解析雲端運算有關認驗證機制與資安標準發展
解析雲端運算有關認驗證機制與資安標準發展
科技法律研究所
2013年12月04日
壹、前言
2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1],新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構,獲頒「2013雲端安全耀星獎」(2013 Cloud Security STAR Award),該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業,今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外,首度將獎項頒發給政府組織。究竟何謂雲端認證,其背景、精神與機制運作為何?本文以雲端運算相關資訊安全標準的推動為主題,並介紹幾個具有指標性的驗證機制,以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。
資訊安全向來是雲端運算服務中最重要的議題之一,各國推展雲端運算產業之際,會以提出指引或指導原則方式作為參考基準,讓產業有相關的資訊安全依循標準。另一方面,相關的產業團體也會進行促成資訊安全標準形成的活動,直至資訊安全相關作法或基準的討論成熟之後,則可能研提至國際組織討論制定相關標準。
貳、雲端運算資訊安全之控制依循
雲端運算的資訊安全風險,可從政策與組織、技術與法律層面來觀察[2],涉及層面相當廣泛,包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應(Lock-in)、以及雲端服務提供者內部控管不善…等,都是可能發生的實質資安問題 。
在雲端運算產業甫推動之初,各先進國以提出指引的方式,作為產業輔導的基礎,並強化使用者對雲端運算的基本認知,並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。
一、ENISA「資訊安全確保架構」[3]
歐盟網路與資訊安全機關(European Network and Information Security Agency, ENISA)於2009年提出「資訊安全確保架構」,以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準,參考之依據主要是與雲端運算服務提供者及受委託第三方(Third party outsourcers)有關之控制項。其後也會再參考其他的標準如SP800-53,試圖提出更完善的資訊安全確保架構。
值得注意的是,其對於雲端服務提供者與使用者之間的法律上的責任分配(Division of Liability)有詳細說明:在資訊內容合法性部分,尤其是在資訊內容有無取得合法授權,應由載入或輸入資訊的使用者全權負責;而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時,例如個人資料保護相關規範,基本上應由使用者與服務提供者分別對其可得控制部分,進行適當的謹慎性調查(Due Diligence, DD)[4]。
雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層,則決定了各自應負責的範圍與界限。
在IaaS(Infrastructure as a Service)模式中,就雲端環境中服務提供者與使用者雙方應負責之項目,服務提供者無從知悉在使用者虛擬實體(Virtual Instance)中運作的應用程式(Application)。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器,概由使用者所完全主控,因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。
在PaaS(Platform as a Service)模式中,通常由雲端服務提供者負責平台軟體層(Platform Software Stack)的資訊安全,相對而言,便使得使用者難以知悉其所採行的資訊安全措施。
在SaaS(Software as a Service)模式中,雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式(Entire Suite of Application),因此該等應用程式之資訊安全通常由服務提供者所負責。此時,使用者應瞭解服務提供者提供哪些管理控制功能、存取權限,且該存取權限控制有無客製化的選項。
二、CSA「雲端資訊安全控制架構」[6]
CSA於2010年提出「雲端資訊安全控制架構」(Cloud Controls Matrix, CCM),目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」,係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域(Domain)而來,著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照,例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前,CSA提出的CCM,十分完整而具備豐富的參考價值。
舉例而言,資訊治理(Data Governance)控制目標中,就資訊之委託關係(Stewardship),即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力(Resiliency)控制目標中,要求服務提供者與使用者雙方皆應備置管理計畫(Management Program),應有與業務繼續性與災害復原相關的政策、方法與流程,以將損害發生所造成的危害控制在可接受的範圍內,且回復力管理計畫亦應使相關的組織知悉,以使能在事故發生時即時因應。
三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9]
日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」,此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督,來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍,主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形,其資訊安全的管理議題;其指導原則之依據是以JISQ27002(日本的國家標準)作為基礎,再就雲端運算的特性設想出最理想的資訊環境、責任配置等。
