[前言]
前陣子美國參議院議長裴洛西旋風訪台,隨之而來的是中國軍演與飛彈試射,及中國駭客駭入台灣7-11店面的顯示器、外交部與國防部甚至民視等官網,主因可能是軟硬體是中國貨而有後門的資安漏洞,容易遭受DDoS網路攻擊。這些資訊戰的事件與近來數位發展部的成軍掛牌,可能帶來哪些法制方面的思維啟發呢?本文分為[DDoS攻擊、 IPFS與Web3思維]、[資通法對於網路關鍵基礎設施的標準規範]、[資通法下的白帽駭客抓漏]等篇幅來說明。
一、[DDoS攻擊、 IPFS與Web3思維]
首先,我們先來突破盲點。有人說是因為中國貨有後門的資安漏洞,所以才造成台灣網站被駭。行政院在2019年訂定《各機關對危害國家資通安全產品限制使用原則》,即規定公務機關不得使用中國資通產品,以免危害我國資通安全。然而,不僅公務部門,私人機構也會有採用中國貨等成本考量問題,而且資通產品的整個生產鏈所涉及的各種軟硬體零件,均有可能某一環與中資有關,防不勝防。況且,網軍或駭客大多採用所謂大量的阻斷服務攻擊(DDoS)去癱瘓網站或網路,也不一定與中國貨有直接關係。
以現今大多數所使用的HTTP網路通訊協定(也就是大家所熟悉的 HTTP 開頭網址)而言,中心化伺服器易因大量攻擊或造訪,如同電話占線而導致癱瘓該網路的伺服器;換言之,就是常見的阻斷服務攻擊(DDoS),傳統的解決方式是靠同等質的流量去清洗,需要花大量的時間與人力資源去完成防禦,等同必須與網軍互相抵消流量。
根據在2022年8月27日上任的行政院數位發展部部長唐鳳指出,若善用Web3思維的IPFS,建立不對稱的防禦系統,可有效防治中國網軍DDoS攻擊。而唐鳳所提到的IPFS(InterPlanetary File System,星際檔案系統),是一種「分散式的Web」,與Web3、區塊鏈同樣應用「去中心化」的概念,為點對點的網路傳輸協定,不再將數據、檔案存放於某一平台管理(中心化或集中式)的伺服器裡面。
如改為以去中心化的IPFS處理,等於把重要資訊分散於各個存取節點,並透過加密技術讓內容不易被篡改,所以能抵擋駭客的惡意攻擊。唐鳳透露,採用一個以Web3為主的分散式架構,透過數位發展部試行上線的官網(ipns://moda.gov.tw)啟用新架構,完全排除阻斷性攻擊,數位發展部網站「一秒鐘都沒卡住過」,若這項新技術撐得住所有攻擊,就可推廣到各部會。唐鳳也鼓勵白帽駭客幫忙壓力測試,關於白帽駭客壓力測試的法制詳如後敘。
Web3是以區塊鏈技術構成的網路空間與架構,其應用項目類型包括儲存數據的基礎設施,例如公鏈(公共區塊鏈)與側鏈,是今後網路治理的新趨勢與新思維。自然地,我們在面對資訊戰與法規調適的同時,勢必也要跟上Web3的趨勢與思維,那麼在國家機關與民間機構的網路關鍵基礎設施,其資安的風險管控就顯得格外重要,那就會涉及《資通安全管理法》(下稱資通法)的適用與執行。無論是區塊鏈或 IPFS,Web3科技工具均可為弱勢或少數族群(個人、團體與國家)建立「不對稱防禦系統」。
二、[資通法對於網路關鍵基礎設施的標準規範]
台灣法律科技協會理事長江雅綺表示,政府網站韌性不同,代表政府各單位的數位程度不一,且資安攻擊事件近期明顯增加,數位發展部要如何協助政府與民間因應,提升政府的數位轉型,可有更順暢的資訊串接系統、更好的數位治理基礎架構,也須提高資安意識、培育資安人才,以落實資安法規標準。
資通安全階層架構如同金字塔的三層,由上而下依序是:......(略)
全文連結:
(上篇)
(中篇)
(下篇)
Comments