歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
IT產品有後門?中國政府為國安把關,台灣自由選用雲端服務
2014 / 07 / 09
張維君
暨今(2014)年5月Windows 8被大陸中央政府禁止採購之後,日前又傳出中國公安部發布通知禁止採購與使用賽門鐵克DLP,理由是內藏竊密後門與漏洞,並進一步呼籲改用中國國產軟體。大陸政府對於涉及國安與公共利益的系統所採用的技術已制訂安全審查機制,而台灣卻仍各機關各自決定,無一套標準,相當民主自由。
媒體報導之後,中國賽門鐵克隨之發表聲明,表示該產品絕無後門,且其DLP產品於2011年已取得產品銷售許可證。根據熟悉DLP的業界人士指出,DLP產品中應該沒有任何程式會將資料回傳原廠,亦不會有錯誤通報功能的程式。不論如何,可以確定的是美國IT產品在中國市場遇到了極大的阻礙。根據大陸媒體報導,在5月下旬中國國家互聯網信息辦公室亦規定凡涉及國家安全和公共利益的系统所使用的信息技術產品和服務,都將進行安全審查,而這些措施也都有利於中國國產廠商。
反觀台灣在上(6)個月傳出環保署導入Gmail系統做為公務使用,引起專家學者對於國安外洩的隱憂,儘管環保署回應表示,在合約中已要求承商需盡保密義務,且對機密文件另訂有管控流程。但兩相比較之下,台灣政府對於外商IT產品/雲端服務相對地「公平、公正、公開」。
對於公務機關採用Gmail服務,某政府機關資訊長A先生直言此舉十分不妥。他指出,存在Google雲端服務裡的資料擺在哪裡沒人知道,同一份資料會複製三份,且在台灣沒有司法管轄權,資料即使被拿走也不能怎樣。除了Gmail之外,A先生提醒,伺服器存放在國外的Line也更是近期公務機關應慎防資料外洩的管道。
本土Webmail廠商網擎資訊執行長廖長健也強調司法管轄權的問題,一旦有國土安全議題或相關訴訟事件發生時,國外雲端服務供應商勢必會遵循該國法令要求,而調閱資料,客戶可能完全不知情,或者也無能阻止,這等於是將管理權交給別人。再加上,一旦發生資安事件,雲端服務供應商能否配合提供log作為調查?儘管可以在合約上要求,但在實務技術層面可能會有難度。因此,凡是與民眾福祉相關的公務機關或金融單位都應審慎評估採用此類服務的影響。
對此,掌管金融機構的金管會對於金融業採取雲端服務就有嚴格要求,由於銀行存有民眾帳戶、存款等重要資料,因此規定金融業的雲端服務供應商資料中心必須設立在台灣。廖長健進一步指出,網擎的Web mail雲端服務亦有日本政府採用,是因為網擎在日本也直接設立資料中心,且維運人員也是日籍工程師,符合日本法規。
臺灣網路防護協會樊國楨教授也表示,政府機關資訊系統委外的政策應謹慎考量國際法相關規定,根據北大西洋公約組織邀各國專家制訂的塔林手冊(Tallinn Manual on the International Law Applicable to Cyber Warfare),已使用數位基礎設施(Cyber Infrastructure)的名稱將關鍵基礎設施列為國家主權標的中,然而Gmail此類雲端郵件服務在戰爭時的國家主權卻可能不屬於我國。再加上此類郵件服務不屬於核電廠等禁止發動「資訊戰」之CI,卻是APT攻擊常見的標的,因此政府將電子郵件系統委外的資訊政策應該再審慎研議。
除了司法管轄權、國家安全/國家主權等議題之外,站在產業發展的角度,A先生認為扶植廠商有其必要,尤其是有資安國安疑慮的產品應該以國產為優先,例如email或手機。他認為,政府應該出來制訂一套統一的採購標準,哪些是採購國產產品為宜,哪些不受限制。而對於外國產品,也不應獨排中國,不論中國或美國都應一視同仁。
後門
國家安全
雲端服務
最新活動
2024.10.03
2024 數位經濟資安趨勢論壇
2024.09.24
【2024 叡揚資安趨勢講堂】
2024.09.24
如何評估資安風險?這些方法你選對了嗎?
2024.09.25
IT x CT x OT Cybersecurity全方位資安聯防生態系論壇
2024.09.25
DevSecOps實戰:從地端到雲端,全面提升軟體開發安全性
2024.09.27
零信任資安強化企業防禦韌性媒合交流會
2024.09.27
華苓科技年度論壇9/27台北開跑,AI加持助企業績效翻倍!
2024.09.27
ForestSafe 與 CIMTRAK for VMware ESXi/vCenter 網路視訊研討會
看更多活動
大家都在看
“7777” 殭屍網路鎖定Asus、D-Link、Netgear、Zyxel及其他多牌家用路由器與VPN設備
Fortinet證實遭未經允許存取資料
TIDrone 駭客組織瞄準台灣無人機製造商
全景軟體通過數發部電子簽章解決方案服務能量登錄,符合電子簽章法
Microsoft 推出 2024 年 9 月 Patch Tuesday 每月例行更新修補包
資安人科技網
文章推薦
美偵破中國駭客集團「亞麻颱風」
網路釣魚間諜攻擊鎖定美台國防會議
Palo Alto Networks「精準AI」抵禦每日113億次攻擊