【摘要】數字組織是數字化時代的必然產物,是數字經濟和數字社會的重要載體。數字組織的網絡安全已經成為社會安全和國家安全的“命門”。數字組織網絡安全治理的目標就是要保障數字組織系統內全部要素的安全。在治理思維層面,我們需要強化數字組織安全治理的系統觀念和整體觀念,不僅要關注關鍵數字要素的安全問題,更要關注“云邊端生態系統”中存在的結構性安全問題。在頂層設計層面,需要從等級保護制度、網絡安全審查制度和網絡安全信息共享制度三個方面進一步完善網絡安全治理制度框架。
【關鍵詞】數字組織 網絡安全 治理制度
【中圖分類號】TP391.9/TP309 【文獻標識碼】A
【DOI】10.16619/j.cnki.rmltxsqy.2024.02.009
【作者簡介】李衛東,華中科技大學新聞與信息傳播學院教授、博導,國家傳播戰略研究院執行院長,教育部大數據與國家傳播戰略實驗室(培育)執行主任。研究方向為云傳播和萬物互聯網管理。主要著作有《云傳播時代:人類傳播與治理的云端化、平臺化、泛在化、社交化和智慧化革命》《政府信息資源傳播》《智能新媒體》等。
數字化是當前經濟社會發展的主流。隨著數字化的不斷深入,人類的社會結構由純粹的現實一體性結構衍生出現實世界和數字世界并存的二重結構。[1]數字組織是數字世界的基本構成單元,也是數字經濟的基本功能單元。整個社會數字化建設的目標就是建立一個個能承擔基本經濟社會功能的“數字組織”。因此,數字組織可看成是一個與現實組織相對應的“鏡像”。在數字化的高度發達階段,整個社會的正常運行和持續發展都建立在無數的數字組織之上。一旦數字組織本身出現問題,或遭到攻擊和破壞,就會小則一個組織遭受重大損失或停止運行,大則整個社會陷入混亂。例如,數字政府一旦受到攻擊,將會直接動搖一個國家整體安全的基石;若一些關乎國計民生的數字企業遭到侵害,將可能導致整個國家蒙受嚴重的經濟損失。而現實狀況是,各類數字組織遭受的網絡攻擊和數據泄露事件頻發,數字組織網絡安全形勢較為嚴峻。在國內,2018年,一個包含超2億中國求職者簡歷信息的“MongoDB”數據庫被發現可以公開訪問;同年6月某快遞公司泄露10億條用戶數據;8月某快遞公司泄露3億條用戶數據,包括寄(收)件人姓名、電話、地址等數據項;11月某酒店的系統被入侵導致5億條客戶數據泄露,包括客戶的姓名、住址、電話號碼、電子郵件地址、護照號碼、信用卡等數據項。在國外,2019年,委內瑞拉全國23個州中的18個州在當地時間3月7日下午5點發生了停電,原因是向全國提供80%電力的古里水電站遭到蓄意破壞,9日上午,全國70%的地方恢復了供電,但沒過多久電子系統再次遭到“高科技手段”實施的電磁攻擊,導致再次大范圍停電。2021年,美國最大的成品油管道運營商Colonial Pipeline在當地時間5月7日因受到勒索軟件攻擊,被迫關閉其美國東部沿海各州供油的關鍵燃油網絡,5月9日,美國政府宣布,美國17個州和華盛頓特區進入緊急狀態。
在這種情況下,如何實現數字組織的網絡安全治理是亟待解決的重大理論問題;如何建構數字組織的網絡安全治理的制度框架是亟待回答的實踐問題。本文試圖探索上述問題,擬提出數字組織網絡安全治理的生態思維和制度框架。
數字組織網絡安全治理的理論綜述
