911 事件至頒布「網路空間安全國家戰略」之前的

「cyber-terrorism」在內，以「cyber」為字首的詞彙出現頻率已逐漸上升。¹⁸如此 的轉變過程，顯示出網路科技在短短數年之間的快速發展，以及關鍵基礎設施對

17 請參見：“Report of the President of the United States on the Status of Federal Critical Infrastructure Protection Activities,” ＜http://www.fas.org/irp/offdocs/pdd/CIP_2001_CongRept.pdf＞(Retrieved on June 19, 2012).

18 例如在「保衛美國網路空間：保護資訊系統之國家計劃」中，計劃名稱便使用「Cyberspace」

一詞，其內容亦多次使用「cyber」與「cyberspace」等詞彙；又如「聯邦關鍵基礎設施保護活動 情形之報告」，在這份報告當中，則可看到「hacker」、「cyber-terrorist groups」及「cyber-terrorism」

等字眼，請參見：“Defending America's Cyberspace: National Plan for Information Systems Protection, Version 1.0,” ＜ http://www.fas.org/irp/offdocs/pdd/CIP-plan.pdf ＞ (Retrieved on June 19, 2012);

“Report of the President of the United States on the Status of Federal Critical Infrastructure Protection Activities,” ＜http://www.fas.org/irp/offdocs/pdd/CIP_2001_CongRept.pdf＞(Retrieved on June 19, 2012).

19 Eliot E. Schmidt, “The Evolution of U.S. Policies against Terrorism,” p. 5, ＜http://www.

thepresidency.org/storage/documents/Fellows2008/Schmidt.pdf＞(Retrieved on June 20, 2012).

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

95

現不久，9月18日，一隻名為「Nimda」²⁰的電腦病毒透過電子郵件、感染網頁及 利用微軟作業系統（Microsoft operating systems）內部的安全漏洞等方式，在網 路空間迅速傳播，並造成嚴重破壞，無數的電子資料遭到刪除，確切損失難以估 計。由於病毒出現的時間點與911事件之間相隔僅僅一週，使得美國政府、大眾 媒體及一般民眾皆不禁懷疑，這起事件是否為第二波的恐怖攻擊行動。即使事後 查明，Nimda電腦病毒與蓋達恐怖組織和911事件之間並無關聯，但是它強大的 破壞力與引發的嚴重後果，也讓美國政府正視網路攻擊與恐怖主義可能會相互結 合之問題。

911事件之後，面對短時間內接連發生的重大人為災害所造成之死傷及損 失，小布希政府除了指揮災後的緊急救難及調查工作以外，在國會的高度支持之 下，亦針對聯邦政府的組織架構進行大幅度的調整，並提出數個改革政策，其中 與防治網路恐怖主義密切相關之重要政策，包括：

1. 第13231號行政命令（Executive Order 13231, EO 13231, 2001）；

2. 「美國愛國者法案」（USA PATRIOT Act, 2001）²¹；

3. 「網路安全研究與發展法案」（Cyber Security Research and Development Act, 2002）；

4. 國土安全部相關機構與政策（2002年）；

5. 「內部威脅研究」（Insider Threat Study, ITS, 2002）。

以下依序針對911 事件發生之後，至頒布「網路空間安全國家戰略」之前，

此一時期美國政府防治網路恐怖主義之重要政策，統整各項政策之要點，並且進 行政策分析，討論911 事件發生前後，相關政策之間的關聯性及發展趨勢。

       

20 此一電腦病毒名稱係將英文「Admin」（Administrator 之簡寫，意為「系統管理員」）的字母順

序顛倒而成。

21 其正式名稱為「Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001」，意為「提供適當工具攔截及阻止恐怖主義以團結並 鞏固美國之法案」，英文字首縮寫即為（USA PATRIOT Act），取其「美國愛國者」之字義。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

96

壹、第 13231 號行政命令（EO 13231）

2001年10月16日，小布希政府頒布「第13231號行政命令」（以下簡稱EO 13231），特別強調資訊科技革命對於商業交易、政府運作與國防安全之重大影 響，這些事務皆十分倚重關鍵基礎設施之間相互連結的網絡。為了確保關鍵基礎 設施網絡之安全，小布希總統下令將柯林頓政府時期EO 13010所成立的「總統關 鍵基礎設施保護委員會」（PCCIP）改組為「總統關鍵基礎設施保護小組」

