网络安全风险防控探究

【社会治安】
2017 年 1 月第 1 期January 2017
No.1
北京警察学院学报
Journal of Beijing Police College
网络安全风险防控探究
姜春娇
（中国人民公安大学，北京 100038）
摘 要：网络安全风险防控是当前社会的热点议题。

网络技术的发展不仅给现代社会带来巨大便利，同时也使得网络攻击日趋常态化，从而引发了一系列的网络犯罪问题。

现立足于网络安全风险的管理、操作、技术三个层面的控制理论，从政策、训练、监管、文化沟通层面制定切实可行的网络安全风险防控策略，有助于为实现网络安全风险的防控目标提供有益借鉴和指导。

关键词：网络；网络安全；风险防控
中图分类号：D631.4 文献标识码：A 文章编号：2095-5758（2017）01-0035-06DOI：10.16478/ki.jbjpc.20170314.001收稿日期：2016-10-20
作者简介：姜春娇（1992—），女，中国人民公安大学2015级公安学硕士研究生。

2016年1月习近平总书记强调要防控风险、服务发展、破解难题、补齐短板，中央政法委书记孟建柱同志在此基础上也提出了五大风险防控的命题，其中网络安全风险防控就是题中的重要方面。

那么，什么是网络安全风险？怎样才能切实做好网络安全风险防控工作？理论界和实践部门对此做了大量探索，但一直没有比较系统的阐述。

本文拟从网络安全风险特点出发，分析网络安全风险的紧迫性和必要性，以及由网络安全风险引发的犯罪问题，并在控制理论的指导下，制定网络安全风险的防控策略，力求规避风险，实现网络安全风险防控的目标。

一、网络安全风险特点及分类
（一）网络安全风险的特点
网络安全风险的概念一直是困扰学术界的难点问题。

网络安全与风险各有定义，而关于网络安全风险的概念却一直未形成共识。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，它不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断的状态。

而网络安全风险则是指网络安全所面临的风
险，它具体包括：物理层网络安全风险、安全层网络风险、系统层安全风险、病毒的安全风险、数据的传输风险。

[1]网络安全风险本质上是以网络安全为内容的风险，除了具有与其他风险共有的不确定性、客观性、普遍性等特性以外，还具有以下几个方面独有的特点：
1.网络安全风险的可预测性
从理论上讲，个别风险的发生是偶然的，不可预知的，但通过对大量风险的观察研究发现，风险往往也呈现出明显的规律性。

网络安全风险预测是网络安全领域一个新兴的研究热点和难点，是预防大规模网络入侵攻击的前提和基础，同时也是网络安全风险感知过程中的一个必不可少的环节。

为此，研究者建立了实时网络安全风险概率预测的马尔可夫时变模型，并基于此模型，给出了网络安全风险概率的预测方法[2]。

这说明网络安全风险呈现出规律性特征，借助于科学模型以及数理统计等方法，可在此基础上进行预测性分析，这也为我们发现、评估、预测、规避网络安全风险提供了理论支撑。

2.网络安全风险的难以识别性
网络安全风险与其他风险相区别的显著特征在于它的载体依附性，网络安全风险依附于网络，产
生于网络，而网络的复杂性、蔓延性、不可预测性特征也决定了网络安全风险的难以识别性。

网络安全风险广泛存在于计算机网络的各个层面，同时也潜伏在网络使用的各个时期，由于网络的虚拟性特征明显，决定了网络安全风险漏洞的识别是一项纷繁复杂的工作，需要对网络整体进行筛选和发现，网络安全风险的难以识别性使得网络安全风险防控的成本增加。

3.网络安全风险的交互性
互联网作为平等自由的信息沟通平台，信息的流动和交互是双向式的，信息沟通双方可以与另一方进行平等的交互。

安全风险相伴互联网而生，并且呈现出不同领域内互为交织的特点。

例如，网络一方面使得金融机构拓宽了业务范围，但同时以网络为中介的交易风险也增大，使其成为我国社会风险防控的重要组成部分。

（二）基于对象不同的网络安全风险类别
网络安全风险具有多种形式，国内和国外分类的标准也不尽相同。

实际上，网络安全风险来源于政府和社会管理的各个层面，针对对象的不同，可以将网络安全风险分为以下几类：
1.个人网络安全风险
个人网络安全风险包括身份信息被盗风险、个人隐私信息暴露风险、知识产权侵权风险。