確保數字組織的網絡安全是一個國家網絡安全的基礎。數字組織網絡安全治理的本質是數字組織與政府職能部門、數字技術服務提供商等有關責任主體相互協作,共同發現數字組織所在網絡環境中的漏洞,減少或消除網絡攻擊的威脅。其中漏洞是數字組織網絡安全系統中的潛在弱點,威脅是通過利用數字組織系統漏洞進行網絡攻擊的可能性。[2]現有研究提出了包括政府監管、國際協議與合作、技術治理、自我規制、多利益攸關方、多邊主義等多種網絡安全治理模式,呈現出明顯的多元復合和統分結合的特點。[3]如有學者提出的網絡安全綜合治理模式強調要給予網絡企業、第三部門尤其是網民公眾參與網絡安全治理的權利和機會,[4]構建以政府、企業、網民為主體的網絡協同治理機制。[5]“多利益攸關方”治理模式則側重從公司和技術精英的技術治理層面對市場和社會兩者進行融合。[6]當前對治理模式的爭議主要集中在對美國等西方發達國家實踐的多利益攸關方共同治理模式與以中國和俄羅斯為代表的主權國家政府主導的治理模式的比較上。[7]而由“賦權社群”主導、基于“多利益攸關方”的共治模式正逐漸成為共識。我國2020年施行的《網絡信息內容生態治理規定》也從制度層面明確了中國共產黨領導下多元參與協同共治的治理模式,由政府、企業、社會、網民等主體共同發揮作用。[8]但總體來看,目前我國的網絡立法不夠系統全面,行業自律缺乏主動性和創造性,配合網絡安全治理的信息技術工具體系尚未建立。[9]因此,在國家層面完善立法,在行業層面加強自律,在市場主體層面建立信息技術工具體系,是提高我國網絡治理能力的有效路徑。[10]
數字組織網絡安全治理的關鍵問題是如何建構一個科學的治理框架,以實現數字組織與政府職能部門、數字技術服務提供商等多個治理主體的相互協作治理。不過,國家整體層面的網絡治理是以政府為主導的,數字組織網絡安全的責任主體還在于數字組織本身。在這個前提下,如何劃分各個主體的治理職能,如何分配各個主體的治理權力,如何形成體系完備的治理制度,是需要探討的幾個重要問題。
首先,在頂層設計層面,應注意提升國家參與網絡空間治理的能力。例如,技術性權力、解釋性權力和制度性權力等,進而努力實現公平、有序的治理。[11]有學者指出,為了滿足我國經濟社會發展、建設網絡生態家園以及面對復雜嚴峻的網絡安全形勢的現實需要,法治化是目前網絡安全治理的最優模式。[12]
其次,在政府層面,我國網絡安全治理應加快推進由碎片化管理到協同化治理、靜態化管理到動態化治理、控制式管理到法治化治理以及機械化管理到生態化治理取向的轉型。[13]在此過程中,進一步明確政府的治理職能定位,積極推進公私合作,實現數字組織網絡安全的合作治理。[14]
最后,在數字組織層面,需要綜合運用系統思維和辯證思維,切實承擔主體責任,綜合考慮數字組織網絡安全與成本、發展、開放和權利的關系,[15]不能因為顧慮安全問題而放棄數字組織的建設和發展。
據此,下文試圖從治理思維和治理制度兩個層面提出數字組織網絡安全的治理框架。在明確安全治理的總體目標前提下,治理思維旨在闡明安全治理的總體思路,治理制度旨在闡明頂層設計視角的治理路徑。在此基礎上,構建以安全基礎設施為基礎、以數字組織自身的安全管理為中心、以法律制度為保障的三位一體的數字組織網絡安全治理體系。[16]此治理框架旨在構建協同共治的網絡秩序格局,保障各類數字組織自身的權益,實現公共利益最大化。[17]此治理框架的建立,需要國家權力機關制定和完善網絡安全治理的法律法規,國家行政機關制定和完善有關的政策、規范和監管機制,并引導數字組織積極參與網絡安全治理。[18]
數字組織網絡安全治理的生態系統思維
