台灣危機系列(六)座談「台灣資訊安全的危機」
台灣危機系列座談會系列(六)〜
「台灣資訊安全的危機」座談會
主辦單位:台灣教授協會
時間:2012年6月9日(六) 下午2:00
地點:台大校友會館4樓 (台北市濟南路一段2-1號)
主持人:劉聰德 (台科大資工系兼任教授)
議題與講者:
l 資通訊網路的安全與威脅─吳國維(NII發展協進會執行長)
l 資通訊安全案例分析─陳孟彰(中研院資訊所研究員)
l 電信網路設備的資安危機─呂忠津(清大電機系教授)
l 資通訊供應鏈安全管理─林盈達(交大資工系教授)
影片清單
相片播放
台灣資訊安全的危機─引言
劉聰德
台科大資工系兼任教授
對一則資訊的擁有者而言,會有兩種集合的人群:A是可以分享此資訊的人群;B是不可以分享此資訊的人群。如果B集合是空的,並沒有人,那麼這則資訊就是可以公開的資訊,沒有安全顧慮。但是,如果B不是空的,那麼,這則資訊的擁有者對此資訊就得有資訊安全的顧慮,必須防範B集合的人獲得此資訊,不僅防範B集合的人主動來獵取此資訊,也得防範A集合的人直接或間接洩露該資訊到B。這就是最基本的資訊安全問題,這個問題自古早古早以前,就已經存在於原始人的社會,甚至像松鼠隱藏自己取得的果實就是一種資訊保護措施。因此,資訊安全問題其實在傳統社會裡已經被瞭解,也發展了相當程度的處理方式。
但是,人類社會不斷演進,在1989年之後,咱自傳統的生活環境,利用網際網路(Internet)開拓出一個新的社會活動領域,叫做網際空間(cyberspace),現在幾乎已經能夠從全球任何不過度落後的地方,用電腦或智慧型手機啟動資訊的來往,實質參與政治、商務和社會生活多方面的活動。網際空間的發達加速了人類社會資訊化和電子化的腳步,大量的資訊被製造出來,而網際網路提供了高效率又廉價的資訊傳送管道。每個社會為了提昇其資訊化的運作效益和競爭力,許多資訊因此都直接置放在網際網路可及之處的電腦裡面,而電腦和通訊器材的運作又高度仰賴到目前證明很難不出差錯的軟硬體,軟硬體可能被人更動或被人找出弱點或漏洞,讓人有機可乘入侵得逞,也因此,任何儲存在網際空間的資訊都可能被有心人從任何地方透過網際網路直接取得。
電腦網路引進了超越人類過去所經驗到的,對資料處理之快速、大量和精準,這三種特質結合其所產生的效能,使網際空間的資訊安全問題,比在傳統社會裡幅度更大又更難處理,而且其造成的損失與破壞往往更嚴重。傳統社會早就有情報間諜、小偷、金光黨、垃圾郵件、以及侵犯智財權和個人隱私,正常的社會都能夠控制這些問題,使它們不致於過度擾亂社會秩序,但是,這些問題在網際空間卻氾濫成災,傳統的控制方法完全失靈。所以,資訊安全已經成為社會安全與國防安全的一個重要議題。每個社會都必須面對這個挑戰,把資訊安全的威脅降低到可以維護高品質的社會與國防安全,讓民眾安心。
根據2011年7月潘達實驗室(Panda Lab)的抽樣測試,台灣將近60%的電腦受到具威脅性的感染,在全世界名列第三糟,僅次於泰國和中國。賽門鐵克(Symantec)於2011年7月到9月的季報也指出,台灣在全球國家殭屍電腦感染率排名第一。台北市警局刑警大隊統計去年全台北市詐騙案件共4,647件,其中網路詐騙高達1,076件,首度超過電話詐騙案,等於每個月約90件。另外,據刑事警察局統計,今年1至3月網路購物詐騙案共接獲605件,每月平均201起,遠超過去年的月平均數。網路購物詐騙大多為詐騙集團取得交易資料,假冒銀行或賣家身份騙取買方財物。這些報告顯示台灣社會在資訊安全的防護建設是嚴重不足的,受害民眾過多,而且愈來愈惡劣,這是危機之一,它將危害台灣在國際社會的競爭力,也危害台灣民眾社會生活的安全。
