圖片來源 : 擷取至網路

以色列和台灣一樣是飽受網絡攻擊的國家之一，對於網絡安全的意識起步相對其他國家來說也比較早一些（台灣的電腦網路危機處理暨協調中心成立於1998年，而從2001年起就有「建立我國通資訊基礎設施安全機制計畫」和行政院國家資通安全會報，以色列則從1997年就已經開始著手網絡安全的部署工作）。不過從發展的速度和程度來說，個人覺得以色列在這方面還是稍微快一些、進步一些。這當然有可能是因為我身在以色列，所以對以色列的認識比較多一些，也因此而委屈了台灣一點，這是我欠缺的地方，也所以這裡我只就以色列的情況來說說了。

另外，所謂網絡安全的名稱，英文叫Cyber Security，台灣則普遍以「資訊安全」來稱呼，這是我覺得比較不明確的地方。海、陸、空、太空之外還有個網絡空間，其他四個空間都不會彼此重疊，只有網絡空間是可重疊於其他四大空間的，也因此資訊安全牽涉到的絕不單單只是資訊而已，對實體的設施也會起到影響。雖然我知道台灣稱資訊安全當然也不僅止於講資訊而已，事實上指的就是Cyber整個空間的安全問題，只是在這裡我還是要稱它「網絡安全」而不說資安。

早在90年代以色列早就體認到自己國家電腦化的進程比其他國家快，等到其他國家電腦化的程度也達到一定水平時，從電腦的角度對重要基礎設施的攻擊可能性也會升高，到時候以色列將會處於一個不利的地位，因為以色列的電腦化程度到時候會更高。因此以色列在1997年啟動「Tehila」計畫（以色列e政府計畫 – 為網際網路時代準備國家基礎設施），目標在提供安全的網路環境並保護政府機關連網的安全。到2002年時，以色列政府進一步決議要明確訂出以色列電腦化系統保護工作的責任歸屬，其中不只界定出到底有那些關鍵基礎設施，更成立了「國家資訊安全署」（National Information Security Authority，NISA），作為以色列關鍵基礎設施在資訊安全上的規範和指導機關。一直到NISA被取代前，以色列網絡安全工作的推動僅止於政府及部分產業的部分，尚未全面開展。而且，當時NISA是架在國安局（Shin Bet）底下，如同一般常識所認定，網絡安全也是安全事務，應該由適當安全機關負責處理。

2010年時，網絡空間的發展已經非常蓬勃，安全威脅也逐漸升高，以色列總理納坦尼亞胡認為網絡安全的威脅已經不是局部地只針對政府部門或是特定產業，而是更為全面性的影響，應該將網絡安全事務提升到全國的等級，因此指示成立專門工作小組，由當時國家發展委員會的主委Isaac Ben Israel教授（少將）負責，就以色列的網絡安全情勢進行分析，並以「讓以色列躋身全球網絡安全領域的前五強國家之一」為目標來設計國家級的發展計劃。最後一份厚厚的報告寫了出來，當中不只具體說明了以色列要提升網絡安全準備程度的必要元素，也指出了推動這項全國性的發展計劃會為以色列在經濟、學術和國家安全領域帶來什麼樣的國家優勢。

除此之外，報告中還建議成立兩個設置，一個是專門的網絡安全局以為政府提出政策建議，提升國家整體網絡安全實力，另一個則是國家級的「CERT」（國家電腦網路危機處理暨協調中心）。 於是在2011年這個「以色列國家網絡安全局」（National Cyber Bureau，INCB）就在總理辦公室下成立了，Eviatar Matania教授為首任局長，負責制定以色列網絡安全長期發展戰略、推動相關事務、協調各方之間的網安工作、強化國家基礎設施的網安保護，以及鼓勵網絡安全產業的發展。至於全年無休的CERT-IL則於2014年在別示巴開始運作。

