【摘要】數(shù)字組織是數(shù)字化時(shí)代的必然產(chǎn)物,是數(shù)字經(jīng)濟(jì)和數(shù)字社會(huì)的重要載體。數(shù)字組織的網(wǎng)絡(luò)安全已經(jīng)成為社會(huì)安全和國(guó)家安全的“命門”。數(shù)字組織網(wǎng)絡(luò)安全治理的目標(biāo)就是要保障數(shù)字組織系統(tǒng)內(nèi)全部要素的安全。在治理思維層面,我們需要強(qiáng)化數(shù)字組織安全治理的系統(tǒng)觀念和整體觀念,不僅要關(guān)注關(guān)鍵數(shù)字要素的安全問(wèn)題,更要關(guān)注“云邊端生態(tài)系統(tǒng)”中存在的結(jié)構(gòu)性安全問(wèn)題。在頂層設(shè)計(jì)層面,需要從等級(jí)保護(hù)制度、網(wǎng)絡(luò)安全審查制度和網(wǎng)絡(luò)安全信息共享制度三個(gè)方面進(jìn)一步完善網(wǎng)絡(luò)安全治理制度框架。
【關(guān)鍵詞】數(shù)字組織 網(wǎng)絡(luò)安全 治理制度
【中圖分類號(hào)】TP391.9/TP309 【文獻(xiàn)標(biāo)識(shí)碼】A
【DOI】10.16619/j.cnki.rmltxsqy.2024.02.009
【作者簡(jiǎn)介】李衛(wèi)東,華中科技大學(xué)新聞與信息傳播學(xué)院教授、博導(dǎo),國(guó)家傳播戰(zhàn)略研究院執(zhí)行院長(zhǎng),教育部大數(shù)據(jù)與國(guó)家傳播戰(zhàn)略實(shí)驗(yàn)室(培育)執(zhí)行主任。研究方向?yàn)樵苽鞑ズ腿f(wàn)物互聯(lián)網(wǎng)管理。主要著作有《云傳播時(shí)代:人類傳播與治理的云端化、平臺(tái)化、泛在化、社交化和智慧化革命》《政府信息資源傳播》《智能新媒體》等。
數(shù)字化是當(dāng)前經(jīng)濟(jì)社會(huì)發(fā)展的主流。隨著數(shù)字化的不斷深入,人類的社會(huì)結(jié)構(gòu)由純粹的現(xiàn)實(shí)一體性結(jié)構(gòu)衍生出現(xiàn)實(shí)世界和數(shù)字世界并存的二重結(jié)構(gòu)。[1]數(shù)字組織是數(shù)字世界的基本構(gòu)成單元,也是數(shù)字經(jīng)濟(jì)的基本功能單元。整個(gè)社會(huì)數(shù)字化建設(shè)的目標(biāo)就是建立一個(gè)個(gè)能承擔(dān)基本經(jīng)濟(jì)社會(huì)功能的“數(shù)字組織”。因此,數(shù)字組織可看成是一個(gè)與現(xiàn)實(shí)組織相對(duì)應(yīng)的“鏡像”。在數(shù)字化的高度發(fā)達(dá)階段,整個(gè)社會(huì)的正常運(yùn)行和持續(xù)發(fā)展都建立在無(wú)數(shù)的數(shù)字組織之上。一旦數(shù)字組織本身出現(xiàn)問(wèn)題,或遭到攻擊和破壞,就會(huì)小則一個(gè)組織遭受重大損失或停止運(yùn)行,大則整個(gè)社會(huì)陷入混亂。例如,數(shù)字政府一旦受到攻擊,將會(huì)直接動(dòng)搖一個(gè)國(guó)家整體安全的基石;若一些關(guān)乎國(guó)計(jì)民生的數(shù)字企業(yè)遭到侵害,將可能導(dǎo)致整個(gè)國(guó)家蒙受嚴(yán)重的經(jīng)濟(jì)損失。而現(xiàn)實(shí)狀況是,各類數(shù)字組織遭受的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件頻發(fā),數(shù)字組織網(wǎng)絡(luò)安全形勢(shì)較為嚴(yán)峻。在國(guó)內(nèi),2018年,一個(gè)包含超2億中國(guó)求職者簡(jiǎn)歷信息的“MongoDB”數(shù)據(jù)庫(kù)被發(fā)現(xiàn)可以公開訪問(wèn);同年6月某快遞公司泄露10億條用戶數(shù)據(jù);8月某快遞公司泄露3億條用戶數(shù)據(jù),包括寄(收)件人姓名、電話、地址等數(shù)據(jù)項(xiàng);11月某酒店的系統(tǒng)被入侵導(dǎo)致5億條客戶數(shù)據(jù)泄露,包括客戶的姓名、住址、電話號(hào)碼、電子郵件地址、護(hù)照號(hào)碼、信用卡等數(shù)據(jù)項(xiàng)。在國(guó)外,2019年,委內(nèi)瑞拉全國(guó)23個(gè)州中的18個(gè)州在當(dāng)?shù)貢r(shí)間3月7日下午5點(diǎn)發(fā)生了停電,原因是向全國(guó)提供80%電力的古里水電站遭到蓄意破壞,9日上午,全國(guó)70%的地方恢復(fù)了供電,但沒(méi)過(guò)多久電子系統(tǒng)再次遭到“高科技手段”實(shí)施的電磁攻擊,導(dǎo)致再次大范圍停電。2021年,美國(guó)最大的成品油管道運(yùn)營(yíng)商Colonial Pipeline在當(dāng)?shù)貢r(shí)間5月7日因受到勒索軟件攻擊,被迫關(guān)閉其美國(guó)東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò),5月9日,美國(guó)政府宣布,美國(guó)17個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)。
在這種情況下,如何實(shí)現(xiàn)數(shù)字組織的網(wǎng)絡(luò)安全治理是亟待解決的重大理論問(wèn)題;如何建構(gòu)數(shù)字組織的網(wǎng)絡(luò)安全治理的制度框架是亟待回答的實(shí)踐問(wèn)題。本文試圖探索上述問(wèn)題,擬提出數(shù)字組織網(wǎng)絡(luò)安全治理的生態(tài)思維和制度框架。
數(shù)字組織網(wǎng)絡(luò)安全治理的理論綜述
