摘 要:數(shù)字技術(shù)的廣泛應(yīng)用,帶來了數(shù)字安全問題,從安全的態(tài)勢來看,數(shù)字安全問題越來越復(fù)雜,既存在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、輿論操縱等問題,也存在供應(yīng)鏈風(fēng)險、系統(tǒng)性風(fēng)險等物理世界的問題,而各國在數(shù)字安全治理上的觀念分歧與政策錯位,還導(dǎo)致了各國數(shù)字安全政策的沖突與協(xié)調(diào)問題。因此,需要將數(shù)字安全放在國家安全的整體框架下,建立起統(tǒng)一的應(yīng)對策略。
關(guān)鍵詞:數(shù)字安全 安全態(tài)勢 網(wǎng)絡(luò)空間 數(shù)字技術(shù)
【中圖分類號】TP309 【文獻(xiàn)標(biāo)識碼】A
數(shù)字技術(shù)已全面滲透到社會經(jīng)濟(jì)生活的各個方面,形成了一個新的網(wǎng)絡(luò)空間。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《第52次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》,截至2023年6月,我國網(wǎng)民規(guī)模達(dá)10.79億人,互聯(lián)網(wǎng)普及率達(dá)76.4%。
數(shù)字技術(shù)的廣泛應(yīng)用,帶來了大量安全問題。首先是網(wǎng)絡(luò)空間及相關(guān)的安全問題成為了各界關(guān)注的重點。早在2014年,在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上習(xí)近平總書記提出了“沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化”的重要論斷。世界經(jīng)濟(jì)論壇發(fā)布的《2023年全球網(wǎng)絡(luò)安全展望》顯示,91%的企業(yè)和網(wǎng)絡(luò)領(lǐng)導(dǎo)者認(rèn)為,未來兩年可能會發(fā)生影響深遠(yuǎn)的災(zāi)難性網(wǎng)絡(luò)事件。而對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊在“當(dāng)前顯現(xiàn)的風(fēng)險”中排名第五。同時,與網(wǎng)絡(luò)相關(guān)的數(shù)字經(jīng)濟(jì)領(lǐng)域的安全問題越來越重要。數(shù)字技術(shù)全面滲透到社會生產(chǎn)生活與治理領(lǐng)域,其安全問題對經(jīng)濟(jì)運行將產(chǎn)生重大影響。根據(jù)工信部發(fā)布的數(shù)據(jù),我國已建成跨行業(yè)跨領(lǐng)域工業(yè)互聯(lián)網(wǎng)平臺50家,平均連接工業(yè)設(shè)備超218萬臺,服務(wù)企業(yè)數(shù)量超過23.4萬家。特色專業(yè)型工業(yè)互聯(lián)網(wǎng)平臺達(dá)221個,其中,面向行業(yè)平臺有150個,面向區(qū)域平臺有27個,面向特色領(lǐng)域平臺有44個。大量的工業(yè)企業(yè)、設(shè)備全面上網(wǎng),安全問題應(yīng)得到更多的重視。三是數(shù)據(jù)安全問題越來越重要。數(shù)據(jù)已成為一種重要的生產(chǎn)要素,在經(jīng)濟(jì)生活中發(fā)揮著越來越大的作用。根據(jù)《國家數(shù)據(jù)資源調(diào)查報告(2021)》,2021年我國數(shù)據(jù)產(chǎn)量達(dá)到6.6ZB,占全球數(shù)據(jù)總產(chǎn)量的10%,位列全球第二。四是數(shù)字領(lǐng)域的安全風(fēng)險全面向物理世界擴(kuò)散,有可能導(dǎo)致科技研發(fā)、供應(yīng)鏈產(chǎn)業(yè)鏈等多方面的風(fēng)險。
數(shù)字技術(shù)作為一種通用目的技術(shù)(General Purpose Technology)具有廣泛滲透性,使網(wǎng)絡(luò)安全問題的范疇持續(xù)擴(kuò)大,從而演化為數(shù)字安全,因為隨著各行各業(yè)數(shù)字化水平持續(xù)提升,數(shù)據(jù)、網(wǎng)絡(luò)、智能技術(shù)等在生產(chǎn)生活中越來越重要,因此,網(wǎng)絡(luò)安全問題向千行百業(yè)延伸拓展,成為社會的底座。習(xí)近平總書記明確指出:“在信息時代,網(wǎng)絡(luò)安全對國家安全牽一發(fā)而動全身,同許多其他方面的安全都有著密切關(guān)系”。