「產品資安涵蓋從硬體到軟體的多層次防護。」台達探析企業建構產品供應鏈永續安全與韌性的關鍵應用
全球各大產業正透過供應鏈重組因應貿易格局,這些變動不僅帶來營運和合規新挑戰,也大幅提升企業資安風險。面對這樣的趨勢,企業如何確保產品在設計、製造、運行和維護過程中就具備安全性,能阻擋惡意攻擊或資料竊取?台達電子產品資安處長暨產品資安指導委員會委員田維誠在 TechOrange 科技報橘「2025 製造業資安論壇」,解析企業建構產品供應鏈永續安全與韌性的關鍵策略,並分享台達電如何從產品安全的角度,協助客戶打造完善資安防護體系。
田維誠剖析當前供應鏈產品安全的 3 大挑戰,指出第一項挑戰是業界缺乏全面的端到端框架,導致難以制定具體方法,有效降低軟體供應鏈威脅;第二項挑戰是製造業使用過時的 ICS/OT 技術,容易成為網路攻擊的重要目標;第三項挑戰是因應國際制定法規,製造業需要在供應鏈中的產品採用安全設計原則、加密通訊和漏洞修補功能,以降低網路安全風險,「無論在數位科技、網通或車用領域,世界各地不斷推出新的法規與標準,因此如何建立健全的資安流程和平台,是企業需要特別重視的議題。」
目標讓產品整個生命週期獲得安全保障
為協助製造業夥伴建立產品資安,台達電提出一套實踐方法。首先是法規與標準的選擇,企業應根據自身或客戶的需求,選擇國際標準或制定內部規範,並建立具備流程基礎的資安體系;其次是找到適當的資安資源與專家,也可尋求第三方顧問,加速協作與規範的解釋。再者是展開專業的資安測試與認證,以增強產品說服力;最後,是確保團隊具備基本的資安能力,以及擁有必要的軟體工具。
「產品資安涵蓋從硬體到軟體的多層次防護,」田維誠說明,台達的目標是讓產品從設計階段、功能實現、出廠前驗證到出廠後的資安事件回應,整個生命週期都能獲得安全保障,實現從被動式防禦轉變為主動式「設計即安全」(Security by Design)的模式。他觀察,許多產品進入實際應用場域,才會額外加裝資安軟體或防禦措施,這大幅提升成本與管理的複雜度,因此,台達在產品開發流程就導入三層次的框架,以簡化場域管理、降低總體成本。
田維誠指出,第一層次的產品資安參考架構,涵蓋產品開發過程中的威脅建模、漏洞分析以及出廠前的測試,如模糊測試(fuzzing)和滲透測試(penetration testing);第二層是分層防禦與資安防禦能力,確保產品在進入場域前,就具備一定程度的內建資安能力;第三層是持續監測與應變機制,即使產品出廠後,仍須追蹤漏洞,建立快速發現、通報、回饋產品單位並提供修補建議的機制,這包括精確的軟體物料清單管理(SBOM)、常見漏洞與暴露(CVE)的風險優先級評估,最後再藉由主動式漏洞管理平台進行維護與更新。
當供應鏈安全挑戰持續升級,資安已是產品設計與營運不可或缺的核心要素。田維誠表示,台達資安團隊過去主要服務內部產品,近年來已升級轉型,能在資安領域服務外部客戶,「我們期待將深厚的產品資安經驗推廣至各行各業,共同提升產品供應鏈的永續安全與韌性。」
立即預約下載「2025 製造業資安論壇」演講精華,解鎖製造業如何實踐供應鏈 Security Native 資安原生!