摘 要:數(shù)字技術(shù)的廣泛應(yīng)用，帶來(lái)了數(shù)字安全問題，從安全的態(tài)勢(shì)來(lái)看，數(shù)字安全問題越來(lái)越復(fù)雜，既存在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、輿論操縱等問題，也存在供應(yīng)鏈風(fēng)險(xiǎn)、系統(tǒng)性風(fēng)險(xiǎn)等物理世界的問題，而各國(guó)在數(shù)字安全治理上的觀念分歧與政策錯(cuò)位，還導(dǎo)致了各國(guó)數(shù)字安全政策的沖突與協(xié)調(diào)問題。因此，需要將數(shù)字安全放在國(guó)家安全的整體框架下，建立起統(tǒng)一的應(yīng)對(duì)策略。

關(guān)鍵詞:數(shù)字安全 安全態(tài)勢(shì) 網(wǎng)絡(luò)空間 數(shù)字技術(shù)

【中圖分類號(hào)】TP309 【文獻(xiàn)標(biāo)識(shí)碼】A

數(shù)字技術(shù)已全面滲透到社會(huì)經(jīng)濟(jì)生活的各個(gè)方面，形成了一個(gè)新的網(wǎng)絡(luò)空間。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《第52次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，截至2023年6月，我國(guó)網(wǎng)民規(guī)模達(dá)10.79億人，互聯(lián)網(wǎng)普及率達(dá)76.4%。

數(shù)字技術(shù)的廣泛應(yīng)用，帶來(lái)了大量安全問題。首先是網(wǎng)絡(luò)空間及相關(guān)的安全問題成為了各界關(guān)注的重點(diǎn)。早在2014年，在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上習(xí)近平總書記提出了“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，沒有信息化就沒有現(xiàn)代化”的重要論斷。世界經(jīng)濟(jì)論壇發(fā)布的《2023年全球網(wǎng)絡(luò)安全展望》顯示，91%的企業(yè)和網(wǎng)絡(luò)領(lǐng)導(dǎo)者認(rèn)為，未來(lái)兩年可能會(huì)發(fā)生影響深遠(yuǎn)的災(zāi)難性網(wǎng)絡(luò)事件。而對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊在“當(dāng)前顯現(xiàn)的風(fēng)險(xiǎn)”中排名第五。同時(shí)，與網(wǎng)絡(luò)相關(guān)的數(shù)字經(jīng)濟(jì)領(lǐng)域的安全問題越來(lái)越重要。數(shù)字技術(shù)全面滲透到社會(huì)生產(chǎn)生活與治理領(lǐng)域，其安全問題對(duì)經(jīng)濟(jì)運(yùn)行將產(chǎn)生重大影響。根據(jù)工信部發(fā)布的數(shù)據(jù)，我國(guó)已建成跨行業(yè)跨領(lǐng)域工業(yè)互聯(lián)網(wǎng)平臺(tái)50家，平均連接工業(yè)設(shè)備超218萬(wàn)臺(tái)，服務(wù)企業(yè)數(shù)量超過23.4萬(wàn)家。特色專業(yè)型工業(yè)互聯(lián)網(wǎng)平臺(tái)達(dá)221個(gè)，其中，面向行業(yè)平臺(tái)有150個(gè)，面向區(qū)域平臺(tái)有27個(gè)，面向特色領(lǐng)域平臺(tái)有44個(gè)。大量的工業(yè)企業(yè)、設(shè)備全面上網(wǎng)，安全問題應(yīng)得到更多的重視。三是數(shù)據(jù)安全問題越來(lái)越重要。數(shù)據(jù)已成為一種重要的生產(chǎn)要素，在經(jīng)濟(jì)生活中發(fā)揮著越來(lái)越大的作用。根據(jù)《國(guó)家數(shù)據(jù)資源調(diào)查報(bào)告（2021）》，2021年我國(guó)數(shù)據(jù)產(chǎn)量達(dá)到6.6ZB，占全球數(shù)據(jù)總產(chǎn)量的10%，位列全球第二。四是數(shù)字領(lǐng)域的安全風(fēng)險(xiǎn)全面向物理世界擴(kuò)散，有可能導(dǎo)致科技研發(fā)、供應(yīng)鏈產(chǎn)業(yè)鏈等多方面的風(fēng)險(xiǎn)。

數(shù)字技術(shù)作為一種通用目的技術(shù)（General Purpose Technology）具有廣泛滲透性，使網(wǎng)絡(luò)安全問題的范疇持續(xù)擴(kuò)大，從而演化為數(shù)字安全，因?yàn)殡S著各行各業(yè)數(shù)字化水平持續(xù)提升，數(shù)據(jù)、網(wǎng)絡(luò)、智能技術(shù)等在生產(chǎn)生活中越來(lái)越重要，因此，網(wǎng)絡(luò)安全問題向千行百業(yè)延伸拓展，成為社會(huì)的底座。習(xí)近平總書記明確指出：“在信息時(shí)代，網(wǎng)絡(luò)安全對(duì)國(guó)家安全牽一發(fā)而動(dòng)全身，同許多其他方面的安全都有著密切關(guān)系”。為了進(jìn)一步明確網(wǎng)絡(luò)安全的這種廣泛性，本文將數(shù)字安全定義為：與數(shù)字技術(shù)直接相關(guān)的網(wǎng)絡(luò)空間安全、數(shù)據(jù)安全以及由于應(yīng)用數(shù)字技術(shù)而帶來(lái)的物理世界安全、社會(huì)治理安全等復(fù)合性綜合性安全。數(shù)字安全是一個(gè)大的概念，既包括了虛擬世界的數(shù)據(jù)安全、網(wǎng)絡(luò)安全、輿論操縱等問題，也包括物理世界的關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)、系統(tǒng)性風(fēng)險(xiǎn)。在應(yīng)對(duì)數(shù)字安全風(fēng)險(xiǎn)方面，各國(guó)的政策理念以及具體措施仍有不少?zèng)_突。從總體上看，數(shù)字安全越來(lái)越重要，給社會(huì)、經(jīng)濟(jì)、生活帶來(lái)了深刻的影響，也給工業(yè)生產(chǎn)、科技研發(fā)等帶來(lái)了巨大的影響。本文在分析數(shù)字安全新態(tài)勢(shì)的基礎(chǔ)上，對(duì)不同國(guó)家數(shù)字安全政策進(jìn)行了深入討論，并提出了我國(guó)的應(yīng)對(duì)策略。

