18
淺淺 " 淺淺淺淺淺淺淺淺淺淺 - 淺淺淺淺 淺淺淺 \ 淺淺淺淺 \ 淺淺淺淺淺淺淺淺 " 淺淺淺淺HTTP://ON.FB.ME/1SMNHUV 淺淺淺淺淺淺淺淺淺淺淺 JERRY

淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

Embed Size (px)

DESCRIPTION

題目:淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務" 作者:身處該產業的網路老屁股 Jerry 完整原文出處:http://on.fb.me/1sMnhUv

Citation preview

Page 1: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

淺論 " 海峽兩岸服務貿易協議 - 開放第二類電信 \ 特殊業務 \

數據交換通信服務 "

原文出處: HTTP://ON.FB.ME/1SMNHUV

身處該產業的網路老屁股 JERRY

Page 2: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

2

背景說明

NCC : 以第二類三項特殊業務換取中國 4 項服務是利大於弊,引發的資安及國安問題有限。 http://www.ithome.com.tw/news/86519

科技部長張善政表示 : 服貿協議開放第二類電信較目前每天所面臨資安風險較低,就像是「騎腳踏車撞死人」與「開車撞死人」的風險相比。http://udn.com/NEWS/BREAKINGNEWS/BREAKINGNEWS1/8601589.shtml?instant#ixzz2yYC6m46Q

Page 3: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

3

大綱

1. 背景資訊說明 - 數據交換通信服務定義 & 歷年相關開放過程

2. 第二類電信 - 數據交換通信服務 (SPP VPN) 之應用現況與業者經營方式說明

3. 開放第二類電信業者數據交換通信服務衍生的資安風險討論

Page 4: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

4

數據交換通信服務定義

• 數據交換通信服務定義:第二類電信業者設置網路設備 ( 如 X.25 、 FRAME RELAY 或 ATM) 提供用戶 ( 企業或個人 ) 數據資料之保證頻寬通訊服務。

• 第二類電信業者自建機房 & 網路設備,向第一類電信業者 ( 固網 ) 租用電路,形成可提供企業客戶數據資料交換的服務網路,簡單來說,就是 電信業者部署之企業虛擬私有網路 (SERVICE PROVIDER PROVISIONED VPN, 以下簡稱 SPP VPN) 服務。

• SPP VPN 是企業客戶租用非上網電路 ( 乙端為第二類電信業者網路設備,但不是 INTERNET 網路設備 ) , 透過第二類電信業者機房內 X.25/FR/ATM/MPLS 技術 [ 註 1] ,採用“隔離機制與技術” [ 註 2] 提供企業客戶“邏輯層封閉式” [ 註 3] 的安全通訊網路環境。 SPP VPN 預設不含任何資料加密機制。

Page 5: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

5

數據交換通信服務 - 歷年相關開放過程

• 本次開放的三項服務,同時被列為第二類電信事業”一般業務”及”特殊業務” [ 註 4]

• 根據 NCC 於記者會的說明,兩者差異在於:• 一般業務:服務範圍侷限在本國境內,業者不得申租國際電路將服務範圍延伸到國外。• 特殊業務:即開放業者可以申請國際電路將服務範圍延伸到國外。

• 國內四家第一類電信業者,包含中華電信、新世紀資通、台灣固網、亞太電信,皆可提供“綜合網路業務”,可經營第二類電信相關服務。

• 第二類電信一般業務項目中有 11 項 ( 未包含網際網路接取服務 ) 於民國 98 年 6 月時即開放外資 ( 含陸資 ) 可經營,可持股 50%

Page 6: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

6

數據交換通信服務 (SPP VPN) 之應用現況

• SPP VPN 目前廣泛應用於各產業企業客戶各項數據通信,一般民眾雖然不是“直接用戶”,但卻是“間接用戶”,實質影響範圍相當廣大 !!

• 相關產業及應用範圍簡要如下:• 證券、期貨、集中保管、櫃檯買賣交易與行情資訊服務 • 公民營銀行、壽險業者、信用卡刷卡服務 (金融聯合徵信中心、發卡銀行、收單銀行、商

家 )

• 交通民生 (健保醫療網路、公益彩券、電子發票、 U-BIKE ... )

• 零售流通產業 (超商業者 )

• 雖然民眾不是 SPP VPN 網路租用者 ( 租用者為企業客戶 ) ,但是民眾個人相關資訊還是會在上面傳遞。

Page 7: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

7

SPP VPN 單價“高於” 一般民眾 INTERNET 接取費用,為何企業客戶仍考慮使用其服務呢?

