陳澤萍

〔摘要〕隨著數字化改革的持續(xù)推進，網絡安全風險也被不斷放大。當前，網絡安全治理實踐內卷化明顯，難以有效應對各類風險威脅的沖擊。相比于傳統(tǒng)的網絡安全保障模式，韌性網絡強調全生命周期管理、聚焦內生優(yōu)勢、重視動態(tài)學習適應，具備很強的抵御力、恢復力、適應力，在面對壓力和沖擊時依然能夠保持信息基礎設施的結構完整和功能穩(wěn)定，實現對風險的動態(tài)適應和共生共存。因此，地方黨政機關亟須通過完善韌性治理的頂層設計、打造網絡安全生態(tài)、建立基于危機的持續(xù)學習機制、構建基于韌性網絡評估指標體系等有效路徑，進一步提升網絡安全治理能力，以期為數字化改革創(chuàng)建安全的網絡環(huán)境，確保網絡意識形態(tài)領域的風清氣正。

〔關鍵詞〕韌性網絡；網絡安全治理；網絡安全風險；數字化改革

〔中圖分類號〕D64〔文獻標識碼〕A〔文章編號〕2096-8442（2021）05-0083-05

數字化已經成為經濟社會發(fā)展變革的核心驅動力量，全國各地紛紛加快數字化發(fā)展進程。隨著數字化改革的深入推進，信息基礎設施在經濟社會運行中的重要性日益凸顯，直接關系著群眾生活、企業(yè)生產和政府治理的順利運行。與此同時，隨著數字化程度的不斷提升，網絡安全風險將遍布所有場景，據《2020上半年中國互聯網安全報告》顯示，遠程辦公等新應用在各行各業(yè)不斷普及的同時，網絡攻擊的頻次和強度也呈現出倍數激增的態(tài)勢。一旦發(fā)生網絡安全風險，極容易導致生活不便、生產停滯、治理混亂等突發(fā)狀況，進而減緩甚至阻斷經濟、治理、生活等領域數字化改革進程。因此，在數字化改革進程中，提升地方黨政機關網絡安全治理能力和意識，對加強網絡安全治理、營造良好的網絡環(huán)境氛圍意義重大。近年來，“韌性理論”概念已經成為公共管理領域研究新的關注點〔1〕，特別是“韌性城市理論”研究日趨成熟，在城市治理實踐中得到廣泛應用。筆者將以此理論作為觀察工具，考察網絡安全治理創(chuàng)新機制，論證其能否成為指導網絡安全治理創(chuàng)新和優(yōu)化的一種可行方向。

一、網絡安全治理的韌性視角

隨著數字化程度的不斷提高和網絡安全風險的不斷增大，韌性概念被引入到網絡安全領域。數字化時代，網絡安全已經不再是單純的信息系統(tǒng)運維問題，而是事關經濟社會有效運行的基礎設施，網絡韌性逐漸成為一種公共利益〔2〕。與傳統(tǒng)的網絡安全保障相比，網絡韌性體現為一種全面的、整合的和進化的思考范式〔3〕，結合對韌性概念的解讀和相關對網絡韌性的研究成果，本文將韌性網絡定義為：在面對不確定的危機時，信息基礎設施能夠迅速響應、快速適應、維持發(fā)展的能力。具體包括對抗危害的抵御力、遭受破壞后的恢復力和動態(tài)演進的適應力等三個要素構件。

