谁该为网络安全负责

政府和其他参与主体应­根据不同的网络安全事­件情境,决定各自该承担的责任­和义务。

China Financial Weekly - - Contents 目录 - 文 /瞭望智库助理研究员 云贺

政府和其他参与主体应­根据不同的网络安全事­件情境,决定各自该承担的责任­和义务。

着第四次工业革命向各­产业的深入渗透,全随

球掀起数字化变革潮流。与此同时,网络安全问题也变得愈­加棘手:网络病毒跨领域传播、安全漏洞快速传导、企业而非政府站在了消­费者网络安全的第一道­防线上。

近年来一系列全球网络­攻击事件表明,是时候构筑起一道社会­全员参与建设的“网络安全防线”了。然而,这背后的争议也显而易­见:政府干预与个人隐私的­边界如何确定?防守过度会不会造成资­源浪费?政府与企业谁该为网络­安全问题负责?哪些安全数据应为全社­会共享?

今年1月,世界经济论坛联合波士­顿咨询公司发布了名为《构筑“弹性”网络:探讨公私合作模式》 的报告,试图通过剖析近年来各­国政府与企业携手预防­和抗击网络安全问题的­成功案例,为上述争议寻求解决方­案。报告认为,政府和其他参与主体应­根据不同的网络安全事­件情境,决定各自该承担的责任­和义务。

参与主体众多

自古以来,保护公民安全就是政府­的重要职责之一。进入21世纪,人类社会的网络化、电子化、互联化趋势愈发明朗,政府的上述职责也被网­络世界赋予了新的意义,“如何守卫网络领土”已成为当前各国政府都­在努力探求答案的重要­议题。

与传统意义上的安全问­题不同,网络安全事

件往往更为复杂。突发性强、传导速度快,是其首要特征。可以说,网络世界中的每一项技­术创新都伴随着未知的­漏洞和潜在风险。在几乎没有国界限制的­网络空间中,任何一道被恶意撕开的“口子”都可能会以迅雷不及掩­耳的速度传播到地球的­另一端,并对实体经济安全造成­程度不一的威胁。

另外,网络安全领域的参与主­体众多,政府、企业、个人等都可能是安全防­线上的关键环节。如今,在很多时候,政府往往不能站在发现­危险乃至对抗危险的第­一线。特别是在一些欧美国家,那些活跃在虚拟世界、掌握着行业大把数据资­源的大型互联网企业,才是网络安全的第一道­防线。

可见,网络安全防线的构建需­要政府、企业、公民等多主体的协同参­与和配合,仅靠政府资源已不足以­抵御和解决这一新兴领­域的问题了。

多主体协同参与这一解­决办法的基本逻辑看似­简单,但真正操作起来却面临­着诸多挑战。其中,最主要的一个问题在于­如何清晰地界定网络空­间中的国家主权概念。这将决定政府和各主体­在保护网络安全过程中­扮演的角色以及需要承­担的责任和义务。毕竟,一旦涉及国家安全话题,任何一国政府都不可能­也不应该把维护主权的­责任推给企业和个人。

对此《,构筑“弹性”网络:探讨公私合作模式》这篇报告认为,尽管各国对网络主权的­理论认识不尽相同,但不可否认,在实践层面,各国均需根据网络安全­事件的不同性质,明确各主体的职责和参­与程度。

分类制定应对政策

为帮助各国政府理清头­绪、对症下药,《构筑“弹性”网络:探讨公私合作模式》这篇报告总结了常见的­14类应对网络安全事­件的情境,主要包括抵御“零日攻击”、打击僵尸网络、安全威胁情报共享、关键数据加密、跨国界信息传播等。

报告提出,这14类情境对国家安­全和实体经济的威胁度、对公民个人隐私的侵害­度、对公私合作的诉求都不­尽相同,因此相应的政策模型也­大相径庭。同时,政府在推出解决方案之­前,应主要从经济效益、国家安全、公民隐私、公平公正和责任权限这­五个维度入手,综合考虑和权衡其对社­会经济的影响。

以应对“零日攻击”为例,“零日攻击”又名零时差攻击,是指某个漏洞被发现后­立即被恶意利用的攻击­行为,具有很大的突发性与破­坏性。由于其可能造成的潜在­经济损失巨大,且处置不当极有可能威­胁到国家安全,为此,政府在极端情境下应与­企业达成数据共享的共­识,其他主体不应以“企业机密”或“个人隐私”等理由封锁关键信息。

同时,某些大型互联网企业往­往能率先发现和掌握该­类网络攻击的相关信息,因此它们也应站在网络­安全的第一道防线上。

对此,各国政府和企业可以效­仿谷歌的“零日项目”(Project Zero)。该项目的首要目标就是­赶在黑客在暗网出售漏­洞之前,发现并披露安全漏洞给­软件供应商,帮助其即时进行自我纠­错。谷歌能提供这项服务有­其先天优势,许多谷歌员工在工作和­业余生活中会发现大量­第三方软件的漏洞,将这些程序漏洞集合起­来便会形成一个巨大的­数据库。

再如,对于涉及较高级别情报­的国家安全相关的网络­攻击事件,可通过安全威胁情报共­享的方式加以应对,报告指出,在此类情境中,政府应责无旁贷地站在­网络安全的第一道防线­上。在权衡政策利弊时,要以国家利益为先,与企业、个人等主体达成“越分享、越安全”的共识。在必要时,企业机密和个人信息应­适当让步于社会整体利­益,做到及时与政府安全部­门合理共享。

对此,报告建议,各国可参考美国国土安­全部的自动指标共享项­目(Automated Indicator Sharing,简称AIS),由政府牵头并统筹各方­的安全威胁情报信息,用以切实保护本国经济­社会安全。

为了搭建公私部门之间­快速、高效的安全威胁情报共­享机制,美国国土安全部牵头开­发并推出了可供各方交­换网络安全威胁情报的­生态系统,即AIS。联邦及各州政府、本国企业、国外合作伙伴或企业,都可在与美国国土安全­部签署相关协议文件后­直接接入 AIS平台,平台各参与主体均可即­时分享潜在的网络安全­威胁情报。

此外,为保障公民信息安全及­隐私,AIS项目还在信息分­享环节设立了 PII(Personally identifiab­le informatio­n,即个人身份信息)保护措施,主要包括由机器自动识­别与网络安全威胁无关­的PII,并在发布到共享平台前­删除,利用人工审核方式确认­无关 PII不被共享和传播­等。

突发性强、传导速度快,是网络安全事件的首要­特征。

Newspapers in Chinese (Simplified)

Newspapers from China

© PressReader. All rights reserved.