為了進(jìn)一步明確網(wǎng)絡(luò)安全的這種廣泛性,本文將數(shù)字安全定義為:與數(shù)字技術(shù)直接相關(guān)的網(wǎng)絡(luò)空間安全、數(shù)據(jù)安全以及由于應(yīng)用數(shù)字技術(shù)而帶來的物理世界安全、社會治理安全等復(fù)合性綜合性安全。數(shù)字安全是一個大的概念,既包括了虛擬世界的數(shù)據(jù)安全、網(wǎng)絡(luò)安全、輿論操縱等問題,也包括物理世界的關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險、供應(yīng)鏈風(fēng)險、系統(tǒng)性風(fēng)險。在應(yīng)對數(shù)字安全風(fēng)險方面,各國的政策理念以及具體措施仍有不少沖突。從總體上看,數(shù)字安全越來越重要,給社會、經(jīng)濟(jì)、生活帶來了深刻的影響,也給工業(yè)生產(chǎn)、科技研發(fā)等帶來了巨大的影響。本文在分析數(shù)字安全新態(tài)勢的基礎(chǔ)上,對不同國家數(shù)字安全政策進(jìn)行了深入討論,并提出了我國的應(yīng)對策略。
傳統(tǒng)數(shù)字安全:網(wǎng)絡(luò)空間安全常態(tài)化
數(shù)字技術(shù)的廣泛應(yīng)用,形成了一個新的空間——網(wǎng)絡(luò)空間,由于其具有虛擬性、技術(shù)性、智能化等特征,帶來了大量的網(wǎng)絡(luò)安全問題,使網(wǎng)絡(luò)空間的安全問題成為一種常態(tài)。
網(wǎng)絡(luò)運行安全問題影響越來越大
一是基于網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)運行的安全問題越來越顯著。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告》,我國網(wǎng)絡(luò)普遍存在著惡意程序傳播、漏洞風(fēng)險、DDoS攻擊、網(wǎng)站安全等方面的安全問題。以網(wǎng)絡(luò)漏洞為例,國家信息安全漏洞共享平臺(CNVD)收錄通用型安全漏洞13083個,同比增長18.2%。其中,高危漏洞收錄數(shù)量為3719個(占28.4%),同比減少13.1%;“零日”漏洞收錄數(shù)量為7107個(占54.3%),同比大幅增長55.1%。2021年上半年,CNVD驗證和處置涉及政府機(jī)構(gòu)、重要信息系統(tǒng)等網(wǎng)絡(luò)安全漏洞事件近1.8萬起。捕獲惡意程序樣本數(shù)量約2307萬個,日均傳播次數(shù)達(dá)582萬余次,涉及惡意程序家族約20.8萬個。馬來西亞通信和數(shù)字部網(wǎng)站數(shù)據(jù)顯示,在馬來西亞,2020 年共發(fā)生了 6512 起網(wǎng)絡(luò)安全事件,而到2021年1—5月,共發(fā)生了4615 起網(wǎng)絡(luò)安全事件,幾乎增長了一倍。因此,世界經(jīng)濟(jì)論壇發(fā)布的《2023年全球風(fēng)險報告》將網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)不安全位列未來兩到十年全球第八大風(fēng)險。
二是網(wǎng)絡(luò)安全問題的影響越來越大。網(wǎng)絡(luò)安全嚴(yán)重影響了社會經(jīng)濟(jì)發(fā)展情況,網(wǎng)絡(luò)安全問題正在給全球經(jīng)濟(jì)帶來巨大的損失。從宏觀上看,網(wǎng)絡(luò)犯罪雜志(Cybercrime Magazine)測算,2015年全球網(wǎng)絡(luò)安全犯罪帶來的成本達(dá)到3萬億美元,而且每年以15%的速率增長,到2025年將達(dá)到10.5萬億美元,將超過全球自然災(zāi)害帶來的損失,也大于全球非法毒品貿(mào)易之和,相當(dāng)于全球的能源市場總價值。而且,網(wǎng)絡(luò)安全犯罪極難預(yù)防,根據(jù)世界經(jīng)濟(jì)論壇發(fā)布的《2020年全球風(fēng)險報告》,網(wǎng)絡(luò)犯罪在美國被發(fā)現(xiàn)和起訴的可能性估計只有0.05%。從微觀上看,企業(yè)數(shù)字化水平不斷提高,大量的業(yè)務(wù)以及生產(chǎn)經(jīng)營活動都依賴于網(wǎng)絡(luò),企業(yè)受到網(wǎng)絡(luò)安全攻擊后,將帶來極為不利的后果。國際商業(yè)機(jī)器公司(IBM)發(fā)現(xiàn),超過一半的網(wǎng)絡(luò)攻擊是針對中小型企業(yè)的,其中60%的企業(yè)在遭遇數(shù)據(jù)泄露或黑客攻擊后六個月內(nèi)倒閉。美國司法部的數(shù)據(jù)表明,所有勒索軟件攻擊中有75%是針對小型企業(yè)的。根據(jù)萬事達(dá)卡(MasterCard)的數(shù)據(jù),66%的中小企業(yè)在過去兩年中至少發(fā)生過一次網(wǎng)絡(luò)事件。即使對大企業(yè)而言,網(wǎng)絡(luò)安全事件也將對其市值帶來不利影響。IBM發(fā)布的《數(shù)據(jù)泄露成本報告》發(fā)現(xiàn),在發(fā)生一次重大網(wǎng)絡(luò)安全事件后,超過70%的企業(yè)的市值將損失5%以上;2022年勒索軟件的頻率增加了41%,平均成本為454萬美元。
