作者 | 维也纳大学奥地利商业安全研究中心（Secure Business Austria Research）的学者维罗妮卡·诺瓦克（Veronika Nowak）、约翰娜·乌尔里希（Johanna Ullrich）和埃德加·魏普尔（Edgar Weippl）

翻译 | 国家互联网应急中心 张冰

摘要：文章指出，网络安全仍被普遍认为是纯粹的技术挑战；然而，尽管所有技术都在取得进步，但这一挑战仍未被有效解决——正如全球许多针对公共部门和行业的高影响力攻击所强调的那样。文章认为，仅关注技术领域会使更大的网络安全问题陷入迷雾，因为人们生成、操纵并与所有技术系统相互作用，从而使其成为社会技术系统。文章提出，应改变现有的观点，以全局性的跨学科的视角看待关键基础设施的安全问题。文章以欧洲电网为例，它既是无可争议的日常生活的关键基础设施，也是保持欧洲政治连续性的关键。通过将欧洲电网解释为一个社会技术系统，可以系统性跨学科地研究其（网络）安全如何不仅仅是一个技术问题。结合科学、技术、工程、数学等自然科学和社会科学的跨学科方法将进一步促进对不同利益相关者及其目标和思维方式的理解，以及技术与人类行为者间的多种依赖关系。虽然跨学科的努力似乎普遍得到资助机构、评估专家、大学和研究人员的支持，但在实践中却很少发生。文章讨论了其中的原因，并就如何促进更多跨学科研究提出了建议。

关键词：关键基础设施，网络安全，欧洲电网，社会技术系统

1. 引言

传统上，技术领域的研究人员和从业者对其研究的系统采取高度聚焦的观点。然而，由于如今无所不包的数字化，一切都变得日益紧密；因此，孤立地看待某个单独的基础设施系统已不再可行。例如，网络物理系统，即与数字基础设施相结合的传统系统，如今更容易遭受网络攻击，威胁其的可靠运行。电网也是如此，众所周知的，电网是对日常生活至关重要的关键基础设施。

由于存在众多依赖关系，如今的能源供应除了确保网络安全之外还面临着其他挑战：一是可再生能源的使用激增，使电网更加不稳定。尽管可再生能源的部署对于应对和缓解气候变化的影响是不可或缺的，但2022年的干旱减少了奥地利的水电站和法国核电站的发电量，给人们的未来预期留下阴影。二是商品市场会影响生产者结构和价格，正如当前天然气短缺所造成的那样。三是电力供应不仅遵循经济规律，还会受到地缘政治的影响，如2022年3月乌克兰与欧洲电网的应急性组网，以及正在波罗的海国家进行的从俄罗斯“电力独立”计划。四是即使非数字化电网基础设施也不是网络安全免疫的，随着越来越多的消费设备变得“智能”，这可能会带来高负载波动。

在存在网络威胁、气候变化、经济和地缘政治等外部因素影响的情况下，电网的安全运行需要多方面的专业知识；因此，需要不同学科专家的共同努力。不能仅仅将关键基础设施（如电网）视作网络物理系统，还应将其视为社会技术系统——从而考虑技术和人为因素以及两者之间的相互依赖关系。文章提供一个案例说明该观点，在其中，一个很小的电网功能失效和通信不畅将产生蝴蝶效应，使欧洲电网处于崩溃的边缘，导致大约4亿人失去电力供应。

2. 作为社会技术系统的关键基础设施

2006年11月，新建的游轮挪威珍珠（Norwegian Pearl）号通过埃姆斯（Ems）河从其造船厂运往北海。与以前的类似情况一样，必须断开一条380千伏的河底电力线路。然而，断开线路的通知是在短时间内发出的；因此，负责的输电网运营商（Transmission Grid Operator，TSO）没有通知其相邻的输电网运营商，而且其线路需作为替代电力供应。因此，连接该输电运营商与其一个邻居运营商的电力线遭受了高功率电流的影响。作为响应，该输电运营商决定将附近的变电站母线耦合；不幸的是，这个动作并没有达到预期效果，反而进一步增加了线路的电流功率。最终，该线自动跳闸并开始导致32条线路级联跳闸。这导致欧洲电网分裂成三个不相连的孤岛。其中两个孤岛遭受了发电不足的困扰，因为风力涡轮机等较小的发电机组已自动断开，这使情况进一步复杂化。第三个孤岛则经历了发电过剩，因为有许多较小的发电机组最初断开连接以确保稳定，后来又自动重新连入；此外，由于某些线路上的高功率流电，进一步解体的威胁仍然存在。事件最终得以解决，但在38分钟内、24个欧洲国家跌落全大洲停电的深渊——“一场全国性的灾难”，“几天后[...]无法再为民众提供必要的商品和服务”。

