百姓彩票登录-百姓彩票客户端下载

网络安全专家谈｜沈昌祥院士：构建安全可信网络空间安全防护体系******

　　过去的十年，是信息技术革命日新月异、数字经济发展浪潮奔涌向前的十年，也是深刻把握信息化发展大势、积极应对网络安全挑战的十年。党的十八大以来，我国网络安全工作进入快车道。新起点，新征程。回望过去，我国网络安全行业取得哪些发展成就？立足当下，面临哪些新挑战？面向未来，将出现哪些新趋势？中国网络空间研究院网络安全研究所、《中国网信》杂志融媒体中心、光明网网络安全频道、安恒信息联合推出系列专访。本期，邀请中国工程院院士沈昌祥进行访谈。

　　记者：请您结合自身实践，谈谈网络安全十年来的发展变化，以及行业发展面临的新挑战、新问题。

　　沈昌祥：当前，网络空间已经成为继陆、海、空、天之后的第五大国家主权领域空间，也是国际战略在网络社会领域的演进，我国的网络安全正面临着严峻挑战。以“没有网络安全就没有国家安全”“安全是发展的前提，发展是安全的保障”为宗旨，按照国家网络安全法律法规、战略要求，推广安全可信产品和服务，筑牢网络安全底线是历史的使命。党的十八大以来，我国在网络安全领域取得可喜成绩。《中华人民共和国网络安全法》（以下简称《网络安全法》）《中华人民共和国密码法》（以下简称《密码法》）《中华人民共和国数据安全法》和《关键信息基础设施安全保护条例》等法律法规治理体系逐步完善，网络安全产业发展有法可依，有章可循；安全可信的网络产品和服务产业生态初步构建，产业结构逐步合理；网络空间安全一级学科确立，人才培养体系初步建立，网络安全人才培养力度不断加大，国家网络安全保障能力大幅提升。

　　与此同时，我国网络安全在技术、产业和能力等方面与发达国家相比仍存在不小差距，在复杂的网络安全博弈中略显被动：自主创新不足，以“跟随型”为主的安全产业发展思路难以解决核心技术“受制于人”的问题；网络安全防护技术体系尚不健全，重点领域网络安全保障能力不足，集中表现为“网络安全底数不清”“网络防御被动应急”，难以形成网络安全积极防御体系，网络安全保障措施难以适应快速变化的对抗形势等。为此，我们应以前瞻性布局占据战略制高点，形成一套既富有中国特色又符合世界发展潮流的网络空间安全保障战略思维，以自主创新产业争取战略主动权，着眼国家安全和长远发展，构建世界领先、安全可信的自立自强网络安全产业生态体系，从根本上解决核心技术受制于人的问题，积极参与网络空间国际治理，加强网络空间国际合作，提升我国在网络空间领域的国际地位。在“十四五”期间努力打造安全可信的核心技术产业生态，构筑安全可信的网络安全基础，建立顺畅高效的组织管理体系和系统完备的法律法规治理体系，加强良性循环的经费保障，做好多层次的人才培养工作，为国家网络安全提供有力支撑，为建设网络强国构筑坚实基础。

　　记者：《网络安全法》对守护网络安全防线、构建安全可信网络体系提出了更高要求。其中也明确提出推广安全可信的网络产品和服务。对于“安全可信”的内涵该如何理解？

　　沈昌祥：“安全可信”是网络所使用的设备应当具备的安全性能，即在设备工作的同时，内含的安全部件进行动态并行实时全方位的安全检验，确保计算过程及资源不被干扰破坏和篡改，能正确完成处理任务。这就是用主动免疫可信计算3.0技术开发的网络产品和服务，相当于人体具有免疫能力，离开封堵查杀“老三样”被动防护，自主创新解决核心技术卡脖子问题。

