发言稿

提升网络韧性

2020年12月9日

很高兴能邀请各位出席第四届网络安全年度在线研讨会。通常，我们会邀请大家亲自来到华盛顿特区会议现场，相互了解、互相学习。但今年是极为特殊的一年，我们面临极不寻常的大环境。

新冠疫情向我们表明：人类有能力应对不可预见的重大灾难。按照一般定义，能够成功吸收疫情冲击并加以适应，便是具有韧性。这也是过去三天研讨会的重要主题——即我们如何增强我们所在国家的网络韧性，并以此帮助提升全球金融体系的韧性。如今这一问题尤为突出，因为在过去的十年中，全球金融体系的数字化程度已大大提高，对技术的依赖性显著加强，各国也更紧密地联系在一起——本次疫情进一步加深了这一趋势。

考虑到网络风险的非常规性，我们在应对方法上需要保持灵活敏捷。我们应从单纯关注风险防范，转变为关注提升网络韧性。传统上，网络安全有三重目标，即保密性、完整性和可用性。我们认为，在这个“安全三角”之外还应增加“韧性”这个属性。近一段时间，多起网络事件表明，犯罪份子有能力渗透大型机构的网络，并迅速使之丧失能力。网络韧性将使机构有能力承受安全威胁和网络攻击，避免出现严重故障。网络韧性的关键在于：需要认识到网络威胁是不可避免的，甚至在防御中难免出现少数失败。网络韧性强调的是在攻击事件持续发生下仍让系统继续保持运转。这不是攻击事件“是否”会发生，而是将“何时”发生的问题。这里有一个与人体相似的地方——即使身体的外层防御（皮肤）被割伤或是遭受疾病侵袭，你的身体仍会找到办法来继续运作。像人体一样，在网络事件出现时，我们的目标应是找到抵御干扰、维持系统持续运行并最终恢复正常的方法。

过去三天的讨论让我们能共同思考一些必须关注的重要因素，以便我们能提升抵御非常规威胁的能力。我想着重提及三大主题。首先是网络威胁的现状。我们认识到网络威胁是无国界的，网络攻击者的能力在不断提高，手段易于扩展且日益复杂。如果不掌握网络威胁及其演变情况，我们就无法提升相应的防护、侦测和响应能力。就像新冠病毒一样，如果不了解病毒的性质、特征及其威胁，我们就无法制造出疫苗来保护我们。

第二，我们重点讨论了治理和风险管理在机构系统、主动管理其面临的现有网络威胁和新威胁中的重要作用。监管机构必须确保机构拥有强大的领导力，确保高层人员拥有正确的意识并对整个机构产生影响。监管机构也必须持续开展监督，同时确保拥有足够资源和专业知识来应对这些风险。正如新冠疫情所表明的，我们需要强大的领导力以及充足的专业知识和资源来应对危机——网络安全也不例外。

第三，我们还讨论了在可信范围内共享信息，使各方利用集体的知识、经验和能力来应对潜在威胁。信息共享使各方能在防御能力、威胁侦测技术、风险缓释策略等方面能够做出明智决策。通过信息共享，机构可帮助整个金融体系实现安全、稳健的运行，从而维护公众的利益。正如新冠疫情所示，只有共同努力、分享知识并集中资源，我们才能克服困境。不论是为了应对新冠疫情还是为了提升网络韧性，这种信息共享、协作与协调都必须在跨境和国际层面予以实现。

最后，请允许我感谢会议主办方、讨论嘉宾和在所有参会代表，感谢你们从世界各地远程参加本次活动。希望明年IMF能以线下形式继续召开这一重要年度会议。那时候，我们将有机会回望今年，回顾每个人都在加强个体与集体韧性、共克时艰的这一时刻。祝各位平安。谢谢。