长期以来,网络安全工作过于强调技术安全,而忽视了以人为中心的安全文化建设,实际上,多数网络攻击可以归结于人的疏忽和过失。例如,近年频发的网络勒索攻击多源于用户安全意识懈怠引发的网络钓鱼事件。简言之,网络安全文化是一个组织的网络安全理念、习惯和社会行为。从社会层面看,网络安全文化就是我国《网络安全法》所指出的“全社会共同参与促进网络安全的良好环境”。从国际层面看,2002 年 12 月 20日,联合国大国通过第 57/239 号决议,提出从意识、规范、危机响应、风险评估等要素入手培育全球网络安全文化。网络社会是高风险社会,从危机管理视角阐释网络安全文化,依据危机管理流程谋划网络安全文化建设举措,将有助于构建我国更具韧性的网络安全文化。
一、将危机意识融入网络安全文化建设的必要性
人是网络安全生态系统中最脆弱因素和最大风险源,人的网络安全意识和能力建设至关重要。目前,网络安全文化并未形成清晰、统一的概念和范围,相关研究和实践还处于不断探索阶段。开放而非安全的互联网设计初衷,加之网络空间越发复杂的国家博弈、恐怖犯罪、黑客攻击、技术漏洞等威胁,使网络空间必然处于一种风险丛生、事故频发的常态。长期来看,将危机意识和危机响应能力建设植入全民网络安全文化,可以提升社会应对网络突发事件的承受力。
传统安全、非传统安全威胁日益交织于网络空间,网络事故已从“黑天鹅”发展为“灰犀牛”。以 2022 年上半年为例,网络空间安全态势延续了2021 年以来的严峻态势。一是国家间网络争端热度不减。5 月 9 日,俄罗斯电视台在胜利阅兵日被黑客攻击,播放界面显示了“恐吓式”反战信息,而且,俄罗斯的主要电视频道、最大搜索网站Yandex、最大视频网站 RuTube 均受到网络攻击的影响;6 月 1 日,美国网络司令部司令兼国家安全局局长保罗·中曾根(Paul Nakasone)首次承认,在俄乌克冲突中采取了进攻性网络行动帮助乌克兰。二是基础设施屡遭网络攻击。4 月初,乌克兰计算机应急响应小组(CERT)披露,成功阻止了黑客组织沙虫(Sandworm)针对乌克兰能源工控设施发起的破坏性网络攻击;5 月 6 日,俄罗斯联邦储蓄银行(Sberbank)遭遇大规模分布式拒绝服务(DDoS)攻击。三是黑客组织犯罪依然猖獗。4 月18 日,哥斯达黎加财政部遭 Conti 勒索软件攻击,多个政府网络系统瘫痪,大量敏感数据被盗;4 月22 日,巴西里约热内卢州财政系统遭 LockBit 勒索软件攻击,420GB 数据遭窃取。各国军政机构、基础设施和企业公司都无法置身网络攻击之外,网络安全事故不是能否发生的问题,而是何时何地发生的问题。
总之,零信任、网络韧性等理念超越了“筑墙”“抵御”等传统网络安全手段,强调准备、响应、恢复的全流程介入,确保网络空间不出现系统性、灾难性后果。因此,网络安全文化中的网络安全意识和能力建设也要适应网络安全理念转型,构建涵盖危机前风险规避、危机中事件响应和危机后恢复提升的全流程构建模式。
二、基于危机管理视角的网络安全文化建设
危机管理分为危机前、中、后三个阶段,分别对应危机准备、危机响应和危机恢复等策略。危机准备阶段的目标是预防和缩减网络安全风险,主要工作包括风险评估、应急预案制定、培训、应急演练等;危机响应阶段的目标是控制危机蔓延,主要工作包括指挥救援、信息沟通、媒体管理等;危机恢复阶段的目标是灾害恢复和弥补漏洞,包括灾后重建、心理辅导等。当前,危机管理强调部门协调、公私合作和韧性能力建设,致力于构建“全流程”“全政府”管理模式。
培育强有力的网络安全文化就要塑造和提升民众对网络事故的辨别力、响应力和恢复力。从宗旨和目标上考虑,网络安全文化建设应突出两点:一是主动防御,承认网络事故难以避免,从单纯降低网络脆弱性提升到网络系统恢复能力建设;二是系统性,日常安全教育与应急响应教育相结合,构建网络安全生态系统。为提升全社会的网络安全文化水平,在不同危机阶段,需要实施不同举措。
(一)网络事故前的准备意识和能力建设
网络事故前的准备意识和能力建设主要是网络安全的日常教育,也是当前各国网络安全文化建设的主要领域。根据美国联邦紧急事务管理局(FEMA)的说法,为应对网络安全威胁,应该建立“一种网络准备文化”(a culture of cyber preparedness),相关各方制定网络安全方案、组织培训和演练等。美欧等网络发达国家和地区针对网络事故发生前阶段的网络安全文化培育主要包括以下内容。