確保數(shù)字組織的網(wǎng)絡(luò)安全是一個(gè)國(guó)家網(wǎng)絡(luò)安全的基礎(chǔ)。數(shù)字組織網(wǎng)絡(luò)安全治理的本質(zhì)是數(shù)字組織與政府職能部門、數(shù)字技術(shù)服務(wù)提供商等有關(guān)責(zé)任主體相互協(xié)作,共同發(fā)現(xiàn)數(shù)字組織所在網(wǎng)絡(luò)環(huán)境中的漏洞,減少或消除網(wǎng)絡(luò)攻擊的威脅。其中漏洞是數(shù)字組織網(wǎng)絡(luò)安全系統(tǒng)中的潛在弱點(diǎn),威脅是通過(guò)利用數(shù)字組織系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)攻擊的可能性。[2]現(xiàn)有研究提出了包括政府監(jiān)管、國(guó)際協(xié)議與合作、技術(shù)治理、自我規(guī)制、多利益攸關(guān)方、多邊主義等多種網(wǎng)絡(luò)安全治理模式,呈現(xiàn)出明顯的多元復(fù)合和統(tǒng)分結(jié)合的特點(diǎn)。[3]如有學(xué)者提出的網(wǎng)絡(luò)安全綜合治理模式強(qiáng)調(diào)要給予網(wǎng)絡(luò)企業(yè)、第三部門尤其是網(wǎng)民公眾參與網(wǎng)絡(luò)安全治理的權(quán)利和機(jī)會(huì),[4]構(gòu)建以政府、企業(yè)、網(wǎng)民為主體的網(wǎng)絡(luò)協(xié)同治理機(jī)制。[5]“多利益攸關(guān)方”治理模式則側(cè)重從公司和技術(shù)精英的技術(shù)治理層面對(duì)市場(chǎng)和社會(huì)兩者進(jìn)行融合。[6]當(dāng)前對(duì)治理模式的爭(zhēng)議主要集中在對(duì)美國(guó)等西方發(fā)達(dá)國(guó)家實(shí)踐的多利益攸關(guān)方共同治理模式與以中國(guó)和俄羅斯為代表的主權(quán)國(guó)家政府主導(dǎo)的治理模式的比較上。[7]而由“賦權(quán)社群”主導(dǎo)、基于“多利益攸關(guān)方”的共治模式正逐漸成為共識(shí)。我國(guó)2020年施行的《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》也從制度層面明確了中國(guó)共產(chǎn)黨領(lǐng)導(dǎo)下多元參與協(xié)同共治的治理模式,由政府、企業(yè)、社會(huì)、網(wǎng)民等主體共同發(fā)揮作用。[8]但總體來(lái)看,目前我國(guó)的網(wǎng)絡(luò)立法不夠系統(tǒng)全面,行業(yè)自律缺乏主動(dòng)性和創(chuàng)造性,配合網(wǎng)絡(luò)安全治理的信息技術(shù)工具體系尚未建立。[9]因此,在國(guó)家層面完善立法,在行業(yè)層面加強(qiáng)自律,在市場(chǎng)主體層面建立信息技術(shù)工具體系,是提高我國(guó)網(wǎng)絡(luò)治理能力的有效路徑。[10]
數(shù)字組織網(wǎng)絡(luò)安全治理的關(guān)鍵問(wèn)題是如何建構(gòu)一個(gè)科學(xué)的治理框架,以實(shí)現(xiàn)數(shù)字組織與政府職能部門、數(shù)字技術(shù)服務(wù)提供商等多個(gè)治理主體的相互協(xié)作治理。不過(guò),國(guó)家整體層面的網(wǎng)絡(luò)治理是以政府為主導(dǎo)的,數(shù)字組織網(wǎng)絡(luò)安全的責(zé)任主體還在于數(shù)字組織本身。在這個(gè)前提下,如何劃分各個(gè)主體的治理職能,如何分配各個(gè)主體的治理權(quán)力,如何形成體系完備的治理制度,是需要探討的幾個(gè)重要問(wèn)題。
首先,在頂層設(shè)計(jì)層面,應(yīng)注意提升國(guó)家參與網(wǎng)絡(luò)空間治理的能力。例如,技術(shù)性權(quán)力、解釋性權(quán)力和制度性權(quán)力等,進(jìn)而努力實(shí)現(xiàn)公平、有序的治理。[11]有學(xué)者指出,為了滿足我國(guó)經(jīng)濟(jì)社會(huì)發(fā)展、建設(shè)網(wǎng)絡(luò)生態(tài)家園以及面對(duì)復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)的現(xiàn)實(shí)需要,法治化是目前網(wǎng)絡(luò)安全治理的最優(yōu)模式。[12]
其次,在政府層面,我國(guó)網(wǎng)絡(luò)安全治理應(yīng)加快推進(jìn)由碎片化管理到協(xié)同化治理、靜態(tài)化管理到動(dòng)態(tài)化治理、控制式管理到法治化治理以及機(jī)械化管理到生態(tài)化治理取向的轉(zhuǎn)型。[13]在此過(guò)程中,進(jìn)一步明確政府的治理職能定位,積極推進(jìn)公私合作,實(shí)現(xiàn)數(shù)字組織網(wǎng)絡(luò)安全的合作治理。[14]
最后,在數(shù)字組織層面,需要綜合運(yùn)用系統(tǒng)思維和辯證思維,切實(shí)承擔(dān)主體責(zé)任,綜合考慮數(shù)字組織網(wǎng)絡(luò)安全與成本、發(fā)展、開放和權(quán)利的關(guān)系,[15]不能因?yàn)轭檻]安全問(wèn)題而放棄數(shù)字組織的建設(shè)和發(fā)展。
據(jù)此,下文試圖從治理思維和治理制度兩個(gè)層面提出數(shù)字組織網(wǎng)絡(luò)安全的治理框架。在明確安全治理的總體目標(biāo)前提下,治理思維旨在闡明安全治理的總體思路,治理制度旨在闡明頂層設(shè)計(jì)視角的治理路徑。在此基礎(chǔ)上,構(gòu)建以安全基礎(chǔ)設(shè)施為基礎(chǔ)、以數(shù)字組織自身的安全管理為中心、以法律制度為保障的三位一體的數(shù)字組織網(wǎng)絡(luò)安全治理體系。[16]此治理框架旨在構(gòu)建協(xié)同共治的網(wǎng)絡(luò)秩序格局,保障各類數(shù)字組織自身的權(quán)益,實(shí)現(xiàn)公共利益最大化。[17]此治理框架的建立,需要國(guó)家權(quán)力機(jī)關(guān)制定和完善網(wǎng)絡(luò)安全治理的法律法規(guī),國(guó)家行政機(jī)關(guān)制定和完善有關(guān)的政策、規(guī)范和監(jiān)管機(jī)制,并引導(dǎo)數(shù)字組織積極參與網(wǎng)絡(luò)安全治理。[18]
數(shù)字組織網(wǎng)絡(luò)安全治理的生態(tài)系統(tǒng)思維
