5G物聯網資安 一個原則保平安

想像一下，工廠全面連網時，配戴AR眼鏡的工作人員，可與專家透過遠端連線來維護管線或操作加工機具，各界對5G應用充滿想像，萬物聯網下卻激起不少資安疑慮。外界所談的5G資安，嚴格來看可分為三部分，5G通訊、5G通訊設備、5G IoT，資安影響範圍不同，卻有著同樣的解決方案：應用程式白名單。用最簡單的方式「正面表列」即可制定防護網。

　資安問題的源頭，主要來自兩個軟體透過網路來發動網路攻擊，透過惡意程式軟體，與正常軟體溝通過程中，駭客依循發現弱點並植入病毒，或是勒索、殭屍電腦，或是透過釣魚郵件等攻擊手法，來達到目的。

　而5G通訊與5G通訊設備是透過網路間的軟體溝通，通訊設備也有許多軟體需要相互溝通，或是與外部裝置如手機的軟體溝通，因此的確會有資安問題，但就如同3G、4G會發生的資安問題一樣，並不會因為5G標準不同而減少攻擊或是容易受到攻擊，出現新的資安問題。因此只要增加防護強度即可解決。

　5G IoT資安影響範圍則相對大，主因5G最大的應用初步來看為物聯網，在萬物聯網之下，資安問題也會愈來愈多。物聯網發展關鍵即是感測器，小至土壤濕度傳感器、大至攝影機，這些物聯網設備都會被攻擊且機率很高，但也不用太緊張，鮮少有程式設計能讓物聯網感測器被攻陷後攻擊整體系統，因此系統被傷害範圍有限，不太會影響整體IoT系統穩定度與安全，只要在終端設備OT端、IT系統端設好防護網就可解決。

　過去資安防護多以防毒軟體為主，但近年惡意程式自動產生器的發明，駭客手法也持續進化恐防不勝防、緩不濟急，應用程式白名單也因此在近年嶄露頭角。5G通訊設備、5G通訊、IoT設備的資安問題，皆可透過「應用程式白名單」來提升資安防護強度，尤其是IoT設備，而且固定功能的裝置更適合正面表列防護。

　相對於現行防毒軟體是認「壞人」來防止病毒進入應用程式並執行，所謂的應用程式白名單則是認「好人」，在電腦中事先設定被允許執行的程式，僅有這些程式能執行，因此若未來壞人／駭客再多、再變形植入病毒，也都無法「發作」，可大幅降低資安發生的機率。

　目前包括美國國家標準暨技術研究院、美國國家安全局等負責關鍵基礎設施的單位，都已經表示加入白名單是資安防護的第一站，顯示許多國家都已重視應用程式白名單。

　在全球資安領域，各國際大廠仍聚焦發展防毒軟體，現行應用程式白名單並非資安產業發展的主流，因此台灣資安產業若想跟國際大廠競爭，白名單仍有發展空間，值得政府及產業重視，將有助於拓展國際商機。

　應用程式白名單僅是發展資安的最基礎第一步，扎穩馬步後，資安第二步則得考量自動攻防，未來戰爭型態極有可能以資訊戰先行，台灣需以類似國艦國造、國機國造的決心與規劃，有系統性的發展軍、民兩用的自動資安攻防技術，以確保在未來資訊網路戰爭中與敵國有對搏抗衡的實力。

　政府資安戰力的養成策略雖要重視資安人才，但須更加重視「工具」發展，其他世界資安強國如美國國安局的TAO、以色列國防軍的8200部隊、中國網軍單位PLA Unit 61398的發展方向也是如此。

　未來資訊系統愈來愈複雜，使用攻防工具，找出並運用目標軟體的弱點來進行攻擊已是不可逆的趨勢，所以未來資訊戰爭將取決於兩軍攻防工具的能力，每個國家自主發展的攻防工具變得相當重要，政府除培養資安人才，也要增加自動攻防工具。