媒體空間治理的技術風險與應對策略

王 琳

（新華社技術局，北京100083）

1.網絡空間治理技術現狀

1.1 網絡空間治理體系概述

媒體深度融合時代，采集終端的多樣化、采集地點的全球化，為新聞線索的發現、傳遞提供了前所未有的速度與效率，利用互聯網的分布式知識，為新聞生產與知識加工提供了基于大數據支撐的“智慧大腦”?；ヂ摼W的每個節點都成為新聞傳播的“放大器”，從而徹底改變了單向傳播的底層邏輯，并催生了融媒體、自媒體等多元化媒體業態。輿論傳播從技術上、內容上、上下游產業鏈上面臨著全方位開放與融合的戰略機遇。

然而，在媒體智能化傳播的演進過程中，安全風險總是伴隨技術進步，顯得越發嚴峻、復雜與刻不容緩。從傳播學的幾大要素來看（圖1，“5W傳播模式”），安全風險既存在于傳播者本身（Who）、信息內容的真偽（What）、傳播渠道的可信性（Which ），也存在于受傳者（To Whom）和傳播效果（With What Effect）的民意加工及網絡輿情發酵。因此，網絡空間治理應包含從源頭到終端全要素管理的立體化治理體系。[1]

圖1 媒體傳播五大要素（“5W傳播模式”）

網絡空間治理是包含集政府、行業組織、網絡企業和網民于一體的多元協同治理體系，包含了法學、技術、話語權和符號學多維視角，筆者僅從傳播學層面和技術治網的角度淺析網絡空間治理的風險與應對策略。

1.2 網絡傳播的風險與挑戰

媒體傳播的首要安全風險來自傳播者本身。從媒體行業向互聯網進軍的那天起，這類安全事故數不勝數，損失慘重。這其中既有來自外部的黑客攻擊、供應鏈的安全隱患、智能算法的非法攫取和不當競爭等，也有來自內部安全管理的疏漏和安全防護體制的滯后。

《紐約時報》的域名服務器曾多次遭遇黑客的攻擊，在2013年的敘利亞黑客攻擊事件中，有長達數小時無法正常訪問《紐約時報》網站。同一天，Twitter.com也遭到黑客攻擊并被控制。同一個月內，《華盛頓郵報》《時代周刊》、CNN等多家美國媒體的網站都遭到了攻擊。其主要的攻擊方式是專業黑客團隊攻擊了域名服務商，通過域名服務商來攻陷目標機構的域名。

美聯社的Twitter賬號也曾因“敘利亞電子軍”的入侵發布過白宮遭炸彈襲擊的虛假消息，導致美股短時間內大幅下挫。美聯社說，黑客入侵官方賬號前，多次用網絡釣魚方式攻擊美聯社企業網絡。[2]

2018年平昌冬奧會時，奧組委官網曾因黑客組織展開的魚叉式網絡釣魚攻擊宕機12小時，舉辦方不得不臨時關閉服務器和官網，比賽場館附近網絡癱瘓，門票無法打印，觀眾不能正常入場，媒體中心系統故障無法直播。據專業調查，這次攻擊是大型黑客組織展開的魚叉式網絡釣魚攻擊。針對平昌冬奧會的攻擊，早在頭一年的12月就已經開始（注意，這個時候，誰也沒有覺察到異樣，沒有感知到風險）。[3]

2022年北京冬奧會前夕，公安機關就查處了不法分子通過搭建虛假的冬奧會官方網站，誘騙進行在線注冊，一旦網民按照網站設定的路徑操作，就會導致個人信息泄露，甚至銀行卡中的錢財被轉走，潘多拉的盒子就此打開。

再比如來自供應鏈的安全風險，這類安全風險也隨著公共技術組件的開放性與底層代碼的開源性變得越來越普遍和嚴峻。2020年12月，SolarWinds旗下的Orion基礎設施管理平臺的發布環境遭到黑客組織入侵，黑客對一個dll文件源碼進行篡改并添加了后門代碼，該文件具有的合法數字簽名會伴隨軟件更新下發。這次供應鏈攻擊，殃及美國幾乎所有的聯邦政府機構，后續的隱患尚未可知。[4]而被國內互聯網廠家及應用所廣泛使用的開源服務器操作系統CentOS 已明確表示即將停止全部維護與技術服務，其停服帶來的安全隱患與漏洞排查風險考驗著廣大IT從業人員，亟需在國產化道路上找到替代方案[5]。