數(shù)字組織本質(zhì)上是一個(gè)由云邊端的海量數(shù)字要素(設(shè)施、平臺(tái)、應(yīng)用和數(shù)據(jù))相互連接而成的復(fù)雜生態(tài)系統(tǒng),涵蓋云端、邊緣端和終端的各類基礎(chǔ)設(shè)施、應(yīng)用平臺(tái)、數(shù)據(jù)和終端設(shè)備。無(wú)論云端、邊緣端和終端的哪種數(shù)字要素受到攻擊,整個(gè)生態(tài)系統(tǒng)的安全缺口都可能被打開,進(jìn)而衍生出一系列安全問(wèn)題,甚至導(dǎo)致嚴(yán)重的安全災(zāi)難。強(qiáng)化數(shù)字組織安全治理的系統(tǒng)觀念和整體觀念,不僅要關(guān)注關(guān)鍵數(shù)字要素的安全問(wèn)題,更要關(guān)注“云邊端生態(tài)系統(tǒng)”中存在的結(jié)構(gòu)性安全問(wèn)題。確保“云邊端生態(tài)系統(tǒng)”的安全就相當(dāng)于加固數(shù)字組織的“邊界”,只要“邊界”安全了,“邊界”里面裝載的內(nèi)容自然也就安全了。加強(qiáng)“云邊端生態(tài)系統(tǒng)”安全治理的具體思路包括三個(gè)方面。
一是盡可能地消除云邊端生態(tài)系統(tǒng)安全保障體系中的薄弱環(huán)節(jié)。云邊端生態(tài)系統(tǒng)安全保障體系中的薄弱環(huán)節(jié)相當(dāng)于人的“命門”。盡管云邊端生態(tài)系統(tǒng)中某些局部的安全性很強(qiáng),但攻擊者往往會(huì)掃描和嗅探云邊端生態(tài)系統(tǒng)中存在安全漏洞,并以其數(shù)字要素作為突破口,攻入云邊端生態(tài)系統(tǒng)的要害。例如,在云邊端生態(tài)系統(tǒng)中,僅具有有限資源的邊緣設(shè)施和物聯(lián)網(wǎng)終端,難以部署較為高級(jí)的安全保障機(jī)制,如復(fù)雜的加密算法。[19]這些邊緣設(shè)施和物聯(lián)網(wǎng)終端極易被入侵者進(jìn)行“重新編程”,以便通過(guò)它將數(shù)據(jù)發(fā)送到入侵者的數(shù)據(jù)庫(kù)服務(wù)器。[20]如2018年,某犯罪團(tuán)伙將安裝在物流網(wǎng)點(diǎn)手持終端(俗稱“巴槍”)中的“菜鳥驛站”應(yīng)用軟件破解后,植入控件程序,直接通過(guò)數(shù)據(jù)回傳獲得數(shù)據(jù),非法竊取“菜鳥驛站”快遞數(shù)據(jù)超過(guò)1000萬(wàn)條。[21]同時(shí),敏感數(shù)據(jù)也可能經(jīng)由組件分析被提取出來(lái),云邊端生態(tài)系統(tǒng)中的某個(gè)硬件或軟件部件也可能被非法替換。[22]在未來(lái),數(shù)字工廠中的智能制造設(shè)備,數(shù)字組織辦公區(qū)域內(nèi)安裝和使用的智能電表、智能家居,以及數(shù)字組織員工使用的智能汽車都可能成為攻擊的對(duì)象。如根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2020年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告》可知,工業(yè)控制系統(tǒng)安全方面,我國(guó)有4630臺(tái)工業(yè)設(shè)備被暴露在互聯(lián)網(wǎng)上,工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)持續(xù)遭受來(lái)自境外的掃描嗅探。為此,數(shù)字組織需要建立統(tǒng)一的或協(xié)調(diào)一致的云邊端生態(tài)系統(tǒng)訪問(wèn)控制和身份認(rèn)證機(jī)制,以便為數(shù)字流程在分布式邊緣節(jié)點(diǎn)和物聯(lián)網(wǎng)終端設(shè)備間的切換提供可靠高效的安全保障。
二是確保數(shù)據(jù)在云端、邊緣端和終端間的傳輸安全。盡管在云邊端生態(tài)系統(tǒng)中,邊緣節(jié)點(diǎn)無(wú)需將大量原始數(shù)據(jù)實(shí)時(shí)向云端傳輸,但大量邊緣節(jié)點(diǎn)之間、邊緣節(jié)點(diǎn)與終端設(shè)備之間、終端設(shè)備之間的數(shù)據(jù)傳輸是不可避免的。特別是,在擁有數(shù)字工廠的數(shù)字組織中,大量工業(yè)設(shè)備已接入網(wǎng)絡(luò),設(shè)備間、機(jī)器間的數(shù)據(jù)傳輸無(wú)處不在。具體而言,數(shù)字組織的數(shù)字流程在流轉(zhuǎn)過(guò)程中,其數(shù)據(jù)傳輸和信息交互可能發(fā)生在云端與云端之間,也可能發(fā)生在云端與應(yīng)用端、云端與邊緣端、云端與終端之間。因此,數(shù)字組織必須確保敏感數(shù)據(jù)在頻繁傳輸中不被監(jiān)聽和竊取。
三是確保國(guó)家網(wǎng)絡(luò)邊疆的總體安全,有效防范網(wǎng)絡(luò)恐怖活動(dòng)。數(shù)字組織的云邊端生態(tài)系統(tǒng)在整個(gè)國(guó)家的網(wǎng)絡(luò)空間生態(tài)系統(tǒng)中,也僅僅是一個(gè)子系統(tǒng)。單個(gè)數(shù)字組織內(nèi)的數(shù)字要素安全有賴于云邊端生態(tài)系統(tǒng)的整體安全;單一數(shù)字組織的云邊端生態(tài)系統(tǒng)安全也有賴于國(guó)家網(wǎng)絡(luò)邊疆的總體安全。網(wǎng)絡(luò)邊疆是一國(guó)劃定的屬于本國(guó)主權(quán)管轄范圍內(nèi)的網(wǎng)絡(luò)空間,國(guó)家對(duì)網(wǎng)絡(luò)邊疆內(nèi)信息、數(shù)據(jù)的流通行為具有管轄權(quán),若未經(jīng)授權(quán)進(jìn)行竊取,就是對(duì)國(guó)家主權(quán)的侵犯。[23]特別是,國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施往往是各類數(shù)字組織正常運(yùn)行的基礎(chǔ),包括公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò),能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會(huì)保障、公用事業(yè)等領(lǐng)域數(shù)字組織中的重要信息系統(tǒng),以及重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)。這些國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的安全是數(shù)字組織網(wǎng)絡(luò)安全的“基石”,一旦出現(xiàn)問(wèn)題,后果不堪設(shè)想。當(dāng)前,我國(guó)網(wǎng)絡(luò)安全的總體形勢(shì)不容樂(lè)觀。