人工智慧應用增加導致資安漏洞攀升 2025-10-01 資安人科技網 新聞來源： https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12291 《2025年資安長思維探索：AI 加速時代的韌性》報告顯示，硬體、API 和網路漏洞急遽增加，使企業組織面臨新興風險。資安業者 Bugcrowd 於 9 月 23 日發布的年度報告彙整了全球漏洞回報與揭露計畫中數十萬筆資安弱點的資料。 人工智慧擴大攻擊面 研究發現，AI 輔助軟體開發加速創新的同時，也擴大了資安攻擊面。透過 快速發布週期推出的應用程式，經常在存取控制、資料保護和硬體安全方面存在漏洞 。攻擊者正利用這些被忽視的入侵點，特別是應用程式介面(API)。 Bugcrowd 資安長 Nick McKenzie 表示，我們正處於一場高風險的創新競賽。每一次 AI 的進步都使資安環境變得更加複雜。攻擊者雖然利用這種複雜性，但仍然鎖定硬體和 API 等基礎層面進行攻擊。沒有一個資安長能單獨贏得這場競賽。 幾乎無限的攻擊面和開放性漏洞呈現了一個難以克服的挑戰。專家認為，防禦者正面臨一個新時代，「每個人都可能成為零號病患」，而這些新型態的威脅正在取代過去可預測的傳統攻擊手法。 基礎安全弱點持續攀升 Bugcrowd 2025年分析報告揭露了以下值得關注的趨勢： 物聯網普及導致硬體漏洞增加 88% 81% 的資安研究人員表示過去一年中發現新的硬體漏洞 關鍵漏洞獎金支出上升 32% 存取控制失效漏洞增加 36%，成為最主要的漏洞類型 敏感資料外洩漏洞增加 42% 應用程式介面(API)漏洞增加 10% 網路層級漏洞數量成長一倍 Noma Security 資安長 Diana Kelley 指出，存取控制缺陷和敏感資料外洩等基本安全問題仍是最主要威脅。具有自主決策能力的主動式人工智慧系統若缺乏完善監控機制與權限控管，將使這些問題更加嚴重。 資安長角色的轉變 報告也反映資安長角色的轉變，必須在維持技術專業深度與拓展業務協同能力之間取得平衡。 資安長的角色必須融入更廣泛的企業對話中。然而，公開場合的職責不應干擾資安長的首要任務—以最積極主動的方式保護企業免受資安威脅。法規成為推動資安長「 透過靈活且協作的資安實踐，更加關注業務賦能 」的主要動力。 AI 驅動的身分冒用風險持續攀升，已遠超傳統釣魚攻擊的範疇，更演變為透過深度研究和 AI 技術支持的精準冒用。分層式安全控制機制需超越簡單歸咎「人為疏失」的思維，轉向能即時偵測並阻擋這些複雜攻擊的系統。Bugcrowd 報告結論強調，集體情報分析與持續性滲透測試將成為對抗日益嚴峻數位威脅的關鍵要素。 < Previous News Next News >

台灣智慧安防工業同業公會 公會講座活動花絮 請點選相簿放大觀看 S__59613410 S__59613409 69764 S__59613410 1/12 DSC_3429 HS (112) 20201020_201020_6 DSC_3429 1/46 2020/12/18 邊緣 AI 運算於行動影像之應用 & 資安議題下的後海思時代、區塊鏈下談安防產業上鏈 講座 IMG_9185 IMG_9188 IMG_9181 IMG_9185 1/7 110.3.26 S__14557246 S__14557251 110.3.26 1/6 2021/03/26 AIoT安防新視界 講座 2021/06/23 智慧安防AI技術落地應用 線上研討交流會 S__59613410 S__59613409 20200807-第一次 S__59613410 1/14 2020 0814 人工智慧與深度學習於視訊監控之十八項武藝講座 HS (112) HS (111) 20201020_201020_6 HS (112) 1/46 2020 1016 公會辦公室啟用酒會 擷取 IMG_9188 IMG_9185 擷取 1/8 2020 1023 崛起於危機之中-談企業情境規劃講座 2021/07/22 線上第一屆第一次安控設備 資安技術暨介接標準委員會 2021/07/29 SECPAAS資安服務模式 與企業資安評級介紹 2021/08/11 門禁系統廠商意見徵詢 線上會議 2021/08/12 SECPAAS資安工具服務 線上體驗活動 2021/08/20 第一次門禁系統資安標準 制定草案小組 2021/09/03 第二次線上門禁系統資安 標準制定草案小組 2021/09/16線上 安防AI技術 與解決方案實務應用交流會 2021/09/23 第一次門禁系統資安標準 制定專家審查會議 2021/09/24 興創知能產業AI落地實證 與擴散會議 2021/10/04 昇銳電子產業AI 落地實證與擴散會議 2021/10/20 第二次門禁系統資安標準 制定專家審查會議 2021.1223安防產業趨勢發展研討會 