在過(guò)去30年中，政府、企業(yè)和公眾日益依賴(lài)互聯(lián)網(wǎng)和信息通信技術(shù)。我們?cè)O(shè)想的是，電力和電信等公民基本服務(wù)將永遠(yuǎn)保持運(yùn)轉(zhuǎn)，商品、服務(wù)、數(shù)據(jù)和資本也將毫無(wú)阻滯的跨國(guó)流通。然而，許多網(wǎng)絡(luò)系統(tǒng)和基礎(chǔ)設(shè)施是十分脆弱的，而且這些脆弱性正在被利用。所有類(lèi)型的組織都在經(jīng)歷與日俱增的數(shù)據(jù)泄露、網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)服務(wù)中斷和財(cái)產(chǎn)損失等事件，總的來(lái)說(shuō)，我們的不安全感正在增加。100多個(gè)國(guó)家，以及迅速增長(zhǎng)的非國(guó)家行為體和個(gè)人都有能力對(duì)政府和各個(gè)行業(yè)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成損害。不同的行為體的目標(biāo)也各不相同，其分類(lèi)包括：政治激進(jìn)主義；欺詐和電子犯罪；盜用知識(shí)產(chǎn)權(quán)；間諜活動(dòng)；中斷服務(wù)；以及破壞財(cái)產(chǎn)和資產(chǎn)安全。國(guó)家和私營(yíng)部門(mén)都處在一個(gè)缺乏網(wǎng)絡(luò)安全的世界，所有的政府、企業(yè)和個(gè)人都面臨網(wǎng)絡(luò)風(fēng)險(xiǎn)，并在一定程度上分擔(dān)管控這些風(fēng)險(xiǎn)的責(zé)任。近期發(fā)生的事件表明，各國(guó)政府和企業(yè)必須首先認(rèn)識(shí)到，縝密的風(fēng)險(xiǎn)管理方法必須是其戰(zhàn)略和數(shù)字議程的核心，而不采取行動(dòng)的風(fēng)險(xiǎn)太大了。

風(fēng)險(xiǎn)是以時(shí)間來(lái)定義的，即當(dāng)某物或某人暴露在危險(xiǎn)、傷害中，或遭受損失時(shí)。風(fēng)險(xiǎn)的條件可以根據(jù)至少兩個(gè)行為者所采取的行動(dòng)而發(fā)生變化：獲得并使用某種能力來(lái)進(jìn)行破壞的攻擊者，以及能夠采取預(yù)防措施以抵御或挫敗破壞活動(dòng)的攻擊目標(biāo)。我們對(duì)數(shù)字世界的依賴(lài)每天都在增加，但對(duì)這種依賴(lài)所帶來(lái)的風(fēng)險(xiǎn)的認(rèn)識(shí)仍處于初級(jí)階段。盡管如此，因?yàn)閻阂獾能浖凸ぞ?、非法服?wù)和敏感（非公共的）數(shù)據(jù)仍有市場(chǎng)，并且是可獲得和可被利用的，所以網(wǎng)絡(luò)風(fēng)險(xiǎn)仍在增加。例如，惡意軟件可以用1美元購(gòu)得，分布式拒絕服務(wù)攻擊只要用不到1000美元的價(jià)格就能啟動(dòng)，復(fù)雜的勒索軟件可以花費(fèi)200美元購(gòu)買(mǎi)，惡意的垃圾郵件服務(wù)價(jià)格大約在400美元[1]。即使是政府情報(bào)部門(mén)擁有的最先進(jìn)的網(wǎng)絡(luò)武器也可以下載[2-4]。任何意圖使用這些軟件和服務(wù)，并成功實(shí)施攻擊和造成傷害的人，都可以獲得這些工具和能力。正如2017年發(fā)生的網(wǎng)絡(luò)事件所顯示的那樣，政府、企業(yè)和人民都受到了迄今為止最嚴(yán)重的網(wǎng)絡(luò)攻擊的傷害。

2017年5 月，一款勒索軟件針對(duì)微軟Windows操作系統(tǒng)的缺陷進(jìn)行攻擊，影響了150個(gè)國(guó)家的數(shù)百萬(wàn)臺(tái)計(jì)算機(jī)，波及各個(gè)行業(yè)。這次通過(guò)名為“WannaCry”的簡(jiǎn)易勒索軟件所進(jìn)行的全球性攻擊，使得企業(yè)的生產(chǎn)作業(yè)、運(yùn)輸系統(tǒng)和電信系統(tǒng)的正常工作受到阻滯。據(jù)英國(guó)國(guó)家審計(jì)署稱(chēng)，“WannaCry”至少影響到236項(xiàng)國(guó)家衛(wèi)生服務(wù)職責(zé)中的81項(xiàng)，還導(dǎo)致醫(yī)療設(shè)備無(wú)法操作，嚴(yán)重影響公共健康和安全[5]。

2017年6 月，另一個(gè)更具破壞性的惡意軟件“NotPetya”被爆出?！癗otPetya”是通過(guò)一款被廣泛使用的會(huì)計(jì)處理程序（doc.me）的軟件更新機(jī)制進(jìn)入全球網(wǎng)絡(luò)業(yè)務(wù)的。幾分鐘內(nèi)，該惡意軟件就感染了超過(guò)65個(gè)國(guó)家的數(shù)萬(wàn)個(gè)互聯(lián)網(wǎng)連接系統(tǒng)，包括政府機(jī)構(gòu)、銀行、能源公司和其他公司的系統(tǒng)。例如，“NotPetya”對(duì)全球最大的航運(yùn)公司穆勒-馬士基集團(tuán)（A.P.Moller-Maersk）的攻擊，對(duì)該公司的全球信息技術(shù)系統(tǒng)進(jìn)行了加密和銷(xiāo)毀。結(jié)果，該公司在全球76個(gè)港口碼頭中的大部分業(yè)務(wù)不得不停止運(yùn)營(yíng)，中斷了數(shù)周的海上貿(mào)易。在此次“NotPetya”造成危機(jī)中，穆勒-馬士基集團(tuán)的損失超過(guò)3億美元，因?yàn)樗仨氈亟ㄕ麄€(gè)基礎(chǔ)設(shè)施，包括4000臺(tái)新服務(wù)器、4.5萬(wàn)臺(tái)新計(jì)算機(jī)和2500個(gè)新的應(yīng)用程序[6]。據(jù)估計(jì)，“NotPetya”在全球范圍內(nèi)通過(guò)中斷商業(yè)活動(dòng)和破壞財(cái)產(chǎn)所造成的損失高達(dá)數(shù)十億美元。數(shù)字經(jīng)濟(jì)的主要損失和附帶損失是巨大的，而且對(duì)關(guān)鍵服務(wù)和基礎(chǔ)設(shè)施的損害需要幾個(gè)月才能恢復(fù)。

此外，在2017年8月，沙特阿拉伯的一處石油和天然氣設(shè)施突然被迫關(guān)閉。因?yàn)樵撛O(shè)施受到“Trisis”病毒的攻擊，這是一款精心設(shè)計(jì)的計(jì)算機(jī)病毒，旨在破壞工業(yè)控制系統(tǒng)（Industrial Control Systems，ICS）。該病毒還設(shè)計(jì)用于影響石油、天然氣和水利等公共事業(yè)場(chǎng)所的信息技術(shù)操作組件，這種惡意軟件，或者說(shuō)武器還可專(zhuān)門(mén)針對(duì)工業(yè)控制系統(tǒng)的物理安全機(jī)制（即緊急停止系統(tǒng)）。雖然這只是成功使用這一破壞性軟件的一個(gè)公開(kāi)案例，但法國(guó)公司施耐德電氣（Schneider Electric）已鄭重提醒其關(guān)鍵業(yè)務(wù)的客戶(hù)和基礎(chǔ)設(shè)施所有者，未來(lái)要在一個(gè)或多個(gè)系統(tǒng)因惡意網(wǎng)絡(luò)活動(dòng)而崩潰時(shí)，確保他們的系統(tǒng)仍保持運(yùn)轉(zhuǎn)[7]。