首先，个人网络安全风险大部分是由于身份信息盗窃行为引起的。

传统的身份盗窃通常指的是不法者通过信用卡或者电子移动通讯设备（例如手机、电脑等）暴露的姓名、出生年月、身份证号、银行卡号、家庭住址等信息进行提取并用作从事违法犯罪资料的行为。

而互联网高度发达的现代社会，身份信息盗窃风险已经从传统的实体介质提取发展到通过网络手段进行数据盗窃和身份信息的重新买卖。

网络的普及拓宽了风险的覆盖范围，这使得个人网络安全风险显著增加。

由于个人数据被盗风险的升高，由数据被盗引发的网络诈骗、银行账户财产被盗的风险也随之增加。

其次，个人使用社交软件发布状态的定位、影像资料、文字资料、网络状态等会造成个人隐私信息泄露，从而使得个人暴露在违法犯罪下的风险大大增加。

再次，由于“互联网+”时代的来临，个人从事的创作有了广阔的电子平台，一方面促进了学术和思想的传播，另一方面也滋生了不法分子从事侵犯个人知识产权的违法犯罪的土壤。

2.社会组织的网络安全风险
社会组织的网络安全风险最典型的是以公司和银行等金融机构为代表的组织形式。

其中，银行等金融机构的网络安全风险涉及安全风险和金融安全两个领域。

金融安全事关经济安全和社会稳定的全局。

互联网与金融的联姻改变了传统借贷市场的信息约束条件,为金融创新提供了更多可能,在降低交易成本、激活民间投资等方面发挥了一定作用。

与此同时，一些不法分子利用网络借贷、网上理财等互联网金融名义，大肆进行非法集资等违法犯罪活动，妨害了正常的金融秩序。

更为严重的是，由于互联网金融市场具有“海量交易笔数，小微单笔金额”的特征，涉及人数众多，一旦出现问题,极易影响社会稳定，因此，有效防范金融风险就是将维护稳定工作前置，将社会矛盾化解在源头。

[3]因此，银行等金融机构本身属于金融安全领域的问题，但是网络拓宽了它的影响渠道，使得金融安全风险和网络安全风险互为交叉，成为我国社会风险防控的重要组成部分。

公司面临的网络安全风险主要是仿冒、制假售假的风险。

以制药业为例，制药企业会遭受网络安全风险的原因主要与制假售假、走私等行为有关。

制药业是一类特殊行业，它生产的药物质量直接关乎国民的生命健康，因而国家对制药业制假售假的关注度一直很高。

传统制药企业制假售假途径单一，但是在多元化的网络时代，通过网络销售的途径进行假药的贩卖现象十分普遍，网络拓宽了制药企业的业务范围，也使被仿冒的制药企业形象受损，并使国民遭受生命健康的风险大大增加。

此外，有些国外的药品在国外禁止销售，但通过网络方式却可在国内流通，这不仅从侧面反映出了网络安全风险的存在，也是网络使个人安全风险增加的典型。

3.国家、政府机构的网络安全风险
国家政府机构在某种程度上讲也是高度组织化的有机体。

针对国家、政府机构的网络安全风险可分为：黑客袭击风险、国家机密盗窃风险、应急预案缺乏风险、数据库权限不清风险、针对国家关键基础设施的袭击风险。

首先，存有国家或者公司某些机密技术的计算机被黑客侵入造成被盗也会造成不可估量的损失。

其次，数据库的权限不明在某种意义上增加了网络安全风险。

例如公司数据库权限应该设立相应等级区分；国家政府机构数据库也应设立密级。

如果放开权限，实行上下一致的数据库权限，就会直接导致信息滥用和泄密的风险。

最后，国家重要基础设施关乎国计民生，针对此类基础设施的网络安全风险不仅涉及公私财产安全，更应上
升到国家安全的高度加以重视。

以上仅是基于网络安全风险针对的对象不同进行的分类，分类标准不同，也可以得出其他的分类理论，对此其他学者已经做了相关探索，在此不再赘述。

二、我国网络安全风险引发的犯罪及防控紧迫性
（一）当前我国网络安全风险引发的主要犯罪种类
由于网络安全风险存在于社会的方方面面，网络的虚拟性特征又使得对个体或者组织的具体身份定位具有一定的操作难度，这使得网络安全风险的规避呈现出复杂化特征。

当不能有效地规避网络安全风险或者抵御网络安全风险失败时，网络风险往往转化为网络危机，导致一系列违法犯罪问题的产生，这些犯罪现象可以分为以下几类：
1.网络欺诈犯罪
网络欺诈在网络犯罪中呈现高发趋势，这主要与网络安全风险中个人风险居高不下有关。

