:::

寰宇韜略

給美國第45位總統的網安政策建議(下)

◎邱榮守(譯)

(接上文) 

 網路攻擊的風險

 網路上的犯罪與間諜活動,讓美國及全球每年損失好幾百億美元的代價,但最大的風險是網路攻擊,其所產生的效果等同於使用武力。至今,國家是唯一能夠啟動毀滅性攻擊的行為者。根據美國及外國情報部門的評估,非國家行為者仍未具備此種能力且未來數年內亦無法建立此能力。網路行為已是國家衝突的一部分,而且攻擊的風險性也漸升高,甚至增加武裝衝突的可能性,如在南中國海、波羅地海或中東地區。從衝突、誤判及對抗可能性來評估網路攻擊的風險性,最有可能被攻擊的目標是關鍵基礎設施,包括能源、電信、金融、政府機關及交通運輸。

 捍衛這些設施的安全是網路安全戰略與計畫的首要任務,然美國在確保系統存活率、快速復原及恢復服務等能力方面做得還不夠好,這意謂著新政府需要採取更全面性的途徑,來確保關鍵基礎設施的網路安全。我們需要一個「戰略」的方法,從我們對手的角度來評估各目標的價值,進而決定風險的大小程度。網路攻擊會造成巨大損害的目標,或產生重大戰略效應的軍事與經濟能力,均需優先強化其防禦能力。雖各公司的資安措施已符合最基本的網路安全標準,然更安全的做法是針對這些特殊部門訂定專用的資安標準,以確保服務持續不斷。

 對新政府的政策建議

 1.修正國際安全戰略:2011年的國際戰略需要修正以符實情所需,以有效對付網路空間中最有能力及活躍的對手(俄羅斯與中共)。

 2.採取新的途徑來建立國際穩定的網際安全協議:在此方面可以運用兩軌策略,一種是對志同道合的國家簽訂協議;另一種是對獨裁國家採取降低風險的措施。

 3.擴大嚇阻及給予明確處罰:提升網路犯罪的起訴與定罪率,並對於間諜與壓迫行動採取更大的制裁或控訴手段。

 4.採取更果斷措施來打擊網路犯罪:「布達佩斯網路犯罪公約」自15年前開放簽署以來,至今僅有50國加入,要突破此僵局可以採取以下兩種作為。第一、對於那些拒絕配合執法的國家,要有適當的反制作為;第二、尋求新的談判工具,保留公約的優點及把未加入國家(如巴西、印度甚或中共)所關切的事項納入談判協商。

 5.保護全球數據流程:與志同道合國家所簽訂的任一協議均應遵守隱私與公民自主的標準,對於沒有簽訂協議的國家則依各國法律來處置。

 6.資料保護、隱私及網路安全:更新個人可識別資訊(PII)的定義,並發展一個與隱私相關資料類型的分類系統,進而實施更嚴謹的數據保護工作,同時要求國會修正「聯邦貿易委員會法」並建立數據保護專責機構。

 7.提升網路事件的透明度:首要任務是要建立網路威脅與攻擊機密資料的分享機制;其次是找到方法讓那些經歷過網路攻擊的人,以匿名及無責的方式來分享事件的細節。

 8.訂定物聯網(IOT)的資安標準與架構:指派國家標準技術局與消費者及商業團體,共同合作來訂定物聯網專用的安全標準與故障復原架構。

 9.改善網路加密作為及確保應用程式與資料雲的安全。

 10.建立可行及避免相互報復情事發生之主動防禦機制。

 11.提升網際、關鍵基礎設施與美國國家標準技術局的安全「基線」。

 12.提高網路攻擊者的成本。

 13.增加軍隊在網路安全中的角色。

 14.強化網路警衛隊、國民警衛隊及後備部隊在大型網路攻擊中的角色。

 組織建議

 1.精簡白宮組織與運作流程:新任總統不需再重複執行冗長耗時的政策總檢,且應立即加強白宮的管理網路安全政策與整合機制,盡快指派網安協調員並提升其位階來襄助總統推動任務。

 2.強化國土安全部(DHS)的功能:明定DHS網路任務與重點,讓網路安全在DHS內部成為一個獨立運作的部門(類似海岸警衛隊或海關與邊境巡邏隊),並強化其它主要部門在網路安全的角色,如國防部、國務院、聯邦調查局、商務部及情報部門。

 3.運用美國國會政府課責總署(GAO)來提供關於聯邦機構網路安全的獨立國會審查報告。

 資源建議

 1.擴大軟體零漏洞計畫並澄清其合法性:軟體漏洞對於關鍵資訊系統的風險急遽上升。漏洞訊息交易日漸複雜且有時會有不法的情事出現。然而,關於安全研究的合法性一直存在法律上的不確定性。因此,新任總統應該要求司法部長澄清軟體漏洞研究的法律地位。再者,軟體「臭蟲賞金」計畫一再被證明可行,故政府應建立管道來讓企業資金投入此計畫,並透過DHS或國家科學基金會來推動開放性軟體漏洞的研究計畫。

 2.增加分享與雲服務的運用:使用第三方服務可以快速改善一個組織的網路安全。在許多案例中,網路安全並不是組織的核心業務或競爭力。儘管現行政府已經將分享與雲服務列為施政優先項目,但推動速度仍需再加快。

 3.加速網路安全人才培育:由於市場對於合格網路安全人力需求飆升,使得人才招聘愈來愈困難。政府在網路安全教育訓練上雖已投入大幅預算,但培訓的人力仍無法滿足市場所需。短期措施可以增加外國專業人才H-1B的簽證名額,或者考量成立一個新的簽證類別,為外國網路安全專家或電腦科學專才提供25000個簽證名額。長期做法則是持續增加預算和擴大訓額,並指派專責機構來整合聯邦、州及地方政府的計畫作為。

 結語

 美國網路安全工作的推動需要建構一套由白宮主導的方法,並運用總統可以動用的所有工具。新政府可以採用任務編組及循序漸進的途徑來推動。許多個別的措施並不會自動聚合成一個戰略或有效的防禦。戰略意味著往後退一步及用更大的格局來縱觀全局的問題、解決方式、可用資源及政治限制。當前的國家網路安全戰略發布於2002年2月,新任政府必須盡快檢討現有戰略的適切性並提出新戰略,以有效因應未來安全的挑戰。(完)

友善列印

相關新聞

熱門新聞