觀點

2009企盼資安曙光再現:給歐巴馬的資安建言 打贏一場無形戰爭

2009 / 07 / 13
編輯部
2009企盼資安曙光再現:給歐巴馬的資安建言 打贏一場無形戰爭
本次報告由兩位國會議員與智庫提出報告,呼籲歐巴馬成立專職機構以強化網際國土安全。

  美國現在的資安問題,就像是在二次大戰中Engima機器的密碼戰,這是一無聲無形的戰爭,網際國土已經被偷襲、再偷襲,但是美國引以為傲的反恐與軍事力量卻完全使不上力,資訊不對等的傾斜已經出現在這個驕傲的老鷹身上。因此,正如報告摘要中的結論,打贏一場無形的戰爭(Winning the Hidden Battle),對第44屆總統歐巴馬的網際空間安全建言,是美國CSIS(Center for Strategic and International Studies)國際戰略研究中心給每一任新總統的研究報告與政策建議。

網際國土入侵事件頻傳引重視

  鑒於美國政府與民間不斷遭受到來自於網際國土(cyberspace)上的攻擊事件,包含國防部、國土安全部、商務部、太空中心與國防大學,均遭受來自外國的重大資訊入侵事件,包含國防部秘書的非機密電子郵件易遭受入侵,雖然已經獲得控制,但是國防官員表示仍有民間科技企業的智慧財產遭受惡意竊取,而遭受上億美金的損失。以及最近發生的國防部遇駭,全面禁用隨身碟,美國國防部緊急通令全球各單位的所有人員,立即全面禁止在公務電腦上使用隨身碟,以防止駭客透過隨身碟進一步入侵,而這項很突然的命令,也突顯出美國在資安方面的不足與落後實際狀況。

  因此,這項由CSIS所提出的建議報告更顯得重要,其中包含30位官員與民間資
安專家建議的摘要,組成工作小組針對8個主題進行探討與建議。目的在於提供下一任總統能夠採行的建議,可快速地做到有效且明顯改善國家網際國土的做法,以及未來長期發展目標與關鍵建議。主要有三個結論︰第一、網際國土安全問題是美國國家安全現今最主要的問題之一 。第二、針對此問題之決策與行動必須兼顧國民隱私與公民權益。第三、只有完整包含本土與國際觀的國家安全策略,可讓網際國土更安全。其完整之意,表示協調動員美國可用之行政資源,國際參與及外交手
腕、軍事力量與經濟策略工具,並參與網際空間情報與執法資訊流通的社群。

  DIME(Diplomatic, Intelligence, Military, Economic)這4個英文字,反映出CSIS對於國家未來保護網際國土的策略與行動方向,總統必須要認清網路是國家主權與國土的延伸,是國家安全與經濟發展上重要且不可缺少的資產(vital asset),應該盡美國國家力量去保護,以確保公眾安全與國家安全,維持經濟發展繁榮與公眾關鍵基礎服務的遂行。由美國白宮主導設立專職網際國土安全之辦公室與執行官員,進行協調現存之國家安全會議所統籌之網路安全與民眾隱私保護。

  當然,美國不需要重頭開始,因為布希總統已經在白宮成立了一個CNCI(Comprehensive National Cybersecurity Initiative),已經在現有基礎上也成立了國家網際安全中心NCSC (National Cyber Security Center),研究指出未來將面對長期的挑戰,來自於在網際國土上之國外情報機構、軍事、犯罪組織,以及更多亟欲讓美國在經濟與國家安全上發生重大問題之對手。報告中也承認,美國離此目標(防禦網際國土)還有很多工作待完成,距離也落後非常多,雖然不需重頭開始但仍須及早加快腳步,晚了就來不及了。