其實各方對於網絡安全事務的推動落實工作都有共識，應有專職機構負責。所以在INCB成立後，國家網安發展戰略確立後，這個負責推動工作的專職機構的設立也開始轉動，只是過程有所波折，主因是以色列國安局堅持應承擔這項工作。雖然國安局精於情報偵蒐，但民間業者普遍擔憂國安局在處理網絡安全事件之餘，可能會通過職權之便取得企業或個人的隱私資料，進而對他們不利，因此最後納坦尼亞胡決定在總理辦公室下成立一個專司民間網絡安全事務推廣的單位，也就是「國家網絡安全署」（National Cyber Security Authority，NCSA），這個署於2016年正式上線運行，由Buky Carmeli擔任第一任署長，負責民間（企業、組織和個人）網安的運維和事件應變、民間各界網安素養與意識的建立、CERT-IL的運營、法規訂定、人員培訓與認證等主要工作。至此，以色列在網絡安全的國家級架構大體確立，也就在相應的政府決策下（有法源依據）由INCB負責政策方向的確立，而由NCSA負責實際推動的工作（包括CERT-IL在內），兩個單位各有負責的主管。

2016至2017年底兩年時間內，NCSA完成了很多重要工作。除了通過CERT協助民間企業或個人解決網絡攻擊事件（事中）外，另一個重要的工作就是要透過網安意識的提升建立起民間對於網安事件的應變能力（事前／事後）。文宣品的出版非常重要，如“CYBER DEFENSE METHODOLOGY FOR AN ORGANIZATION”（148頁）是以色列各級企業面對和提升自己管理網安威脅風險的重要工具，許多以色列企業已經開始據以操作。另外，人才的培育也是重點，NCSA也以非常系統性的方法來落實這項工作。一方面配合教育部從中學開始鼓勵學生選修理工方面科目，引導他們未來在大學投入網絡安全領域的學習和研究，同時聯合以色列六所公立大學依據各自的優勢而設立網絡安全研究中心[1]，另一方面也著手建立資格認證機制，先從對政府方面網安相關人員的資格認證開始做起，未來將擴大到民間各層面網安人員的認證。

2017年底，在納坦尼亞胡要求集中網絡安全發展工作的指令下，INCB和NCSA合而為一，成為今天直接隸屬總理辦公室的「以色列國家網絡安全總局」（National Cyber Directorate，INCD），並於2018年1月正式運作，Yigal Unna先生為第一任總局長。至此，從結構來講，以色列已經將網絡安全的事務從特定產業的層級拉升到全國、全產業範圍，並由單一政府部門、單一領導負責網絡安全從政策到執行的工作。

Ben Israel教授表示，制訂國家網絡安全發展計畫是個很棘手的工作，不是因為牽涉範圍廣大，而是因為有個根本的困難存在。人類代代相傳以30年為一代，但是資訊科技的進步速度更快，根據摩爾法則每1.5年計算能力就會往上升一級，按照這種速度，等到他報告寫出來的時候，當中所做的各種分析和建議早就過時了；這個發展計畫做了跟沒做一樣。只是在回溯來講，這個難題當然是解決了的，也就是要營造一個能自適應的生態系統出來。在自我調適的特性下，這個生態系統才可以不需要國家的介入就能發展出解決辦法來，迎接未來日新月異的挑戰。

底層

在長期發展戰略上，以色列訂出了一個三層的結構出來，底層是網絡安全實力的建立，中層是應變能力的培養，上層則是國家層級的防禦工作。從範圍來分，我們可以說中、下兩層涵蓋的是民間和部分政府工作，上層則是全國性、國家性的工作；從對應的對象來說，底層是針對意識的提升、能力的培養為主，中層是網絡攻擊事件本身，上層則是針對攻擊者而設計。我們可以將這樣的設計類比醫療的情況。平常的時候我們會注意身體健康，譬如說要常洗手、戴口罩、注意飲食、多運動等等，都是為了保健的目的而進行；抵抗力好，就不需要找醫生。但是一旦生病，我們也只好找醫生開藥治病。而如果你所罹患的疾病演變成是全國大流行的疫病，那衛生主管機關就要負起處理和調查疫病原的責任。如果從健康的角度來看我們講求的是生活、飲食等的衛生，那在網絡安全事務上我們講求的就是「網絡衛生」（cyber hygiene）。