數(shù)據(jù)安全問題日益凸顯
數(shù)字技術(shù)的廣泛應(yīng)用,使社會生產(chǎn)、生活、治理等過程全部數(shù)據(jù)化,帶來了數(shù)據(jù)量的爆炸式增長。有數(shù)據(jù)表明[1],未來三年生產(chǎn)的數(shù)據(jù)量將與過去三十年生產(chǎn)的數(shù)據(jù)量相當(dāng),這些數(shù)據(jù)有40%來源于對機(jī)器運行過程數(shù)據(jù)的收集。這使數(shù)據(jù)安全問題日益嚴(yán)重。
個人數(shù)據(jù)安全問題受到了嚴(yán)重挑戰(zhàn)。由于個人生活已全面數(shù)字化、網(wǎng)絡(luò)化,個人數(shù)據(jù)的收集維度快速增長,人工智能疊加大數(shù)據(jù),可能導(dǎo)致部分傳統(tǒng)數(shù)據(jù)匿名化處理失效,匿名數(shù)據(jù)可能被重新識別。隨著人工智能技術(shù)的應(yīng)用,這些數(shù)據(jù)可以用于精準(zhǔn)地預(yù)測、誘導(dǎo)乃至干預(yù)個人行為,將對個人生活乃至國家安全帶來不利影響。例如,當(dāng)前的很多電信詐騙具有利用個人數(shù)據(jù)進(jìn)行精準(zhǔn)詐騙的特征,這使被騙者非常難以預(yù)防。國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示,我國公民個人信息未脫敏展示與非法售賣情況較為嚴(yán)重。監(jiān)測發(fā)現(xiàn),全年共發(fā)生政務(wù)公開、招考公示等平臺未脫敏展示公民個人信息事件107起,涉及未脫敏個人信息近10萬條。而美國聯(lián)邦調(diào)查局(FBI)負(fù)責(zé)個人數(shù)據(jù)安全的特工在2018年公開表示,每個美國公民都應(yīng)該預(yù)料到他們的所有數(shù)據(jù)(個人身份信息)都已被盜,并且在暗網(wǎng)中被售賣。2023年3月25日,美國開放人工智能研究中心(OpenAI)發(fā)布公告,證實部分網(wǎng)絡(luò)安全Plus服務(wù)訂閱用戶的個人隱私和支付信息存在泄露。這導(dǎo)致了81%的用戶擔(dān)心ChatGPT帶來的數(shù)據(jù)安全問題。
商業(yè)數(shù)據(jù)安全問題也越來越嚴(yán)重。企業(yè)數(shù)據(jù)云化、開放化、開源化、大連接均增加了數(shù)據(jù)防護(hù)難度;工業(yè)互聯(lián)網(wǎng)將研發(fā)、生產(chǎn)、營銷、管理等相關(guān)數(shù)據(jù)聚合起來,使數(shù)據(jù)在生產(chǎn)經(jīng)營過程中的重要性日益增加。而隨著供應(yīng)鏈的數(shù)字化、智慧化,供應(yīng)鏈帶來的數(shù)據(jù)安全問題不容忽視。例如,美國連鎖超市塔吉特(Target)和家居公司家得寶(HomeDepot)的數(shù)據(jù)泄露案件,都是從供應(yīng)鏈方開始進(jìn)行數(shù)據(jù)攻擊的。從企業(yè)數(shù)據(jù)泄露來看,很多企業(yè)均收集了大量個人數(shù)據(jù)、供應(yīng)鏈數(shù)據(jù)、經(jīng)濟(jì)分析數(shù)據(jù)等,這些數(shù)據(jù)泄露不但帶來了巨額的經(jīng)濟(jì)成本,也帶來國家安全方面的風(fēng)險。
公共數(shù)據(jù)安全問題影響越來越大。公共部門是最大的數(shù)據(jù)擁有者,其數(shù)據(jù)涉及到大量個人隱私、國家安全等問題,數(shù)據(jù)安全問題影響非常大。根據(jù)英國信息專員辦公室(ICO)報告,衛(wèi)生和教育部門出現(xiàn)數(shù)據(jù)泄露的情況最多。英國警方在過去3年間共發(fā)生12起數(shù)據(jù)泄露事件。這些數(shù)據(jù)泄露事件帶來了非常嚴(yán)重的安全隱患。
虛擬空間秩序安全問題復(fù)雜化