謝君偉-人工智慧新發展應用於安防之未來 趙緝熙-建構資安的個資問題探討 2021.1223安防產業趨勢發展研討會 1/11 2021/12/23 安防產業趨勢發展研討會 1/10 2022/06/10 門禁系統資安標準認證-輔導 講座【第一部：一般要求】 S__59613410 S__59613409 20200807-第一次 S__59613410 1/14 2020 0814 Add a Title Describe your image Add a Title Describe your image Add a Title Describe your image Add a Title Describe your image 1/4 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600

美國政府將全力發展後量子密碼系統 2022-05-06 行政院國家資通安全會報技術服務中心 新聞來源： https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16739 美國總統拜登要求政府機關採取行動，將易受量子電腦衝擊之密碼系統，移轉為後量子密碼系統，以降低量子電腦對美國網路安全造成之風險。 美國總統拜登5月4日簽署第10號國家安全備忘錄(National Security Memorandum, NSM)，要求政府機關採取行動，將易受量子電腦衝擊之密碼系統，移轉為後量子密碼系統，以降低量子電腦對美國網路安全造成之風險。 該備忘錄概述量子運算所產生之風險，量子運算應用發展之一，是用於密碼分析相關之量子電腦（Cryptanalytically Relevant Quantum Computer，CRQC），其可破解全球通用之公開金鑰密碼系統，並危害民用與軍用通信，破壞關鍵基礎設施之監控系統，以及使大多數網路金融交易之安全協定失效。 美國國家安全局(NSA)亦發布相關公告，依白宮發布第10號國家安全備忘錄，做為國家安全系統(National Security Systems, NSS）之管理者，目前使用該系統約50多個政府機關，因系統具機密資訊，對軍事與情報行動至關重要。因此，國家安全局將監督系統移轉過程，協助50多個使用該系統之政府機關將所有易受攻擊之加密系統加上抗量子加密技術。 美國網路安全暨基礎設施安全局(CISA)與國家標準暨技術研究院(NIST)將協助政府機關與關鍵基礎設施之資通系統，進行抗量子加密技術轉換工作。政府機關被要求2035年前轉換使用後量子密碼系統，以盡可能降低被破解之風險。CISA與NIST正努力制定抗量子密碼學之技術標準，第一套標準將於2024年公佈。 < Previous News Next News >

2025年 國際安防展 參展補助開跑！ 越南展：8月14~16日 澳洲展：8月27~29日 越南．澳洲 本會已申請2025年經濟部國貿署推廣貿易業務補助(海外參展)，計畫籌組澳洲、越南國際展會參展團，即日起開放會員報名！ 展覽日 期：8月14~16日 展覽地點：越南．胡志明市 SECC會展中心 參展費用：新台幣 125,000 /1標攤 公會補助：新台幣 60,000 /1標攤 （已額滿！） Secutech Vietnam是越南最大的專業安防展。它還將與越南消防與安全、越南 SMAbuilding同期舉行。該展會將展示物聯網和人工智能 (AI) 實現的硬件、軟件和組件的集成；2024年邀請到15,569位參觀者、同時進行了超過450+ VIP買主媒合會。 〔越南消防與安全〕得到了地方當局、協會和私營部門的支持，並利用了他們的基礎設施項目和不斷增加的消防安全設備投資。 〔Secutech Intelligence Building Vietnam (SMABuilding)〕滿足越南對智能建築解決方案日益增長的需求，以提高安全性、能源效率和管理。智能家居、公寓樓、商業建築和智能工廠是四個重要應用領域。 欲了解更多展會資訊： https://secutechvietnam.tw.messefrankfurt.com/hochiminhcity/en.html secutech Vietnam 2025參展補助開跑！ .pdf 下載 PDF • 1.16MB 展覽日期：8月27~29日 展覽地點：澳洲．雪梨 ICC會展中心 參展費用：新台幣 210,000 /1標攤 2025年4月30日前報名享早鳥優惠， 新台幣 200,000 /1標攤 公會補助：新台幣 100,000 /1標攤 （已額滿！） 澳洲雪梨安防展覽及會議已舉辦38年，是連接澳洲安防產業最重要的貿易活動。 