Embed Size (px)
Citation preview
淺論 " 海峽兩岸服務貿易協議 - 開放第二類電信 \ 特殊業務 \ 數據交換通信服務 "
身處該產業的網路老屁股 Jerry
背景說明
NCC : 以第二類三項特殊業務換取中國 4 項服務是利大於弊,引發的資安及國安問題有限。 http://www.ithome.com.tw/news/86519
科技部長張善政表示 : 服貿協議開放第二類電信較目前每天所面臨資安風險較低,就像是「騎腳踏車撞死人」與「開車撞死人」的風險相比。http://udn.com/NEWS/BREAKINGNEWS/BREAKINGNEWS1/8601589.shtml?instant#ixzz2yYC6m46Q
大綱• 1. 數據交換通信服務定義&歷年相關開放過程• 2. 第二類電信 - 數據交換通信服務 (SPP VPN) 之應用現況與業者
經營方式說明• 3. 開放第二類電信業者數據交換通信服務所衍生的資安風險討論
數據交換通信服務定義• 數據交換通信服務定義 : 第二類電信業者設置網路設備 ( 如 X.25 、 Frame
Relay 或 ATM) 提供用戶 ( 企業或個人 ) 數據資料之保證頻寬通訊服務。
• 第二類電信業者自建機房 & 網路設備,向第一類電信業者 ( 固網 ) 租用電路,形成可提供企業客戶數據資料交換的服務網路,簡單來說,就是 電信業者部署之企業虛擬私有網路 (Service Provider Provisioned VPN, 以下簡稱 SPP VPN)服務.
• SPP VPN 是企業客戶租用非上網電路 ( 乙端為第二類電信業者網路設備,但不是 Internet 網路設備 ) , 透過第二類電信業者機房內 x.25/FR/ATM/MPLS 技術,採用“隔離機制與技術” 提供企業客戶“邏輯層封閉式” 的安全通訊網路環境 . SPP VPN 預設不含任何資料加密機制.
數據交換通信服務 - 歷年相關開放過程• 本次開放的三項服務,同時被列為第二類電信事業一般業務及特殊
業務• NCC 於記者會的說明,兩者差異在於
• ” 一般業務 " 的服務範圍侷限在本國境內,該電信業者不得申租國際電路將服務範圍延伸到國外 ;
• “ 特殊業務”即開放業者可以申請國際電路將服務範圍延伸到國外• 國內四家第一類電信業者,包含中華電信、新世紀資通、台灣固網、
亞太電信,皆可提供“綜合網路業務”,可經營第二類電信相關服務.• 第二類電信一般業務項目中有 11 項 ( 未包含網際網路接取服務 ) 於
民國 98 年 6 月時即開放外資 ( 含陸資 ) 可經營,可持股 50%
數據交換通信服務 (SPP VPN) 之應用現況• SPP VPN 目前廣泛應用於各產業企業客戶各項數據通信,一般民眾
雖然不是“直接用戶”,但卻是“間接用戶”• 相關產業及應用範圍簡要如下:
• 證券、期貨、集中保管、櫃檯買賣交易與行情資訊服務 • 公民營銀行、壽險業者、信用卡刷卡服務 (金融聯合徵信中心、發卡銀行、收單銀行、商家 )
• 交通民生 (健保醫療網路、公益彩券、電子發票、 U-Bike ... ) • 零售流通產業 (超商業者 )
• 雖然民眾不是 SPP VPN 網路租用者 ( 租用者為企業客戶 ) ,但是民眾個人相關資訊還是會在上面傳遞
為何企業客戶仍考慮使用 SPP VPN 服務 -- 明明 SPP VPN 的 Per Mbps 單價“高於” 一般民眾 Internet 接取費用
• 簡單來說 — “省錢、省事”• 企業客戶普遍認為 : SPP VPN 的邏輯層封閉 — > 信任 SPP VPN 業者 — >
資安責任主要請 SPP VPN負責 (你要確保我的封閉隔離 ) —> 企業客戶可以減少部署其他資安防護機制的相關軟 /硬體 / 人力費用
• 企業客戶使用 SPP VPN ,因其封閉隔離的特性,資安風險上已大幅降低 !!
