李衛(wèi)東

【摘要】數(shù)字組織是數(shù)字化時(shí)代的必然產(chǎn)物，是數(shù)字經(jīng)濟(jì)和數(shù)字社會(huì)的重要載體。數(shù)字組織的網(wǎng)絡(luò)安全已經(jīng)成為社會(huì)安全和國(guó)家安全的“命門”。數(shù)字組織網(wǎng)絡(luò)安全治理的目標(biāo)就是要保障數(shù)字組織系統(tǒng)內(nèi)全部要素的安全。在治理思維層面，我們需要強(qiáng)化數(shù)字組織安全治理的系統(tǒng)觀念和整體觀念，不僅要關(guān)注關(guān)鍵數(shù)字要素的安全問題，更要關(guān)注“云邊端生態(tài)系統(tǒng)”中存在的結(jié)構(gòu)性安全問題。在頂層設(shè)計(jì)層面，需要從等級(jí)保護(hù)制度、網(wǎng)絡(luò)安全審查制度和網(wǎng)絡(luò)安全信息共享制度三個(gè)方面進(jìn)一步完善網(wǎng)絡(luò)安全治理制度框架。

【關(guān)鍵詞】數(shù)字組織? 網(wǎng)絡(luò)安全? 治理制度

【中圖分類號(hào)】TP391.9/TP309? ? ? ? ? ? ? ? 【文獻(xiàn)標(biāo)識(shí)碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2024.02.009

數(shù)字化是當(dāng)前經(jīng)濟(jì)社會(huì)發(fā)展的主流。隨著數(shù)字化的不斷深入，人類的社會(huì)結(jié)構(gòu)由純粹的現(xiàn)實(shí)一體性結(jié)構(gòu)衍生出現(xiàn)實(shí)世界和數(shù)字世界并存的二重結(jié)構(gòu)。[1]數(shù)字組織是數(shù)字世界的基本構(gòu)成單元，也是數(shù)字經(jīng)濟(jì)的基本功能單元。整個(gè)社會(huì)數(shù)字化建設(shè)的目標(biāo)就是建立一個(gè)個(gè)能承擔(dān)基本經(jīng)濟(jì)社會(huì)功能的“數(shù)字組織”。因此，數(shù)字組織可看成是一個(gè)與現(xiàn)實(shí)組織相對(duì)應(yīng)的“鏡像”。在數(shù)字化的高度發(fā)達(dá)階段，整個(gè)社會(huì)的正常運(yùn)行和持續(xù)發(fā)展都建立在無數(shù)的數(shù)字組織之上。一旦數(shù)字組織本身出現(xiàn)問題，或遭到攻擊和破壞，就會(huì)小則一個(gè)組織遭受重大損失或停止運(yùn)行，大則整個(gè)社會(huì)陷入混亂。例如，數(shù)字政府一旦受到攻擊，將會(huì)直接動(dòng)搖一個(gè)國(guó)家整體安全的基石；若一些關(guān)乎國(guó)計(jì)民生的數(shù)字企業(yè)遭到侵害，將可能導(dǎo)致整個(gè)國(guó)家蒙受嚴(yán)重的經(jīng)濟(jì)損失。而現(xiàn)實(shí)狀況是，各類數(shù)字組織遭受的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件頻發(fā)，數(shù)字組織網(wǎng)絡(luò)安全形勢(shì)較為嚴(yán)峻。在國(guó)內(nèi)，2018年，一個(gè)包含超2億中國(guó)求職者簡(jiǎn)歷信息的“MongoDB”數(shù)據(jù)庫(kù)被發(fā)現(xiàn)可以公開訪問；同年6月某快遞公司泄露10億條用戶數(shù)據(jù)；8月某快遞公司泄露3億條用戶數(shù)據(jù)，包括寄（收）件人姓名、電話、地址等數(shù)據(jù)項(xiàng)；11月某酒店的系統(tǒng)被入侵導(dǎo)致5億條客戶數(shù)據(jù)泄露，包括客戶的姓名、住址、電話號(hào)碼、電子郵件地址、護(hù)照號(hào)碼、信用卡等數(shù)據(jù)項(xiàng)。在國(guó)外，2019年，委內(nèi)瑞拉全國(guó)23個(gè)州中的18個(gè)州在當(dāng)?shù)貢r(shí)間3月7日下午5點(diǎn)發(fā)生了停電，原因是向全國(guó)提供80%電力的古里水電站遭到蓄意破壞，9日上午，全國(guó)70%的地方恢復(fù)了供電，但沒過多久電子系統(tǒng)再次遭到“高科技手段”實(shí)施的電磁攻擊，導(dǎo)致再次大范圍停電。2021年，美國(guó)最大的成品油管道運(yùn)營(yíng)商Colonial Pipeline在當(dāng)?shù)貢r(shí)間5月7日因受到勒索軟件攻擊，被迫關(guān)閉其美國(guó)東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò)，5月9日，美國(guó)政府宣布，美國(guó)17個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)。

在這種情況下，如何實(shí)現(xiàn)數(shù)字組織的網(wǎng)絡(luò)安全治理是亟待解決的重大理論問題；如何建構(gòu)數(shù)字組織的網(wǎng)絡(luò)安全治理的制度框架是亟待回答的實(shí)踐問題。本文試圖探索上述問題，擬提出數(shù)字組織網(wǎng)絡(luò)安全治理的生態(tài)思維和制度框架。

