歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
IT產品有後門?中國政府為國安把關,台灣自由選用雲端服務
2014 / 07 / 09
張維君
暨今(2014)年5月Windows 8被大陸中央政府禁止採購之後,日前又傳出中國公安部發布通知禁止採購與使用賽門鐵克DLP,理由是內藏竊密後門與漏洞,並進一步呼籲改用中國國產軟體。大陸政府對於涉及國安與公共利益的系統所採用的技術已制訂安全審查機制,而台灣卻仍各機關各自決定,無一套標準,相當民主自由。
媒體報導之後,中國賽門鐵克隨之發表聲明,表示該產品絕無後門,且其DLP產品於2011年已取得產品銷售許可證。根據熟悉DLP的業界人士指出,DLP產品中應該沒有任何程式會將資料回傳原廠,亦不會有錯誤通報功能的程式。不論如何,可以確定的是美國IT產品在中國市場遇到了極大的阻礙。根據大陸媒體報導,在5月下旬中國國家互聯網信息辦公室亦規定凡涉及國家安全和公共利益的系统所使用的信息技術產品和服務,都將進行安全審查,而這些措施也都有利於中國國產廠商。
反觀台灣在上(6)個月傳出環保署導入Gmail系統做為公務使用,引起專家學者對於國安外洩的隱憂,儘管環保署回應表示,在合約中已要求承商需盡保密義務,且對機密文件另訂有管控流程。但兩相比較之下,台灣政府對於外商IT產品/雲端服務相對地「公平、公正、公開」。
對於公務機關採用Gmail服務,某政府機關資訊長A先生直言此舉十分不妥。他指出,存在Google雲端服務裡的資料擺在哪裡沒人知道,同一份資料會複製三份,且在台灣沒有司法管轄權,資料即使被拿走也不能怎樣。除了Gmail之外,A先生提醒,伺服器存放在國外的Line也更是近期公務機關應慎防資料外洩的管道。
本土Webmail廠商網擎資訊執行長廖長健也強調司法管轄權的問題,一旦有國土安全議題或相關訴訟事件發生時,國外雲端服務供應商勢必會遵循該國法令要求,而調閱資料,客戶可能完全不知情,或者也無能阻止,這等於是將管理權交給別人。再加上,一旦發生資安事件,雲端服務供應商能否配合提供log作為調查?儘管可以在合約上要求,但在實務技術層面可能會有難度。因此,凡是與民眾福祉相關的公務機關或金融單位都應審慎評估採用此類服務的影響。
對此,掌管金融機構的金管會對於金融業採取雲端服務就有嚴格要求,由於銀行存有民眾帳戶、存款等重要資料,因此規定金融業的雲端服務供應商資料中心必須設立在台灣。廖長健進一步指出,網擎的Web mail雲端服務亦有日本政府採用,是因為網擎在日本也直接設立資料中心,且維運人員也是日籍工程師,符合日本法規。
臺灣網路防護協會樊國楨教授也表示,政府機關資訊系統委外的政策應謹慎考量國際法相關規定,根據北大西洋公約組織邀各國專家制訂的塔林手冊(Tallinn Manual on the International Law Applicable to Cyber Warfare),已使用數位基礎設施(Cyber Infrastructure)的名稱將關鍵基礎設施列為國家主權標的中,然而Gmail此類雲端郵件服務在戰爭時的國家主權卻可能不屬於我國。再加上此類郵件服務不屬於核電廠等禁止發動「資訊戰」之CI,卻是APT攻擊常見的標的,因此政府將電子郵件系統委外的資訊政策應該再審慎研議。
除了司法管轄權、國家安全/國家主權等議題之外,站在產業發展的角度,A先生認為扶植廠商有其必要,尤其是有資安國安疑慮的產品應該以國產為優先,例如email或手機。他認為,政府應該出來制訂一套統一的採購標準,哪些是採購國產產品為宜,哪些不受限制。而對於外國產品,也不應獨排中國,不論中國或美國都應一視同仁。
後門
國家安全
雲端服務
最新活動
2025.10.15
2025 金融資安發展論壇
2025.09.18
「密碼規範越嚴,反而更危險?」從稽核角度解讀帳號管理誤區與最佳實務
2025.09.23
漢昕科技X線上資安黑白講【零信任資安防線|FortiSIEM×FortiDLP打造全方位監控與資料防護】2025/9/23開講!
2025.09.24
資安攻防演練
2025.09.24
產品資安論壇:共築產品資安責任鏈
2025.09.25
面對勒索病毒威脅,資料遺失怎麼辦?3 招讓備份真的能用
2025.10.09
從駭客視角看社交工程:沒有演練,勒索病毒代價有多高?
2025.10.13
關鍵基礎設施-電力系統資安系列課程I(沙崙 X 成大太陽能系統)
2025.10.14
關鍵基礎設施-電力系統資安系列課程II(沙崙 X 成大饋線自動化系統)
2025.10.27
關鍵基礎設施-電力系統資安系列課程III(沙崙 X 成大 電驛系統)
2025.10.31
【雲端安全入門】CCSK 雲端安全知識證照培訓班
看更多活動
大家都在看
資安院發布「資安週報」 數據驅動台灣資安治理新模式
中國支持的新APT組織GhostRedirector,入侵全球Windows伺服器
Microsoft 推出 2025年9月 Patch Tuesday 每月例行更新修補包
AI驅動的惡意軟體攻擊「s1ngularity」已入侵2180個GitHub帳戶
中國駭客組織「鹽颱風」及UNC4841關聯的45個新惡意網域被揭露
資安人科技網
文章推薦
「資安雙認證」正夯!安永揭密SOC 2與ISO 27001企業必備資安評估標準
Palo Alto Networks 推出 Prisma Browser 防護高隱匿性威脅
Progress Software 發布 SaaS RAG 平台,助力各企業導入值得信賴且可驗證的生成式 AI