研析世界半導體理事會

128  Download (0)

Full text

(1)

委 託 單 位 : 經 濟 部 國 際 貿 易 局 / 外 交 部 研究單位:中華經濟研究院(WTO 及 RTA 中心)

中華民國 108 年 9 月

108 年度國際經貿政策研究中心計畫

(WTO 暨 RTA 中心計畫)

子計畫二:短期性議題(7)

研析世界半導體理事會(WSC)加密原則並協 助我國參與第 20 屆政府間半導體會議

(GAMS)

本報告內容係研究單位之觀點,不應引申為委託機關之意見

(2)

委 託 單 位 : 經 濟 部 國 際 貿 易 局 / 外 交 部 研究單位:中華經濟研究院(WTO 及 RTA 中心)

中華民國 108 年 9 月

108 年度國際經貿政策研究中心計畫

(WTO 暨 RTA 中心計畫)

子計畫二:短期性議題(7)

研析世界半導體理事會(WSC)加密原則並協 助我國參與第 20 屆政府間半導體會議

(GAMS)

計 畫 主 持 人 :廖淑君 協 同 主 持 人 :顏慧欣

研 究 人 員 :廖乙潔、聶廷榛、王韻潔、

吳欣慈、許裕佳

(3)

摘 要

本研究乃針對 WSC 主要國家之政府對於密碼技術與產品管理政策與措施(含 法規)進行研究,包括:中國、歐盟(含英國)、日本、韓國、美國、與我國。綜整 所得資料,可以將對密碼產品之管理分為二個類型,一是針對密碼產品之使用進 行全面管理者,包括政府市場與商業市場使用密碼產品在內,此主要為中國的管 理模式;另一則僅針對政府市場進行管理,基於資訊安全或國家安全等因素,對 於政府使用或採購之密碼產品有一定程度之要求,但對於商業市場使用密碼產品 則未以予管理,歐盟、日本、韓國、與美國皆為此類型,而我國亦為此等類型。

就中國部分而言,有關網絡安全法、網絡安全等級保護條例草案並不涉及密 碼產品之生產、銷售與使用的管制與許可。商用密碼管理條例規範商用密碼產品 的科研、生產、銷售均須由國家密碼管理局指定或許可的單位進行,並規範任何 單位或者個人只能使用經國家密碼管理局認可的商用密碼產品;而密碼法草案中 雖未直接對於密碼認證及檢測標準做出規範,亦未訂定認證及檢測流程、方式等 管制與許可程序,然該草案亦規定商用密碼從業單位從事商用密碼生產、銷售等 相關活動時,需符合國家標準;涉及國安、公益的商用密碼產品列入網路關鍵設 備和網路安全專用產品目錄,需經認證合格或檢測合標後,方可銷售;用於網路 關鍵設備和網路安全專用產品的商用密碼服務,應經認證合格或檢測合標後,方 可提供;此外,對於涉及國家安全、社會公共利益且具有加密保護功能的商用密 碼,由國務院商務主管部門、國家密碼管理部門實施進口許可;商用密碼管理條 例及密碼法草案此類規定似將形成進入市場之限制,包括政府市場與商用用市場 在內。

就歐盟(含英國)部分而言,參見歐盟網路 NIS 指令、SOG-IS 協定、歐盟本身 使用密碼產品之要求以及其他與加密技術運用之政策,以及英國 2000 年調查權力

(4)

規範法與CAPS 加密產品,可以發現其與 WSC 所倡議之原則未有太大的距離。不 論是歐盟或英國都未有涉及商業市場使用密碼產品之規制,其未有偏袒或支持特 定技術。雖然NIS 指令第 19 條規定,為了要促進相關保護要求之實踐,各會員國 可以在技術中立的前提下,鼓勵採用與網路和資訊系統之安全有關的標準或規格,

但指令要求其必須是歐盟或國際通用之標準或規格。另,為保護機密資訊之原故,

歐盟與英國對於公部門要使用之密碼皆有認證要求,此部分主要影響者為政府市 場。

就日本部分而言,有關網路安全基本法、關鍵基礎設施基本政策與高度情報 通訊網路社會形成基本法並不涉及密碼技術之管制與許可。惟針對政府部門使用 密碼技術事宜,日本總務省與經濟產業省有建立 CRYPTREC 密碼清單,且日本 網路安全戰略本部所公告之政府機關等情報安全措施之統一基準,明白提及資訊 系 統 負 責 人 員 應 就 資 訊 之 機 密 等 級 評 估 使 用 密 碼 技 術 之 必 要 性 , 原 則 上 應 以 CRYPTREC 密碼清單所列者為優先。

就韓國部分而言,根據韓國於 2018 年 WSC 加密原則圓桌討論之分享,其分 享內容包括資通訊基礎保護法、資訊安全計畫、KECS 與 KCMVP,其中,資通 訊基礎保護法與資訊安全計畫並無涉,故本研究以 KECS 與 KCMVP 之介紹和討 論為主。整體來看,KECS 與 KCMVP 之內容與運作似未有與 WSC 原則有相佐之 處,惟依據韓國依據電子政府法與公部門檔案管理施行命令規定,當政府部門導 入 NIS 所指定的資訊安全系統時,為符合導入要求,其只能採用經 CC 認證之產 品;另,依據電子政府法執行命令,用於加密之政府部門資訊安全系統必須經 KCMVP 驗證,包括電子郵件加密、資料庫加密等產品。是以,此等要求將形成 產品銷售進入韓國政府市場之門檻。

就美國部分而言,美國FIPS 140-2 為維護敏感資訊的安全性,建構了對於密 碼模組產品之安全需求標準,將密碼模組安全區分四個等級,規範安全需求檢測 項目,並建立CMVP 清楚明定驗證流程,確保驗證產品符合 FIPS 140-2 標準。綜

(5)

觀FIPS 140-2 與 CMVP 之內容,似符合 WSC 之原則,然依美國政府規定,聯邦 政府單位於採購或使用所有密碼模組相關產品時,僅限採購或使用符合FIPS 140- 2 標準之產品,亦即密碼模組供應商(vendor)若要將產品銷售至聯邦政府,該 產品即須依CMVP 通過 FIPS 140-2 認證;是以,此等要求將形成產品銷售進入美 國政府市場之門檻。

(6)
(7)

目 次

摘 要 i

目 次 ... v

表 次 ... vii

圖 次 ...ix

第一章 前 言 ... 1

第一節 研究緣起與目標 ... 1

第二節 研究範圍與重點 ... 1

第二章 我國加密法規研析 ... 5

第一節 我國加密法規介紹 ... 5

第二節 我國加密法規與 WSC 原則之差異分析 ... 10

第三節 小結 ... 12

第三章 中國加密法規研析 ... 13

第一節 中國加密法規介紹 ... 13

第二節 中國加密法規與 WSC 原則之差異分析 ... 34

第三節 小結 ... 38

第四章 歐盟(含英國)加密法規研析 ... 39

第一節 歐盟加密法規介紹 ... 39

第二節 英國加密法規介紹 ... 47

第三節 歐盟(含英國)加密法規與 WSC 原則之差異分析 ... 53

第四節 小結 ... 54

第五章 日本加密法規研析 ... 55

第一節 日本加密法規介紹 ... 55

(8)

