Embedded Files
「資通安全責任等級分級辦法」限制使用危害國家資通安全產品
「資通安全責任等級分級辦法」限制使用危害國家資通安全產品
在110年8月23日修訂「資通安全責任等級分級辦法」之前的版本,是將限制使用危害國家資通安全產品列入各級機關應辦事項。不過。在110年8月23日行政院院臺護字第1100182012號令,已將該辦法的附表一至八的各等級機關應辦事項移除相關要求。雖然如此,仍應遵循108年4月18日已訂定的「各機關對危害國家資通安全產品限制使用原則」,本原則所稱危害國家資通安全產品,指對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統或資通服務。各機關除因業務需求且無其他替代方案外,不得採購及使用。
在110年8月23日修訂「資通安全責任等級分級辦法」之前的版本,是將限制使用危害國家資通安全產品列入各級機關應辦事項。不過。在110年8月23日行政院院臺護字第1100182012號令,已將該辦法的附表一至八的各等級機關應辦事項移除相關要求。雖然如此,仍應遵循108年4月18日已訂定的「各機關對危害國家資通安全產品限制使用原則」,本原則所稱危害國家資通安全產品,指對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統或資通服務。各機關除因業務需求且無其他替代方案外,不得採購及使用。
大陸品牌或陸資業者的資通訊產品限制使用的考量是基於資安風險,前一陣子接連爆發的「華為的後門程式事件」、「海康威視的攝影機事件」,都讓人不得不對於大陸品牌的資通訊產品有著資安疑慮呢。
大陸品牌或陸資業者的資通訊產品限制使用的考量是基於資安風險,前一陣子接連爆發的「華為的後門程式事件」、「海康威視的攝影機事件」,都讓人不得不對於大陸品牌的資通訊產品有著資安疑慮呢。
------------------------------------------------------------------------------民國110年9月10日新增以下公文------------------------------------------------------------------------------
依據 國立中興大學 函
發文日期:中華民國110年9月10日
發文字號:興計字第1101200205號
主旨:有關大陸資通訊產品或服務採購及既有設備應注意之資安管理事項,請查照。
說明:
一、 根據行政院秘書處來文,文號臺教資(四)第1100094536號及臺教資(四)第1100108810號文之指示,轉知針對大陸資通訊產品採購及使用之處理原則。
二、 經行政院秘書處認定為在台陸資廠商品牌如聯想集團(Lenovo),以及大陸品牌資通訊產品如華為、大疆、 普聯(TP-Link)、大華(Dahua)、 小米(MI)等(未列舉之大陸品牌依同樣原則處理),既有設備使用不得與公務網路環境介接,並且於使用年限到時辦理汰換。既有設備請於9月20日前至表單https://forms.gle/cG6mN2Jkm2KHgz8e9登記報備。
三、 即日起,不得再購置在台陸資廠商品牌、大陸品牌之資通訊產品。
四、 辦理採購案時如屬經濟部投資審議委員會公告之「具敏感性或國安(含資安)疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。
五、 上述如對細節仍有疑問者,請與計資中心許小姐聯絡,分機306#704。
110年9月30日補充原教育部來函壹教資(四)字第1100108810號文之內容:
原先所有大陸廠牌資通訊產品均需於110年12月31日汰換,110年9月30日經行政院秘書室評估放寬「在台陸資廠商」,非屬本次盤點須於今年年底需汰換之範圍。
「在台陸資廠商」詳情請參閱:陸資投資資訊產業事業清冊
華為的後門程式事件:
華為的後門程式事件:
諸多報導華為的資訊設備存在後門程式,像是「臉書粉專爆華為路由器回傳數據到中國 NCC竟檢驗合格」、「華為旗下海思晶片被發現有後門,可入侵網路攝影機」明確指出華為的產品有資安疑慮,嚴重可能會危害國家資安。而且在「華為美國高管:陸有能力在所有產品上植入「後門」」報導中可以得知大陸是有能力在陸製產品上植入後門程式,因此我國資安法子法限制各級機關使用大陸廠牌的資通訊產品。