网络拓宽了交易的对象和范围，但是网络的虚拟空间理念以及交易环境的复杂性使得交易对象的身份不易确定，个人参与网络的安全风险系数增加，在无形中滋生了网络诈骗的犯罪诱因。

网络欺诈主要是指发生于电子商务中的各种在线欺诈交易行为，特别是存在于消费者交易的电子商务中的欺诈行为。

[4]网络欺诈有多种形式，一般是利用网络发布虚假信息招聘或者带有色情信息的广告，利用部分人的猎奇或者贪财心理进行诱骗；再者，进行网页仿造，尤其仿造一些官网，利用部分人的疏忽大意从而填写的真实信息进行二次诈骗。

2.网络色情犯罪
网络色情犯罪主要是指以牟利为目的，利用互联网络制作、复制、贩卖、传播色情信息；或者虽不以牟利为直接目的，传播淫秽信息情节严重的行为；或者引诱、介绍卖淫等犯罪的行为。

[5]网络色情犯罪有多种形式，例如开启网络色情视频直播、裸体聊天室以及通过网络发布卖淫嫖娼信息进行联络活动等。

网络充斥的多样化信息，使得社会诱惑放大化，也使得网络安全风险成倍增加，参与网络色情活动的成员不仅要承担财产损失的风险，也要承担自身介入违法犯罪的风险。

3.有关国家机密外泄的犯罪
网络技术的普及和应用不仅使公民个人对网络极具依赖性，政府层面也是如此，事实上网络部门已成为政府部门的核心组成部分之一。

网络部门存储大量国家重要技术机密以及其他机密性信息，但是由于网络介质的特殊性，只在实体空间进行安全防控远不足以满足保卫网络安全和国家安全的要求，因此不法分子或者网络黑客利用技术手段侵入网络，使国家机密泄露的风险急剧增加，进而引发有关国家机密外泄的犯罪，包括内部犯罪和外部犯罪。

内部犯罪是由于国家工作人员疏忽大意或者故意在网络上泄露国家秘密的行为。

外部犯罪是指外部人员或者国外不法分子通过黑客侵入等手段窃取国家机密，无论以何种方式进行，均会给国民经济发展带来重大损失。

4.侵犯知识产权、隐私权的犯罪
侵犯网络知识产权犯罪是通过互联网侵犯他人知识产权，破坏社会主义市场经济秩序，情节严重，依照刑法规定应受刑罚处罚的行为。

[6]网络隐私权是指自然人在网上享有的与公共利益无关的个人活动领域与个人信息秘密依法受到保护，不被他人非法侵扰、知悉、收集、利用和公开的一种人格权；也包括第三人不得随意转载、下载、传播所知晓的他人隐私，恶意诽谤他人等。

因此，当个人、组织或者机构等主体在网络上将文学作品、专利、论文等智力成果以电子形式发布时，由于网络传输的便捷性与广泛性，网络用户身份隐匿性，以及下载转载等方式不限定用户权限的流动性质，使得网络一方面搭建起了一个沟通交流的平台，另一方面也使得个人、组织、机构等主体的知识产权被不法分子侵犯的风险比传统方式更大。

与此同时，个人、组织、机构等主体在网络上发布的有关隐私的信息，例如电子影像资料、地理定位、身份信息、家庭信息、情感信息等也会在不同程度上泄露，从而被不法分子利用进行侵犯隐私权的犯罪或者其他形式的犯罪。

（二）我国网络安全风险防控的紧迫性
网络犯罪只是网络安全风险的极端表现形式，除了会导致上述几种网络犯罪以外，网络安全风险引发的问题还具有其他的表现形式，因此网络安全风险的防控具有现实的紧迫性和必要性。