第二節 日本加密法規與 WSC 原則之差異分析 ... 65

第三節 小結 ... 66

第六章 韓國加密法規研析 ... 67

第一節 韓國加密法規介紹 ... 67

第二節 韓國加密法規與 WSC 原則之差異分析 ... 77

第三節 小結 ... 78

第七章 美國加密法規研析 ... 79

第一節 美國加密法規介紹 ... 79

第二節 美國加密法規與 WSC 原則之差異分析 ... 82

第三節 小結 ... 83

第八章 各國相關加密法規於 TBT 委員會受關切情況分析 ... 85

第九章 GAMS 各會員加密重點法規涉及產品經貿數據分析 ... 101

第一節 GAMS 各會員加密重點法規涉及產品 ... 101

第二節 加密重點法規涉及產品我國出口概況及美、歐、日、韓、 中自我進口概況 ... 105

第三節 小結 ... 107

第十章 結論與建議 ... 109

(9)

表 次

表1 研究範圍-WSC 會員之加密規範 ... 3

表2 我國-資通安全管理法架構... 7

表3 中國-商用密碼管理條例基本架構 ... 15

表4 中國-網絡安全法架構 ... 19

表5 中國- 網路關鍵設備和網路安全專用產品目錄(第一批) ... 24

表6 中國-經認定之網路關鍵設備與網路安全專用產品認證/檢測機構 .... 26

表7 中國-網路安全保護等級 ... 30

表8 中國-網絡安全等級保護條例(徵求意見稿)第五章架構 ... 31

表9 中國-密碼法草案基本架構... 33

表10 中國法規落實 WSC 加密原則之情形 ... 37

表11 英國-2000 年調查權力規範法架構 ... 49

表12 日本-網路安全基本法架構 ... 56

表13 日本-關鍵基礎設施主管機關 ... 58

表14 日本-關鍵基礎設施領域所涉及之對象 ... 59

表15 日本-關鍵基礎設施之資訊安全對策-第 4 次行動計畫之構成 ... 60

表16 日本-高度情報通訊網路社會形成基本法架構 ... 62

表17 韓國-政府部門資訊安全系統-導入要求與產品種類 ... 73

表18 韓國-政府部門資訊安全系統-涉及加密之產品須經 KCMVP 驗證者75 表19 2017-2019 年間各國加密法規受關切之案件 ... 85

表20 GAMS 各會員加密重點法規涉及產品 ... 101

表21 GAMS 各會員加密重點法規涉及產品稅號 ... 104

(10)

表22 近 5 年我國出口加密重點法規涉及產品總金額及前 10 大出口國 . 106 表23 近 5 年美、歐、日、韓、中自我進口加密重點法規涉及產品金額及比 重 ... 106

(11)

圖 次

圖1 CRYPTREC 組織架構 ... 64

圖2 KECS 運作機制 ... 70

圖3 KCMVP 運作機制 ... 76

圖4 CMVP 密碼模組之測試和驗證流程 ... 82

(12)

第一章 前 言

第一節 研究緣起與目標

隨著半導體產品蓬勃發展,消費者對於產品加密功能之需求亦隨之提升,以 確保資訊與通訊科技(information and communications technology, ICT)產品和 系統中的安全性及隱私。世界半導體理事會(The World Semiconductor Council, WSC)倡議開放、透明與無歧視的密碼技術與產品管理政策與措施(含法規)。

本研究乃針對 WSC 主要國家之政府對於密碼技術與產品管理政策與措施(含 法規)進行研究,並針對其與 WSC 所倡議之加密原則進行比較分析,以了解其間 之落差。同時,盤點我國有關密碼技術與產品管理政策與措施(含法規),探討其 與 WSC 所倡議之加密原則的落差,以作為我國有關當局參與國際事務時之參考。

第二節 研究範圍與重點 一、WSC 加密原則說明

隨著半導體產品蓬勃發展,消費者對於產品加密功能之需求亦隨之提升,以 確保資訊與通訊科技產品和系統中的安全性及隱私。世界半導體理事會()認知 到確保市場的開放性,且不受任何歧視至關重要,並大力鼓勵全球協作和商業加 密技術的市場開放,此將促進更安全和創新的 ICT 產品產生。目前極少數國家有 制定關於加密進口和使用的法規,國際趨勢上,則是對大規模上市或廣泛使用的

(13)

IT 項目進一步解除管制1

考量密碼技術與產品之廣泛應用,其 WSC 倡議開放、透明與無歧視的密碼 技術與產品管理政策與措施(含法規)。換言之,加密法規不得用於限制外國產品 的市場進入,且為防止對貿易造成不必要的限制,無論是透過何種銷售方式,原 則上不應將具有加密功能的產品作為一般事項加以監管。WSC 原則中明確指出,

不應對國內商業市場中廣泛使用的產品加密功能進行監管,因為如採取強制或支 持特定加密技術的措施,將減少而非增加產品安全性,同時並提高產品成本2

是以,當各國政府擬針對密碼技術與產品採取任何的管理政策與措施(含法 規)時,WSC 倡議參與會議之國家應遵循下列原則3

1. 技術中立原則:法規不應直接或間接的偏袒或支持特定技術、限制市場 進入或強制轉讓智慧財產權,以避免扼殺國內創新;WSC 反對與技術有 關之命令或要求,包含任何涉及國內商業市場加密技術使用之命令或要 求,因為這樣的作為恐對社會及產業造成重大影響,且隨著技術快速發 展,此類技術命令或要求將會不合時宜。

2. 無歧視原則:任何監管要求必須基於無歧視之上實施,其優惠及方式不 得低於給予國內生產者的優惠及要求(最惠國待遇)

3. 尊重智慧財產權:政策與措施(含法規)應尊重智慧財產權,不應有強制 轉讓智慧財產權之要求。

4. 透明性:應大力鼓勵全球協作和商業加密技術的市場開放,此將促進更 安全和創新的 ICT 產品產生;同時,對具有加密技術的產品之通知、評 估、批准或許可等之監管程序,應為透明、可預測,並符合國際規範和

1 World Semiconductor Council [WSC] , WSC Encryption Principles (2013),

http://www.semiconductorcouncil.org/wp -content/uploads/2016/04/May-2013-WSC-WSC-Encryption- Principles-FINAL.doc (last visited Aug 29, 2019).

2 Id.

3 Id.

(14)

慣例。

二、研究範圍與重點

本計畫擬針對〈表 1 研究範圍-WSC 會員之加密規範〉所提及之國家的加密 規範進行研析,研析之重點/層面將包括:(一)立法目的、(二)主管機關、(三)規 範標的及適用主體、(四)法規重點摘要、以及(五)與 WSC 原則之差異分析。

1 研究範圍-WSC 會員之加密規範

國家 法規名稱 備註

我國  資通安全管理法

 政府機關密碼統合辦法

 行政院及所屬各機關資訊安全管理要點

中國(China)  商 用 密 碼 管 理 條 例(Commercial Encryption Regulations)

 網 絡 安 全 法(中 华 人 民 共 和 国 网 络 安 全 法 /Cybersecurity Law)

 網絡安全等級保護條例 (网络安全等级保护条例)草 案

 密碼法草案(Draft Cryptography Law of the People's Republic of China)

網 絡 安 全 法 將 以 網 路 安 全 等 級 為 主 ; 網 絡 安 全 等 級 保 護 條 例 草 案 將 以 密 碼 管 理 為 介 紹重點。

歐盟(EU)  歐盟 網路 與資 訊 系統(NIS)安全指令(Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union)

 SOG-IS 協定

 歐盟本身使用密碼產品之要求以及其他與加密技術

運用之政策或意見

 2000 年調查權力規範法(Regulation of Investigatory Powers Act 2000)(UK)

 CAPS 加密產品(CAPS Cryptographic Products)(UK)

本 項 目 含 英 國 法規之研究。

日本(Japan)  日本網路安全基本法(サイバーセキュリティ基本法 / Basic Act on Cybersecurity)

