5G威脅情境

5G Threat Landscape是針對5G無線通訊生態系統中所有潛在威脅的結構化描述，包括設備供應商、電信營運商、企業用戶及終端設備。根據ENISA發布的報告，5G架構因其軟體定義網路（SDN）與網路切片（Network Slicing）技術，相較4G擁有更廣闊的攻擊面。這不只是技術清單，而是將威脅情境與ISO/IEC 27001的風險評估、NIST網路安全框架（CSF）的「識別」功能相結合的動態圖譜。它揭示了從供應鏈漏洞、中間人攻擊到AI驅動的自動化攻擊等新興威脅，是企業設計5G安全防線的起點。與傳統網路威脅不同，5G威脅情境必須考量低延遲、高密度連接等特有情境，因此需要更精細的風險建模方法。

實務應用可分為三個階段：第一步是情境建模，企業需對照ENISA報告與ISO/IEC 31000風險管理原則，列出5G環境中所有可能的威脅情境，包括數據洩漏、服務中斷及惡意程式植入。第二步是風險評估，針對每個情境計算發生機率與衝擊程度，特別是針對臺灣企業依《電信管理法》與《資通安全管理法》必須保護的關鍵基礎設施。第三步是控制措施設計，對應NIST CSF的保護、偵測、回應與恢復四大功能。例如，針對網路切片風險，企業應實施邏輯隔離與加密傳輸。導入後，企業可量化風險降低率（目標至少30%）、資安事件平均偵測時間（MTTD）縮短25%等指標，並提升ISO 27701合規率達90%以上。

臺灣企業在導入5G威脅情境管理時面臨三大挑戰。首先是技術人才缺口，5G安全需要同時精通電信協議與傳統IT資安的複合型人才，建議透過跨域培訓與國際認證（如CISSP、CISA）提升內部能力。其次是供應鏈透明度不足，臺灣企業多依賴國際供應商，難以掌握設備底層漏洞，應建立供應商管理機制，要求符合ISO 28150-3標準。第三是法規合規壓力，臺灣《資通安全管理法》對關鍵基礎設施業者有嚴格要求，企業需建立持續監控機制。建議採取「先合規、後強化」策略，優先滿足臺灣法規要求，再逐步對接國際標準，並以90天為週期進行情境更新，確保風險管理的即時性。

積穗科研股份有限公司（Winners Consulting Services Co., Ltd.）專注臺灣企業5G Threat Landscape相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家臺灣企業。申請免費機制診斷：https://winners.com.tw/contact