新加坡網路安全策略
前言
2016年,新加坡發布了第一版的《網路安全策略》,為網路安全奠定了基礎。然而,不論於策略面或技術環境,過去數年皆產生極多變化。為因應新型態的網路威脅,「新加坡網路安全局(Cyber Security Agency, CSA)」於2021年10月發布了《2021年新加坡網路安全策略》,制訂三個戰略支柱與兩個推動基礎(如圖一),本文將介紹此網路安全戰略架構。
一、建設具彈性與韌性的基礎設施
(一) 以關鍵資訊基礎設施(CIIs)為核心,發展國家網路安全協調機制
(1)發展政策以防禦日益複雜的網路威脅:政府將實施分層執行且協調充分的全國性網路防禦制度,引導國內關鍵資訊基礎設施(Critical Information Infrastructures, CIIs)採用「零信任(Zero-Trust)」網路安全策略。若網路服務或基礎設施運作中斷,可能會使國家造成重大連鎖反應,此時將採用「風險基礎方法」(Risk-Based Approach),以提升該系統的網路安全性。例如,網路安全局(CSA)正在開發CII供應鏈計畫,為所有的利益關係人提供建議,以管理供應鏈網路資訊安全。
(2)加強保護、偵測、應對,以及從惡意網路攻擊中恢復的能力:政府將加強偵測與分析惡意網路攻擊的技術能力,包括開發「網路融合平台」(Cyber Fusion Platform),提升政府調查效率。另外,為加強應對與恢復的能力,政府將推動新的國家網路安全指揮中心(National Cyber Security Command Centre)等其他措施。
(3)確保政策與法律框架仍適用於應對日益增長之網路物理安全風險(Cyber-Physical Risk):網路攻擊的影響不再僅限於數位領域,而是正蔓延至物理環境範疇。例如愛爾蘭衛生健康署遭受駭客綁架軟體攻擊,造成醫療系統大規模停擺;負責提供美國東岸45%燃油運輸的「殖民油管公司(Colonial Pipeline)」,在公司內部網路遭受勒索軟體入侵後,不得不緊急關閉超過8,851公里的管線,癱瘓範圍驚人。新加坡政府認為,政策與立法框架必須不斷地滾動修正與推進,以減輕網路物理安全風險。其中,包含審查《網路安全法(Cybersecurity Act)》、引入《OT網路安全總體規劃(OT Cybersecurity Masterplan)》與《OT網路安全能力框架(OT Cybersecurity Competency Framework》等措施。
(二) 確保政府系統的安全與彈性/韌性
(1)審查網路政策,並於政府部門執行分層要求:政府以指導手冊八(Instructional Manual 8, IM8)作為保護其資通訊與智慧系統(ICT & Smart Systems, ICT&SS)資產的管理工具。IM8安全政策根據系統的類別與重要性,為政府系統制定網路衛生指引(Security Hygiene Practices)。作為IM8審計的一部分,定期對政府系統進行滲透測試(Penetration Testing),以防止潛在漏洞遭受攻擊。
(2)將政府網路安全架構現代化:實施「基於政府信任的架構(Government Trust-based Architecture,GTbA)」,將零信任原則導入政府環境,進而加強應用程式與系統安全性。另外,啟動政府網路安全運營中心(Government Cybersecurity Operations Centre, GCSOC),該中心能提供即時監控,提高政府部門的勢態感知(Situational Awareness),能對安全威脅具更快速且準確的響應處置能力。
(3)提高政府的網路安全能力:除了確保公職人員具備足夠網路安全的技能與知識、為ICT&SS專業人員提供客製化的網路安全訓練計畫,並制定《網路安全功能能力框架(Cybersecurity Functional Competency Framework)》,提供政府網路安全專家明確的發展里程碑。
(三) 保護除了CIIs之外的重要實體與系統
(1)提升CIIs以外其他重要系統與實體的網路安全:政府將對數位環境作更廣泛的研究,以確保其他重要系統與實體獲得充分保護,免受惡意攻擊威脅。
(2)解決新型態數位營運模式所帶來的網路安全風險:數位科技推陳出新,政府將研究新興數位營運模式對公共政策的影響,並尋求適切之風險解決方案。
