專訪電信技術中心副執行長林炫佑　系統級檢測方法打造安全物聯網

對有意導入物聯網應用的企業或組織而言，資安是不容妥協的重點。但若要守護物聯網的資安，光是靠防火牆或防毒軟體這類工具，是不夠的。資安是一個系統層級的問題，因此必須要有系統層級的對策。財團法人電信技術中心(Telecom Technology Center)正與國際大廠及各領域的成員合作，共同制定資安檢測標準，並發展對應的工具跟方法論。而為了鼓勵各界利用，此標準為開放標準，任何組織或企業都可以利用這套檢測標準，來為自家的物聯網應用進行全面性的健康檢查。

財團法人電信技術中心副執行長林炫佑指出，國發會正在推動亞洲矽谷計畫，倡導物聯網應用，而強化物聯網的資訊安全，則是其中不可或缺的一環。但物聯網應用種類繁多，涉及的設備型態也十分多樣化，這使得守護物聯網資安的工作變得千頭萬緒，產業鏈的各方都必須承擔一定的責任。系統層級的資安檢測標準，則可協助設備製造商、使用者在實現安全物聯網的過程中，逐步理出頭緒，進而落實對應的防禦機制。

具體來說，要實現系統層級的物聯網安全，資安團隊必須先從威脅模型的建立著手，找出可能危害系統安全的資安威脅型態；第二步則是針對這些資安威脅型態進行系統漏洞偵測，找出防禦脆弱的環節；第三步則是針對這些環節進行滲透測試，確認是否能成功滲透。最後則是對此漏洞可能造成多大的損害進行衝擊評估。這套標準作業流程可用來評估物聯網系統的安全程度，且根據電信技術中心的經驗，目前市面上有很多物聯網設備都是有漏洞的，而且很難修補。