2017年的惡意網(wǎng)絡(luò)活動(dòng)在造成的損失和破壞性方面表現(xiàn)出非同尋常的影響，但事實(shí)上用來(lái)制造這些事件的工具并不復(fù)雜。過(guò)去五年里，針對(duì)電力、電信系統(tǒng)、交通和金融系統(tǒng)的攻擊數(shù)量幾乎翻了一番，這一趨勢(shì)對(duì)各國(guó)的經(jīng)濟(jì)和國(guó)家安全都構(gòu)成了威脅。因此，迫切需要政府和企業(yè)領(lǐng)導(dǎo)人參與有效的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理進(jìn)程，并在其戰(zhàn)略規(guī)劃進(jìn)程中加入應(yīng)對(duì)數(shù)字風(fēng)險(xiǎn)的議題。

1 認(rèn)識(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)的框架

各個(gè)國(guó)家、國(guó)際組織和學(xué)術(shù)機(jī)構(gòu)正在制定框架，幫助政府和企業(yè)的領(lǐng)導(dǎo)人判斷和減少網(wǎng)絡(luò)風(fēng)險(xiǎn)。這些框架是非常必要的，因?yàn)樵谶^(guò)去30年里，這些領(lǐng)導(dǎo)者一直被商業(yè)信息技術(shù)的特性及其所帶來(lái)的“好處”所折服，包括提高了生產(chǎn)力和生產(chǎn)效率、降低了資金成本與存儲(chǔ)和處理數(shù)據(jù)的成本，以及實(shí)現(xiàn)底線(xiàn)增長(zhǎng)，故而他們延緩了對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和數(shù)字業(yè)務(wù)的安全性和復(fù)原力方面的投資。今天這些具有破壞性和妨害性的網(wǎng)絡(luò)活動(dòng)，要求領(lǐng)導(dǎo)人面對(duì)這樣一個(gè)事實(shí)，即他們?cè)诓唤?jīng)意間將不安全因素引入了社會(huì)核心層面。這造成的損失越來(lái)越大、危害越來(lái)越大，危險(xiǎn)已迫在眉睫。

1.1 各國(guó)政府的框架

各國(guó)政府已開(kāi)始制定行動(dòng)框架和基準(zhǔn)，甚至是更廣泛的國(guó)家戰(zhàn)略，以更好地了解其互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的依賴(lài)性和脆弱性，并確保其數(shù)字生活的未來(lái)及其經(jīng)濟(jì)福祉所依賴(lài)的國(guó)家網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施和各項(xiàng)服務(wù)的安全。然而，當(dāng)要繪制行動(dòng)路線(xiàn)圖和提請(qǐng)人們注意一個(gè)國(guó)家所面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí)，一個(gè)無(wú)法回避的問(wèn)題是：如何判斷和減少一個(gè)已經(jīng)累壓了30年的風(fēng)險(xiǎn)？在回答這個(gè)問(wèn)題之前，首先要了解一個(gè)國(guó)家3至5年內(nèi)的戰(zhàn)略計(jì)劃是什么，并確定可長(zhǎng)期用于實(shí)現(xiàn)這一目標(biāo)的一些可行做法。例如，據(jù)荷蘭有關(guān)方面估計(jì)，到2020年，數(shù)字經(jīng)濟(jì)（即數(shù)字商品和電子服務(wù)）的規(guī)模將至少占其國(guó)內(nèi)生產(chǎn)總值（GDP）的25%。荷蘭申明，其未來(lái)取決于確保其數(shù)字經(jīng)濟(jì)安全的能力，并正在進(jìn)行一些必要的投入和結(jié)構(gòu)性改革，以實(shí)現(xiàn)這一目標(biāo)。如美國(guó)和德國(guó)等國(guó)家，正在羅列和臻選本國(guó)的一些頂級(jí)企業(yè)，這些企業(yè)的規(guī)模大約占到該國(guó)GDP的2%以上，并且政府與它們開(kāi)展合作，確保風(fēng)險(xiǎn)管理和企業(yè)復(fù)原力建設(shè)成為其總體商業(yè)規(guī)劃過(guò)程的一部分。然而，大多數(shù)其他國(guó)家采取了更普遍的做法，即保護(hù)“關(guān)鍵基礎(chǔ)設(shè)施”。這些關(guān)鍵的資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)由于互聯(lián)性和對(duì)互聯(lián)網(wǎng)的依賴(lài)而變得特別脆弱，因此容易發(fā)生設(shè)備故障、人為事故、天氣和其他自然原因造成的中斷，以及物理攻擊和網(wǎng)絡(luò)攻擊等。這種做法的挑戰(zhàn)在于，政府與業(yè)界之間沒(méi)有明確的責(zé)任劃分，導(dǎo)致很難追究某方“不作為”的責(zé)任。與此同時(shí)，由于雙方缺乏對(duì)減少網(wǎng)絡(luò)風(fēng)險(xiǎn)和增強(qiáng)復(fù)原力方面的承諾，社會(huì)的不安全感也會(huì)加劇。

一些國(guó)家的政府已經(jīng)明確，現(xiàn)在是采取措施干預(yù)市場(chǎng)的時(shí)候了，而且那些政府正在通過(guò)法律法規(guī)來(lái)要求某些部門(mén)查明、評(píng)估和糾正其安全態(tài)勢(shì)中的缺陷。受監(jiān)管的行業(yè)包括：電力公用事業(yè)、金融服務(wù)、醫(yī)療保健、交通和電信。各國(guó)正在采取的其他管制措施還包括要求這些部門(mén)向當(dāng)局（地方或國(guó)家層面）詳細(xì)通報(bào)和報(bào)告下列事項(xiàng)：已發(fā)生的信息泄露事件，以及曝光或丟失的數(shù)據(jù)類(lèi)型；在信息泄露事件中對(duì)方所使用的技術(shù)或方法；可能發(fā)生的運(yùn)行中斷或業(yè)務(wù)中斷（電信行業(yè)）情況。

歐盟也對(duì)其關(guān)鍵基礎(chǔ)設(shè)施和基本服務(wù)的經(jīng)營(yíng)者施行這類(lèi)規(guī)定性辦法。2016年8月，歐盟通過(guò)了一項(xiàng)題為“歐盟網(wǎng)絡(luò)和信息安全指令”（EU Network and Information Security Directive，“NIS”指令）的條例。該條例為向社會(huì)提供基本服務(wù)的公司制定了網(wǎng)絡(luò)安全規(guī)則，即安全控制措施。該條例涵蓋的服務(wù)行業(yè)包括能源、運(yùn)輸、銀行、金融、水利和衛(wèi)生，以及數(shù)字服務(wù)行業(yè)，如網(wǎng)上商城（如eBay、亞馬遜）、搜索引擎（如谷歌）和云服務(wù)提供商等。歐盟成員國(guó)必須在2018年5月之前將這一規(guī)定納入本國(guó)法律。該條例還要求這些國(guó)家的基本服務(wù)運(yùn)營(yíng)商都采取適當(dāng)?shù)陌踩胧?，并將所有?yán)重的網(wǎng)絡(luò)事件都通報(bào)給當(dāng)事國(guó)的有關(guān)部門(mén)，例如各行業(yè)的主管部門(mén)，或計(jì)算機(jī)安全應(yīng)急響應(yīng)小組（CSIRT）。這種做法使得責(zé)任歸屬更加明確，并且可能切實(shí)減少網(wǎng)絡(luò)風(fēng)險(xiǎn)，因?yàn)樗捌仁埂备餍袠I(yè)采取措施以減少自身的脆弱性和增強(qiáng)復(fù)原力。