（President's Critical Infrastructure Protection Board，以下簡稱PCIPB），其成員包 括：國務卿、財政部長、國防部長、司法部長、商務部長、運輸部長、能源部長、

參謀長聯席會議主席、總統國家安全事務助理，以及總統國土安全助理等高級官 員和幕僚，並由總統指定主席與副主席人選。²²

PCIPB主席將兼任「總統網路空間安全特別顧問」（Special Advisor to the President for Cyberspace Security），所有相關部門和機構應充分且及時地向其告 知各自的運作情況。PCIPB主席亦可召集小組成員舉行會議、制定議程，向相關 部門提出保護關鍵基礎設施之政策與計劃，並且向總統國家安全事務助理和總統 國土安全助理進行報告等等。²³由EO 13231下令改組之PCIPB，參與的部會首長 更多，也更加著重於網路空間安全相關議題。這顯示出，網路安全與關鍵基礎設 施之保護任務，已逐漸擴及到多個政府部門，而這項議題在美國政府內部的重要 性也持續升高。

貮、美國愛國者法案

2001年10月26日，為了回應恐怖主義對於美國本土的直接攻擊，在參眾兩院 的強力支持之下，小布希總統簽署並頒布「美國愛國者法案」，這項重大法案修 改並新增多項法律條文，大幅擴張國內執法機關針對可疑人物進行監視、監聽、

       

22 “Executive Order 13231 of October 16, 2001: Critical Infrastructure Protection in the Information Age,” ＜http://www.fas.org/irp/offdocs/eo/eo-13231.htm＞(Retrieved on June 19, 2012).

23 Ibid.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

97

調查與搜集情報之權限，提高警察與移民管理單位對於移入人口的檢查、居留和 驅逐等權力，並且擴大「恐怖主義」之定義，以便將該法案的適用範圍一併擴增，

同時亦加重從事或協助恐怖主義活動之犯罪刑罰。²⁴其中關於網路恐怖主義與保 護關鍵基礎設施之部分，分述如下：

1. 第8章第814條（USA PATRIOT Act, Title VIII, Sec. 814）針對美國聯邦法 規第18章第1030條（U.S. Code Title 18, Section 1030）進行修正，不僅 擴大法規適用範圍與犯罪行為之認定標準，使之更加適用於起訴包括網 路恐怖主義在內之多種犯罪行為，同時亦特別加重刑期和罰則。除此之 外，該部分亦將使用「影響美國州際或國際貿易及通訊活動之國外電腦 設備」視為網路恐怖主義活動。

2. 第8章第816條（USA PATRIOT Act, Title VIII, Sec. 816）則要求司法部長 建立區域性的「電腦鑑識研究室」（computer forensic laboratories），並 向既有的其他電腦鑑識研究室提供充分支援，以針對查獲及截獲之有關 犯罪活動與網路恐怖主義的電腦證物進行相關鑑識工作，訓練聯邦、各 州和地方等各層級執法人員和檢查官對於電腦犯罪及網路恐怖主義之 調查、鑑識與起訴之能力，並協助聯邦、各州和地方等各層級執法機關 執行法律等。

3. 第10章第1016條（USA PATRIOT Act, Title X, Sec. 1016）除了重申美國 公私部門對於關鍵基礎設施高度的依賴性、維持關鍵基礎設施正常運作 的重要性，以及公私部門之間相互合作的必要性之外，亦計劃建立「國 家基礎設施模擬與分析中心」（National Infrastructure Simulation and Analysis Center, NISAC)，該中心負責統整聯邦與地方公私部門所提供 的各項數據，以建立關鍵基礎設施遭受入侵的模擬情境，並且進行分

       

24 “Highlights of the USA PATRIOT Act,” ＜ http://www.justice.gov/archive/ll/highlights.htm ＞ (Retrieved on June 20, 2012).