數字組織本質上是一個由云邊端的海量數字要素(設施、平臺、應用和數據)相互連接而成的復雜生態系統,涵蓋云端、邊緣端和終端的各類基礎設施、應用平臺、數據和終端設備。無論云端、邊緣端和終端的哪種數字要素受到攻擊,整個生態系統的安全缺口都可能被打開,進而衍生出一系列安全問題,甚至導致嚴重的安全災難。強化數字組織安全治理的系統觀念和整體觀念,不僅要關注關鍵數字要素的安全問題,更要關注“云邊端生態系統”中存在的結構性安全問題。確保“云邊端生態系統”的安全就相當于加固數字組織的“邊界”,只要“邊界”安全了,“邊界”里面裝載的內容自然也就安全了。加強“云邊端生態系統”安全治理的具體思路包括三個方面。
一是盡可能地消除云邊端生態系統安全保障體系中的薄弱環節。云邊端生態系統安全保障體系中的薄弱環節相當于人的“命門”。盡管云邊端生態系統中某些局部的安全性很強,但攻擊者往往會掃描和嗅探云邊端生態系統中存在安全漏洞,并以其數字要素作為突破口,攻入云邊端生態系統的要害。例如,在云邊端生態系統中,僅具有有限資源的邊緣設施和物聯網終端,難以部署較為高級的安全保障機制,如復雜的加密算法。[19]這些邊緣設施和物聯網終端極易被入侵者進行“重新編程”,以便通過它將數據發送到入侵者的數據庫服務器。[20]如2018年,某犯罪團伙將安裝在物流網點手持終端(俗稱“巴槍”)中的“菜鳥驛站”應用軟件破解后,植入控件程序,直接通過數據回傳獲得數據,非法竊取“菜鳥驛站”快遞數據超過1000萬條。[21]同時,敏感數據也可能經由組件分析被提取出來,云邊端生態系統中的某個硬件或軟件部件也可能被非法替換。[22]在未來,數字工廠中的智能制造設備,數字組織辦公區域內安裝和使用的智能電表、智能家居,以及數字組織員工使用的智能汽車都可能成為攻擊的對象。如根據國家互聯網應急中心發布的《2020年上半年我國互聯網網絡安全監測數據分析報告》可知,工業控制系統安全方面,我國有4630臺工業設備被暴露在互聯網上,工業控制系統的網絡資產持續遭受來自境外的掃描嗅探。為此,數字組織需要建立統一的或協調一致的云邊端生態系統訪問控制和身份認證機制,以便為數字流程在分布式邊緣節點和物聯網終端設備間的切換提供可靠高效的安全保障。
二是確保數據在云端、邊緣端和終端間的傳輸安全。盡管在云邊端生態系統中,邊緣節點無需將大量原始數據實時向云端傳輸,但大量邊緣節點之間、邊緣節點與終端設備之間、終端設備之間的數據傳輸是不可避免的。特別是,在擁有數字工廠的數字組織中,大量工業設備已接入網絡,設備間、機器間的數據傳輸無處不在。具體而言,數字組織的數字流程在流轉過程中,其數據傳輸和信息交互可能發生在云端與云端之間,也可能發生在云端與應用端、云端與邊緣端、云端與終端之間。因此,數字組織必須確保敏感數據在頻繁傳輸中不被監聽和竊取。
三是確保國家網絡邊疆的總體安全,有效防范網絡恐怖活動。數字組織的云邊端生態系統在整個國家的網絡空間生態系統中,也僅僅是一個子系統。單個數字組織內的數字要素安全有賴于云邊端生態系統的整體安全;單一數字組織的云邊端生態系統安全也有賴于國家網絡邊疆的總體安全。網絡邊疆是一國劃定的屬于本國主權管轄范圍內的網絡空間,國家對網絡邊疆內信息、數據的流通行為具有管轄權,若未經授權進行竊取,就是對國家主權的侵犯。[23]特別是,國家關鍵信息基礎設施往往是各類數字組織正常運行的基礎,包括公共通信、廣播電視傳輸等服務的基礎信息網絡,能源、金融、交通、教育、科研、水利、工業制造、醫療衛生、社會保障、公用事業等領域數字組織中的重要信息系統,以及重要互聯網應用系統。這些國家關鍵信息基礎設施的安全是數字組織網絡安全的“基石”,一旦出現問題,后果不堪設想。當前,我國網絡安全的總體形勢不容樂觀。據中國互聯網絡信息中心發布的《第49次中國互聯網絡發展狀況統計報告》顯示,截至2021年12月,全國各級網絡舉報部門共受理舉報16622.4萬件,較2020年同期(16319.2萬件)增長1.9%。