歐盟結合ICT推動電動車整合示範計畫,並公布「2011交通政策白皮書」
歐盟執委會(European Commission)於去(2011)年11月底宣布,與歐洲電機工程領導組織Orgalime聯盟進行合作,將設立「電動車整合建設示範計畫」,加強推動業界示範營運實務經驗,並結合ICT技術發展,推動歐洲電動車蓬勃發展。歐盟於2011年6月所制定「2011交通政策白皮書--(2011 White Paper on Transport)」,3月所公告「歐盟2050交通遠景(Transport 2050)」規劃政策均係將「電動車產業」視為推動歐盟交通運輸政策之重要支柱;並且,歐盟更是於同年3月所制訂「2011能源效率推動方案(Energy Efficiency Plan 2011)」,明訂運輸專章,宣示將落實推動境內電動車產業相關投資、技術發展及基礎建設。
並且,歐盟對於電動車推動策略,係定位為結合ICT技術與交通工具之重要實踐。由歐盟執委會所支持成立的歐洲綠色車輛促進組織--「ICT4FEV」,其於2010年12月所公布「ICT for the Fully Electric Vehicle」及所2009年10月所制訂「European Roadmap Electrification of Road Transport」,宣示電動車之推動,對於節約能源與氣候保護的關鍵影響因素,並且規劃於科技領域各項研發工作,強化ICT技術、相關零組件及其系統,可扮演之重要角色,包括儲能系統、運輸技術、車輛整合、安全、電網整合運輸系統整合等。ICT4FEV並宣示未來將持續推動及檢視政府應備規範,並進行相關法令之調修工作。
「日本農業數據協作平台」(簡稱WAGRI)於2017年內閣府計畫的支持下,委由慶應義塾大學建立,該平台具備農業數據相容、數據共有與數據提供三大機能,日本IT企業NTT、富士通、農機大廠久保田、洋馬等均已加入WAGRI試營使用行列。今(2019)年該平台將移轉予國立研究開發法人農業食品產業技術總合研究機構(下簡稱農研機構),正式開始進入商業模式營運。欲利用WAGRI之機關除須向WAGRI協議會(由農業法人、農機製造商、ICT供應商、學研機構組成,以提出建議改善、普及WAGRI為其立會宗旨)遞交「入會申請書」外,亦須向農研機構遞交「利用規約」、「數據提供利用規約」與「規約同意書兼利用申請書」。 自主營運後,原先不收費方式已變更,欲利用WAGRI之機關依據以下兩種利用平台方式,須繳納不同的費用: 數據利用(利用WAGRI數據者)、數據利用提供者(利用WAGRI數據且提供數據予WAGRI者) 平台利用月費5萬日圓 若利用有償數據時,須另外支付數據使用費 數據提供者(提供數據予WAGRI者) 平台利用月費3萬日圓 僅提供無償數據的數據提供機關,原則上不需要繳納平台利用費 我國為發展智慧農業,智慧農業共通資訊平台有提供免費OPEN DATA介接功能,近年發展智慧農業之農企/機關團體,亦有建立平台作為內部蒐集、利用數據之用,例如弘昌碾米工廠建置水稻健康管理與倉儲資訊服務平臺,未來該類平台均有可能朝商業模式發展。WAGRI建立一套商業模式嘗試自主營運,後續將持續追蹤WAGRI營運狀況作為我國智慧農業平台之運作參考。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
美國資訊安全分析新挑戰:巨量資料(Big Data)之應用在2013年的國際資訊安全會議(RSA Conference)上,資安專家紛紛表示,將Big Data技術應用於資訊安全分析的項目上,確實可以幫助企業建立更佳的情勢判斷能力,但在實際執行過程中是一大挑戰。 資安廠商如RSA和賽門鐵克公司,在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標,這是傳統的特徵偵測(signature-based)安全工具無法做到的。 不像傳統的安全手段著重於阻斷攻擊,新的技術強調偵測並立即回應違犯行為,也就是提前遏止任何違犯行為,協助企業作全面性的偵測而不擔心有所遺漏。 由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊,巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類,而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型,取代部署特定產品和外圍系統的防禦。 美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。 