網絡安全文化建設應強化風險意識及危機應對能力

文│中國現代國際關系研究院副研究員 張明

長期以來，網絡安全工作過于強調技術安全，而忽視了以人為中心的安全文化建設，實際上，多數網絡攻擊可以歸結于人的疏忽和過失。例如，近年頻發的網絡勒索攻擊多源于使用者安全意識懈怠引發的網絡釣魚事件。簡言之，網絡安全文化是一個組織的網絡安全理念、習慣和社會行為。從社會層面看，網絡安全文化就是大陸《網絡安全法》所指出的“全社會共同參與促進網絡安全的良好環境”。從國際層面看，2002 年 12 月 20日，聯合國大國通過第 57/239 号決議，提出從意識、規範、危機響應、風險評估等要素入手培育全球網絡安全文化。網絡社會是高風險社會，從危機管理視角闡釋網絡安全文化，依據危機管理流程謀劃網絡安全文化建設舉措，将有助于建構大陸更具韌性的網絡安全文化。

一、将危機意識融入網絡安全文化建設的必要性

人是網絡安全生态系統中最脆弱因素和最大風險源，人的網絡安全意識和能力建設至關重要。目前，網絡安全文化并未形成清晰、統一的概念和範圍，相關研究和實踐還處于不斷探索階段。開放而非安全的網際網路設計初衷，加之網絡空間越發複雜的國家博弈、恐怖犯罪、黑客攻擊、技術漏洞等威脅，使網絡空間必然處于一種風險叢生、事故頻發的常态。長期來看，将危機意識和危機響應能力建設植入全民網絡安全文化，可以提升社會應對網絡突發事件的承受力。

傳統安全、非傳統安全威脅日益交織于網絡空間，網絡事故已從“黑天鵝”發展為“灰犀牛”。以 2022 年上半年為例，網絡空間安全态勢延續了2021 年以來的嚴峻态勢。一是國家間網絡争端熱度不減。5 月 9 日，俄羅斯電視台在勝利閱兵日被黑客攻擊，播放界面顯示了“恐吓式”反戰資訊，而且，俄羅斯的主要電視訊道、最大搜尋網站Yandex、最大視訊網站 RuTube 均受到網絡攻擊的影響；6 月 1 日，美國網絡司令部司令兼國家安全局局長保羅·中曾根（Paul Nakasone）首次承認，在俄烏克沖突中采取了進攻性網絡行動幫助烏克蘭。二是基礎設施屢遭網絡攻擊。4 月初，烏克蘭計算機應急響應小組（CERT）披露，成功阻止了黑客組織沙蟲（Sandworm）針對烏克蘭能源工控設施發起的破壞性網絡攻擊；5 月 6 日，俄羅斯聯邦儲蓄銀行（Sberbank）遭遇大規模分布式拒絕服務（DDoS）攻擊。三是黑客組織犯罪依然猖獗。4 月18 日，哥斯達黎加财政部遭 Conti 勒索軟體攻擊，多個政府網絡系統癱瘓，大量敏感資料被盜；4 月22 日，巴西裡約熱内盧州财政系統遭 LockBit 勒索軟體攻擊，420GB 資料遭竊取。各國軍政機構、基礎設施和企業公司都無法置身網絡攻擊之外，網絡安全事故不是能否發生的問題，而是何時何地發生的問題。

網絡安全管理正嘗試納入零信任、網絡韌性等新觀念，網絡安全文化建構需與之相适應。随着雲計算、大資料、物聯網、移動網際網路等新興技術興起，數字化轉型使當今技術生态系統更加複雜，傳統安全政策面臨調整，零信任和網絡韌性等新架構、新理念漸成趨勢。零信任政策基于“永不信任，始終驗證”理念，通過持續風險和信任評估判斷安全狀況，突破了傳統的“城堡和護城河”式網絡安全防護方法。美國将實施零信任列為優先事項并釋出相關标準、指南促進網絡安全轉型。2021 年 2 月，美國國家安全局（NSA）釋出《擁抱零信任安全模型》（Embracing a Zero Trust Security Model），同時，美國國防資訊系統局（DISA）釋出《國防部零信任參考架構》（Department of Defense Zero Trust Reference Architecture）。網絡韌性将危機管理的社會韌性理念與網絡事故管理相結合，不再追求根除防不勝防的網絡事故，而強調面對事故的恢複能力。美商務部國家标準與技術研究所（NIST）将“網絡韌性”定義為當網絡資源遭遇打擊、攻擊或破壞時，網絡資源使用者所具備的預測、承受、恢複和适應的能力。2021 年 5 月召開的國際資訊安全大會（RSA Conference）的主題即為“網絡韌性”。近年來，網絡攻擊手段更多樣，資料洩露、勒索軟體、進階持續性威脅（APT）攻擊等安全事件頻發，準确預測攻擊者的時間和方式更加困難，提升網絡韌性可讓系統免于根本性損壞，確定業務持續運作。

