為避免紅色危機入侵政府單位,行政院去年4月發布「各機關對危害國家資通安全產品限制使用原則」,禁止各機關採購及使用危害國家資通安全的廠商產品。當時政院也說會公布「禁止採購資安清單」,也就是外界所說的「資安黑名單」,不過時隔1年多政院至今遲未公布。據了解,政院早從去年1月開始就全面清查汰換,不以列出名單品牌方式,則用統一原則,「凡中國製造、組裝的具連網功能之資通產品」一律禁用。
根據政院去年5月完成的調查報告,全國有1108個公務機關使用中國資通訊設備。負責相關政策的行政院資安處處長簡宏偉曾表示,未來政府對採購及使用中資產品的處理原則是全面禁止,主要考量在於國安風險,但也顧及有些設備須做測試,或有特殊例外狀況,若陸資設備是非用不可的情況下,可以事先經過登記、報准後做例外處理;同時,為了風險控管,處理原則中也會禁止連接到中國敏感、核心網路。
除了資通訊產品,對於公部門使用電腦連結到中國網站或社群。簡宏偉說,公務手機及電腦原本就禁止連結中國網站,只要是網址有「.cn」的網站,原則上就不能連,而且政府機關網路也會設定防火牆,不過,若有業務需求,必須連中國網站時,仍可向資安部門申請核准。
行政院自去年開始依《資通安全管理法》以每2年為周期,完成行政院所屬二級機關及三級機關的資通安全實地稽核,把使用這些中國廠牌資通訊設備的機關納為稽核重點對象,檢視其設備汰除和管理情形。
雖然行政院進行全面性的調查、汰換,但從去年3月政院就喊出要列出禁止採購清單至今,仍未見公布。對於資安黑名單,行政院去年8月時曾表示,他們持續討論中,尚未有結論。而當時行政院官員則說,考量美國對中國的管制清單仍有變化,資安黑名單需與幾個大國同步。
對於資安黑名單政院具體作法、公布時程到底為何?知情人士表示,政院早從去年1月就開始全國公務機關盤點、調查、汰換,相關作為一直在持續,目前作法就是以「凡中國製造、組裝的具連網功能之資通產品,一律禁用」為原則;也就是說,政院統一發函至各公務機關,將中國組裝或自造具有連網功能的資通產品,進行汰換。
不過,知情人士也說,不是所有中國製造、中國品牌的產品都要汰換,像是印表機中的碳粉夾、不具連網功能的太陽能板等,主要是調查診斷伺服器相關設備,因為太多產品都是中國組裝或製造,但核心晶片其實是其他國家製造,組裝國家並不影響手機的資訊流入中國,因此也並非全面禁用中國製產品。
知情人士指出,政院的作法是評估資訊外流的風險,因為像是許多部會首長、官員幾乎都是使用iPhone,但iPhone有部分都是中國組裝,如果全面禁用中國組裝或製造產品,那連iPhone都不能用。(林麒瑋/台北報導)