2024年展會共吸引超過9,000位安全專業人士前來參觀交流；其中包含當地重要的企業單位，包含：• Acetek Health & Aged Care • AGL Energy • Asx Operations • Australian Broadcasting Corporation • Australian Defence Force • Australian Federal Police • Brisbane Airport EXTEND YOUR REACH • Bunnings Group Limited • CBA • Dept of Communities & Justice • Dept of Defence • Dept of Home Affairs • Olympic & Paralympic Games Group • Queensland Police Service - Protective Services Group • Sydney Airport Corporation • Sydney Trains • Wesfarmers • Woolworths Group…等。 欲了解更多展會資訊： https://securityexpo.com.au/whats-on [更新]2025澳洲國際安全博覽會-Security Exhibition＋Conference_貿友展覽 .pdf 下載 PDF • 1.59MB ［安防公會］2025年澳洲國際安全博覽會－參展報名表 - 貿友展覽 .pdf 下載 PDF • 146KB 參加由公會籌組之參展團者，申請補助之條件： 1). 依經濟部合法登記設立之進出口公司或商號 2). 前一年具有進出口實績 3). 必須為本會會員 有意願參加之廠商，請洽詢： 台灣智慧安防工業同業公會 秘書處 02-22210617 / Email: tiaiss@tiaiss.org.tw 1/1 < Previous Project Next Project >

< Back 第一屆第八次理監事會議 彭園餐廳板橋店(新北市板橋區雙十路二段239號4樓) 2022 Feb 18 17:00~18:30 主要議案： 1、會員入會案。 2、110年度工作報告及決算報告案。 3、面對2035碳中和、2050零碳排，公會如何輔助廠商。 < Previous Next >

第二屆第四次理監事聯席會議紀錄 2023年8月24日 上午6:00:00

政府將投入54億持續推動智慧運輸發展，期達成“3 Go”效益 2024-01-22 全球安防科技網 新聞來源： https://www.asmag.com.tw/showpost/12818.aspx? 國發會審議通過「智慧運輸系統發展建設計畫」全案將陳報行政院核定，預期可達到以人為本價值共創、科技創新產業升級綠色永續智慧淨零等效益。 國發會於1月22日召開第117次委員會議，審議通過行政院交議、交通部陳報之「智慧運輸系統發展建設計畫（2025～2028年）」，全案將陳報行政院核定，預期可達到以人為本價值共創（GO SAFE）、科技創新產業升級（GO SMART）、綠色永續智慧淨零（GO GREEN）等效益。 國發會表示，隨著資通訊技術快速發展，智慧型行動裝置普及、雲端技術、巨量資料及物聯網等科技發展趨勢，交通部於2017年啟動「智慧運輸系統發展建設計畫」，第1期計畫期程2017～2020年、計畫總經費30億元，第2期計畫期程2021～2024年、計畫總經費42.87億元;為持續導入科技以提升交通安全、順暢與無縫，擴大推動我國智慧運輸發展，以達「政策創新引導產業發展，由產業發展改善生活環境，透過智慧運輸科技打造完整移動力生活」之願景，爰交通部擬具本計畫（2025～2028年），強化我國智慧運輸系統發展，總經費54億元，其中公共建設計畫經費43.74億元、科技發展計畫經費10.26億元，以擴大推動我國智慧運輸發展。 國發會進一步說明，透過本計畫辦理智慧運輸系統發展，可服務弱勢使用者次數達每年服務10萬人次、提升路口安全警示涵蓋範圍每年較基期擴大100%、增加智慧路廊數位化升級涵蓋範圍達涵蓋600公里、降低二氧化碳排放達每年減少碳量10萬公噸、執行綠運輸碳足跡盤查達參與200萬人次、提升智慧運輸相關產業年產值達250億元產值等效益，藉由中央與地方攜手民間，強化交通產業合作以提供幸福與永續智慧運輸，營造人民有感服務。 < Previous News Next News >

