簡析中國《網路安全人才實戰能力白皮書》意涵與影響
2022.10.21
瀏覽數
2114
壹、新聞重點
中共教育部高等學校網路空間安全專業教學指導委員會偕同北京航空航太大學、中國科學技術大學及永信至誠等12個單位,於9月6日發布《網路安全人才實戰能力白皮書》(以下簡稱《白皮書》)。[1] 該書內容分六大部分,包括分析當前網路安全產業人才狀況、人才攻防實戰能力、用人單位的實戰能力需求、提升人才攻防實戰能力、評價提升人才攻防實戰能力與總結建議。
貳、安全意涵
一、大肆宣揚為因應外部網路攻擊威脅
中共於2022年9月5日至11日召開第九屆「國家網路安全宣傳週」,其中首部聚焦「加大培育具備實戰攻防能力網路人才規模」的《白皮書》特定選在該期間亮相。無獨有偶,中國國家電腦病毒應急處理中心9月5日至27日接連發布針對西北工業大學遭美國「國家安全局」(National Security Agency, NSA)網路攻擊事件的三份調查報告,指證美方網路入侵中國竊取關鍵技術與資料。[2] 接續中共外交部發言人汪文斌9月28日主持例行記者會,痛批美國憑藉在網路領域絕對優勢在全球範圍實施無差別網路控制和竊密,藉以謀求政治、軍事、外交和商業利益,[3] 其官媒《新華社》10月2日發布逾千字長文,控訴美國嚴重破壞各國網路安全與穩定,已成為全球網路安全的公害。[4]
且中共教育部高等學校網路空間安全專業教學指導委員俞能海介紹《白皮書》時,意有所指的表示,「在『人家以國家力量攻擊我們』,我們應該在國家允許情況下做我們該做的事情,至少從人才培養角度,『既要做盾也要做矛』,才能夠真正維護國家安全。」[5] 中共多次對國際社會指控其發動駭客攻擊均以強烈否認,然近期可窺北京開始反控緊咬美國發動網路攻擊,藉由釋出上述一連串的調查報告與證據陳述,試圖佐證美國近年對其竊取機密性資料、破壞關鍵資訊技術設施、「零時差漏洞」(Zero-Day Vulnerability)、「供應鏈」攻擊等「數以萬計惡意網路攻擊」,強化「中國國家安全受到嚴重威脅」論點,均顯示意圖合理化其建立網路大軍,係為反擊愈發嚴峻的國際網路對抗趨勢,與維護其不容侵犯的網路主權。
二、對內實施網路監控維穩為首要目標
根據中共工信部直屬科研單位中國信息通信研究院發布《中國網路安全產業白皮書(2022年)》,2020年全球網路安全市場的規模為1,367億美元。其中網路安全行業市場規模發展蓬勃的北美地區(640億美元,占46.8%)係中國7倍多(82億美元,占6.1%)。[6] 觀諸華府智庫「戰略暨國際研究中心」(Center for Strategic and International Studies, CSIS)2019年公布研究報告指出,美國網路安全就業人數為71.6萬,尚缺少31.4萬名網路安全人才,[7] 直至2022年美國急需的網路安全職位缺口大幅增長,但至多也略估在70萬。[8]
《白皮書》宣稱預計2027年中共網路安全人才缺口將達327萬,巨大缺口已成為制約中國數位經濟發展產業主要瓶頸,不利推進各行業數位化轉型,然而若以美國的網路安全行業市場規模與需求人才對照中共,該數據實屬令人匪夷所思。另中共目前主要的國家武裝力量包括陸海空軍、火箭軍、戰略支援部隊等五大軍種約200萬人,[9] 再加上武警部隊至多不超過300萬人,《白皮書》提出將新增327萬網路空間安全人才,該數字已相當於一支網路作戰軍隊力量。中共迫切需要組建網路大軍做動員,隱含建立更為強大的網路監控和審查系統,有利遂行無往不利的網路輿論戰與將「有害信息」趕盡殺絕,政治軍事目的昭然若揭。
參、趨勢研判
一、中共培養網路攻防人才圖謀開展無聲戰爭
中共自2015年發布《共青團中央關於廣泛組建青年網路文明志願者隊伍、深入推進青年網路文明志願行動的通知組建》,[10] 網路評論員、網路監督員等各種網路人員規模不斷擴大,結合「中國互聯網絡資訊中心」(China Internet Network Information Center, CNNIC)2022年8月甫公布數據,中國網民規模已經上升到10.51億,網路普及率達74.4%,[11] 惟鑒於未來若要加強對內部網路毫無死角監控維穩,以及對國際社會進行「網路戰」攻防,亟需相應成熟的網安人才與具備專業的電腦網路技術輔以支撐,並非僅靠目前「反串」、「栽贓」、「洗白」、「帶風向」等「五毛黨」網路宣傳軍隊能達成。
回顧2022年初發生俄羅斯進軍烏克蘭戰事,俄羅斯在網路上發動「分散式阻斷服務攻擊」(Distributed Denial-of-Service Attack, DDoS)與各種入侵攻擊手法,企圖使對方「關鍵基礎設施」(Critical Infrastructure, CI)崩潰,不僅揭示新時代戰爭樣貌,亦說明網路威脅作戰方法重要性已大幅提升。而中共《白皮書》將網路安全人才實戰能力歸納為「攻防實戰」、「漏洞挖掘」、「工程開發」、「戰效評估」四種能力類型,並結合「網路安全競賽、公眾測試與應急響應、攻防演練」三種驗證方式,建立統一的網路安全攻防實戰能力框架,可窺其未來將形成常態化攻防人才培養模式,冀擺脫紙上談兵困境,打造一線人員均能成為實戰精兵。
