搶攻歐盟資通供應鏈市場　除了開放技術也須重視資安等級驗證

2020 / 11 / 06

本文為行政院國家資通安全會報技術服務中心(技服中心)「資通安全法律及案例彙編」研究成果撰稿：王偉哲(技服中心) / 審閱：李婉萍(技服中心)

行政院國家資通安全會報技術服務中心(技服中心) 先前以美國為例，討論過在資安即國安的考量下，國家對於資通產品供應鏈採購可能有的規範狀況。除了採購面之外，各國為競逐5G利基，對相關供應鏈產品與技術，無不極力投入，希望透過在技術面採取彈性、相容與開放的策略，並著重、強化產品之資安品質，希望能佔得產業先機並持續領先發展。在技術彈性、相容與開放的面向上，採取與國際開放網路架構組織如O-RAN聯盟(Open Radio Access Network Alliance)等合作的策略，以降低對特定網路通訊設備大廠的依賴性；而對相關產品的資安等級進行檢測或驗證，則是透過檢測與驗證機制來讓市場上的供應端能向需求端展示其產品或服務與流程的資安品質。

歐盟為了達成數位單一市場的目標，在上述各面向都有著力，本文則聚焦於歐盟的產品、服務與流程之資安等級檢測與驗證機制。除了說明歐盟推動的重要驗證框架，包括其對驗證與發證方式的規定，以及應符合如何的資安要求，始能核發何等的資安等級外；也進一步追蹤在此架構下可能成為嶄新驗證方案的「基於通用標準的歐洲網路安全驗證規範」(Common Criteria based European cybersecurity certification scheme，簡稱EUCC)之現況，期能借先進國家與重要市場的經驗，幫助我國產業在打造出資安合規的產品之餘，也能進一步考量是否透過申請產品或服務等之資安等級驗證，更順利打入歐盟市場。

歐盟網安法為資通供應鏈揭開資安等級驗證新紀元
歐盟在2019年4月間通過了網路安全法(Cyber Security Act, CSA)，其性質為歐盟層級的規章(regulation)，生效後直接適用於歐盟各成員國，無須再等待各成員國將之轉換為自身之內國法。歐盟網路安全法主要立法目的有二：首先，是調整歐盟網路安全局(The European Union Agency for Cybersecurity，ENISA)的角色與職權，並提升ENISA的人力與預算等資源，使其更能發揮作為歐盟資安專責機構之角色；第二即是本文重點－建立歐盟數位單一市場下的資安驗證框架(cybersecurity certification framework)。 ENISA應依執委會之要求，依據該框架之規定，設計出適用於資通產品、服務或流程的歐盟級驗證規範草案，供執委會參酌、採用；藉以改善歐盟之整體資安環境，並某程度一致化資通產品、服務與流程的資安等級驗證規範，以確保歐盟單一市場之正常運作，並促進資通產品、服務與流程的數位市場發展。

依上述資安驗證框架要求，日後相關驗證規範得納入規劃之資安等級可包括「基本級」(basic)、「實用級」(substantial)與「高級」(high)。此三類等級之區分是以產品、服務或流程所得以應對、處理的風險為判，其中高級須能應對、處理的風險程度為上述等級中最高者，其次為實用級，再其次則是基本級。依該驗證框架之規定，日後資安產品、服務與流程之驗證，原則採自願申請制，由希望通過驗證者自主提出申請。

如前述，基本級、實用級與高級驗證的合格與否，係依照授驗證之產品、服務或流程所具備的網路攻擊防護能力來界定，因而也各有其須符合之驗證要求。欲通過基本級之驗證，必須能夠在一定程度上能夠將事故和網路攻擊的已知基本風險降到最低。至於實用級，則除了要求具備前述基本級的品質外，亦必須能應對資源較有限與技術較差的網路攻擊。而欲通過高級驗證，則受驗證產品等須能夠應對擁有強大技術和資源的網路攻擊。評估符合與否的方式也從基本級驗證的技術文件審查，到實用級驗證之弱點檢測等，以至高級驗證時須，例如，由嫻熟相關技術之專家以滲透測試方式進行確認，而有相當之差異。

