首頁 要聞 綜合

防範中製資通訊設備 國安局:規劃「零信任」架構

中國製的資通訊產品近年被歐美等國示警有資安風險。示意圖。(Shutterstock)
中國製的資通訊產品近年被歐美等國示警有資安風險。示意圖。(Shutterstock)

【記者常懷仁/臺北報導】近年來中國製的資通訊產品被歐美等國警告有資安風險,且今年美國眾議長裴洛西來臺期間,臺灣臺鐵新左營站、7-11等廣告看板出現簡體字,引起社會對於資安的重視。對此,國安局24日表示,現已協同行政院規劃「零信任」架構暨資安整體規劃方向;調查局表示,已建置「IOT弱點檢測系統」,主動針對有疑慮的設備進行測試。

「零信任」為何?根據行政院國家資通安全會報技術服務中心的資料指出,「零信任」的概念是希望突破傳統網路模型的資安窘境,並能保護資料存取,任何資料存取永不信任且必須驗證。

立法院司法及法制委員會24日邀請國安會、數位部、國安局、調查局等單位率所屬單位主管列席就「面對歐美各國陸續頒布禁止使用或限制採購大陸資通訊及科技產品,此類產品對我國國家安全危害為何?國安會及相關國安單位是否於年度預算中制定計畫針對各類國際情勢演變進行相關評估作業並採取因應對策」進行專題報告,並備質詢。

根據國安局書面報告指出,近年多國均披露中國牌手機非法蒐集用戶資訊,且美國日前以國安為由,擬全面禁用華為、中興、海康威視、浙江大華及海能達等五家通訊及監控設備;中共可要求中企提供用戶敏感個資,或協助執行情報工作,故行政院重新檢討日前頒訂 「各機關對危害國家資通安全產品限制使用原則」,研擬未來公部門、 公部門委外場域不得使用中國牌資通產品。

國安局指出,傳統網路安全架構已難以確保高度安全,以致美、歐盟等國愈加重視資安,且美國國家標準技術研究院(NIST)於2020 年正式頒布「零信任」標準文件,並形成政策推動;現已偕同行政院規劃「零信任」架構暨資安整體規劃方向,國安局續將務實規劃導入進程,提升資安防護能量;另將逐步推廣各情報機關, 強化國安團隊聯防合作,提升我國網駭威脅防禦能量與預警力度。

為因應中製資通訊設備對國安的危害,根據調查局書面報告指出,今年度即以在計畫經費下採購相關網路空間搜尋引擎,搜尋目標包括網站主機、網路攝影機、路由器、IoT 等裝置。透過「網路資源探索」方式尋找全球的物聯網設備並擷取相關資訊,調查人員可發掘國內潛在資安漏洞設備,並即時修補漏洞。

另為因應物聯網功能帶來的資安風險,調查局補充,調查局在今年度「資安威脅獵蒐子計畫」下已建置「IOT弱點檢測系統」,主動針對有疑慮的設備進行軟硬體及通訊等不同層面測試,模擬駭客攻擊手法進行檢測,找出駭客可能入侵管道,若發現相關設備漏洞恐遭利用時,立即向上級機關通報反應,提升單位資訊安全。

根據國防部書面報告指出,已明令禁止使用中國廠牌資通訊產品;並定期實施網路安全檢測及國軍軍、民、專網資安健診任務。另外,也已納入「國家資通安全會報」國家資安緊急應變團隊,執行網安情資分享及聯防。◇