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《第49次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示,截至2021年12月,全國(guó)各級(jí)網(wǎng)絡(luò)舉報(bào)部門共受理舉報(bào)16622.4萬(wàn)件,較2020年同期(16319.2萬(wàn)件)增長(zhǎng)1.9%。2021年,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)收集整理信息系統(tǒng)安全漏洞143319個(gè),較2020年同期(20721個(gè))增長(zhǎng)591.7%;其中,收集整理信息系統(tǒng)高危漏洞40498個(gè),較2020年同期(7422個(gè))增長(zhǎng)445.6%。特別是,一些非法團(tuán)體、恐怖組織出于政治、社會(huì)或宗教目的,通過(guò)互聯(lián)網(wǎng)針對(duì)某個(gè)國(guó)家的關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行非法攻擊,以恐嚇或脅迫政府、國(guó)際組織或公民等。[24]這種對(duì)網(wǎng)絡(luò)恐怖主義行為的防范已經(jīng)超出了單一組織的能力范疇,屬于網(wǎng)絡(luò)邊疆的范疇。因此,我們只有從總體上確保國(guó)家網(wǎng)絡(luò)邊疆的安全,才能為數(shù)字組織的網(wǎng)絡(luò)安全提供堅(jiān)實(shí)的基礎(chǔ)保障。
數(shù)字組織網(wǎng)絡(luò)安全治理的制度框架
數(shù)字組織網(wǎng)絡(luò)安全的責(zé)任主體是組織自身。如前所述,數(shù)字組織網(wǎng)絡(luò)安全不僅關(guān)系到數(shù)字組織自身的生存和發(fā)展,更重要的是關(guān)乎國(guó)家網(wǎng)絡(luò)空間的總體安全。如何確保數(shù)字組織切實(shí)履行安全治理責(zé)任?國(guó)家必須建立健全網(wǎng)絡(luò)安全的法律制度框架,為數(shù)字組織的網(wǎng)絡(luò)安全治理提供基本遵循。
現(xiàn)有制度建設(shè)的不足。從制度建設(shè)來(lái)看,我國(guó)在網(wǎng)絡(luò)安全領(lǐng)域的制度建設(shè)已取得一定成效。如在戰(zhàn)略層面,2016年,國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布并實(shí)施了《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》,闡明了我國(guó)在網(wǎng)絡(luò)空間安全與發(fā)展問(wèn)題上的戰(zhàn)略立場(chǎng)和主張,細(xì)化了網(wǎng)絡(luò)安全治理的目標(biāo)與任務(wù),是當(dāng)前我國(guó)開展網(wǎng)絡(luò)安全治理的綱領(lǐng)性文件。在法律層面,相繼完成網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)等領(lǐng)域的專門立法,確立了共同治理的基本理念和思路,設(shè)置了大量的倡導(dǎo)性規(guī)范,[25]標(biāo)志著中國(guó)的網(wǎng)絡(luò)安全治理已進(jìn)入法治化軌道。在行政法規(guī)和部門規(guī)章中,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全、工業(yè)互聯(lián)網(wǎng)安全、云計(jì)算服務(wù)安全、網(wǎng)絡(luò)安全審查等內(nèi)容作出了具體規(guī)定。在標(biāo)準(zhǔn)和細(xì)則層面,截至2021年,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)下屬的4個(gè)工作組(信息安全評(píng)估工作組、通信安全標(biāo)準(zhǔn)工作組、信息安全管理工作組和大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組)共發(fā)布211項(xiàng)相關(guān)國(guó)家標(biāo)準(zhǔn),[26]涉及網(wǎng)絡(luò)安全等級(jí)保護(hù)、網(wǎng)絡(luò)安全漏洞管理、網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全、代碼安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)存儲(chǔ)安全、大數(shù)據(jù)安全、個(gè)人信息安全、云計(jì)算服務(wù)安全等領(lǐng)域的具體規(guī)定和實(shí)施細(xì)則。總體來(lái)看,中國(guó)已經(jīng)形成了包括戰(zhàn)略規(guī)劃、法律、行政法規(guī)、司法解釋、部門規(guī)章、地方法規(guī)、地方規(guī)章、企業(yè)管理規(guī)定以及其他規(guī)范性文件在內(nèi)的較為健全的網(wǎng)絡(luò)管理制度框架。
然而,現(xiàn)有制度建設(shè)也存在一定的滯后性,導(dǎo)致關(guān)鍵制度和治理結(jié)構(gòu)不足以應(yīng)對(duì)大數(shù)據(jù)和云服務(wù)所面臨的安全和隱私問(wèn)題。當(dāng)前,網(wǎng)絡(luò)空間的技術(shù)架構(gòu)不斷向云邊端融合的方向發(fā)展,這一布局正催生出一個(gè)以云計(jì)算、物聯(lián)網(wǎng)和邊緣計(jì)算為基礎(chǔ)、以核心企業(yè)為主導(dǎo)、產(chǎn)業(yè)鏈上各主體相互配合并在政府監(jiān)管支持下安全運(yùn)作的云邊端生態(tài),系統(tǒng)中的各要素相互影響、相互制約,并不斷演化以求達(dá)到動(dòng)態(tài)平衡狀態(tài)。技術(shù)環(huán)境的變化導(dǎo)致網(wǎng)絡(luò)安全保障的基礎(chǔ)理論和制度建設(shè)已經(jīng)不能滿足現(xiàn)實(shí)的需要。具體而言,云邊端生態(tài)環(huán)境下,遠(yuǎn)程辦公、醫(yī)療、教育等領(lǐng)域涉及節(jié)點(diǎn)眾多,應(yīng)用環(huán)境復(fù)雜,包括網(wǎng)絡(luò)接入環(huán)境、終端設(shè)備、數(shù)據(jù)存儲(chǔ)、云平臺(tái)、可信認(rèn)證、密碼強(qiáng)度等,若存在薄弱環(huán)節(jié),可能引發(fā)網(wǎng)絡(luò)遠(yuǎn)程協(xié)同業(yè)態(tài)中的系統(tǒng)運(yùn)行安全、網(wǎng)絡(luò)邊界安全、數(shù)據(jù)安全等方面的風(fēng)險(xiǎn)。