:::

寰宇韜略

【寰宇韜略】肆應網路威脅 重新思考安全防護(上)

◎黃文啟(譯)

 面對網路科技快速發展與威脅變化,網路攻擊成為人們的夢魘。在媒體渲染下,網路攻擊更成為無所不能的毀滅性武器。此種情況已對網路安全防護政策與作為造成扭曲,故而智庫「戰略暨國際研究中心」特從國際威脅環境角度分析網路威脅,期提供大眾對網路安全更正確認知。本報特摘譯其重要內容,區分上、中、下3部分以饗讀者。(編按)

 前言

 在網路科技深入人類所有面向的今日世界中,網路安全無疑已成為各國政府乃至社會大眾最為關注的問題。然由於人們對於網路威脅的錯誤認知,卻導致網路安全防護作為無法切合實際需求,甚至造成大量無效投資。這點是政府、社會、企業必須認真檢討與正視的重要議題。

 從網際網路興起後,網路攻擊造成「網路珍珠港事件」(Cyber Pearl Harbor),甚或「網路911事件」等重大災難,就一直是學者與專家所討論的主題,然過去20多年來此種毀滅性網路攻擊事件卻從未發生。原因就在於「網際」(Cyber)本身是不同時代的科技與概念所累積、演變而成,因而各種網路威脅自然也就隨著科技、政治、經濟環境變化而有所不同。

 網路安全本質所產生的概念性扭曲會造成網路防護方向錯誤。因而本文重點在於檢視目前網路安全認知的精確性,再以更廣泛之戰略考量與效應背景,探討網路攻擊問題。經過此一研析後,可發現網路安全政策與認知,其實取決於網路空間以外的因素,包含影響國與國關係的政治趨勢、政府所扮演角色及社會大眾對於風險的態度等。

 綜合研析推論,由於網路攻擊並不會造成癱瘓性的奇襲效果或危及國家生存,因而促使政府與企業改善網路安全措施的誘因並不如想像中高。同時網路攻擊亦非隨機且不可預期,重大攻擊行為事實上會反應國家層級的威懾與犯罪政策,因此以更客觀之立場了解風險與威脅意圖制定政策,方能創造更有效之網路防護作為。

 網路安全概念與環境發展歷程

 今日網路安全政策所使用的1990年代概念,早已無法肆應今日的國際環境。網路空間是一個尚無明確界線的全新衝突領域,對於敵人與風險的不精確認知將阻礙網路安全作為。網際網路商業化的首要原則是盡量減少對科技的限制,以利全球各地相互鏈結之網路快速成長,然其係以民主治理與市場經濟原則為所有國家遵循的較低風險世界為基本假設。然而此種以美國完全主導之自由世界秩序之下,形塑世人對網路安全認知之核心概念已有重新檢討之必要。

 然事與願違,今日不僅美國獨霸與二戰後創立之自由民主秩序受到排斥,強勢挑戰者甚至視網路行動為削弱美國及其盟邦,以獲取影響力的重要手段。背景複雜的非國家行為者造成一個非法行為幾乎不受限制的混亂環境。加上許多帶有弱點的軟體快速應用,使得網路空間成了駭客的天堂。

 網路安全政策最初都是以防止重要基礎設施遭受恐怖網路攻擊,亦即所謂「網路珍珠港事件」。但這個夢魘根本未曾發生,連某些國家對特定目標發動的網路攻擊,損害與時間都相當有限。另一方面,全球主要網路公司高層都認為其服務有助民主制度與人類的言論自由,但此種過分的樂觀卻讓某些國家和犯罪團體得以利用新媒體達成其政治與犯罪目的。這是以基礎設施為核心之網路安全始料未及者,因而有必要將網路安全範圍擴大到其他1990年代未曾考量過的惡意行為。

 學者在冷戰後,曾預期公民社會與民間產業將會在創造公共福祉方面承擔更大責任,因而西發里亞模式的國際關係將會日益式微。多年之後民族國家仍不動如山,反而節節敗退的網路安全開始令觀察家質疑是否市場機制根本無法提供必要安全。此種情況顯示過去政策制定者低估了國家在網路攻擊行動方面的集權力量,同時網路安全應為國際政治而非私人行為範疇。

 美國的網路安全政策發展史完全呼應此種概念性的缺陷。今日的網路安全仍受網路管理者傳統的影響,其負責保護自身網路安全或與其他系統管理者以臨機方面共同執行防護。但面對幾乎無受懲罰風險、資源豐富的國家,只有被動防禦,等同主動權與機會完全操之於攻擊者一方。

 柯林頓政府時期成立「安全公共網路工作小組」與「電子商務工作小組」以推動網路商業化與普及化。前者希望透過資料加密提升安全,並將政府功能強大的加密方法釋出民間;後者則公布「全球電子商務報告」做為網際網路政策之基礎。在此一開放架構下,企業扮演著網際網路普及與發展的主導角色,政府則盡量避免干預並僅在保護智慧財產權與隱私、防止詐欺、提升透明度等方面提供協助。網路商業化完全脫離國際安全議題,老布希與柯林頓政府在後冷戰時期所進行的一連串研究,均認為美國所受的最嚴重不對稱威脅來自大規模毀滅性武器與美國本土百姓及基礎建設遭遇攻擊,其中資訊系統與通信網路更是極為脆弱的環節。

 從1994年「聯合安全委員會報告」、1996年國家科學委員會「資訊戰報告」、1997年的國防專門委員會報告及「總統重要基礎防護報告」等重要研究,都將重點置於嚴重網路攻擊等問題。但卻未料及宗教極端主義、中共崛起、俄羅斯野心等狀況的出現。直到2007年,小布希總統的「全面國家網路安全方案」(CNCI)才將重點從防止重要基礎建設遭到網路攻擊,轉為防止其他敵對國家的網路癱瘓性攻擊。開始要求強化聯邦機關編組、制定標準、加強資訊共享及鼓勵網路人才培育與研究作為,大幅提高聯邦府的責任與角色。

 此時美國才真正認清,網路安全方面的最大威脅並非恐怖組織,對於非國家行為者對重要基礎設施發動癱瘓性不對稱攻擊憂慮實屬多餘,真正最危險的對手是包含中共、俄羅斯、伊朗和北韓等敵對國家,只有它們才有能力、資源及意圖對美國和盟邦造成傷害。過去幾年絕大多數的網路破壞行動幾乎皆為這些國家所為,只是其並非尋求發動「網路珍珠港事件」等災難性突襲,而是利用網路從事間諜情蒐、政治威懾及其他非法活動,以達成其動搖美國主導國際秩序之戰略目的。(待續)

友善列印

相關新聞

熱門新聞