:::

寰宇韜略

給美國第45位總統的網安政策建議(上)

◎邱榮守(譯)

 著名智庫戰略與國際研究(CSIS)於2009年專為美國第44位總統成立網路安全委員會,並提出全面性網路安全的戰略建議。自8年前發布研究報告以來,美政府已實施多項措施,大眾對網路安全的關注也呈指數成長,然國家仍處於危險之中且眾多工作有待新政府繼續推動執行。因此,CSIS再次針對此議題,向新政府提出政策、組織改進及資源需求等面向的政策建議。本報特別摘錄重要內容與讀者共享。(編按)

 前言

 我們至今仍處於危險之中,因為複雜網路架構技術的本質是脆弱的。再者,要落實網路上的執法也是困難重重,更何況有些國家拒絕配合相關起訴行動。還有,各國都不願放棄網路間諜或軍事網路作戰的益處。在國內,因為政治對抗已讓許多措施陷入僵局並遲緩網路安全的進步。

 我們對於網路安全戰略目標的建議仍同前報告:創造一個安全與穩定的數位環境,支持經濟的持續性成長,同時保護個人的自由與國家安全。對於任務推動的策略要求亦維持不變:由白宮負責統一指導,在政策、組織與資源的運用方面建立一個全面性的協調機制。對政策發展而言,明確設定目標是成功達成政策目的與要求的前提,因為網路安全已不再是一個「未開發的領域」。

 持續性的挑戰

 新政府將繼續承接執行中的任務,且應在既有基礎上進行相關革新的工作。預期未來將面對的重大難題有5項:

 1.新政府必須決定新的國際戰略,以因應一個非常不同且危險的全球安全局勢。

 2.它必須以更大的努力來降低與控制網路犯罪的發生。

 3.它必須積極作為來確保關鍵基礎設施與服務的安全,提高各經濟部門的網路安全。在此方面,它需要提出新方法來強化政府的功能與服務,並增進身分驗證的安全。

 4.在資源運用(如研發或必要的勞動力發展)的議題上,它必須確認那些工作由聯邦政府來做及那些任務交由民間企業執行較佳。

 5.最後,它必須考慮如何整合美國有關部門來共同捍衛網際空間的安全。明確律定美國國土安全部(DHS)的網路安全角色,並強化其功能或者另立新的網路安全專責機構。

 網路安全指導的主要原則有以下兩點:一是對外國罪犯要殺鷄儆猴並激勵國內業者提供更好的網路安全。二是對於網路犯罪、間諜活動及網路攻擊等惡意行為要採取明確的反制與懲罰措施,這是降低網路風險最有效的手段(特別是與志同道合國家一起合作執行)。由於資安風險無法完全地被消除,所以較保險的網路安全措施就是維持關鍵基礎設施之高標準資安規格,同時提升所有線上資安人員的本職學能。要達成這些任務需要投入更多資源,然資源問題並不是提升網路安全的主要障礙,主要障礙是來自政府長期以來無法明確釐清其任務角色及缺乏執行力。

 這8年來,社會大眾對於網路風險的覺知已大幅增長。美國雖做了很多預防措施,然從攻擊者的角度切入,網際空間仍是一個充滿無限機會的場域。網路犯罪及間諜活動無所不在,且強大的對手已開始使用網路攻擊來對付美國及威脅其利益。

 要改變此趨勢並不容易,當今國家政策所面臨的情勢挑戰遠較8年前更加險峻。自2009年以來,網路攻擊者的科技及人才數量呈現大幅成長。沒有一個網路是絕對安全的,亦沒有所謂的科技「銀子彈」。也就是說,聯邦政府的作為愈緩慢,美國的網路安全則愈弱化。

 要避免做的事情

 在網路安全方面,歐巴馬政府雖已取得重要的進展,但亦面臨兩個認知上的難題。第一是有一種想法認為民間企業對於網路安全會自發性的提出解決方案,且盡量減少政府的參與涉入。但事實並非如此,網路安全的問題一直未獲解決,且沒有技術上的解決方案。對於政府角色的更多論辯,除愈加模糊公私部門的權責界限外,亦讓政府更加猶豫及畏縮不前。

 第二是對聯邦政府運作機制的誤解。白宮所有部門都傾向採用官僚體制外的運作模式,因此大量引進企業高階經理人到政府任事。然而,這些作為更加深組織運作的困難,因為各部門對於計畫的推動有其自身的運作規則、關係和程序。不同於私部門,政府決策是集體化、受到內外部壓力的影響(官僚組織與政治利益團體)及各種資源與人力運用規範的限制。

 20世紀90年代,有很多政策到最後都變成陳腔濫調的口號。因此,新任政府在提出政策時,應考量當今網路環境的實需,對民間企業與政府部門的資安成效也要提出可量測的改善措施。同時,新政府應該避免推動大型的國家計畫,因為它們通常會落空失敗,如網路可信任身分國家戰略(NSTIC)所達到的成效非常有限。根據經驗教訓,計畫方案的推動必須仔細衡量市場力量(產品或服務的使用者很少,或甚至沒有需求,或者有其它商用替代品),爭取國會的支持及由白宮來主導推動。(待續)

友善列印

相關新聞

熱門新聞