舉例而言,在JISQ27002中關於資訊備份(Backup)之規定,為資訊以及軟體(Software)應遵循ㄧ定的備份方針,並能定期取得與進行演練;意即備份之目的在於讓重要的資料與軟體,能在災害或設備故障發生之後確實復原,因此應有適當可資備份之設施,並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境,使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性;而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。
参、針對雲端運算之認證與登錄機制
一、CSA雲端安全知識認證
CSA所推出的「雲端安全知識認證」(Certificate of Cloud Security Knowledge, CCSK),是全球第一張雲端安全知識認證,用以表示通過測驗的人員對於雲端運算具備特定領域的知識,並不代表該人員通過專業資格驗證(Accreditation);此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展,因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版(英文版)」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式,供讀者得以認知如何評估雲端運算可能產生的資訊安全風險,並採取可能的因應措施。
二、CSA雲端安全登錄機制
由CSA所推出的「雲端安全登錄」機制(CSA Security, Trust & Assurance Registry, STAR),設置一開放網站平台,採取鼓勵雲端服務提供者自主自願登錄的方式,就其提供雲端服務之資訊安全措施進行自我評估(Self Assessment),並宣示已遵循CSA的最佳實務(Best Practices);登錄的雲端服務提供者可透過下述兩種方式提出報告,以表示其遵循狀態。
(一)認知評價計畫(Consensus Assessments Initiative)[12]:此計畫以產業實務可接受的方式模擬使用者可能之提問,再由服務提供者針對這些模擬提問來回答(提問內容在IaaS、PaaS與SaaS服務模式中有所不同),藉此,由服務提供者完整揭示使用者所關心的資訊安全議題。
(二)雲端資訊安全控制架構(CCM):由服務提供者依循CCM的資訊安全控制項目及其指導,實踐相關的政策、措施或程序,再揭示其遵循報告。
資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。
另一方面,使用者也可以到此平台審閱服務提供者的資訊安全措施,促進使用者實施謹慎性調查(Due Diligence)的便利性並累積較好的採購經驗。
三、日本-安全・信頼性資訊開示認定制度
由日本一般財團法人多媒體振興協會(一般財団法人マルチメディア振興センター)所建置的資訊公開驗證制度[13](安全・信頼性に係る情報開示認定制度),提出一套有關服務提供者從事雲端服務應公開之資訊的標準,要求有意申請驗證的業者需依標準揭示特定項目資訊,並由認證機關審查其揭示資訊真偽與否,若審查結果通過,將發予「證書」與「驗證標章」。
此機制始於2008年,主要針對ASP與SaaS業者,至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。
肆、雲端運算資訊安全國際標準之形成
現國際標準化組織(International Organization for Standardization, ISO)目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017(草案)[14]係針對雲端運算之資訊安全要素的指導規範,而ISO/IEC 27018(草案)[15]則特別針對雲端運算的隱私議題,尤其是個人資料保護;兩者皆根基於ISO/IEC 27002的標準之上,再依據雲端運算的特色加入相應的控制目標(Control Objectives)。
[1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20)
[2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009).
[3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework .
[4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009).
[5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009).
[6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013).
[7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013).
[8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013).
[9]日本経済産業省,クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(2011),http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html,(最後瀏覽日:2013/11/20)。
[11]https://cloudsecurityalliance.org/education/ccsk/faq/(最後瀏覽日:2013/11/20)。
[12]https://cloudsecurityalliance.org/research/cai/ (最後瀏覽日:2013/11/20)。
[13]http://www.fmmc.or.jp/asp-nintei/index.html (最後瀏覽日:2013/11/20)。
[14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013).
[15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).
