【 資訊安全】金融機構使用物聯網設備安全控管規範（Part 1）

金融監督管理委員會（以下簡稱「金管會」）為確保金融機構使用物聯網設備之安全，制定《金融機構使用物聯網設備安全控管規範》（金管銀國字第10702093510號）。

本文將逐條說明法規內容，並提出評估方式供各位讀者參考。建議讀者上網查詢有無最新法規（參考連結）。

第一條
中華民國銀行商業同業公會全國聯合會（以下簡稱本會）為確保金融機構使用物聯網（Internet of Things,IoT）設備之安全性，降低相關作業風險，特訂定本規範。

毫不意外，法規的第一條通常在交代立法目的。

第二條
本規範所稱物聯網設備係指具網路連線功能並連線於Internet或Intranet之崁入式系統（具有小型作業系統）設備（以下簡稱設備），包含自動化辦公設備（如數位錄影機、電話交換機、傳真機、錄音設備、影印機等）及不具備遠端操控介面功能之感測器。

凡是有連網功能的設備，無論是連結網際網路或企業內部網路，都屬於物聯網設備的範疇。對金融機構來說，最常見的物聯網設備包含事務機（印表機）、監視錄影器和補摺機。

第三條
應建立物聯網設備管理清冊並至少每年更新一次，以識別設備用途、網段、存放位置與管理人員，評估適當之實體環境控管措施及存取權限管制。

金融機構應建立物聯網設備的資產清冊，並且每年更新一次，清冊應清楚標示設備的用途（如事務機、監視錄影器或補摺機）、網段（IP位置）、實體存放位置和管理人員。

考慮到物聯網設備的種類、數量繁多，部分金融機構有導入設備管理解決方案（如Dr. IP），利用全網段掃描，確認設備清冊的完整性。管理系統還可以透過MAC address判定設備種類/製造廠商。

第四條
設備應具備安全性更新機制，以維持設備之整體安全性。

金融機構和廠商簽訂採購/租賃合約時，合約中應載明廠商會協助進行安全性更新。部分金融機構會建立檢查表，在安裝設備前，評估是具備更新功能。

第五條
為確保經授權之使用者始得進行資料存取、設備管理及安全性更新等操作，設備應具備身分驗證機制，並應進行初始密碼變更，密碼長度不應少於六位，建議採英數字混合使用，且宜包含大小寫英文字母或符號，並以最小權限原則針對不同的使用者身分進行授權。

以事務機為例，使用者操作前應先進行身分驗證（如輸入密碼、感應識別證），評估人員可以實地觀察操作流程，確認有啟用身分驗證功能。

在可行的情況下，無論是設備管理者帳號，或一般使用者帳號，都建議變更初始密碼。

因為金融機構基本上會套用組態設定（如GCB），如果設備綁定AD帳號，在密碼長度、複雜度方面比較沒有疑慮；但如果是獨立帳號，那就要留意密碼設定原則有沒有符合法規要求。

第六條
設備以無線連接網路者，應採用具加密協定之無線存取點連接網路，並以網路卡卡號白名單等機制進行設備綁定。

實務上，除了在分行端供客戶操作的設備（例如平板電腦），金融機構很少允許設備使用無線網路。如果評估人員從設備清冊中看到有上述的情形，那就要瞭解金融機構有沒有啟用WPA、WPA2等無線加密協定，並在網路設備（如路由器）將設備納入白名單。