[电子政务]马亮:网络安全风险治理的挑战与因应策略

24.02.2017  01:08

网络及其缔造的网络空间,在推动技术创新、促进经济增长和丰富社会文化的同时,也对公共安全提出了挑战。因此,加强网络空间安全具有关键现实意义。无论是全国人大常委会通过的《网络安全法》,还是国家互联网信息办公室发布的《国家网络空间安全战略》,都为中国网络安全建立了法制框架和政策。作为“一法一策”,两项制度是网络安全的顶层设计,但还需要进一步具体化其运行机制和措施。至为重要的是,网络空间就像一个“虚拟世界”,但又是一个现实场域,存在“虚拟—现实”的二重性,如何对其安全隐患进行排查,如何对其应急事件进行预警和响应,如何做好危机事件的处置和善后,是考验网络安全风险管理体系的关键课题。因此,本文简要讨论网络安全风险治理的若干关键问题,并提出强化网络安全危机管理的政策建议。

首先,对网络空间与网络安全的认识需要提高到战略层面,并使其具有很强的延展性。网络安全不完全指物理层面的风险,更包括涉及虚拟状态的威胁。网络空间安全可以分为两种风险:针对网络空间的风险(risksto cyberspace),指对计算机和通信科技的物理层面造成的风险;通过网络空间的风险(risks through cyberspace),指不直接影响基础设施本身,但是却由网络空间产生并由其促成的风险[1]。对于前者而言,相关研究和实践都较多,也日趋成熟。但是对后者来说,却面临很大的治理挑战。通过网络空间而产生的风险具有很强的政治色彩,并同人权、自由等价值取向存在不一致或冲突的问题。

网络空间是一个人们交往和活动的场域,而不是一个单纯的物理空间。随着移动互联网、物联网、云计算、虚拟现实等一系列新兴信息技术的突飞猛进,网络空间的边界日益模糊,似乎到了“无边无际”的地步。如果只是关注计算机和互联网,则可能会错失网络空间安全的真正隐患所在。比如,线上谣言会导致线下恐慌,并诱发其他维度和场域的风险。因此,除了关键基础设施的物理维护以外,至关重要的是如何确保网络虚拟空间的安全。目前,“一法一策”对网络空间和网络安全的界定都过于模糊和笼统,如何在未来的各类管理制度中予以细化和明确,是网络安全管理的首要环节。

其次,需要全方位提升政府部门的网络安全防范意识和应对能力,使政府部门的重要基础设施和管理信息系统不受黑客等的恶意攻击。目前,中国许多政府网站存在安全隐患,一些基层政府网站无异于“裸奔”。虽然中央部门要求操作系统和关键软件的正版化和国产化,但是许多地方和基层政府却做不到这一点。大量盗版软件的使用,可能为恶意软件的侵入提供可乘之机。在全国大力推进“互联网+政务服务”的过程中,如果不对网络安全予以重视,可能会诱发新的安全隐患。比如,过去并不提供在线服务的基层政府网站,如果在不具备安全防护措施的情况下贸然上马,可能会产生公民个人信息泄露等安全威胁。

为了强化网络安全,政府部门应更加重视安全防护和应对,特别是提高政府网络安全能力。非常重要的是,要强化对网络安全的绩效管理,使政府部门在绩效管理的驱动下真正行动起来。以美国为例,联邦政府部门的优先战略目标之一就是网络安全,并要求多个联邦政府部门参与其中。这被称为“跨部门优先目标”(Cross-AgencyPriority Goal),其中,网络安全的目标是“通过持续关注信息安全、脆弱性和影响信息环境运转的威胁等方面提高网络安全绩效,确保只有授权的用户可以获取资源和信息;通过科技和流程去减少恶意软件带来的风险”。为了完成该目标,联邦政府任命了总统高级顾问作为协调人,并有国土安全部、国防部、管理与预算办公室的负责人作为目标领导者。为了对目标完成绩效进行监测,白宫主要关注网络安全能力,包括:①对信息安全状况的持续监测,主要是对部门的网络安全状况进行全方位实时监测和诊断;②身份认证和授权获取管理,确保用户必须经过授权才可以获取其工作需要的相关资源和信息;③反击网络仿冒和恶意软件的攻击,通过科技、流程和培训等减少被病毒感染的电邮和网站带来的风险。虽然所有联邦部门都要求满足2002年颁布的《联邦信息安全管理法》,白宫特别要求国土安全部、国防部、商务部、总务局等开发绩效指标和标准,对网络安全目标进行考评。自2014年以来,每个季度都会对该目标的完成情况进行考评,并公布结果(参见:https://www.performance.gov)。

