近十多年來,中國以發展「中國式現代化」為口號,利用數位工具,對國內執行數位極權,控制人民思想,對(國)外推動數位霸權,輸出獨裁與共產恐怖主義,除違反數位發展須更開放的趨勢外,更威脅全球民主的數位化發展。
我們如果可以把中國比喻成近期當紅影集:「海賊王」的角色,就屬惡龍海賊團最為相似,利用「天網」系統讓人民感到冷血與恐怖,以維護共產政權。惡龍海賊團的目標是先征服東方藍,以至全世界,而中國也類似,他們使用資訊認知作戰的方法,散播憎恨民主的言論,並利用駭客技術攻擊臺灣及民主國家,試圖干預民主國家發展,擴張中國式數位霸權,卻也激怒了以美國為主的民主國家,爆發了民主與極權中國的數位貿易戰爭,分析如下。
中國的網路長城限制人民的認知思想
早於2000年起中國利用「防火長城(俗稱)」審查網路的內容及思想,再由公安部推動「金盾工程」,監控網路內容、辨識和定位人員,達成封鎖及搜尋個人的網路紀錄,並要求國外相關廠商須配合中國政府,交出個人隱私及網路資訊;就此,2010年1月Google因拒絕中國政府要求,執行過濾搜尋結果,而被迫撤離中國。
中國發展雪亮工程及天網系統監控人民的言行
2014年中國國務院發布《社會信用體系建設規劃綱要》,明定「社會信用體系」的行為分3類,用以控制人民的社會及網路行為:
違反傳統信用有關的商業行為(Traditional input):例如沒有如期繳付稅額。
社會行為(Social input)違反國家規定:例如沒有參予國家規定的公益行為。
網路言行(online input) 違反國家規定:例如散播不可信的消息、言論及網上購物習慣。
2015年起中國在農村推動「雪亮工程」,並集合海康威視、商湯科技、華為、中興等公司研發「天網」系統,安裝2億至6億台監視器,運用AI系統自動辨識中國人民的臉部、穿著、性別、年齡等個人特徵,以建構即時分析及遠端追蹤系統。
2020年中國政府將上述的「社會信用體系」評分機制,透過政府與民間企業合作,將「天網」系統至全域覆蓋、全網共用、全時可用及全程可控的目標,例如中國政府參考阿里巴巴的演算法,制訂社會信用系統(註:包含利用阿里的網購平台及螞蟻金服之「芝麻信用」客戶資料庫,以5個評分基準的「社會信用」機制。),物化人民,進而全面監控人民的言行舉止,懲罰不認同共產獨裁主義者,利用集中營改造人民思想,建立「數位獨裁的冷血樂園」。
舉例來說,中國為控制新疆穆斯林少數民族,利用上述具備人工智慧(AI)的「天網」系統,假借反恐名義,監視新疆人民的宗教信仰,一旦有聚會及禱告等相關行為,就會將資訊送至公安的專用手機程式,將整群的人民標示「紅色旗幟」,以連坐罰的方式,把他們送至「再教育營」,限制人身自由、作黑工(免費工作)且須要朗讀習近平思想、唱紅歌等,達成思想改造的目標。
中國數位霸權及霸凌主義的向外擴張
中國政府利用網路管制、駭客攻擊及認知作戰,將中國的數位霸權主義向國外輸出,威脅全球的民主國家發展。
從網路管制至軟硬體植入後門進行滲透
2017年6月1日中國正式實施《網路安全法》,以保護資安為理由,鎮壓網路言論、侵犯人權,及脅迫資訊軟硬體廠商遂行國家的間諜行為,主要爭議條文如下:
第24條將網路實名制法令化,限制人民的言論自由。
第58條當有危及國家安全的重大突發事件時,中國政府可以要求資通訊廠商進行斷網(註:網路安全法第58條:因維護國家安全和社會公共秩序,處置重大突發社會安全事件的需要,經國務院決定或者批准後,可以在特定區域對網路通信採取限制等臨時措施。),以封殺特定網路言論。
