VIDEO
US Calls Out Chinese Companies with Military Links
編者:本白皮書由電信公會理事長李金池、3S VISION 立承系統董事長李承鴻、3S MARKET 執行總監,根據 6/12、6/16、6\23 所舉辦三次「台灣智慧安控產業國家隊高峰會」,將參與者所提意見及建議,彙整而成。
前言
台灣在 15 - 20 年間,曾經一度是全球最大的影像監視設備的出口國,當時台灣監視攝影機出口量,在全世界的市佔率約為 40%。但是在紅色供應鏈崛起之後,台灣安控業 EMEA 地區及東南亞市場在幾乎已完全失守。
可是美中貿易戰所引爆的兩國安控科技戰,卻也帶給台灣安控業未來的發展機會。但是前提是,目前台灣影像監視業者,仍大量採用中國海思晶片,如何從現在起逐步進行調整替換,改用自己國產的晶片,發展台灣自有的智慧安控業、政府政策的支持,將是非常重要的關鍵。
近年來台灣安控市場,90% 充斥著中國產品或使用中國海思晶片產品。加上國內市場小、採購法屢次修正卻仍相當不完善,造成台灣安控產業一直在萎縮。政府宣示「資安即國安」的政策,而安控設備是許多公共工程設備的第一道守護神,必須發展與振興台灣智慧安控產業,才能真正實現資安即國安。
安控產業是一個小產業,卻是一個具發展性的利基型產業,很多的產業應用領域,都會運用到安控相關技術。就因為安控產業不是一個大型產業,總是被政府當局忽略其關鍵性的重要角色。
而中國卻將安全監控產業視之為民族工業,美國許多政府單位,因採用中國監視設備被駭,技術被竊取,才開始痛定思痛,積極通過國防授權法(NDAA),同時已經羅列中國共 61 家的實體黑名單,限制中國安控產品輸入美國,這些實體名單包括 IP Camera、NVR、DVR、IVA\VMS、AI 智慧影像整合管理平台等。
台灣區電信工程工業同業公會鑑此,委請電信公會諮詢顧問 3S MARKET 施正偉規劃,邀請國內安控、電信網通、人工智慧與物聯網與晶片之相關製造、系統整合與保全服務,以上各領域代表性業者,以「智慧安控國家隊高峰會」之名召開了三次會議,從晶片、資安防護、產品製造發展、場域應用服務的四個面向,徵詢這些代表性業者,找出問題、提出建議解決方案,並形成此一「台灣智慧安控產業國家隊白皮書」,供政府與業界作為產業發展參考。
VIDEO
駭客入侵「監視器」網路 全台逾10萬戶受害
一、提案ㄧ:安控設備資安弱點偵測,刻不容緩
據估計,國內影像安控設備,可能 90% 都是採用中國海思晶片。鑑於國內資安領域,目前並無業者專精於安控設備的資安防護,但國內相關裝置安控設備政府公單位部門場所,近年來已發生多起遭駭,以及疑似後門資料回送等的資安問題。
(一)、具體問題描述
1.資安即國安,安控產品,特別是應用在國防、政府單位、交通要道等,如美國 IPVM、Bloomberg、Forbes、Time …… 等這些媒體一再報導說,整個美國已經被中國看光光,而這些窘境正也是台灣所面臨的問題。
2.目前政府在推動的資安標章,與會者一些業者表示,其一是沒有完整納入歐美的相關規範,其二是資安標章沒有進行國際市場上應有的宣傳推廣,因此外銷業者配合檢測意願度低,其三在國內市場應用,亦無針對中國晶片所可能造成漏洞、後門的風險,進行檢測、評估與建議。
3.政府落實國家資安防護策略的同時,已公告執行《資通安全管理法》。並協助機關如公務/非公務機關,與關鍵資訊基礎設施業者等適用《資通安全管理法》,導入資訊安全廠商進行網站安全弱點檢測參考資訊,進行資通安全健診讓資安服務,及健診後協助機關強化網路架構檢視安全管理。
惟現在各機關的各環境中,相關於工程弱電系統的控制、通訊、影像、安全保全的網路通信安控的系統,因設備架構與應用設計,雖常設置於封閉性的網路內;但於建置後,其設備控制單元甚少有更新防護,因而近日有所聞的系統癱瘓、被駭、勒索、機密資料後傳,都是因忽視工控資安的重要,而造成機關企業的重大損失。
各工程弱電系統的資安維護,因建置架構的複雜性與重要性,各機關的自主維運是困難的,而透過由單一資訊安全廠商,去協助機關安全健診更有實務上的高難度。 另外弱電系統都是專網專用,因之,透過資通信網路專業的公協會,結合完整的產業供應鏈,整合資源為國家資安啟動協助 :公務/非公務機關與關鍵資訊基礎設施業者等,進行專業系統安控資安健檢服務,將是當下防堵資安破口最重要的基本工作與政策。
