不用再瞎禁中国通讯设备 先看各国的资安防护安全标准
今日新闻NOWnews · 1,127人追踪
https://i.imgur.com/yrjEM4U.jpg
▲资安问题持续发酵,越来越多政府单位宣布禁用中国品牌通讯产品。(图/记者刘士成摄
)
资安问题持续发酵,除了工研院率先宣布在内部禁止它们认为有资安疑虑的中国网通产品连
内部网络外,台南市政府也对禁用华为相关产品开出第一枪。当政府正准备于三月公布开始
禁用中国电信设备清单之际,前行政院长张善政则是批评,政府的资安政策紊乱,而工研院
等单位禁用华为手机更是“完全抓错方向”,并强调手机要被植入恶意后门的管道是来自 A
pp 软件,而不是硬件。
但是对此成功大学电机系教授李忠宪则是于 26 日在脸书发文表示,App 会产生资安的风险
,手机上的硬件和软件也会产生资安的风险,更何况即使你有一个严格检测App安全的标准
(其实并没有),手机上的 App 可更新,认证只能确保最初版本没资安漏洞,若 App 更新
出问题,通过认证手机也可能产生资安漏洞,反而令人失去警觉心。
李忠宪另外又发文表示,许多朋友问了我很多的问题,有些可能很有道理,有些是不了解科
技的现状。很抱歉我没有办法一一的回答,世界上没有绝对的资讯安全,地图炮的方式不是
资讯安全的做法。资讯安全本来就是一件资源配置的事情,其中最重要的事要做风险评估,
列出最高风险的部分往下做,当然有些人认为对台湾而言,全世界最大的风险国家是“美国
”,所以认为应该要把资讯安全的资源往这个部分配置,但是我认为不是,也相信台湾大部
分的人都认为不是。我真的以为自己知道的没有很多,自称“专家小小”还有点过分,写出
来的文章也都是科普的性质,没有自信能够呼吁什么事情,只是希望给大家一些基本判断的
基础。
https://i.imgur.com/VqoD3dr.jpg
▲李忠宪于脸书大谈资安问题,但又客气地自认为“专家小小”。(图/翻摄于李忠宪脸书
)
资安问题涉及的范围很广泛,确实无论是硬件或软件,都需要有一定个规范与限制,但记者
认为人为的规范与遵循,可说是最重的第一道主动防护。既然太过于空洞的讨论或猜想无助
于资安防护,不如我们就来了解一下关于资安的规范有哪些。
ISO 27001 标准系由国际标准化组织(ISO)于2005年10月制定之“资讯安全管理系统”之
验证标准,我国于2006年6月转订为国家标准 CNS 27001,可应用于组织内部,或为验证、
契约之目的,也着重在 ISMS 能符合 CIAL 之有效性;其中 C 指机密性、I 指完整性、A
指可用性,L 指适法性。
而 ISO 27002 可作为组织建立、维持及改善其ISMS的指导纲要及一般原则,特别是发展组
织的安全标准与有效的安全管理实务,较 ISO 27001 更为广泛。ISO 27002可作为超越ISO
27001要求,追求绩效的持续改进之一项指引,不可作为验证或契约之目的;而 HTC 最近表
示他们非常重视及努力达到台湾以及世界各国的安全标准,就包含了 ISO 27001。
https://i.imgur.com/5Pui07n.jpg
▲经济部标准检验局所公开的各类管理系统认可登录标志。(图/翻摄于经济部标准检验局
ISO 27001验证说明会简报档)
HTC 表示他们也达到了 BS 10012;BS 10012 PIMS 是由英国标准协会基于 OECD、APEC 及
资料保护法对于个人资讯管理制定而来。BS 10012 与其他国际标准一致,定义了个人资讯
管理系统的要求。
https://i.imgur.com/V1NDD8S.jpg
▲HTC 24日宣布 HTC Desire 12s 新色绽放红正式开卖,并满足各国资安规范。(图/HTC
提供)
BS 10012 不只是针对 ICT 资通讯技术的标准要求,更多的是从法律面、管理面与流程面对
于个人资讯的管理,能够在符合国内个人资料保护法及组织所应遵循产业之最佳实务要求下
,进行保障组织所持有之个人资讯。
而欧洲最严的个资法 GDPR,则是正式于 2018 年 5 月 25 日上路实施;GDPR 是在欧盟法
律中对所有欧盟个人关于数据保护和隐私的规范,涉及了欧洲境外的个人资料出口。根据 D
eloitte 今年 2 月最新调查,就连欧盟国家的企业也只有 15% 完全符合 GDPR 规范,其
他国家当然在比例上更低,而台湾则是不在欧盟允许的跨境传输名单中。
GDPR 的条例包含处理个人数据的业务流程必须在设计和默认情况下构建数据保护,这意味
著个人数据必须使用假名或完全匿名进行存储,并且默认使用尽可能最高的隐私设置,以避
免公开数据未经明确同意,并且不能用于识别没有单独存储附加讯息的主题。任何个人的数
据除非在法规规定的合法基础上完成,否则数据控制者或处理者已经从数据所有者那里获得
明确的选择同意,而数据所有者有权随时撤销此权限。
其实再多规范都会有其漏洞的,通讯设备到底会不会危害国家安全,这议题以往相关专家都
心照不宣,各国设备生产者当然有可能想借由产品或软件来窃取敌对或有利害关系的国家资
讯,选择设备与软件的品牌与国别,其问题点可能回归信任这两个字,再不然就是甘愿冒其
风险。
https://i.imgur.com/HUOB9us.jpg
▲消费著的资安层级疑虑是和国家单位不一样的,图为华为最近热卖的Mate20 Pro 莱卡技
术三镜头手机。(图/记者刘士成摄 2019.01.25)
举例来说毕竟目前还没有实际证据证明华为手机有资安风险,若消费者觉得这厂牌手机好用
,自然选择信任来购买使用。而 HTC 身为台湾品牌,最近又宣传有满足各国资安规范,就
更能让民众安心选购,但对于消费者而言,产品好用比较重要,而对国家政府而言,资安的
防护则是胜过一切,产品再难用但若资安防护高也得列为优先考量。
至于苹果手机,支持该品牌的中国使用者,当然就是以信任这个原则来继续选购,记者观察
在中国一、二级城市,苹果手机著占有率相当高,不过中国民众并不会热衷于每年更换 iPh
one 手机,而 HUAWEI、OPPO,小米与 VIVO ,则是中国民众较支持的品牌,也是不折不扣
的中国品牌。
目前各国对于华为有疑虑的是其通讯设备有“后门”,各国目前的策略主要是封杀华为 5G
设备,而非手机产品,因此使用华为的手机民众无须恐慌,而且目前也无实质的证据显示华
为通讯设备确实有后门。然而这样个骨牌效应确实已经造成华为品牌的伤害,加上像是加拿
大近日宣布将从华为改成诺基亚合作 5G 产品研发,英国电信商 Vodafone 也决定暂停在核
心网络中使用华为设备,他们正在与各机构、政府与华为沟通,厘清情况。
https://tw.mobi.yahoo.com/news/不用再瞎禁中国通讯设备-先看各国的资安防护安全标准
-033441858.html
心得:
看起来资安问题真的蛮难解决,只能尽量避免,根据文中目前HTC他们达到了 BS 10012与其
他国际标准一致,也定义了个人资讯管理系统,看起来HTc在安全方面做了很大努力,在这
充满资安问题的时代也希望TC可以继续往这方面走,在未来世界里或可能靠这点重返荣耀吧
。