　　随着信息技术的快速发展和网络安全形势的不断变化，我们逐渐认识到，掌握网信核心技术是我国摆脱网络安全受制于人的根本，也是保障重要信息系统及其数据安全的前提。保障芯片、整机、操作系统、数据库等基础软硬件的供应链安全可信，成为建设网络强国的保障基石。

　　要实现安全可信必须自主创新、自立自强。首先要认清网络安全风险的本质。安全风险源于图灵机原理少安全理念、冯·诺依曼体系结构少防护部件和网络信息工程无安全治理三大原始性缺失，再加上人们对IT逻辑认知的局限性，设计产品不可能穷尽所有逻辑组合，只能处理完成和计算任务有关的逻辑组合，必定存在大量逻辑不全的缺陷漏洞，从而难以应对人为利用缺陷漏洞进行攻击获取利益的恶意行为。

　　为了降低安全风险，必须从逻辑正确验证、计算体系结构和计算模式等方面进行科学技术创新，以解决存在的漏洞缺陷不被攻击者利用的问题，形成攻防统一的体系，这与人体健康必须有免疫系统一样。这就是中国可信计算3.0的新计算模式和架构，计算同时并行进行防护，即以物理可信根为基础，一级验证一级，通过构建可信链条，为用户提供可信存储、可信度量和可信报告等多种功能，为保证用户的数据资源和操作过程安全提供可信任的计算环境，有效降低系统的安全风险。由此可见，《网络安全法》要求推广使用安全可信的网络产品和服务是科学合理的，也是高效可行的。

　　记者：在构建“安全可信”网络空间安全防护体系，提高网络安全主动免疫能力方面，我们要从哪些方面着手？

　　沈昌祥：首先要自主创新发展主动免疫可信计算3.0，为安全可信产业打造良好生态环境。

　　可信计算3.0源于我国，对新型可信计算的研究开始于上个世纪90年代初，1995年2月通过鉴定，定型装备，经过长期攻关形成了自主创新的可信计算3.0技术体系。

　　可信计算3.0采用运算和防御并行的双体系架构，在计算运算的同时进行安全防护，将可信计算技术与访问控制机制结合，建立了计算环境的免疫体系，能及时识别“自己”和“非己”成份，禁止未授权行为，使攻击者无法利用缺陷和漏洞对系统进行非法操作，最终达到“进不去、拿不到、看不懂、改不了、瘫不成、赖不掉”的效果，对已知和未知病毒不查杀而自灭。

　　其次是自立自强建立安全可信创新体系：一是可信体系架构的创新。可信计算3.0创造性地提出了计算节点由运算部件和防护部件并行的双体系架构，在保持原有应用系统不变的情况下，构建主动免疫的可信计算环境，为应用提供主动免疫安全可信的保障机制，主动拦截系统操作运行要素，按预定的策略规则进行可信判定，及时发现并禁止不符合预期的行为，保证全程安全可信的运行。

　　二是可信计算密码技术的创新。可信计算3.0架构根据国家《密码法》规定的算法标准发布的可信密码模块（TCM）国家标准，满足可信计算需求，并要在三个方面有重要创新：首先是构成了对称与非对称融合的密码体制，全面支持可信功能；其次，可信计算3.0架构下的可信计算密码技术以国内密码算法为基础，对称密钥算法使用SM4算法，非对称密钥算法使用SM2算法，哈希算法使用SM3算法，高效实现身份认证、加密保护和一致性校验；再是采用双证书体制，用平台证书认证系统，用加密证书保护密钥，并且将加密功能和系统认证功能分离管理，符合《中华人民共和国电子签名法》要求，简化了证书管理工作，提高了系统通过隔离增强加密和认证功能的安全性。

　　三是可信平台控制模块的创新。提出以可信平台控制模块（TPCM）作为可信根，并接于主机的计算部件，在可信密码模块基础之上增添对系统和外设的总线级控制机制。TPCM是系统可信的源头，它将密码机制与控制机制相结合。目前，TPCM国家标准已发布，并被发展成为插卡、主板SoC和多核CPU可信核三种模式产品，得到大量推广。

