美國國家標準與技術研究院公布物聯網設備核心網路安全基礎指南草案

  美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)於2019年8月1 日公布「安全物聯網設備之核心網路安全特徵基準(Core Cybersecurity Feature Baseline for Securable IoT Devices)」指南草案,提出供製造商參考之物聯網設備網路安全基本要素,該指南草案中提出幾項重要核心要素如下:

  1. 設備辨識:物聯網設備必須有可供辨識之相關途徑,例如產品序號或是當連接網路時有具獨特性之網路位址。
  2. 設備配置:獲得授權之使用者應可改變設備的軟體以及韌體(firmware)之配置,例如許多物聯網設備具有可改變其功能或是管理安全特性之途徑。
  3. 資料保護:物聯網設備如何保障其所儲存以及傳送之資料不被未經授權者使用,應清楚可被知悉,例如有些設備利用加密來隱蔽其儲存之資料。
  4. 合理近用之介面:設備應限制近用途徑,例如物聯網設備以及其支持之軟體應蒐集並認證嘗試近用其設備的使用者資訊,例如透過使用者名稱與密碼等。
  5. 軟體與韌體更新:設備之軟體應可透過安全且可被調整之機制進行更新,例如有些物聯網設備可自動的自其製造商取得更新資訊,並且幾乎不需要使用者特別之動作。
  6. 網路安全事件紀錄:物聯網設備應可記錄網路安全事件並且應使這些紀錄讓所有人或製造商可取得,這些紀錄可幫助使用者與開發者辨識設備之弱點以近一步修復。

本文為「經濟部產業技術司科技專案成果」

相關連結
※ 美國國家標準與技術研究院公布物聯網設備核心網路安全基礎指南草案, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8297&no=64&tp=5 (最後瀏覽日:2026/07/14)
引註此篇文章
你可能還會想看
單一顏色可否註冊成為商標? --- 英國知名巧克力品牌Cadbury成功將其招牌包裝用色「紫色」註冊為商標

  英國知名巧克力品牌Cadbury2004年10月向英國智慧財產局提出商標申請,欲將其招牌包裝用色(Pantone 2685C紫色)註冊為商標,指定使用於巧克力相關產品的包裝上,產品包含巧克力條、巧克力片、巧克力糖、包有內餡的巧克力、可可亞飲料、巧克力飲料、巧克力蛋糕。   自此,單一顏色是否可註冊成為商標之爭議不斷出現,努力長達將近8年,Cadbury終於今年4月在英國獲准將該紫色註冊成為商標。   註冊公告後Cadbury最大競爭對手Nestle(雀巢)旋即提出異議,其認為該紫色不具有識別性,且即便有識別性被核准註冊,其被賦予的商標權範圍亦過寬大(該紫色註冊商標指定使用之產品種類眾多)。   此顏色商標註冊爭議戰火持續燃燒,直至今年本月(10月),由英國高院(High Court)判決確認。法官首先說明單一顏色能做為商標保護標的,只要商標申請人明確定義清楚顏色色號(Pantone number)及顏色使用方式。此外,單一顏色註冊成為商標,商標權保護範圍應特別注意,僅限於使用該顏色時具有識別性之特定產品或服務上。   回到本案,法官提及Cadbury從1914年起即使用此紫色於牛奶巧克力棒(Dairy Milk bars),且Cadbury已提出足夠證據證明Pantone 2685C紫色具由識別性,相關消費者看到該紫色會聯想到Cadbury。然而,法官亦同時指出,對相關消費者而言,該紫色使用於牛奶巧克力及飲品時,方具有識別性,使用在其他巧克力相關產品上時,並不具有識別性,故法官就紫色註冊商標保護範圍進行了限縮。   針對判決結果,Cadbury高興地表示取得顏色商標對於品牌識別性及維護有正面作用,除了文字商標外,對品牌又多了一層保護。   此判決出爐後,似乎可預見日後將有更多品牌企業申請註冊顏色商標,加強品牌保護。

