管控国家网络风险

在过去30年中，政府、企业和公众日益依赖互联网和信息通信技术。我们设想的是，电力和电信等公民基本服务将永远保持运转，商品、服务、数据和资本也将毫无阻滞的跨国流通。然而，许多网络系统和基础设施是十分脆弱的，而且这些脆弱性正在被利用。所有类型的组织都在经历与日俱增的数据泄露、网络犯罪、网络服务中断和财产损失等事件，总的来说，我们的不安全感正在增加。100多个国家，以及迅速增长的非国家行为体和个人都有能力对政府和各个行业的网络基础设施造成损害。不同的行为体的目标也各不相同，其分类包括：政治激进主义；欺诈和电子犯罪；盗用知识产权；间谍活动；中断服务；以及破坏财产和资产安全。国家和私营部门都处在一个缺乏网络安全的世界，所有的政府、企业和个人都面临网络风险，并在一定程度上分担管控这些风险的责任。近期发生的事件表明，各国政府和企业必须首先认识到，缜密的风险管理方法必须是其战略和数字议程的核心，而不采取行动的风险太大了。

风险是以时间来定义的，即当某物或某人暴露在危险、伤害中，或遭受损失时。风险的条件可以根据至少两个行为者所采取的行动而发生变化：获得并使用某种能力来进行破坏的攻击者，以及能够采取预防措施以抵御或挫败破坏活动的攻击目标。我们对数字世界的依赖每天都在增加，但对这种依赖所带来的风险的认识仍处于初级阶段。尽管如此，因为恶意的软件和工具、非法服务和敏感（非公共的）数据仍有市场，并且是可获得和可被利用的，所以网络风险仍在增加。例如，恶意软件可以用1美元购得，分布式拒绝服务攻击只要用不到1000美元的价格就能启动，复杂的勒索软件可以花费200美元购买，恶意的垃圾邮件服务价格大约在400美元[1]。即使是政府情报部门拥有的最先进的网络武器也可以下载[2-4]。任何意图使用这些软件和服务，并成功实施攻击和造成伤害的人，都可以获得这些工具和能力。正如2017年发生的网络事件所显示的那样，政府、企业和人民都受到了迄今为止最严重的网络攻击的伤害。

2017年5 月，一款勒索软件针对微软Windows操作系统的缺陷进行攻击，影响了150个国家的数百万台计算机，波及各个行业。这次通过名为“WannaCry”的简易勒索软件所进行的全球性攻击，使得企业的生产作业、运输系统和电信系统的正常工作受到阻滞。据英国国家审计署称，“WannaCry”至少影响到236项国家卫生服务职责中的81项，还导致医疗设备无法操作，严重影响公共健康和安全[5]。

2017年6 月，另一个更具破坏性的恶意软件“NotPetya”被爆出。“NotPetya”是通过一款被广泛使用的会计处理程序（doc.me）的软件更新机制进入全球网络业务的。几分钟内，该恶意软件就感染了超过65个国家的数万个互联网连接系统，包括政府机构、银行、能源公司和其他公司的系统。例如，“NotPetya”对全球最大的航运公司穆勒-马士基集团（A.P.Moller-Maersk）的攻击，对该公司的全球信息技术系统进行了加密和销毁。结果，该公司在全球76个港口码头中的大部分业务不得不停止运营，中断了数周的海上贸易。在此次“NotPetya”造成危机中，穆勒-马士基集团的损失超过3亿美元，因为它必须重建整个基础设施，包括4000台新服务器、4.5万台新计算机和2500个新的应用程序[6]。据估计，“NotPetya”在全球范围内通过中断商业活动和破坏财产所造成的损失高达数十亿美元。数字经济的主要损失和附带损失是巨大的，而且对关键服务和基础设施的损害需要几个月才能恢复。

此外，在2017年8月，沙特阿拉伯的一处石油和天然气设施突然被迫关闭。因为该设施受到“Trisis”病毒的攻击，这是一款精心设计的计算机病毒，旨在破坏工业控制系统（Industrial Control Systems，ICS）。该病毒还设计用于影响石油、天然气和水利等公共事业场所的信息技术操作组件，这种恶意软件，或者说武器还可专门针对工业控制系统的物理安全机制（即紧急停止系统）。虽然这只是成功使用这一破坏性软件的一个公开案例，但法国公司施耐德电气（Schneider Electric）已郑重提醒其关键业务的客户和基础设施所有者，未来要在一个或多个系统因恶意网络活动而崩溃时，确保他们的系统仍保持运转[7]。