中美安防監控攝影機製造簡史 2020-09-10 SCW 新聞來源： https://www.getscw.com/knowledge-base/usa-and-chinese-manufacturing 美國監控攝影機製造商是如何錯過 IP 攝影機的革命，並且不再擁有大多數的相關專利？ 在 1990 年代，BOSCH、PELCO、HONEYWELL、SONY，和 SAMSUNG 都製造了高品質的類比設備。這些公司生產的攝影機具有許多不同的品質等級，但是在大多數情況下，他們通常都透過在設備中，使用優良的零組件，並具有良好的保修制度*（*它們會因零售商而異）而保有良好的市場聲譽。 但是，出於我們將要解釋的原因，美國監視攝影機製造的主要參與者，現在經常只是對「兩大」中國公司（海康威視和大華）專注於 IP 攝影機的產品，進行重新貼標籤/修改。 例如，SCW 於 2017 年推出的 Vantage NVR 系列，而 HONEYWELL，或 GE 於 2017 年推出的 GE 品牌 NVR，都是在同一家中國的工廠所生產製造。為什麼 HONEYWELL 或 GE 不自己製造產品？這是關於 90 年代和 2000 年代初期發生的事情的一些歷史。 在類比時代 在 1990 年代後期，這些公司中的每一家都是監視方面的領先製造商。他們每年在安全產品上的投入，在 5 到 150 億美元之間，其中大部分用於類比攝影機。現在，類比是電視解析度品質（或更差的解析度）的影像信號，它是透過銅線直接傳輸的影像信號。 與此同時... 大約在同一時間，高清 IP 攝影機開始起飛。 高清 IP 攝影機的數位信號是透過 Cat5 網路線來區隔。 錯失的機會 一個主要品牌的首席執行官，將 IP 攝影機稱為「時尚」，而在美國主要品牌中，沒有人跳槽去製造 IP 攝影機。 以下是一些著名貿易雜誌的引文，談到主要品牌的數位 IP 攝影機的製造缺乏動機。 Scott Schafer 說，在 2011 年的價值 20 億美元的影像安全業務中，約有三分之二生產的攝影機是類比攝影機。–Commercial Integrator 「過去幾年中，傳統的影像監控設備提供商對 IP 產品的接受和推廣緩慢，」– CSO 美國監視公司為什麼錯過機會 AXIS 發明了 IP 攝影機；而依 SCW 這家美國廠商的說法 ，是台灣的 Geovision 是推廣 IP 攝影機的主要公司之一。儘管 Axis（是瑞典公司，而不是美國公司）在 1996 年是第一家製造 IP 監控攝影機的公司，但當時 Axis主要的業務，是大型機和列印機伺服器的製造公司。 台灣公司 Geovision，是最早真正進入 IP 世界的公司之一。在 2000 年代初期，Geovision 佔領了 IP 攝影機市場的很大一部分，但是，由於意識到越來越多的新公司，將進入數位監控攝影機市場，Geovision 決定對使用者，嘗試使用的每台非 Geovision 攝影機收取年費，才能允許使用 Geovision 設備。 收取這筆費用是有原因的：很難去支持外部製造商的攝影機產品，因為每家公司都有與其攝影機/ NVR，進行不同語言的通信協議。 2008 年，市場上成立了兩個行業組織：開放網路影像協議論壇（ONVIF）和實體安全互操作性聯盟（PSIA）。兩者都具有創建一種通用語言協議的想法，因此，原來只有數百種語言可以支持數百種語言。 ONVIF 的創建者包括 Axis、Bosch、Canon、Sony、Cisco 和 Panasonic 等供應商。 PSIA 的創始成員包括 HONEYWELL、IBM、STANLEY 安全解決方案、SAMSUNG 和德州儀器。這是向前邁出的一大步，並允許更好的互操作性，但是兩個競爭的跨品牌開放通信標準，並沒有比沒有更好。製造商在爭用哪種開放標準。 Geovision 從許可費中獲得的收入是如此可觀，以至於他們甚至決定在 PSIA 和 ONVIF 創建後繼續收取費用。但這是一個災難性的決定。在短短的幾年內，Geovision 將從 IP 監控攝影機的市場佔有率領導者，轉變為事後的想法，因為人們不想支付許可費。 同時，中國「兩大巨頭」贏得了很大的市場佔有率，這得益於中國生產成本的降低，許多早期發明已申請了專利，以及對標準化的渴望。由於兩大巨頭將 ONVIF 完全融合在一起，因此 PSIA 成為了警報和生物辨識標準。 美國主要品牌為什麼不設計自己的 IP 攝影機？ 回想起來，很容易批評這個決定。很少有人懷疑電視會完全轉換到高清，而數位攝影機市場已經轉換了，為什麼監控會有所不同？ 大公司認為監視不會轉換到高清有幾個原因： 在 90 年代末 - 2000 年代初，價格居高不下。您買得起一台昂貴的高清數位攝影機，但是當時買不起 8-30 台高清監控攝影機 - 這些公司沒料想到的是，價格變化的速度有多快，以後跳入的難度有多大。 第二點：美國主要製造商的分銷通路，主要是透過安裝工程商進行的，這些安裝工程商通常不懂電腦網路，而且早期的 IP 攝影機很難設置；安裝人員的分銷通路對 IP 監控很感冒，並且在當時是行業中非常強大的力量（現在仍然如此）。美國的兩個主要分銷通路是 ADI 和 Tri-Ed，它們是數十億美元的銷售通路規模，在很大程度上主導了該行業的價格。 第三：美國大型製造商已經在解決外包的問題，以及推動其類比產品生產的成本；在 1990 年代末/ 2000 年代初，他們已經從美國生產轉移到海外生產。