【资安周报第45期】新加坡用总理高度揭露国家资安战略，台湾呢？

新加坡总理李显龙在十月中旬的时候，以国家最高领导人--总理的身份，在三千多名国内外会众参加的国际网络节中致词，并同时揭橥攸关未来新加坡最高资安指导原则“新加坡国家级网络安全战略”。以总理的高度正式对外宣示，网络安全是未来新加坡最关注的国家推动的政策方针之一，而且，要关心这个议题的，不是只有政府机关内的公务人员，连一般的企业主，如同你我一般的平凡百姓，也都不可以置外于网络安全的边界之外。

不只是新加坡，靠着灵活社交网络和新兴科技应用而顺利赢得选战的美国总统奥巴马，对于网络安全也不敢掉以轻心，在公布相关的网络安全政策，甚至是联邦资讯长、数位长甚至资安长等相关职位时，为了彰显其重要性，也都是由奥巴马正式对外宣布相关内容。

至于台湾政府，从总统蔡英文在竞选时的政见，就已经相当重视资安政策，甚至喊出资安等于国安的政策宣示性口号，从520正式就任后，相关的内阁在废止前朝的资安科技中心后，也在8月1日正式成立行政院层级的二级单位：资通安全处，已取代过往任务编组的资通安全办公室，让资安这样重要的任务，在政府体系中，有一个正式的、专任的组织。

只不过，蔡英文除了竞选时，在宣布相关的政见时，有正式出面宣示资安是重要的政见，但在上任后，多数都是在致词场合时，偶尔会提到资安是国家很重视的议题外，但往往缺乏更实质的内涵，使得致词只是致词，看不到蔡英文在总统的高度上，有提出任何国家级高度的网络安全战略方向。

相较于李显龙亲自出面，公布新加坡国家级网络安全战略的政策白皮书所彰显出来的高度，以及过往奥巴马在任内甚至开创联邦级的资讯长、数位长和资安长所显示的重要性，即便知道蔡英文的确有意识到“资安等于国安”，也纳为国防政策之一，但我们所期待的，蔡英文能够以总统高度，宣示国家未来的网络安全战略走向的场景，可惜到现在还没有看到。

新加坡从2005年启动资安之旅

李显龙在新加坡网络安全周的演讲致词时，对外宣示，国家级网络安全战略有4个重要的支柱，分别是：建置弹性关键资讯基础设施，创造安全网络空间，发展具有活力网络安全生态系统，以及强化网络安全相关的国际合作关系。他也特别提及，新加坡是重要的金融交易中心，而先进的资通讯科技（ICT）都有助于提升整体的交易速度和效率。也因为有这些资通讯科技的协力帮助，新加坡逐渐往一个数字化的智慧国家（Smart Nation）迈进。

但在此同时，李显龙也特别强调，新加坡发展智慧国家的过程就像一个漫长的拉力赛，不仅需要政府部门的全力投入，也同时需要所以的新加坡国民、企业的共同支持，才有机会达成这样的目标。若进一步研究，新加坡其实是从2005年才正式开始，将网络安全纳入重要的国家政策发展方针之一。

新加坡何以能在10年左右的时间，一举将网络安全提升到国家层级，包含一般民众都必须共同关注的事项呢？

新加坡的资安发展可以分成五个阶段来看，首先是2005年～2007年，新加坡制定了一份为期2年的“资通讯安全发展纲领”（Infocomm Security Masterplan），最重要的是设立一个新加坡资通讯发展局（IDA），主要是解决跨部门之间面对的网络威胁。第二阶段就是2008年～2012年，重点在于关键资讯基础设施（CII）的防护，期间，更在2009年于内政部下，正式成立了一个新加坡资通安全局（SITSA）对抗各种网络攻击与网络间谍等资安事件。

成立网络安全局是关键，由总理对外发表网络安全战略

第三阶段就是新加坡政府在2013年，制定了为期5年的国家层级的国家网络安全纲领（National Cyber Security Masterplan 2018），纳入更广泛的资通讯领域，包含相关的企业与个人，关键基础资讯设施的防护仍然是重点外，共着重在打造一个可信任且坚实的资通讯中心。

在2013年10月，也同时推动国家网络安全研发计划，除了增强新加坡网络安全研发时力外，也必须打造可被信任的网络基础设施，更具有弹性、可靠度以及可用性等。而这个计划迄今仍在运作中，只不过由国家研发基金以及2015年成立的网络安全局（CSA）共同管理。

另外在2014年成立国家网络安全中心（NCSC），隶属新加坡资通安全局，也肩负提升资安意识、跨部门协同处理资安事件，以及面对大规模网络攻击时，提供国家层级的资安应对策略。

就新加坡的网络安全的发展策略中，最关键的就是第四阶段，在2015年成立网络安全局，为了展现资安等于国安的高度，网络安全局隶属李显龙的总理办公室，相关的行政作业则由交通部负责，并且统一将所有的资安事件处理窗口，全数集中到新加坡电脑紧急应变小组（SingCERT）负责。