中國(guó)采取了與歐洲類(lèi)似的做法，甚至將“NIS”指令的內(nèi)容納入了2016年11月人大通過(guò)的新國(guó)家網(wǎng)絡(luò)安全法，該法已于2017年12月31日全面生效。該法共有七章七十九條，是“全面的和包羅萬(wàn)象的”，規(guī)定了有關(guān)政府機(jī)構(gòu)、互聯(lián)網(wǎng)服務(wù)提供商和網(wǎng)絡(luò)用戶(hù)的責(zé)任。該法特別規(guī)定，所有公司（廣義上的）應(yīng)采取相關(guān)技術(shù)和其他必要措施，確?；ヂ?lián)網(wǎng)安全穩(wěn)定的運(yùn)行，有效處理網(wǎng)絡(luò)安全事件，防止網(wǎng)絡(luò)犯罪活動(dòng)，并維護(hù)互聯(lián)網(wǎng)數(shù)據(jù)的完整性、保密性和可用性。這一規(guī)定迫使公司投資于新的保障措施，并安裝一系列控制措施來(lái)達(dá)到這些要求。此外，該法還設(shè)有檢查和審計(jì)制度，以確保公司采取適當(dāng)?shù)拇胧┮詼p少風(fēng)險(xiǎn)，并在發(fā)現(xiàn)這些公司有不充分作為的情況時(shí)追究其責(zé)任。

美國(guó)沒(méi)有在這一領(lǐng)域采取監(jiān)管措施，而是呼吁產(chǎn)業(yè)界自覺(jué)投入，以減少該國(guó)關(guān)鍵基礎(chǔ)設(shè)施和服務(wù)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)。2013年2月，奧巴馬總統(tǒng)責(zé)成美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）制定一整套能夠匹配當(dāng)前的政策環(huán)境、商業(yè)環(huán)境和技術(shù)路徑的標(biāo)準(zhǔn)、方法、程序和流程，以應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)。一年后，即2014年2月，《改進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》（Framework for Improving Critical Infrastructure Cybersecurity）公布，其中載有一套自愿執(zhí)行的標(biāo)準(zhǔn)，以幫助各組織評(píng)估、管理和應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該框架指導(dǎo)各組織從五個(gè)方面對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估：識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。根據(jù)一些業(yè)內(nèi)評(píng)估，約30%的美國(guó)機(jī)構(gòu)（包括政府）正在使用該框架來(lái)評(píng)估其風(fēng)險(xiǎn)態(tài)勢(shì)，并通過(guò)該框架來(lái)完成保護(hù)網(wǎng)絡(luò)和敏感數(shù)據(jù)不受入侵、破壞或妨害等更重要的職責(zé)[8]。此外，在該指導(dǎo)性文件的附錄中，還將國(guó)際公認(rèn)的各種標(biāo)準(zhǔn)映射到了NIST網(wǎng)絡(luò)安全框架中的風(fēng)險(xiǎn)約化范疇（Risk Reduction Categories）之中。然而，從最近信息泄露事件的經(jīng)驗(yàn)和教訓(xùn)來(lái)看，使用NIST網(wǎng)絡(luò)安全框架進(jìn)行風(fēng)險(xiǎn)識(shí)別的組織，只是一味追求自身的合規(guī)性而不是有意建立一種持續(xù)的風(fēng)險(xiǎn)評(píng)估機(jī)制。例如，一些組織使用NIST網(wǎng)絡(luò)安全框架評(píng)估了它們的安全態(tài)勢(shì)和應(yīng)急準(zhǔn)備工作，認(rèn)為它們已經(jīng)達(dá)到了成熟的網(wǎng)絡(luò)安全水平，但仍然受到“WannaCry”和“NotPetya”等惡意軟件的嚴(yán)重?fù)p害。

2017年9月，NIST發(fā)布了關(guān)于《信息系統(tǒng)和組織的風(fēng)險(xiǎn)管理框架：解決安全和隱私問(wèn)題的系統(tǒng)生命周期方法》（Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy）的修訂版[9]。此安全管理方案建議各個(gè)組織具備識(shí)別高價(jià)值資產(chǎn)和關(guān)鍵系統(tǒng)的能力，以便更好地評(píng)估其操作風(fēng)險(xiǎn)。在安全和隱私的控制問(wèn)題，以及實(shí)施和評(píng)估控制效果等方面，該方案也提供了一種有效的管理結(jié)構(gòu)。該方案強(qiáng)調(diào)了持續(xù)監(jiān)測(cè)實(shí)時(shí)風(fēng)險(xiǎn)的重要性，即在任何時(shí)間點(diǎn)上都要依從管理框架中的要求。該方案還指出，風(fēng)險(xiǎn)管理決策是完善業(yè)務(wù)職能和確保達(dá)成各項(xiàng)任務(wù)所不可或缺的部分。這一修訂版補(bǔ)充了前期《改進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》的有關(guān)措施，如果將二者結(jié)合起來(lái)，或?qū)楦鱾€(gè)組織提供一種更具戰(zhàn)略性的風(fēng)險(xiǎn)管理辦法。

1.2 國(guó)際社會(huì)的框架

一些國(guó)際組織也在關(guān)于網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的討論中表達(dá)了自己的意見(jiàn)，并努力通過(guò)自己提出的框架和建議來(lái)推進(jìn)行之有效的網(wǎng)絡(luò)安全措施。關(guān)于國(guó)際風(fēng)險(xiǎn)管理的辯論，最早出現(xiàn)于“信息社會(huì)世界峰會(huì)”（WSIS）的第三次會(huì)議（即在2003年和2005年兩個(gè)連續(xù)的階段性峰會(huì)之后），這也是圍繞“信通技術(shù)促發(fā)展”主題的一次全球聚會(huì)。當(dāng)時(shí)，至少有170個(gè)國(guó)家表示決心要確保人人都能受益于信通技術(shù)所帶來(lái)的機(jī)遇：改善獲得信息通信基礎(chǔ)設(shè)施、技術(shù)，以及各種信息和知識(shí)的機(jī)會(huì)；增強(qiáng)對(duì)使用信息通信技術(shù)的信心和保障；發(fā)展和擴(kuò)大信息通信技術(shù)的應(yīng)用范圍；鼓勵(lì)國(guó)際和區(qū)域性合作[10]。從那時(shí)起，各種國(guó)際機(jī)制都開(kāi)始努力制定和宣傳其安全管理框架，以管理由信息通信技術(shù)的脆弱性所帶來(lái)的風(fēng)險(xiǎn)，并增強(qiáng)各方對(duì)全球數(shù)字經(jīng)濟(jì)的信心和參與度。

最早構(gòu)建網(wǎng)絡(luò)安全職責(zé)的國(guó)際組織之一，是美洲國(guó)家組織（OAS）。2004年，美洲國(guó)家組織通過(guò)美洲反恐怖主義委員會(huì)（CICTE）及其網(wǎng)絡(luò)安全方案，開(kāi)始推進(jìn)美洲網(wǎng)絡(luò)安全議程的發(fā)展。美洲國(guó)家組織與許多來(lái)自公共和私營(yíng)部門(mén)的國(guó)家和區(qū)域?qū)嶓w就政策和技術(shù)問(wèn)題開(kāi)展合作，并試圖通過(guò)技術(shù)援助和培訓(xùn)、政策多邊會(huì)談、危機(jī)管理活動(dòng)和交流，以及與信息通信技術(shù)有關(guān)的最佳實(shí)踐等，在其成員國(guó)內(nèi)建立和加強(qiáng)網(wǎng)絡(luò)安全能力。美洲國(guó)家組織通過(guò)政府部門(mén)和學(xué)術(shù)機(jī)構(gòu)來(lái)推進(jìn)網(wǎng)絡(luò)安全能力建設(shè)，并試圖改變其成員國(guó)內(nèi)的主流觀(guān)念，使其認(rèn)識(shí)到因特網(wǎng)連接，以及作為其基礎(chǔ)的信息通信設(shè)施必須是安全的。如果各國(guó)無(wú)法協(xié)同一致地投資于其核心基礎(chǔ)設(shè)施的安全及其系統(tǒng)的復(fù)原能力，惡意網(wǎng)絡(luò)活動(dòng)所造成的損失將成為其經(jīng)濟(jì)增長(zhǎng)的負(fù)擔(dān)。

