網路恐怖主義與美國防治政策 - 政大學術集成

全文

(1)國立政治大學國際事務學院外交學系碩士論文. 指導教授：姜家雄. 立. 博士. 政治大. ‧ 國. 學 ‧. 網路恐怖主義與美國防治政策. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 研究生：黃書賢. 中華民國一百零一年七月.

(2) 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v.

(3) 國立政治大學博碩士論文全文上網授權書. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. I. i n U. v.

(4) . . 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. II. i n U. v.

(5) . 研究生論文文責自負聲明書 . . 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. III. i n U. v.

(6) . . 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. IV. i n U. v.

(7) . 論文考試委員簽名頁 . . 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. V. i n U. v.

(8) . . 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. VI. i n U. v.

(9) 謝辭對我而言，攻讀碩士學位，除了出於對國際關係領域的興趣，以及培養個人專業能力等目的之外，也是為了挑戰自我，想親身體驗看看「寫論文」到底是什麼樣的滋味。現在回想起來，撰寫論文的過程果真使我有接近極限之感，從天黑到天亮，夜深人靜的研究室一路陪我閱讀、苦思及寫作；在不知不覺中，髮間也冒出了些許白絲。如此辛苦產出的心血結晶，尚不敢自誇在恐怖主義或網路安全學術領域上具有多少重要性，但求盡力而為，問心無愧而已。. 政治大親愛的父母始終願意支持我任性的決定，不僅給予最大限度的生活自由，同時又立. 身為一個文學院畢業生，在退伍之後毅然選擇轉換領域，報考外交研究所，. ‧ 國. 學. 讓我在經濟上全無後顧之憂。您們也許對於我的論文內容並不十分理解，但是這麼多年來的養育之恩，孩兒實在無以報答，唯有萬分感謝。. ‧. 姜家雄老師做為我的論文指導教授，從初期的討論過程之中，已能讓我認識. sit. y. Nat. 到老師在學術資料閱讀與理解上的深度和廣度，以及嚴謹而不失幽默的學者風. al. er. io. 範。在我遇到瓶頸和難關，或是在文獻資料的取捨上游移不定時，姜老師每每提. v. n. 點許多不同角度的思考方向，使我撥雲見日，豁然開朗。不僅如此，老師也一直. Ch. engchi. i n U. 非常細心地批改我的草稿，鉅細靡遺，並且願意從架構到細節，多次與我進行深入討論，讓我在謝過老師，轉身離開研究室之際，總是能夠重拾信心，保持衝勁。學生才疏學淺，但願這本論文沒有辜負老師的辛勞和用心。而盧業中老師的支持與肯定，則是我決定嘗試將全球化課程期末報告發展成學位論文的最重要因素。如果沒有盧老師的鼓勵，我恐怕還得花更多的時間，繼續茫茫然地尋找論文題目，在此也向盧老師致上由衷的感謝。在三年的研究所生涯中，眾多來自不同領域和背景的同學，使我接觸到更多更廣的知識，擁有更豐富的生活體驗，同時也有幸結交數位好友。感謝胡育瑋、徐裕軒、梁守道、賴昱誠和李季剛，諸位各自的專長、學養和興趣，不但令我佩 VII.

(10) 服不已，更獲益良多；你們的忠實陪伴、相互打氣與幽默言語，也讓我在論文寫作的漫長道路（以及環島之路）上，不致太過孤單苦悶，能夠認識諸位，我感到非常幸運。感謝林育正與何明翰，透過小小的聊天視窗，你們經常與我分享生活點滴，排憂解惑，不知帶給我多少歡笑和振奮，甚至靈感。另外，還要感謝大學時期的同窗好友：楊智元、呂美瑩、高偉峻、屈子婷和廖峻宏，無論只是簡單的聚餐或出遊，或是專程驅車來訪，談天說笑之間，你們總是能讓我紓解不少壓力，就如同從水中探出頭來，大口呼吸新鮮空氣一般暢快。. 治政大被我用以充當暫時擺脫混亂思緒的出口。只是，當真的著手撰寫謝辭之時，卻發立老實說，早在論文尚未完成之前，對於這篇謝辭內容的形塑和想像，便已經. 現自己實在拙於行文，即使推敲琢磨許久，仍然覺得字裡行間所能表達的感謝之. ‧ 國. 學. 意，尚不及心中的十分之一。再次誠摯感謝親愛的父母、師長、同學，以及所有. ‧. 曾經幫助過我順利完成論文的每一個人，願諸位永遠身體健康、平安順心。. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 黃書賢. 謹識. 中華民國一百零一年七月. VIII.

(11) 中文摘要網路恐怖主義（Cyberterrorism）為「網際網路」（Internet）與「恐怖主義」（terrorism）相互結合之產物，指恐怖份子為求引發嚴重破壞，並造成平民死傷，透過網際網路入侵國家關鍵基礎設施（critical infrastructures），並以之要脅政府或人民完成其政治性、宗教性或社會性目標。至 2012 年 7 月為止，對於網路恐怖主義相關議題之討論雖已持續約 30 年之久，然而各界對於網路恐怖主義之「定義」及「威脅性」兩項基本問題，仍然眾說紛紜，無法取得一致共識，而全球各. 政治大在美國政府方面，經過立2001 年 911 事件的重大衝擊，其對於恐怖主義相關. 地缺乏網路恐怖攻擊之實際案例之情況，亦使爭辯益加激烈。. ‧ 國. 學. 議題之敏感程度已大幅提高，並陸續制定多項反恐政策。美國是當前國際反恐行動的領導者，既為軍事與科技大國，同時也是諸多國際恐怖組織策劃攻擊之主要. ‧. 目標，有鑑於此，美國政府致力於防治網路恐怖主義，保護國內關鍵基礎設施不. sit. y. Nat. 受侵襲，以維持社會安定及國家安全，其因應方式足以成為世界各國制定類似政. al. er. io. 策之重要參考對象。. v. n. 本論文經由探討網路恐怖主義之基本意涵，比較「網路恐怖主義」、「網路犯. Ch. engchi. i n U. 罪」及「網路戰爭」三個概念之間的差異，嘗試針對網路恐怖主義形成明確之界定；接著綜整各界針對網路恐怖主義威脅性之爭論，以了解網路恐怖主義之真實威脅程度；最後觀察美國自柯林頓（Clinton）政府至今，有關防治網路恐怖主義政策之一系列發展、美國政府如何評估網路恐怖主義之威脅，以及在當前的政策架構之下，為保護國內關鍵基礎設施，其相對應之具體措施為何，試圖對於其整體政策建立客觀評價。關鍵詞：網路恐怖主義、美國反恐政策、網路犯罪、網路戰爭、保護關鍵基礎設施、國土安全部、網路空間安全國家戰略。 IX.

(12) 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. X. i n U. v.

(13) Abstract Cyberterrorism, the convergence of “Internet” and “terrorism,” refers to the specific terrorist activities that were intended to cause massive destruction and casualties, proceeded by intruding the supervisory control and data acquisition (SCADA) systems of national critical infrastructures via the Internet. Even though the discussion of the related issues of Cyberterrorism has continued for nearly 30 years now, neither the definition nor the evaluation of potential threat concerning. 政治大 lack of actual cases of Cyberterrorism attack around the world makes the debates even 立 Cyberterrorism has been settled. No consensus has been achieved. Furthermore, the. ‧ 國. 學. more intense.. After the significant impact of September 11, 2001, the U.S. government has. ‧. substantially raised the degree of sensitivity of the issues related to terrorism and. sit. y. Nat. developed a number of counter-terrorism policies. As the leader of the Global War on. al. er. io. Terror and the greatest Power in the world, the U.S. is also the main target of many. v. n. terrorist groups. With its military and scientific capabilities, the practices of the U.S.. Ch. engchi. i n U. government on preventing Cyberterrorism, protecting its domestic critical infrastructures from intrusion, and maintaining social stability and national security would be excellent examples to other nations for the development of their own policies. To clarify the explicit definition of Cyberterrorism, this research refined the basic meaning of Cyberterrorism and distinguished differences among three related concepts: Cyberterrorism, Cybercrime, and Cyberwar. Moreover, this research sought to induct major arguments brought up by scholars in many intense debates on the extent of Cyberterrorism threat. Last but not least, by observing development of the XI.

(14) U.S. related policy frameworks, how the U.S. government evaluates the extent of Cyberterrorism threat, and the corresponding measures for protecting the U.S. domestic critical infrastructures, this research presented an objective assessment on the U.S. overall counter-Cyberterrorism policies.. Keywords: Cyberterrorism, U.S. Counter-Cyberterrorism Policies, Cybercrime, Cyberwar, Critical Infrastructure Protection.. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. XII. i n U. v.

