云賀

政府和其他參與主體應(yīng)根據(jù)不同的網(wǎng)絡(luò)安全事件情境，決定各自該承擔(dān)的責(zé)任和義務(wù)。

隨著第四次工業(yè)革命向各產(chǎn)業(yè)的深入滲透，全球掀起數(shù)字化變革潮流。與此同時，網(wǎng)絡(luò)安全問題也變得愈加棘手：網(wǎng)絡(luò)病毒跨領(lǐng)域傳播、安全漏洞快速傳導(dǎo)、企業(yè)而非政府站在了消費(fèi)者網(wǎng)絡(luò)安全的第一道防線上。

近年來一系列全球網(wǎng)絡(luò)攻擊事件表明，是時候構(gòu)筑起一道社會全員參與建設(shè)的“網(wǎng)絡(luò)安全防線”了。然而，這背后的爭議也顯而易見：政府干預(yù)與個人隱私的邊界如何確定？防守過度會不會造成資源浪費(fèi)？政府與企業(yè)誰該為網(wǎng)絡(luò)安全問題負(fù)責(zé)？哪些安全數(shù)據(jù)應(yīng)為全社會共享？

今年1月，世界經(jīng)濟(jì)論壇聯(lián)合波士頓咨詢公司發(fā)布了名為《構(gòu)筑“彈性”網(wǎng)絡(luò)：探討公私合作模式》的報告，試圖通過剖析近年來各國政府與企業(yè)攜手預(yù)防和抗擊網(wǎng)絡(luò)安全問題的成功案例，為上述爭議尋求解決方案。報告認(rèn)為，政府和其他參與主體應(yīng)根據(jù)不同的網(wǎng)絡(luò)安全事件情境，決定各自該承擔(dān)的責(zé)任和義務(wù)。

參與主體眾多

自古以來，保護(hù)公民安全就是政府的重要職責(zé)之一。進(jìn)入21世紀(jì)，人類社會的網(wǎng)絡(luò)化、電子化、互聯(lián)化趨勢愈發(fā)明朗，政府的上述職責(zé)也被網(wǎng)絡(luò)世界賦予了新的意義，“如何守衛(wèi)網(wǎng)絡(luò)領(lǐng)土”已成為當(dāng)前各國政府都在努力探求答案的重要議題。

與傳統(tǒng)意義上的安全問題不同，網(wǎng)絡(luò)安全事件往往更為復(fù)雜。突發(fā)性強(qiáng)、傳導(dǎo)速度快，是其首要特征?？梢哉f，網(wǎng)絡(luò)世界中的每一項(xiàng)技術(shù)創(chuàng)新都伴隨著未知的漏洞和潛在風(fēng)險。在幾乎沒有國界限制的網(wǎng)絡(luò)空間中，任何一道被惡意撕開的“口子”都可能會以迅雷不及掩耳的速度傳播到地球的另一端，并對實(shí)體經(jīng)濟(jì)安全造成程度不一的威脅。

另外，網(wǎng)絡(luò)安全領(lǐng)域的參與主體眾多，政府、企業(yè)、個人等都可能是安全防線上的關(guān)鍵環(huán)節(jié)。如今，在很多時候，政府往往不能站在發(fā)現(xiàn)危險乃至對抗危險的第一線。特別是在一些歐美國家，那些活躍在虛擬世界、掌握著行業(yè)大把數(shù)據(jù)資源的大型互聯(lián)網(wǎng)企業(yè)，才是網(wǎng)絡(luò)安全的第一道防線。

可見，網(wǎng)絡(luò)安全防線的構(gòu)建需要政府、企業(yè)、公民等多主體的協(xié)同參與和配合，僅靠政府資源已不足以抵御和解決這一新興領(lǐng)域的問題了。

多主體協(xié)同參與這一解決辦法的基本邏輯看似簡單，但真正操作起來卻面臨著諸多挑戰(zhàn)。其中，最主要的一個問題在于如何清晰地界定網(wǎng)絡(luò)空間中的國家主權(quán)概念。這將決定政府和各主體在保護(hù)網(wǎng)絡(luò)安全過程中扮演的角色以及需要承擔(dān)的責(zé)任和義務(wù)。畢竟，一旦涉及國家安全話題，任何一國政府都不可能也不應(yīng)該把維護(hù)主權(quán)的責(zé)任推給企業(yè)和個人。

對此，《構(gòu)筑“彈性”網(wǎng)絡(luò)：探討公私合作模式》這篇報告認(rèn)為，盡管各國對網(wǎng)絡(luò)主權(quán)的理論認(rèn)識不盡相同，但不可否認(rèn)，在實(shí)踐層面，各國均需根據(jù)網(wǎng)絡(luò)安全事件的不同性質(zhì)，明確各主體的職責(zé)和參與程度。