數(shù)字組織網(wǎng)絡(luò)安全治理的理論綜述

確保數(shù)字組織的網(wǎng)絡(luò)安全是一個(gè)國(guó)家網(wǎng)絡(luò)安全的基礎(chǔ)。數(shù)字組織網(wǎng)絡(luò)安全治理的本質(zhì)是數(shù)字組織與政府職能部門、數(shù)字技術(shù)服務(wù)提供商等有關(guān)責(zé)任主體相互協(xié)作，共同發(fā)現(xiàn)數(shù)字組織所在網(wǎng)絡(luò)環(huán)境中的漏洞，減少或消除網(wǎng)絡(luò)攻擊的威脅。其中漏洞是數(shù)字組織網(wǎng)絡(luò)安全系統(tǒng)中的潛在弱點(diǎn)，威脅是通過利用數(shù)字組織系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)攻擊的可能性。[2]現(xiàn)有研究提出了包括政府監(jiān)管、國(guó)際協(xié)議與合作、技術(shù)治理、自我規(guī)制、多利益攸關(guān)方、多邊主義等多種網(wǎng)絡(luò)安全治理模式，呈現(xiàn)出明顯的多元復(fù)合和統(tǒng)分結(jié)合的特點(diǎn)。[3]如有學(xué)者提出的網(wǎng)絡(luò)安全綜合治理模式強(qiáng)調(diào)要給予網(wǎng)絡(luò)企業(yè)、第三部門尤其是網(wǎng)民公眾參與網(wǎng)絡(luò)安全治理的權(quán)利和機(jī)會(huì)，[4]構(gòu)建以政府、企業(yè)、網(wǎng)民為主體的網(wǎng)絡(luò)協(xié)同治理機(jī)制。[5]“多利益攸關(guān)方”治理模式則側(cè)重從公司和技術(shù)精英的技術(shù)治理層面對(duì)市場(chǎng)和社會(huì)兩者進(jìn)行融合。[6]當(dāng)前對(duì)治理模式的爭(zhēng)議主要集中在對(duì)美國(guó)等西方發(fā)達(dá)國(guó)家實(shí)踐的多利益攸關(guān)方共同治理模式與以中國(guó)和俄羅斯為代表的主權(quán)國(guó)家政府主導(dǎo)的治理模式的比較上。[7]而由“賦權(quán)社群”主導(dǎo)、基于“多利益攸關(guān)方”的共治模式正逐漸成為共識(shí)。我國(guó)2020年施行的《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》也從制度層面明確了中國(guó)共產(chǎn)黨領(lǐng)導(dǎo)下多元參與協(xié)同共治的治理模式，由政府、企業(yè)、社會(huì)、網(wǎng)民等主體共同發(fā)揮作用。[8]但總體來看，目前我國(guó)的網(wǎng)絡(luò)立法不夠系統(tǒng)全面，行業(yè)自律缺乏主動(dòng)性和創(chuàng)造性，配合網(wǎng)絡(luò)安全治理的信息技術(shù)工具體系尚未建立。[9]因此，在國(guó)家層面完善立法，在行業(yè)層面加強(qiáng)自律，在市場(chǎng)主體層面建立信息技術(shù)工具體系，是提高我國(guó)網(wǎng)絡(luò)治理能力的有效路徑。[10]

數(shù)字組織網(wǎng)絡(luò)安全治理的關(guān)鍵問題是如何建構(gòu)一個(gè)科學(xué)的治理框架，以實(shí)現(xiàn)數(shù)字組織與政府職能部門、數(shù)字技術(shù)服務(wù)提供商等多個(gè)治理主體的相互協(xié)作治理。不過，國(guó)家整體層面的網(wǎng)絡(luò)治理是以政府為主導(dǎo)的，數(shù)字組織網(wǎng)絡(luò)安全的責(zé)任主體還在于數(shù)字組織本身。在這個(gè)前提下，如何劃分各個(gè)主體的治理職能，如何分配各個(gè)主體的治理權(quán)力，如何形成體系完備的治理制度，是需要探討的幾個(gè)重要問題。

首先，在頂層設(shè)計(jì)層面，應(yīng)注意提升國(guó)家參與網(wǎng)絡(luò)空間治理的能力。例如，技術(shù)性權(quán)力、解釋性權(quán)力和制度性權(quán)力等，進(jìn)而努力實(shí)現(xiàn)公平、有序的治理。[11]有學(xué)者指出，為了滿足我國(guó)經(jīng)濟(jì)社會(huì)發(fā)展、建設(shè)網(wǎng)絡(luò)生態(tài)家園以及面對(duì)復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)的現(xiàn)實(shí)需要，法治化是目前網(wǎng)絡(luò)安全治理的最優(yōu)模式。[12]

其次，在政府層面，我國(guó)網(wǎng)絡(luò)安全治理應(yīng)加快推進(jìn)由碎片化管理到協(xié)同化治理、靜態(tài)化管理到動(dòng)態(tài)化治理、控制式管理到法治化治理以及機(jī)械化管理到生態(tài)化治理取向的轉(zhuǎn)型。[13]在此過程中，進(jìn)一步明確政府的治理職能定位，積極推進(jìn)公私合作，實(shí)現(xiàn)數(shù)字組織網(wǎng)絡(luò)安全的合作治理。[14]

最后，在數(shù)字組織層面，需要綜合運(yùn)用系統(tǒng)思維和辯證思維，切實(shí)承擔(dān)主體責(zé)任，綜合考慮數(shù)字組織網(wǎng)絡(luò)安全與成本、發(fā)展、開放和權(quán)利的關(guān)系，[15]不能因?yàn)轭檻]安全問題而放棄數(shù)字組織的建設(shè)和發(fā)展。

據(jù)此，下文試圖從治理思維和治理制度兩個(gè)層面提出數(shù)字組織網(wǎng)絡(luò)安全的治理框架。在明確安全治理的總體目標(biāo)前提下，治理思維旨在闡明安全治理的總體思路，治理制度旨在闡明頂層設(shè)計(jì)視角的治理路徑。在此基礎(chǔ)上，構(gòu)建以安全基礎(chǔ)設(shè)施為基礎(chǔ)、以數(shù)字組織自身的安全管理為中心、以法律制度為保障的三位一體的數(shù)字組織網(wǎng)絡(luò)安全治理體系。[16]此治理框架旨在構(gòu)建協(xié)同共治的網(wǎng)絡(luò)秩序格局，保障各類數(shù)字組織自身的權(quán)益，實(shí)現(xiàn)公共利益最大化。[17]此治理框架的建立，需要國(guó)家權(quán)力機(jī)關(guān)制定和完善網(wǎng)絡(luò)安全治理的法律法規(guī)，國(guó)家行政機(jī)關(guān)制定和完善有關(guān)的政策、規(guī)范和監(jiān)管機(jī)制，并引導(dǎo)數(shù)字組織積極參與網(wǎng)絡(luò)安全治理。[18]