　　四是可信主板的创新。可信平台主板将防护部件与计算部件并接融合，由TPCM和系统中的多个度量点(包括TPCM对Boot ROM的度量机制)组成防护部件，计算部件保持原有架构不变。信任链在“加电第一时刻”开始建立，从而提高了系统安全性。同时在主板上的多个度量点分别设置度量代理，通过这些度量代理实现硬件控制，并为可信软件层提供可信硬件度量和控制接口。

　　五是可信软件基的创新。可信软件基是在TPCM支撑下，基于双系统体系结构下以原始信息系统宿主软件为保护对象，构成并行的双软件架构。可信软件基在可信计算体系中处于承上启下的核心地位，对上与可信管理机制对接，通过主动监控机制保护应用，对下连接TPCM和其他可信硬件资源，对系统安全机制提供可信支撑，同时与网络环境中其他可信软件基实现可信协同。可信软件基并行于宿主基础软件，在TPCM的支撑下，通过宿主操作系统代理进行主动拦截和度量保护，实现主动免疫防御的安全能力。

　　六是可信网络连接的创新。针对集中控管的网络安全环境，创造性地提出了三元三层可信连接架构，能够有效防范内外合谋攻击。同时，这一架构在纵向上对网络访问、可信评估和可信度量分层处理，使得系统的结构清晰、控制有序。进行访问请求者、访问控制者和策略仲裁者之间的三重控制和鉴别，实现了集中控管的网络可信连接模式，提高了架构的策略规则可管性、可信性。

　　记者：强化网络空间安全保障，离不开相关产业政策的支持和引导。今后在进一步打造安全可信的产业生态方面，需要在哪些方面完善政策、创新制度？

　　沈昌祥：要优化产业政策，打造安全可信的产业生态体系。加强统筹规划，加大投入力度，扶持网络安全产业和项目，加快推广安全可信的网络产品和服务。形成安全可信国产化推进机制，推动安全可信技术产品应用。出台相应政策为自主创新产品提供市场应用空间，促进技术产品创新、性能优化提升与产业应用协同发展。

　　要以企业为主体，优化网络安全产业创新发展环境。优化企业生存环境，激发大众创业、万众创新的热情。强化企业的创新主体地位，营造公平合理的市场环境，结合国家“一带一路”倡议，打造更有利的国际化发展环境，充分发挥政府机构、行业协会和产业联盟的作用，积极参与国际合作，争取更多的国际话语权。通过建立产业并购基金、共享专利池等措施为企业国际化发展提供支持，减轻国内企业在国际竞争中的压力。

　　要加强人才培养，建设全方位网络安全人才队伍。加大人才培养力度，打造数量充足、结构合理的网络安全人才队伍。加强网络空间安全一级学科建设，由专业机构、行业企业等梳理人才需求，同时加强用人单位与高校、专业培训机构的合作，进一步缩短人才供需差距。

　　要统筹规划加大投入，强化经费监管，大幅提升国家资金的利用效率。优化经费支持方式和监管模式，提升经费投入效益。通过成立专业化项目管理机构，统一受理网络安全项目申请，严格公正评审立项，整合原有网络安全项目资源，集中资源重点突破核心技术瓶颈。完善现有经费监管模式，建立合理的经费申请和评审流程，同时在各环节加强审计。加强产学研用管等各方面的配合，前瞻性统筹经费支持方向，在优先支持基础性、公益性项目的同时，充分考虑经费投入将产生的经济效益，设立“产业基金”“创新基金”等实体机构，加快技术研发市场化速度，形成良性循环的市场化经费支持机制。（记者 李政葳 孔繁鑫）