前天6月7日的《自由時報電子報》報導:澳洲國防部長史密斯5日抵中國訪問,他和幕僚將手機、筆記型電腦和其他電子設備留在香港,未帶進中國,以防通訊遭攔截或入侵而被竊取情報。報導也指出:去年澳洲總理吉拉德、外交部長陸克文和史密斯等高層官員的電腦,傳出遭疑似中國情報單位入侵。今年3月,澳洲政府就是因為資訊安全的考量,禁止由中國軍方退役工程師創立的中國電信設備商「華為」投標澳洲寬頻網路建設。美國和印度也都基於國家安全的考量,拒絕「華為」及其他可疑的中國業者投資參與可能危及國防資訊安全的相關事業。中國對台灣有侵略併吞的敵意,然而,中華電信、台灣大哥大、遠傳電信和亞太固網等多家台灣電信業者,卻都向「華為」採購基地台及核心系統,等於把台灣的通訊系統方便中國監聽,這是危機之二,它在引狼入室,為中共創造更有利於併吞台灣的機會。
為降低人為失誤造成的安全威脅,先進國家都建立一套完整合的「身家調查」(security clearance)安全制度,只容許具有可信賴層級的人處理相對敏感的事務和資訊。一個人在工作上的可信賴層級和此人的人格完整性、個人及家庭背景狀況、以及個人生涯經驗與交友有很大的關連,都是身家調查的重要項目。台灣的「國家通訊傳播委員會」(NCC) 是電信、通訊、傳播等訊息流通事業的最高主管機構,它設有委員7人,理論上是超黨派的獨立機關,是關係到維護資訊安全非常重要的環節。最近「立法院」正在審查「行政院」所提名的4位第四屆委員,發現:一位被提名者不但提供不實資歷,對NCC的專業一問三不知,未來還可能無法迴避利益衝突;一位被提名者毫不掩飾其「機會主義」心態,如果被任用才願意放棄美國籍;另一位被爆論文抄襲;還有一位則被質疑立場不超然。而「行政院」卻堅持不撤回、不重新提名。台灣缺乏進步的「身家調查」安全制度,這是危機之三,敏感資訊容易落入敵對者手裡,導致國防安全漏洞百出,早已被美國垢病,因此,比較敏感的技術與設備都不願意轉移給台灣。
前面談到的三項台灣資訊安全危機,都和台灣現在不是台灣人自己的國家有直接的密切關係。從戰後到現在的「中華民國」統治機器,一直是由認為自己是中國人的赤藍權貴所把持,這些人在台灣政治、經濟、社會與媒體的優勢地位都是非法取得,是靠屠殺、迫害台灣社會菁英來佔有與鞏固。這些外來的赤藍權貴長期貪瀆、掠奪台灣社會資源,從不把台灣人的利益做為重要的政策考量,只有在台灣人「總統」李登輝、陳水扁執政的20年間,台灣人的利益較能夠受到實質的尊重,也是在這段寶貴的時間,台灣人獲得了免於恐懼的言論自由。然而,2008年赤藍人馬英九復辟之後,外來殖民統治的猙獰面目很快地暴露出來,阻止台灣人重新執政是他們的核心利益。所以,從2010年開始恢復壓縮言論自由的特務手段,他們仿傚中共及其他獨裁國家在網際空間搞資訊控制,這是危機之四,台灣人的反抗者的電腦和手機會被入侵、通訊會受到監聽和阻礙。
遠雄建設董事長趙藤雄於6月6日重砲砰擊馬英九集團說,台灣現在像是汪洋中的一條船,前面又有風暴,掌舵者卻沒有方向,只能自求多福,靠自己能力生存下去,如果政府政策不改變,再這樣惡搞下去,只有大家死在一起。其實台灣社會很多人早就看破這點,希望趙藤雄能夠「反正」歸隊。當前台灣所面臨的資訊安全危機,套上趙藤雄的話一樣適用。台灣人必須堅持咱所擁有的言論自由,不斷揭露外來赤藍統治的邪惡,咱才可能鼓舞群眾起來建立屬於自己的國家,許多的台灣危機包括資訊安全的危機才可能獲得轉機。
台灣電信網路設備的資安危機
呂忠津
清大電機系教授
