云賀

政府和其他參與主體應(yīng)根據(jù)不同的網(wǎng)絡(luò)安全事件情境，決定各自該承擔(dān)的責(zé)任和義務(wù)。

隨著第四次工業(yè)革命向各產(chǎn)業(yè)的深入滲透，全球掀起數(shù)字化變革潮流。與此同時(shí)，網(wǎng)絡(luò)安全問題也變得愈加棘手：網(wǎng)絡(luò)病毒跨領(lǐng)域傳播、安全漏洞快速傳導(dǎo)、企業(yè)而非政府站在了消費(fèi)者網(wǎng)絡(luò)安全的第一道防線上。

近年來(lái)一系列全球網(wǎng)絡(luò)攻擊事件表明，是時(shí)候構(gòu)筑起一道社會(huì)全員參與建設(shè)的“網(wǎng)絡(luò)安全防線”了。然而，這背后的爭(zhēng)議也顯而易見：政府干預(yù)與個(gè)人隱私的邊界如何確定？防守過度會(huì)不會(huì)造成資源浪費(fèi)？政府與企業(yè)誰(shuí)該為網(wǎng)絡(luò)安全問題負(fù)責(zé)？哪些安全數(shù)據(jù)應(yīng)為全社會(huì)共享？

今年1月，世界經(jīng)濟(jì)論壇聯(lián)合波士頓咨詢公司發(fā)布了名為《構(gòu)筑“彈性”網(wǎng)絡(luò)：探討公私合作模式》的報(bào)告，試圖通過剖析近年來(lái)各國(guó)政府與企業(yè)攜手預(yù)防和抗擊網(wǎng)絡(luò)安全問題的成功案例，為上述爭(zhēng)議尋求解決方案。報(bào)告認(rèn)為，政府和其他參與主體應(yīng)根據(jù)不同的網(wǎng)絡(luò)安全事件情境，決定各自該承擔(dān)的責(zé)任和義務(wù)。

參與主體眾多

自古以來(lái)，保護(hù)公民安全就是政府的重要職責(zé)之一。進(jìn)入21世紀(jì)，人類社會(huì)的網(wǎng)絡(luò)化、電子化、互聯(lián)化趨勢(shì)愈發(fā)明朗，政府的上述職責(zé)也被網(wǎng)絡(luò)世界賦予了新的意義，“如何守衛(wèi)網(wǎng)絡(luò)領(lǐng)土”已成為當(dāng)前各國(guó)政府都在努力探求答案的重要議題。

與傳統(tǒng)意義上的安全問題不同，網(wǎng)絡(luò)安全事件往往更為復(fù)雜。突發(fā)性強(qiáng)、傳導(dǎo)速度快，是其首要特征?？梢哉f(shuō)，網(wǎng)絡(luò)世界中的每一項(xiàng)技術(shù)創(chuàng)新都伴隨著未知的漏洞和潛在風(fēng)險(xiǎn)。在幾乎沒有國(guó)界限制的網(wǎng)絡(luò)空間中，任何一道被惡意撕開的“口子”都可能會(huì)以迅雷不及掩耳的速度傳播到地球的另一端，并對(duì)實(shí)體經(jīng)濟(jì)安全造成程度不一的威脅。

另外，網(wǎng)絡(luò)安全領(lǐng)域的參與主體眾多，政府、企業(yè)、個(gè)人等都可能是安全防線上的關(guān)鍵環(huán)節(jié)。如今，在很多時(shí)候，政府往往不能站在發(fā)現(xiàn)危險(xiǎn)乃至對(duì)抗危險(xiǎn)的第一線。特別是在一些歐美國(guó)家，那些活躍在虛擬世界、掌握著行業(yè)大把數(shù)據(jù)資源的大型互聯(lián)網(wǎng)企業(yè)，才是網(wǎng)絡(luò)安全的第一道防線。

可見，網(wǎng)絡(luò)安全防線的構(gòu)建需要政府、企業(yè)、公民等多主體的協(xié)同參與和配合，僅靠政府資源已不足以抵御和解決這一新興領(lǐng)域的問題了。

多主體協(xié)同參與這一解決辦法的基本邏輯看似簡(jiǎn)單，但真正操作起來(lái)卻面臨著諸多挑戰(zhàn)。其中，最主要的一個(gè)問題在于如何清晰地界定網(wǎng)絡(luò)空間中的國(guó)家主權(quán)概念。這將決定政府和各主體在保護(hù)網(wǎng)絡(luò)安全過程中扮演的角色以及需要承擔(dān)的責(zé)任和義務(wù)。畢竟，一旦涉及國(guó)家安全話題，任何一國(guó)政府都不可能也不應(yīng)該把維護(hù)主權(quán)的責(zé)任推給企業(yè)和個(gè)人。

對(duì)此，《構(gòu)筑“彈性”網(wǎng)絡(luò)：探討公私合作模式》這篇報(bào)告認(rèn)為，盡管各國(guó)對(duì)網(wǎng)絡(luò)主權(quán)的理論認(rèn)識(shí)不盡相同，但不可否認(rèn)，在實(shí)踐層面，各國(guó)均需根據(jù)網(wǎng)絡(luò)安全事件的不同性質(zhì)，明確各主體的職責(zé)和參與程度。