媒體網絡空間的技術風險也同樣來自受傳者和傳播落地端的輿情發酵。隨著人工智能技術在傳播領域的應用越來越深入，信息雷達、智能寫作、智能換臉、個體畫像、智能推薦、自動反饋、信息溯源等智能化技術被廣泛地植入傳播全鏈條，信息傳播的效能迅速提高。但技術帶來的兩面性也是顯而易見的：作為智能算法帶來的“副產品”，個人隱私被隨意攫取，并利用大數據來“殺熟”，同時智能技術善于偽裝的特點，也加劇了信息內容真偽鑒別的難度和傳播渠道的可信性溯源。對有自然語言處理能力的深度學習工具，可以根據受眾的反饋和興趣喜好進行自動加工和二次轉寫，通過算法生成一篇似是而非的全新文章，令公眾難以分辨其可信度和內容真偽。智能算法還可能引發網絡輿論暴力，極大促進網絡輿論的快速發酵，助長了謠言的擴散和傳播。如2020年的“受疫情影響，國內糧食短缺，要趕緊囤米搶油”“洗滌精可以預防新冠病毒”，瞬間就在大量社交媒體和論壇網站上出現，并快速進行熱搜詞的自動提煉和二次加工轉發，去中心的消息群發也使網絡監管部門難以究其源頭。[6]這些廣泛傳播的網絡輿情負面事件，極大地考驗了全球各國政府和監管部門的公信力，挑戰了主流媒體的權威性和影響力，為新時期網絡輿情的可管可控帶來了巨大的威脅與不確定性。

1.3 媒體行業數字資產的風險分析

審視媒體自身數字資產所隱含的種種管理漏洞與技術部門。媒體行業自身信息化、網絡化、智能化的發展進程中，媒體數字資產也越來越多地被搬遷到互聯網上，極大地增加了媒體業務的開放性和后臺資產的暴露面。

媒體數字資產包括“有形的”和“無形的”兩類資產，無論是花錢買的還是自己建設的各種資源，無論是賬號、服務還是數據、內容，只要是依托互聯網存在或通過互聯網進行訪問的（包括受限制的訪問），都是媒體數字資產。

典型的技術資產包括：

·域名服務器；

·郵件服務器；

·IP地址及其端口和相關協議；

·各級子域名；

·應用程序，包括Web端和移動端等。

典型的內容資產包括：

·社交媒體賬號；

·云存儲；

·郵箱賬號；

·由第三方托管的內容資源，如源代碼、文檔、音視頻等。

曾有調查研究比對過國內外媒體同行的數字資產規模，發現兩者的規模差別不大，但差異性較明顯。國外同行使用云服務的數量和規模普遍比較大，IP的全球分布也更多，同時更傾向于使用私有云。國內外同行都不同程度地存在郵箱密碼泄露、Cookie隱私策略等問題。另外數字資產越多的，往往更容易存在影子IT資產。從資產規模上看，資產規模越大，被攻擊面也就越大，但資產規模與風險指數并不存在完全正相關性，周密的安全策略和警覺的防范意識，對預防嚴重的安全事件至關重要，從而大大降低了復雜技術系統所帶來的潛在風險。同時，系統設計人員需要在系統建設之初，就要統籌考慮技術系統的易用性和軟件架構的安全性，保證業務開放與系統安全之間的相對平衡，做到運維、安全、開發一體化。

在各類安全事故中，加密問題、應用問題、網絡問題和補丁問題占了絕大多數。加密證書的使用問題包括證書名不匹配、證書過期和匿名驗證的加密套件等，導致網站不受信任，可能會發生信息泄露和網站防護能力下降等問題。Web應用程序的開發，由于各種開發技術和異構框架使用得比較多，Web應用問題也比較分散，主要涉及以下幾類：敏感密碼未在HTTPS保護之下、不再提供支持的PHP版本/Apache版本/MS IIS版本/WordPress版本/Nginx版本等，還有各種信息暴露的問題，如暴露了Git配置、SVN目錄、Web配置文件等。網絡問題常見的包括端口問題和郵箱問題，其中端口設置風險雖然比較好管控但是動態性強，比如22端口暴露SSH服務，445端口暴露共享服務，49154端口暴露MS遠程調用服務，3389端口暴露遠程桌面服務，3306端口暴露MYSQL數據服務，27017端口暴露mangoDB服務等；郵箱密碼泄露問題則更為普遍，幾乎所有的媒體機構都不同程度地存在郵箱密碼泄露的問題，郵箱密碼一旦泄露，很容易造成從機構內部發起的各種攻擊，包括植入惡意代碼、濫用風險、數據泄露等。另外，隨著大量使用第三方提供的云服務成為行業發展大趨勢，由此帶來的風險隱患也成為日益凸顯的一個棘手問題。