(15) 章節目錄國立政治大學博碩士論文全文上網授權書 .............................I 研究生論文文責自負聲明書 ................................................. III 論文考試委員簽名頁 ............................................................... V 謝辭 ........................................................................................ VII 中文摘要 .................................................................................. IX 治. 政. 大. Abstract ................................................................................... XI 立. 第二節. ‧ 國. 學. 第一章緒論 ............................................................................ 1 . 第三節. 問題意識............................................................................17 . 第四節. 研究方法與研究範圍 .......................................................18 . 第五節. 章節安排a............................................................................19 . ‧. 文獻回顧..............................................................................7 . io. sit. y. Nat. iv l C n h e n g.............................................. 網路恐怖主義之界定 21 chi U n. 第二章. 研究緣起..............................................................................2 . er. 第一節. 第一節. 網路恐怖主義之定義 .......................................................21 . 第二節. 與網路犯罪及網路戰爭之比較 .......................................36 . 第三節. 愛沙尼亞遭受網路攻擊案例（2007 年 4 月） ..............49 . 第三章網路恐怖主義威脅之爭辯 ...................................... 57 第一節. 網路恐怖主義並非嚴重威脅之主張 ...............................59 . 第二節. 網路恐怖主義確為嚴重威脅之主張 ...............................70 . 第三節. 網路恐怖主義威脅之爭議與評價 ...................................80 . XIII.

(16) 第四章美國防治網路恐怖主義政策 .................................. 87 第一節. 911 事件之前的防治政策.................................................88 . 第二節. 911 事件至頒布「網路空間安全國家戰略」之前的防治政策............................................................................94 . 第三節. 頒布「網路空間安全國家戰略」至 2012 年 7 月的防治政策..........................................................................103 . 第五章結論與展望 ............................................................ 121 第一節. 研究發現..........................................................................121 . 第二節. 研究限制與未來展望 .....................................................127 . 政治大參考文獻 ................................................................................ 131 立 ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. XIV. i n U. v.

(17) 圖表目次圖 2-1 網際網路活動類型鑲嵌關係圖 ...............................................32 圖 2-2 網路恐怖主義、網路犯罪及網路戰爭三者關係圖 ...............46 表 2-1 網路恐怖主義、網路犯罪及網路戰爭之比較 .......................47 表 4-1 保護關鍵基礎設施領導部門（PDD-63）..............................92 表 4-2 保護關鍵基礎設施領導部門（網路空間安全國家戰略） .108 表 4-3 保護關鍵基礎設施專責部門（Hspd-7） ............................. 113 表 4-4 保護 CIKR 專責部門（NIPP） ............................................. 117. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. XV. i n U. v.

(18) 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. XVI. i n U. v.

(19) 網路恐怖主義與美國防治政策第一章. 緒論. "As we approach the 21st century, our foes have extended the fields of battle from physical space to cyberspace.". President Clinton, 22 May, 19981. 治政大網際網路（Internet），如此簡單便利又能接觸到如此巨量資訊之途徑，不僅立. 是人類歷史首見，亦為當今全球化現象的一大重要推手。以網際網路為主要媒介. ‧ 國. 學. 的全球通訊科技系統，使得各國政府能夠更有效率地運作，並對外推動公眾外交. ‧. （public diplomacy）等各項工作，跨國企業亦透過網際網路進行全球性的佈局和. y. Nat. 管理。在此同時，世界各地的人們也能自由地傳遞或交換各種意見及想法，甚至. er. io. sit. 推動某些地區的自由化和民主化進程。經由觀察以上種種現象可以發現，網際網路所提供的便利性和迅捷性，對於當前的全球社會而言，可謂至關重要，網際網. al. n. v i n 路已然成為世界經濟、文化和社會等各層面能夠進行交流或整合的關鍵媒介。 Ch engchi U. 不過，隨著網路科技與通訊技術的快速發展，對於公私部門網路安全（cyber. security）或資訊安全（information security）相關領域而言，網路犯罪（cybercrime）及網路恐怖主義（cyberterrorism）之潛在威脅亦與日俱增。就在眾多攸關大眾生活品質及社會正常運作之關鍵基礎設施（Critical Infrastructures, CIs）逐漸依賴網際網路進行監控和管理的同時，也正面臨網路恐怖份子隨時可能入侵的風險。.                                                         1. Tim Clark, “Clinton Outlines Cyberthreat Plan,” ＜http://news.cnet.com/ Clinton-outlines-cyberthreat-plan/2100-1023_3-211497.html＞(Retrieved on February 1, 2012). 本論文提到的諸多外國人名大多尚無通用譯名，因此除了若干已受廣泛使用之譯名，例如：布希、萊斯等等之外，為避免產生混淆或誤解，後文皆採用原文人名，不另行翻譯。 1.

(20) Ron Rhodes 指出，在網際網路的發展過程當中，人們著重的核心理念是「共享」，而非「安全」。2換言之，人類開發網路科技的初衷，在於開放、自由，並且讓任何人都能接觸資訊。只要使用者出於良善之目的，網際網路的這些特性固然有益於人類社會，然而，一體總是有兩面，各種出於惡意的濫用及破壞行為，亦使得許多國家的公私部門皆面臨潛在的安全威脅，其中又以高度仰賴網路科技和關鍵基礎設施的先進國家為主，例如美國。身為科技大國與當今國際體系中的唯一超級強權，美國從何時開始關注網際網路所帶來之潛在威脅？政府如何因應？具體的政策措施演變脈絡為何？本論. 治政大論，從而提出問題意識，不僅嘗試界定網路恐怖主義，亦評估其對於國家安全之立文經由相關文獻之回顧，綜整學界對於網路恐怖主義之基本意涵與實際威脅的爭. 學. ‧ 國. 威脅性，並且檢視在當前美國防治網路恐怖主義的政策架構之下，美國政府如何保護國內的關鍵基礎設施，試圖對於相關政策建立客觀之評價。. al. y. er. io. sit. 研究緣起. ‧. Nat. 第一節. v. n. 冷戰（Cold War）結束之後，非傳統安全（non-traditional security）議題逐. Ch. engchi. i n U. 漸成為國際關係研究的討論焦點之一，加上恐怖主義（terrorism）活動的潛在威脅，安全研究之範疇已不僅限於水資源安全、糧食安全、能源安全、通訊安全和運輸安全等等，亦擴及到生態環境、金融秩序、傳染病防治及人口遷移等面向。另一方面，全球化（Globalization）現象亦為當前的熱門議題，相關論述方興未艾，其中也包括許多著重於全球化之負面影響的討論，例如有學者主張，全球化現象不僅帶來正面的影響和獲益，同時也造成負面的衝擊與挑戰，尤其是對於主.                                                         2. Ron Rhodes, Cyber Meltdown: Bible Prophecy and the Imminent Threat of Cyberterrorism (Eugene, OR: Harvest House, 2011), p. 73. 2.

(21) 權國家構成的五項嚴重威脅：毒品買賣、武器走私、侵犯智慧財產權、人口販運和跨國洗錢犯罪，皆是當今各國所面臨的重大難題。3 不過，除了這五大難題之外，針對網際網路的有效管理也是另一個因全球化而起的棘手問題。在科技發展日新月異的時代，網際網路提供了跨區域的人際溝通和交換訊息之管道，與在其之前出現的傳播工具，如郵件、電報、電話和無線電等相比，不僅速度更快，成本也更低。網際網路不僅是全球化的重要媒介，更可說是全球化的一大推手，已為人類日常生活帶來極大的便利和效益，也逐漸成為現代社會不可或缺的一項重要工具。. 治政大義的溫床，危害社會安定與國家安全。目前許多政府部門和私人企業正在進行電立. 但是，網際網路同時也帶來了某些危險及威脅，甚至成為犯罪行為與恐怖主. 子化的轉型，包括將大量的紙本公文轉換為電子文件，並利用電子郵件的方式傳. ‧ 國. 學. 遞公文和訊息，以及在線上（online）服務廣大民眾與客戶等等。不僅如此，許. ‧. 多銀行內部的資料處理作業，以及眾多關鍵基礎設施如水壩、核能發電廠及交通. y. Nat. 燈號管制中心的「資料擷取與監控系統」（Supervisory Control and Data Acquisition. er. io. sit. Systems, SCADA）4等等，都不免使用網際網路進行資訊連結和交換，對於網路科技的依賴程度也與日俱增。在此情況之下，極大量未經加密保護或保護層級不. al. n. v i n 高的資訊，已暴露在公開的網路空間（cyberspace）之中，在有心人士的眼中， Ch engchi U 這些資訊正是攔截和濫用的良好目標。就如同全球化現象所帶給世界各國的正面. 及負面影響一般，網際網路雖然讓人們的生活更加便利，資訊的分享和傳播也更加迅速；然而，當公私部門對網際網路的依賴逐漸加深之同時，潛在的安全危機也不容忽視。                                                        . 3. Moisés Naím, “The Five Wars of Globalization,” Foreign Policy, No. 134 (January/February 2003), pp. 29-34. 4 SCADA 一般指涉具有監控及資料擷取能力的電腦控制系統，可運用在工業程式、基礎設施等。 SCADA 可以是監控及控制所有設備的集中式系統，或是由分散在一個區域中的許多系統之組合。其大部分的監控由「遠程終端控制系統」（Remote Terminal Unit, RTU）或「可程式邏輯控制器」（Programmable Logic Controller, PLC）進行，各項資料及數據則由感測器擷取，並傳送至控制系統。關於 SCADA 系統之說明，可參見：David Maynor & Robert Graham, “SCADA Security and Terrorism: We’re Not Crying Wolf,” pp. 8-15, ＜www.blackhat.com/presentations/bh-federal-06/ BH-Fed-06-Maynor-Graham-up.pdf＞(Retrieved on June 13, 2012). 3.