本文為「經濟部產業技術司科技專案成果」
歐盟部長理事會(Council of Ministers)已跟隨歐洲議會腳步,通過對「GSM 指令」(Global System for Mobile Communications Directive)進行修改的提案,准許電信營運商在900 MHz頻段上提供UMTS服務(3G通訊技術之一,可向下相容GSM與GPRS),例如WCDMA通訊架構可於900 MHz上運用。這項決議仍須經過歐盟各會員國國會和監督機構認可,預計2009年10月開始實施。 原先指令在1987年所提出,將900 MHz和1800 MHz頻段劃歸GSM手機專用,此作法有效促進GSM產業的蓬勃發展。修改該指令的提案,則是允許讓900 MHz頻段在繼續供GSM服務使用的同時,也開放給行動上網等更高速的泛歐洲通訊服務。預估將能大幅降低電信營運商網路建制成本,可減少大約16億歐元的支出。 據歐盟電信委員會Viviane Reding委員表示,GSM Directive的修訂,將為行動通訊業者解除限制,並因此能在GSM頻段上建置更先進的技術,以提供高速行動寬頻服務;她預期這將有效促進歐洲的無線經濟(wireless economy),並催生「數位歐洲」(Digital Europe)的誕生。相關發展值得台灣電信通訊產業注意。
A片也要搞創意!具原創性之A片享有著作權A片也要搞創意!具原創性之A片享有著作權 科技法律研究所 2014年04月20日 壹、事件摘要 99年7月北市知名成人光碟店,以每片10元至20元買進盜版的無碼、有碼A片,再以25元至50元轉售牟利,同年8月檢警查扣一萬一千三百片,且幾乎都是日本色情影片,引發日本A片商聯合跨海提告。 檢方認定部分露點A片屬猥褻物品,部分沒露點A片侵犯日本片商著作權,分依違反《著作權法》及散布販賣猥褻物品罪起訴,但台北地院根據88年的最高法院判決要旨,認為A片違反公序良俗,不受《著作權法》保護,僅依販賣猥褻物品罪判處六個月有期徒刑。 檢方上訴智慧財產法院後,合議庭隨機挑16部A片,由台大教授黃銘傑鑑定,鑑定認為其中3部有碼A片未抄襲,而係導演透過講故事來表達想法,且拍攝手法、情節設計及情慾表現,均有其構思及獨特性,已屬具原創性的著作,遂改判違反《著作權法》及販賣猥褻物品罪。 貳、重點說明 一、88年最高法院台上字第250號判決 本案原審法院認為A片不能享有著作權,主要是採納最高法院88年度台上字第250號刑事判決之見解,該判決指出:著作權法第3條第1款所稱著作,係指屬於文學、科學、藝術或其他學術範圍之創作,色情光碟片不屬之。蓋著作權法之立法目的除在保障個人或法人智慧之著作,使著作物為大眾公正利用外,並注重文化之健全發展,故有礙維持社會秩序或違背公共利益之著述,既無由促進國家社會發展,且與著作權法之立法目的有違,基於既得權之保障仍需受公序良俗限制之原則,是以,色情光碟片非屬著作權法所稱之著作,自不受著作權法不得製造或販賣等之保障。 當年這項判決的背景是因為有人向日本A片商購得台灣地區之發行權後,以刑事訴訟手段到處對錄影帶出租店取締侵害,獲取不當暴利,全國錄影帶出租店哀鴻遍野。對於業者以A片為威脅獲取暴利之工具,顯與國民情感相違,最高法院釜底抽薪之計,就是讓A片不受著作權法保護,業者就無法為惡[1]。 二、智慧財產法院101年刑智上易字第74號判決 103年2月20日,智慧財產法院101年刑智上易字第74號判決認為國外具原創性的色情片,應受國內著作權保障,判決理由節錄如下: (一)人民表現自由之基本權利受憲法保護 按人民有言論、講學、著作及出版之自由,憲法第11條定有明文。