二、推動更安全的網路空間
(一)打造安全的數位基礎設施、設備及應用程式,以保護數位經濟
(1)保護新加坡網路基礎設施:政府透過保護國家網路基礎設施,為所有國人提供更多一層的保護。例如政府正與網路服務供應商合作,於本地網域實施「域名系統安全擴充(Domain Name System Security Extension, DNSSEC)」協議,增強網路安全性。
(2)保護用戶設備和端點安全:資安漏洞通常存於設備和端點中,但競爭激烈的ICT市場中,許多製造商經常將成本考量凌駕設備安全性上。新加坡政府除了鼓勵企業多投資於產品安全性上之外,也於2020年推出「網路安全標籤計畫」,讓消費者能輕易評估智慧設備的安全度。
(3)保護企業應用程式與軟體:駭客可利用應用程式中的漏洞來竊取用戶的機密資訊,為了鼓勵「軟體即服務(Software-as-a- Service, SaaS)」平台開發更安全的應用程式,政府將研究諸如SaaS產品標籤方案等措施。
(二)保護網路空間活動安全
(1)推動企業自我保護免受網路威脅:政府將提供網路安全資源給企業,從免費的自我保護工具到網路安全公司提供具經濟效益的解決方案。例如,現今人們越來越依賴行動裝置工作與進行休閒娛樂活動,因此網路犯罪組織亦瞄準行動裝置作攻擊。因此,政府將與業界合作,為人民開發行動端點解決方案,保護個人隱私。
(2)支持組織製定資料保護之基線標準:政府將加強為企業提供工具和自我保護平台,以加強資料保護與安全。另外,政府將與業界合作,為中小型企業提供數據保護服務,為資源有限的中小企業提供協助與支持。
(三)讓精通網路的公民擁有健康的數位生活方式
(1)提高對網絡安全的認知並改變態度:政府將展開全國網路安全意識運動,鼓勵人民採用良好網路衛生習慣,並針對學生、在職人員、老年人口等特定族群進行適合的推廣活動。
(2)促進採用最佳網路安全實作規範:除了提高人民網路安全意識外,政府還將支持與鼓勵個人用戶與企業自我保護網路安全。例如,CSA的Go Safe Online入口網站為公眾與企業提供實用的建議與技巧;另外,CSA還將為企業推出SG Cyber Safe Trustmark和網絡衛生標誌,能使企業清楚了解其網路安全級別,並向客戶提出保證。
三、加強國際網路合作
(一)促進發展與國際法相一致,自願性且不具約束力的準則
(1)推進國際網路規範和國際法於網路空間適用性之討論:新加坡積極參與聯合國的國際討論,包括聯合國於2004年成立之「政府專家小組(UN Group of Governmental Experts, GGE)」。新加坡申明國際法–尤其是《聯合國憲章(Charter of The UN)》–適用於網路空間,並積極推動相關網路規範和穩定性框架之制定與實施。此外,新加坡受邀出任聯合國2021至2025年擔任資通訊安全與發展開放性工作小組主席。
(2)與合作夥伴一同實施網路規範:2018年,東協(ASEAN)成為第一個原則上同意11項自願、不具約束力之「負責任國家網路空間行為規範(Norms of Responsible State Behaviour in Cyberspace)」之區域組織。接下來,新加坡正和「聯合國裁軍事務廳(UNODA)」與馬來西亞等夥伴合作,制定區域行動計畫,以實施上述規範。此外,於「聯合國–新加坡網路計畫(UN–Singapore Cyber Programme)」架構下,新加坡將與東協以及全球合作夥伴共同制定「規範實施確認清單(Norms Implementation Checklist)」。
(二) 透過加強能力建設和制定互操作性網路安全標準,以強化全球網路安全態勢
(1)支持安全穩定網路空間的能力建設:國際討論已由傳統網路安全主題,擴展至新興技術與數位安全;各國需進行能力建構,以因應不斷變化的網路威脅。新加坡將與東協對話夥伴(ASEAN Dialogue Partners)、產業界及學術界密切合作。
(2)促進客觀技術網路安全標準的制定和採用:新加坡致力於國際間發展和採用技術性與可互操作性(Interoperable)的網路安全標準。例如「通用標準(Common Criteria)」為允許相互承認安全IT產品之國際標準。另外,新加坡網路安全局(CSA)推動的「網路安全標籤計畫(Cybersecurity Labelling Scheme)」,能提高全球消費性物聯網產品之安全性。
(三)打擊跨境網路威脅