數(shù)字技術(shù)帶來了一個全新的空間——虛擬空間。這個空間存在著無國界、容易擴(kuò)散與滲透、管控難度大等特征,因此,更容易出現(xiàn)秩序失范,從而帶來復(fù)雜的安全問題。2013年11月,習(xí)近平總書記在向十八屆三中全會作關(guān)于《中共中央關(guān)于全面深化改革若干重大問題的決定》的說明中指出:“如何加強(qiáng)網(wǎng)絡(luò)法制建設(shè)和輿論引導(dǎo),確保網(wǎng)絡(luò)信息傳播秩序和國家安全、社會穩(wěn)定,已經(jīng)成為擺在我們面前的現(xiàn)實突出問題”。
虛擬空間秩序安全正在成為國家安全的重要組成部分。2022年11月,在羅馬舉行的北約網(wǎng)絡(luò)防御承諾會議上,北約秘書長延斯·斯托爾滕貝格表示:“網(wǎng)絡(luò)現(xiàn)在是一個與陸地、海洋、空中和太空同等的作戰(zhàn)領(lǐng)域”。歐盟網(wǎng)絡(luò)安全局 (ENISA)認(rèn)為,網(wǎng)絡(luò)間諜活動是一種日益嚴(yán)重的威脅,它不僅影響各個國家政府,而且影響經(jīng)濟(jì)部門,甚至影響對特定國家重要的戰(zhàn)略參與者。
虛擬空間的數(shù)據(jù)信息流動容易失序。在網(wǎng)絡(luò)空間中,每個參與者都可以成為信息內(nèi)容的生產(chǎn)者,這導(dǎo)致了虛擬空間中信息泛濫,壟斷了消費者注意力的大型平臺或其他機(jī)構(gòu),在信息分發(fā)方面具有優(yōu)勢,幾乎可以決定哪些內(nèi)容能夠在虛擬空間中快速傳播,從而實現(xiàn)信息操縱。OpenAI的研究人員Lilian Weng和OSoMe通過模擬發(fā)現(xiàn),信息分享的次數(shù)服從冪律分布,例如,信息被分享3次的可能性比被分享一次的可能性低大約9倍。這意味著在虛擬空間中,信息容易被操縱,內(nèi)容分發(fā)主體可以控制內(nèi)容的分發(fā),這會影響社會輿論,放大偏見。在社會治理體系中,虛擬空間成為了一柄雙刃劍,一方面可以實現(xiàn)更高效更廣泛的輿論監(jiān)督,另一方面,這種虛擬空間的內(nèi)容及其傳播非常容易被滲透,從而對社會公眾進(jìn)行思想攻擊或錯誤引導(dǎo),這將給國家安全帶來不利影響。
牛津大學(xué)牛津互聯(lián)網(wǎng)研究所 (OII) 發(fā)現(xiàn),通過社交媒體平臺操縱輿論已成為對公共生活的嚴(yán)重威脅,各種機(jī)構(gòu)利用社交媒體平臺傳播垃圾新聞和虛假信息,破壞人們對媒體、公共機(jī)構(gòu)和科學(xué)的信任。而元宇宙的興起,更可以通過劇本化、場景化、沉浸式的方式,進(jìn)行思想、文化、意識形態(tài)等多方面的滲透,使社會經(jīng)濟(jì)政治更容易受到外來力量的干預(yù),帶來了新的安全問題。
數(shù)字安全的新趨勢:數(shù)字安全向物理世界傳導(dǎo)
數(shù)字安全通過供應(yīng)鏈傳導(dǎo)到整個經(jīng)濟(jì)體系
數(shù)字技術(shù)已全面滲透生產(chǎn)、交換、分配和消費的每一個環(huán)節(jié),對一二三產(chǎn)的生產(chǎn)和經(jīng)營產(chǎn)生了巨大的影響。數(shù)字技術(shù)的強(qiáng)滲透性,使數(shù)字安全能夠通過供應(yīng)鏈傳導(dǎo)到整個經(jīng)濟(jì)體系。工業(yè)互聯(lián)網(wǎng)的廣泛應(yīng)用,使整個生產(chǎn)經(jīng)營流程數(shù)字化,企業(yè)通過數(shù)字技術(shù)來全面控制企業(yè)的研發(fā)、設(shè)計、生產(chǎn)、管理、營銷、售后服務(wù)等全部流程,當(dāng)受到網(wǎng)絡(luò)攻擊時,會對企業(yè)的物理生產(chǎn)經(jīng)營過程產(chǎn)生重大風(fēng)險。當(dāng)前,對工業(yè)互聯(lián)網(wǎng)領(lǐng)域的安全問題仍重視不足,風(fēng)險評估、安全防護(hù)、安全管控等方面的技術(shù)和意識仍較薄弱[2]。CNCERT監(jiān)測發(fā)現(xiàn),我國境內(nèi)仍有大量暴露在互聯(lián)網(wǎng)的工業(yè)控制設(shè)備和系統(tǒng),存在高危漏洞的系統(tǒng)涉及煤炭、石油、電力、城市軌道交通等重點行業(yè),覆蓋企業(yè)生產(chǎn)管理、企業(yè)經(jīng)營管理、政府監(jiān)管、工業(yè)云平臺等。實體生產(chǎn)領(lǐng)域往往具有連續(xù)性,一旦某個環(huán)節(jié)受到網(wǎng)絡(luò)攻擊而產(chǎn)生事故,將對整個生產(chǎn)流程帶來影響,從而使損失進(jìn)一步擴(kuò)大。