 關鍵基礎設施基本政策(重要インフラの情報セキュ

リ テ ィ 対 策 / Basic Policy of Critical Information Infrastructure Protection)

 高度情報通訊網路社會形成基本法(度情報通信ネッ

ト ワ ー ク 社 会形 成基 本 法 / Basic Act on the Formation of an Advanced Information and Telecommunications Network Society),

(15)

國家 法規名稱 備註

 CRYPTREC 密碼清單

韓國(Korea)  全 國 資 訊 化 架 構 法(Framework Act on National Informatization)

 全國資訊化架構法施行細則(Enforcement Decree of the Framework Act on National Informatization)

 韓 國 評 估 與 驗 證 機 制(Korea Evaluation and Certification Scheme,KECS)

 密碼模組驗證計畫(Cryptographic Module Validation Program, CMVP)

因 韓 國 指 出 全 國 資 訊 化 架 構 法 及 其 施 行 細 則 無 涉 加 密 產 品 , 故 本 研 究 以 KECS 與 CMVP 為主要 研究範圍。

美國(USA)  聯 邦 資 訊 安 全 管 理 法(Federal Information Security Management Act ,FISMA)

 聯邦資訊處理標準(Federal Information Processing Standards,FIPS)

資料來源:本研究自行整理

(16)

第二章 我國加密法規研析

第一節 我國加密法規介紹

以下乃針對資通安全管理法有關密碼產品之規定進行介紹,並針對政府機對 於密碼產品之使用是否有規定進行了解與說明,主要涉及者為政府機關密碼統合 辦法與行政院及所屬各機關資訊安全管理要點。

一、資通安全管理法

(一)立法目的

隨著數位及其他資通科技(Information Communication Technology)應用之 普及,資通安全議題日益受到重視。為有效規劃我國之資通安全管理政策,落實 於公、私部門,以建構安全之資通環境,進而保障國家安全,維護社會公共利益,

特制定資通安全管理法。

(二)主管機關

根據資通安全管理法之規定,主管機關為行政院4。目前由行政院下之資通安 全處負責辦理相關事項。

(三)規範標的及適用主體

資通安全管理法為敍明我國資通安全政策原則、管理措施…等之基本規範,

其敍明公務機關及特定非公務機關應採取之資通安全管理作為。所稱之公務機關

4 資通安全管理法第 2 條。

(17)

依法行使公權力之中央、地方機關(構)或公法人,但不包括軍事機關及情報機 關;特定非公務機關指關鍵基礎設施提供者、公營事業及政府捐助之財團法人5

(四)法規重點摘要

資通安全管理法計有 5 章,共 23 條,其基本章節與架構如下(參見表 2 我國 -資通安全管理法架構),其敍明公務機關與非特定公務機關之資通安全管理責任 以及主管機關之權責,並未直接針對密碼產品之使用、研發或銷售進行規範。

然而,值得一提的是,考量國家安全與資訊安全維護之需求,我國於今年 (2019 年)5 月修改資通安全管理法之子法-資通安全責任等級分級辦法並進行公眾 意見徵詢(預告期間至同年 7 月 22 日)6。依徵詢中之資通安全責任等級分級辦法草 案, 除因業務需求且無其他替代方案外,公務機關及特定非公務機關不得採購及 使用主管機關核定之廠商生產、研發、製造或提供之危害國家資通安全產品。又,

如必須採購或使用危害國家資通安全產品時,應具體敘明理由,經主管機關核可 後,以專案方式購置。末,對已使用或因業務需求且無其他替代方案經主管機關 核可採購之危害國家資通安全產品,應列冊管理,且不得與業務網路環境介接。

此外,針對公務機關之部分,主管機關為辦理資通安全管理法第 5 條第 1 項7 所定事項,於今年4 月公布「各機關對危害國家資通安全產品限制使用原則」,所 稱危害國家資通安全產品,指對國家資通安全具有直接 或間接造成危害風險,影 響政府運作或社會安定之資通系統或資 通服務。依該原則行政院應基於國家安全、

國際情資分享、潛在風險及衝擊分析等因素,蒐集相關機關意見綜合評估,據以 核定生產、研發、 製造或提供前點產品之廠商清單,而公務機關除因業務需求且

5 同前註,第 3 條。

6 〈 預 告 「 資 通 安 全 責 任 等 級 分 級 辦 法 」 部 分 條 文 修 正 草 案 〉 , 行 政 院 公 報 資 訊 網 , https://gazette.nat.gov.tw/egFront/detail.do?metaid=107142&log=detailLog (最後瀏覽日:2019/08/29)。

7 資通安全管理法第 5 條第 1 項規定「主管機關應規劃並推動國家資通安全政策、資通安全科技發展、國際 交流合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報告、對公務機關資通安全 維護計畫實施情形稽核概況報告及資通安全發展方案」。

(18)

無其他替代方案外,不得採購及使用列於清單內之廠商產品。目前(2019 年 8 月) 該廠商清單仍在討論中。

前揭原則並未有指明那些產品將含括在內,但依行政院之發言,伺服主機、

網路攝影機、無人機、雲端服務、電信業的核心骨幹網絡設備、電腦軟體、防毒 軟體、機關委外開發的系統、委外通訊顧問,或是委外請企業規劃、開發系統等 都可以含括在資通安全產品在內。同時,清單將採「正面表列」,包括禁止採購 之品牌。8

2 我國-資通安全管理法架構

資 通 安 全 管 理 法

第 1 章 總則 第 1 條 立法目的 第 2 條 主管機關 第 3 條 用詞定義

第 4 條 國家資通安全發展推動事項

第 5 條 主管機關應規劃及推動國家整體資通安全政策等 相關事宜,並定期公布國家資通安全情勢報告

第 6 條 主管機關得委任或委託其他公務機關、法人或團 體辦理資通安全整體防護相關事務

第 7 條 主管機關應訂定資通安全責任等級分級辦法,並 得稽核特定非公務機關之資通安全維護情形

第 8 條 主管機關應建立資通安全情資分享機制,並訂定 相關事項之辦法

第 9 條 主管機關應建立資通安全情資分享機制,並訂定 相關事項之辦法

第 2 章 公務機 關 資 通 安 全 管 理

第 10 條 公務機關應考量其所屬資通安全責任等級之要求 及保有或處理之資訊種類等條件,訂定、修正及實施資通安 全維護計畫

第 11 條 資通安全長之設置

第 12 條 公務機關應向上級或監督機關提出資通安全維護 計畫之實施情形

第 13 條 公務機關應稽核其所屬或監督機關之資通安全維 護計畫實施情形

第 14 條 公務機關應訂定資通安全事件之通報及應變機制 第 15 條 公務機關所屬人員就資通安全維護績優之獎勵

8〈 行 政 院 發 布 「 危 害 國 家 資 安 產 品 限 制 原 則 」 , 將 不 僅 限 於 中 國 商 品 〉 , 關 鍵 評 論 , https://www.thenewslens.com/article/117602 (最後瀏覽日:2019/08/29)。

(19)

第 3 章 特定非 公 務 機 關 資 通 安全管理

第 16 條 關鍵基礎設施提供者,應訂定、修正及實施資通 安全維護計畫

第 17 條 關鍵基礎設施提供者以外之特定非公務機關,應 訂定、修正及實施資通安全維護計畫

第 18 條 特定非公務機關應訂定資通安全事件之通報及應 變機制

第 4 章 罰則 第 19 條 公務機關所屬人員未遵守本法規定之懲處 第 20 條 特定非公務機關違反本法相關規定之處罰

第 21 條 特定非公務機關知悉資通安全事件未通報之處罰 第 5 章 附則 第 22 條 施行細則

第 23 條 施行日

資料來源:本研究整理自資通安全管理法

二、政府機關密碼統合辦法

(一)立法目的

本辦法依國家情報工作法授權訂定,該法第16 條第 1 項規定「主管機關應統 合政府機關密碼管制政策及研發,及有關影像、圖資等空間情報之政策、管制及 研發等有關事項,並指導、協調、聯繫與密碼保密及空間情報統合有關業務之施 行;相關統合辦法,由主管機關會商有關機關定之」。