• 簡單來說 — "省錢、省事“

• 企業客戶普遍認為 : SPP VPN 的邏輯層封閉 → 信任 SPP VPN 業者 → 資安責任主要請 SPP VPN 負責 (你要確保我的封閉隔離 ) → 企業客戶可以減少部署其他資安防護機制的相關軟 /硬體 / 人力費用

• 坦白說,企業客戶相對地在 SPP VPN 環境內的資安防護機制作業 (例如通訊資料加密、邊界安全等 ) 部署程度較為“鬆散”,甚至有的根本就沒有額外部署資安防護機制 !!

Page 8: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

8

SPP VPN 業者經營方式

• SPP VPN 服務業者提供 企業客戶“邏輯層封閉式”的 SPP VPN 網路環境. • 一家企業客戶,就是一個邏輯層封閉獨立的 SPP VPN 網路,預設與另外一家企

業客戶的 SPP VPN 網路彼此隔離,不會互通!• 然而, SPP VPN 業者可以在同一套網路設備及機房間實體電路同時經營

INTERNET 網路服務 !!

• 實務上來說,蠻多家 SPP VPN 業者的企業 VPN 網路服務與 INTERNET 網路服務機房網路設備與實體電路是同一套 !!

• 但 SPP VPN 業者可以輕易透過網路設備的設定 (EX: VRF ROUTE TARGET IMPORT/EXPORT) 甚至是機房內網路線串接,就讓兩個原本邏輯層封閉隔離的網路,無論是企業 VPN 或 INTERNET 相互可以通訊了 …

Page 9: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

9

所衍生的資安風險…

• 允許有政治敵意的對岸,建設一個低廉成本的資訊收集平台,可大量收集正確的、不斷更新的企業用戶與民眾相關資訊。

• 透過資料偽造、篡改、通訊癱瘓阻斷造成我國民眾社會恐慌 !!

Page 10: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

10

假想下列情況…(1) SPP VPN 網路服務已廣泛應用於各企業各項與民眾有關的數據資料通訊應用(2) 企業客戶於 SPP VPN 網路的資安防護機制部署較為鬆散,許多資料通訊均以明文方式傳遞

1. 陸資第二類電信業者進入台灣,將可以低價搶到很多“重要客戶”• 好多政府機構標案、企業公司行號都是用“最低價者得標”

2. 該重要客戶們的通訊內容涵蓋許多領域,包含證券期貨、金融壽險、交通民生以及公務服務整體委外案 ...

3. 這些政府機構標案、企業公司行號都認為他們已經使用二類電信業者封閉式 VPN 網路服務了,所以相關的資安防護較薄弱 (EX: 通訊沒考慮加密、較鬆散的邊界安全 ...等 )

4. 在第二類業者的電信機房可以全面監聽上述數據通信訊務內容• 大量收集正確的、持續更新的台灣民眾、企業相關資訊 (EX: 個人消費習性、財務信用狀態 …等 ) ,可有系統地進行後續大資料分析

Page 11: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

11

假想下列情況… (CONT.)

5. 除了”全都錄”的全面監聽搜集之外,對岸心情不好的時候就來搞搞你 !!

• 銀行 ATM 提款機 VPN 網路中攔截篡改提款金額啊!• 在電子發票 VPN 網路中產生大量”偽造交易的電子發票記錄啊” • 在信用卡刷卡金流 VPN 網路中假造刷卡交易或是讓大家都不能刷卡交易啊之類

的 !!

6. 就算沒有造成真正的入侵 , 只要送一些偽造的假資料 OR 造成通訊阻斷 OR 偶爾送送重要主機的 FAKE HOST ROUTE, 都會弄得全台金融秩序、企業、民眾雞飛狗跳的 … .

一個有政治敵意的陸資電信業者,什麼都有可能搞出來 !!

我們不得不更謹慎地去面對 !!

Page 12: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

12

NCC 在說明記者會上面,一直強調的論點

1. 資安風險本來就在了 !! 開放的 INTERNET 才是最大的資安風險所在.服貿協議新開放三項第二類電信特殊業務並不會造成額外資安風險增加.

2. 本次開放的是”封閉式網路”,是不會跟 INTERNET 互聯的 !! 加密機制並不困難,企業應該自行注意資安防護,而不是靠政府保護的 ! NCC 不會去幫第二類電信業者的企業客戶“背書”資安的需求!企業客戶還是得自行負責!

3. 對岸現在在 INTERNET 上就可以收集很多台灣民眾的資料啦 !! 像台灣有超果 100 萬人有在掏寶網上購物,相關個人資料都可能被收集啦 !!

4. 對岸如果要收集台灣政府機構、企業、民眾資料,在 INTERNET 上就可以進行了,此次開放三項業務項目,不會額外增加資安風險 !!