（一）對抗危害的抵御力

保持穩(wěn)定是韌性網絡最基本的屬性，抵御力突出表現為信息基礎設施在遭受突發(fā)事故或惡意攻擊時，能夠有效應對而不會發(fā)生結構性的改變，同時基本功能也不會遭受損失的能力。具體而言，就是當信息基礎設施遭受外部因素沖擊，如面對黑客組織的網絡攻擊，韌性網絡具備更強的承受、對沖以及消耗能力，能夠抵抗外力對網絡和信息系統(tǒng)基本結構和功能的沖擊。這種抵抗能力既與影響信息基礎設施脆弱性的“硬件”建設水平有直接關系，如網絡安全防護系統(tǒng)，也和網絡安全意識等“軟件”因素有直接關系。因為現代網絡攻擊正在逐步改變攻擊模式，利用安全意識薄弱的非換件系統(tǒng)逐步滲透進目標系統(tǒng)已經成為常見路徑。因此，抵御力的提升除了通過加大網絡安全保障投入來提高，更重要的是提升地方黨政機關等網絡用戶的網絡安全意識和能力。

（二）遭受破壞后的恢復力

恢復力反映的是信息基礎設施在遭受破壞或攻擊后恢復原有功能的能力與速度。信息基礎設施面對偶然風險或惡意攻擊時的抵抗可能失效，而一旦抵御失敗，從危機狀態(tài)中恢復功能的能力就顯得尤為重要。信息基礎設施要有較好的恢復力，就應當具備恢復系統(tǒng)結構和功能的必要資源或者能夠快速獲得替代的資源支持，需要把硬件設施、技術能力、組織流程等因素考慮在內，包括完善的應急響應機制、明確的危機管理責任和職責、事先準備的替代性措施。需要指出的是，傳統(tǒng)網絡安全保障也提出分層保護的理念和實踐，但在韌性視角下還強調每一層自身的系統(tǒng)恢復力，比如，即使在網絡殺傷鏈的后期，韌性網絡也應當幫助阻止供給者竊取數據或控制關鍵任務系統(tǒng)。

（三）動態(tài)演進的適應力

適應力指的是信息基礎設施從逆境中有效恢復的同時，能夠以此為經驗對未來可能發(fā)生的類似破壞，提前進行預測和準備，即具備在逆境中適應、學習、反饋、重構的能力。換言之，韌性網絡不僅包括抵御和恢復能力，還要有能發(fā)現和利用逆境中的學習機會對知識和技能進行更新，通過動態(tài)調適來實現應急能力的向前躍進。當前，物理世界、數字世界和生物世界之間的界限日益模糊，前所未有緊密耦合的社會生態(tài)系統(tǒng)結構使得網絡日益符合“奈特氏不確定性”的特征〔4〕279，即風險損失分布無法有效預測，風險觸發(fā)形式日益多樣化。互聯網新技術新應用層出不窮，網絡安全也將面臨更多新的挑戰(zhàn)，必須保持對網絡威脅情報和新型攻擊手段的實時監(jiān)測，并且與時俱進地調整或更新相關的應對策略來適應生態(tài)系統(tǒng)的變化。

從韌性網絡的三個特征可以看到，韌性網絡在逆境中不僅能夠有效應對風險，維持網絡系統(tǒng)結構和基本功能，更重要的是能夠創(chuàng)建或重組一個更高層次的安全均衡系統(tǒng)。保持穩(wěn)定、迅速恢復以及動態(tài)適應的特征，使得韌性網絡與傳統(tǒng)網絡相比，在信息基礎設施的結構和功能上都實現了質的超越。

二、韌性視角下網絡安全治理的透視與拓展

韌性視角下推動網絡安全治理由事后應急轉向全流程管理、網絡安全治理體系從依靠外部管控到重視內外系統(tǒng)整體化、網絡安全治理體系走向動態(tài)發(fā)展意義重大，具體表現在以下幾個方面。