最高層的人員全力以赴，而轉向 IP 攝影機，意味著當他們已經從美國電氣工程師轉移到中國或印度電氣工程師時，必須將大量人員從電氣工程師過轉移電腦網路安裝工程商。對於那些公司來說，人員流動可能太多了。 Schafer 說：「有些公司錯過了（類比數位的轉換）整個過程，因此他們現在必須從第三方公司採購，才能參與其中。」–Commercial Integrator 美國大多數主要製造商，都與「中國兩大巨頭」之一分包合同，以創造一種獨特的產品，其品質要比以其品牌之一出售的「兩大巨頭」大眾市場產品更高。 這就是他們所做的（並且仍然在做）。現在，大多數美國大品牌都從中國的一家工廠購買設備。透過「兩大」中國製造商：海康威視和大華製造了市場上約 90％ 的 IP 攝影機。 「中國製造 2025」政策重塑中國的領先地位 2015 年，中國通過了《中國製造 2025》政策。該政府計劃試圖通過將所有其他供應商停業，將所有電子製造商集中到中國。這項政府政策透過直接向使用中國零組件的電子製造商（安全攝影機、電視，任何「高科技」產品）提供現金或貸款激勵，從而補貼了製造電子產品的成本。 從外部看，要計算電子製造商獲得確切的補貼，幾乎是不可能的，但是這很重要 - 數十億美元。換句話說，根據在中國設計、開發和製造的單個組件的多少，正在補貼製造電子設備成本約 1/4 至 1/3 的費用。 這兩大巨頭，鞏固了已經具備的技術優勢。美國製造商不僅必須與成本更低的勞動力，更寬鬆的環境法律，以及克服技術缺陷的競爭，而且還必須與能夠，甚至要與更低的成本出售設備獲利的製造公司相提並論。 美國政府沒有為美國的電子產品生產製造商制訂類似的補貼計劃，並且大多數電子產品生產（不只是攝影機）都將美國逃到了中國。 關於補貼政策 我們希望，不要在這裡直擊反補貼政策的討論。實際上，補貼通常非常重要。 美國在其他行業，已經通過了自己的現金和貸款補貼。例如，美國補貼玉米和石油的生產。大多數基於美國的補貼政策，與戰爭時期保護美國的人民有關，但有時是政治遊說的結果。 例如，如果重要的是墨西哥的所有食品，對美國來說就會便宜一些，但如果美國與墨西哥交戰，它們可能會使美國的人口挨餓。美國曾經從中東獲得大部分石油，顯然是在 1970 年代證明了，依靠其他國家滿足我們的能源需求，是巨大的風險，是不容忽視的。 有時，為了保持軍事實力（如糧食案例），或防止周圍的經濟崩潰（如 70 年代的能源危機），補貼是必要的，但它們絕對不是自由市場的經濟理論。 美國曾經資助醫學研究，低收入住房，大量出口商品，許多貸款和金融產品，以及汽車的補貼政策。 對中國的評論 我們也不想在這裡，提及到反中的議題。 但像中國這樣開發中的國家，存在一個重大的問題，即「中等收入差距」，由於低廉的就業成本，製造業向這個國家移入。良好的工廠工作會導致大量人從所在地的農村轉移到城市地區的工廠。 這些人發展製造技能； 隨著人們獲得更多技能，工資會上升。 隨著該國較高比例的人獲得傳統的「工作」，而不是在農場打工，隨著失業工人的供應減少，工資再次上漲。 最終，工資上升到工廠被迫離開，並再遷移到另一個未開發國家的情形。 這就是為什麼存在像「中國製造 2025」這樣的過程的原因。 中國有權對他們選擇的任何產業進行補貼，但是，如果你正在尋找，幾乎所有電子製造業都離開美國的首要原因，那麼答案就是補貼水準不同。 美國政府對許多中國商品徵收提高 10％ 的關稅 2018 年，美國對在中國製造的電子設備徵收 10％ 的關稅，並威脅要將該關稅提高到 25％。 SCW 不是一家政治公司，但這至少是為了扭轉「中國製造 2025」政策的效果，至少對於監控攝影機行業而言，有點草率。例如，此資費範圍涵蓋攝影機，但不包括錄影機或支架。 一些公司聲稱，如果將安全攝影機系統捆綁在一起進口，則不包括在內。（SCW 不贊成這種觀點，而是對我們進口的攝影機支付關稅。）一些公司還聲稱，如果您分別進口每個產品（攝影機、錄影機和硬碟驅動器），然後將它們全部裝在美國這裡，那麼您可以說「美國製造」，然後逃脫關稅。 （SCW 也不同意這種觀點。） 美國政府將關稅提高到 25％ 2019 年 5 月 10 日，美國政府將該關稅提高到 25％。 川普總統簽署了關於「外國對手技術」的行政命令。 2019 年 5 月 15 日，川普總統簽署了一項行政命令，指示商務部長在 150 天內草擬規則，禁止美國公司使用「外國對手技術」開展加稅的業務。儘管這還沒有命名任何監視攝影機製造商的名稱，但這與 NDAA 中使用的語言相似，並且可能會在某種程度上影響海康威視和大華。 美國政府禁止兩大巨頭供美國政府使用 2018 年 8 月 13 日，美國政府通過了一項於 2019 年 8 月 13 日生效的決議，以防止聯邦政府和任何參與國家安全的人購買最初在中國 4 家特定工廠生產的 360 監控攝影機。 ，包括「兩大中國巨頭」。 