親愛的網友:
為確保您享有最佳的瀏覽體驗,建議您提升您的 IE 瀏覽器至最新版本,感謝您的配合。
回聯合新聞網 RSS App 粉絲團 Line 我的新聞 udn family

防資安危機 KPMG推三不一只有原則

2017-12-04 11:12中央社 記者邱柏勝台北4日電

移民署發生採購弊案,入出境查驗設備疑似來自中國。安侯建業(KPMG)表示,資安恐危及國安,無論是官方單位或是民間企業,都應依循「三不一只有」原則深度檢測,避免遭惡意元件入侵。

KPMG安侯企管公司數位科技安全服務負責人執行副總謝昀澤表示,目前軟體開發普遍應用中介軟體(Middleware)、現成軟體元件等方式來加速開發程序或滿足不同的需求,但許多資訊開發廠商僅著重於功能面,用簡易方法將現成可取用的元件,重新包殼加裝掩藏原本的套件來源,除了無法掌握利用套件的安全性外,若用於處理敏感資訊的政府部門,確實有導致國安問題的可能性。

謝昀澤強調,應用程式溯源遠比「食品溯源」還複雜許多,系統安全不能單由系統產地來源保證,如果單追查系統來源證明文件,很難發現真相。

他認為,與其把焦點放在追蹤系統產地,各機關更應立即針對現所使用與國家安全、民眾隱私相關的重要系統,即使是號稱「國產國造」的純種系統,皆應全面深入確認系統所使用的韌體、軟體,甚至內包的函式庫等軟體元件,有沒有含有隱藏版的漏洞或有木馬等惡意元件。

KPMG K-Lab實驗室程式安全檢測專家王崑仰進一步說明,從媒體報導中分析,中國的軟體大廠金蝶國際所開發的很多軟體元件,已透過台灣「合格」的系統整合廠商光明正大「包進」台灣政府與金融機構的應用程式中。

然而王崑仰認為,若要深入檢測系統的程式是否含有大陸製或惡意的元件,光靠現行政府或金融機構常見的黑箱檢測(弱點掃描、滲透測試),或掃描工具進行程式源碼白箱檢測,就像醫生只想用抽血、照X光就想找到重症的病灶,完全沒法達到目標的。

王崑仰說,要確認系統是否引發國安的風險,檢測人員需有寫過百萬行程式以上的經驗,精通超過5種以上的國際通用程式語言,並有程式反組譯與精準的程式結構解讀能力,最好還要有國安與網際情報(CyberIntel.)的專長或背景,才能夠有機會抓到中國製的惡意元件。否則,面對經過精密包裝的大型應用程式,一般的資安人員可能面臨「解不開」、「看不清」、「查不到」的困境。

王崑仰認為,系統軟體本身應是中性的,中國開發的資訊系統也未必都有問題,但核心的問題是,系統使用的政府機關或企業,是否具備檢視系統安全的真正能力,能否檢查出有問題的軟體。

因此,王崑仰提供了台灣政府與企業針對核心敏感系統,對抗中國元件入侵的「三不一只有」進階安全原則:1. 程式元件不能出現大陸程式編程特徵。2. 程式元件運作時,不能出現異常的連線與其他非程式功能的隱藏行為3. 程式安全檢測不能完全仰賴現有的黑、白箱掃描技術4. 只有深度的進階程式元件檢測方法,才能確保程式真正的安全與國家安全。

KPMG 資安
A- A+

相關新聞

熱門文章

商品推薦

商品推薦

留言


Top