限制使用危害國家資通安全產品
「資通安全責任等級分級辦法」限制使用危害國家資通安全產品
在110年8月23日修訂「資通安全責任等級分級辦法」之前的版本,是將限制使用危害國家資通安全產品列入各級機關應辦事項。不過。在110年8月23日行政院院臺護字第1100182012號令,已將該辦法的附表一至八的各等級機關應辦事項移除相關要求。雖然如此,仍應遵循108年4月18日已訂定的「各機關對危害國家資通安全產品限制使用原則」,本原則所稱危害國家資通安全產品,指對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統或資通服務。各機關除因業務需求且無其他替代方案外,不得採購及使用。
大陸品牌或陸資業者的資通訊產品限制使用的考量是基於資安風險,前一陣子接連爆發的「華為的後門程式事件」、「海康威視的攝影機事件」,都讓人不得不對於大陸品牌的資通訊產品有著資安疑慮呢。
華為的後門程式事件:
諸多報導華為的資訊設備存在後門程式,像是「臉書粉專爆華為路由器回傳數據到中國 NCC竟檢驗合格」、「華為旗下海思晶片被發現有後門,可入侵網路攝影機」明確指出華為的產品有資安疑慮,嚴重可能會危害國家資安。而且在「華為美國高管:陸有能力在所有產品上植入「後門」」報導中可以得知大陸是有能力在陸製產品上植入後門程式,因此我國資安法子法限制各級機關使用大陸廠牌的資通訊產品。
海康威視的攝影機事件:
海康威視的監視器設備便宜但不安全,使用許多易於破解的韌體,就像「不必害怕中共政府獨享海康威視監視錄影機的後門,因為全球潰客都進得來啊!」提到搜尋Hikvision Backdoor就能找到一些已知的後門問題,而且不只是海康威視廠方可以用的後門,甚至是完全開放不設防的,任何人都可以隨意取得最高權限,公開出來的歐美被駭入海康威視監視錄影機分佈地圖相當驚人。
駭客製造的USB充電線事件:
使用USB充電線的時候,如果不是使用自己的場合就須加留意,像是「這款USB充電線不只能充電,還是自帶Wi-Fi的駭客電腦」提到O.MG Cable看起來像是一條普通的USB連接線,但實際上是一台藏在TypeA插頭並內含200個以上惡意軟體的WiFi電腦,只要插上電腦或手機駭客就可以自由地將你電腦及手機的資料取走。相關的報導還有「邪惡USB又出現了,只要一條USB充電線就能在PC上植入惡意程式」、「駭客研發假的蘋果充電線!你一插就門戶大開資料被偷光」,這樣的USB連接線很容易就可以在蝦皮購買到,所以別隨意使用他人提供的USB連接線/充電線,當然自己也別好奇購買這樣的危害產品。
中國製電視機上盒惡意軟體事件:
近期發現由中國製造的電視機上盒出廠時已被植入惡意軟體,駭客可利用這些有後門的電視機上盒進行網路攻擊及詐騙。相關報導如「中國製電視機上盒藏惡意軟體 開機就連上殭屍網路」、「中國安卓電視盒 被查出大量預載病毒軟體」。且一般的使用者也無法移除這些惡意軟體,只能直接將電視機上盒丟掉。除了中國製造的電視機上盒有這樣的情況外,連中國製造的Android設備也都被事先安裝了惡意軟體,像是「資安專家:至少 890 萬部 Android 手機已被「預裝」惡意軟體,電視盒也受害」、「快檢查!你的Android TV電視盒恐被裝惡意程式 Google曝4動作解危機」從上述案例可以了解到中國製造的產品存在許多風險。
大陸廠牌之定義
從前面案例了解大陸品牌的資通訊產品極具資安風險,所有屬大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等,均列入限制使用範圍。
行政院在2020年原本要列出禁止採購清單,最後沒有所謂的資安黑名單。但為了避免機敏公務資訊外洩造成資通安全危害風險,行政院已要求各機關於110年底前完成汰換所使用或採購大陸品牌資通訊產品。另外,在經濟部投資審議委員會可查詢陸資資訊產業、陸資來台投資事業,這些業者在台灣生產銷售的資通訊產品是否被認定屬大陸廠牌而限制使用仍未明確,原則上建議盡量避免購置。
經投審會核准之陸資投資資訊產業事業清冊,點擊下方連結進入並下載PDF檔即可查看大陸地區投資人持股比率及是否為陸資分公司。
依「大陸地區人民來臺投資許可辦法」規定取得許可之來臺投資紀錄,點擊下方連結進入並下載PDF檔即可查看投資金額及行業分類。
危害國家資通安全產品限制相關法源依據如下
本校每個單位在執行購案時,資通訊產品必須要求廠商在簽約時提供無大陸製品(品牌)之切結書。(若是部分元件有陸製品,因難以逐一檢核,故不進行判定。)
108年11月20日公共工程委員會發布「機關辦理涉及國家安全採購之廠商資格限制條件及審查作業辦法」,第二條規定機關辦理涉及國家安全之採購,其不適用我國締結之條約或協定者,得於招標文件對我國或外國廠商資格訂定限制條件(也就是對於大陸製品限制)。並要求投標廠商必須交付「投標廠商聲明書」(公共工程委員招標相關文件第21項範本)。
在108年的版本,當時既有已使用的危害國家資通安全產品(也就是大陸產品),可以有條件繼續使用直到報廢年限。但是,「各機關對危害國家資通安全產品限制使用原則」於111年11月28日修訂後,有條件繼續使用的部分條文已經被移除了,像是:不得與公務網路環境介接、不得處理或儲存機關公務資訊、測試或檢驗結果應產出報告。也就是說,就算有做到這幾項管控措施,但也不能以此為由就繼續使用大陸產品,而是一旦購置理由消失,或使用年限屆滿應立即銷毀。
依據111年11月28日 數授資綜字第1111000056號函文「數位發展部修正各機關對危害國家資通安全產品限制使用原則」,要求強化下列控管措施。
(一) 強化資安管理措施,例如:設定高強度密碼、禁止遠端維護等。
(二) 產品遇資安攻擊導致顯示畫面遭置換,應立即置換靜態畫面,或立即關機。
(三) 產品若為硬體,應確認其不具WiFi等持續連網功能(非僅以軟體關閉)。若需以外接裝置方式進行更新,須有專人在旁全程監督,於傳輸完成後立即移除外接裝置。
(四)產品使用屆期後不得再購買危害國家資通安全產品。
依據「資通安全管理法常見問題」8.7說明:
為使政府機關於建置或使用雲端服務時,降低可能之風險,相關資安要求事項如下:
(一) 應禁止使用大陸地區(含香港及澳門地區)廠商之雲端服務運算提供者。
(二) 提供機關雲端服務所使用之資通訊產品(含軟硬體及服務)不得為大陸廠牌,執行委外案之境內團隊成員(含分包廠商)亦不得有陸籍人士參與,就境外雲端服務之執行團隊成員,至少應具備相關國際標準之人員安全管控機制,並通過驗證。另,雲端服務提供者自行設計之白牌設備暫不納入限制。
(三) 機關應評估機敏資料於雲端服務之存取、備份及備援之實體所在地不得位於大陸地區(含香港及澳門地區),且不得跨該等境內傳輸相關資料。
「各機關對危害國家資通安全產品限制使用原則」在111年11月28日的修訂版本增加了下列規定:各機關自行或委外營運,提供公眾活動或使用之場地,不得使用大陸廠牌資通訊產品。應將規定事項納入委外契約或場地使用規定中,並督導辦理。
