科技議題

首頁> 科技議題 - 智慧科技> 2021年新加坡網路安全策略
2021年新加坡網路安全策略 The Singapore Cybersecurity Strategy 2021
2021/10
Cyber Security Agency of Singapore (CSA)
https://www.csa.gov.sg/News/Publications/singapore-cybersecurity-strategy-2021
前言

五年前,第一版的《2016 年新加坡網路安全策略》為新加坡現今的網路安全奠定了基礎,然而,不論策略或技術環境,皆於過去五年間發生重大變化。因此,新加坡網路安全局(CSA)發布《2021 年新加坡網路安全策略》,以因應新型態的網路威脅。本文摘要其中三項重點策略。

一、建立彈性的基礎設施

(一) 以關鍵資訊基礎設施為核心,發展全國性的網路安全協調機制

1. 以政策防禦日益複雜的網路威脅
(1) 實施分層執行且協調充分的全國性網路防禦制度。
(2) 鼓勵關鍵資訊基礎設施(CII)的所有者採取「零信任」(Zero-Trust)的網路安全立場。
(3) 若某一服務或基礎設施運作中斷,即可能對國家造成重大連鎖反應,則採用「風險基礎方法」(Risk-Based Approach),以提升該系統的網路安全性。例如,網路安全局(CSA)正在開發 CII 供應鏈計畫,為所有的利益關係人提供建議。
(4) 改變思維模式,將網路安全視為企業風險管理問題,而非法規問題。

2. 加強保護、偵測、應對,以及從惡意網路攻擊中恢復的能力
(1) 加強偵測與分析惡意網路活動的技術能力,以防禦此類威脅,包括開發「網路融合平台」(Cyber Fusion Platform),提升政府調查的速度與效率。
(2) 加強應對與恢復的能力,政府將推行新的國家網路安全指揮中心(National Cyber Security Command Centre)與其他措施。
(3) 政府將與 CII 所有者以及其他組織合作,解決網路安全中的各項人員、流程與技術挑戰。

3. 確保政策與法律框架適用於不斷增加的網路物理風險(Cyber-Physical Risk)
(1) 網路攻擊的影響不再限於數位領域,正蔓延至物理世界,政策與法律框架必須與時俱進,以減輕網路物理風險的影響。例如,美國最大燃油管道系統商Colonial Pipeline遭勒索軟體攻擊,便是網路物理風險的案例。
(2) 審查《網路安全法(Cybersecurity Act)》。
(3) 引入「OT 網路安全總體規畫」(OT Cybersecurity Masterplan) 與「OT 網路安全能力框架」(OT Cybersecurity Competency Framework) 等措施。

(二) 確保政府系統的安全與彈性

1. 審查網路政策,並於政府部門執行分層要求
(1) 政府以指導手冊八(Instructional Manual 8, IM8)作為保護其資通訊與智慧系統(ICT&SS) 資產的管理工具。IM8的安全政策根據系統的類別與重要性,為政府系統量身制定網路衛生指引(Security Hygiene Practices)。
(2) 智慧國家及數位政府工作小組(SNDGG)提供諮詢服務,並於整個政府門布署首席資訊安全長(CISO),以支援 IM8 的安全控管。
(3) 對政府系統進行定期的滲透測試(Penetration Testing),找出需要解決的漏洞,以防止潛在漏洞遭利用。

2. 將政府的網路安全架構現代化
(1) 實施「基於信任的政府架構」(Government Trust-based Architecture,GTbA),將「零信任」原則帶入政府環境,進而加強應用程式與系統的安全性。
(2) 啟動政府網路安全運營中心(GCSOC),提供即時監控,提高政府部門的勢態感知 (Situational Awareness),並提升回應事件的速度與準確率。

3. 提高政府的網路安全能力
(1) 確保公職人員具備足夠的技能與知識,以保障自身的網路安全。
(2) 制定《網路安全功能能力框架(Cybersecurity Functional Competency Framework)》,為政府網路安全專家提供明確的發展里程碑。
(3) 智慧國家及數位政府工作小組(SNDGG)推出GovTech Digital Academy數位學院,將為政府的 ICT&SS 專業人員提供客製化的網路安全訓練計畫。

(三) 保護其他重要實體與系統

1. 提升CII以外其他重要系統與實體的網路安全
部分系統與實體不提供基本服務,但倘若中斷或受損,仍會對新加坡產生重大影響。政府必須提高相關網路安全作法,研究更廣泛的數位環境,以確保重要系統與實體獲得充分保護。

2. 解決新型態數位營運模式所帶來的網路安全風險
數位科技推陳出新,政府必須準備因應新的營運模式;政府將研究新興數位營運模式對公共政策的影響,並適時處理風險。

二、加強國際網路合作

(一) 促進發展和執行與國際法相一致、自願性且不具約束力的準則

1. 促進國際網路規範之討論,以及理解國際法於網路空間中之應用
(1) 新加坡積極參與聯合國的國際討論平台,包括聯合國政府專家小組(UN Group of Governmental Experts)。
(2) 新加坡於國際討論中,確認國際法適用於網路空間,尤其是《聯合國憲章》(Charter of the UN),強調各國需遵守網路規範與穩定性框架。
(3) 新加坡將積極貢獻並推動相關討論,例如,新加坡將於2021-2025年擔任資通訊安全與發展開放性工作小組主席(Open-Ended Working Group on Security of and in the Use of ICTs)。