數(shù)字組織網(wǎng)絡(luò)安全治理的生態(tài)系統(tǒng)思維

數(shù)字組織本質(zhì)上是一個(gè)由云邊端的海量數(shù)字要素（設(shè)施、平臺(tái)、應(yīng)用和數(shù)據(jù)）相互連接而成的復(fù)雜生態(tài)系統(tǒng)，涵蓋云端、邊緣端和終端的各類基礎(chǔ)設(shè)施、應(yīng)用平臺(tái)、數(shù)據(jù)和終端設(shè)備。無論云端、邊緣端和終端的哪種數(shù)字要素受到攻擊，整個(gè)生態(tài)系統(tǒng)的安全缺口都可能被打開，進(jìn)而衍生出一系列安全問題，甚至導(dǎo)致嚴(yán)重的安全災(zāi)難。強(qiáng)化數(shù)字組織安全治理的系統(tǒng)觀念和整體觀念，不僅要關(guān)注關(guān)鍵數(shù)字要素的安全問題，更要關(guān)注“云邊端生態(tài)系統(tǒng)”中存在的結(jié)構(gòu)性安全問題。確?！霸七叾松鷳B(tài)系統(tǒng)”的安全就相當(dāng)于加固數(shù)字組織的“邊界”，只要“邊界”安全了，“邊界”里面裝載的內(nèi)容自然也就安全了。加強(qiáng)“云邊端生態(tài)系統(tǒng)”安全治理的具體思路包括三個(gè)方面。

一是盡可能地消除云邊端生態(tài)系統(tǒng)安全保障體系中的薄弱環(huán)節(jié)。云邊端生態(tài)系統(tǒng)安全保障體系中的薄弱環(huán)節(jié)相當(dāng)于人的“命門”。盡管云邊端生態(tài)系統(tǒng)中某些局部的安全性很強(qiáng)，但攻擊者往往會(huì)掃描和嗅探云邊端生態(tài)系統(tǒng)中存在安全漏洞，并以其數(shù)字要素作為突破口，攻入云邊端生態(tài)系統(tǒng)的要害。例如，在云邊端生態(tài)系統(tǒng)中，僅具有有限資源的邊緣設(shè)施和物聯(lián)網(wǎng)終端，難以部署較為高級(jí)的安全保障機(jī)制，如復(fù)雜的加密算法。[19]這些邊緣設(shè)施和物聯(lián)網(wǎng)終端極易被入侵者進(jìn)行“重新編程”，以便通過它將數(shù)據(jù)發(fā)送到入侵者的數(shù)據(jù)庫(kù)服務(wù)器。[20]如2018年，某犯罪團(tuán)伙將安裝在物流網(wǎng)點(diǎn)手持終端（俗稱“巴槍”）中的“菜鳥驛站”應(yīng)用軟件破解后，植入控件程序，直接通過數(shù)據(jù)回傳獲得數(shù)據(jù)，非法竊取“菜鳥驛站”快遞數(shù)據(jù)超過1000萬(wàn)條。[21]同時(shí)，敏感數(shù)據(jù)也可能經(jīng)由組件分析被提取出來，云邊端生態(tài)系統(tǒng)中的某個(gè)硬件或軟件部件也可能被非法替換。[22]在未來，數(shù)字工廠中的智能制造設(shè)備，數(shù)字組織辦公區(qū)域內(nèi)安裝和使用的智能電表、智能家居，以及數(shù)字組織員工使用的智能汽車都可能成為攻擊的對(duì)象。如根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2020年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告》可知，工業(yè)控制系統(tǒng)安全方面，我國(guó)有4630臺(tái)工業(yè)設(shè)備被暴露在互聯(lián)網(wǎng)上，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)持續(xù)遭受來自境外的掃描嗅探。為此，數(shù)字組織需要建立統(tǒng)一的或協(xié)調(diào)一致的云邊端生態(tài)系統(tǒng)訪問控制和身份認(rèn)證機(jī)制，以便為數(shù)字流程在分布式邊緣節(jié)點(diǎn)和物聯(lián)網(wǎng)終端設(shè)備間的切換提供可靠高效的安全保障。

二是確保數(shù)據(jù)在云端、邊緣端和終端間的傳輸安全。盡管在云邊端生態(tài)系統(tǒng)中，邊緣節(jié)點(diǎn)無需將大量原始數(shù)據(jù)實(shí)時(shí)向云端傳輸，但大量邊緣節(jié)點(diǎn)之間、邊緣節(jié)點(diǎn)與終端設(shè)備之間、終端設(shè)備之間的數(shù)據(jù)傳輸是不可避免的。特別是，在擁有數(shù)字工廠的數(shù)字組織中，大量工業(yè)設(shè)備已接入網(wǎng)絡(luò)，設(shè)備間、機(jī)器間的數(shù)據(jù)傳輸無處不在。具體而言，數(shù)字組織的數(shù)字流程在流轉(zhuǎn)過程中，其數(shù)據(jù)傳輸和信息交互可能發(fā)生在云端與云端之間，也可能發(fā)生在云端與應(yīng)用端、云端與邊緣端、云端與終端之間。因此，數(shù)字組織必須確保敏感數(shù)據(jù)在頻繁傳輸中不被監(jiān)聽和竊取。