（一）韌性視角強調整體性

長期以來，我國網絡安全治理呈現出重處置、輕預防的實踐特征，在信息化項目建設中網絡安全保障投入不足，對網絡安全風險評估識別和預警預防重視程度不足。近年來，各地密集開展的網絡安全專項檢查在短期內起到了成效，提高了各單位的網絡安全意識和投入，同時也要看到，這種運動式的方式首先強化的是網絡安全應急處置這一環(huán)節(jié)，并由于其好用管用而進一步加劇了路徑依賴。有效的網絡安全應急處置確實可以防止危害和損失的進一步擴大，但危害和損失的發(fā)生作為既成事實，卻是無論如何難以改變的。風險預防作為網絡安全治理的第一道關口，預測風險的發(fā)展和走勢具有重要價值，能夠“防患于未然”，其效用遠高于事后的應急處置。然而，由于對網絡安全風險預防的重視不足，直接造成了網絡安全保障投入不足、潛在安全隱患被忽視、制度建設不完善等問題，特別是在網絡安全風險排查、信息通報、應急演練、處置反饋等機制建構方面的不健全。

近年來網絡安全事關國家安全和城市安全的觀念逐步受到關注，而且信息基礎設施發(fā)生問題后一般不會直接造成生命健康危害。因此，社會公眾對網絡安全危害性的感受度遠不如食品、交通等傳統(tǒng)安全問題，這使得網絡安全治理存在應急預案編制形式化、預案內容同質化、應急演練長期缺乏、應急管理工作流程不完善、風險排查和監(jiān)測預警制度化不健全等問題，而上述問題在網絡安全治理中表現的尤為明顯。

從韌性視角來看，引發(fā)危機的因素無處不在，韌性框架注重整體性和綜合性，強調從風險防范、應急處置再到事后恢復的全過程進行管理，網絡安全治理的最高境界應當是“治未病”。實現這一目標需要調整網絡安全治理的導向，從被動單一的應急理念關口前移，重視主動的風險監(jiān)測與預警，實現從應急處置到全過程管理的轉變，做到防患于未然。

（二）韌性視角強調內生性

數字化時代，黨政機關和企業(yè)、社會組織等主體的“生存法則”與工業(yè)化時代有巨大差別。5G、工業(yè)互聯網、物聯網已經成為新型基礎設施，數字經濟、數字生活、數字治理等數字化產物高度依賴這些基礎設施才能安全穩(wěn)定運行。因此，網絡安全治理必須嵌入到經濟、生活、治理數字化轉型的全過程，而不能僅僅被視為單獨的功能。在工業(yè)經濟模式下，網絡信息系統(tǒng)與經濟社會的貼合度不高，更多承擔著輔助性的角色，運維系統(tǒng)和業(yè)務系統(tǒng)分別屬于不同的流程，依靠單獨的安全團隊不斷升級和加固網絡信息系統(tǒng)就基本能夠滿足需要。

正是由于網絡和信息系統(tǒng)在經濟社會中所起作用的不同，帶來了信息系統(tǒng)建設和行運維護部門在整個組織中地位的區(qū)別。工業(yè)時代，我國網絡安全保障體系遵循“自上而下”的運行邏輯，依靠科層結構逐級下達行政命令落實安全保障工作，帶有明顯管控思維，其把網絡信息系統(tǒng)建設和運營部門單純視為應急管控的對象，造成這些部門在網絡安全治理體系中處于被支配的地位，忽視了其能動作用和潛在力量的發(fā)揮。數字化時代，數字基礎設施無處不在，網絡安全隱患隨時可能發(fā)生，傳統(tǒng)管控方式無論是從人力、物力還是技術方面，都已經完全不能抵御網絡安全風險。

在韌性網絡研究中，越來越多的學者將信息基礎設施視作為一個有機的、整體的系統(tǒng)來對待，注重對信息基礎設施自身屬性和內在優(yōu)勢的觀察分析，認為信息基礎設施建設和運維部門，不僅是安全治理的對象，而且更應當是關鍵主體。韌性框架重視信息基礎設施整體性和內生優(yōu)勢，認為信息基礎設施建設和運維部門可以在網絡安全治理中發(fā)揮重要作用。從這一意義上來說，韌性框架有助于推動自下而上的網絡安全治理體制改革，進而推動提升地方黨政機關的網絡安全意識和能力。