2017年的恶意网络活动在造成的损失和破坏性方面表现出非同寻常的影响，但事实上用来制造这些事件的工具并不复杂。过去五年里，针对电力、电信系统、交通和金融系统的攻击数量几乎翻了一番，这一趋势对各国的经济和国家安全都构成了威胁。因此，迫切需要政府和企业领导人参与有效的网络风险管理进程，并在其战略规划进程中加入应对数字风险的议题。

1 认识网络风险的框架

各个国家、国际组织和学术机构正在制定框架，帮助政府和企业的领导人判断和减少网络风险。这些框架是非常必要的，因为在过去30年里，这些领导者一直被商业信息技术的特性及其所带来的“好处”所折服，包括提高了生产力和生产效率、降低了资金成本与存储和处理数据的成本，以及实现底线增长，故而他们延缓了对网络基础设施和数字业务的安全性和复原力方面的投资。今天这些具有破坏性和妨害性的网络活动，要求领导人面对这样一个事实，即他们在不经意间将不安全因素引入了社会核心层面。这造成的损失越来越大、危害越来越大，危险已迫在眉睫。

1.1 各国政府的框架

各国政府已开始制定行动框架和基准，甚至是更广泛的国家战略，以更好地了解其互联网基础设施的依赖性和脆弱性，并确保其数字生活的未来及其经济福祉所依赖的国家网络系统、基础设施和各项服务的安全。然而，当要绘制行动路线图和提请人们注意一个国家所面临的网络风险时，一个无法回避的问题是：如何判断和减少一个已经累压了30年的风险？在回答这个问题之前，首先要了解一个国家3至5年内的战略计划是什么，并确定可长期用于实现这一目标的一些可行做法。例如，据荷兰有关方面估计，到2020年，数字经济（即数字商品和电子服务）的规模将至少占其国内生产总值（GDP）的25%。荷兰申明，其未来取决于确保其数字经济安全的能力，并正在进行一些必要的投入和结构性改革，以实现这一目标。如美国和德国等国家，正在罗列和臻选本国的一些顶级企业，这些企业的规模大约占到该国GDP的2%以上，并且政府与它们开展合作，确保风险管理和企业复原力建设成为其总体商业规划过程的一部分。然而，大多数其他国家采取了更普遍的做法，即保护“关键基础设施”。这些关键的资产、系统和网络由于互联性和对互联网的依赖而变得特别脆弱，因此容易发生设备故障、人为事故、天气和其他自然原因造成的中断，以及物理攻击和网络攻击等。这种做法的挑战在于，政府与业界之间没有明确的责任划分，导致很难追究某方“不作为”的责任。与此同时，由于双方缺乏对减少网络风险和增强复原力方面的承诺，社会的不安全感也会加剧。

一些国家的政府已经明确，现在是采取措施干预市场的时候了，而且那些政府正在通过法律法规来要求某些部门查明、评估和纠正其安全态势中的缺陷。受监管的行业包括：电力公用事业、金融服务、医疗保健、交通和电信。各国正在采取的其他管制措施还包括要求这些部门向当局（地方或国家层面）详细通报和报告下列事项：已发生的信息泄露事件，以及曝光或丢失的数据类型；在信息泄露事件中对方所使用的技术或方法；可能发生的运行中断或业务中断（电信行业）情况。

欧盟也对其关键基础设施和基本服务的经营者施行这类规定性办法。2016年8月，欧盟通过了一项题为“欧盟网络和信息安全指令”（EU Network and Information Security Directive，“NIS”指令）的条例。该条例为向社会提供基本服务的公司制定了网络安全规则，即安全控制措施。该条例涵盖的服务行业包括能源、运输、银行、金融、水利和卫生，以及数字服务行业，如网上商城（如eBay、亚马逊）、搜索引擎（如谷歌）和云服务提供商等。欧盟成员国必须在2018年5月之前将这一规定纳入本国法律。该条例还要求这些国家的基本服务运营商都采取适当的安全措施，并将所有严重的网络事件都通报给当事国的有关部门，例如各行业的主管部门，或计算机安全应急响应小组（CSIRT）。这种做法使得责任归属更加明确，并且可能切实减少网络风险，因为它“迫使”各行业采取措施以减少自身的脆弱性和增强复原力。