(二)、具體執行作法 :
1. 建議由資通信網路專業的公協會,依行政院依據 108 年《資通安全管理法》規定,具各項資通產品、產業設置組成(系統安控資安健檢服務)組織委任顧問、委任組織業務推動成員。
2. 系統安控資安健檢服務的健檢白皮書,含各機電、儀控、安全監控、消防、通訊系統項目內容的資安健檢細目服務費用的擬定。
3. 推動政府對工控資安的重視,主動發文致公務/非公務機關,與關鍵資訊基礎設施業者等,對既有工程弱電系統的控制、通訊、影像、安全保全的網路通信安控協助資安檢驗流程的服務。
二、提案二:使用國產與非中國影像晶片,徹底解決資安疑慮
台灣國產晶片業者目前包括聯詠、瑞昱、睿致、聯發科、芯鼎、多方……,估計已超過十家以上。非中國晶片則有安霸、Intel、英偉達、高通、索思未來、耐能智慧等,但大多沒有像海思的全系列晶片。另外如 FLIR、ULIS 等紅外線測溫影像晶片等熱像儀應用晶片等。
但所有包括台灣與國際的晶片,目前都沒有中國海思全產品系列的晶片。政府要徹底解決資安疑慮,必須拒用中國影像監視應用晶片,同時發展國產的影像監視應用晶片產業。
(一)、具體問題描述
1.安控設備採用海思影像監視晶片,估計在全球已超過 60%,而國內估計可能超過 90%。且海思因有中國的國家資源支援,及其龐大的內需市場,擁有高中低全系列的晶片產品線模組。
2.中國影像監視晶片,從晶片開發、軟硬體研發人才投入,到產品銷售,所有過程都得到中國政府的高額補助。以致在銷售上,海康威視的毛利率高達 44.35%,相比我國的晶睿通訊毛利率為 33.53%。海康威視儲存類產品,銷售毛利率更高達 53.84%,相比我國的影像儲存業者,毛利率僅勉強維持在 25% 上下,顯示我國安控業者面對中國廠商,存在嚴重不平等的競爭。
Picture from : IPVM
3.美國已限制此類安控高科技晶片,提供給中國大陸廠商使用。但因多年來安控產業被中國紅色供應鏈的擠壓,台灣業者國際市場盡失,大多數無法向晶片業者下批量訂單,因此國內影像監視晶片廠商,目前主要都是銷售給中國監視設備業者,這情形讓台灣安控業者,就像遭逢暴雨襲擊的航行船隻,同時又面臨船艙破洞進水。政府若沒有具體的安控振興產業政策,資安即國安將一直會存在缺口,難以有效實現。
(二)、具體執行作法
落實資安即國安,政府應優先採用台灣國產及非中國影像監視晶片,並要成為全球民主國家陣營的「安全監視設備製造基地」: 政府應協調國內保全業者、公共工程與公部門等單位,優先採用國產與非中國晶片的影像監視設備,並協調晶片業者優先支援國內影像監視設備製造業者。
1. 政府需召集國內與非中國安控晶片廠商與業者,探討如何優先支援國內影像監視設備製造商的相關措施。
2. 重新發展台灣專用影像監視晶片,並且確認商影像監視晶片是資安即國安的戰略物資的定位,影像監視晶片工業的發展,視為國防工業的一環。這些國產影像監視晶片,全力支持網路監視攝影機、網路監視錄影主機、安全監視錄影軟體、安全監視影音管理平台、安全監視整合管理平台。
3.影像監視晶片是安控設備的核心,資訊安全已被視為國家安全的等級,因此政府必須拿出魄力,將安控晶片產業的發展,視為國家重點工業的發展。在國內各式的應用場域裡,讓機電、工程顧問設計公司與政府標案,優先採用上述晶片/設備與軟體系統,並因此得以培養出與世界接軌的國家隊,且不會只局限於攝影機或錄影設備的代工領域。
三、提案三:台灣安控製造產業面臨的問題與解決
世界局勢已然改變,美國 NDAA 法案的推動,勢必改寫這個產業的整個供應鏈,也創造出台灣製造的新機會。值此之際,絕對是台灣此產業的大機會。
試想中國是如何扶植此產業的?為什麼扶植?而且,ㄧ路從 IC 晶片設計光罩的全額補貼、到設備製造的出口回饋補貼(採用他們的國產晶片),甚至是他們的國內市場專案項目的限制與引導性招標。既然資安即國安,影像監控產業更是此安全產業的此風口浪尖,也是必需重視的安全標準。
(一)、具體問題描述
