文│中国现代国际关系研究院副研究员 张明
长期以来,网络安全工作过于强调技术安全,而忽视了以人为中心的安全文化建设,实际上,多数网络攻击可以归结于人的疏忽和过失。例如,近年频发的网络勒索攻击多源于用户安全意识懈怠引发的网络钓鱼事件。简言之,网络安全文化是一个组织的网络安全理念、习惯和社会行为。从社会层面看,网络安全文化就是我国《网络安全法》所指出的“全社会共同参与促进网络安全的良好环境”。从国际层面看,2002 年 12 月 20日,联合国大国通过第 57/239 号决议,提出从意识、规范、危机响应、风险评估等要素入手培育全球网络安全文化。网络社会是高风险社会,从危机管理视角阐释网络安全文化,依据危机管理流程谋划网络安全文化建设举措,将有助于构建我国更具韧性的网络安全文化。
一、将危机意识融入网络安全文化建设的必要性
人是网络安全生态系统中最脆弱因素和最大风险源,人的网络安全意识和能力建设至关重要。目前,网络安全文化并未形成清晰、统一的概念和范围,相关研究和实践还处于不断探索阶段。开放而非安全的互联网设计初衷,加之网络空间越发复杂的国家博弈、恐怖犯罪、黑客攻击、技术漏洞等威胁,使网络空间必然处于一种风险丛生、事故频发的常态。长期来看,将危机意识和危机响应能力建设植入全民网络安全文化,可以提升社会应对网络突发事件的承受力。
传统安全、非传统安全威胁日益交织于网络空间,网络事故已从“黑天鹅”发展为“灰犀牛”。以 2022 年上半年为例,网络空间安全态势延续了2021 年以来的严峻态势。一是国家间网络争端热度不减。5 月 9 日,俄罗斯电视台在胜利阅兵日被黑客攻击,播放界面显示了“恐吓式”反战信息,而且,俄罗斯的主要电视频道、最大搜索网站Yandex、最大视频网站 RuTube 均受到网络攻击的影响;6 月 1 日,美国网络司令部司令兼国家安全局局长保罗·中曾根(Paul Nakasone)首次承认,在俄乌克冲突中采取了进攻性网络行动帮助乌克兰。二是基础设施屡遭网络攻击。4 月初,乌克兰计算机应急响应小组(CERT)披露,成功阻止了黑客组织沙虫(Sandworm)针对乌克兰能源工控设施发起的破坏性网络攻击;5 月 6 日,俄罗斯联邦储蓄银行(Sberbank)遭遇大规模分布式拒绝服务(DDoS)攻击。三是黑客组织犯罪依然猖獗。4 月18 日,哥斯达黎加财政部遭 Conti 勒索软件攻击,多个政府网络系统瘫痪,大量敏感数据被盗;4 月22 日,巴西里约热内卢州财政系统遭 LockBit 勒索软件攻击,420GB 数据遭窃取。各国军政机构、基础设施和企业公司都无法置身网络攻击之外,网络安全事故不是能否发生的问题,而是何时何地发生的问题。
网络安全管理正尝试纳入零信任、网络韧性等新观念,网络安全文化构建需与之相适应。随着云计算、大数据、物联网、移动互联网等新兴技术兴起,数字化转型使当今技术生态系统更加复杂,传统安全策略面临调整,零信任和网络韧性等新架构、新理念渐成趋势。零信任策略基于“永不信任,始终验证”理念,通过持续风险和信任评估判断安全状况,突破了传统的“城堡和护城河”式网络安全防护方法。美国将实施零信任列为优先事项并发布相关标准、指南促进网络安全转型。2021 年 2 月,美国国家安全局(NSA)发布《拥抱零信任安全模型》(Embracing a Zero Trust Security Model),同时,美国国防信息系统局(DISA)发布《国防部零信任参考架构》(Department of Defense Zero Trust Reference Architecture)。网络韧性将危机管理的社会韧性理念与网络事故管理相结合,不再追求根除防不胜防的网络事故,而强调面对事故的恢复能力。美商务部国家标准与技术研究所(NIST)将“网络韧性”定义为当网络资源遭遇打击、攻击或破坏时,网络资源使用者所具备的预测、承受、恢复和适应的能力。2021 年 5 月召开的国际信息安全大会(RSA Conference)的主题即为“网络韧性”。近年来,网络攻击手段更多样,数据泄露、勒索软件、高级持续性威胁(APT)攻击等安全事件频发,准确预测攻击者的时间和方式更加困难,提升网络韧性可让系统免于根本性损坏,确保业务持续运行。