中国采取了与欧洲类似的做法，甚至将“NIS”指令的内容纳入了2016年11月人大通过的新国家网络安全法，该法已于2017年12月31日全面生效。该法共有七章七十九条，是“全面的和包罗万象的”，规定了有关政府机构、互联网服务提供商和网络用户的责任。该法特别规定，所有公司（广义上的）应采取相关技术和其他必要措施，确保互联网安全稳定的运行，有效处理网络安全事件，防止网络犯罪活动，并维护互联网数据的完整性、保密性和可用性。这一规定迫使公司投资于新的保障措施，并安装一系列控制措施来达到这些要求。此外，该法还设有检查和审计制度，以确保公司采取适当的措施以减少风险，并在发现这些公司有不充分作为的情况时追究其责任。

美国没有在这一领域采取监管措施，而是呼吁产业界自觉投入，以减少该国关键基础设施和服务面临的网络风险。2013年2月，奥巴马总统责成美国国家标准技术研究所（NIST）制定一整套能够匹配当前的政策环境、商业环境和技术路径的标准、方法、程序和流程，以应对网络风险。一年后，即2014年2月，《改进关键基础设施网络安全框架》（Framework for Improving Critical Infrastructure Cybersecurity）公布，其中载有一套自愿执行的标准，以帮助各组织评估、管理和应对网络安全风险。该框架指导各组织从五个方面对风险进行评估：识别、保护、检测、响应和恢复。根据一些业内评估，约30%的美国机构（包括政府）正在使用该框架来评估其风险态势，并通过该框架来完成保护网络和敏感数据不受入侵、破坏或妨害等更重要的职责[8]。此外，在该指导性文件的附录中，还将国际公认的各种标准映射到了NIST网络安全框架中的风险约化范畴（Risk Reduction Categories）之中。然而，从最近信息泄露事件的经验和教训来看，使用NIST网络安全框架进行风险识别的组织，只是一味追求自身的合规性而不是有意建立一种持续的风险评估机制。例如，一些组织使用NIST网络安全框架评估了它们的安全态势和应急准备工作，认为它们已经达到了成熟的网络安全水平，但仍然受到“WannaCry”和“NotPetya”等恶意软件的严重损害。

2017年9月，NIST发布了关于《信息系统和组织的风险管理框架：解决安全和隐私问题的系统生命周期方法》（Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy）的修订版[9]。此安全管理方案建议各个组织具备识别高价值资产和关键系统的能力，以便更好地评估其操作风险。在安全和隐私的控制问题，以及实施和评估控制效果等方面，该方案也提供了一种有效的管理结构。该方案强调了持续监测实时风险的重要性，即在任何时间点上都要依从管理框架中的要求。该方案还指出，风险管理决策是完善业务职能和确保达成各项任务所不可或缺的部分。这一修订版补充了前期《改进关键基础设施网络安全框架》的有关措施，如果将二者结合起来，或将为各个组织提供一种更具战略性的风险管理办法。

1.2 国际社会的框架

一些国际组织也在关于网络风险管理的讨论中表达了自己的意见，并努力通过自己提出的框架和建议来推进行之有效的网络安全措施。关于国际风险管理的辩论，最早出现于“信息社会世界峰会”（WSIS）的第三次会议（即在2003年和2005年两个连续的阶段性峰会之后），这也是围绕“信通技术促发展”主题的一次全球聚会。当时，至少有170个国家表示决心要确保人人都能受益于信通技术所带来的机遇：改善获得信息通信基础设施、技术，以及各种信息和知识的机会；增强对使用信息通信技术的信心和保障；发展和扩大信息通信技术的应用范围；鼓励国际和区域性合作[10]。从那时起，各种国际机制都开始努力制定和宣传其安全管理框架，以管理由信息通信技术的脆弱性所带来的风险，并增强各方对全球数字经济的信心和参与度。