如2014年國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》從控制能力、責(zé)任界定、司法管轄、數(shù)據(jù)安全等方面明確指出可能存在的云計(jì)算安全風(fēng)險(xiǎn)。但現(xiàn)行制度并未對(duì)數(shù)字組織應(yīng)如何應(yīng)對(duì)新技術(shù)生態(tài)環(huán)境下的安全風(fēng)險(xiǎn)問(wèn)題作出規(guī)定,尤其是當(dāng)面臨重大的網(wǎng)絡(luò)安全問(wèn)題時(shí),各職能部門存在條塊分割、權(quán)責(zé)不清、橫向協(xié)調(diào)困難等一系列問(wèn)題,難以形成有效的網(wǎng)絡(luò)安全協(xié)調(diào)治理體系。同時(shí),在構(gòu)建網(wǎng)絡(luò)安全體系框架時(shí),在政府職能部門、企業(yè)、事業(yè)單位和個(gè)人等網(wǎng)絡(luò)安全服務(wù)者的責(zé)任與義務(wù)分配(如數(shù)字組織的安全審查義務(wù))、安全等級(jí)劃分、不同主體之間的聯(lián)動(dòng)與信息共享等方面的制度建設(shè)存在薄弱之處。例如,有學(xué)者指出,我國(guó)網(wǎng)絡(luò)安全治理的法律仍有需要完善的地方,法律對(duì)策應(yīng)當(dāng)直指預(yù)防、控制安全風(fēng)險(xiǎn)的客觀需求,以程序保障為重點(diǎn),從評(píng)估、責(zé)任和應(yīng)急三方面展開過(guò)程控制的制度設(shè)計(jì)。[27]國(guó)家也應(yīng)當(dāng)以網(wǎng)絡(luò)社會(huì)各分層主體的法律地位為基礎(chǔ)來(lái)構(gòu)建網(wǎng)絡(luò)安全治理的法律規(guī)范體系。[28]網(wǎng)絡(luò)安全治理的法律規(guī)范體系應(yīng)當(dāng)涵蓋國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施和重要數(shù)據(jù)的安全保障、數(shù)字技術(shù)服務(wù)提供商的行為規(guī)制、網(wǎng)絡(luò)信息傳播主體的行為約束等方面。
健全網(wǎng)絡(luò)安全治理制度框架。面對(duì)互聯(lián)網(wǎng)生態(tài)系統(tǒng)的巨復(fù)雜性,互聯(lián)網(wǎng)技術(shù)發(fā)展帶來(lái)的新挑戰(zhàn)與新風(fēng)險(xiǎn),互聯(lián)網(wǎng)管理中政府、市場(chǎng)、社會(huì)等多元主體權(quán)力邊界模糊,管理缺位、越位、錯(cuò)位,以及網(wǎng)絡(luò)安全突發(fā)事件等各種現(xiàn)實(shí)難題,數(shù)字組織作為網(wǎng)絡(luò)安全的治理主體之一,應(yīng)該承擔(dān)哪些主體責(zé)任,如何與政府部門、數(shù)字技術(shù)服務(wù)提供商(網(wǎng)絡(luò)運(yùn)營(yíng)者、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、云平臺(tái)管理運(yùn)營(yíng)者)、社會(huì)組織(非政府組織和非盈利組織)、互聯(lián)網(wǎng)社群和網(wǎng)絡(luò)用戶等其他主體進(jìn)行有效的協(xié)作?為回答這些問(wèn)題,本文擬從等級(jí)保護(hù)制度、網(wǎng)絡(luò)安全審查制度和網(wǎng)絡(luò)安全信息共享制度三個(gè)方面,來(lái)討論如何進(jìn)一步完善網(wǎng)絡(luò)安全治理制度框架。
第一,等級(jí)保護(hù)制度。信息系統(tǒng)等級(jí)保護(hù)系列國(guó)家標(biāo)準(zhǔn)被廣泛應(yīng)用于網(wǎng)絡(luò)安全職能部門、各行業(yè)和領(lǐng)域的網(wǎng)絡(luò)安全管理部門及等級(jí)測(cè)評(píng)機(jī)構(gòu)開展系統(tǒng)定級(jí)、安全建設(shè)整改、等級(jí)測(cè)評(píng)、安全自查和安全監(jiān)督檢查等相關(guān)工作。[29]2019年12月1日,配合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019),即“等級(jí)保護(hù)2.0”正式實(shí)施,確立了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的法律地位,明確了網(wǎng)絡(luò)安全等級(jí)。等級(jí)保護(hù)2.0實(shí)現(xiàn)了新技術(shù)、新應(yīng)用對(duì)安全保護(hù)對(duì)象和安全保護(hù)領(lǐng)域的全覆蓋,更加突出技術(shù)思維和立體防范;對(duì)安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、等級(jí)保護(hù)對(duì)象的運(yùn)營(yíng)使用單位及主管部門的等級(jí)保護(hù)工作提出了更加細(xì)致的規(guī)定;[30]依據(jù)“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,明確了等級(jí)保護(hù)的主體職責(zé)。數(shù)字組織須依據(jù)等級(jí)保護(hù)2.0開展定級(jí)評(píng)審,明確自身的網(wǎng)絡(luò)安全等級(jí)要求,建立數(shù)字組織內(nèi)部的安全等級(jí)保護(hù)制度。數(shù)字組織可以根據(jù)各類數(shù)據(jù)的敏感程度將組織的數(shù)據(jù)資源進(jìn)行分級(jí),區(qū)分敏感數(shù)據(jù)并對(duì)其進(jìn)行加密存儲(chǔ)。[31]具體內(nèi)容包括劃分和認(rèn)定全部數(shù)字資源的密級(jí);設(shè)定每位用戶的數(shù)字流程身份,設(shè)定每種數(shù)字流程身份的數(shù)據(jù)訪問(wèn)權(quán)限和數(shù)字平臺(tái)操作權(quán)限;建立組織成員與數(shù)字流程身份的匹配與對(duì)應(yīng)關(guān)系。有學(xué)者提出,可以使用數(shù)據(jù)防護(hù)成熟度[32]測(cè)量模型來(lái)評(píng)估和提升一個(gè)組織的數(shù)據(jù)管理水平。