2007年，國(guó)際電信聯(lián)盟（ITU），即聯(lián)合國(guó)下屬負(fù)責(zé)信息和通信技術(shù)問(wèn)題的專(zhuān)門(mén)機(jī)構(gòu)宣布了其“全球網(wǎng)絡(luò)安全議程”，并公布了旨在促進(jìn)締約方之間開(kāi)展合作與協(xié)調(diào)的框架?！叭蚓W(wǎng)絡(luò)安全議程”包含五個(gè)戰(zhàn)略支柱，以指導(dǎo)各國(guó)建設(shè)網(wǎng)絡(luò)安全能力，并肩負(fù)起網(wǎng)絡(luò)安全的職責(zé)。這些措施包括：①法律措施；②技術(shù)和程序措施；③組織結(jié)構(gòu)；④能力建設(shè)；⑤國(guó)際合作。該框架催生了于2011年頒布的《國(guó)際電信聯(lián)盟國(guó)家網(wǎng)絡(luò)安全指南》，該指南強(qiáng)調(diào)了國(guó)家價(jià)值觀(guān)、文化和國(guó)家利益是制定任何有效的國(guó)家戰(zhàn)略的基礎(chǔ)。此外，該指南中還討論了各國(guó)政府在努力將網(wǎng)絡(luò)安全議題從單純的技術(shù)性問(wèn)題，轉(zhuǎn)變?yōu)閼?zhàn)略性的國(guó)家政策時(shí)應(yīng)注意的重要問(wèn)題。在這些初步成果的基礎(chǔ)上，國(guó)際電聯(lián)于2014年推出了一項(xiàng)“全球網(wǎng)絡(luò)安全指數(shù)”（GCI），幫助一些國(guó)家制定相應(yīng)的基準(zhǔn)，并且能夠以其他國(guó)家在投資和計(jì)劃制定方面的數(shù)據(jù)為參照，衡量自身的網(wǎng)絡(luò)安全計(jì)劃。這一指數(shù)旨在通過(guò)“全球網(wǎng)絡(luò)安全議程”的五個(gè)維度，衡量一個(gè)國(guó)家的網(wǎng)絡(luò)發(fā)展或“健康狀況”，即法律措施、技術(shù)措施、組織措施、能力建設(shè)和國(guó)際合作[11]。這一方法和指數(shù)是最早的國(guó)際框架之一，可在國(guó)家領(lǐng)導(dǎo)人制定其國(guó)家戰(zhàn)略時(shí)提供相關(guān)信息，并提供一種以非專(zhuān)業(yè)術(shù)語(yǔ)來(lái)衡量網(wǎng)絡(luò)風(fēng)險(xiǎn)的方法。

2015年，經(jīng)濟(jì)合作與發(fā)展組織（OECD，簡(jiǎn)稱(chēng)“經(jīng)合組織”）理事會(huì)通過(guò)并發(fā)布了《經(jīng)合組織關(guān)于經(jīng)濟(jì)和社會(huì)繁榮的數(shù)字安全風(fēng)險(xiǎn)管理的建議》[12]，目的是為制定旨在管理數(shù)字安全，以及優(yōu)化數(shù)字開(kāi)放所帶來(lái)的經(jīng)濟(jì)和社會(huì)效益的國(guó)家戰(zhàn)略提供信息。該框架鼓勵(lì)各國(guó)采取一種以風(fēng)險(xiǎn)管理為基礎(chǔ)，并以八項(xiàng)相互關(guān)聯(lián)、相互依存和相輔相成的高級(jí)原則為框架，其中包括：①提高認(rèn)識(shí)、掌握技能和增強(qiáng)權(quán)能；②利益攸關(guān)方的責(zé)任；③人權(quán)和基本價(jià)值觀(guān)；④合作；⑤風(fēng)險(xiǎn)評(píng)估和處理周期；⑥與風(fēng)險(xiǎn)以及所涉經(jīng)濟(jì)和社會(huì)活動(dòng)相適應(yīng)的安全措施；⑦創(chuàng)新；⑧風(fēng)險(xiǎn)防范和可持續(xù)性規(guī)劃。經(jīng)合組織主張，如果領(lǐng)導(dǎo)人將這八項(xiàng)原則與其他國(guó)際框架結(jié)合起來(lái)，各國(guó)就有能力在數(shù)字安全風(fēng)險(xiǎn)管理的基礎(chǔ)上制定更好的政策（和戰(zhàn)略）?！鞍隧?xiàng)原則”本身并不是一個(gè)框架，而是政府內(nèi)部以及與非政府利益攸關(guān)方建立，或加強(qiáng)協(xié)調(diào)機(jī)制的關(guān)鍵組成部分。經(jīng)合組織認(rèn)識(shí)到，公私合作對(duì)于減少網(wǎng)絡(luò)風(fēng)險(xiǎn)來(lái)說(shuō)至關(guān)重要。

1.3 學(xué)術(shù)和技術(shù)社群的框架

學(xué)術(shù)機(jī)構(gòu)、智庫(kù)和技術(shù)界也開(kāi)始參與進(jìn)來(lái)，并提出了各種方法以促進(jìn)各國(guó)和各組織的網(wǎng)絡(luò)防范工作和成熟度。

2015年，波托馬克政策研究所（Potomac Institute For Policy Studies）的一個(gè)專(zhuān)家小組發(fā)布了“網(wǎng)絡(luò)就緒度指數(shù)2.0”（CRI 2.0），該指數(shù)以2013年“網(wǎng)絡(luò)就緒度指數(shù)1.0”為基礎(chǔ)，為評(píng)估網(wǎng)絡(luò)就緒程度提供了一個(gè)方法框架?！癈RI 2.0”提供了一種全面的、以對(duì)比為依據(jù)的、基于經(jīng)驗(yàn)的方法來(lái)評(píng)估各國(guó)的網(wǎng)絡(luò)安全承諾和成熟程度，以縮小各國(guó)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)與支持其數(shù)字未來(lái)所需的國(guó)家網(wǎng)絡(luò)能力之間的差距。“CRI 2.0”在7個(gè)基本要素之上設(shè)立了70多個(gè)特定指標(biāo)，以識(shí)別在操作層面上已就緒的活動(dòng)，并確定以下幾類(lèi)需要改進(jìn)的領(lǐng)域：①?lài)?guó)家戰(zhàn)略；②事件應(yīng)對(duì)；③電子犯罪和執(zhí)法；④信息共享；⑤研發(fā)投資；⑥外交和貿(mào)易；⑦防御和危機(jī)應(yīng)對(duì)。由此產(chǎn)生的具有可操作性的藍(lán)圖，為各國(guó)提供了一個(gè)減少風(fēng)險(xiǎn)的路線(xiàn)圖。最重要的是，“CRI 2.0”將經(jīng)濟(jì)增長(zhǎng)和國(guó)家安全政策制定聯(lián)系起來(lái)。它還認(rèn)識(shí)到，要充分發(fā)揮互聯(lián)網(wǎng)經(jīng)濟(jì)在國(guó)內(nèi)生產(chǎn)總值增長(zhǎng)、提高生產(chǎn)力和效率、提高勞動(dòng)力技能，以及改善商業(yè)和信息獲取方面的潛力，并需要將經(jīng)濟(jì)發(fā)展戰(zhàn)略與國(guó)家安全優(yōu)先事項(xiàng)保持一致。換言之，只有制定政策、程序和技術(shù)，保護(hù)和保障一國(guó)的數(shù)字未來(lái)和經(jīng)濟(jì)增長(zhǎng)所依賴(lài)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和服務(wù)，信息通信技術(shù)才能為國(guó)家?guī)?lái)經(jīng)濟(jì)增長(zhǎng)?！癈RI 2.0”強(qiáng)調(diào)，全球領(lǐng)導(dǎo)人可以利用包括政策、立法、法規(guī)、標(biāo)準(zhǔn)、市場(chǎng)激勵(lì)和其他舉措，以保護(hù)其數(shù)字投資的價(jià)值，并應(yīng)對(duì)網(wǎng)絡(luò)威脅對(duì)經(jīng)濟(jì)持續(xù)發(fā)展的侵害。