这个网络安全局除了关注关键资讯基础设施的保护，处理大规模的网络攻击事件外，更肩负起发展网络安全相关的法规、政策以及最佳实作，并且成为跨部门、产业、学校、企业、个人甚至是国际间网络安全的协同合作事宜。

在2015年同年，新加坡政府也另外在内政部下的新加坡警察大队中的犯罪侦查部门，新增设一个网络犯罪指挥部（ Cybercrime Command），并和设立在新加坡的国际刑警组织全球综合性创新总部（IGCI），就各种网络犯罪调查密切合作。

在2016年7月，新加坡则推出国家网络犯罪行动方案（National Cybercrime Action Plan），将对抗各种网络犯罪的顺序列为第一优先，这包括如何教育大众确保网络空间的安全性，并发展对抗往烂自卫的能力，强化网络犯罪相关的归归，以及打造一个对抗网络犯罪，包括本土与国际都能够有良好伙伴关系，彼此协助。

关键的第五阶段则是2016年10月，李显龙则正式对外发表，由新加坡网络安全局拟定的国家级网络安全战略（Singapore's Cybersecurity Strategy），向国际宣示新加坡在捍卫网络安全的决心与作为，更提供1.9亿新加坡币（约新台币40亿元）作为推动网络安全战略的预算。

台湾资安政策起步早，政策高度不及新加坡

反观台湾在国家资安政策纲领的制定上，其实是超前新加坡，早在2001年～2004年就通过“建立我国资通讯基础建设安全机制计划”，除了推动资讯安全管理系统（ISMS），并制定资安责任等级分级以及落实资安演练，也在2001年1月成立行政院国家资通安全会报，并于同年3月规划成立国家资通安全技术服务中心（简称技服中心），借此建构资安防护体系。这是台湾落实资安的起点，远远早于新加坡政府的资安规划。

从2005年～2008年，台湾政府则制定“建立我国资通讯资讯基础设施安全机制计划”，目的在健全资安防护能力，除了推动资讯安全长的责任制度外，也打造国家资通安全防护管理平台，制定资安关键指标和落实资安内稽，更重要的是，实体隔离的政策也在此阶段推动。

自2009年～2012年则通过“第三期发展方案：国家资通讯安全发展方案”，目的是要打造安心信赖的智慧台湾，也要让民众可以过安心优质的数位生活，这期间，主要是落实间见资讯基础设施的防护（CIIP），强化紧急应变与复原能力，政府也特别要求电子商务业者的资讯安全，也制定资讯系统分级分类，希望可以真正落实资安治理。

从2013年～2016年则是“第四期发展方案：国家资通运安全发展方案”，目的是希望可以建构安全资安环境、迈向优质网络社会，期间，除了推动功能性资安组织（也就是今年遭到立法院废止资安科技中心），也希望可以完备相关的资安管理法规（行政院如火如荼推动的资通安全法），可以促进产官学研的合作交流，更希望建构资安专案管理（PMO）机制，落实资安防护二级制并推动政府资讯安全组态基准设定。

从台湾过往四个阶段的资安发展方案来看，台湾虽然起步早，但历年的政策都偏向政府体系中的各种防护作为，缺乏与民间企业甚至是国际合作的方向，直到今年8月1日才有专门的资安组织，但仍设下在行政院，偏重的仍是政府应该有的资安作为；若要真正落实资安等于国安的政策方针，从既有的各种政策高度来看，仍然不到国家安全的政策高度。

再以资安专门组织来看，资安处只是行政院下的单位，但新加坡的网络安全局却是隶属总理办公室，而其提纲挈领制定的资安政策方针，看的不只是新加坡单一国家的资安作为，而是身为一个重要的金融交易中心、商业中心，一旦遭到各种网络攻击与威胁，受到影响的不仅是单纯的国家安全或区域性的网络安全，甚至可能因为金融交易是全球性的交易，一旦有任何意外发生，都可能造成全球金融交易市场的动荡不安。

因此，新加坡的网络安全战略不局限在单一国家应该有的资安防护策略，更从新加坡是区域性及全球性的金融交易中心、商业交流重镇受到网络攻击时，可以会影响到的各种层面，以及该如何因应，这带动的不仅是国家法规遵循的要求，更多是资安产业的蓬勃发展、资安人才需求孔急，以及资安研究的深入与专注。

行政院资安处也正在着手进行第五期国家资通讯安全发展方案草案，预计从国家安全、资安管理、产业发展、科技研发和人才培育等5个面向进行研议，据了解，相关的政策计划也正在评估中，预算初步估计也有10亿元，但最终政策高度到哪里，相关的资安专案是否仍沦为资安厂商的设备采购和系统建置费用，以及能否提供区域性的、全球性的，更为宏观的资安政策愿景等等，都会在第五期的方案推出后就见真章。

行政院资安处正在着手草拟第五期国家资通讯安全发展方案，据了解预算约有10亿元，但整体政策高度仍偏政府作为，缺乏区域性、全球性的政策愿景。