臺灣安全監控市場資安現狀（中）

       談到安全議題往往聯想到「去中化」，在2017～2019年間，有許多臺灣廠商依賴中國板卡，被發現存在後門程式或易遭駭客入侵，這些疑慮讓政府鼓勵自製板卡，然業者發現要「完全在地化」，研發成本與時程都不小，所以有些企業選擇半自主或跳過中國核心零組件的模式。事實上，立承、聯詠嘗試推出能夠一次通過檢測、符合物聯網資安標準的NVR板卡，給國內廠商使用。

        另一方面，NVR本身在2024年以前，只有安華符合TAF實驗室規範可做檢測，ETC在2024年才取得資格。但隨著安華於2025年宣告不再做影像監控設備的檢測，檢測服務又少一家，導致若標案同時要求NVR與攝影機檢測合格，廠商可能得排隊或苦等。為了降低這種壟斷壓力，也有廠商選擇推出「合格板卡」，再透過系列認證方式快速幫整機業者拿到檢測報告，節省一半以上的費用並加速時程。

去中化、NVR 板卡與整機檢測

        實際上，部分中國品牌也有透過臺灣代理商的協助，嘗試送檢測。只要能通過完整流程並取得合格證書或檢測報告，就能在臺灣銷售。部分市場人士認為這種作法如同替中國產品做「資安背書」，不利於「去中化」政策；但也有人認為，如果建立的是一個「任何產品只要通過檢測就可在臺灣販售」的機制，那麼臺灣廠商反而可以扮演協力者、技術整合者，從中賺取服務與零組件利潤，而非單純用行政手段一刀切。事實上，在手機或其他電子產業鏈裡，中國代工的比例也相當高，如何在開放市場與國安風險之間找到平衡，一直是複雜的政治與商業議題。

政策的持續與連貫性

        從2017年至今，政府與業界、實驗室的磨合並不容易，牽涉到業管單位、NCC、標檢局、數發部等單位。若未來CNS 16120、16132 等納入強制列管，勢必要求所有廠商照規定辦理，但未確定之前，電腦公會與臺灣資通產業標準協會的規範並存仍將繼續，業者最擔心的是，若再推出新標章機制，會讓先前已投入大量人力與金錢的廠商懷疑政策穩定性。

        許多業者建議，既然好不容易建立檢測與認證架構，就應該讓它保持穩定，持續推廣、滾動修正細節，並盡力避免頻繁增減新的制度去影響市場信心。畢竟在臺灣安防業者與外國廠商都已漸漸認可這套做法的當下，如果能進一步精簡流程、加速審查、減少過度收費，便能同時兼顧產業發展與國家安全需求。

       至於未來檢測建議，亦有廠商建議檢測能夠仿效ONVIF的模式：由政府或相關單位提供一套測試軟體，讓廠商自行掃描與上傳測試數據，隨時掌握韌體或設備在網路安全上的狀態，並透過較低的成本完成檢測與調整。
 

圖1：檢測與認證的對比圖
資料來源：ChatGPT與本文作者協作編輯

        廠商表示，今年已陸續看到一些政策轉變，例如有輔助廠商做「 弱點掃描」與「網頁安全性檢測」，費用比以往送到臺灣資通產業標準協會或透過CNS 16120做完整認證來得低，且更符合實際需求。像是配合政府的「資安月」計畫，將自家產品送去實驗室做國際大廠軟體的網頁弱點掃描和通訊介面接口掃描，雖然檢測項目不算多，但相較先前花費較高才能取得臺灣資通產業標準協會或CNS 16120的證書，算是很好的進步。

        但也有業者指出，去年初似乎有看到一波標案有要求CNS 16120的趨勢，但目前投標與市場上又較少看到標案明確列出此要求，推測可能與費用過高、流程複雜、或CNS 16120本身沒有建置完善的公開網站或清單，讓使用單位及規範單位難以快速得知哪些企業或產品已通過有關。據了解，許多專案也開始與時俱進，採取比較「務實」的方式因應，例如在招標文件中要求得標廠商於得標後30～60天內，另外提交一份「資安弱點掃描報告」即可，或直接列出功能要求，例如密碼強度、黑白名單過濾、802.1X等具體規格，這種方法比過去單純寫一句「必須具有某某證書」更能保證廠商提交的產品在最終交貨時確實符合資安需求。
 

封面圖片來源：由 ChatGPT生成
參考資料來源：資策會數轉院團隊整理