二、我國培訓大量多樣面向資安人才刻不容緩
揆諸台灣今(2022)年9月20日至22日甫結束的「臺灣資安大會」(CYBERSEC 2022)中,總統蔡英文連續第四年偕同一級部會首長出席大會開幕式,表示高度重視「資安即國安」戰略,會中囊括諸多攸關「精進資安防禦」、「強化資安韌性」、「升級資安產業」、「活化資安人才」、「鞏固供應鏈安全」等座談會與論壇,其中尤以「CyberLAB 實戰攻防演練」,廣邀臺灣科技大學資訊工程系、趨勢科技、奧義智慧科技、TeamT5 杜浦數位安全、中華資安國際等多位達人級資安高手,在會展期間現場親授網路攻防戰場實戰秘訣和防禦正確觀念,代表我國亦看重凝聚「政、企、學、研」各界力量,精實鍛鍊資安戰力。
今年8月美國眾議院議長裴洛西(Nancy Pelosi)訪台,台灣從政府到民間皆出現層出不窮的網路攻擊,凸顯我國資安威脅日益加劇。隨著我國逐步推展智慧城市,高科技業、金融業、醫療業、交通業、服務業等各企業推動數位轉型,均意味可受到攻擊部分愈發廣泛。鑒於台灣長期身為中共網軍駭客的網路練兵場,對我國而言,應持續擴大招募各式網路作戰人才,以強化資通電軍的多樣性,抵禦來自外部惡意政權發動的各式網路攻擊,另亦應持續加強學界與業界合作,透過紅藍隊攻防演練進行「資安演習模擬」,使各單位預先察覺隱藏風險與即時修復潛藏漏洞,定期檢視資安建置是否強韌,抱持「勿恃敵之不來,恃吾有以待之」,以「料敵從寬、禦敵從嚴」的態度對抗網軍駭客。
[1]《網路安全人才實戰能力白皮書》係由中共教育部高等學校網絡空間安全專業教學指導委員會指導,北京航空航太大學、中國科學技術大學及永信至誠擔任主編單位,西安電子科技大學、東南大學、武漢大學、華中科技大學、上海交通大學擔任副主編單位,北京電子科技學院、山東大學、四川大學、北京郵電大學參編。
[2]中國國家計算機病毒應急處理中心2022年9月5日發布《西北工業大學遭美國NSA網絡攻擊事件調查報告(之一)》、9月13日發布《美國NSA網絡武器“飲茶”分析報告》、9月27日發布《西北工業大學遭美國NSA網絡攻擊事件調查報告(之二)》,《中國國家計算機病毒應急處理中心》,https://www.cverc.org.cn/。
[3]〈2022年9月28日外交部發言人汪文斌主持例行記者會〉,《中華人民共和國外交部》,2022年9月28日,https://www.fmprc.gov.cn/fyrbt_673021/202209/t20220928_10773313.shtml。
[4]〈美國是全球網絡安全的公害〉,《新華網》,2022年10月2日,https://reurl.cc/MNqKmL。
[5]〈“人家以國家的力量來攻擊我們,我們該不該還手?”〉,《搜狐網》,2022年9月8日,https://www.sohu.com/a/583385389_115479。
[6]〈中國信通院:2022年中國網路安全產業白皮書(附下載)〉,《199 IT》,2022年2月15日,http://www.199it.com/archives/1384744.html。
[7]William Crumpler & James A. Lewis, “The Cybersecurity Workforce Gap,” CSIS, January 29, 2019, https://www.csis.org/analysis/cybersecurity-workforce-gap.
[8]James Andrew Lewis, “Cyber Workforce Strategies Should Produce at Scale,” CSIS, August 22, 2022, https://www.csis.org/analysis/cyber-workforce-strategies-should-produce-scale.
[9]〈中國最新年度國防預算出爐!連續6年破兆元人民幣〉,《風傳媒》,2022年3月5日,https://www.storm.mg/article/4224599。
[10]〈共青團中央招募千萬網路義工引關注〉,《BBC中文網》,2015年4月7日,https://www.bbc.com/zhongwen/simp/china/2015/04/150407_china_youth_internet。
[11]〈中國互聯網絡資訊中心:我國網民規模達10.51億 短視頻用戶規模增長最為明顯〉,《新華網》,2022年9月1日,https://reurl.cc/aG2KD3。