最早构建网络安全职责的国际组织之一，是美洲国家组织（OAS）。2004年，美洲国家组织通过美洲反恐怖主义委员会（CICTE）及其网络安全方案，开始推进美洲网络安全议程的发展。美洲国家组织与许多来自公共和私营部门的国家和区域实体就政策和技术问题开展合作，并试图通过技术援助和培训、政策多边会谈、危机管理活动和交流，以及与信息通信技术有关的最佳实践等，在其成员国内建立和加强网络安全能力。美洲国家组织通过政府部门和学术机构来推进网络安全能力建设，并试图改变其成员国内的主流观念，使其认识到因特网连接，以及作为其基础的信息通信设施必须是安全的。如果各国无法协同一致地投资于其核心基础设施的安全及其系统的复原能力，恶意网络活动所造成的损失将成为其经济增长的负担。

2007年，国际电信联盟（ITU），即联合国下属负责信息和通信技术问题的专门机构宣布了其“全球网络安全议程”，并公布了旨在促进缔约方之间开展合作与协调的框架。“全球网络安全议程”包含五个战略支柱，以指导各国建设网络安全能力，并肩负起网络安全的职责。这些措施包括：①法律措施；②技术和程序措施；③组织结构；④能力建设；⑤国际合作。该框架催生了于2011年颁布的《国际电信联盟国家网络安全指南》，该指南强调了国家价值观、文化和国家利益是制定任何有效的国家战略的基础。此外，该指南中还讨论了各国政府在努力将网络安全议题从单纯的技术性问题，转变为战略性的国家政策时应注意的重要问题。在这些初步成果的基础上，国际电联于2014年推出了一项“全球网络安全指数”（GCI），帮助一些国家制定相应的基准，并且能够以其他国家在投资和计划制定方面的数据为参照，衡量自身的网络安全计划。这一指数旨在通过“全球网络安全议程”的五个维度，衡量一个国家的网络发展或“健康状况”，即法律措施、技术措施、组织措施、能力建设和国际合作[11]。这一方法和指数是最早的国际框架之一，可在国家领导人制定其国家战略时提供相关信息，并提供一种以非专业术语来衡量网络风险的方法。

2015年，经济合作与发展组织（OECD，简称“经合组织”）理事会通过并发布了《经合组织关于经济和社会繁荣的数字安全风险管理的建议》[12]，目的是为制定旨在管理数字安全，以及优化数字开放所带来的经济和社会效益的国家战略提供信息。该框架鼓励各国采取一种以风险管理为基础，并以八项相互关联、相互依存和相辅相成的高级原则为框架，其中包括：①提高认识、掌握技能和增强权能；②利益攸关方的责任；③人权和基本价值观；④合作；⑤风险评估和处理周期；⑥与风险以及所涉经济和社会活动相适应的安全措施；⑦创新；⑧风险防范和可持续性规划。经合组织主张，如果领导人将这八项原则与其他国际框架结合起来，各国就有能力在数字安全风险管理的基础上制定更好的政策（和战略）。“八项原则”本身并不是一个框架，而是政府内部以及与非政府利益攸关方建立，或加强协调机制的关键组成部分。经合组织认识到，公私合作对于减少网络风险来说至关重要。

1.3 学术和技术社群的框架

学术机构、智库和技术界也开始参与进来，并提出了各种方法以促进各国和各组织的网络防范工作和成熟度。

2015年，波托马克政策研究所（Potomac Institute For Policy Studies）的一个专家小组发布了“网络就绪度指数2.0”（CRI 2.0），该指数以2013年“网络就绪度指数1.0”为基础，为评估网络就绪程度提供了一个方法框架。“CRI 2.0”提供了一种全面的、以对比为依据的、基于经验的方法来评估各国的网络安全承诺和成熟程度，以缩小各国当前网络安全态势与支持其数字未来所需的国家网络能力之间的差距。“CRI 2.0”在7个基本要素之上设立了70多个特定指标，以识别在操作层面上已就绪的活动，并确定以下几类需要改进的领域：①国家战略；②事件应对；③电子犯罪和执法；④信息共享；⑤研发投资；⑥外交和贸易；⑦防御和危机应对。由此产生的具有可操作性的蓝图，为各国提供了一个减少风险的路线图。最重要的是，“CRI 2.0”将经济增长和国家安全政策制定联系起来。它还认识到，要充分发挥互联网经济在国内生产总值增长、提高生产力和效率、提高劳动力技能，以及改善商业和信息获取方面的潜力，并需要将经济发展战略与国家安全优先事项保持一致。换言之，只有制定政策、程序和技术，保护和保障一国的数字未来和经济增长所依赖的网络基础设施和服务，信息通信技术才能为国家带来经济增长。“CRI 2.0”强调，全球领导人可以利用包括政策、立法、法规、标准、市场激励和其他举措，以保护其数字投资的价值，并应对网络威胁对经济持续发展的侵害。