(二)主管機關

依政府機關密碼統合辦法第 3 條規定,主管機關統合政府機關密碼暨其裝備 之研發、鑑測、密碼作業與密碼保密等有關業務之施行。依國家情報工作法第 2 條規定,本法主管機關為國家安全局。

(三)規範標的及適用主體

有關政府部門採用密碼、密碼模組、密碼裝備等有關密碼作業之規範。所稱 密碼指利用演算法或其它方法,對資訊直接或間接加以保護之技術或作為;密碼 模組指在模組邊界內,用以實現密碼功能之軟、硬、軔體或其組合;保密裝備:

(20)

指具有密碼模組,內建密碼功能之裝置、設備或系統9

(四)法規重點摘要

政府機關密碼統合辦法就政府機關密碼管制政策及研發,及有關影像、圖資 等空間情報之政策、管制及研發等有關事項之統合為進一步之規範。其中,根據 該辦法第 9 條規定,政府機關持有或保管之國家機密、軍事機密及國防秘密,以 電子通信工具傳遞或直接儲存資訊系統者,應使用或加裝主管機關核發或認可之 通信、資訊保密裝備或加密技術,且前揭裝備或技術應通過主管機關鑑測作業。

三、行政院及所屬各機關資訊安全管理要點

(一)立法目的

行政院為推動各機關強化資訊安全管理,建立安全及可信賴之電子化政府,

確保資料、系統、設備及網路安全,保障民眾權益,訂定「行政院及所屬各機關 資訊安全管理要點」10

(二)主管機關

「行政院及所屬各機關資訊安全管理要點」由行政院訂定。

(三)規範標的及適用主體

依「行政院及所屬各機關資訊安全管理要點」,各機關應依有關法令,考量 施政目標,進行資訊安全風險評估,確定各項資訊作業安全需求水準,採行適當 及充足之資訊安全措施,確保各機關資訊蒐集、處理、傳送、儲存及流通之安全。

9 政府機關密碼統合辦法第 2 條。

10 行 政 院 八 十 八 年 九 月 十 五 日 台 八 十 八 經 字 第 三 四 七 三 五 號 函 訂 頒 , 參 見 經 濟 部 資 訊 中 心 網 站 , https://www.moea.gov.tw/MNS/isc/content/ContentLink.aspx?menu_id=6153

(最後瀏覽日:2019/08/29)。

(21)

所稱之各機關指行政院所屬各部、會、行、處、局、署、院、台灣省政府、台灣 省諮議會及其所屬機關(構)。

(四)重點摘要說明

「行政院及所屬各機關資訊安全管理要點」敍明行政院及其所屬機關之資訊 安全管理原則與事項,含括之構面包括:一般原則、資訊安全政策擬訂、組織及 權責、人員管理及資訊安全教育訓練、電腦系統安全管理、網路安全管理、系統 存取控制、系統發展及維護安全管理、業務永續運作之規劃等數項構面。其中,

關於密碼產品之使用,該要點敍明了下列原則:

1. 各機關採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之政府 資訊安全規範,研提資訊安全需求,並列入採購規格。

2. 各機關發展及應用加密技術,應採用權責主管機關認可之密碼模組產品。

3. 各機關採購外國產製之密碼模組產品,應請廠商提出輸出許可或相關授 權文件,確保密碼模組之安全性,並避免採購金鑰代管或金鑰回復功能 之產品。

第二節 我國加密法規與WSC原則之差異分析

有關於前揭所提之資通安全管理法及其他相關規定,其內容與在運作上是否 有與WSC 原則相異之處,說明如下:

一、技術中立

資通安全管理法未有提及特定技術;政府機關密碼統合辦法與行政院及所屬 各機關資訊安全管理要點亦未有針對特別密碼技術之使用以予規定。另,目前法 規未有對於商業市場使用密碼產品有特別之規定,政府機關密碼統合辦法與行政 院及所屬各機關資訊安全管理要點僅針對政府採用密碼產品有所規定,前者針對

(22)

政府機關持有或保管之國家機密、軍事機密及國防秘密,以電子通信工具傳遞或 直接儲存資訊系統者,應使用或加裝主管機關核發或認可之通信、資訊保密裝備 或加密技術;後者針對行政院及所屬各機關於發展及應用加密技術時,應採用權 責主管機關認可之密碼模組產品。此部分,對於政府市場之進入有所影響。

但是,值得一提的是,雖今年 4 月公布「各機關對危害國家資通安全產品限 制使用原則」僅適用於公務機關,且有關於廠商清單仍在討論中。但是,資通安 全責任等級分級辦法草案如完成修正,並正式施行,則公務機關及特定非公務機 關可能不得採購及使用主管機關核定之廠商生產、研發、製造或提供之危害國家 資通安全產品,而若前揭條文涉及密碼技術或裝置,則將可能可能會影響商用市 場對於密碼技術或裝置之使用,惟其只適用於關鍵基礎設施提供者、公營事業及 政府捐助之財團法人,故其影響有限。是以,有關於此部分之修法狀況,宜持續 關注。

二、無歧視

資通安全管理法未有相關規定。但是,「行政院及所屬各機關資訊安全管理 要點」敍明行政院其及所屬各機關採購外國產製之密碼模組產品,應請廠商提出 輸出許可或相關授權文件,確保密碼模組之安全性,並避免採購金鑰代管或金鑰 回復功能之產品。

三、尊重智慧財產權

資通安全管理法未有強制授權智慧財產權等規定;政府機關密碼統合辦法與 行政院及所屬各機關資訊安全管理要點亦未有規定。

四、透明化

資通安全管理法,不涉及密碼產品之商用市場流通管制與上市許可程序。但,

(23)

如前所提及的,根據政府機關密碼統合辦法與行政院及所屬各機關資訊安全管理 要點之規定,密碼產品如擬進入政府市場,須經認可,惟認可之程序似未公開可 供一般民眾或業者查詢,有待進一步確認。

第三節 小結

根據前揭之資料, 資通安全管理法未有與 WSC 所倡議之原則相佐,惟其子 法-資通安全責任等級分級辦法草案如完成修正,並正式施行,則公務機關及特 定非公務機關可能不得採購及使用主管機關核定之廠商生產、研發、製造或提供 之危害國家資通安全產品,而若前揭條文涉及密碼技術或裝置,則將可能可能會 影響商用市場對於密碼技術或裝置之使用,惟其只適用於關鍵基礎設施提供者、

公營事業及政府捐助之財團法人,故其影響有限。是以,有關於此部分之修法狀 況,宜持續關注。

政府機關密碼統合辦法與行政院及所屬各機關資訊安全管理要點未有對於商 業市場使用密碼產品有特別之規定,但對於政府使用密碼技術或產品有所規定,

前者針對政府機關持有或保管之國家機密、軍事機密及國防秘密,以電子通信工 具傳遞或直接儲存資訊系統者,應使用或加裝主管機關核發或認可之通信、資訊 保密裝備或加密技術;後者針對行政院及所屬各機關於發展及應用加密技術時,

應採用權責主管機關認可之密碼模組產品。此部分,對於政府市場之進入有所影 響,惟認可之程序似未公開可供一般民眾或業者查詢,有待進一步確認。

(24)

