March 18, 2020
專家觀點 | 門禁系統:智慧門鎖與智慧鑰匙

多數的我們對刷識別證進入有保全系統的建築物已經十分習以為常,然而,我們可能很少會連想到這個動作的背後牽涉到許多令人讚嘆的作業。UL生命安全科技部首席工程師Louis Chavez表示,隨著科技的進步,門禁系統也不斷朝兼顧安全與便利的方向發展。 「如可能是某些智慧建築的門禁系統可以讓每早的第一員工進門時就自動開燈,」Chavez表示。「有些門禁系統則是針對需要有更高安全性的應用所設計。其中一個範例就是整合電梯控制的門禁系統,只允許有特定授權的人員才能進入預設的樓層。而即使是依照管理單位設定的參數進行人員去留管制的系統,也是屬於門禁系統的一種。」 飯店房客被反鎖在房內 若未加強網路安全,科技互動程度的增加反而會導致資安風險。 假想你正在國外豪華飯店渡假,突然飯店的門禁系統受駭客入侵,並要求支付贖金,否則客人將會被反鎖在房內。 這是2017年發生在奧地利的真實故事。當時,駭客入侵飯店的電子鎖系統,造成員工無法核發新的電子房卡給新房客。最後,飯店支付了將近1,900美元的比特幣,系統才恢復運作。 有鑑於此,UL 294門禁系統 (Access Control System Units) 標準加入了分級制的性能評估選項,以衡量門禁系統對立即威脅的防護等級。其中,第四級為最高等級 ── 符合此等級的產品必須具備256位元加密的線性安全性。此外,透過搭配諸如UL 2900-2-3、連網產品的軟體安全 (Software Cybersecurity for Network Connectable Products) 以及安全與生命安全信號系統的特殊要求 (Particular Requirements for Security and Life Safety Signaling Systems) 等輔助標準,建築物所有權人與管理者將更能夠確保門禁系統具備足以應付風險的性能,並能更安心使用系統。 電子門禁系統通常會搭配實體的保全設備,例如門鎖。以學校為例,Chavez指出美國境內多半學校皆安裝了某種門禁系統。意謂當早上學生陸續抵達學校以及下午放學期間,學校的門禁系統通常允許自由進出;但在學生上課時段,學校的出入口通常將受管制。在管制期間,人員必須使用授權憑證 (例如卡片或PIN碼) 通過門禁系統才得以進出建築物。 當緊急狀況發生時,門禁系統通常會與火災警報系統連動。一旦發出火警訊號,門禁系統便會依照當地行政機關的指示,讓師生自由離開建築物。 門禁系統也可以利用系統登入資料提供資訊,例如進出建築物的人員名單。 有知覺的建築物 有些門禁系統甚至能提供特定時間點有那些人員在建築物內的資料,此對處理緊急狀況很有幫助。然而,要獲得準確的人數資料,即必須要求每個人都要養成刷卡進出的習慣。不過,有些建物大樓已開始使用進階非接觸式技術的先進系統,如利用人臉辨識或無線裝置等自動化技術,偵測未刷卡進出建築物的人員。 UL 294也能測試系統可以承受的破壞性攻擊等級。承前述,第四級的系統除了具備可運作四小時的備用電力,還能抵擋長達五分鐘的攻擊,並能觸發持續鈴響兩分鐘的警報。 不論是學校、企業、零售業或其他類型的機構,門禁系統在保護人身安全上都扮演重要角色。敬請持續觀看我們的網路研討會影片,了解門禁系統的UL與EN標準差異。 探索更多 • 門鎖五金測試 ── 全球市場大門開 • UL 電子安防系統認證服務 • 談 UL... read more