傳統(tǒng)數(shù)字安全：網(wǎng)絡(luò)空間安全常態(tài)化

數(shù)字技術(shù)的廣泛應(yīng)用，形成了一個(gè)新的空間——網(wǎng)絡(luò)空間，由于其具有虛擬性、技術(shù)性、智能化等特征，帶來(lái)了大量的網(wǎng)絡(luò)安全問題，使網(wǎng)絡(luò)空間的安全問題成為一種常態(tài)。

網(wǎng)絡(luò)運(yùn)行安全問題影響越來(lái)越大

一是基于網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)運(yùn)行的安全問題越來(lái)越顯著。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布的《2021年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告》，我國(guó)網(wǎng)絡(luò)普遍存在著惡意程序傳播、漏洞風(fēng)險(xiǎn)、DDoS攻擊、網(wǎng)站安全等方面的安全問題。以網(wǎng)絡(luò)漏洞為例，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄通用型安全漏洞13083個(gè)，同比增長(zhǎng)18.2%。其中，高危漏洞收錄數(shù)量為3719個(gè)（占28.4%），同比減少13.1%；“零日”漏洞收錄數(shù)量為7107個(gè)（占54.3%），同比大幅增長(zhǎng)55.1%。2021年上半年，CNVD驗(yàn)證和處置涉及政府機(jī)構(gòu)、重要信息系統(tǒng)等網(wǎng)絡(luò)安全漏洞事件近1.8萬(wàn)起。捕獲惡意程序樣本數(shù)量約2307萬(wàn)個(gè)，日均傳播次數(shù)達(dá)582萬(wàn)余次，涉及惡意程序家族約20.8萬(wàn)個(gè)。馬來(lái)西亞通信和數(shù)字部網(wǎng)站數(shù)據(jù)顯示，在馬來(lái)西亞，2020 年共發(fā)生了 6512 起網(wǎng)絡(luò)安全事件，而到2021年1—5月，共發(fā)生了4615 起網(wǎng)絡(luò)安全事件，幾乎增長(zhǎng)了一倍。因此，世界經(jīng)濟(jì)論壇發(fā)布的《2023年全球風(fēng)險(xiǎn)報(bào)告》將網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)不安全位列未來(lái)兩到十年全球第八大風(fēng)險(xiǎn)。

二是網(wǎng)絡(luò)安全問題的影響越來(lái)越大。網(wǎng)絡(luò)安全嚴(yán)重影響了社會(huì)經(jīng)濟(jì)發(fā)展情況，網(wǎng)絡(luò)安全問題正在給全球經(jīng)濟(jì)帶來(lái)巨大的損失。從宏觀上看，網(wǎng)絡(luò)犯罪雜志（Cybercrime Magazine）測(cè)算，2015年全球網(wǎng)絡(luò)安全犯罪帶來(lái)的成本達(dá)到3萬(wàn)億美元，而且每年以15%的速率增長(zhǎng)，到2025年將達(dá)到10.5萬(wàn)億美元，將超過全球自然災(zāi)害帶來(lái)的損失，也大于全球非法毒品貿(mào)易之和，相當(dāng)于全球的能源市場(chǎng)總價(jià)值。而且，網(wǎng)絡(luò)安全犯罪極難預(yù)防，根據(jù)世界經(jīng)濟(jì)論壇發(fā)布的《2020年全球風(fēng)險(xiǎn)報(bào)告》，網(wǎng)絡(luò)犯罪在美國(guó)被發(fā)現(xiàn)和起訴的可能性估計(jì)只有0.05%。從微觀上看，企業(yè)數(shù)字化水平不斷提高，大量的業(yè)務(wù)以及生產(chǎn)經(jīng)營(yíng)活動(dòng)都依賴于網(wǎng)絡(luò)，企業(yè)受到網(wǎng)絡(luò)安全攻擊后，將帶來(lái)極為不利的后果。國(guó)際商業(yè)機(jī)器公司（IBM）發(fā)現(xiàn)，超過一半的網(wǎng)絡(luò)攻擊是針對(duì)中小型企業(yè)的，其中60%的企業(yè)在遭遇數(shù)據(jù)泄露或黑客攻擊后六個(gè)月內(nèi)倒閉。美國(guó)司法部的數(shù)據(jù)表明，所有勒索軟件攻擊中有75%是針對(duì)小型企業(yè)的。根據(jù)萬(wàn)事達(dá)卡（MasterCard）的數(shù)據(jù)，66%的中小企業(yè)在過去兩年中至少發(fā)生過一次網(wǎng)絡(luò)事件。即使對(duì)大企業(yè)而言，網(wǎng)絡(luò)安全事件也將對(duì)其市值帶來(lái)不利影響。IBM發(fā)布的《數(shù)據(jù)泄露成本報(bào)告》發(fā)現(xiàn)，在發(fā)生一次重大網(wǎng)絡(luò)安全事件后，超過70%的企業(yè)的市值將損失5%以上；2022年勒索軟件的頻率增加了41%，平均成本為454萬(wàn)美元。