我國修正前之著作權法係採註冊保護主義,必須經登記程序,始得取得著作權,不符憲法保護言論與著作自由之本旨,修正後改採創作保護主義,避免出版品主管機關動輒依據88年1 月25日廢止之出版法第32條第3 款之規範[2](妨害風化),禁止猥褻出版品之出版。且違反公序良俗之著作,並非著作權法第9 條規定之消極取得著作權之要件。準此,本院認不得以著作權法未規範之消極要件,禁止或剝奪有原創性之色情著作權人,應受著作權法保護之權利,否則即與憲法賦予人民表現自由之基本權利不符。 (二)我國為WTO會員應遵守TRIPS協定 我國為WTO 之會員,即應遵守TRIPS 協定,依據TRIPS 協定第9 條第1 項規定,會員應遵從伯恩公約第1 條至第21條及附錄之內容,應適用國民待遇原則與最低限度保護原則。伯恩公約第17條僅容許會員國以立法或行政程序行使允許、演出或展出等權利,未容許各會員國得將色情著作排除在著作權法保護客體之外。著作權之保護固具有屬地性,然著作權具有國際普及保護之性,是以,藉由國際著作權公約之締結,統一各國有關著作權法之規範內容。我國為WTO 之會員國,而著作權法亦具有國際性,我國為配合世界趨勢,期與國際規範相結合,自應符合TRIPS 協定之內容,修改與解釋著作權法之規範。我國與WTO 之全體會員間存有著作權互惠保護關係,應遵守TRIPS 及伯恩公約之國民待遇原則,是以,WTO 會員之色情著作於著作財產權存續期間內,未經著作權人授權或同意均不得擅自重製或散布。依著作權法第4 條第2 款之規定,外國著作應受我國著作權法保護。既然保護外國著作,對外國及我國色情著作亦應為平等之對待。 (三)是否取得著作權,應以有無智慧創作為判斷標準 色情或猥褻之定義,因時代與社會風情不同而異。猥褻一詞係不確定的法律概念,其認定標準,應依各時代、地域之道德標準、禮俗規範及生活習慣而定。以往雖認為「查泰來夫人之情人」為色情小說,然時至今日則視該著作為探討女人情慾之重要文學論著。近年知名電影著作「色戒」,不乏男女性交畫面,是以,情色著作不因僅具有色情之元素,即認為非著作。著作權法保護智慧創作之投入,不作道德風俗之審查,是否取得著作權,端賴有無智慧創作之著作,作為保護之判斷標準。至於是否敗壞風俗或有無散布權,係刑法或相關法律之規範,並非著作權法應處理之法律議題。 (四)不得任意加諸著作權法未規定之限制 依據創作精神智力投入之程度,作為著作權保護之要件,不得因著作有色情之素材,而遽認為非著作。申言之,色情素材並非不受著作權保護之消極要件,著作權之保護不宜過於道德化,不得貿然即以公序良俗之公益名義,不當限制色情著作權人之權利行使。否則所有涉及公序良俗之情事,動輒主觀認定重於著作權之私益,屆時恐變成濫用公序良俗之情形,淪為流氓條款,將嚴重影響法之安定性及交易安全。 (五)抽樣之部分光碟具有原創性 我國著作權法採創作保護主義,故色情著作係本於獨立之思維、智巧及技匠,具有原創性,依著作權法第10條規定,著作人於色情著作完成時,即享有著作權。就原始性而言,係指著作人原始獨立完成之創作,而非抄襲或剽竊所致;創作性係指著作具有之少量創意,其足以表現作者之個性。職是,創作性之程度,不必達空前未有之地步,倘依社會通念,該著作與前已存在之作品間有可資區別之變化,足以表現著作人之個性即可。反之,著作與人類之思想感情無關,未能展現作者之個性者,即無創作性可言,則非著作權法所稱之創作。 