中國是一非市場經濟的極權專制國家。中國電信設備商及營運商與中國政府、人民解放軍關係密切,包含投資與技術合作。中國華為創辦人任正非為解放軍退休軍官,現任董事長孫亞芳曾是中國國家安全部(MSS)官員,疑似與中國情報機構有關。華為為中國軍方和情報部門服務,執行中國大使館的防竊聽工作,專業技術還延伸到竊聽特定目標和電腦系統。華為是全球第二大電信設備商,但不是上市公司,股東也十分神祕詭異,其內部資金運作情況外界更無從知曉。2011年10月,美國中央情報局(CIA) 揭露,華為公司過去三年從中國政府拿到近2.3億美金的資助,為中國政府提供情報服務。
許多國家對中國電信設備商與營運商對其國家安全之威脅皆加以嚴密防範。以美國為例,美國於1988年設立外國投資委員會(CFIUS),由財政部部長親自主持。此委員會運作以《1988年綜合貿易與競爭力法》與《埃克松─弗洛里奧(Exon-Florio)修正案》為基礎,若外國企業併購美國公司影響了美國的國家安全,CFIUS有權進行審查,並有權加以拒絕。2007年9月底,CFIUS以國家安全為由,拒絕中國華為公司收購美國3Com公司。2011年2月,CFIUS再次以國家安全為由,拒絕華為收購美國伺服器技術公司三葉系統(3Leaf Systems)。美國政府還成立一任務編組:電信小組,由美國聯邦調查局、國土安全部、司法部官員組成,由司法部領導,負責審核外國公司向美聯邦通訊委員會提出的申請。他們可以建議聯邦通訊委員會不要發放執照,也可以要求簽署附加協議滿足美方的安全要求。2011年10月,中國移動向美國提出申請,希望在美國開展中美兩地長途電話業務並建設通信設施。2012年5月7日,美國《洛杉磯時報》與“商業內幕”網站傳出消息,電信小組正準備以情報間諜嫌疑為由拒絕中國移動的申請。該小組認為,如果允許中國移動進入美國市場,將使其更容易對美國政府展開間諜活動,更容易竊取美國公司的知識產權。
多國政府會基於國家安全而直接干預其電信營運商的電信設備採購。2010年美國商務部長介入阻止美國電信公司Sprint Nextel對華為、中興的設備採購。同年美國國家安全局要求AT&T等美國大型電信公司取消和華為的交易,避免華為的硬體和軟體出現在4G無線網路的信號發射塔。2011年底,澳洲政府基於國家安全考慮,禁止華為投標澳洲國家寬頻網路。2012年5月15日,美國前布希政府反間諜專家Michelle K. Van Cleave警告加拿大:允許中國華為公司參與境內大型電信工程的做法,將把加拿大和美國的高速網路置於中國網路間諜的控制之中,進而威脅整個北美地區的安全。
2010年3月,印度電信部規定在印度境內的所有電信設備商(包括外資公司),只能雇佣印度本土人士做營運維護管理。2010年4月29日,印度電信部下令禁止印度運營商進口華為和中興等中國廠商生產的電信設備。印度政府一直擔心,來自部分國家的電信設備有可能會內置間諜軟體或惡意軟體,從而對印度的情報部門有害。2010年6月2日印度《經濟時報》報道,印度政府允許印度電信運營商進口中國電信設備,但規定所進口的中國電信設備必須經過國際安全審計公司認證。國際安全審計公司包括加拿大電子戰協會、美國Infoguard以及以色列ALTAL安全諮詢機構。印度政府也允許運營商對進口的電信設備進行認證,但需要經過相關銀行向政府電信部擔保。如果運營商偽造銀行擔保或認證檢測出對印度國家安全構成威脅的,運營商將承擔相應的法律責任。