2021年,工業和信息化部網絡安全威脅和漏洞信息共享平臺收集整理信息系統安全漏洞143319個,較2020年同期(20721個)增長591.7%;其中,收集整理信息系統高危漏洞40498個,較2020年同期(7422個)增長445.6%。特別是,一些非法團體、恐怖組織出于政治、社會或宗教目的,通過互聯網針對某個國家的關鍵信息基礎設施進行非法攻擊,以恐嚇或脅迫政府、國際組織或公民等。[24]這種對網絡恐怖主義行為的防范已經超出了單一組織的能力范疇,屬于網絡邊疆的范疇。因此,我們只有從總體上確保國家網絡邊疆的安全,才能為數字組織的網絡安全提供堅實的基礎保障。
數字組織網絡安全治理的制度框架
數字組織網絡安全的責任主體是組織自身。如前所述,數字組織網絡安全不僅關系到數字組織自身的生存和發展,更重要的是關乎國家網絡空間的總體安全。如何確保數字組織切實履行安全治理責任?國家必須建立健全網絡安全的法律制度框架,為數字組織的網絡安全治理提供基本遵循。
現有制度建設的不足。從制度建設來看,我國在網絡安全領域的制度建設已取得一定成效。如在戰略層面,2016年,國家互聯網信息辦公室發布并實施了《國家網絡空間安全戰略》,闡明了我國在網絡空間安全與發展問題上的戰略立場和主張,細化了網絡安全治理的目標與任務,是當前我國開展網絡安全治理的綱領性文件。在法律層面,相繼完成網絡安全、數據安全、個人信息保護等領域的專門立法,確立了共同治理的基本理念和思路,設置了大量的倡導性規范,[25]標志著中國的網絡安全治理已進入法治化軌道。在行政法規和部門規章中,對關鍵信息基礎設施安全、工業互聯網安全、云計算服務安全、網絡安全審查等內容作出了具體規定。在標準和細則層面,截至2021年,全國信息安全標準化技術委員會下屬的4個工作組(信息安全評估工作組、通信安全標準工作組、信息安全管理工作組和大數據安全標準特別工作組)共發布211項相關國家標準,[26]涉及網絡安全等級保護、網絡安全漏洞管理、網絡產品和服務安全、代碼安全、數據庫安全、網絡存儲安全、大數據安全、個人信息安全、云計算服務安全等領域的具體規定和實施細則。總體來看,中國已經形成了包括戰略規劃、法律、行政法規、司法解釋、部門規章、地方法規、地方規章、企業管理規定以及其他規范性文件在內的較為健全的網絡管理制度框架。
然而,現有制度建設也存在一定的滯后性,導致關鍵制度和治理結構不足以應對大數據和云服務所面臨的安全和隱私問題。當前,網絡空間的技術架構不斷向云邊端融合的方向發展,這一布局正催生出一個以云計算、物聯網和邊緣計算為基礎、以核心企業為主導、產業鏈上各主體相互配合并在政府監管支持下安全運作的云邊端生態,系統中的各要素相互影響、相互制約,并不斷演化以求達到動態平衡狀態。技術環境的變化導致網絡安全保障的基礎理論和制度建設已經不能滿足現實的需要。具體而言,云邊端生態環境下,遠程辦公、醫療、教育等領域涉及節點眾多,應用環境復雜,包括網絡接入環境、終端設備、數據存儲、云平臺、可信認證、密碼強度等,若存在薄弱環節,可能引發網絡遠程協同業態中的系統運行安全、網絡邊界安全、數據安全等方面的風險。如2014年國家質量監督檢驗檢疫總局和國家標準化管理委員會發布的《信息安全技術 云計算服務安全指南》從控制能力、責任界定、司法管轄、數據安全等方面明確指出可能存在的云計算安全風險。但現行制度并未對數字組織應如何應對新技術生態環境下的安全風險問題作出規定,尤其是當面臨重大的網絡安全問題時,各職能部門存在條塊分割、權責不清、橫向協調困難等一系列問題,難以形成有效的網絡安全協調治理體系。