第28條規定網路運營者須與中國治安或國家情治單位合作(註:於維護國家安全或調查犯罪應當與公安機關和國家安全機關密切合作。),應提供技術支援和協助,包含交付原始程式碼、注入後門或漏洞等情蒐技術,引起美國等民主國家關注,並提出相關反制政策。
解放軍成立戰略支援部隊遂行駭客攻擊及認知作戰
2015年底習近平於解放軍成立戰略支援部隊(註:中國的《 2019年國防白皮書》指出,其軍隊正在加快其網絡空間能力的建設,特別是其網絡防禦以及檢測和反擊網絡入侵的能力。),與國安部、公安部及民間駭客組織中國網軍,以對(國)內強化政治監聽、情蒐及人民思想控制,進而對(國)外遂行駭客攻擊及認知作戰。
中國網軍的駭侵攻擊
近年來,中國網軍執行多起網路攻擊已被民主國家發現及公布,例如2020年中國網軍「APT41」攻擊我國中油、台塑等多家支付系統,造成系統中斷服務等損害;後續,2022年8月美國眾議院議長裴洛西訪台期間,中國網軍陸續攻擊我國關鍵基礎設施、超商及台鐵電子看板,甚至出現辱罵裴洛西的簡體字樣,意圖干預台美的各項交流與合作。
中國網軍的認知作戰
中國解放軍戰略支援部隊等相關單位也投入許多資源執行認知作戰,試圖干預台灣及美國等民主國家的輿論風向,進而干預民主選擇,例如今(2023)年9月美國微軟(Microsoft)分析團隊發出警告,指出中國網軍試圖使用AI技術製作及散布假訊息,於美國及台灣等國家進行認知作戰,以達成干預民主輿論,試圖影響2024年的美、台等國大選。
美國對於中國式數位霸權的反擊
中國式數位霸權主義除了與數位發展開放性背道而馳外,更激怒了美國為首的民主國家,透過貿易手段折斷其引以為傲的多家「天網」系統廠商,就像魯夫折斷惡龍的鋸齒鼻子;而美國為首的民主國家推動乾淨網路政策、供應鏈安全及零信任等資安方法論,並搭配「小院高牆」(Small yard, high fence)戰略,限制資通訊關鍵科技及關鍵零組件(如半導體晶片)輸中等策略,則像魯夫試圖用橡膠戰斧壓垮中國的數位惡龍樂園,而中國則放話將限制使用蘋果等大廠的資通訊產品,升化中美數位貿易戰爭,分析如下。
網路威懾與應對時期
2011年美國國防部提出主動式網際防禦(Active Cyber Defense)的策略,建立資安即時防護量能,力抗俄羅斯及中國的駭客攻擊。隨2015年底中國解放軍成立戰略支援部隊後,網路攻擊更加嚴峻;就此,當年美國歐巴馬政府為降低中國的網路攻擊,與其簽署「網路軍控協議」(Arms control accord for cyberspace),並司法部授權制裁涉網路攻擊的海外個人及團體,以嚇阻俄羅斯及中國的駭客攻擊。
2017年美國川普政府上任後,美中貿易矛盾衝突升溫,加上2017年6月1日中國正式實施《網路安全法》後,從網路管制至軟硬體植入後門進行滲透,並利用網軍攻擊美國關鍵基礎設施,例如2018年10月美國國土安全部指出中國駭客組織「雲端跳躍」(Cloud hopper)對美國攻擊次數的飆升,嚴重威脅美國關鍵基礎設施的網路安全,並試圖盜竊美國國防、能源、航空、資通訊等關鍵技術產業智慧財產權。
就此,2018年美國眾議院通過《網路威懾與應對法案》要求白宮建立及維護國家型駭客APT 攻擊者的資料庫(註:國家型駭客APT 攻擊者資料庫若有異動,須於7天內加以更新及發布,並針對上述資料庫中的成員或機構,實施包含阻斷非人道金源、禁止美國金融機構貸款、禁止美國任何機構採購其財貨、技術與服務等經濟制裁,以及禁止入境、撤銷簽證制裁。),針對中國或俄羅斯等駭客組織進行金融、採購及簽證制裁。
乾淨網路政策力抗網路滲透時期