一是网络安全风险教育,主要包括识别、预防和缩减网络安全风险。当前,主要网络大国都采取了机制化的教育宣传做法。2004 年,美国启动“网络安全意识月”;2012 年,欧盟启动“网络安全月”(ESCM);2014 年,中国启动“国家网络安全宣传周”。从理论上看,可以借用危机管理的风险缩减“ABC 原则”从如下方面开展网络安全意识教育:远离(away)措施,即远离网络安全风险源,如加密技术、入侵检测、病毒识别与清除技术等;改善(better)措施,即改善网络工作环境,如鼓励采用安全性更高的信息技术产品;相容(compatible)措施,即设计和构造符合网络安全要求的工作环境,如实施关键基础设施等级保护制度。
(二)网络事故中的响应意识和能力建设
此阶段对应危机管理流程中的危机响应阶段,重点是将民众所具备的网络安全意识转化为事故响应行动。一旦爆发网络安全事故,组织或个人受害者应能准确迅速联系到政府应急响应部门,上报事件并得到专业帮助,防止危机事件蔓延扩散。因此,领导体制和运行机制建设成为提升全民网络事故响应意识和能力的基础,以统筹资源、协调力量,确保积极的网络安全文化转化为高效的响应行动。2018 年 11 月,美国总统特朗普签署法案成立网络安全与基础设施安全局(CISA),以强化美国政府整体防护和网络安全水平,协调各州及公、私部门之间的网络安全行动。2021 年 6 月,欧盟委员会宣布成立联合网络部门(Joint Cyber Unit),负责协调针对大规模网络攻击的联合响应,成员机构包括欧盟网络安全局(ENISA)、欧盟计算机应急响应小组(CERT-EU)、欧洲打击网络犯罪中心(EC3)、计算机安全事故应急小组(CSIRT)等。随着网络安全管理的组织体系优化,美欧“全社会参与”“全政府协调”网络事故管理模式逐步建立,网络安全文化水平随之提升。
(三)网络事故后的恢复意识和能力建设
作为网络安全文化构建的学习提升阶段,此阶段对应危机管理流程中的危机后重建,重点是提升社会的灾害恢复力和承受力。此阶段应着眼网络安全文化建设的长期目标,在开展灾后恢复同时,提升社会应对网络事故的心理承受力和延展网络安全文化内涵。一方面,可以通过数据、系统恢复和设施重建等短期工作止损;另一方面,可以通过教育、培训等长期工作,提升网络事故的社会心理承受力、民众心理“容灾”能力。在具体举措方面,例如,可以结合重大网络安全事故案例,在开展警示教育的同时,查漏补缺、不断完善网络安全措施。此阶段的事故评估总结与网络事故前的风险管理存在一定重合和衔接,因此,网络安全文化构建成为一个不断往复、逐步提升的系统工程。
三、未来的挑战及应对
培育积极的全民网络安全文化是一项基础性、长期性任务,需要从政策法规、组织机构和运行机制等入手,进行全局谋划并有序推进。
一是网络安全理念转变。当前的网络安全态势发展表明,网络安全事故无法根除,网络安全风险内外丛生。因此,提升网络安全文化应从降低脆弱性提升为增强韧性,从“御敌于院墙之外”边界安全理念向“内外兼防”的零信任架构拓展。
二是部门间统筹协调。网络安全文化是全社会参与的系统工程,各部门既要职责分工明确,也要相互配合助力。2022 年 1 月发布的《中国企业网络安全意识教育现状与发展报告》调研数据显示,22% 受访者认为网络安全意识教育的最大难点来源于部门协同困难。美欧等的做法是设立主管部门,统筹政府内外的涉网络机构,整体推进网络安全文化建设。
三是网络威胁信息共享。不同政府网络管理机构,尤其是政府与私营部门之间,通常存在网络安全信息共享交流机制不完善、信息共享不及时等问题,这不利于形成健康的网络安全文化。对此,美国政府和国会将网络安全立法的重点放在促进网络安全信息共享,推动政府部门和私人部门之间的公私合作,共建积极的网络安全文化。
当前,中国正从网络大国向网络强国迈进,须稳步推进网络安全意识教育和能力培训,建立先进的网络安全文化。展望未来,网络安全文化构建仍面临诸多挑战,需要从网络安全理念、部门间协同和网络威胁信息共享等方面谋划应对。(本文刊登于《中国信息安全》杂志2022年第8期)