同時,在構建網絡安全體系框架時,在政府職能部門、企業、事業單位和個人等網絡安全服務者的責任與義務分配(如數字組織的安全審查義務)、安全等級劃分、不同主體之間的聯動與信息共享等方面的制度建設存在薄弱之處。例如,有學者指出,我國網絡安全治理的法律仍有需要完善的地方,法律對策應當直指預防、控制安全風險的客觀需求,以程序保障為重點,從評估、責任和應急三方面展開過程控制的制度設計。[27]國家也應當以網絡社會各分層主體的法律地位為基礎來構建網絡安全治理的法律規范體系。[28]網絡安全治理的法律規范體系應當涵蓋國家關鍵信息基礎設施和重要數據的安全保障、數字技術服務提供商的行為規制、網絡信息傳播主體的行為約束等方面。
健全網絡安全治理制度框架。面對互聯網生態系統的巨復雜性,互聯網技術發展帶來的新挑戰與新風險,互聯網管理中政府、市場、社會等多元主體權力邊界模糊,管理缺位、越位、錯位,以及網絡安全突發事件等各種現實難題,數字組織作為網絡安全的治理主體之一,應該承擔哪些主體責任,如何與政府部門、數字技術服務提供商(網絡運營者、關鍵信息基礎設施運營者、云平臺管理運營者)、社會組織(非政府組織和非盈利組織)、互聯網社群和網絡用戶等其他主體進行有效的協作?為回答這些問題,本文擬從等級保護制度、網絡安全審查制度和網絡安全信息共享制度三個方面,來討論如何進一步完善網絡安全治理制度框架。
第一,等級保護制度。信息系統等級保護系列國家標準被廣泛應用于網絡安全職能部門、各行業和領域的網絡安全管理部門及等級測評機構開展系統定級、安全建設整改、等級測評、安全自查和安全監督檢查等相關工作。[29]2019年12月1日,配合《中華人民共和國網絡安全法》,《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019),即“等級保護2.0”正式實施,確立了網絡安全等級保護制度的法律地位,明確了網絡安全等級。等級保護2.0實現了新技術、新應用對安全保護對象和安全保護領域的全覆蓋,更加突出技術思維和立體防范;對安全測評服務機構、等級保護對象的運營使用單位及主管部門的等級保護工作提出了更加細致的規定;[30]依據“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則,明確了等級保護的主體職責。數字組織須依據等級保護2.0開展定級評審,明確自身的網絡安全等級要求,建立數字組織內部的安全等級保護制度。數字組織可以根據各類數據的敏感程度將組織的數據資源進行分級,區分敏感數據并對其進行加密存儲。[31]具體內容包括劃分和認定全部數字資源的密級;設定每位用戶的數字流程身份,設定每種數字流程身份的數據訪問權限和數字平臺操作權限;建立組織成員與數字流程身份的匹配與對應關系。有學者提出,可以使用數據防護成熟度[32]測量模型來評估和提升一個組織的數據管理水平。[33]該模型將數據防護成熟度劃分為五個等級,包括初始級、已管理級、已定義級、定量管理級和優化級。[34]“初始級”的數據缺乏管理的有效性;“已管理級”的數據管理通常以項目為基礎展開;“已定義級”的數據管理在組織層面展開且具有主動性;“定量管理級”的數據管理可測評且可控;“優化級”的數據管理注重數據的改進與提高。[35]數字組織可以自行開展數據防護成熟度水平的等級評估,找出漏洞和不足,不斷提高數據管理水平,以便更好地滿足國家對等級保護的要求。
