Axis簽署CISA的Secure by Design承諾，致力強化網路安全防護

這項由美國政府機構CISA發起的自願性Secure by Design承諾，呼籲製造商將客戶網路安全視為核心商業需求，並從七大關鍵面向著手： 

• 採用多重身分驗證
• 降低或避免使用預設密碼
• 減少各類型網路安全漏洞
• 讓客戶能夠輕鬆安裝安全性修補程式
• 公布安全漏洞揭露政策
• 展現安全漏洞通報機制的透明性
• 具體且可量化地提升客戶蒐集與製造商產品相關之網路安全入侵證據的能力

Axis 技術長 Johan Paulsson 表示：「CISA 的 Secure by Design 承諾，與我們將網路安全視為產品與服務核心的目標高度一致。透過簽署此項承諾，我們再次確認持續協助客戶遵循網路安全最佳實務，並推動實體安全產業中更高的責任與問責。」

以下將說明 Axis 如何在其產品系列中落實 Secure by Design 的承諾，涵蓋基於AXIS OS 為基礎的網路產品、影像與裝置管理軟體，以及 Axis Cloud Connect 等服務型解決方案。

在 Axis 產品系列中落實網路安全 

降低軟體漏洞風險是 Axis 軟體開發中不可或缺的一環。Axis 的開發人員遵循 Axis 安全開發模型（Axis Security Development Model, ASDM），在整個產品生命週期中系統性地降低網路安全風險。此一網路安全框架結合流程與工具，同時也透過外部資源來強化產品安全性，包括Axis的漏洞懸賞計畫，以及讓外界能夠輕鬆向Axis 產品安全團隊回報錯誤或安全漏洞。Axis 具備CVE 編號分配機構（CVE Numbering Authority, CNA）身分，能主動修補並揭露網路安全漏洞；公司所公布的安全漏洞管理政策，清楚說明 Axis 「如何處理、何時處理，以及與誰合作」漏洞揭露。此外，Axis Trust Center 作為網路安全與法規遵循資訊的集中平台，提供關於 Axis 公司本身以及 基於AXIS OS的網路產品相關資訊，未來也將逐步涵蓋其他 Axis 產品與服務。

基於AXIS OS的網路產品

AAxis 多元且完整的 IP 網路裝置產品系列，涵蓋攝影機、對講機、喇叭與門禁控制產品，皆由AXIS OS 作業系統所驅動。AXIS OS 在設計上不使用預設密碼，並支援在客戶透過集中式身分與存取管理（Identity and Access Management, IAM) 存取裝置時，啟用多重身分驗證。

AXIS OS 在出廠時即預設啟用零信任網路架構，確保裝置驗證與上線流程的安全性。Axis 網路產品可透過 IEEE 802.1X 進行自動身分驗證，並使用符合 IEEE 802.1AR 標準的安全裝置身分。此外，AXIS OS 也透過IEEE 802.1AE MACsec支援強大的加密機制，在網路基礎層即提供防護，保護如NTP、DHCP等本身未內建安全機制的網路通訊協定，並對 HTTPS 及其他 以 TLS 為基礎的安全通訊協定進行雙重加密。

同時，採用AXIS OS的裝置具備硬體式安全金鑰儲存功能，並通過FIPS 140-3 Level 3 與 Common Criteria EAL6+ 的高等級資網路安全認證。

AXIS Camera Station 

Axis 的影像管理軟體AXIS Camera Station Pro 與AXIS Camera Station Edge，透過 Axis Secure Remote Access v2 採用 256 位元 AES 加密技術，確保智慧型手機、平板電腦、瀏覽器或 PC 客戶端與 Axis 網路攝影機之間的安全外部通訊。客戶端伺服器與Axis裝置間的通訊，則採用256位元AES加密技術及TLS 1.2或更高版本協定進行安全防護。此系列軟體產品支援多重使用者存取層級與功能細部控制。AXIS Camera Station Pro 可透過本地或 Windows Active Directory 網域使用者為設備啟用密碼保護，而 AXIS Camera Station Edge 則支援雙因素驗證。AXIS Camera Station Pro 提供警報、事件與稽核日誌功能，支援系統活動的即時通知與追蹤，確保責任歸屬明確。

Axis 裝置管理軟體 

Axis 提供多款專用且易於使用的軟體，用於管理邊緣裝置，例如攝影機、音訊產品及門禁控制系統。這些裝置管理應用程式, AXIS Device Manager、AXIS Device Manager Edge 以及AXIS Device Manager Extend協助客戶以經濟高效的方式，為數千台 Axis 網路裝置執行軟體更新與安全性強化。其他支援功能包含：自動化 TLS 憑證配置生命週期管理；提供簡易的裝置設定備份與還原功能以降低人為設定錯誤；以及管理 Axis 裝置上的密碼變更、HTTPS、IEEE 802.1X 等服務。

Axis Cloud Connect  

Axis Cloud Connect是一款開放式混合雲平台，讓終端客戶與整合合作夥伴能管理 Axis 裝置。此平台支援自動套用新軟體更新等作業，其中包含針對 Axis 網路產品的安全性修補程式。裝置與雲端間的連線僅透過安全通訊通道建立，例如採用 TLS 1.2/1.3 加密的 HTTPS 與 WebRTC。該平台支援 My Axis 帳戶的單一登入 (SSO) 與多因素驗證機制，用於存取 Axis 主機服務。雲端連接亦透過自動化工具與稽核日誌監控，支援證據蒐集及敏感網路安全活動的自動偵測。

身為CISA承諾的一部分，Axis承諾定期分享其產品網路安全狀態的洞察與進展。此舉使客戶能驗證並要求公司承擔責任，有助於強化客戶使用Axis產品時應有的信任感。