觀點

NCC擘劃的下世代通訊安全機制

2017 / 02 / 13
編輯部
NCC擘劃的下世代通訊安全機制
前陣子針對證券業的DDoS攻擊,在大眾媒體的報導下,再次讓民眾經歷了一次資安洗禮。也因此,請NCC (國家通訊傳播委員會)基礎設施處羅金賢處長,介紹了NCC如何監管國內通訊的重要基礎設施。羅處長分別從法規、行政監理措施、用戶終端設備管理、及通訊傳播資通安全防護中心,四個構面鋪陳整個管理機制。

所謂的通傳事業涵蓋行動網路、固網、網際網路接取服務經營者(Internet Access Service Provider, IASP)、衛星、海纜、DNS、有線電視等。過去有電信法來規範,現在已完成的電信管理法草案,將更具體要求資安規範。從過去NCC的高度監理,加上新一版的電信管理法,即使將來資通安全管理法通過,通傳事業都無須再增加任何資安工作及負擔。

有關行政監理措施,包括有關鍵基礎設施防護計畫、資安防護計畫、機房門禁管理。分別有具體的情境攻防演練、資安偵測及事件通報及聯防、實地查核及人員管制稽核。重點在於具體的實地查核,確保NCC要求的事項,如何被落實,以及有哪些需改善強化。

另一項重要計畫在羅金賢處長強力建議下,也獲得行政院大力支持,即是通訊傳播資通安全防護中心的建置。以往國內整體的通訊傳播網路的實際狀態,需靠業者主動告知NCC,出了甚麼問題?處置狀況為何?但這個中心建置後,NCC可以即時掌握全國通訊網路狀態。任何環節出了任何問題,可以第一時間馬上掌握、也因此可及時應變。在目前瞬息萬變的網路世界,掌握第一時效,將是非常重要的手段。

另一項重要措施,是NCC開始規劃終端設備的資安檢測標準,具體做法是成立實驗平台檢測實驗室。原本在頻率及電器安全,全球各區都有檢測標準。唯獨資安檢測標準尚未見哪個國家有強制要求。但未來用戶終端設備的更普及,甚至IoT的各種多元應用,都會帶來更多資安疑慮。NCC規劃的資安檢測標準,在一般消費端不會是強制要求,將由消費者自主性選擇。如果消費者有資安顧慮,就可選擇有通過資安檢測的機型。至於政府採購,可視該單位對資安要求的強度,於採購時將通過資安檢測列為要求條件之一。

談到NCC之前所建置的SOC、ISAC、CERT,目前也有擴大升級的規劃。個人到是對這機制的成效較好奇,處長提到,以政府單位、教育單位的成效較好,有任何的事件或是發現被感染的電腦,都可透過恰當管道,順利處理完成。唯一難的是民間的私領域,之前與TWCERT合作,甚至提供解毒包給用戶。即使如此,仍是被冷漠對待、甚至不理不採。這部分,目前沒有任何強制力能介入私領域來處理資安事件。

從NCC目前的整體規劃中,可以看出,確保整體國家級的通訊傳播環境的可用度,將可獲得進一步的確保。廣布各界的終端設備,也將拉起有一道資安檢測網,對未來的資安大環境,貢獻良多。再來就是私領域的資安作為,需要大家再加油,未來期許公單位、私領域的資安水準,都能與日俱增。