該禁令是 2019 年《國防授權法》（NDAA）的一部分，影響部分或全部 Honeywell、Hikvision、Dahua、Lorex、Swann、LTS、Annke、Alibi、Laview、WBox、Interlogix、Flir、Bosch、ICRealtime、QSee、Panasonic、ADT 與 Indigo Vision cameras 攝影機。 請參閱我們的 2019 年聯邦 NDAA 指南知識庫文章，以獲取有關影響監視行業的立法的概述，該立法將於 2019 年 8 月 13 日生效。 SCW 的 Admiral 和 Imperial IP 攝影機和 NVR 產品線不受此聯邦使用禁令的影響。 美國眾議院外交事務委員會寫信提議，對海康威視/大華實施進一步制裁 2019 年 3 月 4 日，美國眾議院外交事務委員會提議，對海康威視和大華實施《馬格尼茨基法案》的其他制裁措施，因為它們參與了維吾爾族的「再教育營」。 《馬格尼茨基法案》的制裁，可能導緻美國政府沒收設備和資產，處以罰款，吊銷許可證或阻止產品進口等。 如果企業的政府合同或其他要求，強迫企業購買美國製造的設備怎麼辦？ 有時，聯邦政府的招標和合同，要求要在美國製造的攝影機。 如果您的合同有這些要求，請確保批准 SCW 訂單的人，都知道我們的設備在中國製造。 通常，您可以免除這些規則。 為什麼我們傾向於獲得例外 （1）坦白說，選擇不多。如果您想要純美國製造的攝影機，那麼我們唯一知道的，在美國就是只有 Arecont Vision 和 Avigilon。有傳言說 Arecont 已經破產了好幾年，而且剛剛從一家中國企業集團那裡，通過了一項被收購後協議，這基本上意味著，迫使政府在美國購買攝影機的網路安全問題，在很大程度上尚無定論，因為就細節來說，Arecont Vision 是美中共享的一家中國公司。 而 Avigilon 是一家加拿大公司，在美國進行一些製造。實際上它也是一家軟體分析公司，每月收取（非常出色的）影像分析費用。政府機構和都市監視部門經常使用 Avigilon，但它們非常昂貴，有時對某些項目而言過於誇大。 （2）請勿將其連接到 Internet 或內部網路。聯邦政府對安全攝影機的大多數擔憂，源於敵對政府的駭客攻擊，它們有可能迫使其攝影機製造商在其設備中，放置後門或受感染的代碼。不管外國政府是在強制更改代碼，還是在偶然地發生這種事情，都是無關緊要的： 例如，最近一群羅馬尼亞人，入侵了華盛頓特區的所有警用攝影機，而與這些攝影機的製造地無關。索尼不在中國，最近發現它擁有大量帶有後門帳戶的設備。我們認為你不能 100％ 防止駭客入侵，因此建議你以其他方式解決問題。 SCW 在支持接入網站上，有防止 IoT 駭客入侵的最佳做法（在最新駭客入侵的頁面上，也可能列出有新聞報導）。我們銷售的攝影機系統，是一種比較獨特的方法，在我們的 NVR 中內置了一個子網，這可以透過將攝影機放置在具有子網路的網路上，來減少可被駭客入侵的設備數量。 對於擔心駭客入侵，並希望從美國採購本地產品，以降低這種風險的聯邦政府，實際上我們建議僅創建第二個單獨的網路連接，以使攝影機和電腦之間存在實體屏障，並可能帶有敏感文件或流程。最後，我們的大多數的軍事客戶，甚至根本不允許外界任何攝影機系統的訪問。我們強烈建議所有軍事基地，都使用此功能 - 無論你從我們，還是任何其他製造商那裡購買。 Mobotix 不在德國，而 Axis 在瑞典製造。它們有時都用於聯邦項目。 分銷網路和價格 絕大多數安全攝影機主要透過零售商，或 ADI 或 Tri-Ed 等分銷通路銷售。 ADI 和 Tri-Ed 是數十億美元規模的分銷通路公司，可以為安裝人員和監視專家協商設備的價格；它們的主要作用是保持較高的零售成本，和較低的安裝工程價格，以便其安裝工程網路，可以從銷售監視設備中獲利。 Bosch、Honeywell、Pelco、Sony 和 Axis，透過 ADI、Tri-AD 和零售商展開大部分業務，因此，他們非常在意將產品銷售給分銷通路的價格。美國製造商的零售額不高，這意味著他們不在乎零售價是多少。 新聞來源： 3S Market 市場資訊網 http://3smarket-info.blogspot.com/2020/09/ip.html (原文出處為：SCW) https://www.getscw.com/knowledge-base/usa-and-chinese-manufacturing < Previous News Next News >

< Back 物聯網產品資安標準檢測輔導(線上)說明會議 Google Meet 線上會議 2023 0220 14:00~15:00 < Previous News Next News >