三是確保國(guó)家網(wǎng)絡(luò)邊疆的總體安全，有效防范網(wǎng)絡(luò)恐怖活動(dòng)。數(shù)字組織的云邊端生態(tài)系統(tǒng)在整個(gè)國(guó)家的網(wǎng)絡(luò)空間生態(tài)系統(tǒng)中，也僅僅是一個(gè)子系統(tǒng)。單個(gè)數(shù)字組織內(nèi)的數(shù)字要素安全有賴于云邊端生態(tài)系統(tǒng)的整體安全；單一數(shù)字組織的云邊端生態(tài)系統(tǒng)安全也有賴于國(guó)家網(wǎng)絡(luò)邊疆的總體安全。網(wǎng)絡(luò)邊疆是一國(guó)劃定的屬于本國(guó)主權(quán)管轄范圍內(nèi)的網(wǎng)絡(luò)空間，國(guó)家對(duì)網(wǎng)絡(luò)邊疆內(nèi)信息、數(shù)據(jù)的流通行為具有管轄權(quán)，若未經(jīng)授權(quán)進(jìn)行竊取，就是對(duì)國(guó)家主權(quán)的侵犯。[23]特別是，國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施往往是各類數(shù)字組織正常運(yùn)行的基礎(chǔ)，包括公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會(huì)保障、公用事業(yè)等領(lǐng)域數(shù)字組織中的重要信息系統(tǒng)，以及重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)。這些國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的安全是數(shù)字組織網(wǎng)絡(luò)安全的“基石”，一旦出現(xiàn)問題，后果不堪設(shè)想。當(dāng)前，我國(guó)網(wǎng)絡(luò)安全的總體形勢(shì)不容樂觀。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《第49次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2021年12月，全國(guó)各級(jí)網(wǎng)絡(luò)舉報(bào)部門共受理舉報(bào)16622.4萬(wàn)件，較2020年同期（16319.2萬(wàn)件）增長(zhǎng)1.9%。2021年，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)收集整理信息系統(tǒng)安全漏洞143319個(gè)，較2020年同期（20721個(gè)）增長(zhǎng)591.7%；其中，收集整理信息系統(tǒng)高危漏洞40498個(gè)，較2020年同期（7422個(gè)）增長(zhǎng)445.6%。特別是，一些非法團(tuán)體、恐怖組織出于政治、社會(huì)或宗教目的，通過互聯(lián)網(wǎng)針對(duì)某個(gè)國(guó)家的關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行非法攻擊，以恐嚇或脅迫政府、國(guó)際組織或公民等。[24]這種對(duì)網(wǎng)絡(luò)恐怖主義行為的防范已經(jīng)超出了單一組織的能力范疇，屬于網(wǎng)絡(luò)邊疆的范疇。因此，我們只有從總體上確保國(guó)家網(wǎng)絡(luò)邊疆的安全，才能為數(shù)字組織的網(wǎng)絡(luò)安全提供堅(jiān)實(shí)的基礎(chǔ)保障。

數(shù)字組織網(wǎng)絡(luò)安全治理的制度框架

數(shù)字組織網(wǎng)絡(luò)安全的責(zé)任主體是組織自身。如前所述，數(shù)字組織網(wǎng)絡(luò)安全不僅關(guān)系到數(shù)字組織自身的生存和發(fā)展，更重要的是關(guān)乎國(guó)家網(wǎng)絡(luò)空間的總體安全。如何確保數(shù)字組織切實(shí)履行安全治理責(zé)任？國(guó)家必須建立健全網(wǎng)絡(luò)安全的法律制度框架，為數(shù)字組織的網(wǎng)絡(luò)安全治理提供基本遵循。

現(xiàn)有制度建設(shè)的不足。從制度建設(shè)來看，我國(guó)在網(wǎng)絡(luò)安全領(lǐng)域的制度建設(shè)已取得一定成效。如在戰(zhàn)略層面，2016年，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布并實(shí)施了《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》，闡明了我國(guó)在網(wǎng)絡(luò)空間安全與發(fā)展問題上的戰(zhàn)略立場(chǎng)和主張，細(xì)化了網(wǎng)絡(luò)安全治理的目標(biāo)與任務(wù)，是當(dāng)前我國(guó)開展網(wǎng)絡(luò)安全治理的綱領(lǐng)性文件。在法律層面，相繼完成網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)等領(lǐng)域的專門立法，確立了共同治理的基本理念和思路，設(shè)置了大量的倡導(dǎo)性規(guī)范，[25]標(biāo)志著中國(guó)的網(wǎng)絡(luò)安全治理已進(jìn)入法治化軌道。在行政法規(guī)和部門規(guī)章中，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全、工業(yè)互聯(lián)網(wǎng)安全、云計(jì)算服務(wù)安全、網(wǎng)絡(luò)安全審查等內(nèi)容作出了具體規(guī)定。在標(biāo)準(zhǔn)和細(xì)則層面，截至2021年，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)下屬的4個(gè)工作組（信息安全評(píng)估工作組、通信安全標(biāo)準(zhǔn)工作組、信息安全管理工作組和大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組）共發(fā)布211項(xiàng)相關(guān)國(guó)家標(biāo)準(zhǔn)，[26]涉及網(wǎng)絡(luò)安全等級(jí)保護(hù)、網(wǎng)絡(luò)安全漏洞管理、網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全、代碼安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)存儲(chǔ)安全、大數(shù)據(jù)安全、個(gè)人信息安全、云計(jì)算服務(wù)安全等領(lǐng)域的具體規(guī)定和實(shí)施細(xì)則?？傮w來看，中國(guó)已經(jīng)形成了包括戰(zhàn)略規(guī)劃、法律、行政法規(guī)、司法解釋、部門規(guī)章、地方法規(guī)、地方規(guī)章、企業(yè)管理規(guī)定以及其他規(guī)范性文件在內(nèi)的較為健全的網(wǎng)絡(luò)管理制度框架。