October 26, 2019
在資安威脅遽增的時代加強物聯網安全

本文旨在探討確保軟體供應鏈安全性與完整性的重要,以及採用通用且可驗證的技術標準有何好處。 構成物聯網 (IoT) 的各種網路裝置,正在改變我們與周遭環境的互動方式。物聯網為現實生活帶來更先進的應用服務,例如連網汽車、連網家庭、智慧電表與健康監控等。然而,在我們讚嘆物聯網潛能之餘,很容易就忽略伴隨而來的各種挑戰 ── 這當中有許多皆涉及隱私及資訊安全。 與 IT 系統如出一轍,物聯網網路與裝置很容易受到操控及破壞,進而衍生各種風險,例如重要資訊外洩、關鍵業務服務停止運作…等。此外,隱私問題的經常發生,則令消費者擔憂不已。根據數位安全公司 Gemalto 的研究,90% 的消費者對物聯網裝置的安全性缺乏信心1。 確實因為無法掌控資料的安全,會讓消費者感到不安。 新的動態挑戰 物聯網裝置會收集和傳送那些使用各種安全要求的資料。在實作上,有些資料串流僅需最基本的防護,例如工廠設備的操作資料,但有些資料串流則會包含高度機密的資訊,例如銀行交易或機密的醫療紀錄。 另一項挑戰在於對各式各樣物聯網硬體、軟體與網路基礎架構的管理。更複雜的是,企業還需要與許多供應商、內部團隊、合作夥伴甚至消費者共同維護各種元件、基礎架構與裝置的安全性。 防禦升級 隨著網路連線裝置數量呈倍數增長,企業需要完善的解決方案,以保護重要資料與系統。最好的方法是結合最佳實作方式與最新技術。以下這七種策略能協助實現您的物聯網計畫。 網路分段 (Segment networks) 透過網路分段,每個介面在處理流量前都會被指派到一個安全區域。接著資安團隊即能精細控管每一位使用者和其所存取的資料,並得以在常見的物聯網攻擊擴散至其他裝置前及時阻止。 要求驗證 (Require authentication) 強大的使用者驗證與存取控制機制可確保只有獲得授權的使用者才能存取網路與資料。為確保可靠性,建議企業使用可信賴的驗證平台管理驗證流程。 生命週期監控 (Lifecycle monitoring) 裝設監控工具可以幫企業確認韌體與軟體系統的健康狀況,不論是在開始執行、運作期間或是最容易遭到攻擊的升級階段。記得將自動更新預設為開啟狀態。 使用加密 (Use encryption) 不論是靜態或動態資料,皆應使用加密保護資料。在網路層與傳輸層使用加密可以提供層層保護,增加網路受到攻擊的困難度。 安全 API (Secure APIs) 若要在網路邊緣裝置、後端系統與核心應用程式之間安全移動資料,則 API 安全性是必要條件。此外,還要部署可在這些重要連結點中識別潛在威脅的技術。 威脅偵測 (Threat dectection) 人工智慧與機器學習等進階分析技術,可以偵測出傳統網路安全技術無法察覺的異常與漏洞。 加強流程 (Strengthen processes) 雖然技術是物聯網安全性的基石,企業仍需要在各個層面保持警覺。請務必確定您已清楚定義、定期更新與持續加強安全原則與訓練流程。 取得最佳平衡 物聯網為今日以資料為商務導向的企業帶來許多新的機會與挑戰。但隨著物聯網日趨普及,安全與 IT 專家也必須正面迎接接踵而來的重大典範轉變。以客戶為中心的品牌若要永續發展,勢必得建構可在使用者存取能力與資料安全性之間取得最佳平衡的物聯網環境。 隨著世界正步入 5G... read more

