持續禁用陸牌資通產品 國安局:推動「零信任」網防機制

國安局除持續全面禁用陸牌資通訊產品,並推動「零信任」網防機制,以提升國安局資通訊安全防護能量,確保機敏資訊安全。圖爲國安局長陳明通。(資料照)

中國製的資通科技產品因爲資訊安全疑慮遭到歐美各國全面禁用,國安局在今天(24日)送抵立院的書面報告中表示,我國在面對中共網路空間灰色地帶攻擊情況下,國安局除持續全面禁用陸牌資通訊產品,並推動「零信任」網防機制,以提升國安局資通訊安全防護能量,確保機敏資訊安全。

立法院司法法制委員會今天邀請國家安全會議、數位發展部、國家通訊傳播委員會、國家安全局、國防部參謀本部通信電子資訊參謀次長室、資通電軍指揮部、法務部調查局、內政部警政署率所屬單位主管列席就「面對歐美各國陸續頒佈禁止使用或限制採購大陸資通訊及科技產品,此類產品對我國國家安全危害爲何?國安會及相關國安單位是否於年度預算中制定計劃針對各類國際情勢演變進行相關評估作業並採取因應對策」進行專題報告,並備質詢。

國安局書面報告內容表示,近年立陶宛及比利時等國均曾披露陸牌手機非法蒐集用戶資訊,且美國聯邦通信委員會(FCC)日前以國家安全爲由,擬全面禁用華爲、中興、海康威視、浙江大華及海能達等5家通訊及監控設備。 反觀我國近期因臺鐵新左營站、便利超商等廣告看板遭駭,經查均使用陸制軟體所致,且據本局觀察陸牌資通訊軟硬體因更新需要,均回連至特定主機,中共可依據其「國家情報法」及「網絡安全法」等規定,要求陸企提供用戶敏感個資,或協助執行情報工作,儼然已形成嚴重資安威脅,故行政院重新檢討日前頒訂「各機關對危害國家資通安全產品限制使用原則」,進一步擴大管制,研擬未來公部門、公部門委外場域不得使用陸牌資通產品。

國安局表示,現行做法中109年底函請各公務機關,於110年底前汰換所使用或採購之陸牌資通訊產品(含硬體、軟體及服務),同時要求公務機關全面禁用。國安局除持續全面禁用陸牌資通訊產品,並推動「零信任」網防機制,以提升本局資通訊安全防護能量,確保機敏資訊安全。

法務部調查局報告表示,從資安駭侵事件到中共對我進行假訊息認知作戰,陸制設備皆可能遭當作中共對我資安攻擊之跳板。

報告指出,在計劃經費下采購相關網路空間搜尋引擎,搜尋目標不僅包括網站主機、還包含網路攝影機、路由器、IoT 等物聯網裝置。透過「網路資源探索」方式尋找全球的物聯網設備並擷取其相關資訊,調查人員可發掘國內潛在資安漏洞設備,並即時進行漏洞修補防止遭駭客不法利用。

調查局於今年度「資安威脅獵搜子計劃」下已建置「IOT 弱點檢測系統」,主動針對有疑慮之設備進行硬體、軟體及通訊等不同層面測試,模擬駭客攻擊手法進行檢測,找出駭客可能入侵管道,若發現相關設備漏洞恐遭利用時,立即向上級機關通報反應,提升單位資訊安全。