落實管理危害國家資通安全產品「禁止公務使用大陸廠牌資通訊產品 」注意事項

一、依「高教深耕計畫資安強化專章」落實管理危害國家資 通安全產品，將禁止公務使用大陸廠 牌資通訊產品列入學校應辦事項。

二、資通訊產品包含軟體、硬體、服務等項。另外，具連網能力、資料處理或控制功能者皆屬廣義之資通訊產品。

1.   硬體：個人電腦、筆記型電腦、伺服器、智慧型手機、平板電腦、行動電話機、網路通訊設備（如網路交換器、無線網路分享器等）、無人機、虛擬實境設備、影像攝錄設備、印表機、投影機、可攜式設備、物聯網設備等。

2. 軟體：應用軟體、系統軟體、開發工具、客製化套裝軟體、APP及電腦作業系統等。

3. 服務：客服服務及軟硬體資產維護服務等。

三、辦理採購時務必留意購置之資通訊產品不得為大陸廠牌，公務用之資通訊產品不得使用大陸廠牌，且不得安裝非公務用軟體。已使用或採購之大陸廠牌資通訊產品列冊管理儘速汰換。產品未汰換前，應加強下列資安強化措施：

1. 強化資安管理措施，例如：設定高強度密碼、禁止遠端維護等。

2. 產品遇資安攻擊導致顯示畫面遭置換，應立即置換靜態畫面，或立即關機。

3. 產品使用屆期後不得再購買危害國家資通安全產品。

四、大陸廠牌資通訊產品禁止公務使用的考量是基於資安風險，例如接連爆發的「華為的後門程式事件」、「海康威視的攝影機事件」，都讓人不得不對於大陸廠牌資通訊產品有資安外洩疑慮。

大陸廠牌之定義與清單

一、已知常見大陸廠牌，但不限於以下所列

• 大疆(DJI)

• 大華(Dahua)

• 高巨創新(EMO)

• 福斯康姆(Foscam)

• 海康威視(Hikvision)

• 海信(Hisense)

• 華為(Huawei)

• 海能達(Hytera)

• 小米(MI)

• 魅族(MEIZU)

• 努比亞(Nubia)

• 歐家控股(OPPO)

• 真我(REALME)

• SUGAR

• 普聯(TP-Link)

• 騰達(Tenda)

• TOTOLINK

• vivo

• 中興通訊(ZTE)

二、如遇無法判斷者，建議請請廠商提供說明或文件證明其非大陸廠牌，亦可上網搜尋該品牌資訊。

三、在經濟部投資審議委員會(網址 https://www.moeaic.gov.tw/chinese/news_bsAn.jsp)可查詢陸資資訊產業、陸資來台投資事業，這些業者在台灣生產銷售的資通訊產品是否被認定屬大陸廠牌而限制使用仍未明確，原則上建議盡量 避免購置。

華為的後門程式事件

諸多報導華為的資訊設備存在後門程式，像是「臉書粉專爆華為路由器回傳數據到中國 NCC竟檢驗合格」、「華為旗下海思晶片被發現有後門，可入侵網路攝影機」明確指出華為的產品有資安疑慮，嚴重可能會危害國家資安。而且在「華為美國高管：陸有能力在所有產品上植入「後門」」報導中可以得知大陸是有能力在陸製產品上植入後門程式，因此我國資安法子法限制各級機關使用大陸廠牌的資通訊產品。