September 30, 2019
物聯網安全與品牌信任緊密相依

最新研究發現,由於物聯網 (IoT) 的興起,企業在網路安全上必須挹注更大且持續的投資與建置,以降低可能的資料外漏所導致的商譽風險。 要在整個供應鏈取得必要物料與產品能見度並不容易,更何況還想確保在供應鏈各層面維持一定水準的表現,更是難如登天的挑戰。根據近期的研究發現,只有 13% 的製造商表示,他們的「完整能見度」可達到第二等級 (Tier 2) 及以上。 最新研究發現連網裝置會置使用者和資料於風險中 無論您的企業是否運用物聯網來改善內部作業,或者正將其用於開發連網裝置的業務,您都應該將安全策略視為第一優先的要務。雖說物聯網整合可為企業提供數以萬計的商業效益,然而,隨著愈來愈多具備連網功能的產品進入市場時,也為駭客提供更多機會擷取後端系統和資料。 最新研究即顯示,許多企業並未充份了解連網裝置對企業帶來的風險,而這些風險有可能對客戶關係與品牌造成無法彌補的傷害。 現行資安措施依舊是亡羊補牢 端點安全解決方案供應商 ── 趨勢科技 (Trend Micro) 曾對全球 1,150 位 IT 和資安決策者就其 IoT 安全性實務與認知,進行了一項調查。 研究結果正好提醒了我們必須特別注意:企業在物聯網功能的投資與保護其用戶、品牌和商譽之間所需的安全性,存在顯著的落差。 儘管有 2/3 (63%) 的受訪者同意,網路安全威脅在過去 12 個月是增加了。即使在過去一年中,企業平均會遭受 3 起連網裝置攻擊,但僅約一半 (53%) 的受訪者認為連網裝置會對自己的企業帶來威脅。 而有 52% 的受訪企業認為失去客戶信任是物聯網資料洩漏事件最嚴重的後果,其次是財務損失 (49%)、個人資訊遭竊 (32%)、罰鍰 (31%)、以及違反資料安全法規 (28%)。不過,有近一半 (43%) 的 IT 和資訊安全主管表示,在物聯網專案部署中,資安問題的處理往往還是採取亡羊補牢的作法。 上述的統計數據證實,缺少強大的安全策略可能會使企業處於品牌風險中,進而付出極高的代價。 失去業務就失去信任 資料洩漏和網路攻擊會對業務運作帶來嚴重的破壞。幾起轟動一時的資安事件,如美國 Target 超市資料洩漏事件以及 Mirai 殭屍網路,皆一再顯示,攻擊連網裝置及對連結這些裝置的網路漏洞加以攻擊是多麼容易的一件事。在這些較極端的案例,駭客可能透過一台看起來幾乎無害的裝置就能入侵 (例如智慧型調溫器或安全監視器),然後嚴重破壞企業系統、設備或甚至是基礎設施。... read more

August 24, 2018
專題論壇 | 談 UL 2900-2-3 標準如何降低安防設備網路風險

生命安全物聯網網路安全 談 UL 2900-2-3 標準如何降低安防設備網路風險 本文作者:UL 生命安全科技首席工程師 Louis Chavez 為協助提高關鍵性電子實體安全聯網系統的安全性能,UL 依據產業的投入實際現況,在近年所發展的 UL 2900 網路安全標準系列下增訂了最新版要求:UL 2900-2-3,其中載明基礎的網路安全性能和評估要求,以促使聯網產品廠商有所依循地針對已知漏洞、弱點和惡意軟體,進而設置網路安全的保護防線。 近年快速堀起的物聯網如兩面刃,一方面其為帶動了生活的快速便利與經驗值,但另一方面,其成為有心人士可以鎖定的攻擊漏洞。 環顧生活周遭,物聯網 (IoT) 已是無處不在,如智慧電表、商用保全監控攝影機或系統、程式處理器和自動提款機 (ATM) 僅是連接物聯網的生命安全 (安防) 設備一小部份。 根據全球知名市調公司 Gartner 集團的數據,2017 年有 84 億「物聯設備」投入使用,且預期至 2020 年的聯網設備數量將達 204 億之多。無論智慧電視、數位有線電視盒、智慧電表和保全監控系統等 IoT 設備之數量無疑將呈翻倍成長,此亦促使企業對企業 (B2B) 和企業對消費者 (B2C) 的使用者將享有即時回應的服務、使用經驗的加強及方便快捷等多方面與過往不同的體驗優勢。 在這其中,向來為使用者最為在乎的「資訊安全」方面,針對電子實體安全系統部份,組織機構即會進一步藉由 IoT 遠端辨識和監控與安全和保全等相關問題,以進行針對性的回應。如可快速更改數位金鑰,達到限制或允許瀏覽 (拜訪) 的目的,為系統添加一層加強性的保護。 只是還是無可避免的是,隨互聯技術更大肆興起,居心叵測的網路攻擊者乘勢利用網路管理軟體和作業系統內部存在的漏洞,製造出更多且更難臆測的網路釣魚、蠕蟲、機器人程式、勒索軟體和惡意軟體等形式之網路威脅。 是時候採取有所為的行動,掌控系統漏洞和強化產品免受攻擊了!UL 2900-2-3 從基礎風險下手再到企業流程系統,以風險等級措施提供確實的解決方案。 早在 2017 年初,美國聯邦通訊委員會 (FFC) 即已警告 IoT 廠商必須盡快解決網路安全風險,或遵循政府監管和強制性法規。而事實上,降低網路問題的核心在於該如何加強防範如... read more