再次,需要建立网络安全应急管理体系,并强化网络安全的跨部门和跨域协调能力。网络安全是危机管理和风险治理的重要领域,但又有不同于传统应急管理的特征。与自然灾害(如地震、台风、洪水)和人为灾祸(如爆炸、恐怖主义、传染病)相比,网络安全具有虚拟性、传染性、跨域性等特点,其预警、响应、处置和善后等也会随之有所不同。比如,网络安全的预案可能需要针对不同情形予以制定,并随着科技创新而及时更新。例如,是否需要叠床架屋而在每级政府都制定一套网络安全应急预案?网络安全预案的可行性能否确保?什么样的网络安全事件需要“断网”处置?这些问题都值得深思。以目前自然灾害和社会风险领域的应急预案为例,就存在“纸上谈兵”的问题。各级政府部门分门别类地制定了大量应急预案,但是却得不到及时更新和模拟演练,使其可用性大打折扣。各地政府相互抄袭,应急预案往往无法反映当地实际情况,出现“水土不服”的问题。在推动网络安全的应急管理过程中,特别是在预案的研制与启动程序设计等方面,都需要避免传统危机管理犯下的错误,并使网络安全应急预案能够和网络空间自身的特征相匹配。

如何加强政府内部不同部门之间以及政府与其他组织的协调,是网络安全的关键所在。除了网信部门,网络安全可能还会涉及其他职能部门,特别是掌握关键数据和资源的部门。网络安全不仅涉及横向的跨部门协调,而且还涉及纵向的跨层级协调。网络安全事件常常不是局限于某个地区或层级,而是有很强的扩散放大效应,因此什么样的危机由哪级政府负责,以及不同层级如何协调,都是需要回答的问题。随着以百度、阿里巴巴和腾讯(BAT)为代表的网络巨头的崛起,越来越多的国家和个人信息由这些私营互联网企业掌握。在网络安全方面,同这些企业的协调也非常重要。更为重要的是,网络安全还有很强的跨地区乃至跨境色彩。网络无国界,网络安全也越来越多地表现为跨国作战。无论是虚拟专用网络(VPN)还是境外服务器,都会导致各种各样的跨境网络安全问题。以跨境电信诈骗为例,诈骗团伙的所有人员和设备都在境外,却在境内实施诈骗,为侦破和防范提出了严峻挑战。诸如此类的网络安全风险,都需要政府内部和外部的通力合作才能防范和应对。目前政府部门处于“信息孤岛”的状态,各级、各地区和各部门之间的信息共享和行动协同都较差。吊诡的是,这种状态使网络安全威胁不至于在更大范围快速扩散,但是也难以实现网络安全的协同治理。

最后,建立和提升政府在网络安全中的合法性,真正在线上和线下都取信于民,是巩固网络安全风险治理的社会基础。除了危机管理能力,危机管理合法性也同样至关重要。合法性指政府与民众的关系,即政府能否得到民众的信赖,民众是否愿意将自己的身家性命托付于政府[2]。为了实施应急管理,政府往往不得不采取限制人身自由或网络言论等非常举措,这可能侵犯公众的知情和言论自由等权利。如果民众相信政府是为了公共利益而如此行为,并认为政府的做事方式和程序是可以接受的,那么就可以为网络安全提供强有力的合法性支持。但是,如果民众无法对网信部门建立起码的信任,就很难赢得网络安全攻坚战。

针对基础设施的网络安全威胁固然重要,但更加值得警惕的是经由网络空间的安全风险。风险带有社会性,具有很强的社会放大效应。媒体会助推风险放大作用,而互联网和社交媒体对风险扩散具有推波助澜的作用。网民抱有“宁可信其有,不可信其无”的心态,加之猎奇心理和逆反心态作祟,可能使网络空间安全处于失控的情势。微博、微信等社交媒体使网络谣言得以快速传播和广泛扩散,可能会导致意想不到的负面影响,并对实体经济、社会互动和政权稳定都构成实质性挑战。经由网络谣言蛊惑和煽动,会诱发群体性事件乃至“颜色革命”,这是突尼斯等国家付出的血的代价。因此,政府如何能够引导网络舆情健康发展和网民理性参与,可能较为关键的是制定网络安全战略。比如,在网络谣言的传播过程中,意见领袖及其所处的社交网络结构扮演着至关重要的角色。政府应引导和吸纳意见领袖,聚焦和优化网络结构,使网络成为传递“正能量”的场域,而不是谣言四起的威胁。

网络是自由的,但是不能没有法度。网络是宽容的,但是不允许胡作非为。网络效益越来越广泛和深入,但网络空间的安全风险也与日俱增。网络安全风险治理是危机管理的关键领域之一,但是它又在许多方面有别于自然灾害和社会风险的防范与应对。危机管理是非常典型的交叉学科,离不开信息科学、情报学、管理学、政治学、社会学等许多学科的贡献。因此,加强网络安全风险治理的跨学科研究,为政府部门制定网络安全应急预案、管理体系和战略布局等提供决策咨询,也是网络安全值得加强的领域。

参考文献:

[1]Deibert R J, Rohozinski R. Risking Security:Policies and Paradoxes of Cyberspace Security[J]. International PoliticalSociology, 2010, 4(1): 15-32.

[2]Christensen T, Lægreid P, Rykkja L H. Organizing for Crisis Management:Building Governance Capacity and Legitimacy[J]. Public Administration Review,2016, 76(6): 887-897.

(作者为中国人民大学公共管理学院副教授,国家发展与战略研究院研究员)