中科院「國軍重要營區智慧型警監系統」,遭廠商檢舉發現,未對通過測試攝影機內晶片與軟體進行資安認證,擔心未來建置完成,國軍營區全天動態難保不被中國遠距所監控。(軍聞社提供)
為杜絕「紅色滲透」,政府公務機關將早已明令全面禁止使用中國大陸品牌資通訊軟、硬設備產品,中科院資通所辦理「國軍重要營區智慧型警監系統」的影像錄影伺服器系統核心設備採購是狀況連連!據指出,沒作設備組件資安認證就進行廠商測試,並發生參與廠商向中科院院長室檢舉測試標準不一,要求重測外;更重要的是竟未對通過測試的攝影機內晶片與軟體進行資安認證;因中國製造晶片都暗藏回送程式與功能,未經資安認證而使用,未來完成系統建置,國軍重要營區全天動態難保不被中國遠距監控。
知情人士指出,廠商發現,中科院承辦資通所並未嚴格執行資安查核,經具名向國防部、陸軍司令部檢舉,中科院對國際onvif 網站中根本沒有登錄的廠牌來參與卻視而不見,透過該網站可知道全球各廠牌各款攝影機的規格與使用何零組件,若沒有登錄在其中就代表其來源有問題,若不嚴加審查,將是重大的國安漏洞。
該名人士表示,國防部與陸軍司令部也認為茲事體大,要求中科院一定要進行設備組件的資安認證,才安排9月1日與6日由國防部、陸軍司令部與中科院督察單位共同進行資安審核,就測試合格3家廠商的固定式攝影機,熱像型(熱顯像)攝影機及旋轉式攝影機拆開進行內部晶片等組件,看看是否有用中國製品。結果發現3家都有用中國零件,例如散熱風扇等,當場打臉中科院,全案已送國防部,由部長或次長層級來決定採何方式處理?或是廢標?但真正的關鍵竟未對攝影機內建晶片與連結伺服器的軟體進行內部資安認證,讓「紅色滲透」依舊存在。
據指出,中科院以聯安計畫來進行「國軍重要營區智慧型警監系統」案,全案分成監造、高階伺服器、系統整合及管線佈放、影像錄影伺服器、智慧型機櫃五案執行,屬於中央監控系統部分的「影像錄影伺服器系統」是整個系統的核心設備,最重要是日夜間移動目標的鎖定與辨識功能,採購包括影像錄影伺服器、影像錄影軟體、固定式攝影機、旋轉型攝影機、熱像型(熱顯像)攝影機、防爆型攝影機、強固型攝影機、防雷突波器等8項,其中又以熱像型攝影機規格是要每秒有15cps影像處理技術,該技術就在晶片上,而美國該晶片被列為管制品是最為關鍵。
據了解,該案預估需要30億元的經費,吸引國內廠商找全球一線大廠合作包括德國BOSCH、瑞典AXIS、美國PELCO、日本PANASONIC,以及兩岸廠商共13家廠商前來競標;中科院承辦資通所開始設定簡單設備採購,只要訂出規格,通過資格審查的廠商,經簽下未使用中國設備產品的切結書後,就直接進入比價程序,再以最低價者得標來進行,但參與廠商提出異議並向立委提出陳情,不先行辦理產品驗證測試,怎麼知道保證設備品質與安全,中科院承辦單位雖同意辦理進行測試,但始終沒有規劃設備內相關晶片與軟體的資安認證。
據指出,7月8日在中科院內展開第一輪實機測試,區分白天與夜間兩階段測試,一直持續到晚上11點。結果中科院宣稱只有一家本土製造商通過測試,所有與全球國際一線大廠合作的廠商統統不合格,引起業界一片嘩然。
知情人士指出,經廠商事後在調閱各自測試的錄影畫面,發現夜間測試中科院主考官刻意用彎腰等不同方式來測試,讓廠商不合格。經廠商提出佐證並透過立委向中科院院長力爭後,中科院觀看錄影帶,發現當天測試確實有「不一致情況」,才同意重新辦理測試。但只對於不合格的廠商辦理重測,第一次合格廠商不用,在8月17日進行第二次重測,二次測試也只有中華系統整合公司、群光電子與佳能公司三家進入。
該名人士指出,這次「影像錄影伺服器系統」中,中科院訂定熱像型(熱顯像)攝影機規格標準,是每秒有15cps影像處理技術的晶片,目前熱像型攝影機內每秒9cps影像處理技術晶片是商用型,各國多有生產且不管制,但要有每秒15cps影像處理技術晶片,只有中國與美國生產,但美國是列為管制晶片,必須美國國務院核准才能出口,並要附上最終使用證明,例如歐美各廠向美國申請後,就必須說明這些晶片是運用在那些型號序號的攝影機內,賣給那個國家與單位使用,其管制是相當的嚴謹。另外,廠商也質疑未在網站上登錄廠牌的晶片有可能是來自中國貼牌的晶片,所以資安驗證必須進入晶片內部就可知其來源所在。
據指出,國防部三方進行了「影像錄影伺服器系統」設備與攝影機組件外部資安審查認證後,結果是3家設備組件都有中國製品,全案已送國防部進行處理。但真正關鍵還是在未對晶片內部與內置軟體進行資安認證,讓該系統晶片或軟體內是否有躲藏「後門」或是回傳機制,也讓外界質疑中科院的專業性?或是有其他原因刻意不去進行晶片內部與內置軟體的資安認證。