总之,零信任、网络韧性等理念超越了“筑墙”“抵御”等传统网络安全手段,强调准备、响应、恢复的全流程介入,确保网络空间不出现系统性、灾难性后果。因此,网络安全文化中的网络安全意识和能力建设也要适应网络安全理念转型,构建涵盖危机前风险规避、危机中事件响应和危机后恢复提升的全流程构建模式。
二、基于危机管理视角的网络安全文化建设
危机管理分为危机前、中、后三个阶段,分别对应危机准备、危机响应和危机恢复等策略。危机准备阶段的目标是预防和缩减网络安全风险,主要工作包括风险评估、应急预案制定、培训、应急演练等;危机响应阶段的目标是控制危机蔓延,主要工作包括指挥救援、信息沟通、媒体管理等;危机恢复阶段的目标是灾害恢复和弥补漏洞,包括灾后重建、心理辅导等。当前,危机管理强调部门协调、公私合作和韧性能力建设,致力于构建“全流程”“全政府”管理模式。
培育强有力的网络安全文化就要塑造和提升民众对网络事故的辨别力、响应力和恢复力。从宗旨和目标上考虑,网络安全文化建设应突出两点:一是主动防御,承认网络事故难以避免,从单纯降低网络脆弱性提升到网络系统恢复能力建设;二是系统性,日常安全教育与应急响应教育相结合,构建网络安全生态系统。为提升全社会的网络安全文化水平,在不同危机阶段,需要实施不同举措。
(一)网络事故前的准备意识和能力建设
网络事故前的准备意识和能力建设主要是网络安全的日常教育,也是当前各国网络安全文化建设的主要领域。根据美国联邦紧急事务管理局(FEMA)的说法,为应对网络安全威胁,应该建立“一种网络准备文化”(a culture of cyber preparedness),相关各方制定网络安全方案、组织培训和演练等。美欧等网络发达国家和地区针对网络事故发生前阶段的网络安全文化培育主要包括以下内容。
一是网络安全风险教育,主要包括识别、预防和缩减网络安全风险。当前,主要网络大国都采取了机制化的教育宣传做法。2004 年,美国启动“网络安全意识月”;2012 年,欧盟启动“网络安全月”(ESCM);2014 年,中国启动“国家网络安全宣传周”。从理论上看,可以借用危机管理的风险缩减“ABC 原则”从如下方面开展网络安全意识教育:远离(away)措施,即远离网络安全风险源,如加密技术、入侵检测、病毒识别与清除技术等;改善(better)措施,即改善网络工作环境,如鼓励采用安全性更高的信息技术产品;相容(compatible)措施,即设计和构造符合网络安全要求的工作环境,如实施关键基础设施等级保护制度。
二是网络事故的灾害准备教育,主要包括制定响应预案和组织演练等。在预案制定方面,主要大国都已经出台专门的网络事故响应预案。2016年 7 月,美国奥巴马政府发布第 41 号总统令《美国网络事件协调》(United States Cyber Incident Coordination),明确了美联邦政府开展网络事件响应遵循的原则;2017 年 1 月,中国国家互联网信息办公室印发了《国家网络安全事件应急预案》,指出网络安全事件预防工作包括风险评估、日常管理、演练、宣传、培训等措施。在我国网络安全文化建设中,由于文件发放范围所限,社会各界对网络安全事故响应预案的熟悉度有待提高。未来,应加大预案的宣传力度,指导机构、个人参与配合政府网络事故响应行动。在开展网络攻防实战演练方面,各国强调政府、学界、产业界、非政府组织等全员参与网络安全演练,提升全社会网络安全准备水平和协调能力,如美国“网络风暴”演习、北约“锁盾”演习、欧盟“网络欧洲”演习等,以提高危机应对能力和国家关键信息基础设施保护水平。