數(shù)字技術(shù)推動了供應(yīng)鏈的數(shù)字化與智慧化。供應(yīng)鏈的數(shù)字化使不同的企業(yè)主體之間能夠?qū)崿F(xiàn)數(shù)據(jù)的互聯(lián)互通,這要求供應(yīng)鏈中的不同企業(yè)向其他企業(yè)提供接口,推動供應(yīng)鏈的緊密集成,實現(xiàn)自動訂購和自動發(fā)票開具,甚至自動結(jié)算支付等功能。這極大地提高了供應(yīng)鏈的效率。但是,由于供應(yīng)鏈中各個主體之間的安全防護(hù)能力之間有著巨大的差異,這使供應(yīng)鏈成為了針對生產(chǎn)領(lǐng)域進(jìn)行攻擊的重點。例如,在Target導(dǎo)致1.1 億條數(shù)據(jù)記錄丟失的惡性事件中,攻擊者就是通過空調(diào)服務(wù)供應(yīng)商 Fazio Mechanical Services的接口,侵入Target的網(wǎng)絡(luò),并最終非法訪問并獲取其數(shù)據(jù),導(dǎo)致了數(shù)據(jù)泄露。
現(xiàn)有的研究表明,供應(yīng)鏈攻擊正在快速增長。歐盟網(wǎng)絡(luò)安全局 (ENISA) 的一項研究表明[3],2021年,利用供應(yīng)鏈中的第三方實施侵入的網(wǎng)絡(luò)事件占比達(dá)17%,而2020年這一比例不到1%?!?022年數(shù)據(jù)泄露成本報告》顯示,2022年,供應(yīng)鏈攻擊的數(shù)量已超過基于惡意軟件攻擊數(shù)量的40%,供應(yīng)鏈攻擊導(dǎo)致的數(shù)據(jù)泄露數(shù)量超過了與惡意軟件相關(guān)的危害。根據(jù)Argon Security的一項研究,2021年,供應(yīng)鏈攻擊比2020年增長了300%以上。一項針對全球1000名首席信息官(CIO)的調(diào)查表明,82%表示他們的組織容易受到針對供應(yīng)鏈軟件的網(wǎng)絡(luò)攻擊。開源軟件中所存在的開源漏洞正在成為一個攻擊的重點。2021年針對開源軟件的供應(yīng)鏈攻擊增加了650%。針對供應(yīng)鏈中第三方所使用的開源軟件攻擊的防護(hù)難度更大,根據(jù)靈跡軟件服務(wù)有限公司(Dynatrace)的研究,61%的調(diào)查受訪者表示,使用第三方或開源代碼會使識別和解決應(yīng)用程序漏洞變得困難,這是因為大部分使用開源軟件的企業(yè)缺乏具有高安全度的策略。
因此,網(wǎng)絡(luò)攻擊是供應(yīng)鏈安全風(fēng)險中的重大挑戰(zhàn),維護(hù)供應(yīng)鏈各個節(jié)點的安全將成為企業(yè)供應(yīng)鏈風(fēng)險管控的核心目標(biāo)之一。畢馬威(KPMG)的調(diào)查表明,近一半的全球組織將網(wǎng)絡(luò)安全視為未來3年供應(yīng)鏈的重要運營挑戰(zhàn)。
系統(tǒng)性風(fēng)險:數(shù)字安全的新沖擊
數(shù)字安全對社會經(jīng)濟(jì)生活越來越重要,其一旦產(chǎn)生風(fēng)險,將具有系統(tǒng)重要性。蘭德公司的研究人員提出,可以借鑒金融領(lǐng)域的“系統(tǒng)性風(fēng)險”的概念,將其應(yīng)用到數(shù)字經(jīng)濟(jì)領(lǐng)域(RAND Corporation, 2020),從而研究數(shù)字安全問題帶來的系統(tǒng)性風(fēng)險[4]。數(shù)字安全的確已成為系統(tǒng)性風(fēng)險的重要來源,主要體現(xiàn)在以下幾個方面:
一是級聯(lián)風(fēng)險。這是蘭德公司研究人員的核心觀點。他們認(rèn)為,全球經(jīng)濟(jì)的許多部門都依賴同一套網(wǎng)絡(luò)關(guān)鍵技術(shù)產(chǎn)品和服務(wù),將風(fēng)險集中在未知數(shù)量的可能故障點上。這種系統(tǒng)性風(fēng)險并不能通過個人或者單一組織在安全等方面的措施強(qiáng)化而得到緩解,而是經(jīng)由某一網(wǎng)絡(luò)安全事件觸發(fā),通過網(wǎng)絡(luò)通路級聯(lián)放大,進(jìn)而產(chǎn)生風(fēng)險的網(wǎng)絡(luò)效應(yīng),形成系統(tǒng)性風(fēng)險事件。觸發(fā)器—網(wǎng)絡(luò)通路—網(wǎng)絡(luò)效應(yīng),三個因素獨立或一起,從而產(chǎn)生系統(tǒng)性風(fēng)險。