城市跨域风险协同治理的模式与路径******

　　作者：张小明（中共中央党校（国家行政学院）应急管理教研部（中欧应急管理学院）教授、博导）

　　城市跨域风险协同治理的必要性

　　城市风险的本质特征为“超辖区化”。城市风险并不总是内嵌于城市行政单元，它的发生地点、影响范围并不局限在固定区域，还可能超越特定的行政边界，向其他城市溢出。城市突发公共卫生事件具有很强的传染性，在密集的城市人流中，病原体迅速传播会加剧风险蔓延和扩散的可能性。各类自然灾害潜藏着次生性灾害威胁，容易触发更大范围的灾情，如暴雨灾害，一旦上游河流决堤，很容易引起中下游城市的洪灾。事故灾难和社会安全事件，虽发生地点和影响范围相对集中，但不妥善的处理同样也可能对其他城市造成不良影响。城市发展中涌现的新兴风险，特别是技术风险、网络安全风险等，具有很强的复合性、联动性和叠加性，更可能产生超越空间范围的颠覆性影响。

　　我国城市风险防控模式具有典型的“辖区性”特征。我国采取属地管理模式应对城市风险。例如，《中华人民共和国突发事件应对法》规定：“国家建立统一领导、综合协调、分类管理、分级负责、属地管理为主的应急管理体制。”又如，《中华人民共和国传染病防治法》指出：“疾病预防控制机构、医疗机构和采供血机构及其执行职务的人员发现本法规定的传染病疫情或者发现其他传染病暴发、流行以及突发原因不明的传染病时，应当遵循疫情报告属地管理原则。”基本法和单行法都强调了突发事件的本地负责、本地化解特征。

　　在面对“超辖区化”的城市风险挑战时，“辖区化”的属地管理防控模式难免会陷入失灵困境。一方面，它固化地引导行政人员遵循应急管理的属地思维，忽略了跨域风险防控中的权责配置与相互协作。当出现跨域风险和危机时，地方政府往往会在辖区利益最大化的理性驱动下“自扫门前雪”，片面强调本地的风险处置责任，忽视甚至搁置“共同责任区”风险问题，继而可能导致跨域风险问题的防控呈现出分散化、碎片化状态，并最终延误风险的最佳处置时机。另一方面，地方政府的资源与能力难以适应跨域风险防控要求。地方政府基本形成了与属地管理模式相匹配的信息收集、报送程序以及资源调集、分配机制。当风险出现后，地方政府能够按照固定规范的流程迅速启动应急响应。而城市跨域风险超越了单一行政区域范围，发展演变趋势不确定，表现形态多变复杂，更重要的是，它突破了地方政府的风险治理权限，涉及到不同应急力量的博弈与权衡，仅仅依靠某一城市的属地管理模式显然很难产生成效。

　　基于此，进行城市跨域风险协同治理极为必要。跨域，顾名思义是跨越地域界限。由于地域具有明确的区划边界性，因此，跨域实际指向的是跨越不同的行政区划；而行政区划又有各自的法定治理权限，这意味着跨域更深层的是对单一治理权的突破。当风险的潜在致灾因子、可能承灾对象超出了城市的行政区划，城市跨域风险就产生了。城市跨域风险协同治理有三种典型情境：一是潜在致灾因子超出特定行政区划范围，涉及两个甚至多个城市辖区，如河流水位暴涨会波及流经的中下游城市。二是潜在致灾因子发生在某一城市范围内，而可能的承灾对象分布广泛，如火山喷发后的火山灰顺着风向飘至其他城市。三是潜在致灾因子与可能承灾对象分别分布在不同城市区划。这三种情况都超出了单个城市的治理权限和治理能力，需要采取跨域风险协同治理模式。