起訴書附表編號126、600、696等光碟,均經專業團隊企畫,先由編劇編纂、設計不同內容之劇情及文案,並撰寫劇本及臺詞,繼而經由導演指導演員演出及專業攝影人員拍攝,復經剪輯後製及廣告行銷之策劃,花費諸多成本製作,核屬具原創性之人類精神創作,足以表現製作團隊之個性與獨特性。 參、事件評析 A片到底有沒有著作權?智慧財產法院101年刑智上易字第74號判決以原創性的有無,作為A片能否取得著作權之判斷標準,有別於實務上向以88年台上字250號判決為圭臬的否定見解,其見解不僅呼應了主管機關經濟部智慧財產局的看法「色情片或限制級片,不論是本國或外國,是否係本法所稱之著作,應視具體個案內容是否符合上述規定而定,如具有創作性,仍得為著作權保護標的。至於其是否為猥褻物品,其陳列、散布、播送等,是否受刑法或其他法令之限制、規範,應依各該法令決定之,與著作權無涉。」[3],同時也與德國、美國、日本、大陸地區等立法例相同,故本判決一出,即獲得各方之贊同[4]。 然而,在肯定該判決的同時,觀察其判決理由,未來在判斷A片著作權時,除判斷是否具備原創性外,仍需注意以下事項: 一、色情軟蕊作品始受著作權法保護 判決理由提到:「…釋字第617 號解釋,將猥褻物品分為硬蕊與軟蕊。前者係指對含有暴力、性虐待或人獸性交等情節,不具藝術性、醫學性或教育性價值之猥褻資訊或物品;後者係指除硬蕊之外,客觀上足以刺激或滿足性慾,而令一般人感覺不堪呈現於眾或不能忍受而排拒之猥褻資訊或物品。因硬蕊著作之性質,非屬文學、科學、藝術或其他學術價值,顯無促進國家文化發展之功能,即無保護之必要性,故探討色情著作是否受著作權法之保護,著重於軟蕊之範疇。…」換言之,硬蕊作品並無著作權之保護,必須是屬於非含有暴力、性虐待或人獸性交等情節的軟蕊作品,始為該判決討論的範疇而受著作權保護。 二、是否需有馬賽克遮蔽始受著作權法保護? 色情影片是否因「有碼片」或「無碼片」致受著作權法之保護有異?判決書中亦肯認此為本案爭點之一,對此,判決結論認為「具有原創性之色情軟蕊著作應受著作權法保護」。據此,色情影片受著作權保護需具備二個要件:(一)軟蕊著作(二)原創性。 然而,此項結論似無法解決馬賽克遮蔽的爭點,按判決理由中除詳細分析軟蕊、硬蕊的差異,並詳細介紹了16部抽樣鑑定影片的其中3部劇情內容、拍攝手法等而具有原創性,但卻未說明馬賽克遮蔽在著作權保護的差別,而僅以一句「…參諸該等影片性交畫面均使用馬賽克遮蔽,亦無任何人獸交、裸露性器官之畫面,其為具有原創性之視聽著作,自應受我國著作權法之保護。…」輕輕帶過,不免使人有所錯亂。亦即,對於被認定無著作權保護的13部影片,我們可能會推論其原因可能是(一)因無馬賽克遮蔽,故不屬於軟蕊著作。或(二)因無馬賽克遮蔽,故不具備原創性。抑或(三)軟蕊、具原創性,但無馬賽克遮蔽。 對於第一項推論,係將馬賽克遮蔽作為判斷軟蕊、硬蕊之標準,可能與大法官釋字第617號解釋所稱「係指對含有暴力、性虐待或人獸性交等情節,不具藝術性、醫學性或教育性價值之猥褻資訊或物品」之判斷基準有所出入;第二項推論,係將馬賽克遮蔽作為原創性之判斷標準,此時可能與該作品是否「本於獨立之思維、智巧及技匠,具有原始姓與創作性」之認定有所扞格;而第三項推論,則是將馬賽克遮蔽作為除軟蕊著作及原創性以外之第三個要件,然而對於此要件,卻未如前二項要件般於判決理由中詳細說明,故色情影片是否因「有碼片」或「無碼片」致受著作權法保護有異之訴訟爭點,恐怕仍有待釐清。 [1]章忠信,「A片可以享有著作權」,著作權筆記網站,http://www.copyrightnote.org/crnote/bbs.php?board=6&act=read&id=98(最後瀏覽日:103年3月4日) [2]出版法第32條(已廢止):出版品不得為左列各款之記載: 一、觸犯或煽動他人觸犯內亂罪、外患罪者。 二、觸犯或煽動他人觸犯妨害公務罪、妨害投票罪或妨害秩序罪者。 三、觸犯或煽動他人觸犯褻瀆祀典罪或妨害風化罪者。 [3]經濟部智慧財產局中華民國92年09月10日智著字第0921600729-0號函 [4]同註1。