第二,網絡安全審查制度。目前,大量國外數字技術產品和服務已經深度滲透至中國的關鍵信息基礎設施建設和各類組織的數字化建設中,中國的網絡安全審查面臨著嚴峻挑戰。[36]實施網絡安全審查制度已經成為世界各國的通行做法。如美國建立的網絡安全審查機制具有內容廣泛、審查嚴苛、標準模糊等特點。[37]2022年2月,由國家互聯網信息辦公室等13部門聯合修訂發布的《網絡安全審查辦法》開始施行,該辦法要求,關鍵信息基礎設施運營者采購網絡產品和服務的,應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網絡安全審查辦公室申報網絡安全審查。
如果一個數字組織建設的數字平臺和數字設施屬于關鍵信息基礎設施,無疑需要嚴格遵守該辦法。但一般的數字組織在數字化建設中同樣需要采購和部署大量數字技術產品和專門的安全產品。因此,數字組織需要建立其內部的網絡安全審查制度。一方面,需要審查組織數字化建設方案中所采用的國外數字技術及產品是否會給數字組織帶來安全威脅。例如,某些西方國家的情報組織自冷戰時期至21世紀初期,一直秘密地控制第三方公司向外國政府和企業出售加密機器,一邊賺取數百萬美元的高額利潤,一邊收集重要情報。[38]另一方面,需要審查組織的數字化建設方案中涉及的關鍵核心技術是否自主可控,是否存在“斷供”風險。
第三,網絡安全信息共享制度。如前所述,數字組織本身是一個典型的“云邊端生態系統”,數字組織之間的開放合作也能形成一個復雜網絡系統。某一數字組織一旦發生網絡安全事件,可能直接導致與其有關聯的其他數字組織發生連鎖的安全事故,并最終演化為大范圍的重大網絡安全事故,直接威脅國家網絡安全和國家總體安全。有學者提出,國家需要通過立法從安全信息披露主體、信息披露對象、信息披露的主要內容和時間、信息披露要求和責任,以及信息披露的例外等五個方面建立網絡安全事件信息披露機制。[39]也有學者提出,建立強有力的獎懲制度和訂立信息共享道德契約,能夠有效構建網絡安全威脅情報共享與交換機制。[40]安全信息共享的范圍主要包括數字組織與政府間的安全信息共享,數字組織之間的安全信息共享,數字組織與社會公眾間的安全信息共享。
一是數字組織與政府間的安全信息共享。數字組織較難依靠自身的力量響應和處置突發網絡安全事件,因此必須及時向國家有關部門報告。如在“阿里云阿帕奇”事件中,阿里云工程師發現了一個重大安全漏洞,按照行業規定上報到開發方阿帕奇社區,但并沒有按照《網絡產品安全漏洞管理規定》在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息,導致我國網絡安全在長達15天的時間里面臨重大威脅。對于涉及跨境網絡攻擊和跨境網絡犯罪問題的網絡安全事件,只有及時上報,相關政府機構才有權限開展跨境協作,國家相關部門才能及早介入調查事故原因,科學判斷此次安全事件是否威脅國家安全,及時防止網絡安全問題的進一步升級和惡化。
二是數字組織之間的安全信息共享。數字組織的網絡安全問題本質上是云邊端生態系統的安全問題,該生態系統中任何一個硬件系統或軟件系統出現安全事故,都可能涌現出一系列新的安全問題。如果云邊端生態系統中涉及的各類產品和服務提供商之間無法充分共享安全信息,就難以采取協調一致的安全防范和應急處置行動,最終可能導致系統性風險。