　　城市跨域风险协同治理是城市跨域风险治理的重要类别和突破。协同治理是对原有治理范式的超越和发展，它强调在尽可能满足利益相关者需求的同时，通过协力合作、共同行动的方式，最大可能地维护整体利益。城市跨域风险协同治理过程中，不同城市主体代表着多元利益，它们需要通过博弈协商、相互协作的方式，化解区域风险问题，实现区域利益和地方利益的最大化。因此，跨域风险的协同治理，是在一般性跨域风险治理的基础上，对治理的目标、过程和结果的更高层次追求。根据现有跨域治理模式分类，结合跨域风险治理的现实情况，可将城市跨域风险协同治理划分出两种类型：上级政府主导型和平行区域自发型。第一种类型强调中央政府或者共同上级政府的权威性，他们是跨域风险协同治理的发起方，掌握着治理过程中的决策权和指挥权。第二种类型则出于城市主体的自发性，不同城市特别是毗邻城市，出于各自城市发展的需要和维护城市安全的利益需求而主动形成的治理模式。结合实践看，平行区域自发型的城市跨域风险协同治理运用更为广泛。总之，突破地理空间整合应急力量进行合作应对的城市跨域风险协同治理模式，将越来越成为一种重要趋势。

　　城市跨域风险协同治理的模式建构

　　城市跨域风险协同治理，核心是通过总体顶层设计建构一套行之有效的模式和体制。它囊括了中央政府对城市跨域风险协同治理的总体布局，同时还包括各城市共同体基于区域实践构建的治理体制、组织体系以及与之相适应的职能配置和责任关系。它深刻体现了在服从中央政府关于跨域风险协同治理最高指挥、协调权的前提下，充分发挥跨域城市共同体的自主权与核心地位的模式特征。

　　第一，完善中央政府对城市跨域风险协同治理的顶层设计和总体布局。我国城市种类繁多，行政结构复杂。从城市规模看，包括超大城市、特大城市、大城市、中等城市、小城市。从行政结构看，分为直辖市、副省级城市、省会城市、地级市、县级市等。这些城市在人口规模、经济实力、政治话语权上存在较大差异，完全依靠自组织、自我协调的方式，可能会陷入组织无序、协调不通、效率低下的困境。因此，中央从顶层设计层面进行总体布局、设定规范就极为重要。近年来，中央政府高度重视、统筹布局并积极推进城市跨域协同治理，打造了一套完善的规划体系、规则体系和组织体系，为城市群地方政府进行跨域风险协同治理提供了有效的指导、协调和监督示范。中央政府在强调区域合作、融合互动、资源共通、服务共享等区域发展的同时，还兼顾了风险、灾害、危机的安全统筹。

　　第二，探索“综合协调、协同共治、属地管理”的城市跨域风险协同治理体制。党的十九届四中全会指出“构建统一指挥、专常兼备、反应灵敏、上下联动的应急管理体制”，厘清了应急管理实践中的政府上下级关系，为风险治理工作提供了强有力的组织制度保障。然而，现有的治理体制高度聚焦特定行政区划内的突发事件，一定程度上忽略了跨域风险这一重要类别。基于此，有必要建立面向跨域风险的新体制，以进一步规范城市跨域风险协同治理实践中的权责关系，特别是不同城市领导权、指挥权的配置问题。具体地，应形成“综合协调、协同共治、属地管理”的跨域风险协同治理体制。综合协调是指不同城市政府应急领导力量组成的综合性协调机构享有跨域风险治理的协调权，履行综合协调、信息汇总、应急值守的职能，发挥跨域风险治理的运转枢纽作用。协同共治是指风险的发生地城市、波及地城市政府协同参与、共同治理跨域风险问题，以谈判、商议的方式达成跨域风险治理的最优行动方案。属地管理是在坚持综合性协调机构协调作用和跨域治理共同体协同作用的基础上，延续片区责任制，辖区政府仍然是本区划范围内风险事件的第一责任人和最先响应人，负责向综合性协调机构和其他城市传输信息，在配合跨域治理共同体风险处置方针的同时，负责应急处置本区域的风险事项。