[33]該模型將數(shù)據(jù)防護(hù)成熟度劃分為五個(gè)等級(jí),包括初始級(jí)、已管理級(jí)、已定義級(jí)、定量管理級(jí)和優(yōu)化級(jí)。[34]“初始級(jí)”的數(shù)據(jù)缺乏管理的有效性;“已管理級(jí)”的數(shù)據(jù)管理通常以項(xiàng)目為基礎(chǔ)展開;“已定義級(jí)”的數(shù)據(jù)管理在組織層面展開且具有主動(dòng)性;“定量管理級(jí)”的數(shù)據(jù)管理可測(cè)評(píng)且可控;“優(yōu)化級(jí)”的數(shù)據(jù)管理注重?cái)?shù)據(jù)的改進(jìn)與提高。[35]數(shù)字組織可以自行開展數(shù)據(jù)防護(hù)成熟度水平的等級(jí)評(píng)估,找出漏洞和不足,不斷提高數(shù)據(jù)管理水平,以便更好地滿足國(guó)家對(duì)等級(jí)保護(hù)的要求。
第二,網(wǎng)絡(luò)安全審查制度。目前,大量國(guó)外數(shù)字技術(shù)產(chǎn)品和服務(wù)已經(jīng)深度滲透至中國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)和各類組織的數(shù)字化建設(shè)中,中國(guó)的網(wǎng)絡(luò)安全審查面臨著嚴(yán)峻挑戰(zhàn)。[36]實(shí)施網(wǎng)絡(luò)安全審查制度已經(jīng)成為世界各國(guó)的通行做法。如美國(guó)建立的網(wǎng)絡(luò)安全審查機(jī)制具有內(nèi)容廣泛、審查嚴(yán)苛、標(biāo)準(zhǔn)模糊等特點(diǎn)。[37]2022年2月,由國(guó)家互聯(lián)網(wǎng)信息辦公室等13部門聯(lián)合修訂發(fā)布的《網(wǎng)絡(luò)安全審查辦法》開始施行,該辦法要求,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的,應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)。影響或者可能影響國(guó)家安全的,應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。
如果一個(gè)數(shù)字組織建設(shè)的數(shù)字平臺(tái)和數(shù)字設(shè)施屬于關(guān)鍵信息基礎(chǔ)設(shè)施,無(wú)疑需要嚴(yán)格遵守該辦法。但一般的數(shù)字組織在數(shù)字化建設(shè)中同樣需要采購(gòu)和部署大量數(shù)字技術(shù)產(chǎn)品和專門的安全產(chǎn)品。因此,數(shù)字組織需要建立其內(nèi)部的網(wǎng)絡(luò)安全審查制度。一方面,需要審查組織數(shù)字化建設(shè)方案中所采用的國(guó)外數(shù)字技術(shù)及產(chǎn)品是否會(huì)給數(shù)字組織帶來(lái)安全威脅。例如,某些西方國(guó)家的情報(bào)組織自冷戰(zhàn)時(shí)期至21世紀(jì)初期,一直秘密地控制第三方公司向外國(guó)政府和企業(yè)出售加密機(jī)器,一邊賺取數(shù)百萬(wàn)美元的高額利潤(rùn),一邊收集重要情報(bào)。[38]另一方面,需要審查組織的數(shù)字化建設(shè)方案中涉及的關(guān)鍵核心技術(shù)是否自主可控,是否存在“斷供”風(fēng)險(xiǎn)。
第三,網(wǎng)絡(luò)安全信息共享制度。如前所述,數(shù)字組織本身是一個(gè)典型的“云邊端生態(tài)系統(tǒng)”,數(shù)字組織之間的開放合作也能形成一個(gè)復(fù)雜網(wǎng)絡(luò)系統(tǒng)。某一數(shù)字組織一旦發(fā)生網(wǎng)絡(luò)安全事件,可能直接導(dǎo)致與其有關(guān)聯(lián)的其他數(shù)字組織發(fā)生連鎖的安全事故,并最終演化為大范圍的重大網(wǎng)絡(luò)安全事故,直接威脅國(guó)家網(wǎng)絡(luò)安全和國(guó)家總體安全。有學(xué)者提出,國(guó)家需要通過(guò)立法從安全信息披露主體、信息披露對(duì)象、信息披露的主要內(nèi)容和時(shí)間、信息披露要求和責(zé)任,以及信息披露的例外等五個(gè)方面建立網(wǎng)絡(luò)安全事件信息披露機(jī)制。[39]也有學(xué)者提出,建立強(qiáng)有力的獎(jiǎng)懲制度和訂立信息共享道德契約,能夠有效構(gòu)建網(wǎng)絡(luò)安全威脅情報(bào)共享與交換機(jī)制。[40]安全信息共享的范圍主要包括數(shù)字組織與政府間的安全信息共享,數(shù)字組織之間的安全信息共享,數(shù)字組織與社會(huì)公眾間的安全信息共享。
一是數(shù)字組織與政府間的安全信息共享。數(shù)字組織較難依靠自身的力量響應(yīng)和處置突發(fā)網(wǎng)絡(luò)安全事件,因此必須及時(shí)向國(guó)家有關(guān)部門報(bào)告。如在“阿里云阿帕奇”事件中,阿里云工程師發(fā)現(xiàn)了一個(gè)重大安全漏洞,按照行業(yè)規(guī)定上報(bào)到開發(fā)方阿帕奇社區(qū),但并沒(méi)有按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息,導(dǎo)致我國(guó)網(wǎng)絡(luò)安全在長(zhǎng)達(dá)15天的時(shí)間里面臨重大威脅。對(duì)于涉及跨境網(wǎng)絡(luò)攻擊和跨境網(wǎng)絡(luò)犯罪問(wèn)題的網(wǎng)絡(luò)安全事件,只有及時(shí)上報(bào),相關(guān)政府機(jī)構(gòu)才有權(quán)限開展跨境協(xié)作,國(guó)家相關(guān)部門才能及早介入調(diào)查事故原因,科學(xué)判斷此次安全事件是否威脅國(guó)家安全,及時(shí)防止網(wǎng)絡(luò)安全問(wèn)題的進(jìn)一步升級(jí)和惡化。
二是數(shù)字組織之間的安全信息共享。數(shù)字組織的網(wǎng)絡(luò)安全問(wèn)題本質(zhì)上是云邊端生態(tài)系統(tǒng)的安全問(wèn)題,該生態(tài)系統(tǒng)中任何一個(gè)硬件系統(tǒng)或軟件系統(tǒng)出現(xiàn)安全事故,都可能涌現(xiàn)出一系列新的安全問(wèn)題。如果云邊端生態(tài)系統(tǒng)中涉及的各類產(chǎn)品和服務(wù)提供商之間無(wú)法充分共享安全信息,就難以采取協(xié)調(diào)一致的安全防范和應(yīng)急處置行動(dòng),最終可能導(dǎo)致系統(tǒng)性風(fēng)險(xiǎn)。
