一、前言

美國白宮在2023年三月提出國家網路安全戰略書（National Cybersecurity Strategy）以提供人民安全可靠的數位生態系統。核心概念強調網路空間（Cyberspace）應該是賦予人民便利的工具，不該成為人民的威脅，同時在網路空間也應該主張國家價值觀，包括安全與繁榮的經濟、尊重人權與基本自由、對民主制度和民主國家的信任以及實踐一個公平多元化的社會。在網路威脅發生時，聯邦政府必須能及時整合國家、地方、部族和地域間的合作夥伴，一同應對網路威脅。

戰略書聲明網路空間應該要朝下列方向前進：
(1) 更有防禦性：網路防護能力必須更全面、更有效且低經濟負擔。
(2) 更有韌性：降低網路事件或威脅的擴張和影響範圍。
(3) 更有價值認同：能在網路空間彰顯甚至強化國家價值觀。

茲於以下分述五點戰略途徑與分項。

二、美國國家網路安全戰略

(一)強化基礎設施防禦能力

為了擴大國家部門與公共網絡的重要基礎設施安全性，需要制定與更新相關法規，以減輕部會尋找法規依循的負擔，同時加速公私部門合作，促進相關服務的開發。例如由美國網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency，CISA）主導，成立聯合網路防禦協作機制（Joint Cyber Defense Collaborative，簡稱JCDC），根據2021年國防授權法（National Defense Authorization Act of 2021）賦予的權限，匯集公私部門協力合作抵抗重要基礎設施的網路威脅。同時CISA密切與部門風險管理機構（Sector Risk Management Agencies，SRMAs）合作，找出公私部門合作時的需求與缺口，代表性政府單位包括國家安全局（National Security Agency，NSA）、司法部（Department of Justice，DOJ）、國防部（Department of Defense，DOD）、聯邦調查局（Federal Bureau of Investigation，FBI）等等，共同組成聯合網路防禦協作辦公室，其餘包括州政府、地方政府、資訊共享與分析組織（Information Sharing and Analysis Originations，ISAOs）等，多方合作蒐集網路威脅經驗，參照行政命令14028，進行資訊科技（information technology，IT）和營運科技（Operational Technology，OT）的融合與更新，現代化國家網路安全系統。

(二)破壞和移除威脅者，使威脅者無法危害國家或公共安全

包括司法部與國防部等相關部會合作，戰略性地運用國家公權力工具破壞威脅者，成立國家網路共同調查專案組（National Cyber Investigative Joint Task Force，NCIJTF）、網路威脅情報整合中心（Cyber Threat Intelligence Integration Center，CTIIC）、更新國家網路事件響應計畫（National Cyber Incident Response Plan，NCIRP）加強網路威脅事件申報與應對。最有效預防網路威脅的方法應從源頭開始，不論是提供基本儀器的廠商和獨立開發者，或是配套軟體開發端，雖然有自由設計的權利，但也應預防性考量威脅者入侵，從源頭設計相關因應手段，例如美國國家標準暨技術研究院（National Institute of Standards and Technology，NIST）提出的安全軟體開發框架（Secure Software Development Framework，SSDF），包括組織層面的準備、保護軟體、產出安全軟體以及弱點應對四大項觀念，提供設計端依循準則。而召集三十多個國家參與的反勒索軟體倡議（Counter Ransomware Initiative，CRI），以及CISA和FBI共同主持的聯合勒索軟體特派組（Joint Ransomware Task Force，JRTF），搜索非法加密貨幣，進行反洗錢和反恐怖主義融資（Anti-Money Laundering and Counter the Financing of Terrorism，AML/CFT）的操作，將主動抗衡威脅軟體，藉此打擊網路犯罪。 

(三)塑造市場力量以提高安全性與韌性

個人資料的安全性是整體網路安全的基礎，政府會藉由立法監督個人資料的蒐集、使用、傳輸與持有過程，增進個人資料的安全性。行政命令14028推動持續發展安全物聯網（Internet of things，IoT）設備的更新，IoT設備指各種可透過連接網路來提供服務的裝置，例如嵌入感測器、處理器、通訊硬體設備等，透過強化這些軟硬體的開發流程與規範，降低網路威脅風險。而消費者容易接觸到低價格但安全性不佳的網路產品，其安全性的責任應歸屬於其中的利益相關者，而非由最終使用者，因此藉由法規約束企業在訂定網路安全相關契約時，要負責且履行訂下的承諾，此舉能提高提高數位系統中具因應威脅能力部門的責任範圍，降低或轉移相對脆弱部門所受到的風險。最後是確保聯邦經費能實際投入安全且有韌性的新基礎設施建置，預先準備面對網路威脅的應對方案。

(四)投資一個更有韌性的未來

數位環境的技術汰換快速，新技術剛出現時不穩定，容易遭受攻擊，例如邊界網關協議漏洞、未加密的域名系統請求和IPv6採用緩慢等，故聯邦政府將偕同產業領袖、國際聯盟、學術機關、專業協會、消費者團體等，制定開發依循標準與調配資金投入，從設計端減少技術弱點，預防威脅。量子電腦與量子演算法的出現，使得部分現行的加密系統有機會被快速破解，除了國家安全備忘錄（NSM10）設立了及時演算法轉換程序供參考，聯邦政府也會優先檢視較脆弱的公眾網路進行更新，同時示範並輔導先進網路安全技術的研發，例如人工智慧、營運科技和工業控制系統、雲端設施等等。數位服務、社群網絡與付費系統的發展，使得數位身分的使用跟竊盜事件也更頻繁，聯邦政府鼓勵各方發展更具隱私安全、公平公正且可互通操作的相關技術保護數位身分隱私。因應發展潔淨能源的趨勢，新興的設備電力供應、智慧電網、雲端操作系統，將朝向大容量、可控負載、精煉化、自動化與數位互通的模式發展，可能成為網路攻擊的對象，相關部會亦將同步開發相應安全維護機制。 同時，聯邦將透過多方合作的投資或培訓，擴展參與網路安全人才的數量、技能多樣性、性別人種公平性等面向，以因應未來網路安全勞動力的大量需求。

(五)打造追求共同目標的國際夥伴關係

美國強調願意對網路空間有負責任行為的國家應該得到強化，不負責任的行為將被孤立且須支付高代價。志同道合的國家藉由聯盟和夥伴關係，共同準備因應策略，提升對抗跨國性網路威脅的應變能力。如美印日澳四方安全對話（The Quad）、印太經濟繁榮框架（IPEF）和美國經濟繁榮夥伴關係（APEP）、美歐貿易技術委員會（TTC）、澳英美三方安全伙伴關係（AUKUS）等等，美國將指揮各部會幫助聯盟夥伴更新重點設備、提升偵測和通報網路威脅的能力、增進資訊傳遞及法律規範，並判斷何時提供救援與輔導給聯盟夥伴，例如引導北約組織（NATO）建立網路攻擊支援能力。聯盟間也會有策略和資源的配合，策略上如外交孤立、經濟成本、反網路執法行動和法律制裁來加強國際規範；資源上如美國和聯盟夥伴一同建立5G開放性無線接入網路（Open RAN），另有行政命令14017規範加強安全彈性、共通互融的全球供應鏈。