干预之旅：有效数字安全措施的路线图

干预之旅：有效数字安全措施的实施路线图 洞察报告2025年3月 内容前言 3 执行摘要 4 引言 5 1绘制干预过程图 1.1识别1.2设计1.3实施1.4反馈、测量和透明度 1.5合作关系2干预案例研究 2.1提升游戏安全：家长和监护人的工具包2.2保护年轻玩家：定制化游戏解决方案2.3培养数字时代的信任：人工智能和素养的全面方法2.4青少年网络安全：保护措施与监管功能2.5应对CSEA风险：用于威慑和支持的聊天机器人2.6全球信号交换：应对网络诈骗和欺诈2.7跨平台行动：合作打击网络CSEA 3干预类别 3.1技术干预措施3.2教育干预措施3.3政策相关干预措施3.4行为干预措施 4中小企业的挑战 4.1Thechallenges4.2解决方案与注意事项 67910111213141618202224262829303133343536 5条建议 37 5.1采取积极主动和透明的方法 38 5.2一种尺寸不适用于所有情况。 5.3确保数字安全干预措施中的包容性385.4实施有效的报告和响应机制395.5用户教育和数字素养5.6准备应对新兴威胁395.7加强合作伙伴关系和多利益相关方合作40 40 40 结论41贡献者42脚注44 免责声明本文件由世界经济论坛发布，作为对一项项目、见解的贡献领域或交互。此处表达的研究结果、解释和结论是经世界经济论坛促进和认可的合作过程的结果，但其结果不一定代表世界经济论坛、其全部成员、合作伙伴或其他利益相关者的观点。2025世界经济论坛。保留所有权利。本出版物中的任何部分均不得©以任何形式或通过任何方式复制或传播，包括影印和录音，或通过任何信息存储和检索系统。 GettyImagesImages: 2025年3月干预之旅：有效数字安全措施路线图 前言 AgustinaCallegari 全球数字安全联盟项目主管 ，世界经济论坛 DanielDobrygowski 头部、治理与信任，世界经济论坛 AdamHildreth 创始人，Crisp，Kroll JulieInmanGrant eSafetyCommissioner,办公电子安全专员办公室,澳大利亚 在当今日益技术驱动的世界中，确保安全融入数字平台和系统的核心至关重要。安全设计方法确保平台优先考虑用户保护，在损害发生前加以预防。无论规模大小，平台都有责任通过部署内容过滤算法、年龄验证机制和易获取的安全资源来保护用户。随着人工智能（AI）在数字领域日益成为核心，在AI的开发和部署中优先考虑道德和安全，对于最小化意外后果至关重要。 全球数字安全联盟认识到网络危害日益复杂的现状，从儿童性虐待材料（CSAM）的生产和传播到隐私侵犯、仇恨言论和虚假信息，均有涉及。我们的策略并非孤立地应对每个挑战或风险，而是要开发一套相互关联的资源。 我们的《数字安全全球原则》和《网络伤害类型学》为所有利益相关方提供了基础性指南和共同语言。数字安全风险评估框架有助于识别风险，而《如何有效衡量数字安全》报告则概述了数字安全指标的关键类别。 这份最新报告《干预之旅：有效数字安全措施路线图》，为制定有效的数字安全干预措施以应对网络伤害提供了指导。它涵盖了完整生命周期— —从识别风险到设计、实施和评估有效的安全措施。此外，它还包括真实世界案例研究和各种类型干预措施的示例。通过遵循安全设计原则并结合最佳实践，该报告指导各规模的公司，使它们能够主动管理其数字平台相关的风险。 该联盟生产的每一样工具都与其他工具互补，为政策制定者、行业领导者、民间社会和学者创建了一个全球工具包。 数字安全需要集体努力，通过与政府、行业和公民社会的合作，联盟旨在创建具有全球意义和地方适应性的解决方案。 执行摘要 干预措施之旅为应对网络伤害提供了分步指南，确保数字环境的安全。 随着组织和社会的数字化程度不断提高，加之数字危害日益普遍，通过有效的数字安全干预措施来应对这些风险变得愈发紧迫。