(1)與主要國家維持穩健、雙向的網路安全關係:新加坡將加強與主要國際合作夥伴的定期交流,分享技術資訊、網路政策等,以強化全球網路安全。
(2)強化多邊合作以應對跨境網路挑戰:積極參與各國際電腦緊急應變處理小組(Computer Emergency Response Team, CERT),密切合作調查網路事件與減輕網路威脅。此外,與國際刑警組織/民營部門聯手打擊跨境網路犯罪、每年舉辦「東協網路事件演習(ASEAN Cyber Incident Drill, ACID)」、以及參與「東協資訊交流機制(ASEAN Information Exchange Mechanism)」。
四、發展活躍的網路安全生態系統
(一)發展促進經濟成長與提升國家安全之先進能力
(1)將研究成果轉化為創新且具經濟效益的產品:持續與研究人員與終端用戶合作,確認網路安全研發方向,以利研究成果能直接應用並解決現實世界的挑戰。另外,密切與產業界合作,將研究收穫轉化為商業產品,以同時滿足安全與經濟面之目標。
(2)協助高等教育機構、政府以及業界合作夥伴建立深厚網路安全能力:擴大投資以發展深度網路安全能力、與通過審核的產業夥伴合作以促進本地網路/網路防禦具戰略價值領域之深度能力建設、吸引具深厚網路安全能力的頂尖國際企業於新加坡成立工程或研發單位。
(二)透過創新打造世界一流的產品與服務
(1)支持產業創新:網路威脅瞬息萬變,網路安全業者需不斷創新並投資新的解決方案,以保持領先地位。
(2)支持新創公司成長:除了支持成熟的網路安全公司,鼓勵新興網路企業家與新創公司也同等重要。創新網路安全生態系統計畫ICE71即提供相關支援,包括社區外展與創業計畫,以促進利益關係人之間的合作。
(3)開發國際認可之網路安全產品:確保新加坡網路安全產品符合相關國際標準,以提升國際市場認可,已施行「新加坡通用標準計畫」(Singapore Common Criteria Scheme),根據國際通用標準評估並認證其IT 產品,為消費性智慧裝置制定「網路安全標籤計畫」。
(三)擴展網路安全市場
(1)鼓勵企業採用網路安全解決方案:中小企業可由中小企業數位化計畫下,獲得網路安全解決方案補貼;對於有特定網路安全需求之大型企業與組織,有鑑於終端用戶未必熟悉市場上廣泛的解決方案,政府將協助促進複雜解決方案之供需配對。
(2)協助網路安全業者邁向國際:新加坡政府正協助具潛力的網路安全業者往海外擴展,出口「Made-in-Singapore」的網路安全解決方案。
五、培育網路安全人才
(一)支持年輕人、女性和職涯中期專業人士共同參與網路安全事業
(1)使年輕人感興趣並將網路相關技術作為職業:政府將與學校、其他合作夥伴密切合作,透過網絡安全訓練營、比賽、職業訓練等方式吸引年輕人並加以培育,以建立長期本地人才管道與儲備。
(2)吸引多元化人才:除了推出網路安全教育計畫,網路安全協會和技術專家也規劃了事業轉換計劃,激勵更多人加入網路安全領域。
(二)為具有全球競爭力的勞動力創造提升技能的文化
(1)提升職業生涯並促進深厚技能發展:政府將透過良好職涯規劃和技能培訓,為專業人士提供便利性與指導。例如,政府推出ICT技術框架和OT網路安全能力框架,企業可以利用這些工具,增強內部網路安全人員的專業技術。另外,網路安全專業人員能獲得培訓補助金、加入SG網路領導者計畫,與當前或未來的網路安全領導者維持良好的溝通與聯繫。
(2)於公部門培養、訓練及維持網絡安全專業人員:政府將為公部門的網路安全專業人員安排良好的職涯規劃,例如,CSA制定了網路安全發展計劃,為公部門培訓一個網路安全專家庫,待完成課程後,參與者可選擇在公共服務領域或私營單位從業。
(三)培育活絡且具強大專業的社群
支持網路安全社區並獲卓越認可:政府每年將頒發CSA支持網路安全獎,表彰為當地社區網路安全生態系統作出重大貢獻的人才或企業。展望未來,政府將加強與工程師、軟體開發人員等其他專業機構的合作,鼓勵其建構安全設計產品與服務。
六、結語
臺灣「六大核心戰略產業」中,特別著重「資安卓越」面向,而我國近年加速各方面的數位轉型、積極發展資通訊與前瞻科技的研發應用,也代表臺灣正面對新興科技所帶來的種種資安挑戰。新加坡網路安全局發布的《2021年新加坡網路安全策略》,即為因應科技轉變而層出不窮的新型態網路威脅,所發展出的網路安全戰略架構與保衛智慧國家的藍圖,可作為我國之參考借鏡。