資安產品驗證產業推手－專訪財團法人電信技術中心董事長簡仁德

資安產品檢測實驗室之成立
近年來資安管理及應用技術的議題相當熱門，源起於多起重大的駭客入侵、蠕蟲、病毒、後門程式所引起的資安事件，造成受害單位機敏資料外流、業務營運中斷等有形或無形的嚴重損失，也使得大家開始重新思考，在高度依賴網路通訊傳輸的環境下，是否應對所使用的資訊設備及系統有更妥善及嚴謹的要求。
財團法人電信技術中心董事長簡仁德表示，放眼現在市面上的資訊產品，倘若在研發的過程中有任何可能潛在的風險或缺失，均會引起資訊系統的漏洞或弱點。以電腦軟體為例，即存在有相當多的安全弱點，即使近年在資訊科學及軟體工程的技術不斷進展，但是類似早期系統研發過程中所造成的缺失仍不時出現在新的資訊產品中，造成資訊系統存在著無形的安全漏洞，對整體的資安環境也勢必產生疑慮。因此2004年行政院科技顧問組即核定由電信總局擔任數位台灣計畫項下之「建立資安產品驗、認證機構或實驗室」之主辦機關，後即編列經費執行數位台灣計畫項下之「建立資安產品驗、認證機構或實驗室」，打造一個與國際接軌的資安產品驗證體系，並發展「自主性與可信賴性」的資通訊安全產業。有鑑於國內尚未發展資安產品的檢測技術及環境，TTC因此受託執行「建立資安產品驗證體系」之重要政府計畫。
簡仁德說道，資安產品檢測實驗室的環境建置及檢測設備均是參照國外標準及規格，除了添購數位示波器、電源供應器及訊號產生器，亦建立網路虛擬環境，作為測試智慧卡、網路安全產品之安全功能及弱點滲透。實驗室的實體防護部分，為有效保護廠商產品開發之資訊，採用德國國家標準ITBPM(Information Technology Baseline Protection Manual，德國聯邦IT基準安全防護手冊)，以高規格的鋼板建材及實驗室建置標準，搭配嚴謹的安全品質管理制度，來確保實驗室執行產品評估之作業安全。簡仁德表示，要特別感謝上級單位支持的力量，使TTC能投入大量資金進行長期培訓產品檢測人才之工作、並添購與國外同規格之專業檢測儀器，得以建立國內第一家符合ISO/IEC 17025標準之資安產品檢測實驗室。
簡仁德談到從成立迄今的成果表示，TTC陸續協助資安廠商及研究單位培育資訊安全檢測技術人才，其中TTC更有11名檢測員已獲得國外訓練機構所核發的證書，目前主要業務為輔導資安業者執行ISO 15408共同準則產品評估，計有智慧卡廠商1家及可信賴模組(TPM)2家。