美國公民自由聯盟控告兒童線上保護法侵害言論自由

 美國公民自由聯盟(American Civil Liberties Union, ACLU)在挑戰一網際網路審查法案—「兒童線上保護法(Child Online Protection Act, COPA)」的訴訟中獲得勝利。美國公民自由聯盟聲稱,1998年頒布的兒童線上保護法立意雖是為了防止兒童在網際網路上接觸到色情內容,但卻違反了美國憲法,也損害了數以百萬計成年網際網路使用者的言論自由。這個案件被視為對網路言論自由限度的重要檢測指標。 該法案中要求所有商業網站在允許使用者瀏覽那些有害未成年人的內容時,必須以信用卡號碼或其他方式來證明使用者的年紀。此外,在該法案中,那些製造有害未成年人內容的業者每日必須支付最高五萬美元的罰款,以及最多六個月的牢獄之災。美國公民自由聯盟認為,該法案有效杜絕色情網頁的比例甚至不到五成,而最高法院也表示,如可透過像過濾軟體或類似技術來達到防止未成年人接觸網路色情內容的目的,則法律限制的必要性則有待商榷。

自動駕駛車輛之分級與責任

  所謂自動駕駛(autopilot),原來是指一個用來控制載具軌道而無需人工一直干預的系統,亦即無須人類持續干預,但人類仍須於關鍵時刻介入進行決定或作為,此時機器僅作為輔助。   而自動駕駛汽車或稱全自動駕駛,則只完全無須人類干預,由機器自動感應偵測,自動做成決策控制車輛行駛。故由人類的介入程度區別究竟是駕駛輔助或自動駕駛。美國國家公路交通安全管理局(NHTSA)於2016年已提出正式的分類系統,除手動駕駛(0級)外,區分弱駕駛輔助(1級)、部分自動駕駛(2級)、有條件全自動(3級)、高度/完全自動化(4級)不同程度的自動駕駛。其他國家如德國,在聯邦政府的「自動駕駛圓桌會議」也對自動駕駛有類似的四等級區分。   德國聯邦政府也在於2017年1月25日提出規範自動駕駛之法律草案,亦即道路交通法修正法(Änderung des Straßenverkehrsgesetzes),核心在於賦予電腦與人類駕駛者法律上同等地位。亦即,駕駛人的定義未來擴張延伸到「使用不同程度自動駕駛系統者」。根據草案將來在車輛行駛中,人類可以在特定時間與特定狀況下接管整個行駛。而最重要的修正:人類始終應該負使用電腦的最終責任。   故在行駛中駕駛人將會被輔助機器替代,更要求自駕系統應該具備“隨時可以由駕駛人接手操控或停俥”的功能。 分類中,駕駛人的角色只有到全自動駕駛實現時才退場,屆時才會發生無駕駛人只有乘客的狀況。   修法也重視自駕技術失敗並導致事故所生責任分擔的問題。對於責任的調查將採用如同飛航安全中之「黑盒子」的方式,該裝置會記錄行駛中的所有基本資料。這將有助於發生事故後澄清,查明究竟是技術上原因、製造商或駕駛員的過失,以確保駕駛人無法將責任全部推給自動化系統的故障。

歐盟專利強化合作方案 不同意見再起

  2011年3月,25個歐盟國家提案成立專利合作強化方案,以強化歐洲境內的專利申請以及審查速度。然而原本在波蘭接下2011年下半年歐盟主席後,希望於任內完成此一強化合作方案的簽署,目前似已遭遇瓶頸。義大利與西班牙兩國與其他25國不同,而對於歐盟(執委會)所提出之「強化專利合作程序」採取反對立場,他們認為因為該程序以英文、法文與德文為專利申請的官方語言,故羅馬及馬德里方面認為這將使得來自這「三大」國家的企業享有不公平的競爭優勢。     前揭方案的背景架構可放大到歐洲專利制度的整合規劃,2011年12月5日召開的歐盟競爭委員會,於有關歐洲專利統合的議題,原預計討論專利法庭所在城市(倫敦、慕尼黑與巴黎被提名)、上訴法庭、仲裁機構、財務分攤與程序接軌等議題。最後經過兩天的會議,只有專利法庭一案的討論,在多國表示願意擔任第一審法庭的情況下,獲得處理方向的決議。而有關財務負擔及其他仍未有確定共識的議題,有待丹麥主席任期中去進行最後協定的催生了。

TOP