美国日前公布《国家网路安全战略》，报告共提出5项支柱及27项政策，并将中国大陆、俄罗斯、伊朗与北韩界定为恶意行为者。网路攻击、情报搜集与勒索软体是目前美国面临的网路恶意攻击。在既存威胁之外，更致命的趋势则是量子运算（Quantum computing）发展，量子电脑的运算速度及效能远超过现有超级电脑，若美国在此领域的研发落后，将对其国家安全及经济发展造成致命影响。

以「韧性」为核心的国家网路安全战略

美国《国家网路安全战略》提出的支柱与政策分别从经济产业与国家安全的角度切入，提升美国网路及关键基础设施的「韧性」（resilience）。韧性是《国家网路安全战略》的核心。包括阻止或抵御多重危险的能力，以及在遭遇危险或攻击时，复原系统及重新提供服务的速度与能力；《国家网路安全战略》著重降低美国网路设施遭遇危险或攻击的可能性，并提升危险或攻击发生后，恢复与提供网路服务的速度及能力。

美国将协调与精简现有法规，检视法规是否存在漏洞，以确保关键基础设施的安全及提升网路安全。鉴于网路攻击难以追踪及可能造成复合影响，公、私部门间的协调合作有其必要。公部门以联邦网路安全中心（Federal Cybersecurity Centers），作为最主要节点，整合国土安全、执法部门、情报、外交、经济与军事部门；其次，在网路安全暨基础设施安全局（Cybersecurity and Infrastructure Security Agency, CISA）下建立联合网路防御协作，整合联邦政府、私部门与国际社会的网路防御政策及行动。

该报告定义的恶意行为者包括中国大陆、俄罗斯、伊朗与北韩，尤以中国大陆为重；恶意行为则有网路攻击、情报搜集、勒索软体等。面对这些恶意行为者与潜在攻击，主张在国家网路调查联合任务部队（National Cyber Investigative Joint Task Force, NCIJTF）的协调下，整合美国官方的反击力量，鼓励私部门合作分享资讯与防御能量以扰对手，提高情报共享的速度及规模。

美国将投资更多资源，建立更安全、更重视隐私与公平的网路环境，包括提升网路安全技术及相关研发，著重量子资讯科学的投入及研发，将目前容易受到攻击的密码系统升级为后量子密码学的系统，更著重新的量子应用、元件制造方法及相关技术，并培养具有量子相关技能的下一代科学家及工程师。最后则是号召志同道合的国际伙伴，建构并维护开放、自由、全球、可靠与安全的网路空间，建立有效的事件检验与回应能力、共享网路威胁资讯、协调强化执法能力及其有效性等，建立负责任的国家行为，以及以此为核心的全球规范。

网路攻击复杂化与多样化   提升防御成本

就网路攻击的复杂性与多样化来说，网路匿名难以追踪，提升使用者的防御成本及执法者的查缉难度，以2014年摩根大通（JPMorgan Chase）遭网路攻击为例，攻击者绕道拉丁美洲及其他区域的网址，控制伺服器并窃取银行帐户资料，不断跳转网路协定位址的手法以掩盖真实位置，因最终资讯流向俄罗斯，美国联邦调查局（FBI）怀疑俄国主使，但证据力不足，无法发动进一步制裁或反击。网路攻击的复杂化与多样化，折射出公私部门合作与共享情资有其必要性。

有关实体设施的攻击方面。震网（Stuxnet）蠕虫对伊朗核电厂攻击与该电厂核子离心机被摧毁是明显案例，震网往往攻击电脑的自动化生产与控制系统，除可窃取资料外，也可掌控该系统并进行相关破坏活动。不少报导指出震网病毒源于美国与以色列的合作，但在伊朗核电厂案例中，震网病毒迫使系统超载并烧毁相关设施，任何一个国家均可能面临类似窘境，因为只要关键基础设施的电脑连结至网际网路，不论是直接网路连结或间接可携式硬碟连结，这类病毒均可能感染该电脑系统。

针对未来的韧性建构，人类科技正处于转折点，目前主流的电脑及相关系统系建立在0与1二进位制，不论是家用电脑或超级电脑的运算逻辑均以此为基础。如今量子科技发展颠覆电脑科学的发展，量子运算突破二进位制，其效能远高于电脑，如果想确认4位元（0或1）组合中的某一数字，传统电脑需尝试16次，但量子运算仅需4次；若要放大为20位元组合，传统电脑需100万次运算，量子电脑则仅需要1,000次。密码是当前网路安全防护的关键，RSA加密演算法的安全性系建立密码的复杂性与现行电脑的效能限制上，若量子运算发展突破RSA加密演算法，将使现行的加密演算法失效。

而加密演算法的失效不仅使一般家用电脑被攻击或窃取资料的可能性大幅提升，也会影响国家安全，例如C4ISR系统被入侵的可能性大幅提升，特别是敌对国家在量子电脑研发上取得重大突破，这也是美国《国家网路安全战略》特别重视后量子密码学的原因。

美国政府对业界的规范将日趋严格

《国家网路安全战略》可能对产业界造成根本且长远的影响。美国政府对业界的规范日趋严格，目的在于降低网路威胁的可能性及破坏程度，美国公私部门对新兴议题的讨论及合作也会更密切，因为网路安全的性质与运算科技的发展导致许多新兴议题出现，新标准或规范的建立有其急迫性。

首先，政府对业界的规范将日趋严格。《国家网路安全战略》强调第14028号行政命令，要求采购标准化，主张与国会和私部门合作制订法律规范软体及网路服务的责任。前者限缩美国行政部门的采购，当网路安全成为美国政府采购的考量时，在中国大陆制造的产品或采用中国大陆制造元件的产品，很可能被摒除在外。后者强化制造商与出版商对其商品的责任。

第二，新标准的建立。特别是在人工智慧、运营技术和工业控制系统、云基础设施、电信、加密、系统透明度和关键基础设施使用的资料分析等领域的网路安全和韧性。平心而论，撰写程式语言的门槛降低，提升民众创造与使用人工智慧的可能性，ChatGPT是很好的案例，目前各国政府对这类新兴科技的规范未有共识，透过公私部门合作讨论如何规范及建立标准便有其必要性。

第三，量子运算及电脑的投资趋势。不论从国家安全或经济安全的角度，量子电脑的问世将重新洗排现有的大国排名，因为量子电脑不仅运算速度极快，更能平行处理各种问题，可轻易破解现行电脑的密码系统及现有超级电脑无法回答的问题。

美国《国家网路安全战略》仅在于提出美国应对网路安全及威胁的政策，但考虑到美中关系趋势，中国大陆仍是假想敌。有关标准的讨论与建立，同样暗示著美国对美中竞逐的未雨绸缪及担忧，必须公私部门协力合作，投入更多资源推动量子科技的研发。