2016年，由牛津大学“全球网络安全能力中心”（GCSCC）出版的“网络安全能力成熟度模型”（CMM），从五个不同的方面描述了各国的网络安全成熟度：①网络安全政策和战略；②网络文化和社会；③网络安全、教育、培训和技能；④法律和监管框架；⑤标准、组织和技术。然后将每一个层面细分为更具体的因素和指标，这些因素和指标合在一起就象征着更加成熟的网络安全能力。CMM使用两种方法来帮助诊断网络就绪情况：第一种方法是通过一种调查工具（与国际电信联盟的方法类似），使国家可以自行诊断其就绪情况。然后，我们会检讨调查结果，并与来自政府、学术界、私营机构及公共机构的主要网络利益相关者进行技术交流，以更有效地从五个网络成熟度的阶段评估国家层面的网络能力，包括启动，形成，建立，战略和动态。牛津CMM是衡量关键利益攸关方对该国网络能力现状和成熟度的了解程度的绝佳工具，这为未来的政策目标和降低风险的成果奠定了基础。

最后，爱沙尼亚电子治理学院在2016年5月的“塔林电子治理会议”期间推出了“国家网络安全指数”（NCSI），并于2018年1月新发布了更新或修改后的方法[13]。该方法吸收了爱沙尼亚作为最早采用全社会范围电子政务的国家之一所吸取的经验教训。“NCSI 2.0”版包括12个能力领域和46个指标，以帮助评估一个国家在国家一级建立“安全的”电子国家的能力，确保数据和交易的安全，同时管控一国的数字安全风险。这十二个能力评估领域是：（1）制定国家网络安全政策的能力；（2）分析国家级网络威胁的能力；（3）提供网络安全教育的能力；（4）确保基本网络安全的能力；（5）为电子服务提供安全环境的能力；（6）提供电子身份识别和电子签名的能力；（7）保护关键信息基础设施的能力；（8）检测和应对网络事件的能力；（9）管理大规模网络危机的能力；（10）打击网络犯罪的能力；（11）开展军事网络防御行动的能力；（12）提供国际网络安全的能力。NCSI有许多类似于其他框架的组成部分，但有一些独特的部分是爱沙尼亚电子治理经验所特有的，包括如何为电子服务建立一个安全的环境，以及如何提供电子身份验证和电子签名等。

1.4 框架摘要

每个框架都采取了略有不同的方法，以帮助一个国家加强其整体网络安全态势，并管理国家级的网络风险。在现有框架之中，也存在许多共同之处，包括：各个框架认识到，在现代，各国的国家安全和经济福祉，都高度依赖于他们确保自身网络基础设施安全和数字经济发展的能力；需要在政府和企业最高领导层中推广网络安全概念；首先要保护最重要的基础设施和基本服务；需要制定适当的法律，建立起能够保护社会免受网络犯罪、服务中断和财产破坏之害的监管机制；公共和私营部门，以及国际和区域社群之间有必要开展合作，以确保各方能够采取有效的网络风险管理和复原力战略；有义务发展必要的国家能力，以增强对信息通信技术使用的信心及其安全性、纠正其中的缺陷和漏洞，并建立应对重大的网络安全风险的能力。

2 网络就绪工作

2.1 管控风险

尽管各国领导人现在可以利用各种模式和框架来诊断、评估和减少本国的网络风险，业内专业人员和网络安全专家也多次呼吁采取行动，但在国家层面改善网络安全仍是一项挑战。例如，荷兰认识到其未来的经济健康是建立在运作良好、值得信赖的数字经济的基础上的，因此专门拨出资金并设立了一个中心，以确保国家能够安全地实现其目标。2015年7月，国家安全和反恐协调员进行了“关键基础设施政策审查”。在那次审查中，政府将关键基础设施定义为“国家运转所必需的一套产品、服务和基本流程，而且这套产品、服务和基本流程必须是安全的，能够承受并迅速从所有灾害中恢复”。[14]然而，当欧洲最大的鹿特丹港在2017年受到“NotPetya”恶意软件的严重影响，导致其服务被迫中止时，官员们开始审查该港口对互联网的依赖状况，发现港口基础设施在其国家网络安全战略和基础设施保护政策中实际上并不被重视。