随着“互联网+”时代的到来，网络空间的外延不断扩展，网络社会和现实社会呈现出互为交织的特点。

近些
年来，由于网络安全风险等级不断升高，由它引发的网络犯罪也呈现出高发态势，这不仅严重危害了社会治安秩序，而且给广大人民的财产安全造成了严重损害。

事实上，网络安全是国家安全的重要基础，没有网络安全就没有国家安全。

国家总体安全观和创新国家治理体系均把网络安全看作是国家安全的重要组成部分，网络安全与国家政治安全有着紧密联系，是关乎国家发展的百年大计。

目前，我国已成为世界上最大的互联网应用市场，中国互联网络信息中心的报告显示，截至2015年6月份，我国互联网普及率为48.8%，网民总数达6.68亿。

相关数据显示，近半数网民在使用网络过程中遭遇网络安全问题，合法权益遭受侵害的现象较为普遍。

[7]但是目前我国网络安全领域的立法滞后，法治保障体系还没有形成，尤其是未形成专门的防控力量来进行网络安全防控，同时缺乏各部门“齐抓共管”的协调机制，使得网络安全风险防控面临巨大挑战，但是网络安全风险随着网络系统的“动态性、流通性、复杂性、隐蔽性”特点不断增加，造成的违法犯罪问题不断干扰我国社会的健康发展，网络安全风险的防控势在必行。

互联网经济已经成为中国经济和社会发展的中坚力量，也是中国经济最大的增长点。

与此同时网络安全问题更加突出，积极应对网络安全威胁，有效防范网络安全风险是网络时代维护国家安全和社会稳定以及公众利益的重要使命，迫在眉睫，刻不容缓。

三、网络安全风险的防控策略
网络安全风险的存在引发了很多社会问题，不仅干扰和破坏了社会治安秩序，还会危及到国家安全。

鉴于网络安全风险的危害，进行网络安全风险防控是必要的，但理论界针对此难点一直缺乏系统的阐述和讨论。

实际上，网络安全风险防控是一项系统工程，它需要理论层面的指导和现实路径层面的架构。

（一）基于网络安全风险的管理、操作、技术的控制理论层面
网络安全风险的防控需要具体理论的指导。

美国国家标准与技术研究院（NIST）的学者Keith Stouffer，同时也是网络安全智能制造系统项目的项目经理，与NIST计算机安全部与公共和私营部门的社区进行过合作，他在2005年提出，根据管理、操作和技术安全控制视角思考管理是正确的，以便把识别的漏洞与风险相联系，以此来进行各个层面的控制。

[8]我们在这里借鉴Stouffer的控制理论，从管理、操作以及技术层面来进行阐述：
1.管理层面
组织、国家机构的管理者首先要做好风险的情报收集工作。

网络安全风险来源于系统的各个层面，各个系统组成了一个有机体，如果层级之间风险信息收集滞后，管理者做出的决策会缺乏全面性，不能有效规避风险。

其次，管理者要规划发展出一个完整的网络安全风险防控的框架，这就包括网络安全风险的预案以及遭遇到网络安全风险袭击后的迅速回应、恢复机制的建立。

再者，管理者对于网络安全系统的权限需要予以确认。

最后，要对网络安全风险进行评估以及网络系统安全度进行考量，确保管理层面的控制措施的有效性。

2.操作层面
网络安全风险控制主要是针对对网络安全有威胁的个人因素。

首先是个人的网络安全。

个人网络安全包括个人不主动发起网络袭击，也包括个人在参与网络活动时尽到注意义务，主动规避网络安全风险。

再者，操作层面在进行个人监管的同时，要兼顾到整体框架的安全性，做到会列网络安全风险清单，会做网络安全系统维护，对于网络小事件的快速反应以及网络灾难事故后的恢复重建工作。

[8]再者，操作层面的网络安全风险控制，不仅包括软件意义上的防控，也包含硬件层面（物理层面）的保护，以及大众媒体的保护。

最后，操作层面关注公共安全意识的提升度，这主要是通过一些教育培训来达到此种目的。

[8]
3.技术层面
技术层面主要是指从网络系统硬件和软件层面上进行控制工作。

根据Stouffer的控制理论，主要从以下几个方面着手：用户身份的识别，必须具有可信身份；数据的授权使用以及数据的原始度和可信度要保证；登录要通过审核、验证；进入路径的限制；网络侵入的检测和预防；病毒等有毒代码的检测。

[8]
（二）基于网络安全风险防控的现实路径层面
与理论层面不同，网络安全风险的现实路径层面架构需要社会各个层面的合作和沟通。

网络安全是国家安全的重要组成部分，网络空间是涌入人们现代社会的骨骼纤维。

网络安全风险随着我们进入网络时代的步伐加快而不断扩展其作用范围和影响效力。

大量事实表明，每年由于网络安全风险使得
中等规模的商业公司遭受的损失惨重，已经对国民经济发展产生了负面影响。

由于网络安全风险具有交互性、难以识别性和可预测性特点，也决定了网络安全风险防控的必要性、迫切性以及合理性。

因此，我国亟待从政策、训练、监管、文化、沟通层面制定切实可行的网络安全风险防控策略，以此实现网络安全风险防控现实路径的架构。

1.国家、政府层面：完善应急预案设计，提升网络安全风险防控能力
网络安全风险具有不确定性，最典型的就是它的发生时间不固定，因此，做好网络安全风险防控最重要的策略就是将网络风险防控工作常态化。