三是數字組織與社會公眾間的安全信息共享。數字組織需要主動向用戶共享涉及個人隱私的安全信息,包括將收集哪些個人數據,如何使用收集到的個人數據,是否會向第三方機構開放這些個人數據。同時,數字組織網絡安全事件一般都涉及用戶的切實利益,一旦事故發生應向用戶及時通報有關情況,以便用戶配合做好相關的事后處置事宜,以防用戶在不知情的情況下受到人身安全和財產安全的二次損害。例如,一些數字組織網絡安全事件中,用戶的個人數據遭到大量泄露,直接威脅用戶的隱私安全。若不及時向用戶通報,不法分子可能利用泄露的個人數據對用戶實施詐騙等犯罪行為。如據央視“3·15”晚會曝光,多家在線招聘網站存在簡歷泄露情況,記者僅花費7元,便在網上購買到一份求職者簡歷。而這些在線招聘網站從未主動向用戶通報過相關情況。
結語
數字組織是數字化時代的必然產物,是數字經濟和數字社會的構成要素和重要載體,數字組織網絡安全關乎國家總體安全。數字組織網絡安全治理要保障數字組織系統內全部要素的安全,更要關注“云邊端生態系統”中存在的結構性安全問題,確保“云邊端生態系統”的安全。為了確保數字組織切實履行安全治理責任,國家必須建立健全網絡安全的法律制度框架,為數字組織的網絡安全治理提供基本遵循。
(本文系國家社會科學基金重大項目“健全互聯網領導和管理體制研究”的階段性成果,項目編號:22ZDA078;華中科技大學新聞與信息傳播學院博士研究生覃亞林對本文亦有貢獻)
注釋
[1]蔣廉雄:《數字化時代建立領導品牌:理論與模式創新》,北京:社會科學文獻出版社,2020年,第220頁。
[2]See K. Graves, Certified Ethical Hacker Study Guide, Wiley Publishing, Inc., 2010.
[3]張偉、金蕊:《中外互聯網治理模式的演化路徑》,《南京郵電大學學報(社會科學版)》,2016年第4期。
[4]何明升:《中國網絡治理的定位及現實路徑》,《中國社會科學》,2016年第7期。
[5]羅方祿:《網絡非技術風險及其安全治理》,《中南大學學報(社會科學版)》,2020年第6期。
[6]蔡翠紅:《國家-市場-社會互動中網絡空間的全球治理》,《世界經濟與政治》,2013年第9期。
[7]崔保國:《網絡空間治理模式的爭議與博弈》,《新聞與寫作》,2016年第10期。
[8]黃楚新、曹曦予:《論中國共產黨的網絡治理領導能力》,《科技與出版》,2021年第7期。
[9][10]范靈俊等:《我國網絡空間治理的挑戰及對策》,《電子政務》,2017年第3期。
[11]任琳、呂欣:《大數據時代的網絡安全治理:議題領域與權力博弈》,《國際觀察》,2017年第1期。
[12]魏光禧:《法治化是網絡治理創新的最優模式》,《人民論壇》,2017年第6期。
[13]唐慶鵬、康麗麗:《當前我國網絡突發公共事件的發展新態勢及其治理轉型》,《求實》,2018年第4期。
[14]陳越峰:《關鍵信息基礎設施保護的合作治理》,《法學研究》,2018年第6期。
[15]陶文昭:《網絡安全的國家戰略》,《人民論壇》,2016年第4期。
[16]田麗、李洪磊:《網絡環境下企業信息安全綜合治理體系研究》,《情報雜志》,2007年第2期。
[17]馮建華:《中國網絡秩序觀念的生成邏輯與意涵演變》,《南京社會科學》,2020年第11期。
[18]張蘊昭:《中國特色治網之道:理念與成就——十八大以來我國網絡空間治理的回顧與思考》,《中國行政管理》,2019年第1期。
[19]M. Ikram et al., “An Analysis of the Privacy and Security Risks of Android VPN Permission-Enabled Apps,“ Proceedings of ACM Internet Measurement Conference, 2016, 11.