單打獨鬥非良策 廣納意見才能進步

  另外CSIS也體會到重新創造政府民間的合作關係的重要性,透過改造與重新設計的合作方式,共同推動網際國土安全觀念,明定責任義務,強調建立夥伴間的信任關係,以及落實到作業層級的行動,以獲得在網際國土安全改善上有更大的進展。公開討論與收納各方意見,提出現階段對美國最好的網際國土安全策略,應該成立民間顧問團,做為適時協助國家網際國土辦公室(NOC)之智囊團。國家網際國土辦公室(NOC, National Office for Cyberspace),可以整合NCSC與JIACTF(Joint Inter-Agency Cyber Task Force)聯合跨部網路工作小組(由國家情報主席DNI
所成立之協調與確保CNCI工作,並且每季對總統做CNCI工作會報)。

  與民間合作關係的強化,因為網際網路幅遠弗屆,新的技術與威脅不斷地出現,以政府的公務作業型態來看,是不可能自己獨力完成而且追趕上這樣的網路科技發展,必須要靠各種面向各種層級以及各種媒介的接觸,才能夠在正確的時間獲得正確的資訊,以協助政府做出正確的決策。還有要協調民間機構共同維繫在關鍵基礎建設上的應變活動,該報告中建議成立3個諮詢機構,在聯邦諮詢會議法案(FACA)之下,來自於主要的資訊關鍵基礎架構的代表,參加了包含國家安全與電信諮詢會議(NSTAC)與國家基礎建設諮詢會議(NIAC)等。在此報告中,將建議成立一個專責的作業層級機構-網際安全運作/監控中心(CCSO)將提供公家與民間部門間對於網際國土安全資訊的分享與協調應變作業,而且被要求在一個可信賴的環境中運作。

  當然,光是靠熱心貢獻與自願者的行動是不足的。網路國土的秩序與預防不法行為必須有規範可循,而CSIS建議美國必須先評估以下事項的風險與先後順序,在政府提供的基礎服務遭受網路攻擊時,哪些網際空間上的關鍵服務必須持續提供的最起碼的安全等級規範與標準為何?我們提倡新的規範方法去避免約定的強制命令,而增加不必要的成本與扼殺了創新方案或過度依賴市場力量,而無法滿足國家安全與公眾權益的需求。

  以防禦為目的之網際空間身分辨識,要存取關鍵基礎建設時,必須強制地提供更強有力的身分鑑別方式。執法機關的現代化腳步必須跟上,美國對於網際國土安全的法律已經跟不上時代(這句話真是深深的刺痛,人家都在嫌法律太舊跟不上時代,我們卻還在催生…)。對於聯邦政府資訊採購之政策修改,以增進安全包含標準與作業參考指引,必須在與業界建立合作關係之下有所發展。

總統該做甚麼?

  總統應直接統御NOC與聯邦CIO會議,也應對於司法部門辦理網際犯罪調查的成效予以強化,希望可以達到更明確、更迅速與更好的隱私權保護。對於內部作業程序,應該對於網際資安事件的標準處理程序與執法機構、國防單位、情報機構共享作業參考指引。重新檢視FISMA而且對於其成效的衡量方式提供明確的指標,包含NOC、OMB、NIST與NSA都針對所有聯邦IT系統,應該發展出以風險為基礎的衡量標準。NOC應該與科學科技政策辦公室(OSTP)提供對於網際國土安全相關研究與開發的專案,避免各單位研究相同或相近的議題造成資源浪費,長期為之才能創造出更安全的網際安全經濟生態。

  長期之研究、訓練與教育,讓美國在未來可以成為網際國土上之領導者與安全之守護者,美國面對的網際網路國土安全問題又比其他國家來的複雜,以及更多的困難,面對國際間在此新領域之衝突與競爭,必須長期投入研究關鍵問題與部位,以產出可行之成功策略。

虛實之間的拉鋸

  網際網路的發展讓世界文明的進步加速,同時也讓傳統的實體世界產生了奇妙的變化,實體世界的政權開始試圖干預網際網路文明的發展,因為此一發展會危害實體世界的當權者。而美國是公認的軍事強權與緊密的理性化行政官僚體系,但是以往對於網際網路國土的觀念還是非常薄弱,對於網際國土入侵帶來的傷害嚴重低估,因此這一份報告可以讓美國在下一階段能夠更強化其網際國土的主導性與防禦能力,值得我們借鏡,也再三思考這個也發生在我們身邊的虛擬問題。