數(shù)據(jù)安全問題日益凸顯

數(shù)字技術(shù)的廣泛應(yīng)用，使社會(huì)生產(chǎn)、生活、治理等過程全部數(shù)據(jù)化，帶來(lái)了數(shù)據(jù)量的爆炸式增長(zhǎng)。有數(shù)據(jù)表明[1]，未來(lái)三年生產(chǎn)的數(shù)據(jù)量將與過去三十年生產(chǎn)的數(shù)據(jù)量相當(dāng)，這些數(shù)據(jù)有40%來(lái)源于對(duì)機(jī)器運(yùn)行過程數(shù)據(jù)的收集。這使數(shù)據(jù)安全問題日益嚴(yán)重。

個(gè)人數(shù)據(jù)安全問題受到了嚴(yán)重挑戰(zhàn)。由于個(gè)人生活已全面數(shù)字化、網(wǎng)絡(luò)化，個(gè)人數(shù)據(jù)的收集維度快速增長(zhǎng)，人工智能疊加大數(shù)據(jù)，可能導(dǎo)致部分傳統(tǒng)數(shù)據(jù)匿名化處理失效，匿名數(shù)據(jù)可能被重新識(shí)別。隨著人工智能技術(shù)的應(yīng)用，這些數(shù)據(jù)可以用于精準(zhǔn)地預(yù)測(cè)、誘導(dǎo)乃至干預(yù)個(gè)人行為，將對(duì)個(gè)人生活乃至國(guó)家安全帶來(lái)不利影響。例如，當(dāng)前的很多電信詐騙具有利用個(gè)人數(shù)據(jù)進(jìn)行精準(zhǔn)詐騙的特征，這使被騙者非常難以預(yù)防。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2020年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》顯示，我國(guó)公民個(gè)人信息未脫敏展示與非法售賣情況較為嚴(yán)重。監(jiān)測(cè)發(fā)現(xiàn)，全年共發(fā)生政務(wù)公開、招考公示等平臺(tái)未脫敏展示公民個(gè)人信息事件107起，涉及未脫敏個(gè)人信息近10萬(wàn)條。而美國(guó)聯(lián)邦調(diào)查局（FBI）負(fù)責(zé)個(gè)人數(shù)據(jù)安全的特工在2018年公開表示，每個(gè)美國(guó)公民都應(yīng)該預(yù)料到他們的所有數(shù)據(jù)（個(gè)人身份信息）都已被盜，并且在暗網(wǎng)中被售賣。2023年3月25日，美國(guó)開放人工智能研究中心（OpenAI）發(fā)布公告，證實(shí)部分網(wǎng)絡(luò)安全Plus服務(wù)訂閱用戶的個(gè)人隱私和支付信息存在泄露。這導(dǎo)致了81%的用戶擔(dān)心ChatGPT帶來(lái)的數(shù)據(jù)安全問題。

商業(yè)數(shù)據(jù)安全問題也越來(lái)越嚴(yán)重。企業(yè)數(shù)據(jù)云化、開放化、開源化、大連接均增加了數(shù)據(jù)防護(hù)難度；工業(yè)互聯(lián)網(wǎng)將研發(fā)、生產(chǎn)、營(yíng)銷、管理等相關(guān)數(shù)據(jù)聚合起來(lái)，使數(shù)據(jù)在生產(chǎn)經(jīng)營(yíng)過程中的重要性日益增加。而隨著供應(yīng)鏈的數(shù)字化、智慧化，供應(yīng)鏈帶來(lái)的數(shù)據(jù)安全問題不容忽視。例如，美國(guó)連鎖超市塔吉特（Target）和家居公司家得寶（HomeDepot）的數(shù)據(jù)泄露案件，都是從供應(yīng)鏈方開始進(jìn)行數(shù)據(jù)攻擊的。從企業(yè)數(shù)據(jù)泄露來(lái)看，很多企業(yè)均收集了大量個(gè)人數(shù)據(jù)、供應(yīng)鏈數(shù)據(jù)、經(jīng)濟(jì)分析數(shù)據(jù)等，這些數(shù)據(jù)泄露不但帶來(lái)了巨額的經(jīng)濟(jì)成本，也帶來(lái)國(guó)家安全方面的風(fēng)險(xiǎn)。

公共數(shù)據(jù)安全問題影響越來(lái)越大。公共部門是最大的數(shù)據(jù)擁有者，其數(shù)據(jù)涉及到大量個(gè)人隱私、國(guó)家安全等問題，數(shù)據(jù)安全問題影響非常大。根據(jù)英國(guó)信息專員辦公室（ICO）報(bào)告，衛(wèi)生和教育部門出現(xiàn)數(shù)據(jù)泄露的情況最多。英國(guó)警方在過去3年間共發(fā)生12起數(shù)據(jù)泄露事件。這些數(shù)據(jù)泄露事件帶來(lái)了非常嚴(yán)重的安全隱患。

虛擬空間秩序安全問題復(fù)雜化

數(shù)字技術(shù)帶來(lái)了一個(gè)全新的空間——虛擬空間。這個(gè)空間存在著無(wú)國(guó)界、容易擴(kuò)散與滲透、管控難度大等特征，因此，更容易出現(xiàn)秩序失范，從而帶來(lái)復(fù)雜的安全問題。2013年11月，習(xí)近平總書記在向十八屆三中全會(huì)作關(guān)于《中共中央關(guān)于全面深化改革若干重大問題的決定》的說(shuō)明中指出：“如何加強(qiáng)網(wǎng)絡(luò)法制建設(shè)和輿論引導(dǎo)，確保網(wǎng)絡(luò)信息傳播秩序和國(guó)家安全、社會(huì)穩(wěn)定，已經(jīng)成為擺在我們面前的現(xiàn)實(shí)突出問題”。

