---

台大資工系洪士灝教授(有參加反對第二類電信及電腦服務類連署)
今天撰文分析英國如何看待國安議題
有英文報告原文的完整版 http://hungsh-ntucsie.blogspot.tw/2014/04/blog-post_7.html
省略英文原文的精簡版 http://hungsh-ntucsie.blogspot.tw/2014/04/blog-post_2612.html
英國對於資通訊設備的國安問題
(主要是針對大陸的華為)做了一份評估報告
洪老師翻譯了其中一些部分，並提出他的專業看法
（洪老師的專長是網路系統效能及資訊安全）
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

以下節錄部分洪教授的觀點

「報告是專責機構Intelligence and Security Committee (ISC)做出來的，

讓首相能夠有充分的資料對國會做報告。

這個資料也是公開的，可以讓大眾檢視。

很遺憾，我們沒有這樣得資料，是誰的問題呢？」



「喔，我們的國安局真是厲害，

才花了24天，就能夠做好評估，

告訴民眾「現在來看，風險不是很大」。

由於是密件，我們也看不到。

他在報告時，還不忘記加上「現在來看」這幾個字，

所以未來出問題也不是他的錯。」



「所以，當英國很慎重地檢視中國華為崛起後的資安影響的同時，

我們的政府各機關都被動員起來宣傳一件事：「服貿利大於弊」，

不斷以跳針式的作法，把這樣的訊息送到人民的眼前，

但是沒有給我們看到任何有說服力的報告。」

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

洪教授的翻譯內容看起來令人心驚膽跳，內容滿多的，

個人覺得重點摘錄如下：

國安局（Security Service）告訴我們，理論上，

這些華為的設備提供中國很誘人的滲透諜報機會，

而且情報聯席會（JIC）也警告過，

透過這些機會所進行的有敵意的攻擊，

是非常難以偵測和預防的，而且也讓中國能夠秘密攔截

和擾亂我們的資訊網路。


在這些通訊器材裡的軟體包含超過一百萬行程式碼，

GCHQ根本無力查證，裡面總是有潛在危險，

重點是要如何管理和防堵這些危險。


- 第31點，既然大多數資通訊設備都已經是在中國研發或製造的，

那麼不買這些設備並不是個好辦法。

- 第33點，所以風險管理的方法（risk management approach）才是重點。

政府要有適當的程序來評估這些風險，以及管理風險，

而且關鍵是，這個程序必須完完全全與制度整合，

無論是在簽約前或是簽約後，絕對不是附帶品。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

他的最後評語：

「報告中說，買設備是無可避免的，但必須要風險評估和管理措施。

請問我們政府除了說「現在來看，風險不是很大」之外，

有提出任何措施嗎？政府自己不提措施，讓民眾安心，

難道我們民眾自己提嗎？



買設備的風險大，還是引入資通訊網路服務的風險大？

當然是後者！設備還有辦法監控和管理，

人家來一組人，你要怎麼管？

英國根本不可能讓外國人來從事國家的基礎資通訊網路服務的。」

這是不是國安問題呢？

我知道「白狼」一定不認為這是國安問題。

我無黨無派，但是只要台灣的現況還是一個獨立的政體，

那就應該為了維護國家主權和人民安全而努力，不是嗎？

經濟部與NCC偕同電信業者與資策會等公設財團法人開記者會，

批評教授無實務經驗... 這篇報告我可以花一個小時看完，

花三個小時把重點翻譯給大家看，你政府找人做做看？

請問政府單位為了取信於民，除了重複說風險不大之外，

做了什麼能讓民眾安心的事情？設計和審議出什麼樣的制度？

洪老師臉書的原始post https://www.facebook.com/shihhaohung/posts/699121090130382?stream_ref=9

--
※ 作者: anthonycs 時間: 2014-04-07 19:37:27
※ 編輯: anthonycs 時間: 2014-04-07 20:00:45