然而，現(xiàn)有制度建設(shè)也存在一定的滯后性，導(dǎo)致關(guān)鍵制度和治理結(jié)構(gòu)不足以應(yīng)對(duì)大數(shù)據(jù)和云服務(wù)所面臨的安全和隱私問題。當(dāng)前，網(wǎng)絡(luò)空間的技術(shù)架構(gòu)不斷向云邊端融合的方向發(fā)展，這一布局正催生出一個(gè)以云計(jì)算、物聯(lián)網(wǎng)和邊緣計(jì)算為基礎(chǔ)、以核心企業(yè)為主導(dǎo)、產(chǎn)業(yè)鏈上各主體相互配合并在政府監(jiān)管支持下安全運(yùn)作的云邊端生態(tài)，系統(tǒng)中的各要素相互影響、相互制約，并不斷演化以求達(dá)到動(dòng)態(tài)平衡狀態(tài)。技術(shù)環(huán)境的變化導(dǎo)致網(wǎng)絡(luò)安全保障的基礎(chǔ)理論和制度建設(shè)已經(jīng)不能滿足現(xiàn)實(shí)的需要。具體而言，云邊端生態(tài)環(huán)境下，遠(yuǎn)程辦公、醫(yī)療、教育等領(lǐng)域涉及節(jié)點(diǎn)眾多，應(yīng)用環(huán)境復(fù)雜，包括網(wǎng)絡(luò)接入環(huán)境、終端設(shè)備、數(shù)據(jù)存儲(chǔ)、云平臺(tái)、可信認(rèn)證、密碼強(qiáng)度等，若存在薄弱環(huán)節(jié)，可能引發(fā)網(wǎng)絡(luò)遠(yuǎn)程協(xié)同業(yè)態(tài)中的系統(tǒng)運(yùn)行安全、網(wǎng)絡(luò)邊界安全、數(shù)據(jù)安全等方面的風(fēng)險(xiǎn)。如2014年國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》從控制能力、責(zé)任界定、司法管轄、數(shù)據(jù)安全等方面明確指出可能存在的云計(jì)算安全風(fēng)險(xiǎn)。但現(xiàn)行制度并未對(duì)數(shù)字組織應(yīng)如何應(yīng)對(duì)新技術(shù)生態(tài)環(huán)境下的安全風(fēng)險(xiǎn)問題作出規(guī)定，尤其是當(dāng)面臨重大的網(wǎng)絡(luò)安全問題時(shí)，各職能部門存在條塊分割、權(quán)責(zé)不清、橫向協(xié)調(diào)困難等一系列問題，難以形成有效的網(wǎng)絡(luò)安全協(xié)調(diào)治理體系。同時(shí)，在構(gòu)建網(wǎng)絡(luò)安全體系框架時(shí)，在政府職能部門、企業(yè)、事業(yè)單位和個(gè)人等網(wǎng)絡(luò)安全服務(wù)者的責(zé)任與義務(wù)分配（如數(shù)字組織的安全審查義務(wù)）、安全等級(jí)劃分、不同主體之間的聯(lián)動(dòng)與信息共享等方面的制度建設(shè)存在薄弱之處。例如，有學(xué)者指出，我國(guó)網(wǎng)絡(luò)安全治理的法律仍有需要完善的地方，法律對(duì)策應(yīng)當(dāng)直指預(yù)防、控制安全風(fēng)險(xiǎn)的客觀需求，以程序保障為重點(diǎn)，從評(píng)估、責(zé)任和應(yīng)急三方面展開過程控制的制度設(shè)計(jì)。[27]國(guó)家也應(yīng)當(dāng)以網(wǎng)絡(luò)社會(huì)各分層主體的法律地位為基礎(chǔ)來構(gòu)建網(wǎng)絡(luò)安全治理的法律規(guī)范體系。[28]網(wǎng)絡(luò)安全治理的法律規(guī)范體系應(yīng)當(dāng)涵蓋國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施和重要數(shù)據(jù)的安全保障、數(shù)字技術(shù)服務(wù)提供商的行為規(guī)制、網(wǎng)絡(luò)信息傳播主體的行為約束等方面。

健全網(wǎng)絡(luò)安全治理制度框架。面對(duì)互聯(lián)網(wǎng)生態(tài)系統(tǒng)的巨復(fù)雜性，互聯(lián)網(wǎng)技術(shù)發(fā)展帶來的新挑戰(zhàn)與新風(fēng)險(xiǎn)，互聯(lián)網(wǎng)管理中政府、市場(chǎng)、社會(huì)等多元主體權(quán)力邊界模糊，管理缺位、越位、錯(cuò)位，以及網(wǎng)絡(luò)安全突發(fā)事件等各種現(xiàn)實(shí)難題，數(shù)字組織作為網(wǎng)絡(luò)安全的治理主體之一，應(yīng)該承擔(dān)哪些主體責(zé)任，如何與政府部門、數(shù)字技術(shù)服務(wù)提供商（網(wǎng)絡(luò)運(yùn)營(yíng)者、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、云平臺(tái)管理運(yùn)營(yíng)者）、社會(huì)組織（非政府組織和非盈利組織）、互聯(lián)網(wǎng)社群和網(wǎng)絡(luò)用戶等其他主體進(jìn)行有效的協(xié)作？為回答這些問題，本文擬從等級(jí)保護(hù)制度、網(wǎng)絡(luò)安全審查制度和網(wǎng)絡(luò)安全信息共享制度三個(gè)方面，來討論如何進(jìn)一步完善網(wǎng)絡(luò)安全治理制度框架。