虛擬空間秩序安全正在成為國(guó)家安全的重要組成部分。2022年11月，在羅馬舉行的北約網(wǎng)絡(luò)防御承諾會(huì)議上，北約秘書長(zhǎng)延斯·斯托爾滕貝格表示：“網(wǎng)絡(luò)現(xiàn)在是一個(gè)與陸地、海洋、空中和太空同等的作戰(zhàn)領(lǐng)域”。歐盟網(wǎng)絡(luò)安全局 (ENISA)認(rèn)為，網(wǎng)絡(luò)間諜活動(dòng)是一種日益嚴(yán)重的威脅，它不僅影響各個(gè)國(guó)家政府，而且影響經(jīng)濟(jì)部門，甚至影響對(duì)特定國(guó)家重要的戰(zhàn)略參與者。

虛擬空間的數(shù)據(jù)信息流動(dòng)容易失序。在網(wǎng)絡(luò)空間中，每個(gè)參與者都可以成為信息內(nèi)容的生產(chǎn)者，這導(dǎo)致了虛擬空間中信息泛濫，壟斷了消費(fèi)者注意力的大型平臺(tái)或其他機(jī)構(gòu)，在信息分發(fā)方面具有優(yōu)勢(shì)，幾乎可以決定哪些內(nèi)容能夠在虛擬空間中快速傳播，從而實(shí)現(xiàn)信息操縱。OpenAI的研究人員Lilian Weng和OSoMe通過模擬發(fā)現(xiàn)，信息分享的次數(shù)服從冪律分布，例如，信息被分享3次的可能性比被分享一次的可能性低大約9倍。這意味著在虛擬空間中，信息容易被操縱，內(nèi)容分發(fā)主體可以控制內(nèi)容的分發(fā)，這會(huì)影響社會(huì)輿論，放大偏見。在社會(huì)治理體系中，虛擬空間成為了一柄雙刃劍，一方面可以實(shí)現(xiàn)更高效更廣泛的輿論監(jiān)督，另一方面，這種虛擬空間的內(nèi)容及其傳播非常容易被滲透，從而對(duì)社會(huì)公眾進(jìn)行思想攻擊或錯(cuò)誤引導(dǎo)，這將給國(guó)家安全帶來(lái)不利影響。

牛津大學(xué)牛津互聯(lián)網(wǎng)研究所 (OII) 發(fā)現(xiàn)，通過社交媒體平臺(tái)操縱輿論已成為對(duì)公共生活的嚴(yán)重威脅，各種機(jī)構(gòu)利用社交媒體平臺(tái)傳播垃圾新聞和虛假信息，破壞人們對(duì)媒體、公共機(jī)構(gòu)和科學(xué)的信任。而元宇宙的興起，更可以通過劇本化、場(chǎng)景化、沉浸式的方式，進(jìn)行思想、文化、意識(shí)形態(tài)等多方面的滲透，使社會(huì)經(jīng)濟(jì)政治更容易受到外來(lái)力量的干預(yù)，帶來(lái)了新的安全問題。

數(shù)字安全的新趨勢(shì)：數(shù)字安全向物理世界傳導(dǎo)

數(shù)字安全通過供應(yīng)鏈傳導(dǎo)到整個(gè)經(jīng)濟(jì)體系

數(shù)字技術(shù)已全面滲透生產(chǎn)、交換、分配和消費(fèi)的每一個(gè)環(huán)節(jié)，對(duì)一二三產(chǎn)的生產(chǎn)和經(jīng)營(yíng)產(chǎn)生了巨大的影響。數(shù)字技術(shù)的強(qiáng)滲透性，使數(shù)字安全能夠通過供應(yīng)鏈傳導(dǎo)到整個(gè)經(jīng)濟(jì)體系。工業(yè)互聯(lián)網(wǎng)的廣泛應(yīng)用，使整個(gè)生產(chǎn)經(jīng)營(yíng)流程數(shù)字化，企業(yè)通過數(shù)字技術(shù)來(lái)全面控制企業(yè)的研發(fā)、設(shè)計(jì)、生產(chǎn)、管理、營(yíng)銷、售后服務(wù)等全部流程，當(dāng)受到網(wǎng)絡(luò)攻擊時(shí)，會(huì)對(duì)企業(yè)的物理生產(chǎn)經(jīng)營(yíng)過程產(chǎn)生重大風(fēng)險(xiǎn)。當(dāng)前，對(duì)工業(yè)互聯(lián)網(wǎng)領(lǐng)域的安全問題仍重視不足，風(fēng)險(xiǎn)評(píng)估、安全防護(hù)、安全管控等方面的技術(shù)和意識(shí)仍較薄弱[2]。CNCERT監(jiān)測(cè)發(fā)現(xiàn)，我國(guó)境內(nèi)仍有大量暴露在互聯(lián)網(wǎng)的工業(yè)控制設(shè)備和系統(tǒng)，存在高危漏洞的系統(tǒng)涉及煤炭、石油、電力、城市軌道交通等重點(diǎn)行業(yè)，覆蓋企業(yè)生產(chǎn)管理、企業(yè)經(jīng)營(yíng)管理、政府監(jiān)管、工業(yè)云平臺(tái)等。實(shí)體生產(chǎn)領(lǐng)域往往具有連續(xù)性，一旦某個(gè)環(huán)節(jié)受到網(wǎng)絡(luò)攻擊而產(chǎn)生事故，將對(duì)整個(gè)生產(chǎn)流程帶來(lái)影響，從而使損失進(jìn)一步擴(kuò)大。

