保防安全處上稿日期:105/01/26
壹、前言
近期國防部基於務實考量,在「安全為先,有效管理」的原則下,委由國家中山科學研究院研發國軍智慧型手機自動化管理系統「手機MDM」,運用APP程式將其「攝錄」、「熱點分享」、「打卡定位」及「藍芽傳輸」等高風險部分加以限制。目前已由陸、海、空軍等46個營區7千多名官士兵試行,後續將依測試狀況,檢討全面實施。然盱衡當前國軍保密安全威脅,全體官兵在享受生活便利時,應同時建立保密安全警覺,恪遵各項管制規範,方能有效防堵洩密與不法竊密管道,確維機密資訊安全無虞。
貳、案例檢討與分析
現今科技日新月異,通、資訊器材功能漸趨成熟,並伴隨社群媒體高度發展,帶給人類新的生活型態與社交方式,但也成為保密工作的新挑戰。民國94年4月,美軍率先公布政策備忘錄,要求管制所屬官兵使用社群網站、部落格,發表軍事、政治等敏感議題前,應先奉官方核准,避免機密資訊外洩或官方立場遭扭曲。此後,世界各國軍隊亦陸續頒布類似命令文件,以約束官兵網路言行,甚有設立專責監控機構管制。即使如此,仍有許多案例顯示,部分軍事人員因炫耀或輕忽心態,將應保密資訊公開於社群網站,致生洩密案件,以下列舉相關案例,供全體官兵借鑑:
一、英國威廉王子網路參訪照洩密案
民國101年11月,英國威廉王子偕凱特王妃至該國某空軍基地參訪,行程結束後,英國國防部官方網站即發布當日威廉王子參訪行程相關照片,並由各國媒體爭相轉載播送,但隨後被眼尖的媒體發現,照片除威廉王子的身影外,背景清晰可見軍方電腦登入密碼、指揮所內部機敏陳設、武器鑑價指南等機密資訊,引發軒然大波,事後英國國防部雖緊急撤下照片,不過已造成英國空軍機密資訊外洩,更引起民眾對軍方資訊管控機制的質疑。
二、美軍潛艦士官違法拍攝潛艦內部構造案
據美國海軍日報 (Navy Times)報導,民國101年3月,康乃狄克州漢普頓1名垃圾場員工在廢棄物中拾獲1隻手機,開機後發現內存多筆潛艦照片,工作人員即將手機交由聯邦調查局處理,經調查確認手機係服役於洛杉磯級核子潛艦亞歷山大號擔任機械士的海軍上士劭希爾(Kristian Saucier)所有,復經海軍深入追查,發現劭希爾違反美軍禁止攜帶個人通訊器材進入潛艦之規定,且擅自拍攝潛艦內部操作儀表板、核子反應器、雷達螢幕等照片,隨後劭希爾即遭調查單位拘捕,並面臨20年以上刑責追訴。
三、官兵違規拍攝友邦戰鬥機案
民國104年4月1日,兩架友邦戰鬥機在飛往新加坡途中,其中一架戰機因機械故障,緊急降落某部基地檢修,迄4月3日中午飛離。惟當日網路即流傳戰機停放在基地棚廠照片,經查照片係某部官兵於非手機開放場所使用智慧型手機違規拍攝,並轉貼個人臉書(Facebook),復經友人分享轉載而散播,當事人違反智慧型手機使用規範,並依規定檢討懲處。
參、國軍官兵應有的認知與作為
美國《華盛頓自由燈塔報》曾報導指出,對於美國情報機構而言,大陸網路已成為越來越寶貴的資訊來源,在中共的反情報作為下,透過傳統的人員情報,或駐外武官、外交人員等管道,獲取資訊已愈趨困難,資訊網路已成為獲取情報資訊的重要窗口。由此報導我們可以了解,公開的網路資料、相關軍事人員的社群網站動態,已成為包括中共在內的各國情報機關重要情蒐管道。因此,我全體官兵同仁應建立以下的認知:
一、建立安全警覺,貫徹保密紀律
依CSI資安事件調查報告指出,近70%的資安威脅係來自於單位內部人員,可見「人」的管理是保密工作的核心。因此,國軍人員應提高安全認知與敏感度,不可於網路散播、公開或儲存與部隊相關之文字、圖片、聲音及影像等資訊,不對外談論單位內部事務,並建立「見可疑追查到底,遇問題立即反映」保密警覺;另各單位應持恆加強保密法令宣教,利用各種集會場合及電子文宣設施,加強基層官兵之保密認知,養成良好的保密習性。
二、恪遵資安規範,落實資安檢管
國軍年來落實貫徹「軍、民網實體隔離政策」,已有效建立安全的資訊作業環境。然檢視國軍網路系統雖屬獨立、封閉性質,若官兵未恪遵管制規定,仍有遭植入不法程式之可能,要澈底根除資訊外洩,除資安環境的建構外,各級保密督導官及資安官更應確實執行諸般保密安全檢管措施,強化防禦能力,確保用網安全,全體官兵亦應確遵實體隔離及資安規定,確維資訊安全。
三、慎選資訊設備,防堵安全罅隙
現今資訊科技推陳出新,雲端、WIFI與APP等新型技術或網路軟體相繼問世,在便捷之餘,亦凸顯出資安風險,各類3C、家電產品具無線上網或複合型功能者已成趨勢,各單位應對營內採購、使用之相關物品,詳查其附屬品或內建功能,確認是否具隱藏鏡頭、無線上網等附加品項,需符現行規定且無資安疑慮,始得辦購。
四、綿密稽核措施,遏止洩密管道
執行保密檢查的目的,一方面在於督促官兵養成良好的保密習慣,另一方面在於及時發現安全罅隙,適時採取防範措施。所以各級部門除落實各項保密措施外,並應加強安全檢管作為,嚴格糾舉缺失,須知,嚴肅保密紀律是維護機密資訊安全的重要手段,各單位應隨時稽核機密資訊存管與保密設備使用現況、限制非法定人員接觸機密、離退人員離職交接等,以確保機密資訊安全,防範機密資料外洩情事發生。
肆、結語
因應資訊網路、智慧裝置發達的趨勢,國軍除不斷與時俱進研製更能符合實需的管控機制外,更重要的是各級部隊要持續強化與深植官兵保密觀念及安全警覺,俾能在提供便利性及資安維護中,取得共存雙贏,並有效確保機密資訊安全維護。
(本文由政治作戰局保防安全處提供)
更新日期:106/4/14 點閱次數:9141