具網路戰軍事準則、政策與組織的國家

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

經成熟到需要使用更加有"戰術行"的作戰嗎? 這使的公有/私人的資產成為了合法 的目標嗎?路易斯得出了一個結論那就是:"在各國高度的保密性和薄弱的研究方法 組合下，使的要做出決策更加的複雜"。¹²對軍方來說無論是規劃和努力發展制約及 約束力的另一個關鍵的挑戰就是識別任何特定的網路攻擊發起者。惡意的網絡工具 大多可以用買的或“自製”，所使用的電腦和原始的算法可以掩蓋。因此，“網路 空間軍備控制”面臨的最大挑戰之一是針對政府，機構，地點，或一個特定的人的 網路攻擊的歸因。班.貝司里-沃克得到的結論是：“即使有高度的信心能被及時被 發現肇事者，但要證明其犯罪行為是國家主導的,是非常的有挑戰性，而且往往是不 可能辦到的”。

第二節 具網路戰軍事準則、政策與組織的國家

國家層級網路安全的工作類型分為二大類:一是國內機構(通常是通信部門或執 法機構)，二是負責網路安全的國家軍事單位。在本節中，將列舉發展軍事網路安 全甚至有能力開發攻擊作為的國家，也就是具網路戰軍事準則、政策與組織的國 家。國家是依據國情及其國家安全考量所訂定的「網際空間接戰規則」。然而，不 幸的是，許多關於"網路啟用(cyber-enabled)"的衝突問題現在還是無解。在什麼 樣的情況下軍方會佈署，使用網路工具? 這會使危機的時刻攀升還是下降?誰該為 此負責以及敵人又會如何反應? 但更令大家無法確定的是用於網路戰爭的攻擊性網 路工具到底會如何影響到國際間的穩定情勢，製造危機，戰爭，和如何影響到民間 的建設和全球經濟。

澳洲(AUSTRALIA)

澳洲的網路安全策略於2009年發佈，指出戰略優先項目為培養威脅覺知與應 變、改變民間網路安全文化、強化公、民合作關係、確保政府系統安全、追求國際 交流、建立專責架構以及建構網路戰部隊。2010年成立通訊防禦委員會後，在電腦 緊急應變小組(CERT)支援下，做為澳洲網路事件發生時的單一窗口。¹³其下的網路

12 J.A Lewis and K. Timlin, ”Confidence and international agreement in cybersecurity”, Disarmament Forum, no. 4, 2011, p.55

13 CERT Australia, “About us", www.cert.gov.au/about.

‧

14 Australian Defence signals Directorate, "csoc-cyber Security operations Centre", www.dsd.goy.au /infosec/osoc.htm.

15 N. Berkovic, "Defence on a cyber war footing", The Australian, 16 January 2010.

16 Australia, Cyber Security Strategy, 2009, pp. vii.

17 "RI, Australian police to fight cyber crime", Jakarta Post, 1 July 2011.

18 Australian Department of Broadband, Communications and the Digital Economy, "Internet service providers sign up to icode", www.staysmartonline. gov.au/news/news articles/regular/internet service providers sign up to icode.

19 "Belarusian army to combat cyber threats", Belarusian Telegraph Agency, 7 December 2011.

20 V. Golubev, "Fighting cybercrime in CIS: strategies and tactics", Computer Crime Research Center, 29 June 2005.

21 Brazilian Ministry of Defence, National Strategy of Defence, 2008.

‧

護中心，負責防護重要軍事、政府及資訊設施。²³2012年政府給予中心4500萬維持 其運作，並開始建立網路戰通訊中心，編制少將主管，負責巴西整體軍事網路因應 網路攻擊應變處置。²⁴其中的網路戰通訊中心為網路防護中心的一部分，規劃陸續 採購病毒及網路攻擊模擬器做為軍事訓練用途。²⁵

巴西區域網路安全交流包含美洲國家組織反恐委員會(CICTE)為了建立並管理 電腦安全事件應變小組(CSIRTs)所舉辦的會議。由巴西的情報局、資訊安全部、相 關合作單位等，負責教育美洲國家組織反恐委員會(CICTE)成員。²⁶2010年，巴西及 美國共同簽署防禦合作協定。區域合作將包含網路安全，並且派遺巴西國家代表參

22 H. Richardson, "Brazil raises cyber defence game”, [it]decisions, 15 June 2011

23 "Brazilian Army prepares its CDCiber, the 'Cyber Defence Center'", Linha Defensiva, 8 May 2012