2.應對策略與治理思路

2.1 網絡空間治理的戰略目標

網絡空間是否能夠實現有效治理，首先取決于各主權國家與國際社會進行網絡空間治理的基本價值取向。維護我國意識形態安全，捍衛網絡主權，是我國網絡綜合治理體系的根本遵循和核心要義。在最新的烏克蘭危機中，“網絡戰”及“國家級網絡威脅”更是為全世界所認知并密切關注。非法網絡攻擊和網絡輿情風險，將對國家的國防安全、關鍵基礎設施安全、金融安全、社會安全、生產安全以及公民個人信息安全造成嚴重威脅和危害。人們應該清醒意識到，全球化網絡戰爭是一場沒有硝煙的殊死較量，道路艱巨，前途坎坷，除了勝利我們別無選擇。

黨中央高度重視網絡空間治理，很早就意識到網絡空間治理是新形勢下國家面臨的重大且極具挑戰的課題，事關國際話語權及國家發展安全。2014年2月27日，習近平總書記在中央網絡安全和信息化領導小組第一次會議上指出，沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化，明確指出了網絡安全和信息化是一體之兩翼、驅動之雙輪。加強互聯網內容建設，建立網絡綜合治理體系，營造清朗的網絡空間，是黨的十九大作出的戰略部署。2019年7月24日，習近平總書記在中央全面深化改革委員會第九次會議上發表重要講話，強調要堅持系統性謀劃、綜合性治理、體系化推進，逐步建立起涵蓋領導管理、正能量傳播、內容管控、社會協同、網絡法治、技術治網等各方面的網絡綜合治理體系，全方位提升網絡綜合治理能力。會議審議通過了《關于加快建立網絡綜合治理體系的意見》，標志著我國網絡空間治理工作已經提升到國家戰略高度。

網絡空間多維治理體系應包括頂層設計、制度框架、社會協同、價值取向和技術實施等多個方面。在2019年頒布實施的《網絡安全等級保護制度2.0國家標準》中，明確了網絡安全的戰略目標[7]（圖2）主要包括：一是政府及安全保護部門建立相應的政策和標準，如網絡安全法、等保、關鍵基礎設施保護條例、部門規范性文件、標準體系等；二是網絡參與各方的平臺和企業制定管理措施，制定網絡多元協同的治理框架，建立對不同責任主體的職責和措施；三是網絡運營企業、設備企業和媒體機構的技術措施，包括隔離、認證、攻防對抗、安全可控、密碼技術等，加強對網絡治理技術和保障機制的提升和完善。這里需要指出的是，在2021年9月正式實施的《關鍵信息基礎設施安全保護條例》（國務院令第745號，以下簡稱《條例》）中，已明確將關鍵信息基礎設施作為網絡安全的重中之重，從立法層面納入到關系國家安全、國計民生、公共利益的重要位置中來。按照《條例》中分層保護、精準把控的原則，由國家網信部門統籌協調，各重要行業和領域運營者具體落實的關鍵信息基礎設施安全保護格局已基本形成，通過摸底并報備國家傳媒產業鏈條的關鍵信息基礎設施，逐步分層廓清了媒體傳播所涉及的關鍵信息基礎設施安全保護的職責、任務、分工和聯動機制。

圖2 網絡安全戰略規劃目標

網絡是開放復雜的系統，網絡空間環境治理必須遵循“網絡安全靠人民”“網絡安全為人民”的理念，強化安全內控和風險意識的培養。從技術角度分析，一是要提升公民的智能媒介素養，引導人們正確參與網絡輿論，要以技術對技術，以技術管技術。具體而言，要廣泛地科普智能傳播的各種仿真技術，使網民對圖片和影像的合理性和真偽性存在基本的判斷；要引導算法平臺提供事件多方面的觀點，加大規范和制約互聯網的各種算法推薦服務；要引導人們理性參與輿論，說明網絡并非法外之地。二是強化網絡安全交叉性、復合型人才的培養，“將運營者安全管理人員、安全技術人員培訓納入國家繼續教育體系”，同時加強網絡安全從業者的安全背景調查和職業廉政審計。