5. 科技部長說:服貿協議開放第二類電信較目前每天所面臨資安風險較低,就像是「騎腳踏車撞死人」與「開車撞死人」的風險相比。

Page 13: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

13

筆者的看法是…

• YES! NCC 說的是對的 ! 對岸網軍早已系統性地在收集我國政府機構、企業、民眾資料 ! 也可以想到的時候就來將政府機構網頁圖案換成美女圖或五星旗啊!偶而想到的時候,使用殭屍電腦軍隊來 DDOS 癱瘓某家企業的 INTERNET 網路服務啊 !

• 但是!這樣的成本是相對較高的!而且收集到的資料可能是錯誤的或是過時未更新的 !

• 但此次服貿協議開放的三項業務,等於 "允許有政治敵意的對岸,建設一個低成本的資訊收集平台,可大量收集正確的、不斷更新的企業用戶&民眾相關資訊 ; 亦可透過資料偽造、篡改、通訊癱瘓阻斷造成我國民眾社會恐慌 !!

• 所增加的資安風險並不像 NCC 輕描淡寫的說“微乎其微” !! 請慎重面對!!

Page 14: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

14

NCC 又說…

• 加密機制並不困難,企業應該自行注意資安防護,或自行選擇好的 SPP VPN 服務業者而不是靠政府保護的 !! NCC 不會為企業的資安背書 !!

• 政府有資訊安全辦公室,有行政命令可以要求政府機構使用的 VPN 服務業者!資安辦公室不會都在睡覺!

Page 15: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

15

筆者的看法是…

• YES!! NCC 說的是對的 !! 但本來國內企業可以相對信任國內 SPP VPN 網路服務業者,您偏偏要開放陸資,讓他們可以低價搶客,影響國內 SPP VPN 市場生態 [ 註 5] ,然後再跟企業客戶說:你們覺得不安全可以不要用啊 !!

• 請 NCC 承諾會公佈那些業者有陸資投資,並想要求公務機構、重大民生專標案不得使用陸資 SPP VPN 服務.

• 行政院資安辦公室有沒有在睡覺 ? 這一點筆者不敢評論!就留給各位看倌自行評估吧 !! 筆者倒是常常在睡覺 … .

• 記者會上有個暴走的 AT&T 阿伯講的話也真值得省思一下 – • “ 有問題、風險的東西為何要開放?而且是對岸要求開放的! 而且, NCC 如何去要求 /把關 企業客戶會 / 有能力進行良好的資安防護?”

• “那您也真愚蠢,明知道那邊有毒,還要特別去沾染!”

Page 16: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

16

提醒以下幾點…

1. 市場不大 (無經濟利益 ) 但對岸又要求開放的服務項目,一定有其背後的政治意圖 !!

2. 開放第二類電信業者三項特殊業務項目,所增加的資安風險並非 NCC 所言“微乎其微” - 懇請更審慎考慮與面對

3. 如果不得不開放,建請 NCC 限制公務機構、重大民生專標案不得使用陸資 SPP VPN 服務

4. 請企業客戶在 SPP VPN 網路環境中,仍需投入資源進行相關資訊安全防護機制 (C.I.A) 的部署

Page 17: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

17

備註

• [ 註 1] 報告官員與老闆 : MPLS 技術現今絕對還輪不到被說是“老舊、過時”的技術,還挺夯的勒

• [ 註 2] X.25/FR/ATM : 以 點對點或點對多點 VIRTUAL CIRCUIT 方式達成不同企業客戶間的通訊隔離, MPLS 技術可以 L2 VLL OR VPLS 或 L3 IP VPN 達成不同企業客戶間的通訊隔離

• [ 註 3] 因個企業客戶共用第二類電信業者機房內網路設備及機房間實體電路等實體資源,但邏輯上又不會直接通訊,故稱為 " 邏輯層封閉式”

• [ 註 4]

• 第二類電信事業一般業務營業項目申報表 REF: HTTP://WWW.NCC.GOV.TW/CHINESE/SHOW_FILE.ASPX?TABLE_NAME=SITE_CONTENT&FILE_SN=574

• 第二類電信事業特殊業務營業項目申報表 REF: HTTP://WWW.NCC.GOV.TW/CHINESE/SHOW_FILE.ASPX?TABLE_NAME=SITE_CONTENT&FILE_SN=584

• [ 註 5] 國內 SPP VPN市場每年產值 ( 含第一類電信提供之 SPP VPN 服務 ) 估計約 20~25 億

Page 18: 淺論 "海峽兩岸服務貿易協議 - 開放第二類電信\特殊業務\數據交換通信服務"

18

希望明天會更好 !! 天佑台灣 !!

身處該 SPP VPN 產業的網路老屁股 JERRY