資通安全階層架構如同金字塔的三層,由上而下依序是:政策管理安全(法令、規範)、系統與應用安全(程式、網路、資料庫、雲端、軟硬體)、基礎安全(密碼學演算法,包括數位簽章、雜湊函數)。所以首當其衝必須了解何謂「資通」?其相關管理安全的法令政策為何?才能得到較保障的資通安全。
若智慧物聯網(AIoT)的產品或服務安全性不足(潛在的資安漏洞)恐成為駭客攻擊的缺口,進而使基礎設施、產品或服務無法正常運作或竊取重要資訊等 ,如此的資安威脅將造成個資隱私、生命財產、經濟運作與國家安全產生破口。
一、什麼是「資通安全」?它的供應鏈是什麼?
我國的< 資通安全管理法 >(下稱「資通法」)於民國 107 年 6 月 6 日公布,其立法目的在於為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益。並以對人民生活、經濟活動及公眾或國家安全有重大影響者為納管對象。
資通法的主管機關是行政院,並設有資通安全處,以及國家資通安全會報技術服務中心,資通法第3條第3款就定義「資通安全」,是指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
說到這裡,還是要先搞懂與掌握什麼是「資通」?資通法第3條第1、2款提到「資通」系統或服務,就是:「用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享」的系統或服務。所以「資通」就是在做這檔事。而提供資通系統或服務的「供應鏈」,除公務機關外,就是特定的非公務機關,就是指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。而「關鍵基礎設施」,是指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。
為避免國家資通安全遭到威脅或破壞,我們就必須重視資通供應鏈安全及其管理的相關法制。從實務面與法制面來看,我國如何降低公部門與私部門(特別是非關鍵基礎設施服務提供者)在數位轉型過程中的資安風險?在公部門方面,所採產品服務之資安具體認定程序、評鑑標準、及救濟制度宜如何訂定,以符合公平與明確性?從產業的面向,如何確保資通設備供應鏈的安全?
二、資通供應鏈安全管理如何建置與推動?
他山之石可以攻錯,我們可借鏡美國5G資安政策與法制進程,作為我國資通供應鏈安全管理推動的重要參考指標。
歐盟、北大西洋公約組織會員國的政府官員及專家代表,曾在西元2019年5月間於捷克布拉格舉辦之 5G 安全會議(The Prague 5G Security)研討 5G 資安議題,會議結論彙整為「布拉格提案」(The Prague Proposals),作為各國建構 5G 的資安參考建議。
在政策面向有提到:網路建設與維護方面應適用資安國際標準或指引;網路治理法制方面依循透明、公平等共通原則,並充分監督;而供應國方面應評估是否有適足個資