（三）韌性視角強調共生性

雖然數字化已經深入滲透到社會生產生活的各個領域，網絡安全治理作為經濟社會穩(wěn)定運行的重要一環(huán)，理應融入治理現代化體系之中，但實際上兩者依然存在脫節(jié)，網絡安全治理很多時候依然被當成是簡單的技術運維問題，導致在資源利用、信息共享方面缺乏互通協(xié)調，網絡安全治理依然沒有實現與其他運行系統(tǒng)的交互，還不能適應動態(tài)變化的風險和危機，具體體現在制度運行、多元主體參與、新技術新運用應對、應急技能轉化等方面呈現“碎片化”特點。在制度運行方面，由于信息基礎設施分散在各行各業(yè)，與不同政府部門都有一定關系，導致多頭管理弊端突顯。雖然2017年6月1日起施行的《中華人民共和國網絡安全法》明確由網信部門統(tǒng)籌協(xié)調網絡安全，但在我國嚴格的科層制結構和條塊分割體制下，各部門只對自己的直接上級負責，網信部門只有名義上的統(tǒng)籌協(xié)調職權，部門之間的協(xié)同往往是臨時性、短期的，這阻礙了原本應該更為緊密、內在、有機的聯系。在多元主體參與方面，雖然各方積極倡導社會組織、企業(yè)等主體在網絡安全治理體系中更大作用的發(fā)揮，但實際上政府單一主體主導的結構并沒有改變，還沒有建立起與專業(yè)機構的聯動機制，沒能實現不同主體功能的有效整合和資源的有效配置。在新技術新應用風險應對方面，新技術新應用在推動數字化發(fā)展的同時，也給網絡安全帶來新的風險。目前，在網絡安全風險評估、風險監(jiān)測和預警、信息通報和共享、突發(fā)事件處置等方面，還滯后于新技術新應用的發(fā)展。在應急技能轉化方面，網絡安全治理大多為經驗性處置，制度化的學習適應機制不夠完善，這導致網絡安全治理主體在下一次危機到來之前難以有效吸取先前的經驗教訓，形成向前躍進的更高層級網絡安全治理技能。

韌性框架將網絡安全治理體系與治理現代化相結合，強調網絡安全治理并非只是“救火式”的應急處置，而是在預防風險、處置危機、恢復秩序的過程中，持續(xù)提升網絡安全治理能力的一個過程。增強網絡韌性的過程是在與數字化轉型—新技術新應用發(fā)展—體制機制健全的多重交互過程中，實現與網絡安全風險共處并對其實施有效治理的目標。換言之，韌性框架是努力建設一種網絡安全生態(tài)，即通過打造多元主體協(xié)同、資源要素共享、多方合作共贏的網絡韌性共同體，在經濟社會運行系統(tǒng)中持續(xù)提升應對風險水平。從這一角度來看，韌性框架對是現有靜態(tài)、僵化的網絡應急管理工作的重構，力求實現動態(tài)演進的網絡安全治理體系。

三、韌性視角下提升地方黨政機關網絡安全治理能力的路徑

由于網絡安全治理在實踐中呈現出明顯內卷化的特點，特別是面對網絡攻擊手段日益專業(yè)化、復雜性的特點，且傳統(tǒng)安全技術措施防御效果不斷弱化的現狀，韌性視角下探索提升地方黨政機關網絡安全治理能力的刻不容緩。

（一）建立基于韌性網絡的頂層設計

“韌性理論”作為城市應急管理領域的一種全新理論，落實到網絡安全治理領域首先必須建立完善的頂層設計。一方面，危機管理過程對資源儲備、人才隊伍、專業(yè)技能有嚴格要求，政府在政策和標準制定、資源投入、人才隊伍建設等方面，仍然具有明顯的優(yōu)勢條件，是網絡安全治理當仁不讓的主導者。另一方面，因為風險集聚、危機發(fā)生都面臨著高度的不確定性，網絡安全牽一發(fā)動全身，具有跨部門跨區(qū)域特點，涉及諸多縱向和橫向主體之間的互動配合，難免會產生不同主體之間的信息壁壘和責任規(guī)避的問題。因此，韌性網絡實現的關鍵是要有健全的統(tǒng)籌協(xié)調機制。