三是數(shù)字組織與社會(huì)公眾間的安全信息共享。數(shù)字組織需要主動(dòng)向用戶共享涉及個(gè)人隱私的安全信息,包括將收集哪些個(gè)人數(shù)據(jù),如何使用收集到的個(gè)人數(shù)據(jù),是否會(huì)向第三方機(jī)構(gòu)開放這些個(gè)人數(shù)據(jù)。同時(shí),數(shù)字組織網(wǎng)絡(luò)安全事件一般都涉及用戶的切實(shí)利益,一旦事故發(fā)生應(yīng)向用戶及時(shí)通報(bào)有關(guān)情況,以便用戶配合做好相關(guān)的事后處置事宜,以防用戶在不知情的情況下受到人身安全和財(cái)產(chǎn)安全的二次損害。例如,一些數(shù)字組織網(wǎng)絡(luò)安全事件中,用戶的個(gè)人數(shù)據(jù)遭到大量泄露,直接威脅用戶的隱私安全。若不及時(shí)向用戶通報(bào),不法分子可能利用泄露的個(gè)人數(shù)據(jù)對(duì)用戶實(shí)施詐騙等犯罪行為。如據(jù)央視“3·15”晚會(huì)曝光,多家在線招聘網(wǎng)站存在簡(jiǎn)歷泄露情況,記者僅花費(fèi)7元,便在網(wǎng)上購(gòu)買到一份求職者簡(jiǎn)歷。而這些在線招聘網(wǎng)站從未主動(dòng)向用戶通報(bào)過(guò)相關(guān)情況。
結(jié)語(yǔ)
數(shù)字組織是數(shù)字化時(shí)代的必然產(chǎn)物,是數(shù)字經(jīng)濟(jì)和數(shù)字社會(huì)的構(gòu)成要素和重要載體,數(shù)字組織網(wǎng)絡(luò)安全關(guān)乎國(guó)家總體安全。數(shù)字組織網(wǎng)絡(luò)安全治理要保障數(shù)字組織系統(tǒng)內(nèi)全部要素的安全,更要關(guān)注“云邊端生態(tài)系統(tǒng)”中存在的結(jié)構(gòu)性安全問(wèn)題,確保“云邊端生態(tài)系統(tǒng)”的安全。為了確保數(shù)字組織切實(shí)履行安全治理責(zé)任,國(guó)家必須建立健全網(wǎng)絡(luò)安全的法律制度框架,為數(shù)字組織的網(wǎng)絡(luò)安全治理提供基本遵循。
(本文系國(guó)家社會(huì)科學(xué)基金重大項(xiàng)目“健全互聯(lián)網(wǎng)領(lǐng)導(dǎo)和管理體制研究”的階段性成果,項(xiàng)目編號(hào):22ZDA078;華中科技大學(xué)新聞與信息傳播學(xué)院博士研究生覃亞林對(duì)本文亦有貢獻(xiàn))
注釋
[1]蔣廉雄:《數(shù)字化時(shí)代建立領(lǐng)導(dǎo)品牌:理論與模式創(chuàng)新》,北京:社會(huì)科學(xué)文獻(xiàn)出版社,2020年,第220頁(yè)。
[2]See K. Graves, Certified Ethical Hacker Study Guide, Wiley Publishing, Inc., 2010.
[3]張偉、金蕊:《中外互聯(lián)網(wǎng)治理模式的演化路徑》,《南京郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》,2016年第4期。
[4]何明升:《中國(guó)網(wǎng)絡(luò)治理的定位及現(xiàn)實(shí)路徑》,《中國(guó)社會(huì)科學(xué)》,2016年第7期。
[5]羅方祿:《網(wǎng)絡(luò)非技術(shù)風(fēng)險(xiǎn)及其安全治理》,《中南大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》,2020年第6期。
[6]蔡翠紅:《國(guó)家-市場(chǎng)-社會(huì)互動(dòng)中網(wǎng)絡(luò)空間的全球治理》,《世界經(jīng)濟(jì)與政治》,2013年第9期。
[7]崔保國(guó):《網(wǎng)絡(luò)空間治理模式的爭(zhēng)議與博弈》,《新聞與寫作》,2016年第10期。
[8]黃楚新、曹曦予:《論中國(guó)共產(chǎn)黨的網(wǎng)絡(luò)治理領(lǐng)導(dǎo)能力》,《科技與出版》,2021年第7期。
[9][10]范靈俊等:《我國(guó)網(wǎng)絡(luò)空間治理的挑戰(zhàn)及對(duì)策》,《電子政務(wù)》,2017年第3期。
[11]任琳、呂欣:《大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)安全治理:議題領(lǐng)域與權(quán)力博弈》,《國(guó)際觀察》,2017年第1期。
[12]魏光禧:《法治化是網(wǎng)絡(luò)治理創(chuàng)新的最優(yōu)模式》,《人民論壇》,2017年第6期。
[13]唐慶鵬、康麗麗:《當(dāng)前我國(guó)網(wǎng)絡(luò)突發(fā)公共事件的發(fā)展新態(tài)勢(shì)及其治理轉(zhuǎn)型》,《求實(shí)》,2018年第4期。
[14]陳越峰:《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的合作治理》,《法學(xué)研究》,2018年第6期。
[15]陶文昭:《網(wǎng)絡(luò)安全的國(guó)家戰(zhàn)略》,《人民論壇》,2016年第4期。
[16]田麗、李洪磊:《網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全綜合治理體系研究》,《情報(bào)雜志》,2007年第2期。
[17]馮建華:《中國(guó)網(wǎng)絡(luò)秩序觀念的生成邏輯與意涵演變》,《南京社會(huì)科學(xué)》,2020年第11期。
[18]張?zhí)N昭:《中國(guó)特色治網(wǎng)之道:理念與成就——十八大以來(lái)我國(guó)網(wǎng)絡(luò)空間治理的回顧與思考》,《中國(guó)行政管理》,2019年第1期。
[19]M. Ikram et al., “An Analysis of the Privacy and Security Risks of Android VPN Permission-Enabled Apps,“ Proceedings of ACM Internet Measurement Conference, 2016, 11.