与此同时，即便是像英国这样已经确定了特定关键行业的国家（英国政府规定医疗保健必须达到一定的医疗标准）也没有预料到，它们的医疗服务提供者不会愿意投资更新软件，以保护患者的关键服务免受网络风险。因此，当236个国家卫生服务信托基金中的81个成为简易勒索软件“WannaCry”的受害者时，这一原本可以轻易避免的事件最终却将生命财产置于危险之中。因此，英国被迫检查其“网络要素计划”（Cyber Essentials Program）是否得到充分执行，并确定政府是否有必要进一步干预和关注，以管理国家及其公民面临的风险。

如前所述，德国和美国选取了总体规模占该国GDP至少2%的少数几家公司，确定这些公司应得到进一步保护，并加强了政府与它们的信息共享与合作，但这并没有保护这些公司免受“NotPetya”等恶意软件的破坏性损害。虽然两国政府都有与企业共享威胁警报和情报信息的程序，并负责提醒各行业注意他们面对攻击时的脆弱性，但在“NotPetya”攻击事件中，相关部门没有事先发出的警告。因此，总部设在这两个国家的公司受到了严重影响，由于这些公司缺乏准备和政府的相应支持，从而使得全球电子商务面临数周甚至数月的延误。此外，沙特阿拉伯的主要能源公司（这些公司的液体天然气产出占全球份额的25%，并且为全球运输系统提供燃料）也由于其他恶意网络活动而被迫关闭，最终影响了全球运输系统和经济运行。

正如上述案例所示，没有一个国家切实完成了网络就绪工作，而网络防范工作必须从纪律严明的风险管理方法开始。有效的风险管理首先需要一个国家的领导人了解这项工作的价值所在，继而勾勒出最需要保护的部分，并表明国家愿意投入所需的政治资本、执行时间、金钱和资源等来保护它。

例如，哥伦比亚启动了一项风险管理办法，以评估其网络就绪情况，并促进全社会对数字环境应用的信心。这项工作响应了《哥伦比亚国家数字安全政策》（即国家网络安全战略）中提出的任务，该政策于2016年4月得到国家数字安全委员会的批准，由全国社会经济计划委员会（CONPES）以第3854号文件的形式发布。哥伦比亚采取了经合组织的风险管理指南作为框架，并根据美洲国家组织、国际电信联盟和北约组织的建议，用以评估该国面临的数字威胁，并确定那些正面临风险的重要资产[15]。这项研究推动哥伦比亚政府去评估它所面临的最紧迫的网络风险，确定网络事件是如何影响哥伦比亚私营部门和公共部门的组织的，并将网络安全议题视为哥伦比亚社会经济发展的优先事项和关键组成。它还帮助该国的不同利益攸关方提高相关认识，明确恶意网络活动对一些公共部门实体与私营企业的影响，这些恶意网络活动包括常见的和一些特殊类型的网络事件、网络威胁和攻击等，同时，这项研究开始量化恶意网络活动对该国经济造成的损失。哥伦比亚认识到，管理国家层面的网络风险是各产业部门数字化和国家数字化转型的基本前提。

哥伦比亚的经验突出了领导层和政府治理在风险管理中的起始作用。近年来由各种政府间组织、学术界和技术界发布的大量框架、指数和指南都强调，评估真正面临风险的问题，并将网络安全提升到国家安全战略的首位是至关重要的。 但是，将网络安全作为独立的优先事项，甚至将其视为主要的国家安全问题仍是不够的。事实上，确保网络安全也与互联网连接和信息通信技术的迅速普及密切相关，因为确保互联网连接和信息通信技术应用的安全和弹性，是经济增长和繁荣的前提。因此，将经济举措与网络安全，技术发展和复原力相结合，与评估风险价值以及制定管控风险的国家战略同样重要。

2.2 评估风险

各国领导人必须明确表示，他们将通过开放的数字环境来促进经济和社会繁荣，降低国内和跨境数字安全风险的总体水平。他们必须注意，风险会随着时间的推移而发生变化，这取决于两个方面行为体所采取的行动：具备并且意图使用某种能力进行破坏的攻击者，以及能够采取预防措施以抵御或挫败攻击者意图的潜在被攻击目标。为了显示其降低风险和提高复原力的决心，国家领导人需要在国家和部门两个层级上进行持续的风险评估，并采取适当的措施、政策和程序来管理已查明的风险。