2016年，由牛津大學(xué)“全球網(wǎng)絡(luò)安全能力中心”（GCSCC）出版的“網(wǎng)絡(luò)安全能力成熟度模型”（CMM），從五個(gè)不同的方面描述了各國(guó)的網(wǎng)絡(luò)安全成熟度：①網(wǎng)絡(luò)安全政策和戰(zhàn)略；②網(wǎng)絡(luò)文化和社會(huì)；③網(wǎng)絡(luò)安全、教育、培訓(xùn)和技能；④法律和監(jiān)管框架；⑤標(biāo)準(zhǔn)、組織和技術(shù)。然后將每一個(gè)層面細(xì)分為更具體的因素和指標(biāo)，這些因素和指標(biāo)合在一起就象征著更加成熟的網(wǎng)絡(luò)安全能力。CMM使用兩種方法來(lái)幫助診斷網(wǎng)絡(luò)就緒情況：第一種方法是通過(guò)一種調(diào)查工具（與國(guó)際電信聯(lián)盟的方法類(lèi)似），使國(guó)家可以自行診斷其就緒情況。然后，我們會(huì)檢討調(diào)查結(jié)果，并與來(lái)自政府、學(xué)術(shù)界、私營(yíng)機(jī)構(gòu)及公共機(jī)構(gòu)的主要網(wǎng)絡(luò)利益相關(guān)者進(jìn)行技術(shù)交流，以更有效地從五個(gè)網(wǎng)絡(luò)成熟度的階段評(píng)估國(guó)家層面的網(wǎng)絡(luò)能力，包括啟動(dòng)，形成，建立，戰(zhàn)略和動(dòng)態(tài)。牛津CMM是衡量關(guān)鍵利益攸關(guān)方對(duì)該國(guó)網(wǎng)絡(luò)能力現(xiàn)狀和成熟度的了解程度的絕佳工具，這為未來(lái)的政策目標(biāo)和降低風(fēng)險(xiǎn)的成果奠定了基礎(chǔ)。

最后，愛(ài)沙尼亞電子治理學(xué)院在2016年5月的“塔林電子治理會(huì)議”期間推出了“國(guó)家網(wǎng)絡(luò)安全指數(shù)”（NCSI），并于2018年1月新發(fā)布了更新或修改后的方法[13]。該方法吸收了愛(ài)沙尼亞作為最早采用全社會(huì)范圍電子政務(wù)的國(guó)家之一所吸取的經(jīng)驗(yàn)教訓(xùn)?！癗CSI 2.0”版包括12個(gè)能力領(lǐng)域和46個(gè)指標(biāo)，以幫助評(píng)估一個(gè)國(guó)家在國(guó)家一級(jí)建立“安全的”電子國(guó)家的能力，確保數(shù)據(jù)和交易的安全，同時(shí)管控一國(guó)的數(shù)字安全風(fēng)險(xiǎn)。這十二個(gè)能力評(píng)估領(lǐng)域是：（1）制定國(guó)家網(wǎng)絡(luò)安全政策的能力；（2）分析國(guó)家級(jí)網(wǎng)絡(luò)威脅的能力；（3）提供網(wǎng)絡(luò)安全教育的能力；（4）確?；揪W(wǎng)絡(luò)安全的能力；（5）為電子服務(wù)提供安全環(huán)境的能力；（6）提供電子身份識(shí)別和電子簽名的能力；（7）保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的能力；（8）檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)事件的能力；（9）管理大規(guī)模網(wǎng)絡(luò)危機(jī)的能力；（10）打擊網(wǎng)絡(luò)犯罪的能力；（11）開(kāi)展軍事網(wǎng)絡(luò)防御行動(dòng)的能力；（12）提供國(guó)際網(wǎng)絡(luò)安全的能力。NCSI有許多類(lèi)似于其他框架的組成部分，但有一些獨(dú)特的部分是愛(ài)沙尼亞電子治理經(jīng)驗(yàn)所特有的，包括如何為電子服務(wù)建立一個(gè)安全的環(huán)境，以及如何提供電子身份驗(yàn)證和電子簽名等。

1.4 框架摘要

每個(gè)框架都采取了略有不同的方法，以幫助一個(gè)國(guó)家加強(qiáng)其整體網(wǎng)絡(luò)安全態(tài)勢(shì)，并管理國(guó)家級(jí)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。在現(xiàn)有框架之中，也存在許多共同之處，包括：各個(gè)框架認(rèn)識(shí)到，在現(xiàn)代，各國(guó)的國(guó)家安全和經(jīng)濟(jì)福祉，都高度依賴(lài)于他們確保自身網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全和數(shù)字經(jīng)濟(jì)發(fā)展的能力；需要在政府和企業(yè)最高領(lǐng)導(dǎo)層中推廣網(wǎng)絡(luò)安全概念；首先要保護(hù)最重要的基礎(chǔ)設(shè)施和基本服務(wù)；需要制定適當(dāng)?shù)姆?，建立起能夠保護(hù)社會(huì)免受網(wǎng)絡(luò)犯罪、服務(wù)中斷和財(cái)產(chǎn)破壞之害的監(jiān)管機(jī)制；公共和私營(yíng)部門(mén)，以及國(guó)際和區(qū)域社群之間有必要開(kāi)展合作，以確保各方能夠采取有效的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和復(fù)原力戰(zhàn)略；有義務(wù)發(fā)展必要的國(guó)家能力，以增強(qiáng)對(duì)信息通信技術(shù)使用的信心及其安全性、糾正其中的缺陷和漏洞，并建立應(yīng)對(duì)重大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力。

2 網(wǎng)絡(luò)就緒工作

2.1 管控風(fēng)險(xiǎn)

盡管各國(guó)領(lǐng)導(dǎo)人現(xiàn)在可以利用各種模式和框架來(lái)診斷、評(píng)估和減少本國(guó)的網(wǎng)絡(luò)風(fēng)險(xiǎn)，業(yè)內(nèi)專(zhuān)業(yè)人員和網(wǎng)絡(luò)安全專(zhuān)家也多次呼吁采取行動(dòng)，但在國(guó)家層面改善網(wǎng)絡(luò)安全仍是一項(xiàng)挑戰(zhàn)。例如，荷蘭認(rèn)識(shí)到其未來(lái)的經(jīng)濟(jì)健康是建立在運(yùn)作良好、值得信賴(lài)的數(shù)字經(jīng)濟(jì)的基礎(chǔ)上的，因此專(zhuān)門(mén)撥出資金并設(shè)立了一個(gè)中心，以確保國(guó)家能夠安全地實(shí)現(xiàn)其目標(biāo)。2015年7月，國(guó)家安全和反恐協(xié)調(diào)員進(jìn)行了“關(guān)鍵基礎(chǔ)設(shè)施政策審查”。在那次審查中，政府將關(guān)鍵基礎(chǔ)設(shè)施定義為“國(guó)家運(yùn)轉(zhuǎn)所必需的一套產(chǎn)品、服務(wù)和基本流程，而且這套產(chǎn)品、服務(wù)和基本流程必須是安全的，能夠承受并迅速?gòu)乃袨?zāi)害中恢復(fù)”。[14]然而，當(dāng)歐洲最大的鹿特丹港在2017年受到“NotPetya”惡意軟件的嚴(yán)重影響，導(dǎo)致其服務(wù)被迫中止時(shí)，官員們開(kāi)始審查該港口對(duì)互聯(lián)網(wǎng)的依賴(lài)狀況，發(fā)現(xiàn)港口基礎(chǔ)設(shè)施在其國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略和基礎(chǔ)設(shè)施保護(hù)政策中實(shí)際上并不被重視。

與此同時(shí)，即便是像英國(guó)這樣已經(jīng)確定了特定關(guān)鍵行業(yè)的國(guó)家（英國(guó)政府規(guī)定醫(yī)療保健必須達(dá)到一定的醫(yī)療標(biāo)準(zhǔn)）也沒(méi)有預(yù)料到，它們的醫(yī)療服務(wù)提供者不會(huì)愿意投資更新軟件，以保護(hù)患者的關(guān)鍵服務(wù)免受網(wǎng)絡(luò)風(fēng)險(xiǎn)。因此，當(dāng)236個(gè)國(guó)家衛(wèi)生服務(wù)信托基金中的81個(gè)成為簡(jiǎn)易勒索軟件“WannaCry”的受害者時(shí)，這一原本可以輕易避免的事件最終卻將生命財(cái)產(chǎn)置于危險(xiǎn)之中。因此，英國(guó)被迫檢查其“網(wǎng)絡(luò)要素計(jì)劃”（Cyber Essentials Program）是否得到充分執(zhí)行，并確定政府是否有必要進(jìn)一步干預(yù)和關(guān)注，以管理國(guó)家及其公民面臨的風(fēng)險(xiǎn)。