雖然中國是目前台灣國家安全最明顯與最大的威脅,但台灣政府與人民對中國電信設備商與營運商對國家安全威脅的警覺性卻遠低於美、澳、印等國。台灣遠傳、台灣大哥大與中國移動、中國聯通有投資合作的協議。中國華為取得數個台灣電信營運商之固網以太網路、無線網路控制器、基地台設備、核心網路設備的採購與維護案。華為正在開發中國力推的第四代行動通信技術標準TD-LTE。數個台灣電信營運商未來很可能因採用TD-LTE技術標準在台灣布建與營運第四代行動通信網路,而引進華為的TD-LTE設備。
2010年4月前立委王幸男、2012年4月兩位現任立委潘孟安與鄭麗君,相繼召開公聽會、記者會,要求國安局、經濟部與通訊傳播委員會(NCC),清查國內電信營運商使用中國電信設備的情況並儘速處理中國電信設備對台灣國家安全的威脅。通訊傳播委員會(NCC)目前正進行電信法中有關電信網路資安條款之修正。雖然電信法修正案可授與NCC管控威脅國家資通安全的電信設備的法源依據,但資通設備的審驗幾乎無法做到防範於未然,而且高標準審驗的難度很高,包括技術上如何審驗通信設備之資通安全性、如何監控通過審驗之資通設備於使用時之資通安全性。以英國為例,英國情報局在中國華為取得英國一個大型寬頻設備的採購案後,「感到被迫須購買一個昂貴且資源密集的審驗架構,以確保華為不會竊取國家機密」。
處理國家安全事務應依循防範於未然的原則。立法院對影響國家安全的外國電信設備、營運與投資案應舉行聽證會。立法院應訂定《外商投資與國家安全法案》。經濟部應成立「外國投資委員會」,審查外國企業來台的投資是否影響了國家安全。應成立包括國家安全局、法務部等政府單位之「電信小組」,負責審核外國電信網路設備是否威脅國家安全,並向通訊傳播委員會提出建議。
通訊安全案例分析
陳孟彰
中研院資訊所研究員
資通訊與國家安全、民生經濟息息相關,所以成為網路駭客、敵對勢力努力突破的目標。基於不同目的與目標,各種攻擊手法應運而生,基本上可分為殭屍電腦、特定目標攻擊、設備預置攻擊軟硬體等三項。
殭屍電腦
殭屍電腦為已被植入後門軟體,竊取個資或檔案資料,或伺機聽從控制台指揮,進行垃圾信件發送或進行阻斷攻擊。根據防毒軟體公司賽門鐵克最近公布台北市為全球擁有最多殭屍電腦的城市(佔全世界5%),而 台灣在亞太地區僅次中國。殭屍電腦感染途徑最多為網路釣魚,臺灣也擁有大量釣魚網站,或使用者點選惡意信件,導致載入惡意軟體。也有些僵屍電腦因為蠕蟲或病毒軟體攻破電腦弱點而植入後門軟體。
特定目標攻擊
近年來,針對特定設施目標進行攻擊的惡意軟體開始盛行,並多次達成任務。這些惡意軟體據傳有政府資源的挹助,結構十分複雜,並沿複雜掩密方式傳染,但這些惡意軟體只針對特定目標攻擊,例如Stuxnet藉由Windows系統來攻擊西門子的工業控制系統。伊朗的鈾濃縮離心機據傳即為Stuxnet所破壞。最近出現的Flame惡意軟體亦多在中東國家偷竊感染電腦中的設計圖檔。
設備預置惡意軟硬體
此類設備預置惡意軟硬體可能為原廠裝置或在配送至使用者前被替換,藏身於IC裡或系統軟體中,一般防毒軟體無法掃瞄偵撤其存在。此類軟體因建置成本高,通常只在最急切的情況下才會現身,啟動攻擊行動。至今此類軟體仍是高度機密,但由世界各國對相關資通訊重要設備採取國安規格行動,對此類惡意軟硬體不掉以輕心。
應對措施
一般使用者應加強安全維護概念與保護措施,不亂開啟不信任之信件或網站,使用防毒軟體或服務,並定期做弱點掃瞄。敏感性資通訊產應加強實體與虛擬空間安全維護SOP確實實施,並應有獨立適確資通訊安全設計。對於設備預置惡意軟硬體的防範,需有政府與立法支援, 高度敏感資通訊設備可要求廠商繳交程式碼與設計圖以供查驗,採購案也應有國安級策略思考。
資通訊供應鏈安全管理
林盈達
交大資工系教授
資通訊產品與服務供應鏈
