#挺3Q!!!
剛剛得知罷免3Q 陳柏惟 第一階段已經通過,我感到十分遺憾。
這段時間許多民主前輩都一一喊話,呼籲社會回歸理性團結,但很可惜國民黨依然故我,執意推動報復性罷免,一步步將台灣推向仇恨與紛亂,破壞社會安定、消耗社會成本。
不斷發起報復性罷免及公投案,延續聲勢到2022年的地方選舉,就是國民黨的最終目的。國民黨的自私企圖早已被人民識破了,呼籲國民黨懸崖勒馬,不要再繼續消耗台灣人的耐心!
對於陳柏惟委員,於公於私我都認為他是民主陣營中不可或缺的好夥伴。
陳柏惟委員在國會裡的質詢與提案有目共睹,也獲公督盟評選為優秀立委。無論是國防外交和轉型正義,陳委員都站在第一線,對抗國會裡眾多紅統背景的妖魔鬼怪。
其中,他也把我長期在議會要求的「中國監視設備滲透」問題,用「台灣資通訊產品資安認證標章」進一步推動,並獲得行政院正面回應。這正是地方與中央合作推動國家發展、力抗中國勢力的最好典範。
回想起來,認識3Q是在2018年的高雄市議員選舉的時候,那時候我們雖然不同選區,但在許多場合也多次碰頭,他也從不吝嗇互相加油打氣。
後來因為他的爽朗和彼此相近的價值而交情漸深,他的3Q食堂系列影片第一集就找我合作,我跟他暢談了許多議會的所見所聞。
爾後他決定投入台中的立委選舉,和我討論了很多他對於2020國家安全發展的隱憂,我也出席他在五甲龍成宮的告別晚會給他打氣。他順利當選後,更成為台中民主的防坡堤。
3Q陳柏惟就是台灣前線之盾,而台灣人都會與真正生在台灣、心也在台灣的陳柏惟委員站在一起!請大家一同 #為陳柏惟加油,一起成為他的後盾!
--
捷伴同行,一起前進!
👉 留言、分享、私訊
🤳 IG:https://www.instagram.com/huangjie_official/
🖥 Youtube:https://reurl.cc/pyoRdr
📁 公開資料:https://issuu.com/voteforfongshan
🕕 服務處開放時間:週一至週五 0900-1800
🏠 地址:鳳山區中泰街42號
☎️ 電話:(07)710-1230
🖨 傳真:(07)710-1312
📬 信箱:voteforfongshan@gmail.com
資安認證標章 在 3Q 陳柏惟 Facebook 的最讚貼文
針對今早我們期望台灣資通訊產品能有資安認證標章的記者會,感謝政院迅速的回應,重視資安即是重視國安,保障民眾的資安是我們能夠共同來推動的目標。
以前談戰爭談的是傳統軍武,但現在早已經是超限戰時代,這也是為什麼我們強調資安即國安。中共對台灣的資訊蒐集往往是基於惡意,而從我上任以來便發現在資安相關的制度上還有很多非常不足的面向,需要一一檢視並填補漏洞。
比如我的團隊一直在關心行政部門使用有資安疑慮產品的問題,目前已知行政院為避免中國製品資安疑慮,已在去年底發函要求各公務機關禁用及停止採購中國廠牌資通訊產品及服務,預計本年底汰換完成,未來我們也會持續追蹤監督。另一方面,日前爆出白牌(指由中國廠商設計製造,以臺灣品牌對外銷售)手機,在製程中被植入惡意程式遭暗中植入惡意程式,致使用戶被當詐騙集團人頭等等,我們關心NCC的相關資安認證、抽測狀況是否能夠落實。
針對區間測速設備產地問題和《政府採購法》修正的方向,同樣是我團隊過去追蹤和推動的資安制度問題。有關區間測速設備產地的問題,根據公總、警政署盤點狀況,初步回應儀器皆為台製。儘管清單內容顯示未使用中國產品,但民眾發現其中攝影機與補光燈與海康威視產品相似。交通部已經決定若廠商無法證明非中國製、並切結零組件亦非中國製者,須先下架停用。我們知道部分設備為地方政府設置,也請警政署說明對應的方法。 日前也找公總、警政署、行政院三方共同開會協調,一方面釐清問題,另一方面也希望行政單位盡快處理對應,不僅是現有設備、對未來的採購管控,都要慎重處理,回應民眾疑慮。
我在去年五月提出了《政府採購法》修正草案,希望強化涉及國家安全採購跨更多部會的審查機制,就是因為發現如果按照現行條文,容易產生各政府部門採購時各自認定國家安全範圍的問題;也就是根據目前的《政府採購法》,何謂國家安全常常沒有一個具有宏觀、回應目前中國對台灣超限戰目的和手段的標準。
因此,我們發現有四大問題是必須盡速解決的;包括
1. #乾淨資安產品要標章:雖然在造成爭議的白牌手機案例中,NCC表示有資安認證和抽測;但我們認為落實上還需要加強。
2. #洗產地惡行要防堵:行政單位對於中國製有資安疑慮的產品必須要有所對策,確實遏止白牌洗產地的產品被行政部門所採購。
3. #數據跳板第三地要控管:所謂有資安疑慮不是只有資料直接送中的狀況,也有傳輸到第三地跳板,行政部門應該要一併納管。