如前所述，德國(guó)和美國(guó)選取了總體規(guī)模占該國(guó)GDP至少2%的少數(shù)幾家公司，確定這些公司應(yīng)得到進(jìn)一步保護(hù)，并加強(qiáng)了政府與它們的信息共享與合作，但這并沒(méi)有保護(hù)這些公司免受“NotPetya”等惡意軟件的破壞性損害。雖然兩國(guó)政府都有與企業(yè)共享威脅警報(bào)和情報(bào)信息的程序，并負(fù)責(zé)提醒各行業(yè)注意他們面對(duì)攻擊時(shí)的脆弱性，但在“NotPetya”攻擊事件中，相關(guān)部門(mén)沒(méi)有事先發(fā)出的警告。因此，總部設(shè)在這兩個(gè)國(guó)家的公司受到了嚴(yán)重影響，由于這些公司缺乏準(zhǔn)備和政府的相應(yīng)支持，從而使得全球電子商務(wù)面臨數(shù)周甚至數(shù)月的延誤。此外，沙特阿拉伯的主要能源公司（這些公司的液體天然氣產(chǎn)出占全球份額的25%，并且為全球運(yùn)輸系統(tǒng)提供燃料）也由于其他惡意網(wǎng)絡(luò)活動(dòng)而被迫關(guān)閉，最終影響了全球運(yùn)輸系統(tǒng)和經(jīng)濟(jì)運(yùn)行。

正如上述案例所示，沒(méi)有一個(gè)國(guó)家切實(shí)完成了網(wǎng)絡(luò)就緒工作，而網(wǎng)絡(luò)防范工作必須從紀(jì)律嚴(yán)明的風(fēng)險(xiǎn)管理方法開(kāi)始。有效的風(fēng)險(xiǎn)管理首先需要一個(gè)國(guó)家的領(lǐng)導(dǎo)人了解這項(xiàng)工作的價(jià)值所在，繼而勾勒出最需要保護(hù)的部分，并表明國(guó)家愿意投入所需的政治資本、執(zhí)行時(shí)間、金錢(qián)和資源等來(lái)保護(hù)它。

例如，哥倫比亞啟動(dòng)了一項(xiàng)風(fēng)險(xiǎn)管理辦法，以評(píng)估其網(wǎng)絡(luò)就緒情況，并促進(jìn)全社會(huì)對(duì)數(shù)字環(huán)境應(yīng)用的信心。這項(xiàng)工作響應(yīng)了《哥倫比亞國(guó)家數(shù)字安全政策》（即國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略）中提出的任務(wù)，該政策于2016年4月得到國(guó)家數(shù)字安全委員會(huì)的批準(zhǔn)，由全國(guó)社會(huì)經(jīng)濟(jì)計(jì)劃委員會(huì)（CONPES）以第3854號(hào)文件的形式發(fā)布。哥倫比亞采取了經(jīng)合組織的風(fēng)險(xiǎn)管理指南作為框架，并根據(jù)美洲國(guó)家組織、國(guó)際電信聯(lián)盟和北約組織的建議，用以評(píng)估該國(guó)面臨的數(shù)字威脅，并確定那些正面臨風(fēng)險(xiǎn)的重要資產(chǎn)[15]。這項(xiàng)研究推動(dòng)哥倫比亞政府去評(píng)估它所面臨的最緊迫的網(wǎng)絡(luò)風(fēng)險(xiǎn)，確定網(wǎng)絡(luò)事件是如何影響哥倫比亞私營(yíng)部門(mén)和公共部門(mén)的組織的，并將網(wǎng)絡(luò)安全議題視為哥倫比亞社會(huì)經(jīng)濟(jì)發(fā)展的優(yōu)先事項(xiàng)和關(guān)鍵組成。它還幫助該國(guó)的不同利益攸關(guān)方提高相關(guān)認(rèn)識(shí)，明確惡意網(wǎng)絡(luò)活動(dòng)對(duì)一些公共部門(mén)實(shí)體與私營(yíng)企業(yè)的影響，這些惡意網(wǎng)絡(luò)活動(dòng)包括常見(jiàn)的和一些特殊類(lèi)型的網(wǎng)絡(luò)事件、網(wǎng)絡(luò)威脅和攻擊等，同時(shí)，這項(xiàng)研究開(kāi)始量化惡意網(wǎng)絡(luò)活動(dòng)對(duì)該國(guó)經(jīng)濟(jì)造成的損失。哥倫比亞認(rèn)識(shí)到，管理國(guó)家層面的網(wǎng)絡(luò)風(fēng)險(xiǎn)是各產(chǎn)業(yè)部門(mén)數(shù)字化和國(guó)家數(shù)字化轉(zhuǎn)型的基本前提。

哥倫比亞的經(jīng)驗(yàn)突出了領(lǐng)導(dǎo)層和政府治理在風(fēng)險(xiǎn)管理中的起始作用。近年來(lái)由各種政府間組織、學(xué)術(shù)界和技術(shù)界發(fā)布的大量框架、指數(shù)和指南都強(qiáng)調(diào)，評(píng)估真正面臨風(fēng)險(xiǎn)的問(wèn)題，并將網(wǎng)絡(luò)安全提升到國(guó)家安全戰(zhàn)略的首位是至關(guān)重要的。 但是，將網(wǎng)絡(luò)安全作為獨(dú)立的優(yōu)先事項(xiàng)，甚至將其視為主要的國(guó)家安全問(wèn)題仍是不夠的。事實(shí)上，確保網(wǎng)絡(luò)安全也與互聯(lián)網(wǎng)連接和信息通信技術(shù)的迅速普及密切相關(guān)，因?yàn)榇_?；ヂ?lián)網(wǎng)連接和信息通信技術(shù)應(yīng)用的安全和彈性，是經(jīng)濟(jì)增長(zhǎng)和繁榮的前提。因此，將經(jīng)濟(jì)舉措與網(wǎng)絡(luò)安全，技術(shù)發(fā)展和復(fù)原力相結(jié)合，與評(píng)估風(fēng)險(xiǎn)價(jià)值以及制定管控風(fēng)險(xiǎn)的國(guó)家戰(zhàn)略同樣重要。

2.2 評(píng)估風(fēng)險(xiǎn)

各國(guó)領(lǐng)導(dǎo)人必須明確表示，他們將通過(guò)開(kāi)放的數(shù)字環(huán)境來(lái)促進(jìn)經(jīng)濟(jì)和社會(huì)繁榮，降低國(guó)內(nèi)和跨境數(shù)字安全風(fēng)險(xiǎn)的總體水平。他們必須注意，風(fēng)險(xiǎn)會(huì)隨著時(shí)間的推移而發(fā)生變化，這取決于兩個(gè)方面行為體所采取的行動(dòng)：具備并且意圖使用某種能力進(jìn)行破壞的攻擊者，以及能夠采取預(yù)防措施以抵御或挫敗攻擊者意圖的潛在被攻擊目標(biāo)。為了顯示其降低風(fēng)險(xiǎn)和提高復(fù)原力的決心，國(guó)家領(lǐng)導(dǎo)人需要在國(guó)家和部門(mén)兩個(gè)層級(jí)上進(jìn)行持續(xù)的風(fēng)險(xiǎn)評(píng)估，并采取適當(dāng)?shù)拇胧?、政策和程序?lái)管理已查明的風(fēng)險(xiǎn)。

為了實(shí)現(xiàn)這些總體目標(biāo)，各國(guó)領(lǐng)導(dǎo)人、決策者和其他相關(guān)利益攸關(guān)方必須共同努力以評(píng)估當(dāng)前風(fēng)險(xiǎn)。以下戰(zhàn)略規(guī)劃和思考有助于確定一國(guó)網(wǎng)絡(luò)就緒的程度：

（1）國(guó)家的短期和長(zhǎng)期戰(zhàn)略是什么，包括產(chǎn)業(yè)政策、經(jīng)濟(jì)目標(biāo)和國(guó)家安全優(yōu)先事項(xiàng)？