「駭客只需要攻擊成功一次,但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅,更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說,以巨量資料技術強化資訊安全是很好的想法。 不過另有其他的說法,金融服務企業LSQ的首席安全及法務主管皮爾遜認為,許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了,這才是問題所在。他表示,目前現存的SIEM(安全性資訊及事件管理)工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內,但真正的問題是,SIEM工具必須要有能力分析數據並找出關聯性,如此才能偵測到駭客入侵的前兆證據和真實的入侵行為,這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料,而是要如何為資訊安全的目的建立關聯規則和應用方式,以有效率的方式找出有用的巨量數據並進行分析,和留下可供進行訴訟使用的證據。
半導體面板設備 進口將免關稅工業局預計明年和財政部研商修改海關進口稅則,給予廠商進口國內無產製的半導體、面板設備的關鍵零組件時,免課關稅的優惠,以提升國內兩兆產業自給率,在2008年分別提升至25%和50%的水準。包括奇美、彩晶、華映等面板廠都對提高設備自給率很有興趣。工業局指出,全球面板業市場,已成為我國和韓國互相較勁的局面,韓國目前設備自給率已達40%,並計畫在2008年達到80%水準,但我國面板設備自給率目前只有12%,不但主控權掌握在外國設備廠手裡,利潤也被賺走。如果國內面板廠可以提高設備自給率,可以節省成本30%至50%,獲利將可以大幅提高。 工業局表示,由於我國半導體與平面顯示器兩兆產業在晶圓代工帶動下及筆記型電腦與LCD顯示器的大量需求下持續成長,除產值大幅成長外,在設備需求上,台灣將分別占有15%及40%以上的全球市場,國內每年設備投資總額也將高達2,000億元以上,但是卻有九成以上仰賴進口。除了以租稅減免,提高國內面板及設備業者投入設備研發、生產的誘因外,工業局明年起每年也將投入近億元的經費,以科專計畫、主導性新產品研發補助等,協助國內設備業者提升研發及生產能力。 由於我國已成為全球半導體及面板的重要生產廠商,每年進口設備金額十分龐大,工業局也將運用此優勢,吸引國外大廠來台設立研發中心或與國內設備業者合作,投資生產製程設備。為鼓勵兩兆產業中心廠使用國產設備,對使用國產設備達一定比例之廠商,工業局也將研議相關的獎勵措施。
從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制 科技法律研究所 2013年07月03日 資訊科技的發展,從早期「超級電腦/大型電腦」、近期「個人電腦」,到即將邁入以超大規模數量電腦主機虛擬集結的「雲端運算」時代。雲端運算將電腦集中運用,未來電腦運算設施就像是水、電;資料儲存與應用就像是銀行,只要連上網路就可以使用,不必各自投資發展。因此,「雲端運算」未來將成為每個國家的重要基礎建設。 將雲端運算列為重要的產業發展重心,已是各國的趨勢,而運用雲端運算所帶來的效益,如節省經費、提升效率等,亦為普遍地承認,再加上公部門相較於民間,其擁有較多的經費及資源來進行雲端運算的導入,而藉由公部門導入雲端運算,可以帶動雲端運算產業的發展以及雲端運算應用的普及化。因此,各國均皆致力於促進公部門導入雲端運算。 然而,在雲端運算帶來龐大經濟效益的同時,伴隨而來的,是新的資訊管理議題,雲端安全防護聯盟(Cloud Security Alliance, CSA)提出了雲端運算可能遭遇的九大安全威脅 : 一、資料外洩(Data Breaches) 二、資料遺失(Data Loss) 三、帳號被駭(Account Hijacking) 四、不安全的APIs程式(Insecure APIs) 五、拒絕服務(Denial of Service) 六、惡意的內部人員(Malicious Insiders) 七、濫用雲端服務(Abuse of Cloud Services) 八、審慎評鑑不足(Insufficient Due Diligence) 九、共享環境議題(Shared Technology Issues) 面對前述的安全威脅,政府部門在考量導入雲端服務時,首先面對的就是要探討如何在導入雲端運算後仍能維持資訊安全的強度,以及政府部門要從何尋找符合其需求的業者。 壹、事件摘要 美國政府在2010年12月發表了25項聯邦IT轉型重點政策,其中一項核心的政策便是「雲優先政策」(cloud first policy)。根據「雲優先政策」,聯邦機構必須在三個月內找出三項轉移到雲端的政府服務,並且要在一年內導入其中一項。 