4. #政府採購法要強化:現行《政府採購法》中,有針對涉及國安採購的規定,但並沒有明確範圍界定及相關審查辦法,造成各部會自行解讀,需要重新檢視落實狀況。
除了相關規範的修正和補強外,民眾希望的是有一個清楚的標章來選擇安全的產品。目前雖然有標章制度,但普及度和民眾了解都不高,行政單位應該積極更完善的做法,並且推廣讓廠商加入資安認證、讓民眾認識標章,才能進一步做到資安即國安。
資安認證標章 在 台灣物聯網實驗室 IOT Labs Facebook 的最讚貼文
萬物聯網有效益也有威脅 建立可信任安全生態刻不容緩
掌控資訊基礎架構風險 5G物聯網未來前景可期
2021-01-26顏志仲
物聯網作為近年來最熱門的議題之一,在這個萬物聯網的時代,隱私與安全是不可或缺的。然而,物聯網的安全並非是靠單一廠商一蹴可及,必須由各生態鏈的廠商共同建立可信任的安全生態方可成功。
新世代5G高速網路的佈建,再次讓物聯網的應用飛速成長。隨著物聯網設備進一步深入我們生活周遭,物聯網的安全更必須被高度重視。而物聯網的安全,需要整個生態鏈包含系統晶片、機板、OEM以及其上的系統軟體開發商共同努力方能達成。
工業物聯網之安全要求大不同
2020年各大電信業者5G陸續開台,隨著「高速度」、「低延遲」、「多連結」的網路到來,各式應用場景的討論絡繹不絕,熱鬧異常。軟硬體廠商均卯足全力,希望藉由新的網路型態在低迷的景氣中打造全新的商業機會。然而,在這樣各類新型態的應用即將面市之時,更應回頭關注一下物聯網的基礎架構風險。
物聯網資訊基礎架構風險地圖。
與傳統的資訊科技(IT)及運營科技(OT)相較,物聯網的安全則集其大成,強調隱私(Privacy)、安全(Safety)、資安(Security)、可信賴度(Reliability)以及資訊韌性(Resilience)。對傳統IT而言,生命財產安全的要求是相對陌生的,但別忘了,2010年Stuxnet造成了伊朗核電廠的高度破壞,到了現今汽車、家電、各式感測器連網的IoT時代, 不安全的資訊基礎架構能對日常生活造成什麼樣的破壞?隨著破壞的「所需成本」與「其影響層級」的重新再平衡,隱晦式的資訊安全(Security by Obscurity)早已不該成為唯一的安全機制。
物聯網之資安風險控制框架
那麼在萬物聯網的時代,物聯網的安全相較於傳統IT/OT會有哪些重點?參考工業網際網路聯盟(Industrial Internet Consortium,IIC)以及相關先進的建議,以下的物聯網資訊基礎架構風險地圖可以作為初步的參考。
端點與嵌入式系統層
物聯網興起之後,安全上最大的不同即落在端點及嵌入式系統這一端。這部分近年討論熱烈即是信任根(Roots of Trust),亦即將安全之信任基礎建置於硬體上,減少韌體遭竄改而導致的安全風險,其常見技術包含現場可程式化邏輯閘陣列(FPGA)、信賴平台模組(TPM)以及可信執行環境(Trusted Execution Environment)等。
總的來說,這些技術均透過端點硬體晶片上內建的安全設計,提供其上的系統軟體安全憑證、安全基礎認證、加密資訊儲存等基礎的安全功能。以此為基礎,就可以實作簽章以認證並授權核可的使用者或應用程式進行系統操作、比對Hash值嚴格控管開機程序,減低惡意程式預先載入系統的風險,或是以信任根驗證系統更新是否合法等等,進行各式端點的安全控管。必須特別注意的是,這樣的安全功能有賴各供應鏈包含系統晶片、機板、OEM以及其上的系統軟體開發商將其導入並實作,才能完備整個信任鏈的健全。
然而,現今許多正在進行的IoT專案有兩個共同難題,一是專案大多建置於多年前的基礎架構(Brownfield),難以將新式安全架構完整導入;另一難題則是受限的端點資源(Resource-constrained Endpoint),專案常因端點載具體積、耗能以及成本等多方考量,無法建置應有的安全功能。這時,只好仰賴資訊基礎架構風險地圖裡其他層的控管機制來緩解端點的安全疑慮。
通訊連接層
談到物聯網通訊,首先得提到其無所不在的網路(Ubiquitous Network)特性,亦即其網路已非傳統IT的多層式架構;再來就是其應用的通訊協定,多使用Fieldbus等通訊協定來連接各種不同的設備,這些歷史悠久的通訊協定因早期封閉式網路有著實體隔離的特性,極少內建安全機制。根據國外的研究,內建通訊加密與安全認證的工業用通訊協定不到十分之一。試想不安全的通訊協定連接上網際網路後可能對關鍵基礎設施(例如電廠、水壩)造成多大的安全風險?