（2）什么因素將會(huì)危及上述目標(biāo)？換言之，有哪些漏洞或薄弱環(huán)節(jié)(即還未確認(rèn)的高價(jià)值資產(chǎn))可以用來(lái)破壞這些目標(biāo)的執(zhí)行？

（3）是否有明確的問(wèn)責(zé)和責(zé)任劃分，以確保落實(shí)國(guó)家目標(biāo)和降低風(fēng)險(xiǎn)的措施？

（4）關(guān)于網(wǎng)絡(luò)安全和復(fù)原力的考量是否屬于規(guī)劃進(jìn)程的核心部分？

一項(xiàng)綜合、全面的評(píng)估能夠發(fā)現(xiàn)該國(guó)最關(guān)鍵的并且是賴(lài)以生存的數(shù)字資產(chǎn)，如網(wǎng)絡(luò)公司、網(wǎng)絡(luò)服務(wù)、基礎(chǔ)設(shè)施和其他資產(chǎn)等，如果這些資產(chǎn)受到損害，將產(chǎn)生嚴(yán)重的經(jīng)濟(jì)和國(guó)家安全后果。只有正確地識(shí)別出哪些是脆弱的，哪些可能危及一個(gè)國(guó)家的“皇冠上的珍珠”，以及他們面臨危險(xiǎn)、遭受傷害或損失的可能性，決策者才能采取糾正措施來(lái)阻止或減少這些風(fēng)險(xiǎn)。

2.3 通過(guò)審慎的規(guī)劃降低風(fēng)險(xiǎn)

在進(jìn)行了風(fēng)險(xiǎn)評(píng)估后，國(guó)家就可以制定降低風(fēng)險(xiǎn)的計(jì)劃，以縮小其當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)，與糾正缺陷以及支持該國(guó)未來(lái)經(jīng)濟(jì)和安全優(yōu)先事項(xiàng)所需的國(guó)家網(wǎng)絡(luò)能力之間的差距。降低風(fēng)險(xiǎn)的工作應(yīng)由一個(gè)專(zhuān)門(mén)的國(guó)家網(wǎng)絡(luò)安全機(jī)構(gòu)領(lǐng)導(dǎo)，該領(lǐng)導(dǎo)機(jī)構(gòu)（包括個(gè)人和實(shí)體）將被提升和穩(wěn)定于政府最高層，以便提供指導(dǎo)、協(xié)調(diào)行動(dòng)、監(jiān)測(cè)計(jì)劃的執(zhí)行情況，并對(duì)網(wǎng)絡(luò)安全工作中的不足之處，同時(shí)也對(duì)所取得的成果負(fù)責(zé)。鑒于網(wǎng)絡(luò)安全涉及許多不同的問(wèn)題領(lǐng)域(如人權(quán)、經(jīng)濟(jì)發(fā)展、貿(mào)易、軍備控制和軍民兩用技術(shù)、安全、穩(wěn)定以及和平與沖突解決)，重要的是必須確保國(guó)家主管當(dāng)局具有相應(yīng)的職權(quán)、問(wèn)責(zé)權(quán)和授權(quán)，以便必要時(shí)介入和指導(dǎo)利益攸關(guān)方的網(wǎng)絡(luò)安全工作。

雖然關(guān)于降低風(fēng)險(xiǎn)活動(dòng)的指導(dǎo)意見(jiàn)十分豐富，但前幾節(jié)概述的各種框架表明，各國(guó)領(lǐng)導(dǎo)人應(yīng)作出更多努力以了解網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì)及其網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨的具體威脅（這些威脅應(yīng)在國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略和國(guó)家網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估中明確界定），然后與所有相關(guān)的利益攸關(guān)方合作，更好地規(guī)劃其防御工作，更好地分配人力和財(cái)政資源以盡量降低這些風(fēng)險(xiǎn)。有效緩解網(wǎng)絡(luò)風(fēng)險(xiǎn)的一些常見(jiàn)戰(zhàn)略包括：

（1）就當(dāng)前所面臨的問(wèn)題進(jìn)行交流，全面提高從政府領(lǐng)導(dǎo)人到普通公民各級(jí)的風(fēng)險(xiǎn)意識(shí)。人們需要先了解其日?；顒?dòng)（不僅僅是個(gè)人信息）所面臨的風(fēng)險(xiǎn)，才能對(duì)安全態(tài)勢(shì)進(jìn)行評(píng)估。因此，政府應(yīng)發(fā)起全國(guó)公眾宣傳運(yùn)動(dòng)，促進(jìn)教育、培訓(xùn)和技能發(fā)展，并賦予公民權(quán)力，使之成為建立強(qiáng)有力的網(wǎng)絡(luò)安全文化的助力。

（2）確定、優(yōu)化和集中必要資源于需要加強(qiáng)保護(hù)的高價(jià)值資產(chǎn)和具有較大影響的系統(tǒng)方面，如國(guó)家最關(guān)鍵的數(shù)字依賴(lài)性（例如互聯(lián)網(wǎng)企業(yè)、基礎(chǔ)設(shè)施、網(wǎng)絡(luò)服務(wù)和資產(chǎn)）；了解其脆弱性，并優(yōu)先考慮適合于應(yīng)對(duì)經(jīng)濟(jì)和社會(huì)風(fēng)險(xiǎn)的安全措施。

（3）制定適當(dāng)?shù)姆珊捅O(jiān)管框架，以保護(hù)社會(huì)免受網(wǎng)絡(luò)犯罪、服務(wù)中斷和財(cái)產(chǎn)破壞的侵害。

（4）利用各種工具，包括政策、立法、規(guī)章、標(biāo)準(zhǔn)、市場(chǎng)獎(jiǎng)勵(lì)、自愿遵守計(jì)劃和其他舉措，來(lái)提高對(duì)信息通信技術(shù)使用方面的信任及其安全性，同時(shí)糾正程序和公共政策產(chǎn)品方面的缺陷（例如，歐洲的網(wǎng)絡(luò)與信息安全指令、中國(guó)的網(wǎng)絡(luò)安全法、美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院的網(wǎng)絡(luò)安全框架）。

（5）不斷監(jiān)測(cè)網(wǎng)絡(luò)社會(huì)面臨的威脅，并利用最新技術(shù)來(lái)探測(cè)、排除和遏制這種威脅，改善對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的認(rèn)識(shí)，以及對(duì)威脅指標(biāo)和安全警告的掌握。

（6）發(fā)展必要的國(guó)家能力，以加強(qiáng)備災(zāi)、開(kāi)展可持續(xù)性的規(guī)劃工作，并在出現(xiàn)重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)作出回應(yīng)和恢復(fù)網(wǎng)絡(luò)（例如大規(guī)模網(wǎng)絡(luò)危機(jī)）。

（7）使國(guó)際社會(huì)能夠通過(guò)制定全球安全標(biāo)準(zhǔn)和推進(jìn)多邊協(xié)定，來(lái)改善可互操作網(wǎng)絡(luò)（例如金融、電信、能源等）的整體安全性、可靠性和復(fù)原力。

（8）預(yù)估未來(lái)技術(shù)進(jìn)步將為一國(guó)網(wǎng)絡(luò)安全帶來(lái)的脆弱性，另一方面如何將技術(shù)進(jìn)步變成可利用的機(jī)會(huì)，為下一代基礎(chǔ)設(shè)施和資產(chǎn)構(gòu)筑更強(qiáng)的安全性、可靠性和復(fù)原力。

在有效執(zhí)行這些任務(wù)和進(jìn)行其他活動(dòng)時(shí)，將需要清晰的界定和明確各方的作用、責(zé)任、進(jìn)程、決策權(quán)利和問(wèn)責(zé)機(jī)制。各部委或政府部門(mén)、政府機(jī)構(gòu)或負(fù)責(zé)行動(dòng)計(jì)劃中具體任務(wù)的個(gè)人要成功開(kāi)展網(wǎng)絡(luò)安全工作，需要先建立網(wǎng)絡(luò)安全工作的業(yè)績(jī)指標(biāo)。