然而,此種新型態的雲端運算服務為聯邦機構帶來資安管理的新挑戰,傳統由各機關分頭洽談所導入資訊系統與應用規格之方法,並實施個別的資訊安全需求與政策的作法,對服務商而言,其所提供的相同服務,在各機關導入時,卻必須將受各個機關的審查,造成各機關投入過多的資源在審查程序上,導致政府資源的浪費,不但耗費時間、審查重複,且無法達到建構妥善操作程序的效果。 2012年6月6日,聯邦政府總務管理局(General Service Administration, GSA)宣布「聯邦風險與授權管理計畫」(Federal Risk and Authorization Management Program,以下稱FedRAMP)開始正式運作,GSA並表示,「FedRAMP」的正式運作,將解決美國政府在雲端產品及服務需求上,因各自導入之標準不一致所導致的系統相容性問題、重複投資浪費,並可降低各政府機關自行進行風險評估及管理相關系統所耗費的人力、金錢成本。預估該計畫可為美國政府節省高達40%的預算及費用,預期效益相當可觀。 「FedRAMP」的目的是要為全國政府機關針對雲端產品與服務的風險評估、授權管理以及持續監控等標準作業規範,建立一套可遵循之依據。未來所有雲端產品的服務提供者,都必須遵守及達到該計畫的標準規範,才能為美國政府機關提供雲端產品及服務。 貳、重點說明 「聯邦風險與授權管理計畫」主要由預算與管理辦公室(Office of Management and Budget, OMB)負責組織預算與管理;聯邦資訊長(the Federal Chief Information Officer,CIO)負責跨部門的整合;國土安全部(Department of Homeland Security, DHS)負責網際網路的監控與分析;總務管理局(General Services Administration, GSA) 則建立FedRAMP之架構與程序,並成立計畫管理辦公室( Program Management Office, PMO)負責FedRAMP之操作與管理;以及國家科技研究所(National Institute of Science and Technology, NIST)負責提供技術分析與標準;最後由國防部(Department of Defense, DoD) 、國土安全部、總務管理局,組成共同授權委員會(Joint Authorization Board, JAB),負責對服務提供者的授權與定期檢視。 FedRAMP制度的精神在於「作一次並重複使用」(Do once ,Use Many Times),同一內容的雲端服務,透過FedRAMP,僅須經過一次的評估與授權,即得被多個機關所採用。早期各機關重複檢驗同一廠商的同一服務之安全性,造成資源浪費的問題,將可獲得解決。當其他機關欲採用雲端服務時,可透過FedRAMP,免去再一次的評估與驗證。 FedRAMP主要由第三方評估機構、對服務提供者的評估、以及持續監督與授權等三個部份所構成,簡單介紹如下: 一、第三方評估機構的認證 FedRAMP的特殊之處,在於雲端服務提供者應由通過FedRAMP認證的第三方評估機構(3PAO)來進行審查,而第三方評估機構欲通過認證,除了要符合FedRAMP的需求外,還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等,另外亦同時引進了ISO/IEC17020作為評估機構的資格。其認證程序如下: (一)申請檢視 機構首先必須符合ISO/IEC 17020 檢驗機構的品質與技術能力,並且自行檢視FedRAMP網站上的申請表,自行檢視是否合乎要求,然後決定是否提出申請。 (二)完成要求 機構須分別完成申請表所要求的系統安全計畫(system security plan, SSP)、系統評估計畫(system assessment plan, SAP)、安全評估報告(security assessment report, SAR)。於完成後向計畫管理辦公室提出申請。 (三)審查 在接受申請後,總務管理局會與ISO網路安全專家共同組成「專家審查委員會」(Expert Review Board , ERB),審查該申請。 (四)決議 審查完畢後,FedRAMP計畫管理辦公室(PMO)會檢視ERB的意見,決議是否通過該申請。 於通過申請後,該機構將會被列入FedRAMP官方網站(www.FedRAMP.gov)的第三方評估機構名單,目前為止,陸續已有十五個機構通過共同授權委員會的授權,日後得對雲端服務商進行評估。 