[20]J. Sathish Kumar and D. R. Patel, “A Survey on Internet of Things: Security and Privacy Issues,“ International Journal of Computer Applications, 2014, 90(11).
[21]《菜鳥驛站1000萬條數據被非法竊取:均為學生快遞信息》,2018年9月21日,https://tech.sina.com.cn/i/2018-09-21/doc-ihkhfqnt4484262.shtml。
[22]I. Stojmenovic, “Large Scale Cyber-Physical Systems: Distributed Actuation, in-Network Processing and Machine-to-Machine Communications,“ 2013 2nd Mediterranean Conference on Embedded Computing (MECO), 2013, 6.
[23]吉鵬、許開軼:《政治安全視閾下網絡邊疆協同治理的困境及其突破路徑》,《當代世界與社會主義》,2019年第4期。
[24]趙紅艷:《國際合作背景下的網絡恐怖主義治理對策》,《中國人民公安大學學報(社會科學版)》,2016年第3期。
[25]庹繼光:《〈網絡安全法〉的治理思路辨析》,《新聞愛好者》,2017年第8期。
[26]數據來源于全國信息安全標準化技術委員會發布的信息安全國家標準列表,https://www.tc260.org.cn/advice/list.html。
[27]馬民虎:《網絡安全:法律的困惑與對策》,《中國人民公安大學學報(社會科學版)》,2007年第1期。
[28]黎慈:《社會分層視野下網絡安全立法體系的構建》,《湖北社會科學》,2019年第5期。
[29]曲潔等:《新時代下網絡安全服務能力體系建設思路》,《信息網絡安全》,2019年第1期。
[30]馬力等:《網絡安全等級保護基本要求(GB/T 22239-2019)標準解讀》,《信息網絡安全》,2019年第2期。
[31]周勝利等:《大數據環境下電信運營商數據安全保護方案》,《電信科學》,2017年第5期。
[32]其內涵為研究對象與其完美狀態的相對值,包含確定對象的理想狀態、目前狀態以及衡量目前狀態與理想狀態之間差距三個步驟。
[33]黨洪莉、譚海兵:《基于DMM的數據管理成熟度模型及在服務評估中的應用》,《現代情報》,2017年第9期。
[34]葉蘭:《研究數據管理能力成熟度模型評析》,《圖書情報知識》,2015年第2期。
[35]K. Crowston and J. Qin, “A Capability Maturity Model for Scientific Data Management: Evidence from the Literature,“ Proceedings of the American Society for Information Science and Technology, 2011, 48(1).
[36]李青:《美國網絡安全審查制度研究及對中國的啟示》,《國際安全研究》,2017年第2期。
[37]張孟媛、袁鐘怡:《美國網絡安全審查制度發展、特點及啟示》,《網絡與信息安全學報》,2019年第6期。
[38]《美德間諜秘密曝光:多國通訊加密裝置疑一直被設“后門”》,2020年2月12日,https://www.163.com/dy/article/F570C8180534B8CV.html。
[39]趙麗莉、鐘晗:《論網絡安全事件信息披露機制的建構》,《重慶大學學報(社會科學版)》,2017年第1期。
[40]林玥等:《網絡安全威脅情報共享與交換研究綜述》,《計算機研究與發展》,2020年第10期。
Ecosystem Thinking and Institutional Frameworks for Cybersecurity Governance in
Digital Organizations
Li Weidong
Abstract: Digital organization is an inevitable product of the digital era and an important carrier of the digital economy and digital society. The network security of digital organizations has become the "life gate" of social security and national security. The goal of digital organization network security governance is to ensure the security of all elements in the digital organization system. At the level of governance thinking, we need to strengthen the systematic and overall concept of digital organization security governance. We should not only pay attention to the security of key digital elements, but also pay attention to the structural security problems existing in the "cloud edge ecosystem". At the top-level design level, it is necessary to further improve the network security governance system framework from three aspects: the level protection system, the network security review system, and the network security information sharing system.
Keywords: digital organization, network security, governance system
責 編∕李思琪