1. 我國安控設備估計有 90% 採用中國海思晶片,相關來源管道:
.海康威視、大華等中國正廠合法進口的監視產品。
.海康威視、大華等「白牌」可能合法進口產品,但成品標示為台灣製造。
.從中國進口模組、軟體開發包,回台組裝的產品,但成品標示為台灣製造。
.從中國把成品拆分,進口回台再組裝的監視產品,但成品標示為台灣製造。
.從中國僅進口海思晶片,其他配件在台自行生產組裝,也標示為台灣製造。
.海康威視等中國廠,幫台灣安控製造廠代工,標示為台灣品牌產品。
2. 中國在影像監控產品的相關通信傳輸協定規範,是根據他們國家公安部所頒布的 GB/T28181-2011。與國際市場所採用的 ONVIF 與 PSIA 標準,並不相容。該中國的 GB/T28181-2011 通訊協議,是中國為調取影像資料的規範,此勢必造成資安與後門漏洞的極大風險。
3. 台灣安控業者大多為典型的中小企業,特別在網路監控的發展,需要投入充足韌體、應用軟體與系統軟體之研發人員,但因無法負擔研發人員的培養費用成本,與對岸的競爭差距,也越來越大。(比較:海康威視研發人員投入19,700人,大華研發人員投入 7,000 人)
4.智慧安控產業已成為跨領域整合應用產業,中國以國家資源,將影像、門禁出入口管理、電信網通、偵測設備、物聯網、人工智慧、雲端\邊緣運算,與晶片之相關技術,投入於中國視為民族工業的安全監控之應用,並透過場域應用,如智慧城市、智慧政府、智慧交通、智慧工廠、智慧農業、智慧校園、智慧零售 ……等智慧解決方案,藉其一帶一路經濟擴張戰略,銷售到全球。台灣安控業沒有任何來自政府的奧援,在國際市場上很多已談定的安控設備訂單,硬生生被中國以國家的力量介入,而被汰換掉。
(二)、具體執行作法 :
1. 從 IC 設計的主晶片,進而因 IC 晶片所定義的網路攝影機、網路錄影主機的方面去探討:IC 設計晶片,絕對是是資安核心中的核心。參與國家隊的廠商最基本的條件,是必須採用台灣製造的晶片去開發產品,並且從開發到生產的過程中,記錄整個生產履歷,來作為資安認證最基本的條件,且由政府制定把關的驗證流程,如我們食品安全的認証標章ㄧ樣,ㄧ併的考慮國際法規的認證,如美國 NIST、GSA,以及歐盟的 GDPR 的認證標準,制定出一套符合台灣的認證標準,與上述這些國際標準認證接軌。
2. 根據生產履歷,特別必須杜絕安控設備中,使用中國的影像監視晶片,並建立相關權責法令,若有觸犯,應形成相關罰則。
3.政府應結集相關部會,包括國發會、科技部、工業局等,以發展科技、振興產業、開拓國際市場的產業政策,讓台灣安控產業成為全球民主陣營的製造中心,以及智慧解決方案的全球供應中心。
台灣本來即具備相關完整的,智慧安控之技術與產業供應鏈,政府既然明定資安即國安的政策,更必須從振興與發展安控產業開始。
4.智慧安控產業應在經濟部工業局中,建立「新興安控生態系推動計畫」,獨列為台灣安控艦隊團隊一環,建立智慧安控資安實測場域,開放關鍵基礎設施資安場域,供台灣智慧安空廠商實測,驗證業者所提解決方案的可行性與有效 性,以奠定關鍵基礎設施的軟硬實力。
四、提案四:發展 5G 專網專用,建立智慧安控場域生態
政府透過如國發會、科技部、工業局等相關單位,以及專業公會聯合業界核心廠商之力,以應用場域之環境特性與應用需求,定義智慧安控的軟硬體安全性設計規範,包含產品關鍵零組件、軟體及應用之安全性設計規範,由業界各廠商開始落地執行,提升台灣安控/資通產品的資安能力。
(一)、具體問題描述
1.在扶植國內產業部分,網路監控設備,國內許多場域標案,很多採用國外產品規格,而這些產品國內已有能力提供,不應開放國際廠商的產品。
2.擁有在國際市場上工業網路設備非常具有知名度的四零四科技,雖未參加本公會的三場高峰會,但電話中表示,在過去很多政府開發建設案中,都有邀請四零四科技提供相關技術、案例做參考示範,但很多次最後開案都選擇低價產品,顯示國內在產品選型相關的採購法規範上,仍缺乏完整的制度,導致一些在國際市場上優異的台灣廠商,抱怨連連,自己國家所生產的好產品,卻無法落地台灣使用。
(二)、具體執行作法 :
