世界經濟論壇(簡稱WEF)正式發布了一份公私合作手冊——《通過公私合作發展網絡彈性手冊》，旨在借此提高網絡安全性水平，以便為即將于2018年1月23日至26日在瑞士達沃斯建立的全球網絡安全中心鋪路搭橋。

這份世界經濟論壇手冊的背景結合了各國政府為公民提供物理與網絡安全保障時所面臨的復雜性，考慮二者之間時有出現的沖突，例如考量如何避免不必要的個人隱私侵犯與對合法跨國企業的負面影響。

世界經濟論壇發布“網絡防災手冊”-E安全

《通過公私合作發展網絡彈性手冊》內容解讀

《通過公私合作發展網絡彈性手冊》聲稱，目標是否能夠成功達成將“取決于公共與私營部門之間的合作成效。”

本份手冊共分為兩個部分：公私部門合作的參考架構與網絡政策模式。手冊當中并沒有提出全球性規范，也沒有針對具體政策模式的實施方法。這是一種“國內模式”，具體實施方法將由各個國家的獨特價值取向所決定。

包含14個獨立政策主題

本份手冊共包含14個獨立的政策主題，涵蓋研究與數據共享、網絡攻擊歸因、加密、主動防御乃至網絡保險等。這些主題還共同建立起一大核心議題：

數據共享的明確界定;

白帽研究人員工作內容的法律澄清;

對稱的國際政策響應影響;

合規性要求的成本與效果;

軟件編碼質量標準。

各個政策主題隨后會從五個角度進行深入分析，具體為安全性、隱私性、經濟價值、問責性以及公平性。在這方面，最值得注意的在于這份手冊專門為各級政府機構所設計，旨在推動公私合作的發展——民間社會問題并未在其中得到認真討論。

世界經濟論壇發布“網絡防災手冊”-E安全

例：政府關于零日漏洞處理方法的基本分析模型

舉例來說，第一種政策模式涉及政府對零日漏洞的潛在處理方法。零日漏洞的生命周期包括尚未被發現存在于代碼當中、已被發現、利用以及緩解。盡管安全編碼實踐能夠在一定程度上限制零日漏洞的出現，但“由于人為錯誤及其它因素的共同作用，零日漏洞仍將繼續存在”。因此，政府自然有必要為此制定專門的零日漏洞管理政策。

手冊中提出的兩大主要選項分別為政府“完全退出零日市場，不再參與同軟件漏洞發現相關的研究”; 政府出于自用目的而儲備零日漏洞或向供應商披露相關信息。

手冊接下來討論了后一種選項的意義。不披露但加以儲備的作法將增加惡意攻擊者獨立發現安全漏洞的可能性。由于研究人員可能會將零日漏洞出售給出價最高的競標方——很可能是政府，因此購買零日漏洞的行為也會削弱現有Bug賞金計劃的正常推進。

零日政策的實際成效則與五大安全領域有關。零日持續周期的增加將會損害商業(經濟性)利益并引發更多違規(隱私性); 提升研究與資訊分享水平將帶來收益(安全性); 而對零日資訊進行共享則將給銷售商施加壓力以盡快解決漏洞(問責性)。公平性的體現取決于具體政策選項。這就是政策主題的基本分析模型。

例：立足五大安全領域權衡利弊，討論“主動防御”

《通過公私合作發展網絡彈性手冊》還立足五大安全領域(及其相互作用)進行討論與權衡，并將結論應用于14大政策主題中的每一個進行討論。

舉例來說，“主動防御”擁有了自己的界定范圍，即由“防御者與攻擊者之間的技術互動”到“對敵對雙方互相造成損害”。由此帶來的一大顯著風險在于引發報復性升級的可能性。

本份手冊警告稱，“對于民族國家敵對方加以響應的作法，有可能引發東道國承擔重大的責任性義務。因此，決策者應考慮收斂對民族國家的攻擊性政策，同時亦可能需要考慮盡可能避免向更為復雜的非國家性敵對方采用主動防御技術，從而預防此類敵對方獲得更強大的身份混淆能力或致使危險地區沖突升級。”

接下來，主動防御政策的權衡還關系到五大安全領域。主動防御的廣泛使用將增加成本，且不一定能夠獲得經濟回報(經濟性)。這會危害被指控敵對方及任何第三方附屬組織的隱私(隱私性)。對整體安全態勢的任何實質性影響可能都將取決于威懾(安全性)的實際成效。只有大型機構，特別是國防部門等國家支持下的行業才有可能采取主動防御(公平性)手段。然而，只有更為準確的歸因能力(問責性)才是更加現實的選項。

總體概括

盡管其內容非常全面且相當復雜，但本份手冊的目標卻非常簡單。世界經濟論壇世界網絡彈性項目負責人丹尼爾·道布里戈維斯基總結稱：“本份文件中概述的框架與討論內容，旨在確保公共與私營部門在保護共享數字化空間層面開展富有成效的合作時，能夠具備必要的基礎。我們有理由將網絡安全視為一種公共利益，超越當前存在偏見性的安全辯論言辭，最終通過集體行動以應對全球范圍內的網絡安全挑戰。”

盡管公共/私營部門間的安全對話必須接受各國政府的領導，但本份手冊的發布確實很好地概述了各類商業機構目前所面臨的安全問題。雖然手冊當中并未提及與安全問題相關的技術性細節，但仍詳細闡述了當今各類組織機構所面臨的主要安全挑戰以及不同解決方法所帶來的對應影響。