二是系統(tǒng)重要性平臺及其風(fēng)險。隨著數(shù)字經(jīng)濟(jì)發(fā)展,數(shù)字平臺的地位越來越重要,平臺不但匯聚了大量的個人用戶及企業(yè)用戶,還積累了海量的數(shù)據(jù),提供著大量與經(jīng)濟(jì)社會運行相關(guān)的基礎(chǔ)服務(wù)。與系統(tǒng)重要性金融機(jī)構(gòu)相似,一些在行業(yè)內(nèi)具備重要地位的數(shù)字平臺也對社會經(jīng)濟(jì)發(fā)展具有“大而不能倒”的重要作用,此類數(shù)字平臺往往提供難以替代的關(guān)鍵服務(wù),很難要求用戶停止使用其服務(wù)或轉(zhuǎn)換其他平臺。一旦這類平臺出現(xiàn)安全問題,就會導(dǎo)致系統(tǒng)性風(fēng)險。世界經(jīng)濟(jì)論壇(WEF)將系統(tǒng)性網(wǎng)絡(luò)風(fēng)險定義為:“關(guān)鍵基礎(chǔ)設(shè)施生態(tài)系統(tǒng)單個組成部分的網(wǎng)絡(luò)事件(攻擊或其他不良事件)將導(dǎo)致重大延遲、拒絕、故障、中斷或損失的風(fēng)險,從而使服務(wù)不僅在原始組成部分受到影響,而且后果還級聯(lián)到相關(guān)的(邏輯和/或地理上)生態(tài)系統(tǒng)組成部分,對公共衛(wèi)生或安全、經(jīng)濟(jì)保障或國家安全造成重大不利影響”。Dean Curran (2020) 進(jìn)而提出[5],數(shù)字經(jīng)濟(jì)如同金融一樣,成為社會聯(lián)結(jié)的重要中介,在運行過程中有可能威脅到整個經(jīng)濟(jì)的運作。
三是關(guān)鍵基礎(chǔ)設(shè)施的數(shù)字安全具有系統(tǒng)重要性。關(guān)鍵基礎(chǔ)設(shè)施包括各種網(wǎng)絡(luò)基礎(chǔ)設(shè)施、電力設(shè)施等對社會經(jīng)濟(jì)安全具有重要意義與價值的基礎(chǔ)設(shè)施,在數(shù)字化的浪潮下,這些基礎(chǔ)設(shè)施容易受到數(shù)字攻擊。通過遠(yuǎn)程網(wǎng)絡(luò)方式攻擊基礎(chǔ)設(shè)施,已成為數(shù)字時代的一個新的網(wǎng)絡(luò)安全問題。IBM根據(jù)美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)對關(guān)鍵基礎(chǔ)設(shè)施的定義,發(fā)現(xiàn)22%的針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊是由人為錯誤引起的,12%是由勒索軟件攻擊引起的,17%是由供應(yīng)鏈攻擊引起的。在現(xiàn)實中,針對電網(wǎng)、鐵路等基礎(chǔ)設(shè)施的數(shù)字攻擊已時有發(fā)生。
應(yīng)對數(shù)字安全新態(tài)勢的政策建議
一是要加大數(shù)字核心技術(shù)的研發(fā)力度,推動數(shù)字安全產(chǎn)業(yè)化發(fā)展。技術(shù)是數(shù)字安全的“命門”。無論是快速應(yīng)對數(shù)字安全的威脅,還是提高對數(shù)字安全的預(yù)防能力,歸根到底,都需要核心關(guān)鍵技術(shù)進(jìn)行支撐。習(xí)近平總書記2016年4月19日在網(wǎng)絡(luò)安全和信息化工作座談會上的講話明確提出“要以技術(shù)對技術(shù),以技術(shù)管技術(shù),做到魔高一尺、道高一丈”。因此,在國家層面要進(jìn)一步支持?jǐn)?shù)字安全技術(shù)的研發(fā),包括底層的密碼技術(shù)、操作系統(tǒng)安全技術(shù)、芯片安全技術(shù),到應(yīng)用層的網(wǎng)絡(luò)運行安全技術(shù)、工業(yè)軟件安全技術(shù)等,并推動人工智能、區(qū)塊鏈等技術(shù)在數(shù)字安全領(lǐng)域的廣泛應(yīng)用,從而建立起保障數(shù)字安全的技術(shù)體系。在技術(shù)創(chuàng)新的基礎(chǔ)上,鼓勵數(shù)字安全產(chǎn)業(yè)化發(fā)展。我國數(shù)字安全產(chǎn)業(yè)規(guī)模偏小,原始創(chuàng)新不足,高端供給不夠,領(lǐng)軍人才缺乏,是制約我國數(shù)字安全的重要因素。要通過稅收、人才、技術(shù)、市場準(zhǔn)入等多方面的綜合支持政策,推動數(shù)字安全產(chǎn)業(yè)做大做強(qiáng)。
二是大力推動數(shù)據(jù)安全制度建設(shè)。數(shù)據(jù)安全既與技術(shù)有關(guān),也與制度有關(guān)。要建立起數(shù)據(jù)安全的相關(guān)制度。在數(shù)據(jù)作為生產(chǎn)要素的前提下,進(jìn)一步完善數(shù)據(jù)保護(hù)的制度架構(gòu)。要建立起平臺企業(yè)、應(yīng)用程序等相關(guān)主體收集個人數(shù)據(jù)的規(guī)則體系,盡快明確數(shù)據(jù)分級分類保護(hù)的具體內(nèi)容、標(biāo)準(zhǔn),做好隱私、信息等數(shù)據(jù)區(qū)分和保護(hù)。