網路安全法規與標準:最佳實踐與最新挑戰 智慧應用 影音
D Book
繁體版 简体版
評估申請
登入
240
Event
DFORUM

網路安全法規與標準:最佳實踐與最新挑戰

  • 台北訊

網路安全標準的發展,旨在因應產品生命週期中多層次的保護需求,可分為環境安全與功能安全。華邦

網路安全標準的發展,旨在因應產品生命週期中多層次的保護需求,可分為環境安全與功能安全。華邦

物聯網(IoT)技術帶動了連接設備的迅速成長。此一市場的快速發展,需要新的安全認證方法,以應對不斷變化的產品。

網路安全標準

覆蓋範圍類型 - 環境標準與功能標準化:為了對此領域進行標準化,學術界與專業人士通力合作,致力於制定基本指導原則、政策與產業標準。

網路安全標準的發展,旨在因應產品生命週期中多層次的保護需求,這些保護大致可劃分為兩個互補的領域:環境安全與功能安全實作。

在如物聯網(IoT)這類結構複雜且易受攻擊的生態系統中,採取分層式的安全策略尤為關鍵,因為開發基礎設施與內嵌的安全功能經常成為攻擊目標。此分類反映出一項基本認知:要達成有效的資安防護,既需在開發階段奠定安全基礎,也需於產品本身設計中導入強固的保護機制。

(1)環境安全標準:保護開發、測試和製造環境,通過保護工具、原始碼和智慧財產權,並建立訊息安全管理系統(ISMS)。(2)功能安全標準:確保產品嵌入安全功能,如安全啟動、加密、權限控制和防篡改檢測,並在設計階段應用,使安全要求可以進行測試和驗證。這兩個領域並不是相互排斥的,而是深度相互依賴的。

標準化類別治理層級

這些標準在多個治理層級上開發並應用—國際、區域和國家(特定國家)層級—以應對不同的法規環境、技術生態系統和地緣政治考量。每個層級在塑造框架、合規機制和技術規範方面發揮著獨特的作用,並負責資訊資產保護:

(1)在國際層級,標準通常由國際認可的機構(如 ISO/IEC)制定,旨在實現全球協調,促進國際貿易、跨境數據流通和跨國組織的共同安全保障框架。(2)區域標準通常由經濟或政治聯盟提出,旨在使成員國的做法達成一致。它們通常基於或改編國際標準,同時考慮區域法律和政策。(3)在國家層級,各國根據其特定的基礎設施、威脅環境和法規優先事項,開發並執行量身定制的安全標準。

水平與垂直框架的適用性

資安與資通訊技術(ICT)領域中的標準,策略性地被發展為跨產業框架(水平標準)或是針對特定領域的規範(垂直標準):(1) 水平標準:針對各行各業,利用風險評估方法來管理產品和過程中的一般網路安全風險。(2)垂直標準:針對特定行業(如汽車或醫療)量身定制,專注於滿足基於水平框架的行業特定要求。

水平(基於風險評估的)方法和垂直(基於產品的)方法的主要區別在於過程的重點:前者專注於管理潛在風險,而後者專注於提供符合特定要求的產品。

評估方法

在網路安全標準中,有三種主要的評估方法:(1)自我聲明—製造商自行聲明符合要求,無需外部審查。(2)符合性聲明(DoC)—正式聲明符合法律和技術要求。(3)第三方評估—獨立機構通過測試、審查和審核來驗證符合性。

對於某些標準,定義了最低的評估方法論,同時評估贊助商/製造商可自由選擇使用更嚴格的評估方法,例如:對於符合性聲明,可使用第三方評估來證明符合性。在測試證據的情況下,尤其是滲透測試,這種做法較為常見。

網路安全IT標準的分類與分析

根據與網路安全、法規遵從性和行業特定採用的相關性,選擇了幾個廣泛認可的 IT 標準進行分析。在這一部分,這些標準從關鍵維度進行分類和分析,包括評估方法論(例如,自我聲明、符合性聲明、第三方認證)、覆蓋範疇(功能性 vs. 環境性)、標準化類別治理層級以及在水平和垂直框架中的適用性:

網路安全IT標準。華邦

網路安全IT標準。華邦

根據覆蓋範圍類型—無論是功能性還是環境性—對所選標準進行評估,結果如下:

標準的覆蓋範圍類型。華邦

標準的覆蓋範圍類型。華邦

如圖所示,大多數分析的標準主要針對功能性安全要求,僅有10%專門關注環境方面。值得注意的是,20%的標準同時考慮了環境和功能安全要求。對治理層級的分析如下:

標準的區域與治理分布。華邦

標準的區域與治理分布。華邦

在此分析中,35%的標準具有國際範疇,40%是區域性的,其餘25%是各個國家制定的國家標準。標準適用性的分析顯示,40% 為水平標準,提供資訊與通信技術(ICT)產品或加密演算法實作的一般性要求。

相對地,60% 為垂直標準,針對特定市場領域(例如汽車與工業領域)量身打造。值得注意的是,在所有標準中,有 45% 專門聚焦於物聯網(IoT)領域。

標準的適用性。華邦

標準的適用性。華邦

檢視各項標準所採用的認證方法類型,可得出以下觀察結果:

評估方法。華邦

評估方法。華邦

有 75% 的標準要求第三方評估,僅有 15% 的標準允許自我聲明。這些要求顯示大多數資通訊產品可能需經過第三方認證。然而,若要準確評估其影響,還需考量這些標準中哪些為強制性。目前的情況是,僅有 35% 的資安標準為強制要求。

挑戰

由於物聯網(IoT)革命的推動,所有設備的互聯互通,國家和市場面臨的挑戰是如何通過制定適當的法規來保護公民免受網路威脅、攻擊和網路犯罪的影響。這些挑戰可能成為實現有效且全面的網路安全法規的障礙:

(1)威脅不斷演變:網路攻擊手法部段演變,並持續利用新的漏洞,這需要具備彈性的法規來因應。(2)全球協調:不同的法律體系使得國際網路安全法規的對接變得複雜,但這是至關重要的。(3)法規碎片化:不同國家的標準可能會增加全球企業的負擔,並阻礙合作。(4)技術進步:AI、量子計算和物聯網的快速成長挑戰著監管機構的應對能力。

(5)隱私與安全的平衡:如何在數據保護和網路安全需求之間找到平衡,仍然是持續存在的問題。(6)資源差距:較小的企業可能缺乏資源來遵守複雜的法規。(7)技能短缺:全球資安專業人力的缺乏已成為有效落實資安規範的一大挑戰。

(8)合規負擔:因應多重監管框架,將增加企業的成本與作業複雜度。(9)AI驅動的威脅:攻擊者越來越多地使用AI,這要求防禦措施更智能。(10)新興領域:如智慧城市和自駕車等新興領域需要量身定制的網路安全規則。

因應這些未來挑戰,將需要政府、產業利害關係人、國際組織及資安專家的協力合作。未來若欲建構具韌性且安全的數位生態系,關鍵在於前瞻性法規、技術創新與有效執法之間是否能取得適當平衡。

請造訪華邦安全快閃記憶體網頁或直接與華邦聯繫。詳情下載最新硬體資安安全白皮書

關鍵字
商情專輯-硬體資安專欄