(22) 在此同時，全球各地關鍵基礎設施遭到網路攻擊的案例，亦時有所聞。例如 2007 年 1 月，美國當局以重罪指控洛杉磯市（Los Angeles）兩名都會交通系統管制人員，由於他們在 2006 年夏季配合當時的工會示威活動，駭入該市的交通燈號管制系統，導致嚴重的交通堵塞；即使並未造成實際傷亡，這場入侵行動仍然使得相關單位必須耗費四天的時間，始能完全排除損害。5 又如今年（2012）6 月，美國官員承認，自小布希（George W. Bush）政府開始，美國國家安全局（National Security Agency, NSA）便與以色列情報部門密切合作，共同研發電腦病毒，用以入侵伊朗的濃縮鈾設施（nuclear enrichment. 治政大 Games」。歐巴馬總統（Barack Obama）上任不久，亦秘密下令擴大網路攻擊的立 facilities），拖延該國的核子武器研發進程，該行動之機密代號為「Olympic. 伊朗境內約 1000 部提煉濃縮鈾的離心機。6. 學. ‧ 國. 密集程度。2010 年，一隻名為「Stuxnet」的強力電腦病毒，在數週之內癱瘓了. ‧. 這兩個實例足以說明，有心人士以網際網路入侵國家的關鍵基礎設施，不僅. y. Nat. 不只是科幻小說情節，尚可能引發實際的破壞及損失。在電影文化方面，2007. io. sit. 年的好萊塢（Hollywood）電影《終極警探 4.0》（Live Free or Die Hard）之中，. al. er. 不法集團網羅多名駭客（hacker）7，運用先進的器材和熟練的手法，成功入侵國. n. v i n 家的金融系統、電視媒體和運輸交通管理系統，造成交通秩序大亂，民眾的人身 Ch engchi U. 安全和國家的財政儲備體系皆遭到嚴重威脅。數名歹徒亦透過電視公開進行恐嚇，以逼迫政府接受其要求。8雖然電影是以略為誇張的手法，將國家安全與社                                                         5. Matt Krasnowski, “Two Men Accused of Hacking into Traffic System,” ＜http://www.utsandiego. com/uniontrib/20070121/news_1n21traffic.html＞(Retrieved on July 4, 2012). 6 David E. Sanger, “Obama Order Sped Up Wave of Cyberattacks Against Iran,” ＜http://www. nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?pag ewanted=all＞(Retrieved on July 4, 2012). 7 原意是指對作業系統及程式語言非常熟悉的人，他們不僅熱衷於探討系統與程式之原理，並且具有優異的系統開發與程式撰寫能力。然而，一般大眾及媒體習慣將入侵他人電腦系統、破壞電腦網路安全的「怪客」（cracker）與 hacker 混在一起使用，如今「駭客」這個名詞也常被用來形容攻擊電腦網系統的人。關於駭客更詳細的分類、駭客之動機及入侵手法等，可參見：林義貴，《資訊社會與網路犯罪》（臺北：華立，2005），頁 268-273。 8 關於電影情節，可參見：“Synopsis for ‘Live Free or Die Hard’,” ＜http://www.imdb.com/title/ tt0337978/synopsis＞(Retrieved on June 14, 2012). 4.

(23) 會安定的脆弱性（vulnerability）呈現在全球觀眾面前，仍可做為政府反恐工作之借鏡。由上述之攻擊實例與電影情節可以想見，以電腦和網際網路做為工具及目標的「網路犯罪」行為，其與恐怖主義活動相互結合之「網路恐怖主義」對於國家安全的威脅程度，並不亞於前述伴隨全球化而來的五大難題。事實上，前美國總統小布希早在 2001 年 911 恐怖攻擊事件之前，已於同年 7 月宣布，網路恐怖主義是未來美國國家安全的新威脅。9另有專家學者指出，小布希於 2000 年競選總統期間，便提出過「網路恐怖主義即將興起」的主張。10. 治政大矛盾地，正是完全相同的科技，既使我們在經濟上充滿活力、軍事上擁有壓倒性立. 如同前美國國家安全顧問萊斯（Condoleezza Rice）於 2001 年 3 月所言：「很. 瓦解（disrupt）了這個國家。」11. 學. ‧ 國. 優勢，也使我們變得更加脆弱。」她同時也提出警告：「破壞了資訊網路，你便. ‧. 綜觀目前的全球化浪潮，國家權力在經濟、文化等議題上，已不免受到一定. y. Nat. 程度的取代或侵蝕，但是在安全議題方面，國家仍然扮演舉足輕重的角色。尤其. er. io. sit. 是在 911 事件之後，當時的美國總統小布希便提出「向恐怖主義宣戰」（War on Terror），積極要求並推動世界各主要國家進行聯合反恐行動，先後對阿富汗及伊. al. n. v i n 拉克兩國，以反恐為名義發動戰爭。到目前為止，傳統恐怖主義 Ch engchi U. 12. 仍未曾銷聲匿.                                                         9. Simon Finch, “Cyber-terrorism Poses a Serious Threat to Global Security,” in Louise I. Gerdes, ed., Cyber Crime (Farmington Hills, MI: Greenhaven Press, 2009), p. 36. 10 例如：Joshua Green, “The Myth of Cyberterrorism,” Washington Monthly, Vol. 34, No. 11 (November 2002), p. 8; Gabriel Weimann, “Cyberterrorism: How Real is the Threat?” p. 3, ＜http:// www.usip.org/files/resources/sr119.pdf＞(Retrieved on June 30, 2012). 11 引述自：Kevin A. O’Brien, “Information Age Terrorism and Warfare,” in David M. Jones, ed., Globalisation and the New Terror: The Asia Pacific Dimension (Northampton, MA: Edward Elgar Publishing, 2004), p. 154. 12 隨著時代演變與科技發展，恐怖主義的攻擊手段也持續與時俱進。本論文所指涉的「傳統恐怖主義」係相對於「網路恐怖主義」而言，主要著重於攻擊手段的不同，傳統恐怖主義的攻擊手段包括暗殺公眾人物、綁架人質、劫持交通工具、引爆炸彈，或是動用大規模毀滅性武器（weapons of mass destruction, WMD）等等，網路恐怖主義則指涉透過網際網路針對國家關鍵基礎設施之電腦系統、電腦程式、網絡及儲存於其中之資訊及資料，進行非法攻擊或威脅攻擊（請參見本論文第二章第一節）。大規模毀滅性武器的出現，使得暗殺、綁架等行之有年的攻擊手段相對成為傳統恐怖主義，而網路恐怖主義則又取而代之。關於科技與恐怖主義之間的關係，可參見：宋興洲，「科技在恐怖主義與反恐行動中所扮演的角色」，收於姜新立、張錦隆主編，《政治與資訊的交鋒》。臺北：揚智，2010，頁 53-89。 5.

