迎戰資安危機 KPMG:三不一只有

關於近日輿論焦點指向部分重要政府核心資訊系統中的部分元件,疑似使用大陸開發軟體所引發的國安疑慮,KPMG K-Lab實驗室程式安全檢測專家王崑仰認為,系統軟體本身應是中性的,大陸開發的資訊系統也未必都有問題,但重點是使用的政府機關或企業,是否具備檢視系統安全的真正能力。

因此,王崑仰提供了台灣政府與企業針對核心敏感系統,對抗中國元件入侵的「三不一只有」進階安全原則,一、程式元件不能出現大陸程式編程特徵;二、程式元件運作時,不能出現異常的連線與其他非程式功能的隱藏行為;三、程式安全檢測不能完全仰賴現有的黑、白箱掃描技術;最後,只有深度的進階程式元件檢測方法,才能確保程式真正的安全與國家安全。

KPMG安侯企管公司數位科技安全服務負責人謝昀澤表示,目前軟體開發普遍應用中介軟體(Middleware)、現成軟體元件等方式來加速開發程序或滿足不同的需求,但許多資訊開發廠商僅著重於功能面,用簡易的方法將現成可取用的元件,重新包殼加裝來掩藏原本的套件來源,除無法掌握其利用套件的安全性外,若是用於處理敏感資訊的政府部門,確實有導致國安問題的可能性。

謝昀澤強調,「應用程式溯源」遠比「食品溯源」複雜許多,系統安全更不能單由系統產地來源保證,如果單追查系統來源證明文件,很難發現真相。

謝昀澤呼籲,與其把焦點放在追蹤系統產地,各機關更應該立即針對現所使用的與國家安全與多數民眾隱私相關的重要系統,即使是號稱「國產國造」的純種系統,也應全面深入確認系統所使用的韌體、軟體,甚至內包的函式庫等軟體元件,有沒有含有隱藏版的漏洞或有木馬等惡意元件。

(工商 )


推薦閱讀

發表意見
留言規則
中時電子報對留言系統使用者發布的文字、圖片或檔案保有片面修改或移除的權利。當使用者使用本網站留言服務時,表示已詳細閱讀並完全了解,且同意配合下述規定:
  • 請勿重覆刊登一樣的文章,或大意內容相同、類似的文章
  • 請不要刊登與主題無相關之內容
  • 發言涉及攻擊、侮辱、影射或其他有違社會善良風俗、社會正義、國家安全、政府法令之內容,本網站將會直接移除
  • 請勿以發文、回文等方式,進行商業廣告、騷擾網友等行為,或是為特定網站、blog宣傳,一經發現,將會限制您的發言權限或者封鎖帳號
  • 為避免留言系統變成發洩區和口水版,請勿轉貼新聞性文章、報導或相關連結
  • 請勿提供軟體註冊碼等違反智慧財產權之資訊
  • 禁止發表涉及他人隱私、含有個人對公眾人物之私評,且未經證實、未註明消息來源的網路八卦、不實謠言等
  • 請確認發表或回覆的內容(圖片)未侵害到他人的著作權、商標、專利等權利;若因發表或回覆內容而產生的版權法律責任將由使用者自行承擔,不代表中時電子報的立場,請遵守相關法律規範
違反上述規定者,中時電子報有權刪除留言,或者直接封鎖帳號!請使用者在發言前,務必先閱讀留言板規則,謝謝配合。