分類制定應(yīng)對政策

為幫助各國政府理清頭緒、對癥下藥，《構(gòu)筑“彈性”網(wǎng)絡(luò)：探討公私合作模式》這篇報告總結(jié)了常見的14類應(yīng)對網(wǎng)絡(luò)安全事件的情境，主要包括抵御“零日攻擊”、打擊僵尸網(wǎng)絡(luò)、安全威脅情報共享、關(guān)鍵數(shù)據(jù)加密、跨國界信息傳播等。

報告提出，這14類情境對國家安全和實(shí)體經(jīng)濟(jì)的威脅度、對公民個人隱私的侵害度、對公私合作的訴求都不盡相同，因此相應(yīng)的政策模型也大相徑庭。同時，政府在推出解決方案之前，應(yīng)主要從經(jīng)濟(jì)效益、國家安全、公民隱私、公平公正和責(zé)任權(quán)限這五個維度入手，綜合考慮和權(quán)衡其對社會經(jīng)濟(jì)的影響。

以應(yīng)對“零日攻擊”為例，“零日攻擊”又名零時差攻擊，是指某個漏洞被發(fā)現(xiàn)后立即被惡意利用的攻擊行為，具有很大的突發(fā)性與破壞性。由于其可能造成的潛在經(jīng)濟(jì)損失巨大，且處置不當(dāng)極有可能威脅到國家安全，為此，政府在極端情境下應(yīng)與企業(yè)達(dá)成數(shù)據(jù)共享的共識，其他主體不應(yīng)以“企業(yè)機(jī)密”或“個人隱私”等理由封鎖關(guān)鍵信息。

同時，某些大型互聯(lián)網(wǎng)企業(yè)往往能率先發(fā)現(xiàn)和掌握該類網(wǎng)絡(luò)攻擊的相關(guān)信息，因此它們也應(yīng)站在網(wǎng)絡(luò)安全的第一道防線上。

對此，各國政府和企業(yè)可以效仿谷歌的“零日項(xiàng)目”（Project Zero）。該項(xiàng)目的首要目標(biāo)就是趕在黑客在暗網(wǎng)出售漏洞之前，發(fā)現(xiàn)并披露安全漏洞給軟件供應(yīng)商，幫助其即時進(jìn)行自我糾錯。谷歌能提供這項(xiàng)服務(wù)有其先天優(yōu)勢，許多谷歌員工在工作和業(yè)余生活中會發(fā)現(xiàn)大量第三方軟件的漏洞，將這些程序漏洞集合起來便會形成一個巨大的數(shù)據(jù)庫。

再如，對于涉及較高級別情報的國家安全相關(guān)的網(wǎng)絡(luò)攻擊事件，可通過安全威脅情報共享的方式加以應(yīng)對，報告指出，在此類情境中，政府應(yīng)責(zé)無旁貸地站在網(wǎng)絡(luò)安全的第一道防線上。在權(quán)衡政策利弊時，要以國家利益為先，與企業(yè)、個人等主體達(dá)成“越分享、越安全”的共識。在必要時，企業(yè)機(jī)密和個人信息應(yīng)適當(dāng)讓步于社會整體利益，做到及時與政府安全部門合理共享。

對此，報告建議，各國可參考美國國土安全部的自動指標(biāo)共享項(xiàng)目（Automated Indicator Sharing，簡稱AIS），由政府牽頭并統(tǒng)籌各方的安全威脅情報信息，用以切實(shí)保護(hù)本國經(jīng)濟(jì)社會安全。

為了搭建公私部門之間快速、高效的安全威脅情報共享機(jī)制，美國國土安全部牽頭開發(fā)并推出了可供各方交換網(wǎng)絡(luò)安全威脅情報的生態(tài)系統(tǒng)，即AIS。聯(lián)邦及各州政府、本國企業(yè)、國外合作伙伴或企業(yè)，都可在與美國國土安全部簽署相關(guān)協(xié)議文件后直接接入AIS平臺，平臺各參與主體均可即時分享潛在的網(wǎng)絡(luò)安全威脅情報。

此外，為保障公民信息安全及隱私，AIS項(xiàng)目還在信息分享環(huán)節(jié)設(shè)立了PII（Personally identifiable information，即個人身份信息）保護(hù)措施，主要包括由機(jī)器自動識別與網(wǎng)絡(luò)安全威脅無關(guān)的PII，并在發(fā)布到共享平臺前刪除，利用人工審核方式確認(rèn)無關(guān)PII不被共享和傳播等。endprint