總之，零信任、網絡韌性等理念超越了“築牆”“抵禦”等傳統網絡安全手段，強調準備、響應、恢複的全流程介入，確定網絡空間不出現系統性、災難性後果。是以，網絡安全文化中的網絡安全意識和能力建設也要适應網絡安全理念轉型，建構涵蓋危機前風險規避、危機中事件響應和危機後恢複提升的全流程構模組化式。

二、基于危機管理視角的網絡安全文化建設

危機管理分為危機前、中、後三個階段，分别對應危機準備、危機響應和危機恢複等政策。危機準備階段的目标是預防和縮減網絡安全風險，主要工作包括風險評估、應急預案制定、教育訓練、應急演練等；危機響應階段的目标是控制危機蔓延，主要工作包括指揮救援、資訊溝通、媒體管理等；危機恢複階段的目标是災害恢複和彌補漏洞，包括災後重建、心理輔導等。目前，危機管理強調部門協調、公私合作和韌性能力建設，緻力于建構“全流程”“全政府”管理模式。

培育強有力的網絡安全文化就要塑造和提升群眾對網絡事故的辨識力、響應力和恢複力。從宗旨和目标上考慮，網絡安全文化建設應突出兩點：一是主動防禦，承認網絡事故難以避免，從單純降低網絡脆弱性提升到網絡系統恢複能力建設；二是系統性，日常安全教育與應急響應教育相結合，建構網絡安全生态系統。為提升全社會的網絡安全文化水準，在不同危機階段，需要實施不同舉措。

（一）網絡事故前的準備意識和能力建設

網絡事故前的準備意識和能力建設主要是網絡安全的日常教育，也是目前各國網絡安全文化建設的主要領域。根據美國聯邦緊急事務管理局（FEMA）的說法，為應對網絡安全威脅，應該建立“一種網絡準備文化”（a culture of cyber preparedness），相關各方制定網絡安全方案、組織教育訓練和演練等。美歐等網絡發達國家和地區針對網絡事故發生前階段的網絡安全文化培育主要包括以下内容。

一是網絡安全風險教育，主要包括識别、預防和縮減網絡安全風險。目前，主要網絡大國都采取了機制化的教育宣傳做法。2004 年，美國啟動“網絡安全意識月”；2012 年，歐盟啟動“網絡安全月”（ESCM）；2014 年，中國啟動“國家網絡安全宣傳周”。從理論上看，可以借用危機管理的風險縮減“ABC 原則”從如下方面開展網絡安全意識教育：遠離（away）措施，即遠離網絡安全風險源，如加密技術、入侵檢測、病毒識别與清除技術等；改善（better）措施，即改善網絡工作環境，如鼓勵采用安全性更高的資訊技術産品；相容（compatible）措施，即設計和構造符合網絡安全要求的工作環境，如實施關鍵基礎設施等級保護制度。

二是網絡事故的災害準備教育，主要包括制定響應預案群組織演練等。在預案制定方面，主要大國都已經出台專門的網絡事故響應預案。2016年 7 月，美國奧巴馬政府釋出第 41 号總統令《美國網絡事件協調》（United States Cyber Incident Coordination），明确了美聯邦政府開展網絡事件響應遵循的原則；2017 年 1 月，中國國家網際網路資訊辦公室印發了《國家網絡安全事件應急預案》，指出網絡安全事件預防工作包括風險評估、日常管理、演練、宣傳、教育訓練等措施。在大陸網絡安全文化建設中，由于檔案發放範圍所限，社會各界對網絡安全事故響應預案的熟悉度有待提高。未來，應加大預案的宣傳力度，指導機構、個人參與配合政府網絡事故響應行動。在開展網絡攻防實戰演練方面，各國強調政府、學界、産業界、非政府組織等全員參與網絡安全演練，提升全社會網絡安全準備水準和協調能力，如美國“網絡風暴”演習、北約“鎖盾”演習、歐盟“網絡歐洲”演習等，以提高危機應對能力和國家關鍵資訊基礎設施保護水準。