第三章 中國加密法規研析

第一節 中國加密法規介紹

中國法規部分將介紹「商用密碼管理條例」、「中華人民共和國網絡安全法」

(簡稱網絡安全法)、「網絡安全等級保護條例」草案及「中華人民共和國密碼法」

草案(簡稱密碼法草案)。

一、商用密碼管理條例

(一)立法目的

為了加強商用密碼管理,保護資訊安全,保護人民及團體之合法權益,維護 國家的安全和利益,國家密碼管理局於1999 年發布「商用密碼管理條例」11

(二)主管機關

根據商用密碼管理條例規定,「國家密碼管理委員會及其辦公室」主管全國 的商用密碼管理工作12;於 2005 年,國家密碼管理局發布「國家密碼管理局關於 發布國家密碼管理委員會辦公室更名及有關事項公告」,正式將「國家密碼管理 委員會」更名為「國家密碼管理局」,並公告將商用密碼管理條例中賦予「國家 密碼管理委員會辦公室」的各項管理職能,改由「國家密碼管理局」行使13

11 《商用密码管理条例》第 1 条(国务院令第 273 号 1999.10.07)。

12 同前註,第 4 条。

13 《国家密码管理局关于发布国家密码管理委员会办公室更名及有关事项公告》第 1 条(国家密码管理局

公告 2005 年第 1 号)。

(25)

(三)規範標的及適用主體

商用密碼管理條例以「商用密碼」為規範標的,商用密碼指「對不涉及國家 秘密內容的資訊進行加密保護或者安全認證所使用的密碼技術和密碼產品」14

商用密碼管理條例規範商用密碼的科研及商用密碼產品的生產、銷售均須由 國家密碼管理局指定或許可的單位進行15,並規範任何單位或者個人只能使用經 國家密碼管理局認可的商用密碼產品16。是以,商用密碼管理條例適用的主體包 括密碼產品之生產者、銷售者與使用者等。

(四)重點摘要說明

商用密碼管理條例將商用密碼視為國家秘密17,進而對於商用密碼之科研、

生產、銷售、使用等進行管理,總計7 章,計 27 條,構成及各章之概要如下表所 示(參見

14 前揭註 11,第 2 条。

15 同前註,第 5 条、第 7 条、第 10 条。

16 同前註,第 14 条。

17 同前註,第 3 条。

(26)

表3 中國-商用密碼管理條例基本架構)。

(27)

3 中國-商用密碼管理條例基本架構

商 用 密 碼 管 理 條 例

第1 章 總則 第 1 條 目的

第 2 條 商用密碼定義

第 3 條 國家對商用密碼產品的管理 第 4 條 商用密碼管理工作之主管機關 第 2 章 科研、生產

管理

第 5 條 商用密碼之科研單位及其應具備能力 第 6 條 商用密碼科研成果之審查與鑑定

第 7 條 商用密碼產品之生產單位及其應具備能力 第 8 條 商用密碼產品之生產品種和型號須經批准 第 9 條 商用密碼產品須經檢測合格

第3 章 銷售管理 第 10 條 商用密碼產品之銷售單位

第 11 條 銷售商用密碼產品須申請,並具備一定條件 第 12 條 銷售商用密碼產品,須登記之使用資訊 第 13 條 密碼產品之進出口須經批准

第4 章 使用管理 第 14 條 商用密碼產品之使用管理

第 15 條 境外團體或個人於中國使用密碼產品須經批准 第 16 條 商用密碼產品之轉讓、維修、報廢及銷毀管理 第 5 章 安全、保密

管理

第 17 條 商用密碼產品之安全、保密要求,接觸和掌握 商用密碼技術人員之保密義務

第 18 條 商用密碼產品之宣傳、公開展覽須經批准 第 19 條 對商用密碼之非法攻擊禁止,及利用商用密碼 進行犯罪之禁止

第6 章 罰則 第 20 條 沒收之規定

第 21 條 警告與改正之規定 第 22 條 撤銷資格之規定

第 23 條 洩漏秘密、非法攻擊或利用商用密碼犯罪之責 任

第 24 條 境外組織或個人擅用密碼產品之警告與沒收規 定

第 25 條 機構人員濫用職權犯罪之責任 第7 章 附則 第 26 條 國家密碼管理委員會之管理職權

第 27 條 施行日

資料來源:本研究整理自商用密碼管理條例

(28)

有關於生產管理,根據該條例規定,商用密碼之科研任務由國家密碼管理局 指定之機構負責18,且其科研成果由國家密局為技術審查及鑑定19,有關此部分,

國家密碼管理局訂有商用密碼科研管理規定20,敍明科研單位之資格、項目之決 定、成果之審驗、以及推廣應用等;其次,商用密碼產品之生產須由國家密碼管 理局指定之機構生產,未經指定者,不得生產任何商用密碼產品21,且其生產之 密碼產品種類與型號不得超過國家密碼管理局批准之範圍22,並須經國家密碼管 理局指定之檢測機構檢測通過23.24

商用密碼管理條例之子法-商用密碼生產管理規定25進一步敍明生產管理事項,

該規定敍明商用密碼產品之生產活動包括研究發展在內26;其次,其規定密碼產 品之生產者應於研發產品樣品之後,檢附申請書、技術工作總結報告、安全性設 計報告、用戶手冊等向該生產者所在地之省、自治區、直轄市密碼管理局或國家 密碼管理局申請產品種類與型號,值得注意的是,密碼產品所採用之演算法須為 國家密碼管理局認可之算法27;第三,前揭機構受理申請之後,應為安全性審查

18 同前註,第 5 条。

19 同前註,第 6 条。

20 《商用密码科研管理规定》(2005 年 12 月 11 日国家密码管理局公告第 4 号公布,根据 2017 年 12 月 1 日《国家密码管理局关于废止和修改部分管理规定的决定》修正)。

21 前揭註 11,第 7 条。

22 同前註,第 8 条。

23 同前註,第 9 条。

24 關 於 審 批 事 項 , 可 進 一 步 參 見 〈 国 家 密 码 管 理 局 行 政 审 批 事 项 公 开 目 录 〉 , 国 家 密 码 管 理 局 , http://www.oscca.gov.cn/sca/xxgk/2017 -10/16/content_1019727.shtml(最後瀏覽日:2019/08/29)。

25 《商用密码产品生产管理规定》(2005 年 12 月 11 日国家密码管理局公告第 5 号公布,根据 2017 年 12 月 1 日《国家密码管理局关于废止和修改部分管理规定的决定》修正)。

26 同前註,第 3 条。

27 同前註,第 7 条。

(29)

(含產品樣品測試)28,審查通過者,方可核發產品種類與型號證書並以予公開29; 生產者應依批准的種類與型號生產密碼產品,不得逾越之,且應在產品上標示產 品型號30。另,於上市流通前,應將密碼產品送國家指定機構進行檢測、證認合 格,並在產品上標示強制性認證標誌後始可以至市場上流通。又,如該產品雖不 是強制性認證目錄上所列之商用密碼產品,仍須經國家密碼管理局指定的檢測機 構檢測合格後,始得上市流通31

有關於商用密碼之銷售,須取得國家密碼管理機構核發商用密碼產品銷售許 可證者,方得進行商用密碼產品之銷售,未經許可者,不可以銷售密碼產品32。 同時,進口密碼產品以及含有密碼技術的設備,必須報經國家密碼管理機構批准。

未經批准,任何單位或者個人皆不得銷售境外的密碼產品33

有關於商用密碼之使用,依規定只能使用經國家密碼管理機構認可的商用密 碼產品,不得使用自行研製的或者境外生產的密碼產品34。另,除外國駐華外交 代表機構、領事機構外,境外組織或者個人在中國境內使用密碼產品或者含有密 碼技術的設備時,必須報經國家密碼管理機構批准35