本报告有助于更清晰地理解挑战与机遇，并帮助组织识别有效策 :执行计划实施 战略与解决方案，参与利益相关者，提供培训和 略、培养协作与资源共享，最终为所有用户提供 监:控流程 更安全的数字环境。 这份关于干预历程的报告借鉴了数字安全设计干预工具包的工作流，延续了2023年的报告 数字安全设计干预与创新工具包：网络伤害类型学该旅程旨在协助组织在数字化安全复杂的领域中进行导航，并实施有效且安全的干预措施，无论其规模如何。通过评估各种干预案例研究，该报告旨在提供识别风险、选择潜在干预措施以及收集和分析这些干预措施的反馈的最佳实践。 干预过程步骤分类如下：系统地识别 识别 并分析可能威胁用户、非用户和组织在数字环境中的因素 :制定针对性的策略和设计 能够解决特定已识别风险，从而有效减轻对用户、非用户和组织的潜在损害的解决方案。 反馈、测量与透明度 ：收集和分析用户及利益相关者的反馈，以评估有效性和影响，同时沟通研究结果。 坚持干预过程确保了在制定目标、探索解决方案 、评估成果、平衡成本、整合安全措施和评估有效性方面采用结构化方法。与合作伙伴合作可以帮助组织避免陷阱并更高效地解决问题。通过就关键利益相关者进行开放性沟通，并分享最佳实践、解决方案和技术，合作伙伴关系可以显著提升干预的影响力。 认识到并非所有组织，尤其是中小企业（SMEs） ，都有能力或专业知识来有效执行每个步骤，突显了合作的重要性。改善数字安全是一项协作努力，合作使所有利益相关者受益。 这一份全球数字安全联盟第五次发布的出版物是在其多方利益相关者成员的参与下制定的，包括平台、监管机构、安全提供者、非政府组织（NGOs）、学者和国际机构。他们在塑造报告过程中的参与，体现了对跨行业实施数字安全干预措施进行改进以及推进使数字空间对所有人更安全的努力的共同承诺。 引言 在一个复杂的数字世界中，主动干预在应对监管要求和运营挑战时，优先考虑安全性。 该报告引导读者深入了解详细路线图，阐释了制定和实施有效数字安全干预措施所涉及的关键步骤和注意事项。 数字环境的特点是存在大量不断变化的在线危害 ，这要求解决方案不仅需要适应性强、紧跟时代 ，还需要具有前瞻性和主动性的能力，能够与旨在缓解的威胁同步发展。 在这种复杂的背景下，采取多方面的方法至关重要——没有单一干预措施能够解决种类繁多的网络伤害。数字伤害的性质是，它难以被轻易分类或通过简单方法解决。每一项干预措施都必须经过仔细评估，权衡其成本与收益，同时也要考虑其有效性。 数字伤害缺乏确凿的解决方案。重点应放在于伤害发生前缓解风险，同时承认一定程度的风险将始终存在。数字安全干预措施具有内在成本，这些成本超越了财务支出，影响时间、用户体验和表达自由等领域。因此，必须仔细权衡这些成本与潜在收益之间的平衡，例如增加安全性、隐私和用户信任，以及保护基本人权。企业必须权衡严重犯罪（如儿童性剥削和虐待）造成的实际伤害的严重程度，因为此类保护是国际公认的fundamentalright。 ：服务法案。政府和国际组织正倡导采取更强有力的措施来保护用户和脆弱的非用户，并追究平台的责任。 然而，关于数字安全工具内部运作的详细披露可能被恶意行为者越来越多地利用，他们可能利用这些信息来更好地绕过安全措施或操纵系统。在这种情况下，挑战在于平衡透明度需求与维护安全性的必要性。 小公司由于技术专长有限和预算限制，在实施有效的数字安全干预措施方面常常面临挑战。这使得平台之间通过合作等方式共享信息与最佳实践对于应对网络危害的全球性和相互关联性至关重要。 本报告旨在汇编广泛的数字安全干预措施，为公司提供提升其在识别数字风险、预防危害、减轻影响以及在事件发生后促进修复的能力所需洞察 。 数字安全干预措施广泛，涵盖技术和非技术措施 ，以有效应对网络威胁的复杂性。在所有方法中 ，衡量和分析数字安全干预措施至关重要。同时 ，也需要考虑其可推广的广度、对提供者的适用性、实施的便捷性以及总体有效性。 