當(dāng)然，減少風(fēng)險(xiǎn)活動(dòng)也需要當(dāng)局劃撥專(zhuān)門(mén)和適當(dāng)?shù)馁Y源，為相應(yīng)部門(mén)在執(zhí)行目標(biāo)時(shí)所有。不穩(wěn)定的資金來(lái)源和機(jī)制可能影響預(yù)期成果的達(dá)成和國(guó)家網(wǎng)絡(luò)安全實(shí)體的問(wèn)責(zé)制，但仍沒(méi)有足夠的資源用以執(zhí)行任務(wù)。各項(xiàng)資源應(yīng)按照資金(即專(zhuān)用預(yù)算)、人員、物資，以及成功執(zhí)行和取得減少風(fēng)險(xiǎn)計(jì)劃成果所需的關(guān)系和伙伴關(guān)系等幾個(gè)類(lèi)別加以界定。為國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略中的目標(biāo)和任務(wù)提供資源，不應(yīng)被視為一次性的舉措。充足、穩(wěn)定和持續(xù)的資金支持，為構(gòu)建有效的國(guó)家網(wǎng)絡(luò)安全態(tài)勢(shì)提供了基礎(chǔ)。各項(xiàng)資源可以根據(jù)任務(wù)或目標(biāo)需求分配，或由政府實(shí)體進(jìn)行分配。政府還可以考慮建立一個(gè)網(wǎng)絡(luò)安全中央預(yù)算，由中央網(wǎng)絡(luò)安全治理機(jī)制管理。無(wú)論是把不同的資金來(lái)源聚集到一個(gè)持續(xù)完整的綜合方案里，還是建立統(tǒng)一的政府內(nèi)部預(yù)算，整個(gè)方案都應(yīng)通過(guò)階段性目標(biāo)的達(dá)成和明確界定的時(shí)限來(lái)管理和跟蹤，以此確保該戰(zhàn)略的順利展開(kāi)。

2.4 持續(xù)性的風(fēng)險(xiǎn)評(píng)估

當(dāng)網(wǎng)絡(luò)安全工作變成一個(gè)實(shí)時(shí)評(píng)估(合規(guī)性框架)工作，而不是持續(xù)地評(píng)估風(fēng)險(xiǎn)進(jìn)程，那就意味著這項(xiàng)工作失敗了。風(fēng)險(xiǎn)管理要求對(duì)國(guó)家最關(guān)鍵的數(shù)字依賴(lài)性(例如公司、基礎(chǔ)設(shè)施、服務(wù)和資產(chǎn))中的脆弱性，進(jìn)行積極的威脅預(yù)判和持續(xù)性評(píng)估。如上所述，一些現(xiàn)有框架強(qiáng)調(diào)了持續(xù)性風(fēng)險(xiǎn)評(píng)估和補(bǔ)救控制系統(tǒng)漏洞的重要性。監(jiān)測(cè)和衡量網(wǎng)絡(luò)安全舉措的績(jī)效和網(wǎng)絡(luò)安全倡議(減少風(fēng)險(xiǎn)活動(dòng))的執(zhí)行情況，應(yīng)作為治理機(jī)制的一部分被嵌在國(guó)家網(wǎng)絡(luò)安全架構(gòu)中。對(duì)計(jì)劃執(zhí)行情況的連續(xù)性評(píng)估(即評(píng)估哪些工作完成的較好，哪些未能完成)有助于指導(dǎo)計(jì)劃調(diào)整工作和進(jìn)一步宣傳“總體戰(zhàn)略”。良好的治理機(jī)制界定了確保計(jì)劃成功執(zhí)行所需的問(wèn)責(zé)制和相關(guān)責(zé)任，并利用可操作、可重復(fù)、有意義的、有時(shí)限的量化標(biāo)準(zhǔn)，或關(guān)鍵業(yè)績(jī)指標(biāo)（KPI）來(lái)補(bǔ)充現(xiàn)實(shí)目標(biāo)和任務(wù)時(shí)間表。關(guān)鍵業(yè)績(jī)指標(biāo)或量化標(biāo)準(zhǔn)應(yīng)符合以下標(biāo)準(zhǔn)：

（1）具體目標(biāo)：確定一個(gè)特定領(lǐng)域加以改進(jìn)。

（2）可量化：量化或至少提出一個(gè)進(jìn)程量化指標(biāo)。

（3）可實(shí)現(xiàn)：如果有可用資源，可以切實(shí)地實(shí)現(xiàn)何種結(jié)果。

（4）可行性：有明確的行動(dòng)可采取。

（5）指責(zé)：指定誰(shuí)來(lái)執(zhí)行。

（6）時(shí)間要求：指定結(jié)果何時(shí)可以實(shí)現(xiàn)。

雖然還沒(méi)有任何國(guó)家完全做到網(wǎng)絡(luò)就緒，而且網(wǎng)絡(luò)風(fēng)險(xiǎn)也不可能完全消除，但它們可以而且必須加以管理。網(wǎng)絡(luò)就緒和準(zhǔn)備工作先由一種有效的風(fēng)險(xiǎn)管理辦法開(kāi)始，其中包括明確掌握該國(guó)那些需要加強(qiáng)保護(hù)的高價(jià)值資產(chǎn)和具有較大影響的系統(tǒng)，即國(guó)家最關(guān)鍵的數(shù)字依賴(lài)性(例如企業(yè)、基礎(chǔ)設(shè)施、服務(wù)和資產(chǎn))。一旦掌握這一點(diǎn)，風(fēng)險(xiǎn)分析和脆弱性評(píng)估就可以界定和優(yōu)先執(zhí)行必要的安全措施來(lái)糾正當(dāng)前的一些漏洞，這些漏洞往往是與經(jīng)濟(jì)和社會(huì)風(fēng)險(xiǎn)相對(duì)應(yīng)的。

只有在各國(guó)利益攸關(guān)方之間進(jìn)行協(xié)調(diào)一致的努力，才有可能大大減少網(wǎng)絡(luò)風(fēng)險(xiǎn)并向前邁進(jìn)，以確保一個(gè)國(guó)家未來(lái)的安全。

3 結(jié)語(yǔ)

我們的網(wǎng)絡(luò)不安全感正在增加。網(wǎng)絡(luò)威脅對(duì)國(guó)家關(guān)鍵服務(wù)和基礎(chǔ)設(shè)施的影響在數(shù)量、范圍、規(guī)模和復(fù)雜性方面都超過(guò)了現(xiàn)有的防御措施。今天極具破壞性和妨害性的網(wǎng)絡(luò)活動(dòng)，要求各國(guó)政府抓緊處置并投資于將本國(guó)從網(wǎng)絡(luò)不安全狀態(tài)轉(zhuǎn)移到網(wǎng)絡(luò)準(zhǔn)備狀態(tài)的工作中。各種損失正在累積；損害正在增加；危險(xiǎn)迫在眉睫。

國(guó)家領(lǐng)導(dǎo)人必須制定全面的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略，其中包括負(fù)責(zé)總體國(guó)家網(wǎng)絡(luò)安全態(tài)勢(shì)的專(zhuān)門(mén)主管部門(mén)。國(guó)家對(duì)自身所面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)的認(rèn)識(shí)，必須在包括政府領(lǐng)導(dǎo)人到公民的各個(gè)層級(jí)上建構(gòu)起來(lái)。每個(gè)人都應(yīng)該了解該國(guó)數(shù)字環(huán)境的脆弱性，并了解他們?cè)跍p輕這些風(fēng)險(xiǎn)方面的作用。這一戰(zhàn)略路線(xiàn)圖允許采取適當(dāng)?shù)拇胧?、政策和進(jìn)程來(lái)糾正缺陷、減少對(duì)社會(huì)、經(jīng)濟(jì)和國(guó)家造成的風(fēng)險(xiǎn)。如果沒(méi)有專(zhuān)門(mén)的和適當(dāng)?shù)馁Y源來(lái)資助降低風(fēng)險(xiǎn)和提高復(fù)原力的工作，就無(wú)法實(shí)現(xiàn)上述目標(biāo)。貫徹國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略是確保國(guó)家網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)服務(wù)安全的最重要步驟之一，而現(xiàn)代國(guó)家的數(shù)字化未來(lái)和經(jīng)濟(jì)福祉就取決于國(guó)家網(wǎng)絡(luò)基礎(chǔ)設(shè)施和服務(wù)。