焦點報導

首頁> 焦點報導清單> 美國2023年國家網路安全戰略

美國2023年國家網路安全戰略

劉涵芳/ 發布日期:2023/05/02/ 瀏覽次數:873

一、前言

美國白宮在2023年三月提出國家網路安全戰略書(National Cybersecurity Strategy)以提供人民安全可靠的數位生態系統。核心概念強調網路空間(Cyberspace)應該是賦予人民便利的工具,不該成為人民的威脅,同時在網路空間也應該主張國家價值觀,包括安全與繁榮的經濟、尊重人權與基本自由、對民主制度和民主國家的信任以及實踐一個公平多元化的社會。在網路威脅發生時,聯邦政府必須能及時整合國家、地方、部族和地域間的合作夥伴,一同應對網路威脅。

戰略書聲明網路空間應該要朝下列方向前進:
(1) 更有防禦性:網路防護能力必須更全面、更有效且低經濟負擔。
(2) 更有韌性:降低網路事件或威脅的擴張和影響範圍。
(3) 更有價值認同:能在網路空間彰顯甚至強化國家價值觀。

茲於以下分述五點戰略途徑與分項。

 

 

二、美國國家網路安全戰略

(一)強化基礎設施防禦能力

為了擴大國家部門與公共網絡的重要基礎設施安全性,需要制定與更新相關法規,以減輕部會尋找法規依循的負擔,同時加速公私部門合作,促進相關服務的開發。例如由美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)主導,成立聯合網路防禦協作機制(Joint Cyber Defense Collaborative,簡稱JCDC),根據2021年國防授權法(National Defense Authorization Act of 2021)賦予的權限,匯集公私部門協力合作抵抗重要基礎設施的網路威脅。同時CISA密切與部門風險管理機構(Sector Risk Management Agencies,SRMAs)合作,找出公私部門合作時的需求與缺口,代表性政府單位包括國家安全局(National Security Agency,NSA)、司法部(Department of Justice,DOJ)、國防部(Department of Defense,DOD)、聯邦調查局(Federal Bureau of Investigation,FBI)等等,共同組成聯合網路防禦協作辦公室,其餘包括州政府、地方政府、資訊共享與分析組織(Information Sharing and Analysis Originations,ISAOs)等,多方合作蒐集網路威脅經驗,參照行政命令14028,進行資訊科技(information technology,IT)和營運科技(Operational Technology,OT)的融合與更新,現代化國家網路安全系統。

(二)破壞和移除威脅者,使威脅者無法危害國家或公共安全

包括司法部與國防部等相關部會合作,戰略性地運用國家公權力工具破壞威脅者,成立國家網路共同調查專案組(National Cyber Investigative Joint Task Force,NCIJTF)、網路威脅情報整合中心(Cyber Threat Intelligence Integration Center,CTIIC)、更新國家網路事件響應計畫(National Cyber Incident Response Plan,NCIRP)加強網路威脅事件申報與應對。最有效預防網路威脅的方法應從源頭開始,不論是提供基本儀器的廠商和獨立開發者,或是配套軟體開發端,雖然有自由設計的權利,但也應預防性考量威脅者入侵,從源頭設計相關因應手段,例如美國國家標準暨技術研究院(National Institute of Standards and Technology,NIST)提出的安全軟體開發框架(Secure Software Development Framework,SSDF),包括組織層面的準備、保護軟體、產出安全軟體以及弱點應對四大項觀念,提供設計端依循準則。而召集三十多個國家參與的反勒索軟體倡議(Counter Ransomware Initiative,CRI),以及CISA和FBI共同主持的聯合勒索軟體特派組(Joint Ransomware Task Force,JRTF),搜索非法加密貨幣,進行反洗錢和反恐怖主義融資(Anti-Money Laundering and Counter the Financing of Terrorism,AML/CFT)的操作,將主動抗衡威脅軟體,藉此打擊網路犯罪。 

(三)塑造市場力量以提高安全性與韌性

個人資料的安全性是整體網路安全的基礎,政府會藉由立法監督個人資料的蒐集、使用、傳輸與持有過程,增進個人資料的安全性。行政命令14028推動持續發展安全物聯網(Internet of things,IoT)設備的更新,IoT設備指各種可透過連接網路來提供服務的裝置,例如嵌入感測器、處理器、通訊硬體設備等,透過強化這些軟硬體的開發流程與規範,降低網路威脅風險。而消費者容易接觸到低價格但安全性不佳的網路產品,其安全性的責任應歸屬於其中的利益相關者,而非由最終使用者,因此藉由法規約束企業在訂定網路安全相關契約時,要負責且履行訂下的承諾,此舉能提高提高數位系統中具因應威脅能力部門的責任範圍,降低或轉移相對脆弱部門所受到的風險。最後是確保聯邦經費能實際投入安全且有韌性的新基礎設施建置,預先準備面對網路威脅的應對方案。

(四)投資一個更有韌性的未來

數位環境的技術汰換快速,新技術剛出現時不穩定,容易遭受攻擊,例如邊界網關協議漏洞、未加密的域名系統請求和IPv6採用緩慢等,故聯邦政府將偕同產業領袖、國際聯盟、學術機關、專業協會、消費者團體等,制定開發依循標準與調配資金投入,從設計端減少技術弱點,預防威脅。量子電腦與量子演算法的出現,使得部分現行的加密系統有機會被快速破解,除了國家安全備忘錄(NSM10)設立了及時演算法轉換程序供參考,聯邦政府也會優先檢視較脆弱的公眾網路進行更新,同時示範並輔導先進網路安全技術的研發,例如人工智慧、營運科技和工業控制系統、雲端設施等等。數位服務、社群網絡與付費系統的發展,使得數位身分的使用跟竊盜事件也更頻繁,聯邦政府鼓勵各方發展更具隱私安全、公平公正且可互通操作的相關技術保護數位身分隱私。因應發展潔淨能源的趨勢,新興的設備電力供應、智慧電網、雲端操作系統,將朝向大容量、可控負載、精煉化、自動化與數位互通的模式發展,可能成為網路攻擊的對象,相關部會亦將同步開發相應安全維護機制。 同時,聯邦將透過多方合作的投資或培訓,擴展參與網路安全人才的數量、技能多樣性、性別人種公平性等面向,以因應未來網路安全勞動力的大量需求。

(五)打造追求共同目標的國際夥伴關係

美國強調願意對網路空間有負責任行為的國家應該得到強化,不負責任的行為將被孤立且須支付高代價。志同道合的國家藉由聯盟和夥伴關係,共同準備因應策略,提升對抗跨國性網路威脅的應變能力。如美印日澳四方安全對話(The Quad)、印太經濟繁榮框架(IPEF)和美國經濟繁榮夥伴關係(APEP)、美歐貿易技術委員會(TTC)、澳英美三方安全伙伴關係(AUKUS)等等,美國將指揮各部會幫助聯盟夥伴更新重點設備、提升偵測和通報網路威脅的能力、增進資訊傳遞及法律規範,並判斷何時提供救援與輔導給聯盟夥伴,例如引導北約組織(NATO)建立網路攻擊支援能力。聯盟間也會有策略和資源的配合,策略上如外交孤立、經濟成本、反網路執法行動和法律制裁來加強國際規範;資源上如美國和聯盟夥伴一同建立5G開放性無線接入網路(Open RAN),另有行政命令14017規範加強安全彈性、共通互融的全球供應鏈。
 

延伸閱讀
資料來源