干预措施的范围已被组织为四类，许多干预措施与多个类别相互交叉。这些类别是：技术性 、行为性、教育性和政策相关性干预措施。 该报告为读者引导一份详细的路线图，阐明了开发和实施有效数字安全干预措施中所涉及的关键步骤和注意事项。 干预措施正日益受到不断发展的监管框架的影响 ，包括澳大利亚的《2021年网络安全法》、英国的《2023年网络安全法》和欧洲联盟的《数字经济法》。 目标是提供有价值的见解和实际建议，具体针对中小型企业。分享最佳实践以及利用合作伙伴关系可以帮助它们发展和部署有力的安全措施。 1 绘制干预过程图 在整个开发过程中嵌入安全设计原则，能够创造出具有韧性和适应性的干预措施，以应对不断变化的数字安全挑战。 干预措施的实施数是一个需要规划的过程，以识别和应对在其发展和部署的每个阶段可能出现的挑战和风险。通过规划这个过程，可以吸取宝贵经验教训，以帮助预见障碍，例如技术限制、资源限制或用户采用问题。这一积极预防和主动的策略，在过程的每个阶段都采取行动，遵循“安全设计”原则。这种全面的方法不仅确保了干预措施的有效性，还有助于根据不断变化的需求对其进行优化和调整。 需求。此外，该映射确保短期和长期考虑都融入了决策过程中。 干预过程不应被视为线性过程，而应视为一系列指导干预发展的关键考量。该过程通常是——有时也应该是——迭代式的。这些干预过程中的步骤并非详尽的清单，而是包含示例考量的广泛阶段，旨在为决策提供参考。 图1干预措施实施步骤 识别设计实施 反馈，测量和 透明度 1.1识别 有必要识别特定于组织的风险因素，包括可能造成潜在危害的服务功能、用户群和商业模式等特征。由于风险评估没有一刀切的方法，不同的风险类别可能对某些类型的平台或服务（例如社交媒体平台与约会应用）或在特定地理区域更为相关。风险因素不能孤立评估，因为风险级别可能取决于 受多重风险因素累积影响。了解和认识某些风险因素存在的原因，有助于风险优先级排序。 识别和缓解数字安全风险应通过全面的风险评估来实现。该联盟的报告《数字安全风险评估实践 ：一个框架和案例库》，介绍了一个旨在指导这一过程的风险评估框架，如图2所示。 图2识别之旅 识别风险 风险因素是如何被识别的， andcategorizedprioritized包括基于类型 服务，用户群，地理位置和数据存储)? 0 报告 Whatmechanismsare治理 implementedtomeasureand 降低风险 What,policiessafety 持续监测损害。and?修正系统问题 记录的是什么指标？报告如何被使用 Whatorganizationalapproachesand 4问责机制在1 在数字安全方面处于何种位置？ andmechanismsproactive被实施以用于工作流程 降低伤害风险发生或蔓延？ ?驱动变革如何持续改进 整合以适应未来趋势方法？ Howistheorganizationensuringtheallocationandmaintenanceof 专用资源/预算？ 32 修复损害 Whatmechanismsexistto(includingrepairharm事后响应 管理层和申诉 机制？ 减轻损害 现有的机制是什么 toorharm,andreportdetectwhatdecision-making 和框架执行 实施的工作流程如何减轻它？ 世界经济论坛。(2023).实践中的数字安全风险评估：一个框架和案例库集合，第7页。Source https://www.weforum.org/publications/digital-safety-risk-assessment-in-action-a-framework-and-bank-of-case-studies/. 风险评估必须考虑可能受到影响的各种人口统计特征，包括用户和非用户。这遵循了全球联盟的指导方针，即数字