2019年起,美國政府發現現有的各項資安措施,仍然無法遏止中國透過其資通訊企業埋入後門程式,試圖滲透美國的5G通訊的基礎建設,故該年5月商務部宣布將華為及其附屬相關公司列入貿易黑名單。
隔年,美國頒定5G與後5G安全法(Secure 5G and Beyond Act of 2020)等法規,作為美國5G資通安全戰略的法源基礎;同時,聯邦府也頒布6項乾淨網路及網絡安全成熟度模型驗證 (Cybersecurity Maturity Model Certification, CMMC)框架等政策,以達成以下目標:
促進可信賴的全球5G基礎設施發展和部署
評估風險並識別5G基礎設施的核心安全原則
管理使用5G基礎設施對經濟和國家安全所生的風險
美國政府提出6項乾淨網路的政策、5G資安宣言等,確保從源頭控管資安。
網絡安全成熟度模型驗證框架(註:美國國防部於2020年1月公布,從2020年9月始,美國防部的RFP將要求承包商獲得CMMC認證。),從源頭控管軍工採購供應鏈的資安程序,確保美國30萬多家國防工業供應鏈中的企業,具有足夠能力保護機敏的國防資訊。
供應鏈及零信任資安時期
2021年美國拜登政府上任後,從單向圍堵中國的資安政策,建構「小院高牆」戰略,透過管制關鍵科技出口,搭配零信任的資安框架,升級垂直供應鏈的資安防護強度,並橫向連結民主國家聯盟,以對抗中國的駭客滲透、攻擊及認知作戰,重點說明如下:
美國拜登總統簽署改善國家網路安全行政命令(Executive Order on Improving the Nation's Cybersecurity),提出確保軟體供應鏈安全的認驗證機制,並加快資安成熟度(CMMC)介接與導入機制。
2022年3月美國拜登總統簽署《2022年關鍵基礎設施網絡事件報告法案》(The Cyber Incident Reporting for Critical Infrastructure Act of 2022, CIRCIA)要求關鍵基礎設施運營者於資安事件發生7小時內報告,所涵蓋的網絡事件,並通報重大資安事件及漏洞(註:(1) 事件描述(Description of the incident);(2) 漏洞描述(Description of the vulnerability);(3) 資安(防禦)維運(Security defenses maintained);(4) 依威脅者定策略、技術及程序(Tactics, techniques, and procedures used by a threat actor);(5) 識別威脅訊息(Identifying information for a threat actor);(6) 資安事件(遭入侵)洩漏的資訊(Information compromised during an incident);(7) 聯繫或通報受管轄機構(Contact information for a covered entity)。)。
美國拜登政府執行「小院高牆」戰略,即限定特定科技與研究領域(小院)出口,並界定適當的戰略邊界(高牆),試圖斬斷中方非法獲取美國的智慧財產權的管道,例如美國眾院美中戰略競爭特設委員會宣示,將禁止出口所有晶片予華為和中芯國際。
台灣的資安戰略建議
台灣推動資安即國安政策2.0,已經有初步績效,但台灣矗立於美、中數位戰爭的第一線,必須更快加入美國的「小院高牆」戰略,並於外交部設立資安大使,以聯合印太民主國家,確保我國家安全,例如透過立法體系管制關鍵科技出口、管控關鍵基礎設施供應鏈的資通訊軟硬體的資安風險及國防供應鏈對接美國資安成熟度(CMMC)機制,突破中國數位霸權對台的滲透及影響。