第一，等級(jí)保護(hù)制度。信息系統(tǒng)等級(jí)保護(hù)系列國(guó)家標(biāo)準(zhǔn)被廣泛應(yīng)用于網(wǎng)絡(luò)安全職能部門、各行業(yè)和領(lǐng)域的網(wǎng)絡(luò)安全管理部門及等級(jí)測(cè)評(píng)機(jī)構(gòu)開展系統(tǒng)定級(jí)、安全建設(shè)整改、等級(jí)測(cè)評(píng)、安全自查和安全監(jiān)督檢查等相關(guān)工作。[29]2019年12月1日，配合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019），即“等級(jí)保護(hù)2.0”正式實(shí)施，確立了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的法律地位，明確了網(wǎng)絡(luò)安全等級(jí)。等級(jí)保護(hù)2.0實(shí)現(xiàn)了新技術(shù)、新應(yīng)用對(duì)安全保護(hù)對(duì)象和安全保護(hù)領(lǐng)域的全覆蓋，更加突出技術(shù)思維和立體防范；對(duì)安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、等級(jí)保護(hù)對(duì)象的運(yùn)營(yíng)使用單位及主管部門的等級(jí)保護(hù)工作提出了更加細(xì)致的規(guī)定；[30]依據(jù)“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，明確了等級(jí)保護(hù)的主體職責(zé)。數(shù)字組織須依據(jù)等級(jí)保護(hù)2.0開展定級(jí)評(píng)審，明確自身的網(wǎng)絡(luò)安全等級(jí)要求，建立數(shù)字組織內(nèi)部的安全等級(jí)保護(hù)制度。數(shù)字組織可以根據(jù)各類數(shù)據(jù)的敏感程度將組織的數(shù)據(jù)資源進(jìn)行分級(jí)，區(qū)分敏感數(shù)據(jù)并對(duì)其進(jìn)行加密存儲(chǔ)。[31]具體內(nèi)容包括劃分和認(rèn)定全部數(shù)字資源的密級(jí)；設(shè)定每位用戶的數(shù)字流程身份，設(shè)定每種數(shù)字流程身份的數(shù)據(jù)訪問權(quán)限和數(shù)字平臺(tái)操作權(quán)限；建立組織成員與數(shù)字流程身份的匹配與對(duì)應(yīng)關(guān)系。有學(xué)者提出，可以使用數(shù)據(jù)防護(hù)成熟度[32]測(cè)量模型來評(píng)估和提升一個(gè)組織的數(shù)據(jù)管理水平。[33]該模型將數(shù)據(jù)防護(hù)成熟度劃分為五個(gè)等級(jí)，包括初始級(jí)、已管理級(jí)、已定義級(jí)、定量管理級(jí)和優(yōu)化級(jí)。[34]“初始級(jí)”的數(shù)據(jù)缺乏管理的有效性；“已管理級(jí)”的數(shù)據(jù)管理通常以項(xiàng)目為基礎(chǔ)展開；“已定義級(jí)”的數(shù)據(jù)管理在組織層面展開且具有主動(dòng)性；“定量管理級(jí)”的數(shù)據(jù)管理可測(cè)評(píng)且可控；“優(yōu)化級(jí)”的數(shù)據(jù)管理注重?cái)?shù)據(jù)的改進(jìn)與提高。[35]數(shù)字組織可以自行開展數(shù)據(jù)防護(hù)成熟度水平的等級(jí)評(píng)估，找出漏洞和不足，不斷提高數(shù)據(jù)管理水平，以便更好地滿足國(guó)家對(duì)等級(jí)保護(hù)的要求。

第二，網(wǎng)絡(luò)安全審查制度。目前，大量國(guó)外數(shù)字技術(shù)產(chǎn)品和服務(wù)已經(jīng)深度滲透至中國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)和各類組織的數(shù)字化建設(shè)中，中國(guó)的網(wǎng)絡(luò)安全審查面臨著嚴(yán)峻挑戰(zhàn)。[36]實(shí)施網(wǎng)絡(luò)安全審查制度已經(jīng)成為世界各國(guó)的通行做法。如美國(guó)建立的網(wǎng)絡(luò)安全審查機(jī)制具有內(nèi)容廣泛、審查嚴(yán)苛、標(biāo)準(zhǔn)模糊等特點(diǎn)。[37]2022年2月，由國(guó)家互聯(lián)網(wǎng)信息辦公室等13部門聯(lián)合修訂發(fā)布的《網(wǎng)絡(luò)安全審查辦法》開始施行，該辦法要求，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的，應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國(guó)家安全風(fēng)險(xiǎn)。影響或者可能影響國(guó)家安全的，應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。

如果一個(gè)數(shù)字組織建設(shè)的數(shù)字平臺(tái)和數(shù)字設(shè)施屬于關(guān)鍵信息基礎(chǔ)設(shè)施，無疑需要嚴(yán)格遵守該辦法。但一般的數(shù)字組織在數(shù)字化建設(shè)中同樣需要采購(gòu)和部署大量數(shù)字技術(shù)產(chǎn)品和專門的安全產(chǎn)品。因此，數(shù)字組織需要建立其內(nèi)部的網(wǎng)絡(luò)安全審查制度。一方面，需要審查組織數(shù)字化建設(shè)方案中所采用的國(guó)外數(shù)字技術(shù)及產(chǎn)品是否會(huì)給數(shù)字組織帶來安全威脅。例如，某些西方國(guó)家的情報(bào)組織自冷戰(zhàn)時(shí)期至21世紀(jì)初期，一直秘密地控制第三方公司向外國(guó)政府和企業(yè)出售加密機(jī)器，一邊賺取數(shù)百萬(wàn)美元的高額利潤(rùn)，一邊收集重要情報(bào)。[38]另一方面，需要審查組織的數(shù)字化建設(shè)方案中涉及的關(guān)鍵核心技術(shù)是否自主可控，是否存在“斷供”風(fēng)險(xiǎn)。

第三，網(wǎng)絡(luò)安全信息共享制度。如前所述，數(shù)字組織本身是一個(gè)典型的“云邊端生態(tài)系統(tǒng)”，數(shù)字組織之間的開放合作也能形成一個(gè)復(fù)雜網(wǎng)絡(luò)系統(tǒng)。某一數(shù)字組織一旦發(fā)生網(wǎng)絡(luò)安全事件，可能直接導(dǎo)致與其有關(guān)聯(lián)的其他數(shù)字組織發(fā)生連鎖的安全事故，并最終演化為大范圍的重大網(wǎng)絡(luò)安全事故，直接威脅國(guó)家網(wǎng)絡(luò)安全和國(guó)家總體安全。有學(xué)者提出，國(guó)家需要通過立法從安全信息披露主體、信息披露對(duì)象、信息披露的主要內(nèi)容和時(shí)間、信息披露要求和責(zé)任，以及信息披露的例外等五個(gè)方面建立網(wǎng)絡(luò)安全事件信息披露機(jī)制。[39]也有學(xué)者提出，建立強(qiáng)有力的獎(jiǎng)懲制度和訂立信息共享道德契約，能夠有效構(gòu)建網(wǎng)絡(luò)安全威脅情報(bào)共享與交換機(jī)制。[40]安全信息共享的范圍主要包括數(shù)字組織與政府間的安全信息共享，數(shù)字組織之間的安全信息共享，數(shù)字組織與社會(huì)公眾間的安全信息共享。