[20]J. Sathish Kumar and D. R. Patel, “A Survey on Internet of Things: Security and Privacy Issues,“ International Journal of Computer Applications, 2014, 90(11).
[21]《菜鳥驛站1000萬(wàn)條數(shù)據(jù)被非法竊?。壕鶠閷W(xué)生快遞信息》,2018年9月21日,https://tech.sina.com.cn/i/2018-09-21/doc-ihkhfqnt4484262.shtml。
[22]I. Stojmenovic, “Large Scale Cyber-Physical Systems: Distributed Actuation, in-Network Processing and Machine-to-Machine Communications,“ 2013 2nd Mediterranean Conference on Embedded Computing (MECO), 2013, 6.
[23]吉鵬、許開軼:《政治安全視閾下網(wǎng)絡(luò)邊疆協(xié)同治理的困境及其突破路徑》,《當(dāng)代世界與社會(huì)主義》,2019年第4期。
[24]趙紅艷:《國(guó)際合作背景下的網(wǎng)絡(luò)恐怖主義治理對(duì)策》,《中國(guó)人民公安大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》,2016年第3期。
[25]庹繼光:《〈網(wǎng)絡(luò)安全法〉的治理思路辨析》,《新聞愛好者》,2017年第8期。
[26]數(shù)據(jù)來(lái)源于全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的信息安全國(guó)家標(biāo)準(zhǔn)列表,https://www.tc260.org.cn/advice/list.html。
[27]馬民虎:《網(wǎng)絡(luò)安全:法律的困惑與對(duì)策》,《中國(guó)人民公安大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》,2007年第1期。
[28]黎慈:《社會(huì)分層視野下網(wǎng)絡(luò)安全立法體系的構(gòu)建》,《湖北社會(huì)科學(xué)》,2019年第5期。
[29]曲潔等:《新時(shí)代下網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)思路》,《信息網(wǎng)絡(luò)安全》,2019年第1期。
[30]馬力等:《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求(GB/T 22239-2019)標(biāo)準(zhǔn)解讀》,《信息網(wǎng)絡(luò)安全》,2019年第2期。
[31]周勝利等:《大數(shù)據(jù)環(huán)境下電信運(yùn)營(yíng)商數(shù)據(jù)安全保護(hù)方案》,《電信科學(xué)》,2017年第5期。
[32]其內(nèi)涵為研究對(duì)象與其完美狀態(tài)的相對(duì)值,包含確定對(duì)象的理想狀態(tài)、目前狀態(tài)以及衡量目前狀態(tài)與理想狀態(tài)之間差距三個(gè)步驟。
[33]黨洪莉、譚海兵:《基于DMM的數(shù)據(jù)管理成熟度模型及在服務(wù)評(píng)估中的應(yīng)用》,《現(xiàn)代情報(bào)》,2017年第9期。
[34]葉蘭:《研究數(shù)據(jù)管理能力成熟度模型評(píng)析》,《圖書情報(bào)知識(shí)》,2015年第2期。
[35]K. Crowston and J. Qin, “A Capability Maturity Model for Scientific Data Management: Evidence from the Literature,“ Proceedings of the American Society for Information Science and Technology, 2011, 48(1).
[36]李青:《美國(guó)網(wǎng)絡(luò)安全審查制度研究及對(duì)中國(guó)的啟示》,《國(guó)際安全研究》,2017年第2期。
[37]張孟媛、袁鐘怡:《美國(guó)網(wǎng)絡(luò)安全審查制度發(fā)展、特點(diǎn)及啟示》,《網(wǎng)絡(luò)與信息安全學(xué)報(bào)》,2019年第6期。
[38]《美德間諜秘密曝光:多國(guó)通訊加密裝置疑一直被設(shè)“后門”》,2020年2月12日,https://www.163.com/dy/article/F570C8180534B8CV.html。
[39]趙麗莉、鐘晗:《論網(wǎng)絡(luò)安全事件信息披露機(jī)制的建構(gòu)》,《重慶大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》,2017年第1期。
[40]林玥等:《網(wǎng)絡(luò)安全威脅情報(bào)共享與交換研究綜述》,《計(jì)算機(jī)研究與發(fā)展》,2020年第10期。
Ecosystem Thinking and Institutional Frameworks for Cybersecurity Governance in
Digital Organizations
Li Weidong
Abstract: Digital organization is an inevitable product of the digital era and an important carrier of the digital economy and digital society. The network security of digital organizations has become the "life gate" of social security and national security. The goal of digital organization network security governance is to ensure the security of all elements in the digital organization system. At the level of governance thinking, we need to strengthen the systematic and overall concept of digital organization security governance. We should not only pay attention to the security of key digital elements, but also pay attention to the structural security problems existing in the "cloud edge ecosystem". At the top-level design level, it is necessary to further improve the network security governance system framework from three aspects: the level protection system, the network security review system, and the network security information sharing system.
Keywords: digital organization, network security, governance system
責(zé) 編∕李思琪