章該如何取得等問題,而去年政府又全面推動將影像監控系統安全國家標準(CNS16120)納入公家機構的採購考量,一時之間,廠商們對於兩者異同、該如何依循…等霎是一頭霧水、不知所措。本文將簡要梳理脈絡,供業界參考。
產業標準熱鬧先行
有鑑於此,經濟部工業局從2017年開始推動「物聯網資安產業標準」,集結產官學研專家意見,持續研擬包括影像監控系統(IP Camera, NVR/DVR, NAS)、智慧路燈、智慧巴士資通訊系統…等資安標準和測試規範,並輔導多家經財團法人全國認證基金會(TAF)認證合格的檢測實驗室。
而為建立完善的檢測認驗證制度(檢驗測試與核發證書兩者為不同單位),工業局起初委由台灣資通產業標準協會(TAICS)為認驗證單位(即發證單位),此時影像監控系統資安標準共有4部:第一部「一般要求」、第二部「網路攝影機」、第三部「影像錄影機」、第四部「網路儲存裝置」,當時通過TAICS資安認證產品的案名即為TS-0014-1~4。之後,影像監控系統資安標準再更新修訂版,工業局於2020年改委由台北市電腦公會(TCA)旗下的行動應用資安聯盟(MAS)來做認驗證單位,此時通過MAS資安認證產品的案名則為IoT-1001-1~4。【編按:工業局此項業務已於2022年8月移至數位發展部數位產業署】
至此,影像監控系統資安標準就有此兩套案名,而持有這兩個認驗證單位所頒發的標章名稱皆為「物聯網資安標章」。但要注意的是,「影像監控系統資安標準」乃屬於產業的標準,而不是國家標準(CNS)。
國家標準安靜出台
國家標準通常都以產業標準為制定的依據,即以產業標準內容再召集相關的產學研專家等,經過多次討論後才會制定成國家標準,因此經濟部標準檢驗局便於2019年將影像監控系統資安標準升格為國家標準,其編號為CNS16120。由於當時業界廠商正忙於搞清楚資安產業標準及相關認驗證方式,便忽略了有CNS16120的國家標準,且由於CNS出台後並未廣為宣導,自然也就乏人問津。要不是去(2022)年12月行政院公共工程委員會發函通知政府各機關,在影像監控系統產品的採購規範上須納入CNS16120而形成了話題,否則CNS16120可能仍安安靜靜地躺著不出閣。
事實上,安防產品有了國家標準應是一件大事,因為所有標準都比不上國家標準(CNS)來的更有公信力,它已是國家級的最高標準了。也因此最近許多廠商不斷詢問有關CNS之事。現在問題來了!安防廠商要如何取得國家標準呢?
如何取得國家標準?
就現下情況來說,首先還是要將產品送去TAF認可的CNS16120檢測實驗室進行驗測——目前僅有財團法人台灣商品檢測驗證中心(ETC)和安華聯網科技股份有限公司2家(當然陸續會有其他實驗室申請認可加入),經實驗室檢測通過後即可取得CNS16120的「認可文件」。然而,經濟部標準檢驗局並未自行或委託其他單位核發所謂的CNS16120「標章」或「證書」,如市面上有雷同者均與標檢局無關,但是否可作為被採購單位認可的文件,則視採購單位自身的認知。
據了解,台灣資通產業標準協會(TAICS)於今年6月1日於其官網上公告可受理CNS16120驗證業務,並宣告可核發通過CNS16120的驗證證書。但此證書屬該單位自行發出,與標檢局無關,也非受政府單位授權核發的文件。
另外,經濟部工業局委由財團法人中衛發展中心(CSD)推動的影像監控產品「MIT微笑標章」,亦於今年4月20日公告將CNS16120納入驗證測試項目,換句話說,當影像監控產品獲得「MIT微笑標章」時,也代表該產品已通過CNS16120檢測並取得「認可文件」(測試報告)。「MIT微笑標章」為經濟部核發之標章,具有一定的公信力及代表性,也是安防廠商取得CNS16120認可的管道之一。
「已獲產業標準」與「取得國家標準」之間的距離
大家一定會問:已獲得和未獲得物聯網資安標章的產品,在取得CNS16120認可程序上有何差異?以邏輯來看,「已獲得物聯網資安標章」的產品在送CNS16120檢測時,應可檢測與CNS16120標準有差異的項目即可,不需再重測。但目前2家檢測實驗室認為,重新申請通過CNS16120的檢測屬於一個新的業務項目,需再重測、出新報告,因此收費標準也視為新案件計價;此舉對廠商而言無異被剝兩次皮,也令廠商卻步。然而,若透過申請「MIT微笑標章」,只需加測與CNS16120標準有差異的項目,並可協助轉證,廠商僅需付加測、轉證的費用,此一管道似乎較為合理。
而「未獲得物聯網資安標章的產品」如欲取得CNS16120通過文件,無論透過申請「MIT微笑標章」或直接送CNS16120實驗室,都視為新案全額計價。廠商從成本與價值考量上,單獨取得CNS16120測試通過文件,與申請「MIT微笑標章」同時取得CNS16120測試通過文件,兩者在費用上落差不大,反而「MIT微笑標章」是政府單位主辦,更有公信力,對產品與品牌的價值相對可提高。
結語
綜上所述,目前產業標準與國家標準CNS16120之間的相對關係確實有點亂,難怪安防廠商們無所適從。建議政府相關單位在業界存在許多困惑下,應有相應對策給予清楚說明、以利遵循,畢竟國家標準CNS16120對安防產業而言,是產業發展的重要指標,不可輕忽!