【專題探索】5G網路安全與資安防護
蔡佳君 (2020/12/09) 《台經月刊第43卷第12期》
根據世界經濟論壇(World Economic Forum, WEF)2018、2019年全球風險報告,網路攻擊(Cyberattacks)被列為全球前五大風險。報告指出5G網路、量子計算及人工智慧創造機會的同時也帶來威脅,缺乏國際組織、國家治理框架,將可能導致網路空間碎裂化(cyberspace fragmentation),阻礙經濟成長、加劇地緣政治衝突與擴大社會內部分歧,資安防護的重要性不言而喻。
是以,國際組織、國家治理框架推動網路安全及資安防護已蔚為趨勢。2019年5月於捷克首都布拉格舉辦之全球5G安全會議發布「布拉格提案」聲明,以因應未來5G時代潛在的安全威脅,該提案針對「政策」、「技術」、「經濟」與「安全性、隱私及彈性」四大面向提出建言。歐盟執委會(European Commission, EC)於2020年1月29日批准歐盟5G網路安全工具箱(Cybersecurity of 5G networks -EU Toolbox of Risk Mitigating Measures),以解決歐盟成員國共同評估後所確立的所有風險。美國國務卿蓬佩奧(Mike Pompeo)於2020年4月29日代表川普政府對外倡議,將透過建立「乾淨路徑」(Clean Path)鞏固並提升美國所有外交機構5G通訊網路安全性,並進一步制定5G乾淨網路(5G Clean Network)倡議框架。爰此,本文擬針對布拉格提案、歐盟5G網路安全工具箱及美國乾淨網路彙整分析,並歸納三大代表性資安防護政策方針面向與策略重點。
布拉格提案
由於5G網路安全對國家安全、經濟安全、其他國家利益與全球穩定相當重要,布拉格5G網路安全會議(Prague 5G Security Conference)針對5G網路架構與功能安全級別制定進行討論。
(一)5G網路架構與功能安全級別制定之考量因素
布拉格提案針對5G網路架構與功能安全級別列出十項考量因素。
1.網路安全不僅是單純技術問題,安全、彈性且有保障的基礎設施具備適當的國家戰略、健全的政策與全面的法律框架,且需要接受培訓與教育的專業人員參與,共同強化網路安全才能保護公民自由與隱私。
2.在處理網路安全威脅時,不僅應考慮其技術性質,更應考慮特定政治、經濟或其他惡意人士濫用國家通訊技術依賴性。
3.基於5G網路廣泛應用,通訊系統未授權接取可能暴露前所未有的訊息量,甚至可能破壞整個社會過程。
4.維護通訊基礎設施的網路安全不僅是經濟或商業問題,因此高水準的網路安全政策或法案制定上,除主要利害關係人(業者或技術提供者)外,亦須考量其他會對安全級別產生重大影響之領域或產業,如教育、外交、研究與開發的利害關係人。
5.制定包含網路安全技術和非技術系統性,且完善的風險評估,對創造並維持真正有彈性的基礎架構而言至關重要,故於風險安全框架制定上,應納入最先進的政策和手段以減少安全風險。
6.網路安全措施涵蓋範圍必須足夠廣泛,以包含整個安全風險,即營運和戰略層面的人員、流程、物理基礎設施與工具。
7.在制定適當措施以提高安全性時,應考量獨特的社會和法律框架、經濟、隱私、技術自給自足及各國其他重要相關因素。
8.創新是現代社會發展和經濟成長的主要動力,同時催化新的安全解決方案,故政策、法律和規範於安全措施制定上應具有靈活性,以兼顧安全性與各國情形。
9.為達適當的安全等級,應容許成本增加。
5G網路安全、資安防護、布拉格提案、歐盟5G安全工具箱、美國乾淨網路、供應鏈威脅、多供應商策略、資通訊設備、政策治理、安全風險
分享:
