限制使用危害國家資通安全產品

「資通安全責任等級分級辦法」限制使用危害國家資通安全產品

在110年8月23日修訂「資通安全責任等級分級辦法」之前的版本，是將限制使用危害國家資通安全產品列入各級機關應辦事項。不過。在110年8月23日行政院院臺護字第1100182012號令，已將該辦法的附表一至八的各等級機關應辦事項移除相關要求。雖然如此，仍應遵循108年4月18日已訂定的「各機關對危害國家資通安全產品限制使用原則」，本原則所稱危害國家資通安全產品，指對國家資通安全具有直接或間接造成危害風險，影響政府運作或社會安定之資通系統或資通服務。各機關除因業務需求且無其他替代方案外，不得採購及使用。

大陸品牌或陸資業者的資通訊產品限制使用的考量是基於資安風險，前一陣子接連爆發的「華為的後門程式事件」、「海康威視的攝影機事件」，都讓人不得不對於大陸品牌的資通訊產品有著資安疑慮呢。

華為的後門程式事件：

諸多報導華為的資訊設備存在後門程式，像是「臉書粉專爆華為路由器回傳數據到中國 NCC竟檢驗合格」、「華為旗下海思晶片被發現有後門，可入侵網路攝影機」明確指出華為的產品有資安疑慮，嚴重可能會危害國家資安。而且在「華為美國高管：陸有能力在所有產品上植入「後門」」報導中可以得知大陸是有能力在陸製產品上植入後門程式，因此我國資安法子法限制各級機關使用大陸廠牌的資通訊產品。

海康威視的攝影機事件：

海康威視的監視器設備便宜但不安全，使用許多易於破解的韌體，就像「不必害怕中共政府獨享海康威視監視錄影機的後門，因為全球潰客都進得來啊！」提到搜尋Hikvision Backdoor就能找到一些已知的後門問題，而且不只是海康威視廠方可以用的後門，甚至是完全開放不設防的，任何人都可以隨意取得最高權限，公開出來的歐美被駭入海康威視監視錄影機分佈地圖相當驚人。

駭客製造的USB充電線事件：

使用USB充電線的時候，如果不是使用自己的場合就須加留意，像是「這款USB充電線不只能充電，還是自帶Wi-Fi的駭客電腦」提到O.MG Cable看起來像是一條普通的USB連接線，但實際上是一台藏在TypeA插頭並內含200個以上惡意軟體的WiFi電腦，只要插上電腦或手機駭客就可以自由地將你電腦及手機的資料取走。相關的報導還有「邪惡USB又出現了，只要一條USB充電線就能在PC上植入惡意程式」、「駭客研發假的蘋果充電線！你一插就門戶大開資料被偷光」，這樣的USB連接線很容易就可以在蝦皮購買到，所以別隨意使用他人提供的USB連接線/充電線，當然自己也別好奇購買這樣的危害產品。

中國製電視機上盒惡意軟體事件：

近期發現由中國製造的電視機上盒出廠時已被植入惡意軟體，駭客可利用這些有後門的電視機上盒進行網路攻擊及詐騙。相關報導如「中國製電視機上盒藏惡意軟體　開機就連上殭屍網路」、「中國安卓電視盒　被查出大量預載病毒軟體」。且一般的使用者也無法移除這些惡意軟體，只能直接將電視機上盒丟掉。除了中國製造的電視機上盒有這樣的情況外，連中國製造的Android設備也都被事先安裝了惡意軟體，像是「資安專家：至少 890 萬部 Android 手機已被「預裝」惡意軟體，電視盒也受害」、「快檢查！你的Android TV電視盒恐被裝惡意程式 Google曝4動作解危機」從上述案例可以了解到中國製造的產品存在許多風險。

大陸廠牌之定義

從前面案例了解大陸品牌的資通訊產品極具資安風險，所有屬大陸廠牌者，無論其原產地於我國、大陸地區或第三地區等，均列入限制使用範圍。

行政院在2020年原本要列出禁止採購清單，最後沒有所謂的資安黑名單。但為了避免機敏公務資訊外洩造成資通安全危害風險，行政院已要求各機關於110年底前完成汰換所使用或採購大陸品牌資通訊產品。另外，在經濟部投資審議委員會可查詢陸資資訊產業、陸資來台投資事業，這些業者在台灣生產銷售的資通訊產品是否被認定屬大陸廠牌而限制使用仍未明確，原則上建議盡量避免購置。

★ 常見陸製廠牌清單 ★

大陸品牌眾多，公務機關環境常見大陸品牌包括但不限於以下所列，如遇無法判斷者，建議請廠商提供證明或上網搜尋該品牌資訊。
列舉常見陸資資通訊廠牌如下【點此查看清單】：

海康威視(Hikvision)
華為(Huawei)
大疆(DJI)
歐家控股(OPPO)
普聯(TP-Link、Kasa、Tapo)
TOTOLINK
小米、紅米(Xiaomi、Redmi)
大華(Dahua)
中興通訊(ZTE)
海信(Hisense)
魅族(MEIZU)
努比亞(Nubia)
真我(REALME)
騰達(Tenda)
海能達(Hytera)
維沃(vivo)
Foscam
天瓏(SUGAR、WIKO)
新華三(H3C)
水星網路(Mercusys)
酷派(Coolpad)
聯想集團(Lenovo)
卓普(ZOPO)
美圖(Meitu)
酷比(Koobee)
金立(GIONEE)
黑鯊(Black Shark)
極米(XGIMI)
大華技術(DahuaTechnology)
影石科技(Insta360)
新加坡泛學科技
中興通訊(ZTE)
高巨創新(EMO)
Penoval觸控筆

經投審會核准之陸資投資資訊產業事業清冊，點擊下方連結進入並下載PDF檔即可查看大陸地區投資人持股比率及是否為陸資分公司。

陸資投資資訊產業清冊

依「大陸地區人民來臺投資許可辦法」規定取得許可之來臺投資紀錄，點擊下方連結進入並下載PDF檔即可查看投資金額及行業分類。

陸資來台投資事業名錄

危害國家資通安全產品限制相關法源依據如下

本校每個單位在執行購案時，資通訊產品必須要求廠商在簽約時提供無大陸製品(品牌)之切結書。(若是部分元件有陸製品，因難以逐一檢核，故不進行判定。)

108年11月20日公共工程委員會發布「機關辦理涉及國家安全採購之廠商資格限制條件及審查作業辦法」，第二條規定機關辦理涉及國家安全之採購，其不適用我國締結之條約或協定者，得於招標文件對我國或外國廠商資格訂定限制條件(也就是對於大陸製品限制)。並要求投標廠商必須交付「投標廠商聲明書」(公共工程委員招標相關文件第21項範本)。

在108年的版本，當時既有已使用的危害國家資通安全產品(也就是大陸產品)，可以有條件繼續使用直到報廢年限。但是，「各機關對危害國家資通安全產品限制使用原則」於111年11月28日修訂後，有條件繼續使用的部分條文已經被移除了，像是：不得與公務網路環境介接、不得處理或儲存機關公務資訊、測試或檢驗結果應產出報告。也就是說，就算有做到這幾項管控措施，但也不能以此為由就繼續使用大陸產品，而是一旦購置理由消失，或使用年限屆滿應立即銷毀。

採購限制大陸製品

依據111年11月28日數授資綜字第1111000056號函文「數位發展部修正各機關對危害國家資通安全產品限制使用原則」，要求強化下列控管措施。

(一) 強化資安管理措施，例如：設定高強度密碼、禁止遠端維護等。
(二) 產品遇資安攻擊導致顯示畫面遭置換，應立即置換靜態畫面，或立即關機。
(三) 產品若為硬體，應確認其不具WiFi等持續連網功能(非僅以軟體關閉)。若需以外接裝置方式進行更新，須有專人在旁全程監督，於傳輸完成後立即移除外接裝置。
(四)產品使用屆期後不得再購買危害國家資通安全產品。