24 J. Hulse, Brazil's armed forcesgrapple with cybersecurity challenges",Diálogo, 29 October 2012.

25 C. Costa, "Exército brasileiro pr sistema de prevencao contra ataques cibernéticos”, BBC Brasil, 10 February 2012.

26 OAS CICTE, CICTE's first cybersecurity program CSIRT held in Brazil", training%20course.asp.

27 Canada, Canada's Cyber Security Strategy, 2010.

28 Canadian Security Intelligence Service, "Our priority areas" www.csis. gc.ca/preys/index-eng.asp.

29 Canada, Canada's Cyber Security Strategy, 2010, p. 29

30 Pham, "Cyber security: do your part!", The Maple Leaf, vol. 15, no. 2, 2 "Canada", in The Military

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

中國大陸(CHINA)

中國國家委員會資訊辦公室於2011年發表國防報告書中賦予軍隊維護其太空、

電磁空間及網路空間等安全利益的任務。³¹該戰略需要「在訊息化條件下贏得本土 作戰的新形態作戰能力」，並聲明要大幅提高其軍隊在信息化條件下的作戰能力。

2011年5月，國防部宣布其陸軍已建構一線上自我評量部隊，以改善部隊的網路安 全。2012年，中國國家委員會發布一系列的新的網路戰政策指導，為了更有效偵測 及處置相關資安事件、減少網路犯罪及強化個人資訊保護。³²中國許多部會皆負有 網路安全責任，包括公共安全部以及工業資訊技術部，兩者皆受國家委員會監督。

公共安全部負責網路犯罪事件調查及緊急事件應變，工業資訊技術部負責規範制訂 及發展，國內權責類似於美國的國土安全局，負責訂定標準、舉辦演習、執行網路 安全檢查及國家電腦緊急應變小組 (CERT)維運。³³

哥倫比亞(COLOMBIA)

哥倫比亞外交部於2005年建立一支跨部會的網路戰工作小組。資通技術部定義 出網路安全上的漏洞後，依據外交部及內政與法務部的指示，該工作小組將網路安 全責任指派予國防部。哥倫比亞政府於2009年成立國家級電腦緊急應變小組，由國 防部主導，立法院、司法院、國際事務院皆為相關權責單位，並定義該小組屬於廣 泛的國家網路安全政策範圍，負責公民營網路防護協調作業。國防部認為需要具備 預防、應變及防禦等工具的國家網路戰略，並且建議策擬聯合作戰準則，用以管制 軍隊、警察網路作戰運用。網路防禦能力不僅指對於公、民營基礎設施及資訊的攻 擊發出早期預警，同時也包含了反制這些攻擊以及對於入侵者實施攻擊的能力。³⁴ 2011年11月，哥倫比亞國防部使用美洲國家組織（OAS）支援的攻擊模擬器測試其 能力，並強化國家在面臨大規模網路攻擊時的應變作為。³⁵

Balance 2012, International Institute for Strategic Studies, 2012, p. 53

31 Information Office of the State Council of the People's Republic of China, China's National Defense in 2010, 2011

32 "China calls for tightened information security measures", xinhua, 18 July 2012.

33 China, "Policies and practices on network MIIT", Asia-Pacific Economic Cooperation Workshop on Cybersecurity Policy Development in the APEC Region, 27 March 2011.

34 G. Diniz and R. Muggah, A Fine Balance: Mapping Cyber (In) Securtiy in Latin America, Igarape Institute and the SeeDec Foundation, 2012, p.14.

35Colombian Ministry of Defence, Ciberseguridad y Ciberdefensa: Una Primera Aproximacion. 2009.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

古巴(CUBA)

古巴政府獨佔了電信事業並完全掌控網際網路流量。資訊與通信部將發展本土 的資訊技術列為優先，以強化網路自主及網路安全，對抗潛在的外在威脅。³⁶古巴 希望藉由發展國有的軟體、成立相關國內機構、減少對進口軟體及電腦的仰賴，以 避免遭受網路攻擊。³⁷

北韓 (大韓人民共和國，DEMOCRATIC PEOPLE’S REPUBLIC OF KOREA) 由於缺乏相關資訊的原因，而很難確定這方面的狀況，但許多媒體報導仍指出 北韓在網路攻擊能力上投資了相當顯著的資源。近年發生的幾件大型網路攻擊，攻 擊源頭都被追溯到俄羅斯、北韓、伊朗、中國等官方。美國索尼影業(SONY