海康威視的攝影機事件:
海康威視的攝影機事件:
海康威視的監視器設備便宜但不安全,使用許多易於破解的韌體,就像「不必害怕中共政府獨享海康威視監視錄影機的後門,因為全球潰客都進得來啊!」提到搜尋Hikvision Backdoor就能找到一些已知的後門問題,而且不只是海康威視廠方可以用的後門,甚至是完全開放不設防的,任何人都可以隨意取得最高權限,公開出來的歐美被駭入海康威視監視錄影機分佈地圖相當驚人。
駭客製造的USB充電線事件:
駭客製造的USB充電線事件:
使用USB充電線的時候,如果不是使用自己的場合就須加留意,像是「這款USB充電線不只能充電,還是自帶Wi-Fi的駭客電腦」提到O.MG Cable看起來像是一條普通的USB連接線,但實際上是一台藏在TypeA插頭並內含200個以上惡意軟體的WiFi電腦,只要插上電腦或手機駭客就可以自由地將你電腦及手機的資料取走。相關的報導還有「邪惡USB又出現了,只要一條USB充電線就能在PC上植入惡意程式」、「駭客研發假的蘋果充電線!你一插就門戶大開資料被偷光」,這樣的USB連接線很容易就可以在蝦皮購買到,所以別隨意使用他人提供的USB連接線/充電線,當然自己也別好奇購買這樣的危害產品。
中國製電視機上盒惡意軟體事件:
中國製電視機上盒惡意軟體事件:
近期發現由中國製造的電視機上盒出廠時已被植入惡意軟體,駭客可利用這些有後門的電視機上盒進行網路攻擊及詐騙。相關報導如「中國製電視機上盒藏惡意軟體 開機就連上殭屍網路」、「中國安卓電視盒 被查出大量預載病毒軟體」。且一般的使用者也無法移除這些惡意軟體,只能直接將電視機上盒丟掉。除了中國製造的電視機上盒有這樣的情況外,連中國製造的Android設備也都被事先安裝了惡意軟體,像是「資安專家:至少 890 萬部 Android 手機已被「預裝」惡意軟體,電視盒也受害」、「快檢查!你的Android TV電視盒恐被裝惡意程式 Google曝4動作解危機」從上述案例可以了解到中國製造的產品存在許多風險。
大陸廠牌之定義
大陸廠牌之定義
從前面案例了解大陸品牌的資通訊產品極具資安風險,所有屬大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等,均列入限制使用範圍。
從前面案例了解大陸品牌的資通訊產品極具資安風險,所有屬大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等,均列入限制使用範圍。
行政院在2020年原本要列出禁止採購清單,最後沒有所謂的資安黑名單。但為了避免機敏公務資訊外洩造成資通安全危害風險,行政院已要求各機關於110年底前完成汰換所使用或採購大陸品牌資通訊產品。另外,在經濟部投資審議委員會可查詢陸資資訊產業、陸資來台投資事業,這些業者在台灣生產銷售的資通訊產品是否被認定屬大陸廠牌而限制使用仍未明確,原則上建議盡量避免購置。
行政院在2020年原本要列出禁止採購清單,最後沒有所謂的資安黑名單。但為了避免機敏公務資訊外洩造成資通安全危害風險,行政院已要求各機關於110年底前完成汰換所使用或採購大陸品牌資通訊產品。另外,在經濟部投資審議委員會可查詢陸資資訊產業、陸資來台投資事業,這些業者在台灣生產銷售的資通訊產品是否被認定屬大陸廠牌而限制使用仍未明確,原則上建議盡量避免購置。
經投審會核准之陸資投資資訊產業事業清冊,點擊下方連結進入並下載PDF檔即可查看大陸地區投資人持股比率及是否為陸資分公司。
經投審會核准之陸資投資資訊產業事業清冊,點擊下方連結進入並下載PDF檔即可查看大陸地區投資人持股比率及是否為陸資分公司。
依「大陸地區人民來臺投資許可辦法」規定取得許可之來臺投資紀錄,點擊下方連結進入並下載PDF檔即可查看投資金額及行業分類。
依「大陸地區人民來臺投資許可辦法」規定取得許可之來臺投資紀錄,點擊下方連結進入並下載PDF檔即可查看投資金額及行業分類。
校內請購/核銷單線上填寫完畢後,印出採購/核銷申請單於會辦計資中心之處手寫勾選[是]、[否]危害國家資通安全產品.....
校內請購/核銷單線上填寫完畢後,印出採購/核銷申請單於會辦計資中心之處手寫勾選[是]、[否]危害國家資通安全產品.....
