|
|
|
|
|
|
| 撰編:許雯媛 |
最後更新時間:7月 | 7日 , 2025 |
|
|
|
|
|
|
| |
|
|
|
|
| 2013年以來,中國大陸的監控設備以價格優勢迅速滲透台灣市場。短短數年內,這些產品便取得了通路市場九成以上的佔有率,由於價格低廉且功能齊全,本土品牌難以競爭,使得市場迅速淪陷於中國品牌的低價策略之下。然而,低價背後隱藏的是嚴重的資安漏洞。2016年爆發的大陸產品駭客入侵事件,成為整個市場覺醒的導火線。駭客事件曝光後,大量設備的安全性遭到質疑,消費者與工程業者紛紛意識到,設備的安全性遠比價格更為重要。這一事件也成為台灣安防產業重視資安問題的關鍵轉折點。 |
|
| |
物聯網崛起與資安標準建立
2017年起,全球掀起了物聯網(IoT)的熱潮,但連網設備所帶來的資安問題也日益凸顯,經濟部產業發展署意識到這一問題,開始著手推動台灣本土的物聯網資安標準,並委託資策會、多位學界專家及台灣資通產業標準協會共同合作,建立了第一套產業標準。透過台灣安全設備與服務產業協會輔導廠商提供「廠商輔導」機制,並在技術層面進行輔導,而在此後,經濟部產業發展署又委由台北市電腦公會「行動應用資安聯盟」辦理IoT物聯網資安認證,簡稱「MAS」。此後,經過長時間的推動與整合,2019年,台灣正式公布國家級的物聯網資安標準「CNS 16120」,隨後更推出被業界視為CNS 16120的升級版,並且更為嚴格的「CNS 16132」標準。至此,台灣也就正式擁有一套能夠對外展示的、專業且系統化的資安標準。
認證費用與市場反應的分歧
儘管標準確立,但實務推行過程並非一路順暢,尤其在認證費用的議題上引發業界不少爭議。完整的物聯網資安檢測流程動輒需花費二十萬台幣,對以少量多樣產品為主的台灣中小企業而言是一筆不小的負擔。業界出現了兩種截然不同的聲音,一方認為這些費用應該視為固定成本,必須納入營運成本,提前布局才能在國際市場更有競爭力;另一方則抱怨這樣的費用並不符合產業現實,甚至會抑制企業投入資安認證的意願。
但相比於美國UL-2900認證,雖然台灣的資安標準在推動初期即參考了美國UL-2900認證,兩者在實質內容上有約七成相似度,卻也存在顯著差異。UL-2900偏向於模組化驗證,初始認證費用即高達50萬元台幣,後續產品型號擴展甚至可能達到200萬元以上;相對而言,台灣的資安檢測更貼近本土產業需求,採取了「系列認證」方式,只要核心架構與韌體相同,後續型號僅需較低的追加費用即可通過認證,大幅降低企業負擔。
去中國化的挑戰與模組式送測的興起
在認證過程中,去中國化成為另一個焦點。由於中國製的監控設備被陸續揭發存在後門程式,導致政府與業界開始推動板卡與晶片自主研發,但過程並不容易。完全在地研發需要龐大的投入,許多業者因此轉而選擇模組式送測,例如開始有廠商推出符合標準的NVR板卡,幫助本土品牌快速通過檢測與認證,縮短研發與檢測時程,但隨著檢測需求增加,台灣的檢測實驗室資源不足問題也跟著浮現。
在2024年以前,台灣也只有一家安華具備TAF認證通過的實驗室,是當時主要的影像設備檢測機構,但2025年退出市場後,ETC成為唯一能提供此項服務的機構,這也導致企業等待檢測時間拉長,費用進一步攀升,致使更多企業開始採用合格板卡策略,以快速獲得檢測證書。另一方面,外國產品尤其是中國品牌透過代理商送檢並取得台灣認證,也成為了爭議焦點。政府內部有擔憂此舉會削弱去中國化政策的力度,但也有業界人士認為,認證標準應公開透明,不應區分產品來源,這樣的開放政策反而能促進市場競爭,並讓台灣廠商扮演更積極的技術整合角色,藉此獲得更多利潤。