Pictures)在《名嘴出任務》(The Interview，前譯《刺殺金正恩》)宣傳期，駭客 入侵索尼公司的伺服器，偷走了許多機密資料、私人信件，甚至包括還沒上映的電 影檔案，並放話表示哪家影廳敢如期上片，就要在影廳發動「有如911的恐怖攻 擊」，使得連鎖影城在上映前一周聯合延後檔期；而美國中情局、聯邦調查局也宣 稱積極介入偵辦調查。儘管北韓當局嚴正否認自己國家有人介入索尼影業資料被盜 事件，美國當局仍認定攻擊來源係來自北韓境內。³⁸

愛沙尼亞(ESTONIA)

在愛沙尼亞於2007年5月成為首例國家遭受網路攻擊的目標後，其網路安全政 策委員會隨之成立，並於2008年發表網路安全政策。³⁹該委員會由國防部、外交 部、內政部、教育部、法務部、經濟部共同負責。該政策在於減輕網路弱點、實施 網路防護並於遭受攻擊下可快速應變恢復關鍵基礎設施。其目標為建造多層安全措 施的系統、增加資安專家、部會規範的改革以及促進國際間合作。網路安全會執行

36 Croatian Security and Intelligence Agency, “About Security and Intelligence Agency”.

www.soa.hr/en/dos/about _us

37Cuban Ministry of The Revolutionary Armed Forces, Doctrina Miliar Cuban.

www.cubagob.cu/otras_i…/minfar/doctrina/doctrina_militar.htm: and Cuba, “Preparacion para la

defensa”,www.cubagob.cu/ortas_…/mondar/colegio/prepar_defensa.htm;see also” Fighting cyber-attacks is matter of national security:Cuban minister”. Minhua, 25 February 2011.

38Brian Stelter, Evan Perez and Pam Brown ,“U.S. set to blame North Korea for Sony hack”, @CNNMoney December 18, 2014: 7:10 AM ET http://money.cnn.com/2014/12/17/media/the-interview-sony-theater-owners/index.html?sr=gp121714theinterviewrelease530pVODtopNewsLinkMoney 資料時間:2014/12/20

39 Estonian Ministry of Defence, Cyber Security Strategy, 2008. P.6.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

該政策，⁴⁰經濟部內的小組確保國家資訊系統安全，國防部主導網路防護，負責訓 練國防聯盟。該聯盟的網路小組有三大工作主軸：防護民用網路、訓練資訊人才及 於網路安全下資源共享。另成立重要基礎設施防護部，負責戰略級的公、民網路防 護，主導風險評估、蒐集重要設施資訊及提出反制網路威脅的防禦性手段，包括重 要設施因應大規模攻擊時的應變計畫。為了防護重要經濟設施，愛沙尼亞致力於建 造公、民營機構間的合作關係。⁴¹重視北約及國際合作關係，藉以強化其防護能 力，首都塔林(Tallinn)的北大西洋公約組織所屬網路合作卓越防禦中心，負責提 升網路安全的合作、資訊共享及研究。⁴²

斐濟(FIJI)

斐濟的警察組織裡成立了一個打擊網路犯罪部門。⁴³2010 年，斐濟成立網路安 全工作小組，隸屬於國防部及國家警察的打擊網路犯罪組。基於公、民合作關係，

這個小組包含政府資訊科技部門、經濟情報組(負責監控非法活動，如洗錢)、合格 操作人員、網路服務業者以及銀行。斐濟也設立了線上金融保護機制，保護使用線 上服務的客戶並處理國內營收及貨物稅的逃漏稅問題。⁴⁴

法國(FRANCE)

法國主要負責網路防護當局為法國網路與資訊安全局，於 2009 年成立，其任 務包含偵測及處理網路攻擊、研究發展以降低網路威脅以及強化政府與重要設施資 訊強度。該局由總理直接管轄並隸屬國防部秘書長一部。2011 年 2 月，該局發表 法國官方的網路準則。法國在網路戰的四大核心為：成為網路防護的世界強國，保 障資訊主權與決策自由，確保重要設施安全以及維持網路空間隱私。⁴⁵

法國 2008 年的國防白皮書指出，對重要設施的大規模網路攻擊威脅是重大國

法國 2008 年的國防白皮書指出，對重要設施的大規模網路攻擊威脅是重大國

在文檔中 網路戰與國家安全 —以美國網際空間策略為例 - 政大學術集成 (頁 46-64)