不只黑名單! 政院將推無資安疑慮「白名單」
〔記者陳鈺馥/台北報導〕行政院已發布「各機關對危害國家資通安全產品限制使用原則」,要求中央及地方政府各機關、八大關鍵基礎設施提供者遵守,禁用危害資通安全的相關產品,政院也將於3個月之內提出黑名單。行政院政委唐鳳今日與媒體茶敘談及,黑名單是以行政規則方式,規範公部門等單位不要使用,未來還有一個白名單,會強烈推薦使用白名單產品。
唐鳳表示,現在資安處有另外一個白名單計畫,並不是哪一些不推薦使用,而是反過來經過測試之後,看哪一些是推薦使用,哪一些是比較沒有資安疑慮。
唐鳳指出,目前這樣一份白名單的想法才剛開始,但是未來據她所知,已經有超過20類各種常用物聯網的裝置,會放在白名單測試裡面,好處是不是只說不要用什麼比較好,而是用什麼比較好的引導作用。
唐鳳談及,白名單雖然目前是建議性質,但是未來在比較核心或是更關鍵基礎設施,也許這個就會變成只要在採購這一些項目時,「我們就強烈推薦你是使用白名單,而不是介於白跟灰名單裡面的產品」。
「這一方面台灣並沒有落後,是滿領先的!」唐鳳說明,目前由於實際通過測試的量沒有很大,這只是大致方向,但方向其實受到各國肯定,之前訪美有在美國智庫分享這一方向,各國都說他們也是往這方向思考。
唐鳳提及,目前情況是黑名單部分,當然是以行政規則的方式不推薦大家使用,白名單部分是採建議性質,沒有任何強制力,只是隨著未來白名單的東西越來越多,也會越來越包含大家實際會用到各種層面。
唐鳳表示,在最核心部分,也許就會逐漸開始只推薦使用白名單產品,但是這並不是已經有一個行政規則出來,白名單這個只是一個大略方向。
針對白名單的制定機制?她補充說,有提到的無線網路監控「IP Cam」是由工業局、台灣資通產業標準協會一起來做規範,該規範尚未進入標檢局的程序,這都在討論中。