:::
2024/05/14 

社論

【社論】落實「零信任」安全架構 確維國家安全

 在數位化日益進步的現代社會,資訊安全已不再僅是技術層面的問題,而是與國家安全、全球治理及民主制度息息相關的核心議題。從最近美國起訴中共駭客,與英國對中國大陸發起的制裁,在在證明國際網路戰的火藥味愈來愈濃厚,也殊值深省。

 根據「2024年網絡安全報告」,我國遭受的網路攻擊數量,遠高於全球平均數目;在過去6個月內,平均每週遭受2930次網路攻擊,是全球平均的2.7倍。肆應此一重大威脅,政府積極推動網路「零信任」架構政策,針對所有嘗試存取網路資源的人員及裝置,實施嚴格的身分權限驗證,希望能讓所有資訊使用者,都能有效預防駭客的侵入,減少機敏資料外洩的風險,確維國家安全。

 美國司法部日前指控中共駭客組織「APT31」,涉及一系列對美國政府官員和基礎設施的網路攻擊,這些行為不僅威脅到美國的國家安全,也將侵蝕國際社會的信任基礎。英國則揭露中共對其選舉委員會和國會議員的網路攻擊,此種對民主機構的惡意挑釁,凸顯網路戰場已擴散至民主國家核心的嚴重性。

 專家認為,面對這些資安威脅,國際社會必須加強合作,建立一個多邊的資訊安全防護機制,並透過國際法律合作及技術情資分享,提高各國對抗網路攻擊的能力,只有全球各國通力合作,才能有效遏制這些網路犯罪活動。

 資訊科技的快速發展,同時帶來新的挑戰。近年「深偽技術」及「生成式AI」所製造的假訊息,經常被有心人士用來散布假新聞,企圖操縱公眾意見,進而影響選舉結果和民主決策。為防範這些新科技帶來的威脅,的確需要建置更多的監管機制,來監控並限制這些技術的濫用。政府和科技公司必須攜手合作,開發可識別及過濾假訊息和深偽影片的工具,同時教育公眾識別這些假新聞的能力。

 近年美國國防部開始倡議「零信任網路接通」架構,主要概念是整合多種資訊協議及技術,強化整體網路安全措施。為了提升資安防護力,我國亦積極推動相關政策,並由數位發展部公布政府「零信任」架構相關推動成果。

 「零信任」的核心原則是「永不信任,總是驗證」,在資訊作業中,將要求在每一次數據存取或網路交換時,不論來源是內部還是外部,都必須進行嚴格的身分認證及最小權限授權。此舉旨在大幅強化安全防護,防止潛在的內部威脅和外部入侵。然而,「零信任」架構亦面臨政府及民間需要對現有的IT架構進行大規模改造,可能涉及昂貴的技術投資及複雜的系統升級;也需要深化資安教育,改變大眾對傳統網路安全觀念的依賴,學習如何提升網路安全等諸多挑戰。

 推動「零信任」架構,政府扮演關鍵的角色。除了建構更堅強的「資安護城河」,也要制定與調整相關政策和標準,引領民間企業進行轉型升級。此外,政府也要加強公眾對網路安全重要性的認識,鼓勵和教育民眾遵循資安守則,企業也應積極響應政府政策,加強內部網路安全管理和員工訓練。對於關鍵基礎設施和重要產業而言,如何落實「零信任」原則尤其關鍵,因為它們是國家安全的重要關鍵,也是維護經濟穩定的基石。

 此外,面對國際間日益嚴峻的網路攻擊和間諜活動,我們必須與世界各國合作,共享資安防制相關情報,提升應對網路威脅的能力。隨著網路安全威脅的不斷擴大,傳統的安全防護措施已不足以因應,「零信任」安全模型將提供全面性的解決方案,能夠有效地防範未來的安全挑戰。

 積極推動並落實此「零信任」理念,不僅是基於保護國家安全的需要,也是保障公民權利和推動經濟發展的重要作為。資訊安全不僅是政府的責任,企業及個人也必須隨時提高警覺,加強自身的資訊安全措施,包括使用更安全的軟體,定期更新防病毒軟體及修補系統漏洞等作為。

 綜言之,資訊戰和網路安全議題不僅攸關技術與法律,更是一個道德與理念之戰。國際社會必須致力建立一個公平、透明的數位環境,以信任和合作為基礎,共同防範及應對相關威脅,以保護民主機制不受科技進步之害,並確保數位時代的創新和進步能夠惠及全人類,而非成為破壞穩定與和平的工具。也唯有全面提升資訊安全防護,擴大實施「零信任」安全架構,才能確維國家機敏資訊安全,提升我國在全球數位環境中的競爭力。

:::

PDF電子報紙