數(shù)字技術(shù)推動(dòng)了供應(yīng)鏈的數(shù)字化與智慧化。供應(yīng)鏈的數(shù)字化使不同的企業(yè)主體之間能夠?qū)崿F(xiàn)數(shù)據(jù)的互聯(lián)互通，這要求供應(yīng)鏈中的不同企業(yè)向其他企業(yè)提供接口，推動(dòng)供應(yīng)鏈的緊密集成，實(shí)現(xiàn)自動(dòng)訂購(gòu)和自動(dòng)發(fā)票開具，甚至自動(dòng)結(jié)算支付等功能。這極大地提高了供應(yīng)鏈的效率。但是，由于供應(yīng)鏈中各個(gè)主體之間的安全防護(hù)能力之間有著巨大的差異，這使供應(yīng)鏈成為了針對(duì)生產(chǎn)領(lǐng)域進(jìn)行攻擊的重點(diǎn)。例如，在Target導(dǎo)致1.1 億條數(shù)據(jù)記錄丟失的惡性事件中，攻擊者就是通過空調(diào)服務(wù)供應(yīng)商 Fazio Mechanical Services的接口，侵入Target的網(wǎng)絡(luò)，并最終非法訪問并獲取其數(shù)據(jù)，導(dǎo)致了數(shù)據(jù)泄露。

現(xiàn)有的研究表明，供應(yīng)鏈攻擊正在快速增長(zhǎng)。歐盟網(wǎng)絡(luò)安全局 (ENISA) 的一項(xiàng)研究表明[3]，2021年，利用供應(yīng)鏈中的第三方實(shí)施侵入的網(wǎng)絡(luò)事件占比達(dá)17%，而2020年這一比例不到1%?！?022年數(shù)據(jù)泄露成本報(bào)告》顯示，2022年，供應(yīng)鏈攻擊的數(shù)量已超過基于惡意軟件攻擊數(shù)量的40%，供應(yīng)鏈攻擊導(dǎo)致的數(shù)據(jù)泄露數(shù)量超過了與惡意軟件相關(guān)的危害。根據(jù)Argon Security的一項(xiàng)研究，2021年，供應(yīng)鏈攻擊比2020年增長(zhǎng)了300%以上。一項(xiàng)針對(duì)全球1000名首席信息官（CIO）的調(diào)查表明，82%表示他們的組織容易受到針對(duì)供應(yīng)鏈軟件的網(wǎng)絡(luò)攻擊。開源軟件中所存在的開源漏洞正在成為一個(gè)攻擊的重點(diǎn)。2021年針對(duì)開源軟件的供應(yīng)鏈攻擊增加了650%。針對(duì)供應(yīng)鏈中第三方所使用的開源軟件攻擊的防護(hù)難度更大，根據(jù)靈跡軟件服務(wù)有限公司（Dynatrace）的研究，61%的調(diào)查受訪者表示，使用第三方或開源代碼會(huì)使識(shí)別和解決應(yīng)用程序漏洞變得困難，這是因?yàn)榇蟛糠质褂瞄_源軟件的企業(yè)缺乏具有高安全度的策略。

因此，網(wǎng)絡(luò)攻擊是供應(yīng)鏈安全風(fēng)險(xiǎn)中的重大挑戰(zhàn)，維護(hù)供應(yīng)鏈各個(gè)節(jié)點(diǎn)的安全將成為企業(yè)供應(yīng)鏈風(fēng)險(xiǎn)管控的核心目標(biāo)之一。畢馬威（KPMG）的調(diào)查表明，近一半的全球組織將網(wǎng)絡(luò)安全視為未來(lái)3年供應(yīng)鏈的重要運(yùn)營(yíng)挑戰(zhàn)。

系統(tǒng)性風(fēng)險(xiǎn)：數(shù)字安全的新沖擊

數(shù)字安全對(duì)社會(huì)經(jīng)濟(jì)生活越來(lái)越重要，其一旦產(chǎn)生風(fēng)險(xiǎn)，將具有系統(tǒng)重要性。蘭德公司的研究人員提出，可以借鑒金融領(lǐng)域的“系統(tǒng)性風(fēng)險(xiǎn)”的概念，將其應(yīng)用到數(shù)字經(jīng)濟(jì)領(lǐng)域（RAND Corporation, 2020），從而研究數(shù)字安全問題帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)[4]。數(shù)字安全的確已成為系統(tǒng)性風(fēng)險(xiǎn)的重要來(lái)源，主要體現(xiàn)在以下幾個(gè)方面：

一是級(jí)聯(lián)風(fēng)險(xiǎn)。這是蘭德公司研究人員的核心觀點(diǎn)。他們認(rèn)為，全球經(jīng)濟(jì)的許多部門都依賴同一套網(wǎng)絡(luò)關(guān)鍵技術(shù)產(chǎn)品和服務(wù)，將風(fēng)險(xiǎn)集中在未知數(shù)量的可能故障點(diǎn)上。這種系統(tǒng)性風(fēng)險(xiǎn)并不能通過個(gè)人或者單一組織在安全等方面的措施強(qiáng)化而得到緩解，而是經(jīng)由某一網(wǎng)絡(luò)安全事件觸發(fā)，通過網(wǎng)絡(luò)通路級(jí)聯(lián)放大，進(jìn)而產(chǎn)生風(fēng)險(xiǎn)的網(wǎng)絡(luò)效應(yīng)，形成系統(tǒng)性風(fēng)險(xiǎn)事件。觸發(fā)器—網(wǎng)絡(luò)通路—網(wǎng)絡(luò)效應(yīng)，三個(gè)因素獨(dú)立或一起，從而產(chǎn)生系統(tǒng)性風(fēng)險(xiǎn)。

