網(wǎng)絡(luò)安全已經(jīng)成為現(xiàn)代社會不可或缺的一部分，影響著世界各地的每一個人。然而，現(xiàn)實的問題是，企業(yè)通常將網(wǎng)絡(luò)安全工作的重點放在滿足合規(guī)要求和應(yīng)用先進技術(shù)，但卻忽視了在倫理道德層面的建設(shè)保障。僅僅是依靠法規(guī)條例和先進的安全防護技術(shù)，并不足以維護網(wǎng)絡(luò)空間的安全性。

　　企業(yè)需要將倫理原則和符合道德的價值觀納入到網(wǎng)絡(luò)安全建設(shè)中，才能在尊重個人隱私和權(quán)利的基礎(chǔ)上，引導(dǎo)員工遵守組織所制定的網(wǎng)絡(luò)安全原則和標(biāo)準(zhǔn)，維護信息的保密性、完整性和可用性。

　　網(wǎng)絡(luò)安全中的倫理困境

　　網(wǎng)絡(luò)安全領(lǐng)域充滿了對抗和限制，當(dāng)網(wǎng)絡(luò)安全專業(yè)人員需要在相互沖突的道德標(biāo)準(zhǔn)和工作要求之間做出選擇時，網(wǎng)絡(luò)安全中的倫理困境就會出現(xiàn)。這些情況經(jīng)常發(fā)生，因為網(wǎng)絡(luò)安全涉及保護敏感信息和應(yīng)用系統(tǒng)，同時還需要考慮如何平衡隱私性、合規(guī)性和公共利益。

　　1、隱私與安全

　　平衡隱私和安全是網(wǎng)絡(luò)安全工作中的一個關(guān)鍵挑戰(zhàn)。在現(xiàn)代社會中，隱私是一項基本人權(quán)，包括控制個人信息和限制無正當(dāng)理由的監(jiān)視。而安全防護則需要實施強有力的管控措施，如廣泛的威脅行為監(jiān)測和攻擊情報信息獲取等，這就可能會侵犯到個人的隱私權(quán)。如何在有效的安全防護和尊重隱私之間取得適當(dāng)?shù)钠胶馐蔷W(wǎng)絡(luò)安全領(lǐng)域的一個重大關(guān)切。

　　2、對違規(guī)信息的披露

　　組織在網(wǎng)絡(luò)安全工作中經(jīng)常因暴露安全隱患而面臨嚴(yán)重后果，有時甚至還會因違規(guī)行為而受到監(jiān)管部門的處罰。 例如 ，2013年，愛德華·斯諾登因為披露了美國國家安全局的全網(wǎng)信息監(jiān)視活動，導(dǎo)致他被美國政府部門通緝。在另一個道德困境的案例中，一名審計師在米德爾伯里學(xué)院(Middlebury College)的IT系統(tǒng)審計項目實施中發(fā)現(xiàn)了兒童遭受性虐待的信息。盡管該審計工作簽訂了保密協(xié)議，但這位審計師還是選擇將他所發(fā)現(xiàn)的違法信息報告給執(zhí)法部門，將未成年人保護置于了客戶隱私之上。這些案例都說明了，安全專業(yè)人員在很多時候必須作出復(fù)雜的道德決定，在安全保密職責(zé)與應(yīng)對嚴(yán)重威脅的道德責(zé)任之間進行取舍和權(quán)衡。

　　3、對安全漏洞的披露

　　網(wǎng)絡(luò)安全專家在工作中會經(jīng)常發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)上的安全漏洞，此時就必須決定是否要公開披露發(fā)現(xiàn)的漏洞，這往往需要兼顧透明度需要，同時又避免造成不必要的恐慌。披露可以讓漏洞得到快速修復(fù)，但在補丁發(fā)布之前，漏洞會有被惡意行為者利用的風(fēng)險。或者，他們可以選擇保密，這可能會使系統(tǒng)的安全缺陷長期存在。當(dāng)然，漏洞發(fā)現(xiàn)者有時也會因為惡意的意圖而不披露漏洞，這取決于他們的偏好與價值觀。

　　4、道德黑客的工作邊界

　　道德黑客是指受信任的個人或團體利用黑客攻擊技術(shù)，發(fā)現(xiàn)和糾正網(wǎng)絡(luò)或計算機系統(tǒng)內(nèi)的安全缺陷。

　　與惡意黑客不同，道德黑客的目的是增強網(wǎng)絡(luò)安全，而不會對系統(tǒng)或其用戶造成損害。但是在實際工作中，盡管有道德動機，但道德黑客的一些攻擊測試方法往往跨越法律界限，并在實踐中由于失誤等原因造成一定的損害。因此，道德黑客工作的合法邊界往往很難劃分清楚。

　　5、人工智能應(yīng)用的偏見

　　AI系統(tǒng)可能會從訓(xùn)練數(shù)據(jù)及算法模型中無意中產(chǎn)生偏見，這可能會導(dǎo)致對特定人員或群體產(chǎn)生歧視性的看法。人工智能系統(tǒng)應(yīng)用的公平性對于維護網(wǎng)絡(luò)安全中的道德標(biāo)準(zhǔn)和有效性至關(guān)重要。

　　6、認(rèn)知失調(diào)

