美國日前公布《國家網路安全戰略》，報告共提出5項支柱及27項政策，並將中國大陸、俄羅斯、伊朗與北韓界定為惡意行為者。網路攻擊、情報蒐集與勒索軟體是目前美國面臨的網路惡意攻擊。在既存威脅之外，更致命的趨勢則是量子運算（Quantum computing）發展，量子電腦的運算速度及效能遠超過現有超級電腦，若美國在此領域的研發落後，將對其國家安全及經濟發展造成致命影響。

以「韌性」為核心的國家網路安全戰略

美國《國家網路安全戰略》提出的支柱與政策分別從經濟產業與國家安全的角度切入，提升美國網路及關鍵基礎設施的「韌性」（resilience）。韌性是《國家網路安全戰略》的核心。包括阻止或抵禦多重危險的能力，以及在遭遇危險或攻擊時，復原系統及重新提供服務的速度與能力；《國家網路安全戰略》著重降低美國網路設施遭遇危險或攻擊的可能性，並提升危險或攻擊發生後，恢復與提供網路服務的速度及能力。

美國將協調與精簡現有法規，檢視法規是否存在漏洞，以確保關鍵基礎設施的安全及提升網路安全。鑑於網路攻擊難以追蹤及可能造成複合影響，公、私部門間的協調合作有其必要。公部門以聯邦網路安全中心（Federal Cybersecurity Centers），作為最主要節點，整合國土安全、執法部門、情報、外交、經濟與軍事部門；其次，在網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）下建立聯合網路防禦協作，整合聯邦政府、私部門與國際社會的網路防禦政策及行動。

該報告定義的惡意行為者包括中國大陸、俄羅斯、伊朗與北韓，尤以中國大陸為重；惡意行為則有網路攻擊、情報蒐集、勒索軟體等。面對這些惡意行為者與潛在攻擊，主張在國家網路調查聯合任務部隊（National Cyber Investigative Joint Task Force, NCIJTF）的協調下，整合美國官方的反擊力量，鼓勵私部門合作分享資訊與防禦能量以擾對手，提高情報共享的速度及規模。

美國將投資更多資源，建立更安全、更重視隱私與公平的網路環境，包括提升網路安全技術及相關研發，著重量子資訊科學的投入及研發，將目前容易受到攻擊的密碼系統升級為後量子密碼學的系統，更著重新的量子應用、元件製造方法及相關技術，並培養具有量子相關技能的下一代科學家及工程師。最後則是號召志同道合的國際伙伴，建構並維護開放、自由、全球、可靠與安全的網路空間，建立有效的事件檢驗與回應能力、共享網路威脅資訊、協調強化執法能力及其有效性等，建立負責任的國家行為，以及以此為核心的全球規範。

網路攻擊複雜化與多樣化   提升防禦成本

就網路攻擊的複雜性與多樣化來說，網路匿名難以追蹤，提升使用者的防禦成本及執法者的查緝難度，以2014年摩根大通（JPMorgan Chase）遭網路攻擊為例，攻擊者繞道拉丁美洲及其他區域的網址，控制伺服器並竊取銀行帳戶資料，不斷跳轉網路協定位址的手法以掩蓋真實位置，因最終資訊流向俄羅斯，美國聯邦調查局（FBI）懷疑俄國主使，但證據力不足，無法發動進一步制裁或反擊。網路攻擊的複雜化與多樣化，折射出公私部門合作與共享情資有其必要性。

有關實體設施的攻擊方面。震網（Stuxnet）蠕蟲對伊朗核電廠攻擊與該電廠核子離心機被摧毀是明顯案例，震網往往攻擊電腦的自動化生產與控制系統，除可竊取資料外，也可掌控該系統並進行相關破壞活動。不少報導指出震網病毒源於美國與以色列的合作，但在伊朗核電廠案例中，震網病毒迫使系統超載並燒毀相關設施，任何一個國家均可能面臨類似窘境，因為只要關鍵基礎設施的電腦連結至網際網路，不論是直接網路連結或間接可攜式硬碟連結，這類病毒均可能感染該電腦系統。

針對未來的韌性建構，人類科技正處於轉折點，目前主流的電腦及相關系統係建立在0與1二進位制，不論是家用電腦或超級電腦的運算邏輯均以此為基礎。如今量子科技發展顛覆電腦科學的發展，量子運算突破二進位制，其效能遠高於電腦，如果想確認4位元（0或1）組合中的某一數字，傳統電腦需嘗試16次，但量子運算僅需4次；若要放大為20位元組合，傳統電腦需100萬次運算，量子電腦則僅需要1,000次。密碼是當前網路安全防護的關鍵，RSA加密演算法的安全性係建立密碼的複雜性與現行電腦的效能限制上，若量子運算發展突破RSA加密演算法，將使現行的加密演算法失效。

而加密演算法的失效不僅使一般家用電腦被攻擊或竊取資料的可能性大幅提升，也會影響國家安全，例如C4ISR系統被入侵的可能性大幅提升，特別是敵對國家在量子電腦研發上取得重大突破，這也是美國《國家網路安全戰略》特別重視後量子密碼學的原因。

美國政府對業界的規範將日趨嚴格

《國家網路安全戰略》可能對產業界造成根本且長遠的影響。美國政府對業界的規範日趨嚴格，目的在於降低網路威脅的可能性及破壞程度，美國公私部門對新興議題的討論及合作也會更密切，因為網路安全的性質與運算科技的發展導致許多新興議題出現，新標準或規範的建立有其急迫性。

首先，政府對業界的規範將日趨嚴格。《國家網路安全戰略》強調第14028號行政命令，要求採購標準化，主張與國會和私部門合作制訂法律規範軟體及網路服務的責任。前者限縮美國行政部門的採購，當網路安全成為美國政府採購的考量時，在中國大陸製造的產品或採用中國大陸製造元件的產品，很可能被摒除在外。後者強化製造商與出版商對其商品的責任。

第二，新標準的建立。特別是在人工智慧、運營技術和工業控制系統、雲基礎設施、電信、加密、系統透明度和關鍵基礎設施使用的資料分析等領域的網路安全和韌性。平心而論，撰寫程式語言的門檻降低，提升民眾創造與使用人工智慧的可能性，ChatGPT是很好的案例，目前各國政府對這類新興科技的規範未有共識，透過公私部門合作討論如何規範及建立標準便有其必要性。

第三，量子運算及電腦的投資趨勢。不論從國家安全或經濟安全的角度，量子電腦的問世將重新洗排現有的大國排名，因為量子電腦不僅運算速度極快，更能平行處理各種問題，可輕易破解現行電腦的密碼系統及現有超級電腦無法回答的問題。

美國《國家網路安全戰略》僅在於提出美國應對網路安全及威脅的政策，但考慮到美中關係趨勢，中國大陸仍是假想敵。有關標準的討論與建立，同樣暗示著美國對美中競逐的未雨綢繆及擔憂，必須公私部門協力合作，投入更多資源推動量子科技的研發。