•坦白說,企業客戶相對地在 SPP VPN 環境內的資安防護機制作業(例如通訊資料加密、邊界安全等 ) 部署程度較為“鬆散”,甚至有的根本就沒有額外部署資安防護機制 !!
SPP VPN 業者經營方式• SPP VPN 服務業者提供 企業客戶“邏輯層封閉式”的 SPP VPN 網
路環境• 一家企業客戶,就是一個邏輯層封閉獨立的 SPP VPN 網路,預設與另外
一家企業客戶的 SPP VPN 網路彼此隔離,不會互通!
• 但 SPP VPN 業者可以輕易透過網路設備的設定 (Ex: VRF Route Target Import/Export) 甚至是機房內網路線串接,就讓兩個原本邏輯層封閉隔離的網路,無論是企業 VPN 或 Internet 相互可以通訊了 …
所衍生的資安風險…•允許有政治敵意的對岸,建設一個低廉成本的資訊收集平台,可
大量收集正確的、不斷更新的企業用戶&民眾相關資訊
• 透過資料偽造、篡改、通訊癱瘓阻斷造成我國民眾社會恐慌 !!
假想下列情況…(1) SPP VPN 網路服務已廣泛應用於各企業各項與民眾有關的數據資料通訊應用(2) 企業客戶於 SPP VPN 網路的資安防護機制部署較為鬆散,許多資料通訊均以明文方式傳遞
1. 陸資第二類電信業者進入台灣,將可以低價搶到很多“重要客戶”• 好多政府機構標案、企業公司行號都是用“最低價者得標”
2. 該重要客戶們的通訊內容涵蓋許多領域,包含證券期貨、金融壽險、交通民生以及公務服務整體委外案 ...
3. 這些政府機構標案、企業公司行號都認為他們已經使用二類電信業者封閉式 VPN 網路服務了,所以相關的資安防護較薄弱 (Ex: 通訊沒考慮加密、較鬆散的邊界安全 ... etc)
4. 在第二類業者的電信機房可以全面監聽上述數據通信訊務內容• 大量收集正確的、持續更新的台灣民眾、企業相關資訊 (Ex: 個人消費習性、財務信用狀態 …等 ) ,可有系統地進行後續大資料分析
假想下列情況… (cont.)
5. 除了”全都錄”的全面監聽搜集之外,對岸心情不好的時候就來搞搞你 !! • 銀行 ATM 提款 VPN 機網路中攔截篡改提款金額啊!• 在電子發票 VPN 網路中產生大量”偽造交易的電子發票記錄啊” • 在信用卡刷卡金流 VPN 網路中假造刷卡交易或是讓大家都不能刷卡交易啊之類的 !!
6. 就算沒有造成真正的入侵 , 只要送一些偽造的假資料 or 造成通訊阻斷 or 偶而送送重要主機的 fake host route, 都會弄得全台金融秩序、企業、民眾雞飛狗跳的 … .
此次服貿協議開放的三項業務,等於 "允許有政治敵意的對岸,建設一個低成本的資訊收集平台,可大量收集正確的、不斷更新的企業用戶&民眾相關資訊 ; 亦可透過資料偽造、篡改、通訊癱瘓阻斷造成我國民眾社會恐慌 !!
提醒以下幾點1) 市場不大 (無經濟利益 ) 但對岸又要求開放的服務項目,一定有其背後的政治意圖 !!
2) 開放第二類電信業者三項特殊業務項目,所增加的資安風險並非 NCC 所言“微乎其微” - 懇請更審慎考慮與面對
3) 如果不得不開放,建請 NCC 限制公務機構、重大民生專標案不得使用陸資 SPP VPN 服務
4) 請企業客戶在 SPP VPN 網路環境中,仍需投入資源進行相關資訊安全防護機制 (C.I.A) 的部署