28 國家密碼管理局於 2018 年發布公告,要求各級密碼局全面實施申報商用密碼產品種類與型號標準之 合規 性檢測工作,對於產品應符合之技術規範為合規性檢測,對於該產品之安全芯片安全等級或密碼模組安 全等級進行符合性檢測。如證書到期時,該產品相關技術標準未變更,則只須對該產品之安全芯片安全 等級或密碼模組安全等級進行符合性檢測,參見〈国家密码管理局关于进一步加强商用密码产品管理工 作的通知〉,国家密码管理局,http://www.oscca.gov.cn/sca/xwdt/2018 -10/15/content_1039426.shtml;

有關於密碼產品應符合之安全特級及其標準,可以參見国家密码管理局,〈商用密码产品主要类别及应 遵循安全等级标准对照表〉,http://www.oscca.gov.cn/sca/xwdt/2018 -

10/15/1039426/files/fd4cdb1929584ce38dc14cb984185850.pdf ;有關於技術標準規範可以參見國家密碼 管理局在網路上之公告,參見 國家密碼管理局,標準規範,

http://www.oscca.gov.cn/sca/xxgk/bzgf. shtml (最後瀏覽日:2019/08/29)。

29 前揭註 25,第 9 条;另,經核可之密碼產品,其型號及其證書編號可參見 国家密码管理局,〈商用密码 产品目录(共 1444 项)〉,http://www.oscca.gov.cn/app-

zxfw/cpxx/symmcp2.jsp?manuscript_id=1000038 (最後瀏覽日:2019/08/29)。

30 同前註,第 10 条。

31 同前註,第 11 条。

32 前揭註 11,第 10 条。

33 同前註,第 13 条。

34 同前註,第 14 条。

35 同前註,第 15 条。

(30)

有關於商用密碼各項許可或核准之申請程序及其流程等事項資訊,國家密碼 管理局訂有相關指令,包括:商用密碼科研成果審查鑑定服務指南、商用密碼產 品品種和型號審批服務指南、商用密碼產品質量檢測機構審批服務指南、密碼產 品和含有密碼技術的設備進口許可服務指南、商用密碼產品出口許可服務指南等,

可以於國家密碼管理局網站取得36

二、網絡安全法

(一)立法目的

網絡安全法係為了加強網路安全管理、維護網路空間主權及國家安全所制定

37,並於 2017 年 6 月 1 日正式施行。

(二)主管機關

網絡安全法第 8 條規定,國家網信部門負責統籌協調網路安全工作與相關監 督工作,國務院電信主管部門、公安部門和其他有關機關依法及其職責負責網路 安全保護與維護工作。另,有關於網路安全標準體系,依同法第15 條規定,由國 務院標準化行政主管部門和國務院其他有關部門根據各自職責和組織制定有關網 路安全管理的國家標準38

(三)規範標的及適用主體

網絡安全法為敍明中國網路安全政策原則、促進措施…等之基本法,該法並 要網路營運者(网络运营者)應依網路安全等級保護制度,採取一定的安全維護措施,

避免網路受到破壞或未經授權之存取,以進一步確保網路數據之安全39。另,該法

36 國家密碼管理局,在線服務,http://www.oscca.gov.cn/sca/zxfw/index.shtml (最後瀏覽日:2019/08/29)。

37 2016 年《中华人民共和国网络安全法》第 1 条。

38 同前註,第 15 条。

39 同前註,第 21 条。

(31)

亦敍明網路產品與服務應符合國家標準之強制性要求,其提供者不得設置惡意程 序…等40,同時,網路關鍵設備及網路安全專用產品應符合國家標準的強制性要求,

經符合資格之機構為安全認證合格或安合檢測符合後,方可以上市流通41。是以,

網絡安全法所適用的主體包括網路營運者、網路產品與服務提供者…等。

(四)重點摘要

網絡安全法總計七章,共計 79 條(參見表 4 中國-網絡安全法架構),該法敍 明中國網路安全政策原則、促進措施…等,同時,該法規定國家實行網路安全等 級保護制度,網路運營者應依照網路安全等級保護制度的要求,履行一定安全保 護義務,包含採用重要資料備份和加密等措施。此外,對於一旦遭到破壞、喪失 功能或者數據洩露,可能嚴重危害國家安全、國計民生、公共利益的關鍵訊息基 礎設施,如公共通訊和訊息服務、能源、交通、水利、金融、公共服務、電子政 務等重要行業和領域,網絡安全法規定須在網路安全等級保護制度的基礎上,實 行重點保護42

4 中國-網絡安全法架構

40 同前註,第 22 条。

41 同前註,第 23 条。

42 同前註,第 21 条、第 31 条。

(32)

網 絡 安 全 法

第一章 總則 第 1 條 目的

第 2 條 適用範圍之規定

第 3 條 網路安全之方針與目標 第 4 條 提升網路安全之措施 第 5 條 維護網路安全之措施 第 6 條 倡導網路安全之社會意識

第 7 條 推動網路安全之國際交流,建立良好網路治理體系 第 8 條 主管機關

第 9 條 網路運營者之經營原則 第 10 條 依法採取措施維護網路安全 第 11 條 網路相關行業組織之自律要求 第 12 條 使用網路之權利受國家保護,

及使用網路之一般性原則

第 13 條 未成年人之網路保護 第 14 條 舉報

第二章 網路 安 全 支 援 與 促進

第 15 條 網路安全標準體系建立及制定 第 16 條 網路安全技術之扶持

第 17 條 網路安全服務體系建設之推進與鼓勵 第 18 條 推動網路技術創新

第 19 條 網路安全宣傳教育

第 20 條 網路安全相關教育與培訓促進 第三章 網路

運行安全

第一節 一般規定

第 21 條 網路安全等級保護制度 第 22 條 網路產品、服務之安全維護

第 23 條 網路關鍵設備和網路安全專用產品應經認證或檢測 第 24 條 實名制規定

第 25 條 網路安全事件應急預案制定

第 26 條 發布網路安全資訊應遵守國家規定 第 27 條 禁止危害網路安全

第 28 條 技術支持和協助義務 第 29 條 網路運營者合作促進 第 30 條 職責所獲資訊使用限制 第二節 關鍵信息基礎設施的運行安全

第 31 條 關鍵信息基礎設施實行重點保護

第 32 條 關鍵信息基礎設施安全保護之部門職責 第 33 條 性能確保與安全技術措施

第 34 條 關鍵信息基礎設施運營者之安全保護義務 第 35 條 網路產品和服務應通過國家安全審查 第 36 條 簽訂安全保密協議之規定

(33)

第 37 條 個人信息和重要數據存儲於境內之要求規定 第 38 條 網路安全及風險定期檢測評估

第 39 條 國家網信部門統籌對關鍵信息基礎設施之安全保護 措施

第四章 網路 資訊安全

第 40 條 用戶資訊保密要求

第 41 條 網路運營者收集使用個人資訊之一般性原則 第 42 條 網路運營者對所收集個人資訊之安全保護義務 第 43 條 資訊所有者可行使之權利

第 44 條 禁止非法獲取個人資訊 第 45 條 因職務知悉資訊之保密義務

第 46 條 禁止設立違法犯罪活動網站,禁止利用網路發布違 法犯罪活動資訊

第 47 條 網路運營者之資訊管理責任 第 48 條 電子資訊及應用軟件之安全保護 第 49 條 網路資訊安全投訴、舉報制度 第 50 條 網路資訊安全監督管理職責 第五章 監測