(24) 跡，各種攻擊手段及行動訴求皆不一而足。反觀網路恐怖主義，眾多專家學者不僅對於它的定義為何，仍然缺乏共識，也由於網路恐怖主義迄今尚未發生重大的實際攻擊案例，使得各界不免懷疑其是否足以形成真實威脅，抑或只是有心人士的炒作，因而引發不少爭論。在美國政府方面，雖然在 911 事件之後，對於制定國內反恐法案及建立防衛機制等相關措施方面，美國政府皆不遺餘力，盡量將實體形式的各種恐怖攻擊發生之可能性降到最低，然而，網路恐怖主義作為新型態的恐怖主義，結合「虛擬形式、可由境外發動攻擊、難以判別攻擊者確切身分及所在地點」等特色，以及. 治政大攻擊的實際案例，但是對於美國及國際社會而言，仍可能構成國家安全的重大威立對於關鍵基礎設施及金融秩序具有高度之破壞能力，即使尚未發生網路恐怖主義. 脅，實在不應等閒視之。. ‧ 國. 學. 目前美國公私部門已高度依賴網際網路，例如軍方向民間大量採購各項高科. ‧. 技產品和服務、通訊系統、電子零組件和電腦軟體等，13政府各部門更是依賴網. y. Nat. 際網路交換資訊，以及提供一般民眾服務；此外，私人企業亦有許多重要的電子. er. io. sit. 資料透過網際網路傳輸，並存放於各種儲存設備，因而暴露在遭到駭客攔截、入侵、竄改及竊取的風險之中。有學者指出，美國依賴電腦系統和網路來維持基礎. al. n. v i n 設施運作的程度，高居世界之冠； C h 另有學者直言，雖然美國高度依賴網際網路 engchi U 14. 控制各種系統，卻又不甚重視國家的網路防禦機制，導致美國在這個面向比俄羅斯或中國更加脆弱。15不僅如此，更有學者以「巨大的電子阿基里斯腱」（a massive. electronic Achilles' heel）來比喻這個嚴重的潛在危機。16.                                                         13. Clay Wilson, Computer Attack and Cyberterrorism (New York: Nova Science, 2009), p. 1. Ron Rhodes, op. cit., p. 75. 15 Richard A. Clarke & Robert K. Knake, Cyber War: The Next Threat to National Security and What to Do About It (New York: Ecco, 2010), p. 155. 16 James A. Lewis, “Assessing the Risks of Cyber Terrorism, Cyber War and Other Cyber Threats,” report submitted to the Center for Strategic and International Studies, CSIS, Washington, DC, p. 1, ＜ http://csis.org/files/media/csis/pubs/021101_risks_of_cyberterror.pdf ＞ (Retrieved on February 9, 2012). 6 14.

(25) 美國身為國際反恐行動當中最主要的行為者，同時也是許多國際恐怖組織之攻擊目標。17 假使以美國如此擁有豐富資源並高度重視反恐工作的先進科技大國，仍無法有效阻止網路恐怖主義攻擊，則其他國家面臨此一威脅，國家安全將更加岌岌可危。有鑑於此，在反恐議題領域（issue area）之中，美國政府對於網路恐怖主義防治政策之制訂、發展及執行成果，可謂極具指標性意義。. 第二節. 文獻回顧. 政治大識背景建立初步的認識，及了解當前國內外相關研究的最新發展，以此做為研究立文獻回顧之目的，在於彙整與研究問題相關的文獻資料，以對於該問題的知. ‧ 國. 學. 工作之基礎，確立研究議題之方向，並嘗試提出解釋或批判。本論文在既有文獻之整理與回顧方面，首先針對網路恐怖主義之界定問題，進行背景資料的搜集，. ‧. 以建立相關概念之基礎；進而統整學界之爭辯情況，對照雙方各自的主張和論. sit. y. Nat. 據，以了解網路恐怖主義威脅的嚴重性；最後則是回溯美國政府近年來相關的重. al. er. io. 大政策。綜括上述，此部分依據四個面向進行分類：網路恐怖主義之界定；. 2.. 網路恐怖主義與網路犯罪及網路戰爭之比較；. 3.. 網路恐怖主義是否為嚴重威脅；. 4.. 美國政府防治政策。. n. 1.. Ch. engchi. i n U. v. 經由對於四個面向的各類相關之文獻進行綜整與回顧，歸納重要學者之意見，以及重大政策之演變過程，可初步掌握當前的研究概況及政策發展情形，進而形塑本論文之問題意識。.                                                         17. 原因可能出於宗教衝突、反美情緒、反對經濟全球化等，例如：蔡瑋，「冷戰後的國際恐怖主義：趨勢與挑戰」，收於邱稔壤主編，《國際反恐與亞太情勢》（臺北：國立政治大學國際關係研究中心，2004），頁 7-29；邱伯浩，《恐怖主義與反恐》（臺北：新文京，2006），頁 15；李偉主編，《國際恐怖主義與反恐怖鬥爭年鑑》（北京：時事，2004），頁 23。 7.

(26) 壹、網路恐怖主義之界定網路恐怖主義為傳統恐怖主義與網際網路應用之複合體，可歸類於網路犯罪行為之一類，而網路恐怖主義、網路犯罪及網路戰爭（cyber warfare）三者之間的差異，也容易發生混淆，亦有多位專家學者曾提出各自之見解。本論文參考眾多相關文獻，嘗試比較其彼此之異同，藉此能夠對於網路恐怖主義形成更加清晰之定義。有鑑於各界對於恐怖主義之定義尚未取得共識，以及美國政府在 911 事件後對於恐怖主義之議題特別關注，本論文因而參考美國政府部門及法律條文中提及. 政治大之中有何不可或缺的要素等等，以建立對於網路恐怖主義之初步理解。立. 之定義，從中了解美國政府如何定義恐怖主義，哪些行為屬於恐怖主義，在定義. ‧ 國. 學. 在網路恐怖主義研究領域之中，Dorothy E. Denning 可謂非常重要的一位學者。2000 年 5 月，Denning 面對美國眾議院軍事委員會恐怖主義特別監督小組. ‧. （Special Oversight Panel on Terrorism, Committee on Armed Services, U.S. House. sit. y. Nat. of Representatives）作證時提出，網路恐怖主義之定義為：「網路恐怖主義指涉對. al. er. io. 於電腦、網絡及儲存於其中之資訊進行非法攻擊或威脅攻擊，以恐嚇或脅迫政府. v. n. 或其人民完成其政治性或社會性目標。此外，若要將一個攻擊行為歸類為網路恐. Ch. engchi. i n U. 怖主義，應包含對人身或財產之暴行，或至少產生足夠的傷害引發恐懼，例如導致死傷、爆炸或經濟嚴重受創之攻擊等。針對關鍵基礎設施之攻擊可能是網路恐怖主義行為，端視其影響而定。干擾非必要性設施，或只是造成代價不菲的騷擾等，此類攻擊則不包括在內」。18包括此定義在內，Denning 對於網路恐怖主義之定義範疇、發展概況與威脅性之評估等方面的深入研究，相關論述文章一直受到廣泛的引用及討論。19                                                         18. Dorothy E. Denning, “Cyberterrorism,” testimony before the Special Oversight Panel on Terrorism, Committee on Armed Services, U.S. House of Representatives, May 23, 2000, ＜http://www.cs. georgetown.edu/~denning/infosec/cyberterror.html＞(Retrieved on June 19, 2012). 19 例如：Süleyman Özeren, “Cyberterrorism and International Cooperation: General Overview of the Available Mechanisms to Facilitate an Overwhelming Task,” in Centre of Excellence Defence Against Terrorism, Ankara, Turkey, ed., Responses to Cyber Terrorism (Washington, DC: IOS Press, 2008), p. 8.