危害國家資通安全產品限制相關法源依據如下
危害國家資通安全產品限制相關法源依據如下
本校每個單位在執行購案時,資通訊產品必須要求廠商在簽約時提供無大陸製品(品牌)之切結書。(若是部分元件有陸製品,因難以逐一檢核,故不進行判定。)
本校每個單位在執行購案時,資通訊產品必須要求廠商在簽約時提供無大陸製品(品牌)之切結書。(若是部分元件有陸製品,因難以逐一檢核,故不進行判定。)
108年11月20日公共工程委員會發布「機關辦理涉及國家安全採購之廠商資格限制條件及審查作業辦法」,第二條規定機關辦理涉及國家安全之採購,其不適用我國締結之條約或協定者,得於招標文件對我國或外國廠商資格訂定限制條件(也就是對於大陸製品限制)。並要求投標廠商必須交付「投標廠商聲明書」(公共工程委員招標相關文件第21項範本)。
108年11月20日公共工程委員會發布「機關辦理涉及國家安全採購之廠商資格限制條件及審查作業辦法」,第二條規定機關辦理涉及國家安全之採購,其不適用我國締結之條約或協定者,得於招標文件對我國或外國廠商資格訂定限制條件(也就是對於大陸製品限制)。並要求投標廠商必須交付「投標廠商聲明書」(公共工程委員招標相關文件第21項範本)。
在108年的版本,當時既有已使用的危害國家資通安全產品(也就是大陸產品),可以有條件繼續使用直到報廢年限。但是,「各機關對危害國家資通安全產品限制使用原則」於111年11月28日修訂後,有條件繼續使用的部分條文已經被移除了,像是:不得與公務網路環境介接、不得處理或儲存機關公務資訊、測試或檢驗結果應產出報告。也就是說,就算有做到這幾項管控措施,但也不能以此為由就繼續使用大陸產品,而是一旦購置理由消失,或使用年限屆滿應立即銷毀。
在108年的版本,當時既有已使用的危害國家資通安全產品(也就是大陸產品),可以有條件繼續使用直到報廢年限。但是,「各機關對危害國家資通安全產品限制使用原則」於111年11月28日修訂後,有條件繼續使用的部分條文已經被移除了,像是:不得與公務網路環境介接、不得處理或儲存機關公務資訊、測試或檢驗結果應產出報告。也就是說,就算有做到這幾項管控措施,但也不能以此為由就繼續使用大陸產品,而是一旦購置理由消失,或使用年限屆滿應立即銷毀。
依據111年11月28日 數授資綜字第1111000056號函文「數位發展部修正各機關對危害國家資通安全產品限制使用原則」,要求強化下列控管措施。
依據111年11月28日 數授資綜字第1111000056號函文「數位發展部修正各機關對危害國家資通安全產品限制使用原則」,要求強化下列控管措施。
(一) 強化資安管理措施,例如:設定高強度密碼、禁止遠端維護等。
(二) 產品遇資安攻擊導致顯示畫面遭置換,應立即置換靜態畫面,或立即關機。
(三) 產品若為硬體,應確認其不具WiFi等持續連網功能(非僅以軟體關閉)。若需以外接裝置方式進行更新,須有專人在旁全程監督,於傳輸完成後立即移除外接裝置。
(四)產品使用屆期後不得再購買危害國家資通安全產品。
(一) 強化資安管理措施,例如:設定高強度密碼、禁止遠端維護等。
(二) 產品遇資安攻擊導致顯示畫面遭置換,應立即置換靜態畫面,或立即關機。
(三) 產品若為硬體,應確認其不具WiFi等持續連網功能(非僅以軟體關閉)。若需以外接裝置方式進行更新,須有專人在旁全程監督,於傳輸完成後立即移除外接裝置。
(四)產品使用屆期後不得再購買危害國家資通安全產品。
為使政府機關於建置或使用雲端服務時,降低可能之風險,相關資安要求事項如下:
為使政府機關於建置或使用雲端服務時,降低可能之風險,相關資安要求事項如下:
(一) 應禁止使用大陸地區(含香港及澳門地區)廠商之雲端服務運算提供者。
(一) 應禁止使用大陸地區(含香港及澳門地區)廠商之雲端服務運算提供者。
(二) 提供機關雲端服務所使用之資通訊產品(含軟硬體及服務)不得為大陸廠牌,執行委外案之境內團隊成員(含分包廠商)亦不得有陸籍人士參與,就境外雲端服務之執行團隊成員,至少應具備相關國際標準之人員安全管控機制,並通過驗證。另,雲端服務提供者自行設計之白牌設備暫不納入限制。
(二) 提供機關雲端服務所使用之資通訊產品(含軟硬體及服務)不得為大陸廠牌,執行委外案之境內團隊成員(含分包廠商)亦不得有陸籍人士參與,就境外雲端服務之執行團隊成員,至少應具備相關國際標準之人員安全管控機制,並通過驗證。另,雲端服務提供者自行設計之白牌設備暫不納入限制。
(三) 機關應評估機敏資料於雲端服務之存取、備份及備援之實體所在地不得位於大陸地區(含香港及澳門地區),且不得跨該等境內傳輸相關資料。
(三) 機關應評估機敏資料於雲端服務之存取、備份及備援之實體所在地不得位於大陸地區(含香港及澳門地區),且不得跨該等境內傳輸相關資料。
「各機關對危害國家資通安全產品限制使用原則」在111年11月28日的修訂版本增加了下列規定:各機關自行或委外營運,提供公眾活動或使用之場地,不得使用大陸廠牌資通訊產品。應將規定事項納入委外契約或場地使用規定中,並督導辦理。
「各機關對危害國家資通安全產品限制使用原則」在111年11月28日的修訂版本增加了下列規定:各機關自行或委外營運,提供公眾活動或使用之場地,不得使用大陸廠牌資通訊產品。應將規定事項納入委外契約或場地使用規定中,並督導辦理。
國立中興大學計算機及資訊網路中心 製作 TEL: 22840306# 747 張先生 / 704 許小姐
Page updated
Report abuse