一是數(shù)字組織與政府間的安全信息共享。數(shù)字組織較難依靠自身的力量響應(yīng)和處置突發(fā)網(wǎng)絡(luò)安全事件，因此必須及時(shí)向國(guó)家有關(guān)部門報(bào)告。如在“阿里云阿帕奇”事件中，阿里云工程師發(fā)現(xiàn)了一個(gè)重大安全漏洞，按照行業(yè)規(guī)定上報(bào)到開發(fā)方阿帕奇社區(qū)，但并沒有按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息，導(dǎo)致我國(guó)網(wǎng)絡(luò)安全在長(zhǎng)達(dá)15天的時(shí)間里面臨重大威脅。對(duì)于涉及跨境網(wǎng)絡(luò)攻擊和跨境網(wǎng)絡(luò)犯罪問題的網(wǎng)絡(luò)安全事件，只有及時(shí)上報(bào)，相關(guān)政府機(jī)構(gòu)才有權(quán)限開展跨境協(xié)作，國(guó)家相關(guān)部門才能及早介入調(diào)查事故原因，科學(xué)判斷此次安全事件是否威脅國(guó)家安全，及時(shí)防止網(wǎng)絡(luò)安全問題的進(jìn)一步升級(jí)和惡化。

二是數(shù)字組織之間的安全信息共享。數(shù)字組織的網(wǎng)絡(luò)安全問題本質(zhì)上是云邊端生態(tài)系統(tǒng)的安全問題，該生態(tài)系統(tǒng)中任何一個(gè)硬件系統(tǒng)或軟件系統(tǒng)出現(xiàn)安全事故，都可能涌現(xiàn)出一系列新的安全問題。如果云邊端生態(tài)系統(tǒng)中涉及的各類產(chǎn)品和服務(wù)提供商之間無法充分共享安全信息，就難以采取協(xié)調(diào)一致的安全防范和應(yīng)急處置行動(dòng)，最終可能導(dǎo)致系統(tǒng)性風(fēng)險(xiǎn)。

三是數(shù)字組織與社會(huì)公眾間的安全信息共享。數(shù)字組織需要主動(dòng)向用戶共享涉及個(gè)人隱私的安全信息，包括將收集哪些個(gè)人數(shù)據(jù)，如何使用收集到的個(gè)人數(shù)據(jù)，是否會(huì)向第三方機(jī)構(gòu)開放這些個(gè)人數(shù)據(jù)。同時(shí)，數(shù)字組織網(wǎng)絡(luò)安全事件一般都涉及用戶的切實(shí)利益，一旦事故發(fā)生應(yīng)向用戶及時(shí)通報(bào)有關(guān)情況，以便用戶配合做好相關(guān)的事后處置事宜，以防用戶在不知情的情況下受到人身安全和財(cái)產(chǎn)安全的二次損害。例如，一些數(shù)字組織網(wǎng)絡(luò)安全事件中，用戶的個(gè)人數(shù)據(jù)遭到大量泄露，直接威脅用戶的隱私安全。若不及時(shí)向用戶通報(bào)，不法分子可能利用泄露的個(gè)人數(shù)據(jù)對(duì)用戶實(shí)施詐騙等犯罪行為。如據(jù)央視“3·15”晚會(huì)曝光，多家在線招聘網(wǎng)站存在簡(jiǎn)歷泄露情況，記者僅花費(fèi)7元，便在網(wǎng)上購(gòu)買到一份求職者簡(jiǎn)歷。而這些在線招聘網(wǎng)站從未主動(dòng)向用戶通報(bào)過相關(guān)情況。

結(jié)語(yǔ)

數(shù)字組織是數(shù)字化時(shí)代的必然產(chǎn)物，是數(shù)字經(jīng)濟(jì)和數(shù)字社會(huì)的構(gòu)成要素和重要載體，數(shù)字組織網(wǎng)絡(luò)安全關(guān)乎國(guó)家總體安全。數(shù)字組織網(wǎng)絡(luò)安全治理要保障數(shù)字組織系統(tǒng)內(nèi)全部要素的安全，更要關(guān)注“云邊端生態(tài)系統(tǒng)”中存在的結(jié)構(gòu)性安全問題，確?！霸七叾松鷳B(tài)系統(tǒng)”的安全。為了確保數(shù)字組織切實(shí)履行安全治理責(zé)任，國(guó)家必須建立健全網(wǎng)絡(luò)安全的法律制度框架，為數(shù)字組織的網(wǎng)絡(luò)安全治理提供基本遵循。

（本文系國(guó)家社會(huì)科學(xué)基金重大項(xiàng)目“健全互聯(lián)網(wǎng)領(lǐng)導(dǎo)和管理體制研究”的階段性成果，項(xiàng)目編號(hào)：22ZDA078；華中科技大學(xué)新聞與信息傳播學(xué)院博士研究生覃亞林對(duì)本文亦有貢獻(xiàn)）

注釋

[1]蔣廉雄：《數(shù)字化時(shí)代建立領(lǐng)導(dǎo)品牌：理論與模式創(chuàng)新》，北京：社會(huì)科學(xué)文獻(xiàn)出版社，2020年，第220頁(yè)。

[2]See K. Graves， Certified Ethical Hacker Study Guide， Wiley Publishing， Inc.， 2010.

[3]張偉、金蕊：《中外互聯(lián)網(wǎng)治理模式的演化路徑》，《南京郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》，2016年第4期。

[4]何明升：《中國(guó)網(wǎng)絡(luò)治理的定位及現(xiàn)實(shí)路徑》，《中國(guó)社會(huì)科學(xué)》，2016年第7期。

[5]羅方祿：《網(wǎng)絡(luò)非技術(shù)風(fēng)險(xiǎn)及其安全治理》，《中南大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》，2020年第6期。

[6]蔡翠紅：《國(guó)家-市場(chǎng)-社會(huì)互動(dòng)中網(wǎng)絡(luò)空間的全球治理》，《世界經(jīng)濟(jì)與政治》，2013年第9期。