二是系統(tǒng)重要性平臺(tái)及其風(fēng)險(xiǎn)。隨著數(shù)字經(jīng)濟(jì)發(fā)展，數(shù)字平臺(tái)的地位越來(lái)越重要，平臺(tái)不但匯聚了大量的個(gè)人用戶及企業(yè)用戶，還積累了海量的數(shù)據(jù)，提供著大量與經(jīng)濟(jì)社會(huì)運(yùn)行相關(guān)的基礎(chǔ)服務(wù)。與系統(tǒng)重要性金融機(jī)構(gòu)相似，一些在行業(yè)內(nèi)具備重要地位的數(shù)字平臺(tái)也對(duì)社會(huì)經(jīng)濟(jì)發(fā)展具有“大而不能倒”的重要作用，此類數(shù)字平臺(tái)往往提供難以替代的關(guān)鍵服務(wù)，很難要求用戶停止使用其服務(wù)或轉(zhuǎn)換其他平臺(tái)。一旦這類平臺(tái)出現(xiàn)安全問題，就會(huì)導(dǎo)致系統(tǒng)性風(fēng)險(xiǎn)。世界經(jīng)濟(jì)論壇（WEF）將系統(tǒng)性網(wǎng)絡(luò)風(fēng)險(xiǎn)定義為：“關(guān)鍵基礎(chǔ)設(shè)施生態(tài)系統(tǒng)單個(gè)組成部分的網(wǎng)絡(luò)事件（攻擊或其他不良事件）將導(dǎo)致重大延遲、拒絕、故障、中斷或損失的風(fēng)險(xiǎn)，從而使服務(wù)不僅在原始組成部分受到影響，而且后果還級(jí)聯(lián)到相關(guān)的（邏輯和/或地理上）生態(tài)系統(tǒng)組成部分，對(duì)公共衛(wèi)生或安全、經(jīng)濟(jì)保障或國(guó)家安全造成重大不利影響”。Dean Curran (2020) 進(jìn)而提出[5]，數(shù)字經(jīng)濟(jì)如同金融一樣，成為社會(huì)聯(lián)結(jié)的重要中介，在運(yùn)行過程中有可能威脅到整個(gè)經(jīng)濟(jì)的運(yùn)作。

三是關(guān)鍵基礎(chǔ)設(shè)施的數(shù)字安全具有系統(tǒng)重要性。關(guān)鍵基礎(chǔ)設(shè)施包括各種網(wǎng)絡(luò)基礎(chǔ)設(shè)施、電力設(shè)施等對(duì)社會(huì)經(jīng)濟(jì)安全具有重要意義與價(jià)值的基礎(chǔ)設(shè)施，在數(shù)字化的浪潮下，這些基礎(chǔ)設(shè)施容易受到數(shù)字攻擊。通過遠(yuǎn)程網(wǎng)絡(luò)方式攻擊基礎(chǔ)設(shè)施，已成為數(shù)字時(shí)代的一個(gè)新的網(wǎng)絡(luò)安全問題。IBM根據(jù)美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）對(duì)關(guān)鍵基礎(chǔ)設(shè)施的定義，發(fā)現(xiàn)22%的針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊是由人為錯(cuò)誤引起的，12%是由勒索軟件攻擊引起的，17%是由供應(yīng)鏈攻擊引起的。在現(xiàn)實(shí)中，針對(duì)電網(wǎng)、鐵路等基礎(chǔ)設(shè)施的數(shù)字攻擊已時(shí)有發(fā)生。

應(yīng)對(duì)數(shù)字安全新態(tài)勢(shì)的政策建議

一是要加大數(shù)字核心技術(shù)的研發(fā)力度，推動(dòng)數(shù)字安全產(chǎn)業(yè)化發(fā)展。技術(shù)是數(shù)字安全的“命門”。無(wú)論是快速應(yīng)對(duì)數(shù)字安全的威脅，還是提高對(duì)數(shù)字安全的預(yù)防能力，歸根到底，都需要核心關(guān)鍵技術(shù)進(jìn)行支撐。習(xí)近平總書記2016年4月19日在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話明確提出“要以技術(shù)對(duì)技術(shù)，以技術(shù)管技術(shù)，做到魔高一尺、道高一丈”。因此，在國(guó)家層面要進(jìn)一步支持?jǐn)?shù)字安全技術(shù)的研發(fā)，包括底層的密碼技術(shù)、操作系統(tǒng)安全技術(shù)、芯片安全技術(shù)，到應(yīng)用層的網(wǎng)絡(luò)運(yùn)行安全技術(shù)、工業(yè)軟件安全技術(shù)等，并推動(dòng)人工智能、區(qū)塊鏈等技術(shù)在數(shù)字安全領(lǐng)域的廣泛應(yīng)用，從而建立起保障數(shù)字安全的技術(shù)體系。在技術(shù)創(chuàng)新的基礎(chǔ)上，鼓勵(lì)數(shù)字安全產(chǎn)業(yè)化發(fā)展。我國(guó)數(shù)字安全產(chǎn)業(yè)規(guī)模偏小，原始創(chuàng)新不足，高端供給不夠，領(lǐng)軍人才缺乏，是制約我國(guó)數(shù)字安全的重要因素。要通過稅收、人才、技術(shù)、市場(chǎng)準(zhǔn)入等多方面的綜合支持政策，推動(dòng)數(shù)字安全產(chǎn)業(yè)做大做強(qiáng)。

