5G產業大未來，資策會資安所協助打造5G設備、場域資安韌性

5G落地發展，大頻寬、低延遲、多連結的三大特性開啟產業的希望之門，引領企業通往創新應用、數位轉型的美麗新世界。

受益範圍從5G設備廠商到專網應用領域，其中更以ICT製造大廠最積極，期待能在5G專網應用的實驗場域中淬鍊可行的通訊設備、應用方案，搶進全球5G設備與應用的數千億美元商機。

不過，5G系統有別於傳統電信架構的封閉性，採取網路功能軟體化做法，也讓資安議題一開始就備受重視。

為協助國內5G產業發展，政府亦投入資源，支持財團法人資策會資安科技研究所（資安所）針對5G資安技術與檢測生態提前佈局，從設備入網前的檢測與合規出發，一路推進至應用部署前、維運期間等不同階段，逐步建構檢測、偵防、維運一塊塊拼圖，串聯成完整的5G資安方案。

借鏡UNC1945事件，絕不輕忽5G資安威脅

雖然5G專網的佈建尚在起步，未曾發生重大5G資安事件，但去年（2021）不乏傳出國家級駭客組織UNC1945，長年入侵電信級IT系統，竊取大量使用者個資與憑證等案件，在在提醒科技發展的同時，資安防禦也必須迎頭趕上。

資策會資安所產業資安發展中心主任蔡正煜表示，隨著越來越多5G應用出現，終將難以避免資安威脅，主要理由有三：

1. 5G為開放架構，許多傳統IT廠商參與5G供應鏈，可能將IT世界的漏洞帶入5G。

2. 隨著萬物聯網時代來臨，不論前端各式IoT 設備，5G所介接的諸多異質網路，都可能蘊藏安全破口。

3. 5G採用的虛擬化技術或容器技術，多由開源軟體堆疊而成，可能存有漏洞，或可讓惡意行為者有機可趁之下佈署惡意軟體，造成資料外洩或竄改。

影響範圍涵蓋國際組織第三代合作夥伴計劃(3GPP)將5G系統概分的四大區塊，包括無線電接取網路(RAN)，多重接取邊緣運算(MEC)，傳輸網路(TN)與核心網路(Core Network, CN)。

資策會資安所網駭科技研究中心主任田家瑋指出，從UNC1945案例可見，電信IT基礎建設當中不管是設備、虛擬化技術都涉及開源軟體安全問題。設備部份常見許多軟、韌體漏洞，可能源自帳號密碼或傳輸的安全強度不足，抑或演算法及設備存有後門；虛擬化技術方面常見容器權限操作欠缺適當保護，或軟體函式庫有漏洞未補、OS未更新等現象，突顯開源社群無力即時更新、缺乏檢測手法、程式碼成熟度不足等盲點；企業若套用相關元件，可能把資安問題帶進5G專網。

更複雜的是，5G專網帶有CT(Communication Technology)技術特殊性，不管基地台到核網、核網到對外網路，均有專屬協定與傳輸邏輯，加上組成元素為IT設備或虛擬化技術，故不論哪一段都存在風險，差別僅是網路系統的弱點或漏洞被發現的時間早晚。

以智慧製造場域為例，田家瑋提醒，導入5G系統架構，一定扣合場域整體的IT、OT進行資安部署，包括終端設備、網路傳輸、維運都具有潛在風險，避免駭客只要從易受攻擊的物聯網終端設備攻入後，發動少量且無效的網路封包，就能一路長驅直入堵擋或佔用系統資源而拖垮5G效能。

5G設備資安預檢測，建立第一道風險防線

蔡正煜指出，合規是5G設備廠商想要將設備賣進通訊領域的必備入門票，除5G設備需要符合國際組織第三代合作夥伴計劃3GPP SCAS規範外，國內NCC也公佈電信事業資通安全管理辦法，規定5G業者必須制定資通安全維護計畫，並要求各場域須符合資安規範。

也就是說從5G設備到專網通通都有資安要求。因此，資安所在建置5G資安方案時，與5G Lab、設備商、系統整合商、資安服務商等共同協作推動，倡議設備入網前的「預檢測」概念。

資策會資安所網駭科技研究中心組長柯盈圳進一步說明，在「設備入網前」階段，資安所方案除能供應符合3GPP SCAS 資安測項的自動化檢測工具，亦運用已發展的5G檢測技術能量，連結台灣資通產業標準協會，廣邀通訊、資安業界專家學者，完成TS-0035「5G基地台資安測試規範」產業規範，協助設備廠商落實產品對通訊與系統資安的需求。

5G資安管理與合規中控平台，提升5G場域數位韌性

此外，當5G設備入網後，更需留意專網環境的維運安全。柯盈圳表示，目前已發展相關檢測工具，能協助國內電信營運商在應用啟用前進行基地台、核網、骨幹等設備安全性檢測。包括協助進行通訊系統威脅與風險評估，範圍涵括使用者的傳輸流量到通訊訊令，及運行的應用服務，通盤考量各環節的資安構面。

進入「維運」階段，則協助導入偵防工具，即時過濾基站至核網、核網至MEC所有流量，識別有無惡意行為；並結合5G管理監控平臺持續掌握網路即時狀態，設定Threshold管控機制，並定時執行安全檢核，確保系統組態、安控措施未出現偏誤，維持系統環境的數位韌性。

在前台管理端，設計5G資安管理與合規中控平台，提供資安可視性和管控模組，對網路異常行為告警進行Double Check，有資安事件發生，也能透過中控平台發揮戰術指引與主動阻斷等必要應變措施，協助場域業主簡化資安維運管理程序，降低人力及資源投入成本。

5G世界已來，在產業數位轉型與升級同時，隱藏的資安風險更不容忽視。資策會資安所基於法人角色，發展完備的工具、規範及顧問服務，滿足產業所需的資安管理功能，未來也將透過技轉予資安業者，助攻臺灣ICT產業「通訊 + 通安」形成強強聯手的雙贏局面。