從字面我們已經很容易理解網絡衛生指的是什麼。現在我們的生活已經和網際網絡分不開來，網絡攻擊的種類也越來越多、越來越高招。從病毒、木馬程式、蠕蟲和Rootkit這種會隱藏惡意程式的軟體出現以來，大家已經被教育成知道不要隨便打開不認識的郵件，或是莫名其妙的連結不要點，該更新的時候要更新等等；這部分的「常識」還算是有的。但是現在面對攻擊者對我們網絡和系統中的漏洞的利用，譬如有意無意設計出來的後門、程式碼本身的bugs，或是SQL植入、DDOS分散式阻斷服務攻擊、跨網站指令碼攻擊、IP劫持、中間人攻擊、零天攻擊、網站置換、殭屍網絡……族繁不及備載；意識到這一點之後突然你會發現雖然我們個人也算不上什麼了不起的目標，但是好歹我們也是網絡世界的一員，面對這麼多攻擊我們實在好脆弱，那點「常識」似乎不夠用。

如果要讓情況稍微複雜一些，那就不要忘記現在已經進入物連網的時代，什麼不該連網的東西全都可以連上網絡了，我們有一天可能會碰到如果不付贖金就沒辦法開冰箱或是掃把不掃地的情況。更有甚者，現在大家都想要用上機器學習和人工智慧來讓機器做很多本來只有人才會做的事情，這裡頭的風險大家不可不擔心。想想，微軟第一代的聊天機器人Tay上線不到一天就被廣大網民教壞，教成一個納粹份子，然後黯然下線；第二代的Zo更大批自家Window 10是間諜軟體。事實上這還只是搞怪的網民針對單純聊天機器人無啥大害捉弄的結果，但是如果一個高級的AI系統，譬如機場的安檢系統，被壞蛋刻意提供「拜占庭數據」，把無辜乘客看成恐怖分子而把恐怖分子看成德雷莎修女呢？

面對這種情況，網絡安全素養是真的很重要，這個網絡衛生一定要建立起來。至少基本的工作要做到才好，除了小心莫名的郵件、連結外，各種有連結功能的設備（電腦、手機、平板、智慧型家電、遊戲主機、甚至路由器！）軟體和韌體的更新、防毒軟體使用、定期更新密碼（修改出廠設定），還有就是做好帳戶管理，徹底備份，哪一天你也許會發現就是這個備份才救了你一命。

中層

以色列網絡安全長期發展戰略的第二層是應變能力的部分，著重的地方在解決方案和回復正軌的速度，對應到Isaac Ben Israel教授所說的，就是要建立一個自適應的網絡安全生態系統來提升這一層的能力。以色列在這方面得天獨厚，因為作為一個創業的國度她早已建立起很成熟的高科技生態系統，現在只需要稍微向網絡安全領域偏轉一下就能成事。的確，一個生態系統的要角：政府、學術機構、企業界（在網絡安全方面，企業這個層面又可細分成方案提供者和方案採用者兩塊，提供者自然是提供解決方案，而採用者則是貢獻數據進行分析）以色列全都具備，以色列政府也啟動了這個偏轉工作。政府本身已建置專責單位、訂出戰略、制定法規等大環境條件，也開始推展相關工作。學術界則負責培育人才、網絡安全各方面的基礎研究和應用研究。在方案提供者的企業方面，以色列最老牌的公司當然非Checkpoint莫屬，從1993年開始到現在，以色列目前有300多家網絡安全方案的公司，年營收總計約達40億美元（佔全球網絡安全總營收約5%）；全球網絡安全的投資有將近20%投在以色列，而在2017年總計230億美元的退場中，網絡安全領域就佔了13億美元，平均估值達1.3億美元；此外還有25家左右的跨國公司在以色列成立網絡安全的研發中心。從這裡看來，以色列這個偏轉做得很成功。而且不只如此，除了虛擬的生態系統外，以色列更在南部別示巴成立具體的生態圈，叫做CyberSpark，它結合了本古里安大學、以色列國防軍的科技部隊營區、新創公司和成熟企業、跨國公司的研發中心，以及CERT-IL。CyberSpark不但促進了網絡安全技術的發展，更帶動偏遠地區的建設，這也符合以色列政府長久以來政策方向。