1.從專案和場域建議:若政府能主導或提供振興補助,在適當的場域,來實現應用整合的自動化智慧系統,這會給台灣從上游的台灣 IC 設計業者、中游的產品設備製造商,以及下游的軟體系統整合的垂直應用解決方案商,帶來直接的激勵。因為,只有足夠的下游應用場域出海口,才能讓本土的國家隊能大展拳腳。
2.由下而上的把整個產業鏈因實際需求的拉力,推動整個產業上中下游的建立良好的生態圈,就像台灣的資通訊產業,有足夠的出海口,自然由下而上的帶動整個產業發展。然而國內目前大型的公共工程的專案規範,大多來自國內大型的國有工程顧問公司,來負責設計與監造。
是故,針對大型公共工程專案的設計過程中,建議政府單位以政策直接鼓勵,並制定法令政策,促進台灣本土製造及本土的軟體整合公司,與政府主導的工程顧問公司合作,進而設計出本土國家隊的應用系統。
不但讓國內場域成為好的成功案例,更因此成為亞洲甚或世界各國學習的典範,也因此可以整體系統的輸出到各國,創造更多的外匯收入,進而扶植出可打世界杯的台灣本土廠商,可以跟有參與跟國際專案的競標。
3.安控設備因是保護生命、財產的重要設備,應形成如消防法規有定期講習。同時政府機關採購智慧安控設備,應不可以再採用價格標,而必須採用最有利標,因為安全的設備若發生瑕疵,將造成生命財產很嚴重的威脅。
4.由政府帶頭創造場域監控需求,打造完整產業鏈發展環境。在智慧城市、 智慧交通及智慧建築發展藍圖中,加入智慧安控元素,例如在政府機關建築中運用智慧安控技術管制人流、空間與社交距離,或在交通規劃導入車 流/人流安控辨識進行智慧導流,提供智慧安控廠商發揮空間與本地應用場域。協助以硬體製造為主的安控行業數位轉型,切入安控服務領域。
五、總結
發展與振興台灣智慧安控產業,才能真正實現資安即國安。包括:
1.安控設備資安弱點檢測,刻不容緩。
2.使用國產與非中國影像處理晶片,徹底解決資安疑慮。
3.台灣安控製造產業面臨的問題與解決。
4.發展 5G 專網專用,建立智慧安控場域生態,以及創新營運模式。
在三次的「台灣智慧安控國家隊高峰會」會議上,所有發言廠商及提出書面建議廠商,都站在台灣智慧安控產業發展的立場上,多面向提供很多國家在資安上的需要,相關國內外政府無法確切掌握的,安控產業重要性與挑戰。
———————————————————————————
附錄一:本白皮書主要內容貢獻來源
中華電信執行副總林昭陽博士\電信公會理事長李金池\3S VISION 立承系統董事長李承鴻\松華國際董事長蕭英航、副總經理張士恭\兆勤科技副總田瑛睿\中興保全執行長李榮貴\彩富電子經理陳立軒\勝品電通董事長李宏銘\鎧鋒企業董事長郭吉榮\歐普羅總經理張慶杉\宗亞資訊董事長李舜得\物聯智慧董事長郭啟銘\聯詠科技處長楊順帆\瑞昱半導體副處長戴國霖\一德金屬董事長沈木林\3S MARKET 施正偉。
附錄二:台灣智慧安控國家隊高峰會三次會議參與廠商與組織單位
中華電信股份有限公司\立法委員蘇巧慧暨國會辦公室\3S VISION 立承系統科技股份有限公司\兆勤科技股份有限公司\中興保全\喬鼎資訊股份有限公司\新光保全\金磚通訊科技股份有限公司\鎧鋒企業股份有限公司\勝品電通股份有限公司\彩富電子股份有限公司\歐普羅科技股份有限公司\禾企電子股份有限公司\宗亞資訊工業股份有限公司\上敦企業有限公司\可取國際股份有限公司\啟碁科技股份有限公司\合勤科技股份有限公司\勤紘科技股份有限公司\物聯智慧股份有限公司\三泰科技股份有限公司\聯詠科技股份有限公司\瑞昱半導體股份有限公司\睿緻科技股份有限公司\芯鼎科技股份有限公司\多方科技股份有限公司\耐能智慧股份有限公司\利凌企業股份有限公司\昇銳電子股份有限公司\杭特電子股份有限公司\馥鴻科技股份有限公司\建騰創達科技股份有限公司\良福保全\良友科技\捷而思股份有限公司\一德金屬工業股份有限公司\通航國際股份有限公司\松華國際股份有限公司\圈圈科技有限公司\智晟電子股份有限公司\資策會資安所\台灣智慧安防工業同業公會\台灣區電信工程工業同業公會\傑昇數位科技有限公司\久登電訊有限公司\迅達安全科技有限公司\三鈺通信有限公司\昶通通信有限公司\漢強科技股份有限公司\大吉電話材料有限公司\力可通資訊工程有限公司\3S MARKET
按此 回今日3S Market 新聞首頁