(27) 除了 Denning 之外，Mark M. Pollitt 於 1997 年對網路恐怖主義訂出的操作性定義（working definition），亦時常為其他專家學者引用，20其定義為：網路恐怖主義是次國家團體或秘密人員針對資訊（information）、電腦系統、電腦程式和資料（data）有預謀且出於政治動機的攻擊，其目標為非戰鬥人員。 21 Denning 對此加以補充：出於政治動機且造成嚴重損害的攻擊行為，例如經濟困境（economic hardship）或持續的斷電、斷水等，亦應屬於網路恐怖主義之範疇。22 另外，將美國聯邦法規（U.S. Code）及美國中央情報局（Central Intelligence Agency, CIA）對於恐怖主義之定義，23與 Mark M. Pollitt 所做之網路恐怖主義定義相比. 政治大. 較可以發現，兩者十分接近，差別僅在於 Pollitt 增加了有關資訊、電腦系統、電腦程式和資料的描述。. 立. 一般而言，許多西方國家的政府對於網路恐怖主義之定義，大多採用國際安. ‧ 國. 學. 全與合作中心（Center for International Security and Cooperation, CISAC）在一份. ‧. 名為「網路安全及恐怖主義國際會議提案」（ Proposal for an International. y. Nat. Convention on Cyber Crime and Terrorism）之文件上所使用的定義：「未經合法權. er. io. sit. 力承認之下，故意使用或威脅使用暴力破壞或擾亂網際網路系統（ cyber system），此種行為將可能造成一人或多人死亡或受傷、有形財產的實質毀損、                                                                                                                                                            . al. n. v i n C ofh Cyber and Computer 70; Shilpa Bhatnagar, Encyclopaedia Hacking, Vol. 5 (Delhi: Anmol U i Publications, 2009), p. 1; P. Madhava Somae Sundaram & K. Jaishankar, “Cyber Terrorism: Problems, h ngc. Perspectives, and Prescription,” in Frank Schmalleger & Michael Pittaro, Crimes of the Internet (Upper Saddle River, NJ: Pearson Education, 2009), p. 596; Gabriel Weimann, Terror on the Internet: The New Arena, the New Challenges (Washington: United States Institute of Peace, 2006), p. 153; James F. Pasley, “United States Homeland Security in the Information Age,” in Michael Pittaro, ed., Cybercrime: Current Perspectives from InfoTrac®, 2nd ed., (Belmont, CA: Wadsworth, 2010), p. 129. 20 例如：Maura Conway, “Cyberterrorism and Terrorist ‘Use’ of the Internet,” First Monday, Vol. 7, No. 11 (4 November 2002), ＜http://www.uic.edu/htbin/cgiwrap/bin/ojs/index.php/fm/article/view/ 1001/922＞(Retrieved on February 10, 2012); Kevin Curran, Kevin Concannon, & Sean McKeever, “Cyber Terrorism Attacks,” in Lech J. Janczewski & Andrew M. Colarik, eds., Cyber Warfare and Cyber Terrorism (Hershey, PA: Information Science Reference, 2008), p. 1. 21 Mark M. Pollitt, “Cyberterrorism: Fact or Fancy?” ＜http://www.cs.georgetown.edu/~denning/ infosec/pollitt.html＞(Retrieved on June 19, 2012). 22 Dorothy E. Denning, “Activism, Hacktivism, and Cyberterrorism: The Internet as a Tool for Influencing Foreign Policy,” in John Arquilla & David Ronfeldt, eds., Networks and Netwars: The Future of Terror, Crime, and Militancy (Santa Monica, CA: RAND, 2001), p. 281. 23 請參見：“U.S. Code Title 22, Ch. 38, Sec. 2656f,” p. 920, ＜http://www.gpo.gov/fdsys/pkg/ USCODE-2011-title22/pdf/USCODE-2011-title22-chap38-sec2656f.pdf ＞ (Retrieved on July 10, 2012); “Terrorism FAQs,” ＜https://www.cia.gov/news-information/cia-the-war-on-terrorism/ terrorism-faqs.html＞(Retrieved on June 18, 2012). 9.

(28) 社會失序，或是嚴重的經濟損失」。24根據這個定義，反面而言，凡是經過國家授權之網路攻擊，便不算是網路恐怖主義，由此可判別網路恐怖主義與網路戰爭之差異。然而，該定義缺乏對於攻擊發動者之政治性或社會性訴求的描述，不容易和一般以個人或所屬團體之利益為動機的網路犯罪行為做出區別。此外，亦有學者認為，網路恐怖主義即「以網際網路為工具所發動之攻擊行為」，恐怖份子可能入侵電力供應網絡或安全系統，或是散佈極具威力的電腦病毒等，藉以展開恐怖攻擊行動。25此可謂十分簡明的定義，網路恐怖主義的基本前提即是以網際網路做為攻擊工具或載體，遂行攻擊者所欲達成之威脅或強迫等. 治政大擊者身分或攻擊行為引發之後果等不同角度，進一步加以細分類別，例如：由網立目的。然而，各種「以網際網路為工具所發動之攻擊行為」尚可由攻擊動機、攻. 路恐怖份子所發動之網路恐怖攻擊、出於民族情緒等原因而串連攻擊外國網站. ‧ 國. 學. 26. 、因個人利益、商業利益或國家利益而受僱進行之網路間諜（cyber espionage）. ‧. 或網路戰爭（cyber warfare）行為，以及一般駭客或駭客團體出於無聊或惡趣而. y. Nat. 散佈電腦病毒或惡意程式等等。由此可知，該定義雖十分簡明，然其缺失亦在於. er. io. sit. 過度簡明，若將任何以網際網路為工具所進行之攻擊行為皆涵括在內，便無法精確區別上述幾種不同類型之網路攻擊行為，如此可能導致「一詞多義」的情況。. al. n. v i n 另一方面，尚有學者提出網路恐怖主義之定義為「非國家行為者為了政治目 Ch engchi U. 的使用電腦及電子網路散播恐嚇言語，或是發動大規模破壞行動」。27該定義便.                                                         24. Andrew Jones, “Cyber Terrorism: Fact or Fiction,” Computer Fraud and Security, Vol. 2005, Iss. 6, (June 2005), p. 4. 原文引用自：Abraham D. Sofaer, et al., “A Proposal for an International Convention on Cyber Crime and Terrorism,” CISAC Report, August 2000, p. 26, ＜http://iis-db.stanford.edu/pubs/ 11912/sofaergoodman.pdf＞(Retrieved on February 12, 2012). 25 Eben Kaplan, “Terrorists and the Internet,” p. 3, ＜http://www.cfr.org/terrorism-and-technology/ terrorists-internet/p10005#p6＞(Retrieved on January 31, 2012). 26 例如 2001 年 4 月 1 日於南中國海上空發生之「中美撞機事件」，美國海軍一架 EP-3 型偵察機與中國人民解放軍一架殲-8II 型戰鬥機碰撞，中國戰鬥機墜毀，飛行員王偉跳傘，下落不明，後由中國確認死亡，美國軍機則迫降於海南島陵水機場。此事件引發中美兩國外交衝突，並導致雙方國內民族情緒高漲，民間駭客團體相互攻擊或竄改對方政府網頁及各大網站。 27 彭慧鸞，「數位時代的國家安全與全球治理」，問題與研究，第 43 卷第 6 期（民國 93 年 11、 12 月），頁 36。 10.

(29) 針對「攻擊者之身分」及「行為動機」提出規範，但是對於攻擊對象是國家軍事部隊及所屬人員，抑或是非戰鬥人員，則沒有進一步細分。 2002 年 3 月，時任美國聯邦調查局反恐／反情報部門副執行助理主任（ Deputy Executive Assistant Director, Counterterrorism/Counterintelligence Division, Federal Bureau of Investigation, FBI）的 J. T. Caruso 於國會作證時表示，「網路恐怖主義──基於強迫或威脅政府或人民之目的，使用『網路工具』（cyber tools）導致國家重要基礎設施（能源、運輸或政府機關等）停止運作──已成為一個新興威脅」。28而 Gabriel Weimann 所定義的網路恐怖主義亦十分相似：使用. 治政大雖然兩者皆未進一步說明何謂「網路工具」或「電腦網立. 「電腦網絡工具」（computer network tools）危害或關閉國家關鍵基礎設施（能源、運輸或政府機關等）。. 29. 絡工具」，卻都明確指出，網路恐怖主義攻擊能使「國家的重要基礎設施停擺」. ‧ 國. 學. 此一嚴重後果。. ‧. Clay Wilson 對於網路恐怖主義之定義為：「國際、次國家團體或秘密人員，. y. Nat. 出於政治性之動機，將電腦做為武器或目標，威脅使用或導致暴力及恐懼，以影. er. io. sit. 響群眾，或迫使政府改變其政策」。並且強調，由於難以完全確定攻擊者的身分、意圖或政治動機，輕易將電腦攻擊視為網路恐怖主義是有問題的做法。其進一步. al. n. v i n 指出，由於任何人皆可透過網際網路，輕易取得有關如何利用電腦程式漏洞的教 Ch engchi U. 學文件，加上目前尚缺乏證實國際恐怖組織與大規模網路攻擊有關聯的確切證據，如何確定各種網路攻擊行為的發動者身分，仍然十分困難。但是在此同時，網路安全相關組織卻指出，電腦病毒攻擊日趨頻繁，不僅影響全球許多區域，造成的經濟損失亦越來越嚴重。30.                                                         28. J. T. Caruso, “Combating Terrorism: Protecting the United States,” before the House Subcommittee on National Security, Veterans Affairs, and International Relations, Washington, DC, March 21, 2002, ＜http://www.fbi.gov/news/testimony/combating-terrorism-protecting-the-united-states＞(Retrieved on February 9, 2012). 29 Gabriel Weimann, “Cyberterrorism: The Sum of All Fears?” Studies in Conflict & Terrorism, Vol. 28, Iss. 5 (2005), p. 130. 30 Clay Wilson, op. cit., pp. 6-8. 11.

