帶動App軟體產業競爭力的基礎建設
2016/11/18 【五】
行動通訊技術快速發展,帶動智慧型行動裝置的普及,推動行動應用產業的蓬勃發展,也使得各種不同類型的行動應用App需求快速增長,各種遊戲、社群、影音、通訊等行動應用軟體,更已成為生活中不可或缺的一部分。
提升資安意識刻不容緩
這些隨手就可下載的App,其實可能潛藏著竊取個資、惡意攻擊等資訊安全危機。新聞常見到詐騙集團利用通訊軟體針對個人詐財,第一銀行盜領案, 更因遭到國外犯罪集團駭客的攻擊,影響廣大民眾提款的權益,使得資訊安全問題儼然成為社會的新隱憂。
為了強化App資安品質,經濟部工業局於104年透過公協會籌組「行動應用App基本資安制度推動委員會」,廣納公協會、學界、相關服務提供業者、資安業者等,目前銀行公會亦已加入委員會,共同推動App 自主檢測制度與運作。
委員會主席、台科大資工系特聘教授李漢銘表示,資安在各國都是非常重要的基礎建設。未來的趨勢是政府及企業將廣泛透過資通訊的軟硬體,將服務延伸到民眾家中,範圍擴及電力、交通、金融、通訊等,如果資安出現問題,將影響應用服務系統的安全性,甚至可能引發大規模的損害。
推動資安自主檢測機制
為了解決智慧型手機的資安問題,經濟部工業局針對非手機內建之App,著手制定行動應用App基本資安規範、檢測基準、自主檢測推動制度,引導並鼓勵App開發者自主管理檢測。並為扶植新創業者,特設計行動應用App安全開發指引,以提升App資安品質與產品競爭力。
經濟部工業局目前推動「行動應用App基本資安自主檢測推動制度」,指定財團法人全國認證基金會(Taiwan Accreditation Foundation,TAF)負責執行「行動應用App基本資安檢測實驗室」認證服務的機構,評估App檢測實驗室是否具備檢測App資安的能力。通過TAF認可的檢測實驗室,可進行受理App開發者的檢測申請,檢測其App是否符合資安檢測基準。
截至10月底,已通過TAF認可的行動應用App基本資安檢測實驗室,包括鑒真數位有限公司之鑒真數位鑑識實驗室、勤業眾信聯合會計事務所之資安科技暨鑑識分析中心、中華電信股份有限公司電信研究院之測試實驗室。App開發者可向這三家檢測實驗室申請App檢測,目前也有其他實驗室陸續申請TAF認證,實驗室認證通過最新名錄可至TAF官網查詢。
行動應用App基本資安的檢測基準係邀請業者及專家學者,參考國際相關資安規範,歷經多次編審小組會商、專家座談研討等會議共同研議而成。依據「行動應用App基本資安檢測基準」,將檢測安全等級區分為三級:「初級」是針對沒有連線功能的App,檢測純功能安全性;「中級」是針對有連網功能的App,檢測連網及認證的安全性;「高級」則是針對具有付費資源功能的App,檢測付費資源的安全性。三個等級依序累加更多檢測項目,全部共有29條檢測項目。
成立行動應用資安聯盟
今年底行動應用App基本資安制度推動委員會,將以業界聯盟形式成立「行動應用資安聯盟」,希望透過此產學研交流平台,讓政府各領域的資安資源互通並凝聚相關資安政策建議。
聯盟未來將針對三大範疇App推動App基本資安檢測,包括eGov政府網站所公告的政府App、執行4G計畫相關的App,以及金融界所開發的App,後續更規劃通過檢測的App,將發放行動應用App基本資安標章,以玆識別。
李漢銘主席比喻,App基本資安檢測像是做健診,是基本的防護措施,確保不易受到惡意攻擊。透過資安檢測制度的建立,可提升應用服務業者資安意識,並降低使用者因個資洩漏所造成的損失。此App自主檢測制度的特色,是針對所有跨產業共通的App基本資安需求出發,未來各目的事業主管機關可以在這個基礎性的安全上,再加強領域別的資安檢測措施。
強化資安產業發展
台灣資通訊產業具備堅實基礎,人力素質強,國際主要資安公司都在台灣設有據點,李漢銘主席認為這對台灣資安產業是很好的機會。未來隨著線上支付等新趨勢興起,資安勢必成為更加重要的議題。以App資安防護為開端,促成台灣資安產業不管在人才、服務或制度上都能更趨完善,為未來推動資安產業走向國際市場鋪路。
推動行動應用App基本資安自主檢測及實驗室認證制度,可促進資安產業正循環發展環境,提升個人資安防護意識,保障使用者個人隱私與權益,並提高行動應用程式的自我安全防護能力,進一步更可擴大行動應用App軟體資安市場機會,強化行動應用App軟體產業競爭力。