二是大力推動(dòng)數(shù)據(jù)安全制度建設(shè)。數(shù)據(jù)安全既與技術(shù)有關(guān)，也與制度有關(guān)。要建立起數(shù)據(jù)安全的相關(guān)制度。在數(shù)據(jù)作為生產(chǎn)要素的前提下，進(jìn)一步完善數(shù)據(jù)保護(hù)的制度架構(gòu)。要建立起平臺(tái)企業(yè)、應(yīng)用程序等相關(guān)主體收集個(gè)人數(shù)據(jù)的規(guī)則體系，盡快明確數(shù)據(jù)分級(jí)分類保護(hù)的具體內(nèi)容、標(biāo)準(zhǔn)，做好隱私、信息等數(shù)據(jù)區(qū)分和保護(hù)。建立工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等非個(gè)人數(shù)據(jù)的收集、使用、共享、交易等方面的規(guī)則，明確非個(gè)人數(shù)據(jù)的安全防護(hù)標(biāo)準(zhǔn)。進(jìn)一步明確國(guó)家數(shù)據(jù)局在數(shù)據(jù)保護(hù)方面的職能，與第三方機(jī)構(gòu)協(xié)同，分行業(yè)、分地區(qū)開展企業(yè)數(shù)據(jù)保護(hù)評(píng)估，倒逼企業(yè)強(qiáng)化應(yīng)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的組織管理建設(shè)和技術(shù)實(shí)力，鼓勵(lì)企業(yè)自主探索數(shù)據(jù)保護(hù)路徑，實(shí)施多元化監(jiān)管措施。探索區(qū)塊鏈、隱私計(jì)算等新技術(shù)在數(shù)據(jù)保護(hù)中的應(yīng)用，可率先將此類技術(shù)運(yùn)用到高度機(jī)密、對(duì)數(shù)據(jù)傳輸效率要求相對(duì)較低，可承受成本更高的部分政府、企業(yè)核心數(shù)據(jù)保護(hù)上。

三是建立起高效有序的數(shù)字虛擬空間秩序維護(hù)機(jī)制和安全機(jī)制。虛擬空間的秩序安全問題是一個(gè)涉及多維度、多主體、多目標(biāo)、多手段、多視角，且涉及到國(guó)際國(guó)內(nèi)的復(fù)雜問題，需要在“安全、發(fā)展、權(quán)利”等多重目標(biāo)之間進(jìn)行平衡。一方面，應(yīng)該看到虛擬空間的失序，本身會(huì)給其帶來(lái)安全隱患，而且這種虛擬空間的失序?qū)?lái)各種失范行為，如侵犯?jìng)€(gè)人隱私、各種類型的網(wǎng)絡(luò)暴力、網(wǎng)絡(luò)排斥、網(wǎng)絡(luò)謠言、虛擬新聞，乃至于形形色色的網(wǎng)絡(luò)犯罪，都將威脅虛擬空間的運(yùn)行，對(duì)國(guó)家安全造成損害。另一方面，對(duì)虛擬空間失序行為的治理，并非政府單方面的行為，不能采取純粹剛性的方法，而是要采取富有彈性的手段和方式。因此，需要協(xié)同政府、網(wǎng)民、平臺(tái)、各種虛擬組織等各個(gè)主體的治理行為，推動(dòng)網(wǎng)絡(luò)“技治、法治、自治”三者的融合互動(dòng)，使“工具、法律、自律”三者之間達(dá)到統(tǒng)一，從而更好地維護(hù)虛擬空間的秩序安全。要推動(dòng)各個(gè)治理主體，包括政府、平臺(tái)乃至于社會(huì)公眾，積極運(yùn)用人工智能等前沿?cái)?shù)字技術(shù)，共同對(duì)虛擬空間的秩序安全進(jìn)行維護(hù)。例如，各個(gè)主體要積極利用人工智能自然語(yǔ)言技術(shù)，對(duì)虛擬空間的各種謠言、虛假新聞、極端言論等進(jìn)行深度治理，從而避免這些內(nèi)容泛濫，影響虛擬空間的安全，并進(jìn)一步影響物理空間的安全。其次，建立互聯(lián)網(wǎng)平臺(tái)、用戶、第三方機(jī)構(gòu)、政府等多方面參與的虛擬空間秩序安全機(jī)制。尤其要重視平臺(tái)等新主體維護(hù)虛擬空間秩序安全方面的作用。平臺(tái)在關(guān)于虛擬空間的規(guī)則制訂、內(nèi)容框架、實(shí)施機(jī)制等方面，都要考慮到安全因素。