(30) Wilson 指出了網路恐怖主義並不等於一般的電腦攻擊，必須以攻擊者的身分、意圖或政治動機等條件來加以認定，即使這可能十分困難。筆者認為，若要對網路恐怖主義進行更清楚的界定，並且與網路犯罪及網路戰爭或資訊戰爭之間做出更明確的區分，或是確定彼此之間的從屬關係，應將著重之焦點增加，包括攻擊者之身份、具政治動機與否，以及攻擊行為之目標等等，盡量將相似概念之間產生混淆的可能性降到最低。 Andrew M. Colarik 則以「次國家團體、秘密人員或個人針對資訊、電腦系統、電腦程式和資料進行有預謀且出於政治動機的犯罪行為，破壞人身安全. 治政大此定義將網路恐怖主義攻擊視為犯罪行為，並強調其對於人身安全之威立. （physical violence），其目的在於引發非戰鬥人員之恐懼」做為網路恐怖主義之 31. 定義。. 脅，以及所造成之恐懼。觀察歷年來的恐怖攻擊行動，不論其攻擊手法為何，「引. ‧ 國. 學. 發恐懼」的確是恐怖份子最期盼實現的階段性目的，也是用以逼迫或威脅目標政. ‧. 府或人群服從其意志最有效的工具，然而，倘若網路恐怖份子所攻擊的目標是國. y. Nat. 家的金融機構，例如干擾金融秩序，或是竊取民眾的帳戶資料、信用卡號碼等等，. er. io. sit. 這類攻擊行為似乎不太可能造成實際的人身安全顧慮，也就是說，人身安全之威脅不一定是必要因素，「引發恐懼」仍是恐怖份子企求的最主要目標。. al. n. v i n 而在網際網路使用行為之分類方面，Denning 曾將這些行為分為三大類： Ch engchi U. 「Activism」、「Hacktivism」和「Cyberterrorism」，從而將一般以騷擾為目的之駭客攻擊行為與嚴重程度大不相同的網路恐怖主義清楚區分開來。32如此的分類方. 式，不僅廣為學界引用，亦有專家學者特別針對其中某一類型提出專文論述， 33. Denning 所提出的此種分類方式之影響，可謂十分深遠，並且突顯出網路恐怖. 主義有別於其他網際網路使用行為，應當自成一類的必要。                                                        . 31. Andrew M. Colarik, Cyber Terrorism: Political and Economic Implications (Hershey, PA: Idea Group, 2006), p. 47. 32 Dorothy E. Denning, “Activism, Hacktivism, and Cyberterrorism: The Internet as a Tool for Influencing Foreign Policy,” op. cit., p. 241. 33 例如：Niranjan Dass, Globalization of Terror: A Threat to Global Economy (New Delhi: MD Publications, 2008), Ch. 6 & 7; Andrew M. Colarik, op. cit., Ch. 3; Gabriel Weimann, Terror on the Internet: The New Arena, the New Challenges (Washington: United States Institute of Peace, 2006), pp. 12.

(31) 貳、網路恐怖主義與網路犯罪及網路戰爭之比較許多專家學者對於網路犯罪皆採較寬鬆之定義，大致上只要是「以電腦及網際網路為工具的犯罪行為」皆屬之。34不過，相對於這些較為概括性且模糊之定義，Susan Brenner 則主張，網路犯罪不一定必須以網際網路為工具，僅以一台電腦亦有可能完成網路犯罪，同時尚有某些犯罪行為必須透過網際網路才能完成，應針對網路犯罪和傳統犯罪加以區別。35Brenner 亦進一步指出網路犯罪與網路恐怖主義之間的差異，前者係出於個人目的，包括個人私欲、商業利益或是傷害他人之意圖等等，而後者則是出於政治目的，屬於有預謀地引發嚴重破壞，. 政治大對於網路戰爭之定義問題，Richard A. Clarke 與 Robert K. Knake 將網路戰爭立. 以造成大眾的恐慌，從而傳達其政治訴求之行為。36. ‧ 國. 學. 定義為「一國對於另一國之電腦或網絡的滲透行動，旨在造成損害或破壞」，37此定義針對行為者身分及動機提出較為明確的規範，既然戰爭是國家行為者之間的. ‧. 相互行為，網路戰爭自當由國家行為者發動，而不是個人或非國家行為者。相似. sit. y. Nat. 觀點如 James A. Lewis，其亦主張網路戰爭是為「國家或政治團體出於政治目的. al. er. io. 使用武力造成損失、破壞或傷亡」。38. v. n. 另一方面，Susan W. Brenner 則認為，網路戰爭是以虛擬方式進行的軍事行. Ch. engchi. i n U. 動，即國家使用網路空間來達成與使用傳統軍事力量相同的目標。39關於網路恐                                                                                                                                                             155-159; Paul A. Taylor & Jan Ll. Harris, “Hacktivism,” in Hossein Bidgoli, ed., Global Perspectives in Information Security: Legal, Social, and International Issues (Hoboken, NJ: John Wiley & Sons, 2009), pp. 295-317. 34 例如：Bernadette H. Schell & Clemens Martin, Cybercrime: A Reference Handbook (Santa Barbara, CA: ABC-CLIO, 2004), pp. 2-3; Jeffrey Ian Ross, Criminal Investigations: Cybercrime (New York: Chelsea House, 2010), pp. 21-24; Shilpa Bhatnagar, op. cit., Vol. 1, p. 39; Clay Wilson, “Botnets, Cybercrime, and Cyberterrorism: Vulnerabilities and Policy Issues for Congress,” CRS Report for Congress, p. 4, ＜http://www.fas.org/sgp/crs/terror/RL32114.pdf＞ (Retrieved on February 19, 2012); 馬進保、袁廣林，《高科技犯罪研究》（北京：中國人民公安大學出版社，2008），頁 205。 35 Susan W. Brenner, “‘At Light Speed’: Attribution and Response to Cybercrime/Terrorism/Warfare,” The Journal of Criminal Law and Criminology, Vol. 97, No. 2 (Winter, 2007), pp. 382-386. 36 Ibid, pp. 387-389. 37 Richard A. Clarke & Robert K. Knake, op. cit., p. 6. 38 James A. Lewis, “Thresholds for Cyberwar,” report submitted to the Center for Strategic and International Studies, CSIS, Washington, DC, p. 1, ＜http://csis.org/files/publication/ 101001_ieee_insert.pdf＞(Retrieved on February 29, 2012). 39 Susan W. Brenner, “‘At Light Speed’: Attribution and Response to Cybercrime/Terrorism/Warfare,” op. cit., p. 401. 13.

(32) 怖主義與網路戰爭之間的區別，Brenner 亦強調，恐怖主義不同於戰爭的最大差異，在於後者所針對的不應該是平民，而是軍事人員及所屬設施等等。40由此推論，網路戰爭也不應指涉針對平民及民生設施發動之攻擊，而是屬於網路恐怖主義之範疇。以上相關文獻皆顯示，若要將網路恐怖主義與其他網際網路使用行為進行區分，以及界定網路恐怖主義、網路犯罪及網路戰爭三個概念相互之差異，必須建立若干判別標準，例如以行為者動機、身分等不同面向判斷等等。透過這些判別標準，始能有效提出網路恐怖主義之明確定義。. 政治大參、網路恐怖主義是否為嚴重威脅立. ‧ 國. 學. 除了針對網路恐怖主義如何定義的爭論之外，對於其威脅之程度，專家學者亦有各種看法。例如 Joshua Green 指出，美國軍方指揮系統及關鍵基礎設施之網. ‧. 路防衛機制皆已十分完善，即使恐怖份子能夠入侵系統，由於操作系統需要高度. sit. y. Nat. 專業知識，難以造成實質破壞。其認為，網路恐怖主義的攻擊效果不若傳統恐怖. al. er. io. 主義，所需要的資金、知識和籌備時間亦高於後者許多，對於恐怖份子而言，傳. v. n. 統恐怖主義仍是較合理的選擇。Green 進一步主張，網路恐怖主義已受到大眾媒. Ch. engchi. i n U. 體及有心人士的過度炒作，不論是為了新聞話題性、獲取國家資金挹注，或是個人主導議題的權力等目的，導致美國政府已經投入過多寶貴的資源。41 Andrew Jones 亦認為，發動網路恐怖攻擊所需的技術已超出絕大多數的恐怖組織之能力，不必過於強調其威脅性。在 911 事件之後，全世界對於恐怖主義威脅的敏感度已大幅提高，而人類對於網路科技的大量應用和依賴，使得對網際網路的任何干擾都可能引發嚴重影響；這兩個要素結合在一起的結果，便是對於網路恐怖主義潛在威脅的過度反應。                                                        . 40. Ibid, pp. 387-388. Joshua Green, “The Problem of Cyberterrorism is Exaggerated,” in Louise I. Gerdes, ed., Cyber Crime (Farmington Hills, MI: Greenhaven Press, 2009), pp. 49-50. 14 41.