二、對雲端服務提供者的評估 在「聯邦風險與授權管理計畫」的機制設計中,政府機關或雲端服務提供者任一方,皆可提出申請(Request)啟動雲端服務的安全性評估(Security Assessment)程序,此程序中共有四個主要階段: (一)提出申請 在申請人將所須文件初步填寫完畢之後,計畫管理辦公室(PMO)即會指派資訊系統安全官(Information Systems Security Officer, ISSO)進行指導,使之得進行安全控制、出具必要文件、並實施安全測試。之後,PMO會與雲端服務提供者簽署協議,並要求相關機關實施對雲端服務系統的安全性測試。 (二)檔案安全控管 雲端服務提供者必須作成系統安全計畫(System Security Plan, SSP),表明安全控制之實施方法,及其相關文件如IT系統永續計畫(IT Contingency Plan)、隱私衝擊調查(Privacy Impact Questionnaire),並送交ISSO進行審查,再由雲端服務提供者就對審查意見予以回覆之後,由ISSO將案件送至共同授權委員會(Joint Authorization Board, JAB)進行審查,以確認所提交的SSP安全措施符合雲端系統所需。 (三)進行安全測試 服務提供者與第三方評估機構(Third Party Assessment Organization, 3PAO)簽約,且由PMO約集雲端服務提供者與3PAO,確認雙方對於安全測試實施的期待與時程,再由3PAO獨立進行該雲端系統測試,並完成安全評估報告(Security Assessment Report, SAR),闡述評估結果並確認所暴露的風險。雲端服務提供者針對此評估結果,作成行動與查核點報告(Plan of Action & Milestones (POA&M)),以提出矯正弱點與殘餘風險(residual risks)的措施、資源與時程規劃。 雲端服務提供者再將前述SAR與POA&M提交予PMO,由JAB決定是否接受該弱點及其修正計畫,或者提出修正建議。倘若JAB可接受該弱點及其他因應措施,則由ISSO通知雲端服務提供者即將進入安全評估的最後階段。 (四)完成安全評估 雲端服務提供者將所有安全控制相關文件彙成單一的安全評估方案,並提出證明將確實執行其安全控制措施。由JAB檢視此方案,並作出最終決定是否授予「附條件之授權」(Provisional Authorization)。得到此授權的雲端服務提供者名單,將會被列在FedRAMP官方網站上。倘若雲端服務提供者未獲得此授權,PMO會指導如何進行重新申請。 三、持續的評估與授權 持續的評估與授權(ongoing Assessment and Authorization, A&A)通常也被稱為持續監控(Continuous Monitoring),在FedRAMP中第三個也是最後一個流程,透過持續的評估與授權機制,來確保雲端服務提供者持續的安全性授權。其中包含了三個主要層面: (一)操作的能見度 操作能見度的目標,是藉由自動化的方式來減少政府機構在監督作業上的行政耗費。亦即雲端服務提供者透過自動化的資料提供、定期提交具體控制的證據文件、以及年度自我認證報告等安全控制措施來說明操作的能見度,而不必政府機構另行要求。 (二)變更控制程序 雲端服務提供者更新她們的系統是常有的事,此處的變更控制程序並非針對例行性的維修或變更,而是要求若有發生影響臨時性授權或的顯著變更時,服務提供者必須提供此種具衝擊性變更的有效資訊,使FedRAMP得以評估此變更的影響與衝擊。 (三)事件回應 事件回應方面聚焦於新風險和漏洞的因應,服務提供者在發現影響授權的新風險或漏洞時,應向機構說明其針對保持系統安全的因應對策與作法。 參、事件評析 在各國紛紛投入雲端運算的推動熱潮中,我國也不能在此項產業推動中缺席。2010年4月,行政院科技顧問組(現已改組為行政院科技會報)責成經濟部,研擬「雲端運算產業發展方案」;2011年5月,行政院研究發展考核委員會亦公布了「第四階段電子化政府計畫」,在內部運作管理面向,將運用新興雲端運算技術推動以全國性的政府雲端應用服務,減少機關重複開發成本,並達成節能減碳效果。 雲端的安全問題,無論在私人企業或政府部門,均為選擇導入雲端服務的第一要務,「第四階段電子化政府計畫」中亦指出第四階段電子化政府將以雲端資安防護推動為重點,運用雲端運算技術,創新資安服務價值,確保政府資通安全防護。 然而,在服務提供者的安全性方面,我國並沒有像美國FedRAMP計畫般適度地提供服務提供者的安全性保證。對此,我國可借鏡各國的作法,適度的以透過公正第三方機構驗證,來消除雲端服務安全性的疑惑,並推動一個公開的平台,將通過驗證的廠商公布出來,提供公部門甚至私人企業作選擇,不僅可免去同一服務廠商不斷重複驗證的麻煩,亦可削減選擇上的難題,並藉此發展雲端資安技術與推動雲端產業,使我國的雲端環境能夠更臻成熟。