NCC擘劃的下世代通訊安全機制

2017 / 02 / 13

編輯部

前陣子針對證券業的DDoS攻擊，在大眾媒體的報導下，再次讓民眾經歷了一次資安洗禮。也因此，請NCC (國家通訊傳播委員會)基礎設施處羅金賢處長，介紹了NCC如何監管國內通訊的重要基礎設施。羅處長分別從法規、行政監理措施、用戶終端設備管理、及通訊傳播資通安全防護中心，四個構面鋪陳整個管理機制。

所謂的通傳事業涵蓋行動網路、固網、網際網路接取服務經營者(Internet Access Service Provider, IASP)、衛星、海纜、DNS、有線電視等。過去有電信法來規範，現在已完成的電信管理法草案，將更具體要求資安規範。從過去NCC的高度監理，加上新一版的電信管理法，即使將來資通安全管理法通過，通傳事業都無須再增加任何資安工作及負擔。

有關行政監理措施，包括有關鍵基礎設施防護計畫、資安防護計畫、機房門禁管理。分別有具體的情境攻防演練、資安偵測及事件通報及聯防、實地查核及人員管制稽核。重點在於具體的實地查核，確保NCC要求的事項，如何被落實，以及有哪些需改善強化。

另一項重要計畫在羅金賢處長強力建議下，也獲得行政院大力支持，即是通訊傳播資通安全防護中心的建置。以往國內整體的通訊傳播網路的實際狀態，需靠業者主動告知NCC，出了甚麼問題？處置狀況為何？但這個中心建置後，NCC可以即時掌握全國通訊網路狀態。任何環節出了任何問題，可以第一時間馬上掌握、也因此可及時應變。在目前瞬息萬變的網路世界，掌握第一時效，將是非常重要的手段。

另一項重要措施，是NCC開始規劃終端設備的資安檢測標準，具體做法是成立實驗平台檢測實驗室。原本在頻率及電器安全，全球各區都有檢測標準。唯獨資安檢測標準尚未見哪個國家有強制要求。但未來用戶終端設備的更普及，甚至IoT的各種多元應用，都會帶來更多資安疑慮。NCC規劃的資安檢測標準，在一般消費端不會是強制要求，將由消費者自主性選擇。如果消費者有資安顧慮，就可選擇有通過資安檢測的機型。至於政府採購，可視該單位對資安要求的強度，於採購時將通過資安檢測列為要求條件之一。

談到NCC之前所建置的SOC、ISAC、CERT，目前也有擴大升級的規劃。個人到是對這機制的成效較好奇，處長提到，以政府單位、教育單位的成效較好，有任何的事件或是發現被感染的電腦，都可透過恰當管道，順利處理完成。唯一難的是民間的私領域，之前與TWCERT合作，甚至提供解毒包給用戶。即使如此，仍是被冷漠對待、甚至不理不採。這部分，目前沒有任何強制力能介入私領域來處理資安事件。

從NCC目前的整體規劃中，可以看出，確保整體國家級的通訊傳播環境的可用度，將可獲得進一步的確保。廣布各界的終端設備，也將拉起有一道資安檢測網，對未來的資安大環境，貢獻良多。再來就是私領域的資安作為，需要大家再加油，未來期許公單位、私領域的資安水準，都能與日俱增。