關於CNS16120國家標準與產業標準說明 2023-07-12 本會秘書處 新聞來源： 關於CNS16120國家標準 與產業標準TAICS( TS-0014-1~4)及行動應用資安聯盟 (MAS IoT-1001-1~4 ) 之相對關係說明(Q&A) 一、背景說明（緣由） 1. 安防產品進入IP化後，資安的議題即開始被思考，被考慮，透由對資安的疑慮， 網路監控監視之產品如 IPCam、NVR、DVR隨即被關注，再進入IOT 時代，聯 網型的設備(產品)對於資安的考量更加重視，因此 經濟部工業局於 106年開始推動 物聯網資安產業標準，集結產官學研專家意見，持續研擬包括網路攝影機、智慧 路燈、智慧站牌等資安標準，並輔導多家合格檢測實驗室，建立完善的檢測認驗 證制度。 2. 為建立完善的檢測認驗證制度，經濟部工業局起初委由台灣資通標準協會 (TAICS) 為認驗證單位(發證書單位)，此時影像監控系統資安標準以TACIS為名，即TAICS (TS-0014-1~4)，由TACIS認驗證通過的產品即發證書，之後， 影像監控系統資安 標準再修訂提升 (修訂版)，經濟部工業局此時委由台北市電腦公會(TCA)旗下的行 動應用資安聯盟 (MAS)來做認驗證單位，此時 監控系統產品要 送測驗證的 監控系 統資安標準即採用修訂版，即 IoT-1001-1~4版本，而持有這兩個認驗證單位所發 的標章其名稱為：物聯網資安標章，乃屬於產業的標準，不是國家標準(CNS)。 3. 經濟部標準檢驗局於108年將上述物聯網資安產業標準之影像監控系統系列的資 安標準升格制訂為國家標準(CNS)，其編號為16120，而影像監控系統系列的資 安標準有四部─第一部: 一般要求、第二部: 網路攝影機、第三部: 影像錄影機、 第四部: 網路儲存裝置，故國家標準編號為CNS16120-1~4。 二、欲取得 國家標準CNS16120之相關問題，以下簡略說明 (以Q&A方式說明)： Q1：如何申請CNS16120認證？ (1) 首先，還是要先送產品去 TAF認可的CNS16120檢測實驗室做驗測，其程序跟取 得物聯網資安標章是一樣的程序。 (2) 本會所知，目前經TAF認可檢測CNS16120的實驗室有二家：財團法人台灣商品 檢測驗證中心(ETC)及安華聯網科技股份有限公司，陸續會有其他實驗室申請認 可加入。 Q2：哪些單位可受理CNS16120認證，並提供通過文件或說明書？ (1) 首先須說明：目前政府單位CNS的主管機關經濟部標檢局並沒有核發所謂的 CNS16120「標章」或「證書」，如市面上有雷同者均與CNS的主管機關經濟部 標檢局無關。 (2) 目前已知 台灣資通標準協會 (TAICS)於今年6月1日於其官網上公告可受理 CNS16120驗證業務，並宣告可核發通過CNS16120的驗證證書，但此文件誠屬 該單位自行發出的，與經濟部標檢局無關，也非受政府單位授權核發的文件。 (3) 另外，目前正在推動的影像監控系統產品 MIT微笑標章亦將CNS16120納入驗證 　 測試項目，申請安防MIT微笑標章驗證基準內容(112年4月20日公告修正)新增： 　 該產品須通過CNS16120系列資通安全標準，即影像監控產品獲得MIT微笑標章 時，同時代表該產品已通過CNS16120並取得驗測通過文件(測試報告)。 MIT微笑標章為經濟部核發之標章，具有一定的公信力及代表性。 Q3：已獲得物聯網資安標章的產品與未獲得(以下稱：新案件)在辦理CNS16120認證上之差異？ (1) 在邏輯上，已獲得物聯網資安標章的產品在送測時應可檢測與CNS16120標準有 差異的項目即可，不須重測，但目前檢測實驗室則認為，重新申請取得通過 CNS16120 的檢測屬於一個新的業務項目，需再重測，出新報告，因此收費標準 將視為新的案件計價。 (2) 已獲得物聯網資安標章產品透過申請MIT微笑標章案件只需加測與CNS16120的 標準有差異的項目不須重新再測，並可協助轉證，其費用只收加測、轉證費用。 (3) 目前申請MIT微笑標章執行單位為財團法人中衛發展中心，委託辦理產品驗證基 準之資安檢測(CNS16120)之實驗室為財團法人台灣商品檢測驗證中心(ETC)。 (4) 新案件申請物聯網資安標章的產品如需取得CNS16120通過文件，不論透過申請 MIT微笑標章或直接送實驗室驗測都是全額計價。 (5) 就費用之比較，單獨取得CNS16120之測試通過文件，與申請MIT微笑標章亦可 取得 CNS16120之測試通過文件兩者在費用上落差不大，反而MIT是政府官方單 位主辦，取得文件是官方的，較有公信力，又可獲得MIT微笑標章，對產品與品 牌之價值相對可提高。 「影像監控系統產品」 2份產業標準、1份國家標準及M I T國家標章： < Previous News Next News >

