離開
進入因應中共灰色地帶網攻 國安局推「零信任」網防機制
中國品牌資通訊產品有危害資安之虞,國安局24日將至立法院司法及法制委員會專題報告,面對中共網路空間灰色地帶攻擊,將推動「零信任」網防機制,以提升資通訊安全防護能量,確保機敏資訊安全。示意圖。(美聯社資料照)
〔記者謝君臨/台北報導〕立法院司法及法制委員會明(24)日將針對「中國製資通訊及科技產品對我國國安之危害」議題,邀請相關單位進行專題報告。國安局於書面報告中指出,面對中共網路空間灰色地帶攻擊,除持續全面禁用中牌資通訊產品,並推動「零信任」網防機制,以提升資通訊安全防護能量,確保機敏資訊安全。
司法委員會明邀請國安會、數發部、通傳會、國安局等單位主管列席,就「面對歐美各國陸續頒布禁止使用或限制採購中國資通訊及科技產品,此類產品對我國國家安全危害為何?國安會及相關國安單位是否於年度預算中制定計畫針對各類國際情勢演變進行相關評估作業並採取因應對策」進行專題報告,並備質詢。
國安局表示,有關我國資安主管機關權責,在政府機關資安防護業務部分,依「資通安全管理法」規定是由行政院數位發展部資安署主責;情報機關部分,依「情報工作法」規定,是由本局主責統合相關機關,執行網安威脅預警情蒐工作。
針對中共資通訊產品安全威脅,國安局於書面報告中指出,近年立陶宛及比利時等國均曾披露中牌手機非法蒐集用戶資訊,且美國聯邦通信委員會(FCC)日前以國家安全為由,擬全面禁用華為、中興、海康威視、浙江大華及海能達等五家通訊及監控設備。
國安局表示,反觀我國近期因台鐵新左營站、便利超商等廣告看板遭駭,經查均使用中製軟體所致,且據本局觀察中牌資通訊軟硬體因更新需要,均回連至特定主機,中共可依據其「國家情報法」及「網絡安全法」等規定,要求中企提供用戶敏感個資,或協助執行情報工作,儼然已形成嚴重資安威脅,
因此,國安局提及,行政院重新檢討日前頒訂「各機關對危害國家資通安全產品限制使用原則」,進一步擴大管制,研擬未來公部門、公部門委外場域不得使用中牌資通產品。本局也配合參與行政院「危害資通安全產品廠商清單審查小組會議」,並依會議所訂限制使用原則,全面禁用中牌資通訊產品,並將相關要求納入採購合約規範,且同步透過各類會議要求各情報機關配合辦理。
國安局指出,網路駭客利用疫情全球化所造成的工作形態改變,以及民生智慧化所衍生的新資安防護弱點等情況,傳統網路安全架構已難以確保高度安全,以致美國、歐盟等各先進國家愈加重視資安問題,且美國國家標準技術研究院(NIST) 於2020年正式頒布「零信任」標準文件(SP 800-207),並形成政策推動。
國安局強調,現已偕同行政院規劃「零信任」架構暨資安整體規劃方向,然而資安架構的遷移非一蹴可及,需要滾動調整及大量技術投資,始可完備,本局續將務實規劃導入進程,循序提升整體資安防護能量;另將逐步推廣各情報機關,強化國安團隊聯防合作,提升我國網駭威脅防禦能量與預警力度。