美國指控中國兩大電信通訊商威脅國家安全,呼籲各機關及私人企業拒絕向其購買設備及技術美國眾議院情報委員會終於發佈了對中國兩大電信通訊商「中興」(ZTE)和「華為」(Huwei)的調查報告,報告結論指出,「中興」和「華為」確實危及美國的國家安全。 情報委員會呼籲美國政府機關和企業,尤其是政府機關,不應該讓「中興」、「華為」成為資訊系統相關設備或零組件的供應商,因為他們會安裝「後門程式」(backdoor)為中國政府和軍方進行間諜活動和網路攻擊,並敦促美國企業的經營者,應該阻絕未來收購、購併「中興」、「華為」的可能性。情報委員會亦呼籲美國國民不要購買任何由「中興」、「華為」製造的任何電子設備,包括手機、平板電腦、數據機等,否則個人資料將在不知不覺中全數洩漏給中國。 「華為」的建立者任正非(Ren Zengfe),同時也是「華為」執行長,1987年離開中國軍方創立「華為」,情報委員會認為他始終與中國政府和軍方保持密切聯繫,而「華為」拒絕配合情報委員會的調查,「中興」也不願提供完整的內部資料,報告指出:「中興」和「華為」應該讓公司內部架構、組織和財務管理及經營運作更加透明化,盡到美國法制要求的應盡義務」。 但英國政府表明支持「華為」,只是會採取必要的保護措施維護國家安全。「華為」在英國具有相當龐大的影響力,2001年在英國正式營運,投資了一億五千萬英鎊,並創造了650個工作機會,主要提供英國電信業者於寬頻服務的相關硬/軟體設備。另外英國手機營運商EE(Everything Everywhere)所發行英國首套的4G商用網,當中的行動作業系統便是使用「華為」的技術,EE的發言人表示:「我們有一套嚴格的安全檢查程序,確保合作伙伴和合作內容都符合EE的要求和標準,而「華為」是值得信賴和尊敬的伙伴」。 其他國家如加拿大和澳洲,則採取保守態度,評估這兩家電信通訊商的可信度和可用性。
日本經產省修訂網路安全經營指引日本經濟產業省與獨立行政法人資訊處理推進機構(IPA)於2017年11月16日修正並公佈「網路安全經營指引」(サイバーセキュリティ経営ガイドライン)。經產省與獨立行政法人資訊處理推進機構為推動網路安全對策,以經營者為對象於2015年12月制定「網路安全經營指引」。惟因近年來網路攻擊越發頻繁,且攻擊方式亦越來越多樣化,僅透過事前對策無法妥善因應網路攻擊問題,故日本經產省與獨立行政法人資訊處理推進機構合作,參考歐美等國網路安全對策修正方向,擬加強企業事後檢測、應對和復原措施,並舉辦「網路安全經營指引修正研究會」,修訂「網路安全經營指引」。 本次修正未更改經營者應認識之三大原則︰(1)經營者應對網路安全有所認知,並作為領者者採取對策;(2)商業夥伴和委託者在內之供應鍊安全對策;(3)不論平時或緊急時,網路安全相關資訊之公開應與關係者進行適當溝通,而是修正10大經營重要項目中第5項、第8項和第9項,分別為︰(1)「建構網路安全風險應對措施」加入包含「攻擊檢測」在內之風險應對措施;(2)「事件被害復原體制之整備」加入「遭受網路攻擊時復原之準備」;(3)「包含商業夥伴和委託者在內之全體供應鍊對策及狀況掌握」加入「供應鍊對策強化」等記載。 日本政府希望透過上開指引之修正,建構安全之網路經營環境。