四是關(guān)注供應(yīng)鏈數(shù)字安全，提升中小企業(yè)數(shù)字安全水平和防護(hù)能力。工業(yè)互聯(lián)網(wǎng)快速發(fā)展，數(shù)字技術(shù)全面滲透到供應(yīng)鏈產(chǎn)業(yè)鏈，帶來(lái)了供應(yīng)鏈產(chǎn)業(yè)鏈的數(shù)字安全問題。首先要提高對(duì)供應(yīng)鏈數(shù)字安全的認(rèn)識(shí)。當(dāng)前，對(duì)網(wǎng)絡(luò)運(yùn)行安全、數(shù)據(jù)安全、虛擬空間秩序安全等問題已形成共識(shí)，且有大量的制度與技術(shù)措施已在運(yùn)行中。但在討論供應(yīng)鏈安全時(shí)，重點(diǎn)關(guān)注的是供應(yīng)鏈的物理安全問題，對(duì)供應(yīng)鏈數(shù)字安全問題仍缺乏系統(tǒng)性的認(rèn)識(shí)。因此，無(wú)論是政府部門，還是供應(yīng)鏈的主導(dǎo)企業(yè)，都要將供應(yīng)鏈數(shù)字安全問題放到更高的地位。其次，要通過各方協(xié)同，推動(dòng)建立起供應(yīng)鏈軟件、數(shù)據(jù)等安全標(biāo)準(zhǔn)體系。供應(yīng)鏈軟件的接口不一，數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一，已成為供應(yīng)鏈數(shù)字攻擊的重要入口。因此，從安全的角度出發(fā)，建立起接口、數(shù)據(jù)、軟件等各方面的標(biāo)準(zhǔn)，有利于提高供應(yīng)鏈數(shù)字安全水平。最后，要重視中小企業(yè)數(shù)字安全水平。經(jīng)濟(jì)合作與發(fā)展組織（OECD）2021年的研究指出，中小企業(yè)的數(shù)字安全能力與大中型企業(yè)之間仍存在著巨大的差距，2015年歐洲只有30%的中小企業(yè)制定了正式的安全政策，而大型企業(yè)中這一比例接近70%，在整個(gè)OECD國(guó)家，大型和小型企業(yè)之間的數(shù)據(jù)安全能力與政策執(zhí)行方面的平均差距為45%，最終導(dǎo)致中小企業(yè)成為供應(yīng)鏈安全的薄弱環(huán)節(jié)。在提高中小企業(yè)數(shù)字安全水平方面，推動(dòng)中小企業(yè)上云是一個(gè)重要的環(huán)節(jié)，基于云原生的業(yè)務(wù)體系，將安全架構(gòu)于云上，比中小企業(yè)自身有著更高的安全防護(hù)能力。

五是建立起數(shù)字安全系統(tǒng)性風(fēng)險(xiǎn)預(yù)防機(jī)制。數(shù)字安全所帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)是一個(gè)全新的問題。首先要對(duì)數(shù)字安全所帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)進(jìn)行深入研究，明確系統(tǒng)性風(fēng)險(xiǎn)的要素和條件，建立可能觸發(fā)系統(tǒng)性風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全事件預(yù)警機(jī)制。其次明確數(shù)字經(jīng)濟(jì)風(fēng)險(xiǎn)傳導(dǎo)渠道，識(shí)別具有系統(tǒng)重要性的數(shù)字實(shí)體并建立起相應(yīng)的監(jiān)管制度。再次，加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施協(xié)同防護(hù)。尤其是要重視關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全、數(shù)據(jù)安全，將其與物理安全放到同等重要的地位。最后，要建立起數(shù)字安全系統(tǒng)性風(fēng)險(xiǎn)預(yù)防的政府部門聯(lián)動(dòng)機(jī)制。數(shù)字安全引發(fā)的系統(tǒng)性風(fēng)險(xiǎn)，不但涉及到數(shù)字主管部門，也涉及到其他相關(guān)政府主管部門，只有通過這些部門間的協(xié)同，才能使系統(tǒng)性風(fēng)險(xiǎn)預(yù)防機(jī)制更為高效。

六是積極參與數(shù)字安全全球協(xié)同機(jī)制。由于虛擬空間的無(wú)界性，以及數(shù)字技術(shù)的快速傳播性與滲透性等特點(diǎn)，數(shù)字安全已成為全球共同的問題。但是，應(yīng)該看到，在數(shù)字安全協(xié)同方面，各國(guó)并沒有完全達(dá)成一致，個(gè)別國(guó)家在數(shù)字安全方面追求絕對(duì)安全，并將數(shù)字安全問題泛化、武器化，實(shí)行“長(zhǎng)臂管轄”的防御機(jī)制，給數(shù)字安全全球協(xié)同機(jī)制的建設(shè)帶來(lái)了阻力。我國(guó)已向國(guó)際社會(huì)發(fā)起《全球數(shù)據(jù)安全倡議》，積極申請(qǐng)加入《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）、《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（DEPA），通過這些國(guó)際合作，積極參與數(shù)字安全全球協(xié)同機(jī)制，從而更好地應(yīng)對(duì)數(shù)字安全所面臨的新態(tài)勢(shì)、新問題。

【本文作者為中國(guó)社會(huì)科學(xué)院財(cái)經(jīng)戰(zhàn)略研究院研究員，中國(guó)社會(huì)科學(xué)院大學(xué)教授；本文系中國(guó)社會(huì)科學(xué)院創(chuàng)新工程項(xiàng)目“防止資本無(wú)序擴(kuò)張——基于數(shù)字平臺(tái)的理論與實(shí)證研究”（項(xiàng)目編號(hào)：2022CJYB03）階段性成果】

注釋

[1]Pepe Zhang，Data 4.0–Rethinking rules for a data-driven economy，https://www.weforum.org/agenda/2022/01/data-4-0-rethinking-rules-for-a-data-driven-economy/，Jan 31, 2022

[2][3]James Gordon，How to reduce cyber attacks in the global supply chain, https://www.raconteur.net/risk-regulation/how-to-reduce-cyber-attacks-in-the-global-supply-chain/

[4]RAND Corporation,Systemic Risk in the Broad Economy--Interfirm Networks and Shocks in the U.S. Economy，https://www.rand.org/pubs/research_reports/RR4185.html

[5]Dean Curran (2020) Connecting risk: Systemic risk from finance to the digital, Economy and Society, 49:2, 239-264.

責(zé)編：程靜靜／美編：石 玉