在我國現行體制下，僅僅依靠部門之間的溝通協(xié)商、部門負責人之間的非正式溝通等手段，并不足以形成高效、有力的協(xié)同合作關系。網信部門與其他涉網部門是平級單位，相互之間沒有隸屬關系，在推動部門協(xié)同合作方面存在諸多限制。從國外經驗來看，盡管倡導以平等協(xié)作的理念推動跨部門協(xié)同，但是自上而下的推動依然至關重要。因此，要進一步提升網絡安全治理的跨部門協(xié)同合作水平，有必要從政治層面給以網信部門更多的支持，提高統(tǒng)籌協(xié)調網絡安全治理工作的權威性。與此相匹配的是，網信部門應承擔起完善網絡安全治理頂層設計和制度建構的重任，有責任形成一個促進各方協(xié)同合作、密切配合的環(huán)境，出臺完善支持性和保障性的政策，把網絡安全治理戰(zhàn)略制定、中長期規(guī)劃編制、專業(yè)力量配備、網絡安全產業(yè)發(fā)展、社會組織聯動等方面納入工作安排，有序引導韌性網絡體系的構建。

（二）打造多元主體參與的網絡安全韌性生態(tài)

韌性網絡注重發(fā)揮多元主體的功能和作用，網絡安全治理不再是簡單地自上而下的應急管理工作，而是要充分整合各類資源。網絡安全治理不僅要實現不同主體的分工協(xié)調，也要注重基礎設施、制度、安全意識層次的構建，形成集物理、制度、意識等于一體的網絡安全韌性生態(tài)。具體而言，在物理韌性方面，需要通過加強網絡防火墻、殺毒軟件、災害備份等配置來提高網絡信息系統(tǒng)適災性。當前，我國網絡安全投入占信息化的比重不到2%，而美國則已經超過了20%，巨大的差異體現出我國在網絡安全物理建設方面的巨大不足。因此，提高網絡物理韌性的前提是加大在網絡安全保障上的投入。在制度韌性方面，壓實網絡安全工作責任制，完善在監(jiān)測預警、信息獲取、資源投入、專業(yè)力量建設等方面的制度，同時有意識地吸收轉化應急處置經驗，不斷修正和完善既有應急處置工作機制和制度，為將來發(fā)生類似或其他不確定的沖擊時進行預測和調整。在網絡安全意識韌性方面，主動培育網絡安全意識，引導全社會充分認識網絡安全在經濟社會穩(wěn)定運行中的基礎性作用，加強網絡安全風險意識和技能的普及，增強網絡安全應急處置能力。

發(fā)揮多元主體作用，勢必要強化信息通報和共享。在傳統(tǒng)社會治理過程中，黨政機關對信息具有天然的優(yōu)勢和壟斷，當談及信息共享時，主要是指黨政部門向社會公眾進行信息公開。網絡社會的扁平性特性使得黨政機關失去了信息優(yōu)勢地位，其他主體特別是網絡安全企業(yè)，由于處在網絡安全治理的第一線，反而能夠掌握黨政機關無法獲得的信息資源。因此，黨政機關既要及時向社會公布網絡安全治理信息資源，與其他主體分享所掌握的政治資源、行政資源，也要通過定期召開多元主體聯席會議、健全信息通報機制等方式，推動網絡安全企業(yè)分享其在網絡安全治理方面的技術和經驗資源。