为了实现这些总体目标，各国领导人、决策者和其他相关利益攸关方必须共同努力以评估当前风险。以下战略规划和思考有助于确定一国网络就绪的程度：

（1）国家的短期和长期战略是什么，包括产业政策、经济目标和国家安全优先事项？

（2）什么因素将会危及上述目标？换言之，有哪些漏洞或薄弱环节(即还未确认的高价值资产)可以用来破坏这些目标的执行？

（3）是否有明确的问责和责任划分，以确保落实国家目标和降低风险的措施？

（4）关于网络安全和复原力的考量是否属于规划进程的核心部分？

一项综合、全面的评估能够发现该国最关键的并且是赖以生存的数字资产，如网络公司、网络服务、基础设施和其他资产等，如果这些资产受到损害，将产生严重的经济和国家安全后果。只有正确地识别出哪些是脆弱的，哪些可能危及一个国家的“皇冠上的珍珠”，以及他们面临危险、遭受伤害或损失的可能性，决策者才能采取纠正措施来阻止或减少这些风险。

2.3 通过审慎的规划降低风险

在进行了风险评估后，国家就可以制定降低风险的计划，以缩小其当前网络安全态势，与纠正缺陷以及支持该国未来经济和安全优先事项所需的国家网络能力之间的差距。降低风险的工作应由一个专门的国家网络安全机构领导，该领导机构（包括个人和实体）将被提升和稳定于政府最高层，以便提供指导、协调行动、监测计划的执行情况，并对网络安全工作中的不足之处，同时也对所取得的成果负责。鉴于网络安全涉及许多不同的问题领域(如人权、经济发展、贸易、军备控制和军民两用技术、安全、稳定以及和平与冲突解决)，重要的是必须确保国家主管当局具有相应的职权、问责权和授权，以便必要时介入和指导利益攸关方的网络安全工作。

虽然关于降低风险活动的指导意见十分丰富，但前几节概述的各种框架表明，各国领导人应作出更多努力以了解网络风险态势及其网络基础设施面临的具体威胁（这些威胁应在国家网络安全战略和国家网络风险评估中明确界定），然后与所有相关的利益攸关方合作，更好地规划其防御工作，更好地分配人力和财政资源以尽量降低这些风险。有效缓解网络风险的一些常见战略包括：

（1）就当前所面临的问题进行交流，全面提高从政府领导人到普通公民各级的风险意识。人们需要先了解其日常活动（不仅仅是个人信息）所面临的风险，才能对安全态势进行评估。因此，政府应发起全国公众宣传运动，促进教育、培训和技能发展，并赋予公民权力，使之成为建立强有力的网络安全文化的助力。

（2）确定、优化和集中必要资源于需要加强保护的高价值资产和具有较大影响的系统方面，如国家最关键的数字依赖性（例如互联网企业、基础设施、网络服务和资产）；了解其脆弱性，并优先考虑适合于应对经济和社会风险的安全措施。

（3）制定适当的法律和监管框架，以保护社会免受网络犯罪、服务中断和财产破坏的侵害。

（4）利用各种工具，包括政策、立法、规章、标准、市场奖励、自愿遵守计划和其他举措，来提高对信息通信技术使用方面的信任及其安全性，同时纠正程序和公共政策产品方面的缺陷（例如，欧洲的网络与信息安全指令、中国的网络安全法、美国国家标准与技术研究院的网络安全框架）。

（5）不断监测网络社会面临的威胁，并利用最新技术来探测、排除和遏制这种威胁，改善对网络安全态势的认识，以及对威胁指标和安全警告的掌握。

（6）发展必要的国家能力，以加强备灾、开展可持续性的规划工作，并在出现重大网络安全风险时作出回应和恢复网络（例如大规模网络危机）。

（7）使国际社会能够通过制定全球安全标准和推进多边协定，来改善可互操作网络（例如金融、电信、能源等）的整体安全性、可靠性和复原力。

（8）预估未来技术进步将为一国网络安全带来的脆弱性，另一方面如何将技术进步变成可利用的机会，为下一代基础设施和资产构筑更强的安全性、可靠性和复原力。

在有效执行这些任务和进行其他活动时，将需要清晰的界定和明确各方的作用、责任、进程、决策权利和问责机制。各部委或政府部门、政府机构或负责行动计划中具体任务的个人要成功开展网络安全工作，需要先建立网络安全工作的业绩指标。