在此，可以观察到欧洲电网基础设施的两个特点：一是最初的日常运营中的小事件很容易被成倍放大为级联故障。二是对于这些故障，技术和人员都不单独承担责任。这凸显了网络物理和跨学科电网系统的另一层特征：人为因素。因此，有必要提出一种观点，将电网视为一类社会技术系统。这意味着超越现有的科学技术工程数学跨学科自然科学体系，并与社会科学合作。例如，科学技术研究（Science and Technology Studies，STS）——一个成立于1970年代末/1980年代初的社会科学分支——提供关于大型技术系统演变的研究，以及在这些系统中经济、技术和社会参与者和因素如何形成一个“无缝网络”。关注当代高度复杂的技术系统，社会学家查尔斯·佩罗（Charles Perrow）指出，事件绝不是意外的，而是“正常事故”。故障不仅仅是由人为错误引起，而且在此类技术的设计和运营中也包含故障的原因。组织问题也被确定为导致了20世纪太空飞行最具标志性的灾难事件之一：1986年挑战者号航天飞机（Challenger Space Shuttle）由于技术部件故障而在飞行中爆炸。社会学家黛安·沃恩（Diane Vaughan）在一项详细研究中披露，公司间的差异和特殊性以及NASA和各自承包商的工程文化导致了致命的发射决策。在分析关键基础设施的日常工作和（网络）安全要求时，这种基于社会技术视角的方法将非常有益。考虑到电网，由科学技术工程数学和科学技术研究（STS）人员联合开发的跨学科方法将涉及电网的基础设施、维护和运营电网的人、规范日常运营和事件响应的政策制定者以及依赖电力的消费者。

有鉴于此，2006年11月的事件可以被解释为社会技术系统的故障：输电运营商依赖于最初跳闸线路中电流的不同最大值。尽管之前在官方系统中交换了实际值，并且在事件期间的协调通话中提到了实际值。对于电网稳定而言，对能源市场的干预（根据德国法律）仅允许作为最终措施，因此被认为为时已晚。小型发电机组的断开/重新连接行为是无关紧要的，直到政策驱动的可再生能源供应的发展使其成为发电量的重要组成部分，因此甚至能够阻碍稳定的努力。

这只是一个例子，例如，工程决策不仅涉及技术问题，而且涉及经济、地缘政治和社会因素和后果。因此，需要转变视角，将关键基础设施视为社会技术系统。为了正确做到这一点，必须将科学技术工程数学学科和工程学的专业知识和方法与社会科学和人文科学（Social Sciences and Humanities，SSH）结合起来。

3. 跨学科研究及其挑战

总的来说，各方已经认识到加强关键基础设施保护需要替代性观点和跨学科方法。在奥地利，这明显体现在资助领域：由奥地利研究促进局（Austrian Research Promotion Agency，FFG）管理并涵盖安全研究的KIRAS资助计划需要社会科学和人文科学方面的联盟合作伙伴。

奥地利科学基金（Austrian Science Fund，FWF）最近启动了新兴领域资助计划，针对“准备偏离既定方法”的研究人员，并特别邀请跨学科团队申请。2020年，维也纳科学技术基金（Vienna Science and Technology Fund，WWTF）向在数字人文主义框架内的跨学科研究项目资助了约360万欧元。然而，作为资助申请人，在跨学科提案方面遇到了一些困难。特别是将计算机和社会科学结合起来的雄心勃勃的长期项目尚没有成功先例。尽管评阅人普遍欢迎这些跨学科的想法，但其也感觉到不知道如何评估它们，或者发现它们的资金风险太大。作为项目承担者，几乎每个人都想从事跨学科研究，但对如何做到这一点几乎没有任何想法。