（三）建構基于危機的持續(xù)學習機制

韌性網絡具有自我學習和自我適應的特征，可以將已有的知識進行吸收轉化，為應對不確定性風險提供準備。這種能力的獲得離不開對風險預防、應急管理的知識、經驗以及教訓的總結、反思和提升。因此，建立基于危機的持續(xù)學習機制，是提高信息基礎設施對風險動態(tài)適應能力和共生共存的必然選擇。具體而言，應當從主體、制度和內容入手。在學習主體層面，社會組織、企業(yè)和個人可以有效彌補黨政機關應急處置的局限性，要把黨政機關和社會組織、企業(yè)、個人等主體有效聯結，對網絡安全危機開展多主體多角度的綜合審視和學習。在學習機制層面，建立以問題為導向，從網絡安全應急部門的單一學習轉向社會共同學習，從單一危機的針對性學習拓展到多種危機的交叉學習。在學習內容層面，把學習貫穿網絡安全治理全過程，通過建立動態(tài)更新的集成案例數據庫，由黨政機關、社會組織、企業(yè)、個體等多主體多視角探討各類應急案例，形成情境—策略式的案例輸入與對策輸出，為開展全過程學習提供教學參考。

與其他領域不同，韌性網絡尤其強調對新技術新應用領域網絡安全治理的學習、評估和適應。人工智能、區(qū)塊鏈、量子信息技術、5G、物聯網等新技術新應用持續(xù)發(fā)展，并進一步同各產業(yè)深度融合，對網絡安全帶來了顛覆性影響。一方面，這些前沿技術持續(xù)吸引網絡惡意者目光，引發(fā)高度定制、更具復雜性的網絡攻擊出現，比如，深度偽造被網絡安全業(yè)內評為最危險的人工智能技術之一，其惡意利用呈現出規(guī)?；?、武器化發(fā)展態(tài)勢。另一方面，新技術新應用為人們應對日趨復雜的網絡安全問題不斷提供了新思路，成為抵御各種網絡威脅的重要技術來源。無論是利用新技術新應用賦能網絡安全，還是防御其帶來的網絡安全風險，前提都在于建立持續(xù)學習適應的動態(tài)機制，能夠及時跟進網絡信息技術發(fā)展最新態(tài)勢，全面評估可能帶來的網絡安全風險，提前制定監(jiān)測預警、防御和應急處置策略。

（四）構建基于韌性視角的網絡安全治理評估體系

“評估”是治理的應有之義。韌性網絡是一個不斷探索改進的過程，網絡安全治理體系和能力提升取得了哪些成就、還存在哪些問題，都需要有一個準確的評估。建立起一套科學合理的評估指標體系，才能有效判斷網絡韌性的變化以及成效。網絡安全是經濟社會穩(wěn)定運行的重要保障，構建網絡安全治理體系也成為城市治理體系的重要組成部分，學者們圍繞如何構建完善網絡安全治理體系、提升網絡安全治理能力作了不少研究，但至今沒有提出基于韌性視角的網絡安全治理評估體系。因此，很有必要構建一套韌性網絡的評估指標體系，聚焦抵御力、恢復力、學習力對網絡治理體系和能力進行較為全面的評估和考量，為科學評估地域網絡安全治理現狀提供技術支撐，并以此為導向，把握網絡安全治理的重點和難點，全面推進韌性網絡建設。

〔參考文獻〕

〔1〕王東杰，謝川豫，王旭東.韌性治理：城市社區(qū)應急管理新向度〔J〕.江淮論壇，2020（06）：33-38+197.

〔2〕Coeure B.Cyber resilience as a global public good〔EB/OL〕. https：//www.bis.org/cpmi/speeches/sp190510.htm.

〔3〕王向楠，吳婷.互聯網韌性監(jiān)管動態(tài)及借鑒意義——以金融業(yè)為例〔J〕.電子政務，2020（01）：51-63.

〔4〕弗蘭克·H.奈特.風險、不確定性與利潤〔M〕.安佳，譯.北京：商務印書館，2010.

責任編輯白慧玲