建立工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等非個人數(shù)據(jù)的收集、使用、共享、交易等方面的規(guī)則,明確非個人數(shù)據(jù)的安全防護(hù)標(biāo)準(zhǔn)。進(jìn)一步明確國家數(shù)據(jù)局在數(shù)據(jù)保護(hù)方面的職能,與第三方機(jī)構(gòu)協(xié)同,分行業(yè)、分地區(qū)開展企業(yè)數(shù)據(jù)保護(hù)評估,倒逼企業(yè)強(qiáng)化應(yīng)對數(shù)據(jù)風(fēng)險的組織管理建設(shè)和技術(shù)實力,鼓勵企業(yè)自主探索數(shù)據(jù)保護(hù)路徑,實施多元化監(jiān)管措施。探索區(qū)塊鏈、隱私計算等新技術(shù)在數(shù)據(jù)保護(hù)中的應(yīng)用,可率先將此類技術(shù)運用到高度機(jī)密、對數(shù)據(jù)傳輸效率要求相對較低,可承受成本更高的部分政府、企業(yè)核心數(shù)據(jù)保護(hù)上。
三是建立起高效有序的數(shù)字虛擬空間秩序維護(hù)機(jī)制和安全機(jī)制。虛擬空間的秩序安全問題是一個涉及多維度、多主體、多目標(biāo)、多手段、多視角,且涉及到國際國內(nèi)的復(fù)雜問題,需要在“安全、發(fā)展、權(quán)利”等多重目標(biāo)之間進(jìn)行平衡。一方面,應(yīng)該看到虛擬空間的失序,本身會給其帶來安全隱患,而且這種虛擬空間的失序?qū)砀鞣N失范行為,如侵犯個人隱私、各種類型的網(wǎng)絡(luò)暴力、網(wǎng)絡(luò)排斥、網(wǎng)絡(luò)謠言、虛擬新聞,乃至于形形色色的網(wǎng)絡(luò)犯罪,都將威脅虛擬空間的運行,對國家安全造成損害。另一方面,對虛擬空間失序行為的治理,并非政府單方面的行為,不能采取純粹剛性的方法,而是要采取富有彈性的手段和方式。因此,需要協(xié)同政府、網(wǎng)民、平臺、各種虛擬組織等各個主體的治理行為,推動網(wǎng)絡(luò)“技治、法治、自治”三者的融合互動,使“工具、法律、自律”三者之間達(dá)到統(tǒng)一,從而更好地維護(hù)虛擬空間的秩序安全。要推動各個治理主體,包括政府、平臺乃至于社會公眾,積極運用人工智能等前沿數(shù)字技術(shù),共同對虛擬空間的秩序安全進(jìn)行維護(hù)。例如,各個主體要積極利用人工智能自然語言技術(shù),對虛擬空間的各種謠言、虛假新聞、極端言論等進(jìn)行深度治理,從而避免這些內(nèi)容泛濫,影響虛擬空間的安全,并進(jìn)一步影響物理空間的安全。其次,建立互聯(lián)網(wǎng)平臺、用戶、第三方機(jī)構(gòu)、政府等多方面參與的虛擬空間秩序安全機(jī)制。尤其要重視平臺等新主體維護(hù)虛擬空間秩序安全方面的作用。平臺在關(guān)于虛擬空間的規(guī)則制訂、內(nèi)容框架、實施機(jī)制等方面,都要考慮到安全因素。
四是關(guān)注供應(yīng)鏈數(shù)字安全,提升中小企業(yè)數(shù)字安全水平和防護(hù)能力。工業(yè)互聯(lián)網(wǎng)快速發(fā)展,數(shù)字技術(shù)全面滲透到供應(yīng)鏈產(chǎn)業(yè)鏈,帶來了供應(yīng)鏈產(chǎn)業(yè)鏈的數(shù)字安全問題。首先要提高對供應(yīng)鏈數(shù)字安全的認(rèn)識。當(dāng)前,對網(wǎng)絡(luò)運行安全、數(shù)據(jù)安全、虛擬空間秩序安全等問題已形成共識,且有大量的制度與技術(shù)措施已在運行中。但在討論供應(yīng)鏈安全時,重點關(guān)注的是供應(yīng)鏈的物理安全問題,對供應(yīng)鏈數(shù)字安全問題仍缺乏系統(tǒng)性的認(rèn)識。因此,無論是政府部門,還是供應(yīng)鏈的主導(dǎo)企業(yè),都要將供應(yīng)鏈數(shù)字安全問題放到更高的地位。其次,要通過各方協(xié)同,推動建立起供應(yīng)鏈軟件、數(shù)據(jù)等安全標(biāo)準(zhǔn)體系。供應(yīng)鏈軟件的接口不一,數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一,已成為供應(yīng)鏈數(shù)字攻擊的重要入口。因此,從安全的角度出發(fā),建立起接口、數(shù)據(jù)、軟件等各方面的標(biāo)準(zhǔn),有利于提高供應(yīng)鏈數(shù)字安全水平。最后,要重視中小企業(yè)數(shù)字安全水平。經(jīng)濟(jì)合作與發(fā)展組織(OECD)2021年的研究指出,中小企業(yè)的數(shù)字安全能力與大中型企業(yè)之間仍存在著巨大的差距,2015年歐洲只有30%的中小企業(yè)制定了正式的安全政策,而大型企業(yè)中這一比例接近70%,在整個OECD國家,大型和小型企業(yè)之間的數(shù)據(jù)安全能力與政策執(zhí)行方面的平均差距為45%,最終導(dǎo)致中小企業(yè)成為供應(yīng)鏈安全的薄弱環(huán)節(jié)。在提高中小企業(yè)數(shù)字安全水平方面,推動中小企業(yè)上云是一個重要的環(huán)節(jié),基于云原生的業(yè)務(wù)體系,將安全架構(gòu)于云上,比中小企業(yè)自身有著更高的安全防護(hù)能力。
