忧机密外洩 台湾测出大陆资通讯设备含资安风险

为了解中国大陆厂牌资通讯设备的资安风险，台湾行政院对大陆智慧型手机和网通设备的安全性进行“黑箱检测”（Black-Box Testing），发现小米、OPPO的手机应用，以及海康威视、浙江大华的网路摄影机，确实存在资安漏洞，恐造成公务机密外泄。行政院呼吁加紧汰换，另有立委指应修法禁用这些设备。

据《自由时报》报道，行政院资安官员表示，黑箱检测是指“渗透测试”，专业测试单位会请专家模拟骇客攻击模式，测试产品安全性强度，看系统是否存在资安漏洞。智慧型手机部分，国家通讯传播委员会（NCC）委请电信技术中心执行。针对手机韧体安全、通讯安全、系统安全等项目进行检测，并将抽测结果函告厂商，且于两个月后就不合格项目进行复测。

此外，针对曾被被欧美国家指控用来监控新疆维吾尔人的海康威视监视器，政院也委托经济部工业局，对海康威视，以及浙江大华技术的影像摄录设备，就实体安全、系统安全、身分鉴别、授权机制安全、隐私权保护五大面向测试。

检测发现，海康威视DFI 6257E网路枪型摄影机和大华技术DH-IPC-HFW1230SN红外线IP摄影机，在影像监控系统资安标准一般要求上，皆有实体异常行为、无相关警示功能、作业系统与网路服务存在资安漏洞。

同时，中国海康威视、大华技术两款摄影机，都存在使用不安全的加密演算法、验证码复杂度不足等问题，产品更缺少建立外壳拆除障碍的情形。

在无人机设备方面，台湾水利机关常使用的中国深圳大疆创新科技公司所生产的无人机，经检测共发现三款无人机皆出现受伪GPS讯号影响、敏感性资料出现于日志档，及行动应用程式具资讯安全弱点等情况。

行政院调查显示，台湾至少有228个中央、地方机关、学校使用有资安风险的大陆资通讯设备。对此，行政院强调，除了要求尽速汰换相关资通讯设备，也会将使用中国大陆厂牌资通讯设备的机关，优先纳为资安稽核重点对象。

行政院报告也指出，政府机关会采购中国制设备，多因价格低廉、机关经费有限、满足设备功能需求。民进党立委王美惠昨日受访表示，未来应修正“政府采购法”，明文禁止公部门采购中国资通讯产品。

调查报告统计，全国有36个公务单位使用海康威视生产的影像摄录设备；52个政府机关学校采用华为公司生产的智慧型手机、平板电脑、无线网路分享器；还有30个政府机关学校采购OPPO智慧型手机；另有17个政府机关学校使用小米集团的智慧型手机。

行政院发言人丁怡铭指出，政院公务手机是台湾品牌HTC，只能打电话、传简讯，无上网功能，“关键”资通讯产品应避免使用有资安风险的大陆产品。