　　網(wǎng)絡(luò)安全認(rèn)知失調(diào)主要指當(dāng)個人利益與職業(yè)責(zé)任發(fā)生沖突的情況下，安全人員該如何進行操作。例如，網(wǎng)絡(luò)安全顧問如果從一家公司得到一份利潤豐厚的合同，但該公司的網(wǎng)絡(luò)安全做法卻與他的核心價值觀背道而馳，他可能會面臨兩難境地。如果接受這樣的工作合同可能會損害他的職業(yè)操守和道德標(biāo)準(zhǔn)。

　　將道德操守納入網(wǎng)絡(luò)安全

　　計算機機械協(xié)會( ACM )于1992年發(fā)布了《IT行業(yè)道德和職業(yè)行為守則》，并于2018年更新。守則強調(diào)了IT領(lǐng)域?qū)I(yè)人員的行為會對社會產(chǎn)生的深遠影響，敦促他們應(yīng)該優(yōu)先考慮公共利益，并考慮更廣泛的安全性后果。

　　雖然這份守則不是專門針對網(wǎng)絡(luò)安全的，但對于所有參與網(wǎng)絡(luò)安全工作的人員來說，這都是一個寶貴的道德指引框架。因為守則從四個方面對包括網(wǎng)絡(luò)安全在內(nèi)的IT技術(shù)工作提出了道德要求：

　　一般道德準(zhǔn)則：IT專業(yè)人員必須為社會福祉、尊重多樣性和促進人權(quán)作出貢獻。在工作中避免傷害,誠實守信,確保公平,尊重知識產(chǎn)權(quán),維護隱私和保密。

　　工作職責(zé)：IT專業(yè)人員應(yīng)努力提高工作質(zhì)量，保持勝任能力，遵守專業(yè)標(biāo)準(zhǔn)和規(guī)則，并對計算機系統(tǒng)及其影響提供全面的評價。他們必須在其職權(quán)范圍內(nèi)工作，促進公眾對計算機的理解，只有在獲得授權(quán)或為公眾利益時才能訪問資源。

　　專業(yè)的領(lǐng)導(dǎo)力原則： 計算領(lǐng)導(dǎo)人必須優(yōu)先考慮公共利益在所有專業(yè)工作，促進他們所在的組織更多承擔(dān)社會責(zé)任，并提高工作生活的質(zhì)量，支持系統(tǒng)運營政策與道德原則保持一致。他們還應(yīng)該小心處理系統(tǒng)修改和淘汰等問題，并認(rèn)識到計算機系統(tǒng)的社會性整合。

　　遵守守則：計算機專業(yè)人員有義務(wù)維護、促進和尊重道德準(zhǔn)則的原則。他們應(yīng)能夠發(fā)現(xiàn)并處理違反守則的行為，并考慮報告違反行為，以確保整個職業(yè)的道德標(biāo)準(zhǔn)得到維護。

　　相比其他IT領(lǐng)域，網(wǎng)絡(luò)安全工作由于其專業(yè)知識和廣泛接觸敏感信息和系統(tǒng)的機會，需要在維護道德標(biāo)準(zhǔn)方面發(fā)揮著關(guān)鍵作用。因此，企業(yè)的網(wǎng)絡(luò)安全建設(shè)需要將倫理和道德原則融入日常實踐，以保護資產(chǎn)、維護隱私和確保安全，在建立信任的基礎(chǔ)上，促進形成更公平的數(shù)字環(huán)境。

　　企業(yè)在將道德規(guī)范納入網(wǎng)絡(luò)安全工作時，可以使用以下方法：

　　強調(diào)道德的網(wǎng)絡(luò)安全是每個人的責(zé)任，培養(yǎng)一種所有員工都堅持道德實踐以保護信息和系統(tǒng)安全的企業(yè)文化。

　　傳達網(wǎng)絡(luò)安全控制措施和政策要求背后的原理，以提高員工對安全風(fēng)險的認(rèn)識，并鼓勵警惕異常的網(wǎng)絡(luò)安全事件。

　　根據(jù)企業(yè)實際情況制定網(wǎng)絡(luò)安全道德守則，為所有員工提供持續(xù)的道德培訓(xùn)，定期進行全組織的風(fēng)險評估，保持全面的數(shù)據(jù)記錄，明確界定違反道德原則的懲罰機制，并在必要時予以強制執(zhí)行。

　　評估現(xiàn)有網(wǎng)絡(luò)資產(chǎn)，進行徹底的風(fēng)險評估，并確定當(dāng)前的網(wǎng)絡(luò)安全實踐中是否缺乏道德考慮的領(lǐng)域。

　　制定一套全面的網(wǎng)絡(luò)安全道德準(zhǔn)則和政策，概述網(wǎng)絡(luò)安全道德行為的標(biāo)準(zhǔn)，同時界定不同的角色和責(zé)任，以確保該準(zhǔn)則能夠被所有人遵守。

　　實施持續(xù)和多樣化的網(wǎng)絡(luò)安全培訓(xùn)，以跟上不斷變化的威脅，培養(yǎng)一種組織文化，在這種文化中，錯誤是學(xué)習(xí)和改進安全實踐的機會。

　　參考鏈接：https://www.tripwire.com/state-of-security/importance-ethics-cybersecurity