[7]崔保國(guó)：《網(wǎng)絡(luò)空間治理模式的爭(zhēng)議與博弈》，《新聞與寫作》，2016年第10期。

[8]黃楚新、曹曦予：《論中國(guó)共產(chǎn)黨的網(wǎng)絡(luò)治理領(lǐng)導(dǎo)能力》，《科技與出版》，2021年第7期。

[9][10]范靈俊等：《我國(guó)網(wǎng)絡(luò)空間治理的挑戰(zhàn)及對(duì)策》，《電子政務(wù)》，2017年第3期。

[11]任琳、呂欣：《大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)安全治理：議題領(lǐng)域與權(quán)力博弈》，《國(guó)際觀察》，2017年第1期。

[12]魏光禧：《法治化是網(wǎng)絡(luò)治理創(chuàng)新的最優(yōu)模式》，《人民論壇》，2017年第6期。

[13]唐慶鵬、康麗麗：《當(dāng)前我國(guó)網(wǎng)絡(luò)突發(fā)公共事件的發(fā)展新態(tài)勢(shì)及其治理轉(zhuǎn)型》，《求實(shí)》，2018年第4期。

[14]陳越峰：《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的合作治理》，《法學(xué)研究》，2018年第6期。

[15]陶文昭：《網(wǎng)絡(luò)安全的國(guó)家戰(zhàn)略》，《人民論壇》，2016年第4期。

[16]田麗、李洪磊：《網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全綜合治理體系研究》，《情報(bào)雜志》，2007年第2期。

[17]馮建華：《中國(guó)網(wǎng)絡(luò)秩序觀念的生成邏輯與意涵演變》，《南京社會(huì)科學(xué)》，2020年第11期。

[18]張?zhí)N昭：《中國(guó)特色治網(wǎng)之道：理念與成就——十八大以來我國(guó)網(wǎng)絡(luò)空間治理的回顧與思考》，《中國(guó)行政管理》，2019年第1期。

[19]M. Ikram et al.， “An Analysis of the Privacy and Security Risks of Android VPN Permission-Enabled Apps，“ Proceedings of ACM Internet Measurement Conference， 2016， 11.

[20]J. Sathish Kumar and D. R. Patel， “A Survey on Internet of Things： Security and Privacy Issues，“ International Journal of Computer Applications， 2014， 90（11）.

[21]《菜鳥驛站1000萬(wàn)條數(shù)據(jù)被非法竊取：均為學(xué)生快遞信息》，2018年9月21日，https：//tech.sina.com.cn/i/2018-09-21/doc-ihkhfqnt4484262.shtml。

[22]I. Stojmenovic， “Large Scale Cyber-Physical Systems： Distributed Actuation， in-Network Processing and Machine-to-Machine Communications，“ 2013 2nd Mediterranean Conference on Embedded Computing （MECO）， 2013， 6.

[23]吉鵬、許開軼：《政治安全視閾下網(wǎng)絡(luò)邊疆協(xié)同治理的困境及其突破路徑》，《當(dāng)代世界與社會(huì)主義》，2019年第4期。

[24]趙紅艷：《國(guó)際合作背景下的網(wǎng)絡(luò)恐怖主義治理對(duì)策》，《中國(guó)人民公安大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》，2016年第3期。

[25]庹繼光：《〈網(wǎng)絡(luò)安全法〉的治理思路辨析》，《新聞愛好者》，2017年第8期。

[26]數(shù)據(jù)來源于全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的信息安全國(guó)家標(biāo)準(zhǔn)列表，https：//www.tc260.org.cn/advice/list.html。

[27]馬民虎：《網(wǎng)絡(luò)安全：法律的困惑與對(duì)策》，《中國(guó)人民公安大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》，2007年第1期。

[28]黎慈：《社會(huì)分層視野下網(wǎng)絡(luò)安全立法體系的構(gòu)建》，《湖北社會(huì)科學(xué)》，2019年第5期。

[29]曲潔等：《新時(shí)代下網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)思路》，《信息網(wǎng)絡(luò)安全》，2019年第1期。

[30]馬力等：《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T 22239-2019）標(biāo)準(zhǔn)解讀》，《信息網(wǎng)絡(luò)安全》，2019年第2期。

[31]周勝利等：《大數(shù)據(jù)環(huán)境下電信運(yùn)營(yíng)商數(shù)據(jù)安全保護(hù)方案》，《電信科學(xué)》，2017年第5期。

[32]其內(nèi)涵為研究對(duì)象與其完美狀態(tài)的相對(duì)值，包含確定對(duì)象的理想狀態(tài)、目前狀態(tài)以及衡量目前狀態(tài)與理想狀態(tài)之間差距三個(gè)步驟。

[33]黨洪莉、譚海兵：《基于DMM的數(shù)據(jù)管理成熟度模型及在服務(wù)評(píng)估中的應(yīng)用》，《現(xiàn)代情報(bào)》，2017年第9期。

[34]葉蘭：《研究數(shù)據(jù)管理能力成熟度模型評(píng)析》，《圖書情報(bào)知識(shí)》，2015年第2期。

[35]K. Crowston and J. Qin， “A Capability Maturity Model for Scientific Data Management： Evidence from the Literature，“ Proceedings of the American Society for Information Science and Technology， 2011， 48（1）.

[36]李青：《美國(guó)網(wǎng)絡(luò)安全審查制度研究及對(duì)中國(guó)的啟示》，《國(guó)際安全研究》，2017年第2期。

[37]張孟媛、袁鐘怡：《美國(guó)網(wǎng)絡(luò)安全審查制度發(fā)展、特點(diǎn)及啟示》，《網(wǎng)絡(luò)與信息安全學(xué)報(bào)》，2019年第6期。

[38]《美德間諜秘密曝光：多國(guó)通訊加密裝置疑一直被設(shè)“后門”》，2020年2月12日，https：//www.163.com/dy/article/F570C8180534B8CV.html。

[39]趙麗莉、鐘晗：《論網(wǎng)絡(luò)安全事件信息披露機(jī)制的建構(gòu)》，《重慶大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》，2017年第1期。

[40]林玥等：《網(wǎng)絡(luò)安全威脅情報(bào)共享與交換研究綜述》，《計(jì)算機(jī)研究與發(fā)展》，2020年第10期。

責(zé) 編∕李思琪