美國國家標準與技術研究院公布物聯網設備核心網路安全基礎指南草案

  美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)於2019年8月1 日公布「安全物聯網設備之核心網路安全特徵基準(Core Cybersecurity Feature Baseline for Securable IoT Devices)」指南草案,提出供製造商參考之物聯網設備網路安全基本要素,該指南草案中提出幾項重要核心要素如下:

  1. 設備辨識:物聯網設備必須有可供辨識之相關途徑,例如產品序號或是當連接網路時有具獨特性之網路位址。
  2. 設備配置:獲得授權之使用者應可改變設備的軟體以及韌體(firmware)之配置,例如許多物聯網設備具有可改變其功能或是管理安全特性之途徑。
  3. 資料保護:物聯網設備如何保障其所儲存以及傳送之資料不被未經授權者使用,應清楚可被知悉,例如有些設備利用加密來隱蔽其儲存之資料。
  4. 合理近用之介面:設備應限制近用途徑,例如物聯網設備以及其支持之軟體應蒐集並認證嘗試近用其設備的使用者資訊,例如透過使用者名稱與密碼等。
  5. 軟體與韌體更新:設備之軟體應可透過安全且可被調整之機制進行更新,例如有些物聯網設備可自動的自其製造商取得更新資訊,並且幾乎不需要使用者特別之動作。
  6. 網路安全事件紀錄:物聯網設備應可記錄網路安全事件並且應使這些紀錄讓所有人或製造商可取得,這些紀錄可幫助使用者與開發者辨識設備之弱點以近一步修復。

本文為「經濟部產業技術司科技專案成果」

相關連結
※ 美國國家標準與技術研究院公布物聯網設備核心網路安全基礎指南草案, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8297&no=64&tp=5 (最後瀏覽日:2026/07/03)
引註此篇文章
你可能還會想看
2013年全球智慧財產權申請量顯見成長,中國大陸佔居首要

  世界智慧財產權組織(WIPO)於2014年12月所公布的世界智慧財產權指標(World Intellectual Property Indicators)基準報告指出,商標、工業設計及實用新型的申請量較前一年度成長,並以中國,美國和日本居前三位;另就申請類別而言,總成長比率分別為專利占9%、商標占6.4%、工業設計占2.5%、和植物品種占6.3%。   報告統計結果顯示,2013年全球專利申請案件約260萬件,比起前一年成長了9%,其中,中國大陸占總申請量的三分之一,其次為美國占總申請量的22%,日本申請量達32萬筆,排名為全球第三位。   報告另指出,專利申請領域依序為,電腦技術佔7.6%、電子機械佔7.2%、測量佔4.7%、數位通訊佔4.5%及醫療技術佔4.3%。   除專利外,其他的智慧財產申請情況,商標申請量上升近500萬件,亦以中國大陸排名首要。另工業設計申請案約達124萬筆,較前一年度成長約2.5%,中國大陸占總申請量的53%。   WIPO總幹事Francis Gurry表示,綜觀全球智慧財產申請全貌,中國大陸及美國於智慧財產權申請量仍明顯成長,而相對於歐洲及日本整體申請量則有明顯衰退之趨勢。

簡介日本「u-Japan政策」

歐盟公布資料保護相關指令適用意見書

  由歐盟二十七個會員國資料保護主管機關組成的第二十九條資料保護工作小組(The Article 29 Working Party)最近公布其應適用何國資料保護法規之意見書。   歐盟資料保護指令(EU Data Protection Directive)第四條對於蒐集或處理個人資料所應適用之法規有所規範,依該條規定,機構必須依其成立之國別適用該國資料保護法規;機構若於其他國家裝置設備處理資料,則須遵守設備所在地之法令。   隨著全球化的趨勢與新興科技的發展,目前處理資料機構之運作方式已與當初制定指令時有所不同,許多機構在世界各國設置營運點,向全球各地提供各類型服務,尤其是網際網路的發展,使得遠端服務及在虛擬環境下分享個人資訊更為容易,但同時也增加辨識資料處理所在地之困難度,因此工作小組提出該意見書,希望藉此釐清資料保護指令第四條之適用。   工作小組於該意見書中指出,資料保護指令所指的應適用法規,並非資料控制者(data controller)所在地之法規,而是附屬於該資料控制者並實質進行資料處理之機構的所在地法規。蓋因同一資料控制者可能在數國成立附屬機構,在此種狀況下判別適用法規的標準,應視實際上相關資料處理活動的發生地,亦即處理資料機構所在地。   而針對處理個人資料所使用之設備,工作小組表示,即使處理資料之機構並未擁有設備,而使用該設備處理個人資料時,亦可適用指令第四條之規定,需遵守設備所在地之相關法規;但工作小組同時特別釐清,以電信電纜或郵政服務等方式傳輸資料並不會落入資料保護法規之範疇。

亞馬遜啟動「零計劃」與「透明度計劃」打擊盜版

  於平台上販賣盜版商品,長期困擾著許多電子商務平台。做為美國電子商務龍頭之一的亞馬遜,近年也遭受外界指責未盡防止盜版的責任。儘管亞馬遜聲稱已盡力處理廠商的盜版申訴,但外界對於亞馬遜怠於處理甚至靠盜版牟利的譴責,卻未見停歇。   為解決盜版猖獗的問題,亞馬遜於2019年年初推出了以「零計劃」(Project Zero)為名的免費品牌服務,這項計畫包含了幾個項目,其一是透過機器學習掃描平台中可能的仿冒商品,並依據廠商提供的品牌資料主動移除可疑的盜版項目;其二,提供廠商自行移除仿冒商品的工具,廠商無須向亞馬遜提出申訴即可自行下架盜版商品;第三,透過廠商在商品上放置特殊編碼,讓亞馬遜可以在出貨時就檢驗其是否為正版,以即時遏止盜版商品的送到消費者手中。「零計劃」目前僅提供部分受邀品牌參與,同時,即使亞馬遜宣稱會採取適當檢驗程序,但該計劃是否會賦予大品牌過多權力,壓迫小廠商或二手商品的發展,導致不公平競爭的問題,仍有待觀察。   除「零計劃」之外,今年(2019)年初 亞馬遜也擴大了自2017年開始運作的「透明度」(Transparency)的付費計劃。該計劃的運作,是由亞馬遜給予註冊品牌廠商一個或數個由亞馬遜研發的二維條碼,廠商有責任將其施用在其指定的商品上,以一方面讓亞馬遜在出貨該商品時透過該條碼來驗證商品來源與真實性 ,二方面買家也可透過亞馬遜提供的APP掃描條碼來確認其商品是否為正品(此為零計劃中所未包含的功能)。目前該計劃已在北美、德國、法國、英國、義大利、西班牙與印度等國實施。

TOP