五是建立起數(shù)字安全系統(tǒng)性風(fēng)險預(yù)防機(jī)制。數(shù)字安全所帶來的系統(tǒng)性風(fēng)險是一個全新的問題。首先要對數(shù)字安全所帶來的系統(tǒng)性風(fēng)險進(jìn)行深入研究,明確系統(tǒng)性風(fēng)險的要素和條件,建立可能觸發(fā)系統(tǒng)性風(fēng)險的網(wǎng)絡(luò)安全事件預(yù)警機(jī)制。其次明確數(shù)字經(jīng)濟(jì)風(fēng)險傳導(dǎo)渠道,識別具有系統(tǒng)重要性的數(shù)字實體并建立起相應(yīng)的監(jiān)管制度。再次,加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施協(xié)同防護(hù)。尤其是要重視關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全、數(shù)據(jù)安全,將其與物理安全放到同等重要的地位。最后,要建立起數(shù)字安全系統(tǒng)性風(fēng)險預(yù)防的政府部門聯(lián)動機(jī)制。數(shù)字安全引發(fā)的系統(tǒng)性風(fēng)險,不但涉及到數(shù)字主管部門,也涉及到其他相關(guān)政府主管部門,只有通過這些部門間的協(xié)同,才能使系統(tǒng)性風(fēng)險預(yù)防機(jī)制更為高效。
六是積極參與數(shù)字安全全球協(xié)同機(jī)制。由于虛擬空間的無界性,以及數(shù)字技術(shù)的快速傳播性與滲透性等特點,數(shù)字安全已成為全球共同的問題。但是,應(yīng)該看到,在數(shù)字安全協(xié)同方面,各國并沒有完全達(dá)成一致,個別國家在數(shù)字安全方面追求絕對安全,并將數(shù)字安全問題泛化、武器化,實行“長臂管轄”的防御機(jī)制,給數(shù)字安全全球協(xié)同機(jī)制的建設(shè)帶來了阻力。我國已向國際社會發(fā)起《全球數(shù)據(jù)安全倡議》,積極申請加入《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)、《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(DEPA),通過這些國際合作,積極參與數(shù)字安全全球協(xié)同機(jī)制,從而更好地應(yīng)對數(shù)字安全所面臨的新態(tài)勢、新問題。
【本文作者為中國社會科學(xué)院財經(jīng)戰(zhàn)略研究院研究員,中國社會科學(xué)院大學(xué)教授;本文系中國社會科學(xué)院創(chuàng)新工程項目“防止資本無序擴(kuò)張——基于數(shù)字平臺的理論與實證研究”(項目編號:2022CJYB03)階段性成果】
注釋
[1]Pepe Zhang,Data 4.0–Rethinking rules for a data-driven economy,https://www.weforum.org/agenda/2022/01/data-4-0-rethinking-rules-for-a-data-driven-economy/,Jan 31, 2022
[2][3]James Gordon,How to reduce cyber attacks in the global supply chain, https://www.raconteur.net/risk-regulation/how-to-reduce-cyber-attacks-in-the-global-supply-chain/
[4]RAND Corporation,Systemic Risk in the Broad Economy--Interfirm Networks and Shocks in the U.S. Economy,https://www.rand.org/pubs/research_reports/RR4185.html
[5]Dean Curran (2020) Connecting risk: Systemic risk from finance to the digital, Economy and Society, 49:2, 239-264.
責(zé)編:程靜靜/美編:石 玉