預 警 與 應 急 處置

第 51 條 網路安全監測預警和資訊通報制度

第 52 條 本行業、本領域的網路安全監測預警和資訊通報制 度建立

第 53 條 網路安全風險評估和應急工作機制建立,網路安全 事件應急預案制定

第 54 條 網路安全風險提升時之因應措施 第 55 條 網路安全事件應急預案之啟動

第 56 條 對風險較大之網路運營者之約談及整改措施 第 57 條 發生網路安全事件之處置

第 58 條 重大情事之處置 第六章 法律

責任

第 59 條 網路運營者違反第 21 條、第 25 條網路安全保護義 務之法律責任

第 60 條 違反第 22 條、第 48 條之法律責任 第 61 條 網路運營者違反實名制之法律責任 第 62 條 違反第 26 條之法律責任

第 63 條 違反第 27 條之法律責任

第 64 條 網路運營者侵害個人資訊或非法獲取個人資訊之法 律責任

第 65 條 關鍵信息基礎設施的運營者違反第 35 條之法律責 任

第 66 條 關鍵信息基礎設施的運營者違反境內存儲之法律責 任

第 67 條 違反第 46 條之法律責任

(34)

第 68 條 未依法停止傳輸、消除、保存紀錄之法律責任 第 69 條 網路運營者違反支持與協助義務之法律責任 第 70 條 發布或傳輸違法資訊之處置

第 71 條 違法紀錄記入信用及公示

第 72 條 國家機關政務網路的運營者不履行網路安全保護義 務之法律責任

第 73 條 網路安全監督管理職責人員之處分

第 74 條 違反本法之民事責任、治安管理處罰及刑事責任 第 75 條 境外機構、組織、個人從事危害關鍵資訊基礎設施 的活動之法律責任

第七章 附則 第 76 條 用語定義

第 77 條 遵守保密法規之要求 第 78 條 軍事網路安全保護 第 79 條 施行日

資料來源:本研究整理自中華人民共和國網絡安全法

(35)

有關於網路安全產品、設備或服務之部分,根據該法第22 條規定,網路產品 與服務應該符合相關國家標準的強制性要求,產品與服務提供者不得設置惡意程 序。依同法第23 條規定,網路關鍵設備與網路安全專用產品應按國家標準之強制 要求,由具備資格的機構為安全認證合格或安全檢測通過後,方可以銷售或提供。

同時,由國家網信部門會同國務院部門制定、公告網路關鍵設備和網路安全專用 產品目錄,並推動安全認證和安全檢測結果互認機制,以避免重複認證。根據工 業和信息化部(以下稱工信部)於 2017 年會同他機關之公告前揭目錄43,被列入目 錄的產品(參見

43〈关于发布《网络关键设备和网络安全专用产品目录(第一批)》的公告 〉,国家互联网信息办公室、

工 业 和 信 息 化 部 、 公 安 部 、 国 家 认 证 认 可 监 督 管 理 委 员 , http://www.miit.gov.cn/n1146295/n1146592/n3917132/n4062282/c5679322/content.html

(最後瀏覽日:2019/08/29)。

(36)

表5 中國- 網路關鍵設備和網路安全專用產品目錄(第一批))須經政府認定之 機構(參見

(37)

表 6 中國-經認定之網路關鍵設備與網路安全專用產品認證/檢測機構)進行 安全認證或安全檢測。採安全檢測者,檢測機構應將檢測結果送工信部與公安部;

採安全認證者,認證應將認證結果送國家認可監督管理委員會。

另,工信部於 2019 年 6 月提出網路關鍵設備安全檢測實施辦法草案44,就產 品之檢測事宜進行規範,包括應檢測之產品項目、檢測申請應交付之文件…等。

根據草案之規定,網路關鍵設備是指被列入國家互聯網信息辦公室、工業和信息 化部、公安部、國家認證認可監督管理委員會所發布之網路關鍵設備和網絡安全 專用產品目錄的網路關鍵設備。企業於申請網路關鍵設備安全檢測時,除檢測登 記表外,應提供與設備有關之資訊,包括安全特性(如:身份鑑別、訪問控制、

數據加密、安全審計、冗餘備份…等)、主要元件資訊、設備照片…等內容。另,

該草案也就設備生產者、檢測機構之責任進行規定。

44 《网络关键设备安全检测实施办法(征求意见稿)》(工信部,2019.06.14)。

(38)

5 中國- 網路關鍵設備和網路安全專用產品目錄(第一批) 設備或產品類別 範圍

網路關鍵設備

1.路由器 整系統吞吐量(雙向)≥12Tbps 整系統路由表容量≥55 萬條 2.交換機 整系統吞吐量(雙向)≥30Tbps

整系統包轉發率≥10Gpps 3.服務器(機架式) CPU 數量≥8 個

單 CPU 內核數≥14 個 內存容量≥256GB 4.可 編 程 邏 輯 控 制 器

(PLC 設備) 控制器指令執行時間≤0.08 微秒

網路安全專用產品

5.數據備份一體機 備份容量≥20T 備份速度≥60MB/s 備份時間間隔≤1 小時 6.防火牆(硬件) 整機吞吐量≥80Gbps

最大並發連接數≥300 萬 每秒新建連接數≥25 萬 7.WEB 應 用 防 火 牆

(WAF) 整機應用吞吐量≥6Gbps

最大HTTP 並發連接數≥200 萬 8.入 侵 檢 測 系 統

(IDS) 滿檢速率≥15Gbps 最大並發連接數≥500 萬 9.入 侵 防 禦 系 統

(IPS) 滿檢速率≥20Gbps 最大並發連接數≥500 萬 10.安 全 隔 離 與 信 息 交

換產品(網閘)

吞吐量≥1Gbps 系統延時≤5ms

11.反垃圾郵件產品 連接處理速率(連接/秒)>100 平均延遲時間<100ms

12.網絡綜合審計系統 抓包速度≥5Gbps

記錄事件能力≥5 萬條/秒 13.網 絡 脆 弱 性 掃 描 產

品 最大並行掃描IP 數量≥60 個 14.安全數據庫系統 TPC-E tpsE(每秒可交易數量)

≥4500 個 15.網 站 恢 復 產 品 ( 硬

件) 恢復時間≤2ms

站點的最長路徑≥10 級

資料來源:工信部45

45 前揭註 43。

(39)
(40)

6 中國-經認定之網路關鍵設備與網路安全專用產品認證/檢測機構

機構名稱 對應法人

單位 機構地址 聯繫方式

機 構 安 全 認證 /檢 測 範 圍*

說明

1 中 國 信 息 安 全認證中心

中國信息 安全認證 中心

北京市朝 陽區朝外 大 街 甲 10 號

聯繫人:布寧

電話:010-65994550 傳真:010-65994271 E-mail:

product@isccc.gov.cn 網址:www.isccc.gov.cn

網 絡 關 鍵 設 備 和 網 絡 安 全 專 用 產 品 安 全認證

選 擇 認 證 方 式 的 網 絡 關 鍵 設 備 和 網 絡 安 全 專 用 產 品 , 安 全 認 證 合 格 後 , 由 認 證 機 構 報 國 家 認 證 認 可 監 督 管 理 委 員 會。

