圖片來源: 

國家中山科學研究院

專門研發國防武器裝備,而握有許多軍事機密的國家中山科學研究院(中科院),為了避免機密遭到中國竊取,明文規定禁止使用中國產品。但根據蘋果日報於7月6日早上的報導,該單位竟然於2018年網路儲存伺服器採購招標時,在資料備份的規格要求中,將中國百度雲(Baidu Cloud)做為備份目的端的選項,並未明確排除這項雲端服務,而且還驗收通過,直到最近因蘋果日報接獲爆料,向中科院詢問,他們才驚覺有這樣的事情。

我們也向中科院進行確認,他們發出新聞稿表示,此事是化學研究所在2018年辦理資訊設備購案時,因作業疏失,將含有百度雲的規格誤植到採購公告。中科院對於失職人員進行檢討,並記申誡2次。

再者,中科院也強調,這次採購的資訊設備並未連接外部的網際網路,只有在內部網路使用,該院內部網路環境也採取內外網實體隔離,並設置資安防護檢測設備等措施。但對於上述的網路儲存伺服器是否會對資安造成影響?他們沒有進一步說明,僅表示日後會對於相關的資安管制更為審慎。

對於此事,我們也詢問了該院的監管機關國防部,他們認為,本次事件與中科院內部資安管理有關,不便發表任何看法。

爭議出現於網路儲存伺服器的異地備援需求

針對這次被蘋果日報揭露的事件,中科院僅表示對失職人員記過處分與檢討,並且會採取較嚴格的資安管制,至於為何會發生這樣的問題,以及設備的使用情形,中科院的新聞稿並沒有太多著墨,不過,或許我們可以從蘋果日報的報導,了解一些細節。

事情的經過,是中科院於2018年10月,提出網路儲存伺服器等2項設備採購標,案號是XD07150PA45-CS,預算金額為新臺幣3,269,700元(不過,我們現在連上這個公告網頁,卻發現相關的招標文件已經無法存取)。

蘋果日報的報導提到,中科院在投標採購的需求中,要求設備必須具備完整備份功能。其中,對於支援的備份目的地也明確列出,包含了共用資料夾、外接硬碟,以及公有雲等,而公有雲的部分,需支援雙向的資料同步,而且能將資料備份至Amazon、Box、Dropbox,以及Google Drive等雲端儲存空間。

然而,得標廠商因應投標單的內容,竟將百度雲列於這些網路儲存伺服器支援的公有雲儲存空間,而被爆料給蘋果日報的人士質疑,竟然能通過驗收。由於百度是中國企業,而中國政府可以要求百度雲提供資料,爆料者認為,中科院此舉形同將研發武器的機密,免費提供給中國政府。

至於這些網路儲存伺服器目前在那裡?中科院告訴蘋果日報,這項採購案所購買的3臺電腦主機,有1臺是拿來資料備份,已經在化學所使用。另外2臺主機則是用於青山園區的警監系統,但因為相關工程延誤,目前尚未使用。

此外,中科院也向蘋果日報表示,經過該單位的資管中心清查後發現,用於化學所的那臺主機沒有申請連網,也沒有上網連線的線路,同時並未安裝百度雲盤套件,中科院認為,不會有將資料送到中國的問題。但這起事件也突顯參與開標的人員,無論是開標者,還是經手人員與投標廠商,對於相關規格的內容,必須更加謹慎。

針對中科院將百度雲列入採購規格一事,我們發現蘋果日報後續的追蹤報導中,國防部於事件發生的隔日(7日)下午發出新聞稿,認為此起採購顯有疏失。

國防部指出,經他們的專案小組前往中科院查證後,初步認為此次招標購得的電腦,使用狀態確實如中科院所述,沒有任何資訊外洩疑慮,但是此案的採購作業明顯存在疏失,將中國提供的資訊服務納入採購公告,嚴重違反相關採購規定,要求中科院嚴查究辦。

他們也基於監督中科院的立場,要求中科院必須遵守採購相關規定,嚴禁購買中國產品及相關服務,來維護國防機密安全。

對於此事,國防部有了正式的說明,不過,內容與先前我們採訪得到的訊息落差很大。對此,我們也詢問國防部,他們表示,中科院是獨立的法人機構,國防部不會插手該機構的經營,但是國防部基於是中科院的監管單位,認為此次採購作業存在疏失,因此要求中科院進行重新檢討。然而,對於態度轉變的原因,國防部仍然沒有正面回應。


Advertisement

更多 iThome相關內容