分類制定應(yīng)對(duì)政策

為幫助各國(guó)政府理清頭緒、對(duì)癥下藥，《構(gòu)筑“彈性”網(wǎng)絡(luò)：探討公私合作模式》這篇報(bào)告總結(jié)了常見的14類應(yīng)對(duì)網(wǎng)絡(luò)安全事件的情境，主要包括抵御“零日攻擊”、打擊僵尸網(wǎng)絡(luò)、安全威脅情報(bào)共享、關(guān)鍵數(shù)據(jù)加密、跨國(guó)界信息傳播等。

報(bào)告提出，這14類情境對(duì)國(guó)家安全和實(shí)體經(jīng)濟(jì)的威脅度、對(duì)公民個(gè)人隱私的侵害度、對(duì)公私合作的訴求都不盡相同，因此相應(yīng)的政策模型也大相徑庭。同時(shí)，政府在推出解決方案之前，應(yīng)主要從經(jīng)濟(jì)效益、國(guó)家安全、公民隱私、公平公正和責(zé)任權(quán)限這五個(gè)維度入手，綜合考慮和權(quán)衡其對(duì)社會(huì)經(jīng)濟(jì)的影響。

以應(yīng)對(duì)“零日攻擊”為例，“零日攻擊”又名零時(shí)差攻擊，是指某個(gè)漏洞被發(fā)現(xiàn)后立即被惡意利用的攻擊行為，具有很大的突發(fā)性與破壞性。由于其可能造成的潛在經(jīng)濟(jì)損失巨大，且處置不當(dāng)極有可能威脅到國(guó)家安全，為此，政府在極端情境下應(yīng)與企業(yè)達(dá)成數(shù)據(jù)共享的共識(shí)，其他主體不應(yīng)以“企業(yè)機(jī)密”或“個(gè)人隱私”等理由封鎖關(guān)鍵信息。

同時(shí)，某些大型互聯(lián)網(wǎng)企業(yè)往往能率先發(fā)現(xiàn)和掌握該類網(wǎng)絡(luò)攻擊的相關(guān)信息，因此它們也應(yīng)站在網(wǎng)絡(luò)安全的第一道防線上。

對(duì)此，各國(guó)政府和企業(yè)可以效仿谷歌的“零日項(xiàng)目”（Project Zero）。該項(xiàng)目的首要目標(biāo)就是趕在黑客在暗網(wǎng)出售漏洞之前，發(fā)現(xiàn)并披露安全漏洞給軟件供應(yīng)商，幫助其即時(shí)進(jìn)行自我糾錯(cuò)。谷歌能提供這項(xiàng)服務(wù)有其先天優(yōu)勢(shì)，許多谷歌員工在工作和業(yè)余生活中會(huì)發(fā)現(xiàn)大量第三方軟件的漏洞，將這些程序漏洞集合起來(lái)便會(huì)形成一個(gè)巨大的數(shù)據(jù)庫(kù)。

再如，對(duì)于涉及較高級(jí)別情報(bào)的國(guó)家安全相關(guān)的網(wǎng)絡(luò)攻擊事件，可通過安全威脅情報(bào)共享的方式加以應(yīng)對(duì)，報(bào)告指出，在此類情境中，政府應(yīng)責(zé)無(wú)旁貸地站在網(wǎng)絡(luò)安全的第一道防線上。在權(quán)衡政策利弊時(shí)，要以國(guó)家利益為先，與企業(yè)、個(gè)人等主體達(dá)成“越分享、越安全”的共識(shí)。在必要時(shí)，企業(yè)機(jī)密和個(gè)人信息應(yīng)適當(dāng)讓步于社會(huì)整體利益，做到及時(shí)與政府安全部門合理共享。

對(duì)此，報(bào)告建議，各國(guó)可參考美國(guó)國(guó)土安全部的自動(dòng)指標(biāo)共享項(xiàng)目（Automated Indicator Sharing，簡(jiǎn)稱AIS），由政府牽頭并統(tǒng)籌各方的安全威脅情報(bào)信息，用以切實(shí)保護(hù)本國(guó)經(jīng)濟(jì)社會(huì)安全。

為了搭建公私部門之間快速、高效的安全威脅情報(bào)共享機(jī)制，美國(guó)國(guó)土安全部牽頭開發(fā)并推出了可供各方交換網(wǎng)絡(luò)安全威脅情報(bào)的生態(tài)系統(tǒng)，即AIS。聯(lián)邦及各州政府、本國(guó)企業(yè)、國(guó)外合作伙伴或企業(yè)，都可在與美國(guó)國(guó)土安全部簽署相關(guān)協(xié)議文件后直接接入AIS平臺(tái)，平臺(tái)各參與主體均可即時(shí)分享潛在的網(wǎng)絡(luò)安全威脅情報(bào)。

此外，為保障公民信息安全及隱私，AIS項(xiàng)目還在信息分享環(huán)節(jié)設(shè)立了PII（Personally identifiable information，即個(gè)人身份信息）保護(hù)措施，主要包括由機(jī)器自動(dòng)識(shí)別與網(wǎng)絡(luò)安全威脅無(wú)關(guān)的PII，并在發(fā)布到共享平臺(tái)前刪除，利用人工審核方式確認(rèn)無(wú)關(guān)PII不被共享和傳播等。endprint