(33) 相較於 Joshua Green 針對軍方的網路安全措施給予甚高之評價，Richard A. Clarke 和 Robert K. Knake 則提出質疑，他們以 2008 年國防部機密系統遭電腦病毒入侵之事件為例，指出電腦病毒即使不透過網際網路，仍可利用使用者不經意的疏忽侵襲目標系統，安全機制不僅包含各項軟硬體的適當配置與維護，還應該考慮到使用者的因素。42 不僅如此，主張網路恐怖主義確實可能對國家安全帶來威脅的學者們亦指出，目前網路恐怖份子發動攻擊的可能性或許偏低，然而其潛在威脅仍不能不加以重視。例如依據 Simon Finch 之觀察，恐怖份子已開始重視網路恐怖主義之潛力。43Dorothy E. Denning 也認為，電腦駭客可能會與恐怖組織合作，如此一來恐. 治政大將引發嚴重後果，而新世代的恐怖份子自幼即在數位時代中成長，這群人將更加立熟悉網際網路的操作知識，並且能夠看出網路恐怖主義所具有的極大潛力，其威. ‧ 國. 學. 脅已非昔日可比擬。44. ‧. 此外，尚有若干專家學者認為，由於近年來網路科技的迅速發展與廣泛應. y. Nat. 用，各項關鍵基礎設施相互之間的連結性與互賴性已經大幅提高，管理人員的監. n. al. er. io. 能力隨之下降。45. sit. 控和操作亦更加方便，同時卻也使得這些關鍵基礎設施面對網路攻擊威脅的防衛. Ch. engchi. i n U. v.                                                         42. Richard A. Clarke & Robert K. Knake, op. cit., pp.171-172. Simon Finch, op. cit., p. 37. 44 Dorothy E. Denning, “Is Cyber Terror Next?” ＜http://essays.ssrc.org/sept11/essays/denning.htm＞ (Retrieved on June 30, 2012). 45 例如：Yacov Y. Haimes, “Risk of Terrorism to Cyber-Physical and Organizational-Societal Infrastructures,” Public Works Management & Policy, Vol. 6, No. 4 (April 2002), p. 232; James A. Lewis, “Assessing the Risks of Cyber Terrorism, Cyber War and Other Cyber Threats,” op. cit., p. 11; Gordon M. Snow, “Cybersecurity: Responding to the Threat of Cyber Crime and Terrorism,” statement before the Senate Judiciary Committee, Subcommittee on Crime and Terrorism, Washington, DC, April 12, 2011, ＜http://www.fbi.gov/news/testimony/ cybersecurity-responding-to-the-threat-of-cyber-crime-and-terrorism＞(Retrieved on June 4, 2012). 15 43.

(34) 肆、美國政府防治政策觀察諸多美國政府之公開文件可知，自柯林頓（Bill Clinton）時期開始，美國政府逐漸重視境內恐怖主義針對國家安全的威脅。46 隨著網路科技的快速發展，各項維繫美國經濟、民生、社會與國防等各層面運作之關鍵基礎設施，對於網際網路的依賴程度亦與日俱增，因此，網路空間安全與國家安全之間的關係，也逐漸形成緊密連結。47 有鑑於此，柯林頓總統及小布希總統陸續頒布多項重大政策及總統指令，要求相關之聯邦部門密切配合，並且與負責營運眾多關鍵基礎設施的私部門展開對. 政治大 911 事件發生後，小布希政府大幅提高對於反恐相關事務的重視程度，除了立. 話、協調，並相互分享資訊，以共同保障關鍵基礎設施之安全。48. ‧ 國. 學. 成立國土安全部（Department of Homeland Security, DHS）之外，亦頒布「網路空間安全國家戰略」（National Strategy to Secure Cyberspace），將網路安全議題提. ‧. 升至國家戰略層次。以該戰略之架構為基礎，小布希政府頒布多項相關政策，將. sit. y. Nat. 維護各項關鍵基礎設施安全之職責，詳細分派給有關的聯邦部門，同時也確立國. al. er. io. 土安全部在整體政策框架之中心角色。49. v. n. 到了歐巴馬政府上台之後，大致維持前任政府之政策路線，強調全國性與全. Ch. engchi. i n U. 球性的共同合作，協力降低網路恐怖主義對於各國之威脅。50在此同時，歐巴馬.                                                         46. “President Decision Directives 39: U.S. Policy on Counterterrorism,” ＜http://www.fas.org/irp/ offdocs/pdd39.htm＞(Retrieved on June 17, 2012). 47 “Executive Order 13010, EO 13010: Critical Infrastructure Protection, July 15, 1996,” ＜http:// www.fas.org/irp/offdocs/eo13010.htm＞(Retrieved on June 17, 2012). 48 例如：“Executive Order 13010, EO 13010: Critical Infrastructure Protection, July 15, 1996,” ＜ http://www.fas.org/irp/offdocs/eo13010.htm ＞ (Retrieved on June 17, 2012); “President Decision Directives 63: Critical Infrastructure Protection,” ＜http://www.fas.org/irp/offdocs/pdd/pdd-63.htm＞ (Retrieved on June 17, 2012); “National Strategy to Secure Cyberspace,” ＜http://www.us-cert.gov/ reading_room/cyberspace_strategy.pdf＞(Retrieved on June 27, 2012). 49 “National Strategy to Secure Cyberspace,” pp. ix-x, ＜http://www.us-cert.gov/reading_room/ cyberspace_strategy.pdf＞(Retrieved on June 27, 2012). 50 John D. Moteff, “Critical Infrastructures: Background, Policy, and Implementation,” CRS report for Congress, p. 12, ＜http://www.fas.org/sgp/crs/homesec/RL30153.pdf＞(Retrieved on June 30, 2012). 16.

(35) 政府亦十分重視提升國內民眾對於保護國家關鍵基礎設施的安全意識，並且定期執行相關的演習行動與宣導措施。經由爬梳上述文獻發現，目前網路恐怖主義之定義仍顯模糊，對於威脅是否真實存在之看法，論述亦相當分歧，認為言過其實者有之，主張重視威脅者亦有之。即使如此，本論文嘗試建立判別網路恐怖主義之界定標準，據以釐清網路恐怖主義之定義，並且評估網路恐怖主義的真實威脅性。此外，在美國政府的防治政策架構方面，經過一系列的政策調整，相關聯邦部門的角色和職責劃分已然明確，根本之政策方向亦十分清晰：美國正力求徹底防止網路恐怖主義的攻擊，以保護關鍵基礎設施的正常運作。. 第三節. 問題意識. 學 ‧. ‧ 國. 立. 政治大. 綜觀上述之研究緣起與文獻回顧可知，當前各界對於網路恐怖主義之界定與. sit. y. Nat. 威脅之嚴重程度，仍未取得共識。面對如此的爭辯情況，美國政府如何擬定相關. er. al. v. 恐怖主義與網路科技的結合，產生了網路恐怖主義，但是其定義如同傳. n. 1.. io. 對策，保護國內各項關鍵基礎設施？由此，本論文之問題意識如下：. Ch. engchi. i n U. 統恐怖主義一般，眾說紛紜，莫衷一是，是否可能整理出一個較為完善且全面的定義？ 2.. 透過檢視相關討論、爭議與著述等文獻資料，比較並分析其中的爭議焦點，嘗試探討若干專家學者為何主張網路恐怖主義之威脅被過分誇大？其主要論據為何？網路恐怖主義對於國家安全是否已構成嚴重威脅？. 3.. 將美國的反恐政策做為研究主軸，著重在網路恐怖主義此一面向，以美國政府公布的各項文件與資料為背景，試圖分析美國目前對於反制網路恐怖主義方面，如何保護國內各項關鍵基礎設施？其基本策略與政策發展情況為何？是否具有一貫之政策路線？ 17.

(36) 透過問題意識之釐清，便可在研究過程之中，經由閱讀專家學者的相關著述，逐步了解網路恐怖主義的真實樣貌，並對照美國防治網路恐怖主義之政策，最終能夠對該政策形塑出一個較為客觀之評價。. 第四節研究方法與研究範圍壹、研究方法本論文以美國防治網路恐怖主義之政策為個案研究對象，透過文獻分析法，. 政治大. 從事相關資料的閱讀與整理，首先探討網路恐怖主義之定義，參照眾多專家學者. 立. 各自提出之意見，並且經由與電腦犯罪、網路犯罪及網路戰爭三個概念之間的相. ‧ 國. 學. 互比較，找出彼此之異同，從而界定網路恐怖主義之定義。. 在形塑出定義之後，針對網路恐怖主義是否為一個真實威脅的爭辯現象，進. ‧. 行分析和比較，經由閱讀文獻之過程，找尋主要的爭議焦點，並且嘗試提出筆者. y. Nat. n. al. er. io. 勢和著重之面向，嘗試提出客觀之評價。. sit. 的主觀意見。接著，以美國防治網路恐怖主義之政策為關注焦點，研究其發展趨. i n U. v. 此外，本論文亦運用歷史分析法，針對美國防治網路恐怖主義之政策，由政. Ch. engchi. 策路線之歷史進程，觀察其演變脈絡及趨勢，以及 911 事件所造成之影響，嘗試分析美國政府相關政策架構之發展，並探討其是否具有一貫之政策思維。在文獻資料的選擇方面，以中文及英文資料為主，其中包括專書著述、期刊文章、政府出版品、政府首長之公開發言及聽證會紀錄、新聞媒體報導，以及網頁資訊等等。關於詞彙之定義問題，除了眾多專家學者各自的主張以外，亦參考聯合國、美國政府及軍方等機構所提供之相關定義，包括聯邦法規及各單位之資料等。而在引用及繪製圖表的部分，則以政府公布的資料為主，強調準確性、客觀性與公信力。. 18.