2

中 國 信 息 通 信 研 究 院/中 國 泰 爾 實 驗

中國信息 通信研究

北京市海 淀區花園 北 路 52

聯繫人:孟艾立 電話:010-62301781 傳真:010-62304104 E-mail:

mengaili@caict.ac.cn 網址:www.caict.ac.cn

網 絡 關 鍵 設 備 安 全 檢測

選 擇 檢 測 方 式 的 網 絡 關 鍵 設 備 , 安 全 檢 測 符 合 要 求 後 , 由 檢 測 機 構 報 工 業 和 信 息 化部。

3

國 家 計 算 機 網 絡 與 信 息 安 全 管 理 中

國家計算 機網絡與 信息安全 管理中心

北京市朝 陽區裕民 路甲3 號

聯繫人:舒敏

電話:010-82000285 傳真:010-82991001 E-mail:

shumin@cert.org.cn 網址:www.cert.org.cn

4

國 家 工 業 控 制 系 統 與 產 品 安 全 質 量 監 督 檢 驗 中

工業和信 息化部電 子科學技 術情報研 究所(工 業和信息 化部電子 第一研究 所)

北京市石 景山區魯 谷 路 35

聯繫人:張格

電話:010-88686441 傳真:010-88686134 E-mail:

zhangge@etiri.org.cn 網址:www.etiri.org.cn

5

中 國 電 子 技 術 標 準 化 研 究 院 賽 西 實 驗室

中國電子 技術標準 化研究院

北京市東 城區安定 門東大街 一號

聯繫人:徐克超 電話:010-64102728 傳真:010-64102681 E-mail:xukc@cesi.cn

(41)

網址:www.cesi.cn

6

工 業 和 信 息 化 部 電 子 第 五研究所

工業和信 息化部電 子第五研 究所

廣東省廣 州市天河 區東莞莊 110 號

聯繫人:楊林

電話:020-85131193 傳真:020-87236171 E-mail:

lynny@ceopei.biz 網址:www.ceprei.com

7

信 息 產 業 數 據 通 信 產 品 質 量 監 督 檢 驗中心

北京通和 實益電信 科學技術 研究所有 限公司

北京市海 淀區學院 40 號 7 樓 B

聯繫人:朱小舟 電話:010-62301146 傳真:010-62301146 E-mail:

jczx@chinawllc.com

www.chinawllc.com

8

國 家 電 話 交 換 機 質 量 監 督檢驗中心

電信科學 技術第一 研究所

上海市平 江路8 號

聯繫人:凌巍

:021-64032150- 8024

傳真:021-64437412 E-mail:

lingw@tftxlab.com 網址:www.fritt.com.cn

9

信 息 產 業 無 線 通 信 產 品 質 量 監 督 檢 驗中心

西安通和 電信設備 檢測有限 公司

西安市翠 華路 275

聯繫人:閆贇

電話:029-85231236 傳真:029-85231236 E-mail:

Wxzj1236@163.com 網址:www.radio-qtc.com

10

信 息 產 業 有 線 通 信 產 品 質 量 監 督 檢 驗中心

成都泰瑞 通信設備 檢測有限 公司

成都市大 慈 寺 路 22 號

聯繫人:甘露

電話:028-86763710 傳真:028-86763700 E-mail:ganlu@cdtr- lab.cn

網址:www.cdtr-lab.cn

11

信 息 產 業 光 通 信 產 品 質 量 監 督 檢 驗 中心

武漢網銳 實 驗 室

(信息產 業光通信 產品質量 監督檢驗 中心)

武漢市江 夏區藏龍 島譚湖路 2 號 1 號

聯繫人:胡春琳 電話:027-87691311 傳真:027-87691139 E-mail:clhu@wri.com.cn 網址:lab.wri.com.cn

12 信 息 產 業 廣 州 電 話 交 換

中國電信 集團公司

廣州市天 河區中山

聯繫人:王誌中 電話:020-38639371

(42)

設 備 質 量 監 督檢驗中心

廣東分公

大 道 西 109 號 5 號樓

傳真:020-38639370 E-mail:

wangzz@gsta.com 網址:www.atlab.com.cn

13

公 安 部 計 算 機 信 息 系 統 安 全 產 品 質 量 監 督 檢 驗 中心

公安部第 三研究所

上海市岳 陽 路 76

聯繫人:顧健 電話:021-64335070 傳真:021-64335838 E-mail:

mail@mctc.org.cn 網址:www.mctc.org.cn

網 絡 安 全 專 用 產 品 安全檢測

選 擇 檢 測 方 式 的 網 絡 安 全 專 用 產 品 , 安 全 檢 測 符 合 要 求 後 , 由 檢 測 機 構 報 公 安 部。

14

公 安 部 安 全 與 警 用 電 子 產 品 質 量 檢 測中心

公安部第 一研究所

北京市首 體南路一

聯繫人:范紅

電話:010-68773196 傳真:010-68773344 E-mail:

jczx68773764@163.com 網址:www.tcspbj.com

15

國 家 計 算 機 病 毒 應 急 處 理 中 心 計 算 機 病 毒 防 治 產 品 檢 驗 實 驗室

國家計算 機病毒應 急處理中

天津經濟 技術開發 區第四大 80 號 天大科技 C6

聯繫人:陳建民 電話:022-66211255 傳真:022-66211155 E-mail:

contect@cverc.org.cn 網址:www.cverv.org.cn

16

信 息 產 業 信 息 安 全 測 評 中心

中國電子 科技集團 公司第十 五研究所

北京市海 淀區北四 環 中 路 211 號 華 北計算技 術研究所

聯繫人:劉健

電話:010-89056104 傳真:010-89055529 E-mail:

liuj@itstec.org.cn

網址:www.itstec.org.cn

資料來源:工信部46

46〈 关于 发布 承担 网络 关 键设 备和 网络 安全 专 用产 品安 全 认证 和安 全检 测 任务 机构 名 录( 第一 批) 的公 告 〉 , 国 家 认 监 委 、 工 业 和 信 息 化 部 、 公 安 部 、 国 家 互 联 网 信 息 办 公 室 , http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057729/c6226057/content.html

(最後瀏覽日:2019/08/29)。

(43)

三、網絡安全等級保護條例草案

(一)立法目的

網絡安全法第21 條規定「國家實行網絡安全等級保護制度」,同法第 31 條規 定針對關鍵信息基礎設施,於網路安全等級保護制度的基礎上,進行重點保護,

然上述條款皆僅規定網路運營者應依照安全等級保護制度,履行安全保護義務,

卻未具體訂定網路安全等級保護制度之相關規定,從而,中國公安部為落實網絡 安全法前揭規定之要求,加強網路安全等級保護工作,提高網路安全防範能力和 水準,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組 織的合法權益,促進經濟社會資訊化健康發展,於2018 年 6 月發布了「網絡安全 等級保護條例(徵求意見稿)」(簡稱等保條例)草案,對外公開徵求意見47。又,

等保條例草案共計73 條,並分八章,其中第五章為密碼管理,與本研究議題較為 相關,以下將以此章及其他密碼管理部分為主進行介紹及說明。

(二)主管機關

依據等保條例草案之規定,國家密碼管理部門亦即國家密碼管理局,負責網 路安全等級保護工作中有關密碼管理工作的監督管理48

(三)規範標的及適用主體

等保條例草案針對在中國境內之網路運行,實施密碼管理。依該條例規定,

「網路」是指由電腦或者其他資訊終端及相關設備組成的按照一定的規則和程式 對資訊進行收集、存儲、傳輸、交換、處理的系統49。又,網路運營者在網路建

47 〈公安部关于《网络安全等级保护条例(征求意见稿)》公开征求意见的公告〉 ,中华人民共和国公安

部,http://www.mps.gov.cn/n2254536/n4904355/c6159136/content.html (最後瀏覽日:2019/08/29)。

48《网络安全等级保护条例(征求意见稿)》第 5 条(公安部,2018.06.27)。

49 同前註,第 2 条、第 3 条。

Figure

Updating...

References

Related subjects :