工商时报【工研院资通所所长阙志克】

近年骇客攻击手法升级、恶意程式越来越多，更有工具可自动产生恶意程式。在IoT时代，靠过去传统资安防护已缓不济急，应当从最基本的「应用程式白名单」建立资安防护网。观察全球资安产业，发展「应用程式白名单」仍非资安企业产品的主流，因此，台湾资安产业跳跃国际市场仍有机会迎来新钱潮。

应用程式白名单（Application Whitelisting），是只允许正面表列的程式执行，适用在固定功能的电脑设备，建议装置的场域如自驾车、车载电脑、行车记录器等车载系统，以及ATM、伺服器、无人机、电力系统等高安全需求的场域。应用程式白名单虽然不见得可以解决所有资安问题，但至少可以确保不会有恶意程式，成为最基础的资安防护网。

骇客攻击主要是利用程式弱点攻击，例如程式漏洞，或是从正常的程式植入恶意程式后再伺机执行，要如何防止骇客攻击弱点有两种方式，分别为黑名单及白名单。过去普遍以黑名单进行资安保护为主，在黑名单中的程式皆不可执行。但由于近来恶意程式自动产生器的发明，让恶意程式的数量已多于非恶意程式，因此资安以黑名单防护的时代已经缓不济急，应用程式白名单更成为近年美国、澳洲等国政府要求各单位部署应用的资安技术，以防范未知的攻击。

预防胜于治疗

软体自动更新是最大挑战

目前包括美国国家标准暨技术研究院NIST、美国国家安全局NSA，以及澳洲相关政府单位已表达应用程式白名单的重要性，面对资安问题应该预防胜于治疗，提升主动防护的能量。

应用程式白名单各家资安业者过去皆有研发，该技术并非近年才出现，而是已行之有年，但过去应用程式白名单不是资安技术发展的主流，主因为使用时弹性不足，例如个人笔电若要频繁下载使用某些软体，就得在白名单内主动持续更新相关程式，使用上相对麻烦，在固定功能的终端电脑设备使用较为适合。

而应用程式白名单的概念看似简单，可是困难之处在于必须解决「自动产生与维护白名单」的问题。假设在智慧工厂设备内的应用程式白名单中的某程式为原版，但当某程式更新至第二版本并需要执行时，应用程式白名单仍停留在原版，则应用程式白名单会判断更新后的某程式为坏人，并不允许执行，可能为装置应用程式白名单的智慧工厂产线等设备带来影响，甚至影响产能与营收获利。

所以若程式软体更新，应用程式白名单也须跟著更新，自动产生与维护白名单，成为资安产业发展该技术的关键。工研院的应用程式白名单技术已可进行自动维护更新白名单，也有防止应用程式白名单被污染的软体更新机制等。

政府给力推动

台湾产业可望崭露头角

政府近来重视台湾资安产业发展，总统蔡英文更喊出资安即国安的政策目标，并将资安产业纳入5+2产业创新计划所推动的「国防（资安）产业之一环」。

同时，资安法也在今年5月于立法院三读通过，显示台湾政府发展资安产业的决心。

以台湾资安产业发展现况来看，2016年资安产业的产值为351亿元，厂商家数与从业人员分别为294家、8,500人，其中硬体比重大于软体，以网路与闸道安全产品、终端资料防护产品为主。台湾资安产业多属于中小型企业为主，要与国际大厂竞争相对困难，但国际大厂目前在应用程式白名单著墨不深，台湾资安产业若想与大厂竞争，应用程式白名单将有发展空间。

此外，台湾以硬体制造业为主，更有许多台湾产业已参与全球科技装置的设计制造，台湾产业若能在制造的同时，即搭载应用程式白名单，除能提升产品的附加价值，更能同步带动台湾资安产业的跃进。（本文由工研院资通所所长阙志克口述，工研院整理）