迎戰資安危機 KPMG:三不一隻有

關於近日輿論焦點指向部分重要政府核心資訊系統中的部分元件,疑似使用大陸開發軟體所引發的國安疑慮,KPMG K-Lab實驗室程式安全檢測專家王昆仰認爲,系統軟體本身應是中性的,大陸開發的資訊系統也未必都有問題,但重點是使用的政府機關企業,是否具備檢視系統安全的真正能力

王昆仰說明,從媒體報導分析,大陸的軟體大廠金蝶國際所開發的軟體元件,已透過臺灣合格」的系統整合廠商,光明正大「包進」臺灣政府與金融機構應用程式中。

但若要深入檢測系統程式是否含有大陸制或惡意的元件,光靠臺灣現行黑箱檢測(弱點掃描、滲透測試),或掃描工具進行程式源碼白箱檢測,無法達到目標的。

對抗大陸元件入侵,王昆仰提出「三不一隻有」安全原則,包括一、程式元件不能出現大陸程式編程特徵;二、程式元件運作時,不能出現異常的連線與其他非程式功能的隱藏行爲;三、程式安全檢測不能完全仰賴現有的黑、白箱掃描技術;最後,只有深度進階程式元件檢測方法,才能確保程式真正的安全與國家安全。

KPMG安侯企管公司數位科技安全服務負責人謝昀澤表示,目前軟體開發普遍應用中介軟體(Middleware)、現成軟體元件等方式,加速開發程序或滿足不同的需求,但許多資訊開發廠商,僅着重於功能面,將現成可取用的元件,重新包殼加裝掩藏原本套件來源,除無法掌握其利用套件的安全性外,若用於處理敏感資訊的政府部門,就有導致國安問題的可能性

謝昀澤強調,「應用程式溯源」遠比「食品溯源」複雜許多,系統安全不能單由系統產地來源保證,因此各機關應針對現所使用的系統,尤其與國家安全及多數民衆隱私相關的重要系統,即使是號稱「國產國造」,也要全面深入確認系統所使用的韌體、軟體,甚至內包函式庫等軟體元件,有無含隱藏版漏洞木馬等惡意元件。