值得一提的是CERT-IL在這裡除了負責推動民間對網安的認識與協助協調網絡攻擊事件的處理外，自己還有研發的工作要進行，除事件的解決方案外，他們也開發出一個稱為「Cyber Net」的事件通報平台，供企業組織以匿名的方式通報事件、提交數據以供分析等。其實這個平台的設置牽涉到隱私和企業與政府之間的信任問題。企業如要向政府通報事件，政府勢必要調查，調查一定會牽涉到各種隱私和機密資料。如果沒有信任感，企業組織絕不會讓政府插手，甚至就隱匿不報了。這也是為什麼當初在決定成立NCSA時，國安局最後搶輸承辦權的理由。雖然CERT-IL的人員或多或少都有軍隊或情報工作方面的背景，但是在入職時就必須明瞭CERT-IL的工作僅僅針對網絡安全事件本身，其他一概不涉入，人員的操守也受到法律特別的監管。我們可以說以色列政府和民間組織間的共識和信任都已達到相當高的程度。

上層

最後一個層次是國家防禦，也是唯一針對攻擊者開展工作的一層。戰略架構的前兩層都著重於事件的預防和處理。當前兩層無法處理時，就提升到國家層級來處理。處理的單位還是在INCD當中，只是這時候會結合國防相關部門一起來處理，這就牽涉到對內對外的執法行動，警察單位、國安局、軍情局、摩薩德等協力對付那些攻擊者。另外，CERT-IL也積極拓展國際合作。在打擊網絡攻擊上，資訊的共享非常重要，這方面台灣電腦網路危機處理暨協調中心（TWCERT/CC）也和以色列CERT-IL建立了合作關係。

身為網民的一員，在了解了網絡安全的發展後，其實對這個網絡世界的未來和人生只是更為擔心而已，但是這股擔心馬上就被我鴕鳥地忽視了，因為如果我太在意的話會活不下去。我的個資可以說早就失去了控制，就算有「歐盟通用資保護規則」（GDPR）把關，有多少公司會真的保護好我的隱私和最後遺忘（刪除）我的資料的，我不希望我的軀體滅亡時還有個虛擬的我繼續存在在網絡空間中；就算我知道要更新我設備的軟硬體，但是我還是懶得這麼做，更何況還有些東西的軟韌體更新是我不知道怎麼做的；再來還有現在「流行」的假消息操控，你真的不知道你讀到的是真實資訊還是被人為操控後的資訊，這個社會的理性基礎完全受到挑戰。其實做完這一個小小研究後我還挺悲觀、無奈的，只好鴕鳥地裝作什麼都不知道，或是什麼都沒發生一樣的過活。不過，看到以色列政府這麼積極，上上下下都有共識，突然也會覺得生活在這裡挺好的。我會乖乖更新、備份我的資料，然後小小鴕鳥一下在以色列的網絡保護下繼續這個理性受到挑戰的人生。

[1] Technion理工大學（工程技術）、海法大學（隱私權研究）、特拉維夫大學（跨學科研究）、巴伊蘭大學（加密技術）、希伯來大學（網絡技術與網絡協議、國際法研究）、本古里安大學（應用研究）。

作者 : 張一勤

版權所有，未經事先同意不得以任何形式轉載、摘要、節錄、重製等。