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

98

析，從而了解攻擊前預防及攻擊後反應的適當方式與執行效果，提出政 策建議。²⁵

即 使 該 法 案 第8 章 第 814 條 之 標 題 即 為 「 嚇 阻 及 預 防 網 路 恐 怖 主 義 」

（Deterrence and Prevention of Cyberterrorism)，其內文卻未能針對網路恐怖主義 提出一個明確的法律定義，從而造成該章節所修正的美國聯邦法規第18章第1030 條之對應內容，亦缺乏相關定義。網路恐怖主義缺乏明確法律定義所產生的影 響，除了引發各界對於定義問題的爭議之外，也容易使一般民眾對網路恐怖主義 產生錯誤認知，更可能導致美國政府在評估網路恐怖主義之威脅時，與其他網路 犯罪或「網路策劃」行為發生混淆。由於本論文第二章與第三章已探討過這些問 題，在此便不贅述。

相較之下，該法案第10章第1016條則明確提出關鍵基礎設施之定義與種類，

美國政府便可據以針對各類型關鍵基礎設施之特性和運作模式，責成相關部門著 手研擬保護措施。而透過成立「國家基礎設施模擬與分析中心」之計劃，亦可看 出美國政府除了保障關鍵基礎設施之正常運作以外，也試圖充分了解關鍵基礎設 施遭受恐怖攻擊後，對於國內社會各層面確切的衝擊和影響程度，從而評估風 險。藉由這樣的方式，美國政府可提高相關政策之主動性和積極性。

參、網路安全研究與發展法案

911事件之後，美國政府擔心網際網路可能是恐怖份子發動攻擊的下一個目 標，因此除了加強相關防範措施以外，也必須針對網際網路安全進行更廣泛的基 礎性研究，始可能解決網路安全的脆弱性問題。²⁶2002年2月，美國參眾兩院通 過「網路安全研究與發展法案」（Cyber Security Research and Development Act），

預期在五年之內提供8.8億美元的預算，以建立眾多關於網路安全的創新研究及

       

25 USA PATRIOT Act, Title VIII, Sec. 814, 816 & Title X, Sec. 1016, cited from “USA PATRIOT Act (H.R. 3162),” ＜http://epic.org/privacy/terrorism/hr3162.html＞(Retrieved on June 20, 2012).

26 蔡翠紅，《美國國家信息安全戰略》（上海：學林，2009），頁 161。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

99

教育計劃，針對密碼學、電腦鑑識、入侵偵測、隱私與機密安全，以及脆弱性評 估等領域，持續培養並吸引優秀的網路安全專業人才，藉以改善美國面對網路恐 怖攻擊的應變能力。²⁷

經由「網路安全研究與發展法案」，美國政府大力支持相關人才的專業教育 與進階研究，提高美國對於網路科技的理解與應用能力，不僅保障網路安全，亦 能維持科技優勢，可謂美國政府防治網路恐怖主義政策的長程計劃，同時也顯示 出美國政府重視科研國力的一貫特色。

肆、國土安全部相關機構與政策

美國國土安全部之設立，不僅是針對911恐怖攻擊事件的回應，亦為一系列 政策與法案逐步發展之結果。2001年9月12日，即911事件發生翌日，小布希總統 緊急設立一個內閣層級的「國土安全辦公室」（Office of Homeland Security），負 責協調美國國內的反恐措施。²⁸

2002年6月6日，小布希總統宣布，聯邦政府將成立保衛美國本土安全之「國 土安全部」，並且在同年7月頒布之「國土安全國家戰略」（National Strategy for Homeland Security）當中，正式對「國土安全」加以明確定義。²⁹在國會立法方 面，2002年11月19日，美國眾議院通過「國土安全部設置法案」（Homeland Security Act），參議院亦於同年11月22日通過該案，經小布希總統於11月25日正式簽署及 頒布之後，美國國土安全部正式成立，並且陸續整併許多政府部門，³⁰這也是美

       

27 “Public Law 107-305, Cyber Security Research and Development Act,” pp. 2-14, ＜http://www.cio.

gov/Documents/pl_107_305_nov_27_2002.pdf＞(Retrieved on June 20, 2012).

28 李明峻，頁 259。

29 美國「國土安全國家戰略」對於「國土安全」之定義為：「統合協調全國作為，以防範美國境

29 美國「國土安全國家戰略」對於「國土安全」之定義為：「統合協調全國作為，以防範美國境

在文檔中 網路恐怖主義與美國防治政策 - 政大學術集成 (頁 112-121)