即使是为结合科学技术工程数学学科的项目获得资助也可能具有挑战性，例如作者的NurZu！项目显示。其总体思路是将Energiemosaik——一种基于国家统计数据的模型，由自然资源和生命科学大学（University of Natural Resources and Life Sciences，BOKU）开发，用于推断奥地利社区的电力消耗——与基于开放数据的电网模型相结合，以分析电网在气候变化、网络攻击和不同的消费/发电行为方面的弹性。这一想法得到了所需行业合作伙伴的好评：能源部门的小规模利益相关者看到了加速电网向可再生能源过渡的潜力；但是，该项目在首次提交时未被接受。评估认为这种方法是“标准的”；事实上，作者团队结合了标准程序，这带来了新的跨学科挑战。通过在重新提交时更详细地解释了这一点，并最终获得了资助。该项目获得支持一定程度上可能是由于地缘政治形势——强调了能源部门变革的必要性——将是一个社会技术研究的问题。

作者在科学和实践中从事信息安全工作15年多的经验表明，安全问题的纯技术解决方案通常不会（完全）按预期工作。数字化，几乎总是被宣传为解决技术问题的方法，通常也是社会问题，但事实证明也是一种诅咒。功能性是工程学的基本原则，通常放在安全性之前。虽然这在Web应用程序和商业软件的背景下已经令人不安，但对于关键基础设施来说，它已成为一个巨大的社会问题。

因此，可以假设，更广泛的视角对于更好地理解这些社会技术系统，安全地操作它们并应对未来的挑战至关重要。尽管如此，除了缺乏足够的资助计划外，在跨学科方面还存在问题：

一是概念、术语和方法：即使在科学技术工程数学学科之间，差异也可能很大；仅仅找到一个联合词汇通常需要相当大的努力。

二是关于出版物的特定学科惯例：例如，计算机科学会议论文的重要性会超过社会科学和人文科学期刊论文和出版书籍。

三是参与研究人员的职业阶段：虽然早期研究人员可能具有灵活性并对跨学科道路感兴趣，但中期研究人员的职业生涯可能会受到阻碍，因为他们依赖于在特定领域发表文章。

四是评审制度：除了评审员通常专注于某一学科外，必须注意的是，审查制度本身就是能力过剩。

这些挑战的一个主要后果是跨学科项目通常以“从属/服务模式”进行；也就是说，其中一个学科只是起到辅助作用。主要问题是应如何创造一个有利于跨学科研究的公平的学术环境。

4. 结论

尽管已经在跨学科研究方面已经迈出了坚定的步伐，但进展仍比较缓慢，将科学技术工程数学领域和社会科学结合在一起的资助课题仍然很少。此类项目的想法在认识方面获得越来越多的支持，但并没有转化为实际的项目资金。这使得非常有前途的研究潜力尚未开发，因为现有的社会科学和人文科学学科，如技术评估和科学技术研究专门研究技术的影响，从而提供了与科学技术工程数学领域的链接。

鉴于电网等大型关键基础设施应被视为社会技术系统，即技术和人为因素在其中发挥同等重要的作用，因此应系统地促进和资助科学技术工程数学和社会科学与人文科学研究人员的联合工作。

为了克服不同术语、出版惯例和职业要求的挑战，从而达到跨学科研究的“集成综合模式”，在其中，各不同学科的理解达到真正协同，有必要进行一些重大的系统性变革：

一是应提供资助，让跨学科团队有充分时间找到共同的术语并理解彼此的方法。

二是应促进不同学科评审员之间的协调，以提出跨学科提案；评审团等替代审查结构可能是可行的。

三是已建立的会议和期刊应更加开放地开展跨学科工作，以促进而不是阻碍跨学科研究人员的职业生涯。

目前的学术环境不适合如此剧烈的变化，尤其是在短期内。尽管如此，在这一点上，对当代社会技术问题建立整体性观点的需求是非常明显的。由于戈特弗里德·威廉·莱布尼茨（Gottfried Wilhelm Leibniz）或玛丽·斯克沃多夫斯卡-居里（Marie Skłodowska-Curie）等精通多个学科的科学家在当今学术界几乎是不可能的，因此需要专家间的协作，以及一个促进和鼓励这些努力的项目资助和成果出版环境。

转载请注明来源：CNCERT国家工程研究中心

“投稿联系方式：孙中豪 010-82992251   [email protected]”

原文始发于微信公众号（CNCERT国家工程研究中心）：译文 | 以社会技术系统新思维思考关键基础设施的网络安全问题