(37) 貮、研究範圍在議題範圍的界定上，本論文以「干擾或中斷關鍵基礎設施正常運作，意圖造成大眾生活不便或立即危害之網路恐怖主義活動」為研究議題，包括以駭客手法入侵水壩、核能發電廠或交通管制中心之控制中樞，蓄意造成擾亂未預警之洩洪、核能災害或交通秩序大亂等後果之恐怖主義行為等等。至於一般駭客出於惡作劇、挑戰技術或個人利益等動機，對於各個網站發動之騷擾或攻擊行為、盜用個人身份，以及透過網際網路竊取公私部門之內部資訊及其他商業機密等行為，若非必要，皆不在本論文研究範圍之內。. 政治大將聚焦在網路恐怖主義及美國防治政策兩大面向，為了比較網路恐怖主義與網路立即使網路恐怖主義可歸類於網路犯罪行為之一類，但是本論文之研究重點仍. ‧ 國. 學. 犯罪的相互異同，必須提及有關電腦犯罪及網路犯罪之討論與研究。除此之外，若無重要關聯性，相關研究即排除在本論文所欲處理的議題領域以外。. ‧. 在年代切割的選擇方面，雖然早在 2001 年 911 事件發生之前，美國政府已. sit. y. Nat. 開始察覺網路恐怖主義的潛在威脅，學界亦有相關討論出現，但是直到 911 事件. al. er. io. 發生之後，美國政府才大幅度地加強其國內反恐政策，其中也包括防治網路恐怖. v. n. 主義的部分，因此本論文研究議題之時間尺度，除了針對 911 事件之前相關政策. Ch. engchi. i n U. 的分析之外，仍將以 2001 年至目前（2012 年 7 月）為研究重點。. 第五節. 章節安排. 本論文共分為五章，第一章為「緒論」，各小節依序闡述研究緣起、回顧並探討相關文獻資料，以進行要點整理、提出問題意識、說明研究方法並界定研究範圍，以及條列本論文之章節安排。第二章為「網路恐怖主義之界定」，首先探討網路恐怖主義與傳統恐怖主義之間的異同，根據分析重要學者對於各種網際網路使用行為之分類方式，建立網 19.

(38) 路恐怖主義之判別標準，並嘗試提出本論文之定義；進而以各個判別標準為基礎，比較網路恐怖主義與網路犯罪及網路戰爭之間有何異同，相互關係為何。再以 2007 年 4 月愛沙尼亞（Estonia）發生之大規模網路攻擊事件為例，闡述網路恐怖主義對於國家安全之威脅程度，何以值得政府特別重視。第三章為「網路恐怖主義威脅之爭辯」，著重於觀察當前眾多專家學者對於網路恐怖主義威脅存在與否之爭辯情況，分析他們各自提出之正反論據，找尋主要爭議點所在，從中嘗試建立筆者之意見，以評估網路恐怖主義確切之威脅性。第四章為「美國防治網路恐怖主義政策」，以 2001 年 911 事件與 2003 年美. 治政大網路恐怖主義一系列政策之發展，探討其如何組織防治體系，相關各部門的權責立國政府頒布「網路空間安全國家戰略」做為兩個時間分界點，分析美國政府防治. 分配情形，以及歐巴馬政府目前之政策概況。. ‧ 國. 學. 第五章為「結論與展望」，主要總結各章之研究結果，討論研究發現，並嘗. ‧. 試針對美國防治網路恐怖主義政策進行評價。除此之外，亦說明本論文在寫作過. y. Nat. 程中曾遭遇之侷限與困難，並展望未來研究之可能發展，期盼能為往後相關研究. n. al. er. io. sit. 提供一些論述基礎。. Ch. engchi. 20. i n U. v.

(39) 第二章. 網路恐怖主義之界定. 在研究網路恐怖主義的威脅以及美國防治網路恐怖主義相關政策之前，應先了解「網路恐怖主義」此一概念之意涵。即使目前各界對網路恐怖主義的定義尚無普遍共識，但是經由統整各種觀點，歸納出數個重要的判別標準，並且透過這些標準，試圖提出一個明確的定義，避免與其他概念發生混淆。因此，本章以既有文獻為基礎，首先對於「恐怖主義」一詞進行初步了解，再以恐怖主義之定義為基礎，界定本論文在提及「網路恐怖主義」此一名詞時所. 政治大路恐怖主義，本章亦將進一步比較分析三者之間的關聯及異同。此外，一旦爆發立. 指涉之概念。再者，由於「網路犯罪」及「網路戰爭」相關活動經常被誤解為網. ‧ 國. 學. 大規模的網路恐怖主義攻擊，可能導致的災情為何？由於目前尚未出現網路恐怖主義攻擊的真實案例，故選擇性質較為相似之事件，即 2007 年 4 月愛沙尼亞遭. ‧. er. io. sit. Nat. 恐怖主義攻擊，有何值得參考與借鏡之處。. y. 受大規模網路攻擊一例，做為個案研究對象，藉以討論該事件對於國家防治網路. n. v 第一節a l C 網路恐怖主義之定義 ni hengchi U. 許多專家學者皆曾提及，「Cyberterrorism」一詞是由 Barry Collin 在 1980 年代所創，用以指涉網路空間與恐怖主義之結合。1即使 Collin 所提出的只是一個初始的概念，並未進一步明確界定，不過，搜尋國內外文獻，眾多專家學者縱然因立場或焦點之差異，對於網路恐怖主義做出各有異同的定義，但是目前似乎尚無其他定義超出這樣的範疇。.                                                         1. 例如：Dorothy E. Denning, “Activism, Hacktivism, and Cyberterrorism: The Internet as a Tool for Influencing Foreign Policy,” op. cit., p. 281; Niranjan Dass, op. cit., p. 159; Maura Conway, “Cyberterrorism and Terrorist ‘Use’ of the Internet,” op. cit. 21.

(40) 然而，如此的描述仍然不夠明確，尚需更加精準的界定。以恐怖主義而言，過於廣泛的定義可能會造成各種普通的犯罪行為、蓄意破壞和駭客活動都被視為恐怖主義，使得「恐怖主義」此一概念變得沒有意義；相對地，過於狹隘的定義，則可能會遺漏許多恐怖主義活動。2過猶不及，皆有可能造成政府在反恐政策之制訂面與執行面的失準。有鑑於此，為了避免過於廣泛或狹隘地界定網路恐怖主義，本章由傳統恐怖主義之定義出發，首先了解何謂恐怖主義，以及某些特定活動被視為恐怖主義之原因，再探討傳統恐怖主義與網路恐怖主義之間的異同，以對於網路恐怖主義形. 政治大. 成更精確的界定，做為立論分析之基礎，從而避免在行文當中出現敘述模糊或語意不清的情況。. 立. ‧ 國. 學. 壹、恐怖主義. ‧. 「恐怖主義」之概念，多用以指稱個人或團體出於政治性、社會性或宗教性. sit. y. Nat. 目的，以非武裝的平民百姓或不特定的人員為目標，有計畫地使用暴力或威脅使. al. er. io. 用暴力，企圖引發大眾的恐慌和關注，以達到其訴求或目的。以下分別統整恐怖. v. n. 主義之定義，以及網路恐怖主義與傳統恐怖主義之間的共同特徵：. Ch. engchi. i n U. 一、定義即使恐怖主義之相關研究並非新興領域，眾多專家學者對於恐怖主義的定義卻仍然莫衷一是，國際社會亦缺乏共識，甚至美國政府各部門對其之定義也多少有所出入。舉例而言，聯合國安全理事會（United Nations Security Council, UNSC）於 2004 年 10 月通過第 1566 號決議，將恐怖主義定義為：「［一種］犯罪行為，包括故意造成平民死亡或重傷，或劫持人質，其目的在於在一般民眾、某一群人.                                                         2. Charles Jaeger, “Cyberterrorism,” in Hossein Bidgoli, ed., The Internet Encyclopedia, Vol. 1 (New York: John Wiley & Sons, 2003), p. 353. 22.