（二）網絡事故中的響應意識和能力建設

此階段對應危機管理流程中的危機響應階段，重點是将群眾所具備的網絡安全意識轉化為事故響應行動。一旦爆發網絡安全事故，組織或個人受害者應能準确迅速聯系到政府應急響應部門，上報事件并得到專業幫助，防止危機事件蔓延擴散。是以，上司體制和運作機制建設成為提升全民網絡事故響應意識和能力的基礎，以統籌資源、協調力量，確定積極的網絡安全文化轉化為高效的響應行動。2018 年 11 月，美國總統特朗普簽署法案成立網絡安全與基礎設施安全局（CISA），以強化美國政府整體防護和網絡安全水準，協調各州及公、私部門之間的網絡安全行動。2021 年 6 月，歐盟委員會宣布成立聯合網絡部門（Joint Cyber Unit），負責協調針對大規模網絡攻擊的聯合響應，成員機構包括歐盟網絡安全局（ENISA）、歐盟計算機應急響應小組（CERT-EU）、歐洲打擊網絡犯罪中心（EC3）、計算機安全事故應急小組（CSIRT）等。随着網絡安全管理的組織體系優化，美歐“全社會參與”“全政府協調”網絡事故管理模式逐漸建立，網絡安全文化水準随之提升。

（三）網絡事故後的恢複意識和能力建設

作為網絡安全文化建構的學習提升階段，此階段對應危機管理流程中的危機後重建，重點是提升社會的災害恢複力和承受力。此階段應着眼網絡安全文化建設的長期目标，在開展災後恢複同時，提升社會應對網絡事故的心理承受力和延展網絡安全文化内涵。一方面，可以通過資料、系統恢複和設施重建等短期工作止損；另一方面，可以通過教育、教育訓練等長期工作，提升網絡事故的社會心理承受力、群眾心理“容災”能力。在具體舉措方面，例如，可以結合重大網絡安全事故案例，在開展警示教育的同時，查漏補缺、不斷完善網絡安全措施。此階段的事故評估總結與網絡事故前的風險管理存在一定重合和銜接，是以，網絡安全文化建構成為一個不斷往複、逐漸提升的系統工程。

三、未來的挑戰及應對

培育積極的全民網絡安全文化是一項基礎性、長期性任務，需要從政策法規、組織機構和運作機制等入手，進行全局謀劃并有序推進。

一是網絡安全理念轉變。目前的網絡安全态勢發展表明，網絡安全事故無法根除，網絡安全風險内外叢生。是以，提升網絡安全文化應從降低脆弱性提升為增強韌性，從“禦敵于院牆之外”邊界安全理念向“内外兼防”的零信任架構拓展。

二是部門間統籌協調。網絡安全文化是全社會參與的系統工程，各部門既要職責分工明确，也要互相配合助力。2022 年 1 月釋出的《中國企業網絡安全意識教育現狀與發展報告》調研資料顯示，22% 受訪者認為網絡安全意識教育的最大難點來源于部門協同困難。美歐等的做法是設立主管部門，統籌政府内外的涉網絡機構，整體推進網絡安全文化建設。

三是網絡威脅資訊共享。不同政府網絡管理機構，尤其是政府與私營部門之間，通常存在網絡安全資訊共享交流機制不完善、資訊共享不及時等問題，這不利于形成健康的網絡安全文化。對此，美國政府和國會将網絡安全立法的重點放在促進網絡安全資訊共享，推動政府部門和私人部門之間的公私合作，共建積極的網絡安全文化。

目前，中國正從網絡大國向網絡強國邁進，須穩步推進網絡安全意識教育和能力教育訓練，建立先進的網絡安全文化。展望未來，網絡安全文化建構仍面臨諸多挑戰，需要從網絡安全理念、部門間協同和網絡威脅資訊共享等方面謀劃應對。

（本文刊登于《中國資訊安全》雜志2022年第8期）