在歐盟網路安全法施行之前，歐盟境內市場並不缺乏適用於資通產品的驗證規範，但各規範所適用的對象、區分之等級、驗證標準與方式，以及合格證明所能通行的區域或國家可能各自不同，而不同區域或國家間可能就此亦無相互承認的機制。這意味著產品製造商或服務提供者須重複投入時間、金錢等以通過認證，不利於效率與資源配置。雖然歐洲亦有來自各國的機構所共同組成之聯盟發展出相互承認協議(Mutual Recognition Agreement，MRA)，如SOG-IS(Senior Officials Group Information Systems Security)，使相關資通產品的驗證可以在聯盟參與成員的區域間被廣泛使用；但以參與SOG-IS的各國機關數量觀察之，至2017年時雖已有法國、德國、義大利等17國加入，惟可以發現仍有許多歐盟國家不在其中，離數位單一市場政策所欲達到的成果仍有一段距離。待符合驗證框架的歐盟級驗證規範正式通過、上路後，廠商即有望擺脫為同一產品、服務或流程重複投入資源，進行資安等級驗證的境遇；一張資安等級驗證證書通行歐盟的新時代或許將迅速到來。（文未完，接下頁）

歐盟首件資安等級驗證規範草案出爐
為了準備網路安全法所要求的驗證規範，ENISA設置了特設的工作小組以協助這項任務。特設工作小組由代表業界之開發或評估人員、驗證機構成員與各歐盟成員國的專家所組成；經小組成員討論後，現提出了第一個草案，即本文開頭所提及的EUCC。

EUCC驗證方案所涉及的是資通產品，而有關各類資通服務或流程的相關標準則會再陸續研議推出，例如ENISA下一個準備中的驗證方案預計將與雲端服務相關。 EUCC是基於現行的資訊技術安全評估共同準則(Common Criteria，CC)建立而成，適用的目標資通產品類型亦由此延伸，即該資通產品內須含有至少一個在CC中所描述的安全功能需求(Security Functional Requirement，SFR)，並且該資通產品所欲取得的網路安全法驗證等級必須為實用級或高級，才會成為EUCC可予以驗證的對象。

待符合驗證框架的歐盟級驗證規範正式通過、上路後，廠商即有望擺脫為同一產品、服務或流程重複投入資源，進行資安等級驗證的境遇；一張資安等級驗證證書通行歐盟的新時代或許將迅速到來。

EUCC基於CC原有的脆弱性分析（AVA_VAN）來區分對應的驗證等級，且因為脆弱性分析也會對應到CC原有的評估保證等級（EAL），因此資通產品已取得的EAL可以作為預計取得EUCC相應驗證程度的參考。脆弱性分析依嚴謹程度由低至高分為1至5級，在EUCC當中，實用級驗證對應到脆弱性分析的等級1和2、高級驗證則需滿足等級3以上的要求。驗證合格的最大有效期限是5年，可再予更新。在通過驗證的合規產品辨識上，EUCC也預計以統一易辨識的呈現方式來設計標籤，其中包括利用二維條碼，幫助使用者輕鬆取得正確、詳細的驗證資訊。

做為第一個被公布的驗證規範草案，ENISA也在公布EUCC後也公開徵求各方意見的回饋，第一輪的意見徵詢已結束，在本文撰稿時，ENISA正在進一步針對回饋意見進行討論，並可能據此對EUCC進行調整。

小結
新一代通訊技術的問世為產業帶來更多的刺激，催生出更豐富多樣的應用、也為社會大眾帶來更多的便利。但與此同時，不論是政府、企業或個人，也必須更加提升資安意識，從最細微的環節防堵潛在的資安風險。

無論是政府、供應商或市場需求端，其對資通產品、服務或流程的安全性均十分重視，而一個普遍被接受的資安等級驗證規範，理論上將能有效降低相關的交易成本。對有意在歐盟地區提供資通產品、服務或流程的企業而言，在進行商業開拓的規劃時，宜衡量是否須為其產品等取得歐盟層級驗證規範的資安等級證書，以利其產品於歐盟的行銷及競爭力。

相關文章: 5G供應鏈產業如何因應資安法規新趨勢 (上)
5G供應鏈產業如何因應資安法規新趨勢 (下)

更多資通安全法制與政策研析資料，請參考技服中心網站。　

O-RAN EUCC ENISA 歐盟網路安全法 MRA SOG-IS