(二)网络事故中的响应意识和能力建设
此阶段对应危机管理流程中的危机响应阶段,重点是将民众所具备的网络安全意识转化为事故响应行动。一旦爆发网络安全事故,组织或个人受害者应能准确迅速联系到政府应急响应部门,上报事件并得到专业帮助,防止危机事件蔓延扩散。因此,领导体制和运行机制建设成为提升全民网络事故响应意识和能力的基础,以统筹资源、协调力量,确保积极的网络安全文化转化为高效的响应行动。2018 年 11 月,美国总统特朗普签署法案成立网络安全与基础设施安全局(CISA),以强化美国政府整体防护和网络安全水平,协调各州及公、私部门之间的网络安全行动。2021 年 6 月,欧盟委员会宣布成立联合网络部门(Joint Cyber Unit),负责协调针对大规模网络攻击的联合响应,成员机构包括欧盟网络安全局(ENISA)、欧盟计算机应急响应小组(CERT-EU)、欧洲打击网络犯罪中心(EC3)、计算机安全事故应急小组(CSIRT)等。随着网络安全管理的组织体系优化,美欧“全社会参与”“全政府协调”网络事故管理模式逐步建立,网络安全文化水平随之提升。
(三)网络事故后的恢复意识和能力建设
作为网络安全文化构建的学习提升阶段,此阶段对应危机管理流程中的危机后重建,重点是提升社会的灾害恢复力和承受力。此阶段应着眼网络安全文化建设的长期目标,在开展灾后恢复同时,提升社会应对网络事故的心理承受力和延展网络安全文化内涵。一方面,可以通过数据、系统恢复和设施重建等短期工作止损;另一方面,可以通过教育、培训等长期工作,提升网络事故的社会心理承受力、民众心理“容灾”能力。在具体举措方面,例如,可以结合重大网络安全事故案例,在开展警示教育的同时,查漏补缺、不断完善网络安全措施。此阶段的事故评估总结与网络事故前的风险管理存在一定重合和衔接,因此,网络安全文化构建成为一个不断往复、逐步提升的系统工程。
三、未来的挑战及应对
培育积极的全民网络安全文化是一项基础性、长期性任务,需要从政策法规、组织机构和运行机制等入手,进行全局谋划并有序推进。
一是网络安全理念转变。当前的网络安全态势发展表明,网络安全事故无法根除,网络安全风险内外丛生。因此,提升网络安全文化应从降低脆弱性提升为增强韧性,从“御敌于院墙之外”边界安全理念向“内外兼防”的零信任架构拓展。
二是部门间统筹协调。网络安全文化是全社会参与的系统工程,各部门既要职责分工明确,也要相互配合助力。2022 年 1 月发布的《中国企业网络安全意识教育现状与发展报告》调研数据显示,22% 受访者认为网络安全意识教育的最大难点来源于部门协同困难。美欧等的做法是设立主管部门,统筹政府内外的涉网络机构,整体推进网络安全文化建设。
三是网络威胁信息共享。不同政府网络管理机构,尤其是政府与私营部门之间,通常存在网络安全信息共享交流机制不完善、信息共享不及时等问题,这不利于形成健康的网络安全文化。对此,美国政府和国会将网络安全立法的重点放在促进网络安全信息共享,推动政府部门和私人部门之间的公私合作,共建积极的网络安全文化。
当前,中国正从网络大国向网络强国迈进,须稳步推进网络安全意识教育和能力培训,建立先进的网络安全文化。展望未来,网络安全文化构建仍面临诸多挑战,需要从网络安全理念、部门间协同和网络威胁信息共享等方面谋划应对。
—-数据来源:中国信息安全 微信公众号