当然，减少风险活动也需要当局划拨专门和适当的资源，为相应部门在执行目标时所有。不稳定的资金来源和机制可能影响预期成果的达成和国家网络安全实体的问责制，但仍没有足够的资源用以执行任务。各项资源应按照资金(即专用预算)、人员、物资，以及成功执行和取得减少风险计划成果所需的关系和伙伴关系等几个类别加以界定。为国家网络安全战略中的目标和任务提供资源，不应被视为一次性的举措。充足、稳定和持续的资金支持，为构建有效的国家网络安全态势提供了基础。各项资源可以根据任务或目标需求分配，或由政府实体进行分配。政府还可以考虑建立一个网络安全中央预算，由中央网络安全治理机制管理。无论是把不同的资金来源聚集到一个持续完整的综合方案里，还是建立统一的政府内部预算，整个方案都应通过阶段性目标的达成和明确界定的时限来管理和跟踪，以此确保该战略的顺利展开。

2.4 持续性的风险评估

当网络安全工作变成一个实时评估(合规性框架)工作，而不是持续地评估风险进程，那就意味着这项工作失败了。风险管理要求对国家最关键的数字依赖性(例如公司、基础设施、服务和资产)中的脆弱性，进行积极的威胁预判和持续性评估。如上所述，一些现有框架强调了持续性风险评估和补救控制系统漏洞的重要性。监测和衡量网络安全举措的绩效和网络安全倡议(减少风险活动)的执行情况，应作为治理机制的一部分被嵌在国家网络安全架构中。对计划执行情况的连续性评估(即评估哪些工作完成的较好，哪些未能完成)有助于指导计划调整工作和进一步宣传“总体战略”。良好的治理机制界定了确保计划成功执行所需的问责制和相关责任，并利用可操作、可重复、有意义的、有时限的量化标准，或关键业绩指标（KPI）来补充现实目标和任务时间表。关键业绩指标或量化标准应符合以下标准：

（1）具体目标：确定一个特定领域加以改进。

（2）可量化：量化或至少提出一个进程量化指标。

（3）可实现：如果有可用资源，可以切实地实现何种结果。

（4）可行性：有明确的行动可采取。

（5）指责：指定谁来执行。

（6）时间要求：指定结果何时可以实现。

虽然还没有任何国家完全做到网络就绪，而且网络风险也不可能完全消除，但它们可以而且必须加以管理。网络就绪和准备工作先由一种有效的风险管理办法开始，其中包括明确掌握该国那些需要加强保护的高价值资产和具有较大影响的系统，即国家最关键的数字依赖性(例如企业、基础设施、服务和资产)。一旦掌握这一点，风险分析和脆弱性评估就可以界定和优先执行必要的安全措施来纠正当前的一些漏洞，这些漏洞往往是与经济和社会风险相对应的。

只有在各国利益攸关方之间进行协调一致的努力，才有可能大大减少网络风险并向前迈进，以确保一个国家未来的安全。

3 结语

我们的网络不安全感正在增加。网络威胁对国家关键服务和基础设施的影响在数量、范围、规模和复杂性方面都超过了现有的防御措施。今天极具破坏性和妨害性的网络活动，要求各国政府抓紧处置并投资于将本国从网络不安全状态转移到网络准备状态的工作中。各种损失正在累积；损害正在增加；危险迫在眉睫。

国家领导人必须制定全面的国家网络安全战略，其中包括负责总体国家网络安全态势的专门主管部门。国家对自身所面临的网络风险的认识，必须在包括政府领导人到公民的各个层级上建构起来。每个人都应该了解该国数字环境的脆弱性，并了解他们在减轻这些风险方面的作用。这一战略路线图允许采取适当的措施、政策和进程来纠正缺陷、减少对社会、经济和国家造成的风险。如果没有专门的和适当的资源来资助降低风险和提高复原力的工作，就无法实现上述目标。贯彻国家网络安全战略是确保国家网络基础设施和网络服务安全的最重要步骤之一，而现代国家的数字化未来和经济福祉就取决于国家网络基础设施和服务。