2.2 技術治網：任重道遠

從技術治網的角度，其核心任務是構建全生命周期可管、可控、可信的技術安全體系，建立網絡信息安全風險防控長效機制。對安全技術人員來講，一是引入輿情監測技術手段，通過聚焦網絡空間治理需求，完善互聯網輿情監測手段，提升智能化分析能力，綜合大數據算法、人工智能、態勢感知等新型技術手段，實現對網絡安全事件的全面采集和發展態勢預測；二是建立健全安全態勢感知機制，摸清家底、搞清現狀、洞察變化，一方面扎牢防御體系，持續建強防火墻、防病毒軟件等，另一方面需要將防御戰線“前移”，多做等級保護自查和安全防護演練整改，防患于未然；三是加強技術供應鏈的安全生態建設，充分重視并加強對供應鏈的安全管理，同時要規范對關鍵開源技術的選型和隱患排查，隨時研判新技術的適用性、安全性和供應鏈的穩定性，評估漏洞風險，完善運行監控和風險應急處置策略，做好新技術新應用的風險管控。四是強化資源配套，要加快推動并制定網絡安全保護相關政策法規的落地指南和行業細則，為技術治網提供行動準則，建立多層級的安全保障專業隊伍，提升隊伍專業素養。

特別是在國家“新基建”的產業格局和發展背景下，數據已明確被認定為新型生產要素。[8]同時，對數據領域全方位的監管、治理和保護已被納入到安全保障體系范疇中。數據安全和網絡安全處于同等重要的戰略地位，成為網絡空間治理的重要環節。2017年6月《中華人民共和國網絡安全法》正式實施，該法律主要關注互聯網全網體系和設施的安全，但對數據的境外存儲以及個人信息的采集和使用都做出了一系列明確規定。而2021年9月實施的《中華人民共和國數據安全法》，則為大數據產業存在的種種無序擴張和監管盲區進一步踩剎車、做減法、補短板，標志著數據安全正式步入法治軌道，今后互聯網數據的存儲使用、匯聚流通、算法挖掘、隱私保護、安全治理、權責監管等行為都有了較為明確的法律依據和政策遵循，最大限度地避免企業和機構為牟取暴利而無序發展，最終破壞產業生態，消除“劣幣驅逐良幣”隱患，引導科技向善，營造網絡清朗空間，進而為提升網絡綜合治理能力、維護國家網絡主權做好必要的數據準備和制度保障。

2.3 建設自主開放的技術體系

技術供應鏈的安全生態建設也是近兩年越來越被提及的一個重要方面，關系到技術治網的成敗。建設自主開放的技術體系，是中央提出高水平科技要自立自強的關鍵任務，在當下錯綜復雜的國際局勢面前有著十分緊迫而現實的戰略意義。確保技術創新鏈和產業供應鏈安全可靠，加快建設形成自主、開放的國產化技術體系，信息領域各個企業之間的競爭不是個別產品之爭，而是產業生態之爭。[9]從芯片、系統結構、操作系統、通信網絡、基礎設施、應用（大數據）和軟件（中間件）等全鏈條關鍵技術的重點突破，到上下游垂直創新引燃產業生態的水平創新與敏捷迭代，構建自立自強的信息技術體系已得到科技界、產業界和政府各級部門的高度共識，這也是最終確保國家網絡安全和媒體空間治理成效的根本保證。只有擁有相匹敵的“殺手锏”技術，才能徹底實現我國網絡空間治理的可管可控，才能做到不被境外非法技術“牽著鼻子走”，最終實現對等、充分、互信的國際話語權和輿論引導力。

結語

媒體空間治理是一項長期性、系統性工程，正所謂“安全治理永遠在路上”。隨著信息技術和新形勢新業態的日新月異，網絡空間環境日益成為國家安全與發展中的重要一環。在Web3.0時代，互聯網的概念和邊界再次發生顛覆性變革，媒體空間治理開始走向更加廣闊、更加立體的泛在空間，在“數、網、智”的世界中，在虛擬與現實疊加的網絡里，如何應對不可知的風險，如何提前謀劃把握網絡主動權，講好中國故事，是擺在每一位媒體從業者面前的必答題，也是媒體融合發展所必須跨越的風險與挑戰。