如何準備門禁系統資安送審文件給驗證公司？ 2024-07-09 全球安防科技網 新聞來源： https://www.asmag.com.tw/showpost/12966.aspx? 台灣自2022年發布「門禁系統資安標準暨測試規範」後，取得相關認驗證成了門禁廠商的重點工作，而將產品送到TAF核可的實驗室進行資安檢測更是重中之重。 在現代企業和機構中，門禁系統已成為確保安全和控制人員進出的重要手段。為了確保門禁系統符合行業標準和法規要求，許多公司選擇將其系統送至驗證公司進行評估。準備這些文件的過程既需要仔細的規劃，也需要精確的執行。以下是如何準備門禁系統文件送審的指南。 一、確認驗證標準 第一步是了解並確認驗證公司所依據的標準和規範。目前在台灣，法國必維國際檢驗集團（Bureau Veritas, BV）是依據行動資安聯盟網站上面的IoT-2006-6 v2.0-門禁系統資安測試規範（6本）與IoT-2006-6 v2.0-門禁系統資安測試標準（6本），一共12本做為測試依據。 測試規範與測試標準的差別是在於，規範內明確定義了適用範圍、引用標準、用語及定義與安全等級等;而測試標準則是針對每一條規範提供更仔細明確的測試範圍、測試條件與測試步驟與結果等等。 門禁系統這一系列涵蓋一般要求、門禁管理平台、門禁閘道控制器、門禁讀取器、智慧門鎖與人臉辨識門禁裝置。而一個完整的測試範圍，除需各自符合單項的條文外，還須符合一般要求的條文。在大致了解整個測試框架跟範圍後，依循標準的要求開始著手準備送審文件，是確保門禁系統測試流程完整順利的基礎。 二、文件清單 第二步是準備好一份詳細的文件清單，這些文件應該涵蓋門禁系統的各個方面，並將其作文件編號，方便實驗室尋找相關文件。而關於內容的填寫，建議廠商可參考測試標準，其內都有涵蓋測試資料與測試方法，廠商可依自己公司產品的特性填寫與提供，而這些都是提供實驗室做為參考的依據。 三、自我審核與模擬審查 在正式提交文件之前，建議進行一次內部自我審核，模擬驗證公司的審查過程。這一步非常重要，但在實務經驗上發現，許多廠商都忽略了這一步的重要性！很容易覺得測試規範與標準所要求的功能已導入產品，但卻未做確認，導致送審版本其實未導入而不自知;或是條文要求要做測試，但廠商只有用文字說明，導致最後得到「不通過」的結果，無意間延長了取證的時間。 除了進行內部自我審核，實驗室這邊還建議廠商應將自我審核的步驟與截圖，製作成一份參考文件提供給實驗室。這樣不只可以減少往返溝通的時間，還可以提前發現並解決潛在問題，提升文件的準確性和完整性。 為了讓讀者可以更明白實驗室測試的流程跟方法，以下舉幾個例子說明文件準備的方向： 例1：一般要求－5.2.1.6異常狀態回復預定義機制測試 此項測試目的為「當產品無法正常維持使用者設定的運作狀態時，產品應可自動恢復為預定義狀態。」針對此測試項，送件廠商常犯的錯誤是：第一，廠商沒有給一個異常狀態的預定義;第二，廠商給的預定義是出廠值。如何定義此狀態，常常使廠商感到困擾，也是經常測試不通過的原因。舉例來說，如果定義是出廠值，那代表一旦產品產生異常就必須能自行回到出廠值。但就實務上來說，每次出現斷線、更新錯誤就回到出廠值，其實是不太可能的使用情境，因此廠商可以依各家公司產品的狀況來撰寫。 例2：一般要求－5.2.1.9安全敏感性資料禁用硬編碼測試 測試目的為「驗證產品之原始碼中是否存在安全敏感性資料。」可以從測試方法中發現，實驗室須對產品之韌體／軟體檔案進行拆解，如果往回看測試資料，就可以看到廠商須提供未加密的軟／韌體檔案，也須提供自行宣告的安全敏感性資料。這部分廠商常犯的錯誤，一是未提供未加密之檔案，二是未提供安全敏感性資料（例如金鑰或是產品的MAC），從而造成測試無法執行。 例3：一般要求－5.4.1.6備份能力測試 測試目的為「驗證產品是否支援備份功能，以防止失效或錯誤設定時可恢復正常狀態。」因此能從測試方法中發現，產品必須要能達到備份與還原之功能，而實驗室必須測試此功能。而在實務經驗上，以讀取器與閘道器等作資料擷取的門禁系統機器，是需要透過第三方的軟／硬體才能達到備份與還原的效果。但廠商常常在送測的時候並沒有提供相關設備與測試流程文件，導致測試無法順利執行，進而增加溝通的時間。 從上述三個例子讀者可以發現，實驗室的作法與準則是跟著標準走。如果廠商在送測前，能夠先進行自我審核與模擬審查，便可及時發現問題並進行改善，以減少與實驗室反覆溝通的時間。 四、文件提交與跟進 最後一步，是按照驗證公司的要求格式和方式提交文件。在提交文件的時候，須將不同的文件與其對應的標準明確標示。再則，如文件在送審後有做修改，建議用「顯目的」標記（如紅字、黃底等）標出。並在提交後，持續跟進審查進度，及時回應驗證公司的反饋和問題，以確保整個審查過程順利進行。 通過這四大步驟，廠商可以更好地準備門禁系統文件，確保其符合驗證公司的要求和標準，順利通過審查。仔細的準備和積極的配合，是確保門禁系統獲得資安認可的關鍵。 < Previous News Next News >

< Back 114.0712【初階班】宗亞專班 景文科技大學 商館二館 A405 4F（新北市新店區安忠路99號） 114年7月12日（六）課程