2. 與合作夥伴一同實施網路規範
(1) 2018年,東協(ASEAN)原則上同意11項自願、不具約束力之「負責任國家網路空間行為規範(Norms of Responsible State Behaviour in Cyberspace)」,並成為第一個同意此類規範的區域組織。
(2) 新加坡正與聯合國裁軍事務廳 (UNODA) 以及馬來西亞等合作夥伴制定區域行動計畫,以實施上述規範。
(3) 於「聯合國─新加坡網路計畫 (UN-Singapore Cyber Programme)」架構下,新加坡將與東協以及全球合作夥伴制定「規範實施確認清單 (Norms Implementation Checklist)」。

(二) 實施能力建構措施,制定具可互操作性的網路安全技術標準,以強化全球網路安全形勢

1. 支持能力建構,打造安全穩定的網路空間
(1) 網路安全的國際討論,已由傳統主題擴展至新興技術與數位安全性,各國需進行能力建構 (Capacity Building),以因應變化多端的的網路威脅局面。
(2) 新加坡將與東協對話夥伴 (ASEAN Dialogue Partners)、業界,以及學術夥伴密切合作。

2. 促進發展客觀的網路安全技術標準,並加以採用
(1) 於現有基礎上,新加坡致力於在國際間發展並採用具可互操作性(Interoperable)的網路安全技術標準。例如,「通用標準 (Common Criteria) 」允許相互承認安全的IT產品。
(2) 新加坡努力實現本國計畫之間的互通性,包括由網路安全局(CSA)推動的「網路安全標籤計畫(Cybersecurity Labelling Scheme)」,以提高全球消費性物聯網產品的安全性。

(三) 為打擊跨境網路威脅貢獻力量

1. 與主要國家維持穩固的雙邊網路安全關係
(1) 透過定期對話,加強與主要國際合作夥伴的連結,共享營運與技術資訊。
(2) 與他國交流網路政策、生態體系,以及勞動力發展方面的最佳實踐(Best Practices),以強化全球網路安全。

2. 強化多邊合作,因應跨境網路挑戰
(1) 積極參與各類國際計算機應急響應小組(CERT),並與其密切合作,調查網路事件,降低網路威脅。
(2) 與國際刑警組織以及民營部門夥伴密切合作,打擊跨境網路犯罪。
(3) 每年舉辦「東協網路事件演習 (ACID)」。
(4) 參與「東協資訊交流機制(ASEAN Information Exchange Mechanism)」。

三、發展活躍的網路安全生態系統

(一) 發展可促進經濟成長與提升國家安全的先進能力

1. 將研究成果轉化為創新且具經濟可行性的產品 (Economically Viable Products)
(1) 持續與研究人員與終端使用者合作,確認網路安全之研發方向,以利將研究成果直接應用於解決現實挑戰。
(2) 與業界密切合作,將研究成果轉化為商業產品,以滿足安全與經濟方面的目標。
(3) 將於研發初期加入終端使用者思維,並增加網路安全的產學合作。
(4) 推動「國家網絡安全研發計畫(NCRP)」,作為實施上述政策的關鍵媒介。

2. 協助高等教育機構、政府以及業界合作夥伴建立深厚的網路安全能力
(1) 擴大投資,發展深度網路安全能力,此舉將有利於本地網路安全產業發展。
(2) 與選定的產業夥伴合作,促進本地網路安全產業建立深度能力,尤其是對網路防禦具戰略價值的領域。
(3) 透過持續努力,吸引國際間具深厚網路安全能力的頂尖企業,於新加坡成立工程或研發單位。

(二) 透過創新,打造世界一流的產品與服務

1. 支持產業創新
(1) 有鑑於網路威脅形勢瞬息萬變,網路安全業者需不斷創新並投資新的解決方案,以保持領先地位,政府將加強對創新的支持。
(2) 推行「網路安全創新徵選」獎助計畫 (Cybersecurity Industry Call for Innovation),鼓勵企業創新。

2. 支持網路新創企業成長
除了支持成熟的網路安全公司,鼓勵新興網路企業家與新創公司也同等重要。創新網路安全生態系統計畫ICE71即提供相關支援,包括社區外展與創業計畫,以促進利益關係人之間的合作。

3. 開發國際認可之網路安全產品
(1) 確保本地網路安全產品符合相關國際標準,提升國際市場認可。
(2) 實施「新加坡通用標準計畫(Singapore Common Criteria Scheme)」,根據國際通用標準評估IT產品,並進行認證。
(3) 針對消費性智慧裝置,建立「網路安全標籤計畫(Cybersecurity Labelling Scheme)」。
(4) 擴大上述方案,使企業產品進行安全性評估與測試變得更加容易。

(三) 發展網路安全市場

1. 使網路安全解決方案更易於取得,並鼓勵企業採用
(1) 透過SMEs Go Digital計畫,中小企業可取得事先已獲補貼之網路安全解決方案。
(2) 部分大型企業與組織有特定網路安全需求,有鑑於終端使用者未必熟悉市場上的解決方案,政府將協助進行複雜解決方案之供需配對。

2. 協助本地網路安全業者邁向國際,掌握全球與區域需求
政府正嘗試協助具潛力的本地網路安全業者往海外擴展,出口「新加坡製」的解決方案,包括協助企業將解決方案曝光於國際平台。
林玥彤
英文