然而,物聯網的趨勢總是得走下去,還是有一些方法來控制這些問題,包含網路實體隔離、透過虛擬機隔離作業系統核心、應用程序隔離等方法來控制風險,在架構允許的情況下,也應建置加密通道(例如MPLS)或是使用IPSec等加密技術來建立安全的傳輸通道。
此外,傳統的Gateway端防護依然是有效的,只是須特別注意的是,傳統的防火牆僅針對IT環境常見的設備建立預設的防護,對於工業用通訊協定的支援相當有限,另外也欠缺第七層應用層的關聯規則,這部分未來將有賴IT廠商、OT大腕及各業界專家們通力合作來完成了。
雲端平台與應用
基於地域性與可擴充性考量,現今越來越多的應用放置於雲端服務業者,這時候可以思考使用雲端安全聯盟的CAIQ(Consensus Assessments Initiative Questionnaire)來評估自身導入雲端服務的安全水準。而在系統開發的過程中,也必須遵行Security by Design的精神,早期將安全需求內建於系統中,其中,Right-size Security是相當重要的,必須考量安全遭破獲的嚴重性與影響層級,建立相對應的系統安全控制,方能說服主管機關與投資者。
而在最後的安全測試上,也必須著重End-to-End的安全測試,也就是從雲端平台一路到端點的安全測試,而非只是針對端點產品的安全測試與認證。需要知道的是萬物聯網的時代,任何一個節點的安全漏洞均可能導致整個系統全面性的破壞崩解。台灣身為ICT產業大國,資通產業標準協會(TAICS)業已參考國際標準制定網路攝影機等設備之資安檢測標準,政府亦積極發展物聯網資安認證標章,我們樂見各應用領域之安全檢測基準能夠順利地推展開來。
風險治理流程
在整體風險治理架構上,首要之務是進行風險評估,工業網際網路聯盟(IIC)已經建立IoT Security Maturity Model,將安全要求分為風險治理、安全功能與系統強化三大面向協助組織進行深度評估。另外,建立完整的安全組織與流程亦是絕對必要的,須知物聯網可能牽涉的是生命財產的安全議題,因此安全組織不能只是產品與IT人員,還須包含法務、公關、總務、客服等各單位,並進行完整之緊急事件應對演練,以備不時之需。 而在具規模的組織,建立相當的風險智能功能團隊亦是必要的。需要了解的是,物聯網設備多是專業領域之特殊應用,因此資料需要大量的領域專家進行分析解讀,這時亦可以應用機器學習技術使用監督式學習尋找錯誤資料,並進行風險評分,甚至可進階使用非監督式學習進行資料分類與異常分析,尋找系統優化之契機。
最後,這些風險分析的規則,最好能適度轉換成Machine Policy,建置安全智能於端點,使資料中心與端點通力合作,形成一個正向輪迴,持續強化安全偵測,阻擋威脅於機先。
物聯網安全之未來
物聯網作為近年來最熱門的議題之一,在這個萬物聯網的時代,隱私與安全是不可或缺的。然而,物聯網的安全並非是靠單一廠商就能一蹴可及,必須由各生態鏈的廠商共同建立可信任的安全生態方可成功。這個生態鏈中包含硬體製造商必須建立信任根,解決方案商基於硬體安全方案實作安全功能,系統維運商精實管理維運安全,最後加上安全認證的導入方能健全。
現今,已經看到硬體製造商提出多樣的安全晶片,政府亦積極推展物聯網安全標準,目前包含視訊監視器、無線路由器以及智慧運輸等,均有相對應的檢測單位。
放眼未來,樂見更多資源投入,發展更多領域的安全基準,更重要的是希望民眾能提高安全意識,方能促使廠商將相關安全要求導入產品與日常維運中,建立起更為安全、便捷的物聯網新世界。
資料來源:https://www.netadmin.com.tw/netadmin/zh-tw/viewpoint/26443E6FD1EE49CEB4A565A6F3A5A0FF?fbclid=IwAR0r3Vk8jZ784d2FzIyFT0tO03sJlt3wjh4K-eTxX6e70GSoVigky4HPFF4
資安認證標章 在 物聯網夯!台資安標章第一線為民把關 職場新聞 - YouTube 的必吃
5G 時代來臨! 近年物聯網需求激增,全球開始重視相關# 資安 問題。台灣早在2016年,就已超前部署,來推動 資安認證 。今年物聯網 資安標章 成果發表會上, ... ... <看更多>