要了解資訊與通訊的安全問題如何掌握,就要先了解資通訊產品與服務的整體供應鏈流程,然後在重要環節加上簡單有效的管控機制,才能杜絕後患;一般對產品而言,製造業所看到的供應鏈流程為投資、研發、生產、銷售、佈建及維護,服務業所看到的服務供應鏈流程類似但較短,因為少掉研發與生產,所以只有投資、採購、佈建及維護,但整個流程的重要環節在哪裡呢?個人認為公部門應抓頭尾及採購,對於高度敏感影響人數巨大的電信業與資服業,應該在各環節都管控,在投資階段就把關,在採購階段訂定規範,並且在維護階段定期稽核,對於政府單位,可在採購與維護階段訂定嚴苛程度不同的規範進行把關,對於企業與個人用戶,則不需也無法管控。
產品供應鏈管理:檢測標準
一般資通訊製造業為了建構一個共同的品質標準以維護市場次序,通常會聯合主要業者或透過組織訂定產品檢測標準,例如在資安領域就有ISO 15408/18045 Common Criteria、ICSA、NSS等檢測標準,這些標準不外乎安全功能面、效能面、堅實面之檢測,通常通過檢測之產品品質就會較好,也較有市場競爭力,使用單位採用該產品時也較不會出現資安問題,但這是假設產品製造商沒有惡意搞鬼,它並無法杜絕惡意製造商透過韌體版本更新開後門(backdoor)的可能,對這樣的製造商檢測有其盲點,必須透過對使用單位的營運稽核,才有可能偵測出來,但如果開後門的技術高超,一般的營運稽核也檢測不出來。
服務供應鏈管理:ISO27011與國安審查
對大型電信業與資服業以及中央級政府單位而言,若採購通過檢測標準的產品是否就表示資安問題無虞?當然不是,還要透過對維護營運的稽核,才能發現是否有管理該設備失當的情形,ISO27011就對電信業資安的維護營運訂定了稽核標準,很不幸的國內各電信業者普遍只通過標準較低的企業級ISO27001,而非標準較高的電信級ISO27011,中央級政府單位更不用說。倘若連ISO27011也通過,是否表示安全無虞?根據上一段的說明,若惡意的設備製造商植入與隱藏後門的技術是未知的方法,ISO27011的稽核也會破功偵測不出來,特別是製造商是來自可能敵對或利益衝突國家時,這樣的機會就大增,美國與印度在面對具中國軍方色彩的華為等公司的產品可能銷售至電信與資服業者時,都採取謹慎的態度,對設備採購營運訂定所謂的國安審查機制,不讓業者採購價格較低的華為產品。反觀台灣電信業者,台哥大、遠傳與亞太分別在回應時間接證實有採購部分華為的設備,國安單位應該知道問題的嚴重性也做出要求,但主管單位NCC態度不夠明確將造成業者在每一次開新標案時都想試試主管機關的底線,看哪天能突破;NCC新修訂待立法院審查的電信法也未將國安審查的機制放入,將來國安單位透過NCC做出不得採用的要求時,難保業者不會拿出NCC自己修訂的電信法質疑NCC的依據。個人呼籲電信法修訂應加入國安審查這道"終極安全閥機制"。
更上游的投資管理
在供應鏈流程中,投資是最上游,有惡意的一方可透過投資取得董事席次,試圖影響公司營運,以往的討論多集中在中資投資電信與資服業(如中國移動投資遠傳)或電信與資服業者外包中國(如遠傳在中國設Call Center),這些當然都直接製造了資安的危險因子,所以應該設限,但近況證明中國台資(台資但中國市場比重高或成長機會高的業者)是更大的隱憂(雖然它不見得都跟資安問題有關),旺旺買三中媒體、旺中併中嘉有線電視(與言論集中及個資外洩有關)、HTC王雪紅買TVB等,都呈現業者為市場服其勞的圖像,這些公權力不一定都管得到,但能管時不管甚至放行,甚或打算護航強渡關山,那就是失職與瀆職。
回應文章建議規則: