新加坡資通訊媒體發展管理局發布物聯網網路安全指南
隨著物聯網的應用越來越多元,資料保護與網路安全管理的議題也越趨重要,新加坡資通訊媒體發展管理局(Infocomm Media Development Authority of Singapore, IMDA)於2020年3月13日發布物聯網網路安全指南(Internet of Things Cyber Security Guide,以下簡稱「物聯網安全指南」)。此份物聯網安全指南由新加坡資通訊媒體發展管理局(Infocomm Media Development Authority of Singapore, IMDA)與新加坡網路安全局(Cyber Security Agency of Singapore, CSA)共同制定並完成公眾諮詢,以協助企業及其供應商在採購、開發、實行及維護物聯網系統時,具有標準指引得解決網路安全問題。
物聯網安全指南主要聚焦於系統層面的建議,並以新加坡資訊技術標準委員會(Information Technology Standards Committee, ITSC)TR 64「2018年智慧國家物聯網安全指南」(Guidelines IoT security for smart nation)中的概念為基礎,提供物聯網開發者(IoT developers)、物聯網供應者(IoT providers)以及物聯網使用者(IoT users)於物聯網系統開發或實行階段的網路安全基準建議(baseline security recommendations)。同時物聯網安全指南也提供網路安全相關基礎概念、威脅建模清單(threat modelling checklist)與供應商自我揭露清單(vendor disclosure checklist),並聚焦於物聯網的採購、開發、實行以及維護方面的網路安全性,其重點為:
1. 安全基準建議:為物聯網使用者與開發者提供物聯網開發與實行階段的安全基準建議,安全基準建議涵蓋四大物聯網安全設計原則,包括預設安全(Secure by defaults)、嚴謹防禦(Rigour in defence)、問責性(Accountability)及韌性(Resiliency),並就各原則設定各項安全建議步驟,使用者與開發者可採取這些安全步驟,確保物聯網系統的核心安全級別。
2. 威脅建模清單(threat modelling checklist):此份清單係以做為系統開發者威脅建模的指引,檢視並確保威脅建模(Threat modelling)過程是否正常且系統性地進行。至於威脅建模則是用於分析與發現系統漏洞與威脅,並將威脅進行優先排序,再以合適的風險減緩技術解決安全問題。
3. 供應商自我揭露清單(vendor disclosure checklist):此份清單係以界定物聯網供應者應注意的安全功能與服務,同時也讓物聯網使用者在採購時,得以評估與比較不同供應者提供的物聯網解決方案與系統的安全性。
由於新加坡政府發布物聯網安全指南,係以提供業者得以確認物聯網系統的安全性與降低系統帶來的威脅與漏洞,此份安全指南亦涵蓋物聯網供應者及使用者可能面臨的實際問題,如物聯網安全設計基本原則、用於識別資產的安全影響類別、從網路與物理角度列舉威脅類別、物聯網常見的攻擊類別、系統與設備等不同生命週期的威脅因素以及威脅評估等。基此,IMDA鼓勵企業與供應商採用物聯網安全指南,並於設計與開發物聯網系統階段即通盤考量網路安全,始於源頭確保業務免於網路安全威脅與可能帶來的損害。