网络安全风险防控需要一整套切实可行的、逻辑上具有连续性的预案设计，即网络安全政策的建设。

完整的网络安全政策建设应包括以下几个方面的内容：网络安全风险的收集、网络安全风险的分析研判、网络安全的漏洞识别、网络安全漏洞/脆弱点强化、网络安全风险分层面控制、网络安全风险点对点消除。

此外，当抵御网络安全风险失败、遭受到网络攻击以后，国家、政府层面应有基于快速回应机制的重建/恢复计划，及时控制其蔓延态势，否则将会使网络安全风险进一步扩大、蔓延，导致国民经济遭受重大损失。

2.公司、企业等组织层面：加强员工安全训练，严惩员工滥用电脑行为
公司员工欠缺网络安全防控意识也是造成网络安全事故多发的原因。

由于公司员工滥用电脑的行为欠缺立法上的规定，滥用电脑的行为并不会使其获得法律上的严罚，同时部分公司也并不希望此类行为被公开。

[9]因此，公司员工滥用电脑的行为在无形中助长了网络安全风险，使得网络安全事故频繁发生。

滥用电脑的行为一方面是指员工超越其职责权限使用数据库，另一方面是指员工不规范使用电脑，缺乏注意义务，疏忽大意造成公司机密的泄露等行为。

处于“互联网+”时代的公司网络安全风险指数远远超越传统社会的公司，公司每年因为网络安全事故造成的财产损失更是无法估量，因此，加强公司员工的组织训练，提高网络安全风险意识，严惩公司员工滥用电脑行为是当前应该实施的防控策略。

3.主动配合国家、政府进行行业监管，提高行业操作透明度
目前，部分行业由于行业的特殊性质或者不愿意公开等理由，使得部分行业的操作处于不透明状态。

虽然行业有其自身保护机密不被侵犯的权利，但是这种不透明化也会给风险的防控设置阻碍。

网络安全风险防控与防控对象有着紧密联系，针对不同行业的不同特点，防控的策略也不尽相同，因此，行业要实现网络安全风险防控效果的最大化就应主动配合国家和政府的行业监管，使行业内能够做到透明化的操作实现透明化。

4.构建组织伙伴信任关系，营造组织安全文化氛围
实现网络安全的目标需要从整体安全观出发，面临众多问题的挑战需要在组织系统的价值观内进行考量和建构。

无论是组织的内部问题还是外部问题，都需要靠文化的手段从根本上进行防控。

“信任关系”是一种连锁反应，要实现组织目标，必须建立组织的长远和持久关系。

一个组织要想实现网络安全的目标，必须建立在组织伙伴信任关系的基础之上，熟悉度越高，风险度就会降低一些。

为了保障风险管理措施实施的有效性，风险管理需要变成组织文化的一部分。

[10]因此，若一个组织在信任关系基础之上培养发展出一种具有组织独特性质的组织安全文化，并在组织中运用以化解网络安全风险，那么实现组织的网络安全风险的防控目标就不再是一个难点。

5.强化行业、部门协作，增进信息沟通与共享
网络安全风险防控是一个系统工程，需要各行各业以及行业的各个部门实现全方位的协作。

学者Kendick认为，“协作”包括明确各协作方的经营策略、责任和义务；保证股东和相关利益者价值；并且采用包括信息安全在内的风险管理策略等内容。

[11]而现实中网络安全风险有时候也是由于信息传递滞后、上下级信息传递阻碍或者行业、部门不合作造成的，而它的存在不仅会造成网络安全事故的发生，也会带来一系列连锁反应，事故得不到及时解决，会使得网络安全风险持续存在并且持续升高，造成更加严重的后果。

各个行业或者部门要想打破这种阻碍信息共享的障碍，必须加强沟通对话，在协调各方利益的基础上，共谋网络安全风险防控的策略框架。

四、结语
网络安全风险防控是当前社会的热点议题。

毫无疑问，只有网络安全，国家才能安全。

进行网络安全风险的防控需要进行风险原因分析，把握网络。