費用合理、多樣認證整合以及檢測方便快速,可以此提升製造商送驗的意向
受訪廠商們表示。當初政府開始推動物聯網資安標準的時候,當時經濟部產業發展署提供三年的補助,每一個機型的檢測費用只需要六萬元,透過台灣資通產業標準協會就能順利完成檢測。然而好景不常,補助期結束後,每款產品的檢測費瞬間飆升至20萬元,這讓送測廠商頓時感到壓力倍增,而不久之後,市場又多了一個由電腦公會推動的「MAS」認證,但問題隨之而來,不同單位的認證互不承認,費用卻都同樣不便宜。這種混亂的局面,讓許多廠商不知道該如何選擇,甚至產生了怨言。等到 CNS 16120 這套國家標準正式推出之後,廠商以為這會解決市場的困惑。但實際情況卻讓人失望,CNS 16120 的檢測流程幾乎與台灣資通產業標準協會版本相同,費用依舊高昂,同樣需要20萬上下。廠商本以為之前的檢測結果或許能轉證,結果卻發現並不能轉換,廠商必須重新支付全額費用,這無形中再次增加了業者的負擔。廠商不禁感慨,台灣安防產品本來就是以少量多樣為主,若每款機型都要支付如此高額的檢測費,對許多中小企業來說無異是雪上加霜。尤其是產品的韌體更新頻繁,每次更新都需要重新送驗,這更讓許多廠商乾脆放棄送驗。
此外,廠商注意到市場對資安要求的趨勢也在變化。原本在去年年初,許多公共工程標案明確要求廠商必須取得 CNS 16120 證書,但到了今年,這樣的要求卻明顯減少了。更重要的是,使用單位開始採取更務實的方法,例如在標案文件中規定得標廠商在得標後的30到60天內提交資安弱點掃描報告,或者直接明確規範密碼強度、黑白名單過濾以及802.1X認證等具體功能。這種做法比起單純要求證書,更能確保交貨時的產品實際符合資安需求。
廠商特別提到「非中國製證明」幾乎已經成為公共工程的基本要求,但他也強調,資安認證的目的不應僅僅是去中國化,而應該著重在實際防堵駭客攻擊與持續檢測更新的能力。事實上,有些中國廠商會專門為了台灣市場修改韌體,推出無後門版本,通過一次檢測之後卻無法確保未來產品依舊安全。近期,廠商注意到市場開始有一種新的趨勢興起,就是採用單項檢測方案,例如網頁弱點掃描或通訊接口掃描,每個項目僅需NT$25,000到NT$30,000元左右,而非完整的20萬元認證費。這種方式成本低,更貼近產品出貨時的最新韌體狀態,受到廠商和標案單位的廣泛歡迎。
對於政策的遵守與執行,廠商們均表示認同政府推動的初衷與目的,但期盼政府能進一步優化政策,例如提供官方資安測試平台,讓他們自行檢測並隨時修補漏洞,以較低成本取得檢測報告。這種方式將大幅提高廠商主動送驗的意願,也更符合實際市場需求。廠商也指出,若台灣的資安認證能與國際標準互相承認,將對廠商外銷市場大有幫助。儘管歐美市場的資安標準尚未完全成熟,但台灣若僅停留在內部使用的標準,將無法滿足國際需求,對於有意外銷的廠商來說,選擇國際通用的資安掃描工具似乎更為划算。
回顧整個資安認證之路,這段過程充滿著政策移轉與認證混亂,許多業者都經歷了昂貴且冗長的檢測流程。呼籲政府與業界共同努力,推動資安認證費用合理化、測試機制透明化、與國際接軌,唯有如此,台灣安防產業才能真正健康發展,不至於讓這些認證淪為不合時宜的形式文件,而能真正落實到實際產品的安全保障中。
註:感謝「台灣安全設備與服務產業協會」提供相關時程與資訊 |
|
| |
| ※本文圖文非經授權不得轉載,洽詢授權,請E-Mail至contact@aimag.tw[ iDS智慧安防雜誌聲明 ]※ |
|
| |
|
|
|
| |
|