　　第三，设立“综合性协调机构”为主导的跨域风险协同治理组织体系。健全的组织体系是确保跨域风险协同治理工作成效的关键力量。进行城市跨域风险协同治理组织体系的设计，既要兼顾中央政府在工作协调方面的权威性优势，还要尊重跨域城市政府的自主权与核心地位，并妥善适应多元风险类别的外部情境。基于此，城市跨域风险协同治理的组织体系要特别注重三项内容：一是构建中央层面的跨域风险协调办公室，规划全国范围内的城市跨域风险治理工作，必要时还可以由相关部门参与到城市跨域的机构体系中。二是设立综合性协调组织机构。毗邻城市要主动打破行政区划界限，由各地政府、应急管理相关部门主要领导人组建综合性协调组织机构，将其作为跨域风险协同治理的常设机构，发挥指导、协调的核心作用，保障跨域风险治理工作的常态化、规范化运行。例如，2012年，为了应对突发性跨界水污染事故，长三角二省一市成立应急联合委员会、预警应急指挥办公室和应急专项工作组等机构，制定跨域治污的行动方案并负责领导和组织落实工作。三是设立具体风险导向的跨域协同治理办公室。在综合性协调机构内，下设自然灾害、公共卫生、事故灾难、社会安全等主要类别的城市跨域风险协同治理办公室，专门对接各自领域的日常风险管理和应急处置工作，确保跨域风险协同治理的专业性。

　　第四，理顺各类机构的城市跨域风险协同治理职能配置。城市跨域风险治理过程中，综合协调工作普遍面临着双重困境。一是风险的不确定性催生了城市政府差别化的风险回应态度。风险是一种未然状态，具有发生的不确定性。部分存在侥幸心理的城市管理者，往往会选择采取消极、懈怠的态度回应跨域风险事项和合作治理活动，这可能会影响到城市跨域风险协同治理活动的实际进展和整体成效。二是城市主体分布在不同行政区，它们各自有着独立的治理权和多样的利益需求，跨域合作需要统筹的因素多，协调的难度也更大。为了克服双重困境，有必要进一步明晰协同组织机构的职能，加强机构的权威性和规范性。对此，特别需要赋予综合性协调机构以必要的实质性权力，发挥该机构的权威作用，确立该机构的跨域风险常态化预防与治理职责：负责起草跨域风险治理协议，编制风险防控预案，研究制定风险协作的重要政策、年度计划与合作事项，并负责组织召开跨域协调会议。同时，还要明确该机构在风险识别、风险分析与评估、风险处置、风险监控、风险沟通各环节的统一领导、指挥、协调、调度职能。当出现重特大跨域风险，超出综合性协调机构的应对处置范围和能力时，中央相关机构应及时干预，对风险应对处置工作进行统一领导。

　　第五，构建“发生地为主、波及地为辅”的城市跨域风险协同治理责任框架。清晰的权力责任体系是城市跨域风险协同治理工作有序开展的重要保障。城市跨域协同风险的突出问题之一就是地方政府的权责关系不明晰，“谁主责、谁担责”的问题有时处于模糊状态。责任关系不明晰，即便促成了跨域协同治理活动，城市主体由于缺乏刚性约束，很容易在风险的治理参与、评估沟通、响应处置过程中产生侥幸、懈怠心理。对于愿意承担责任积极作为的主体而言，也难免会存在定位不明、把握不清的困惑。因此，城市跨域风险协同治理应当妥善配置权责关系，构建“发生地为主、波及地为辅”的责任框架。一要建立城市跨域风险治理责任体系，建立跨域风险治理的责任清单，明晰各主体单位在跨域合作、联合治理中的权责范围，实现重大跨域风险治理发生地牵头、波及地配合的组织模式。例如，《京津冀协同应对事故灾难工作纲要》将建立协同应急责任体系列为五大工作内容之一，指出要“以区域应急联动综合预案为指导，研究确定京津冀协同应对事故工作中各级政府、相关部门和单位、应急队伍的工作责任，联合编制区域协同应急责任清单”。二是明确城市主体在跨域风险治理中的责任追究制度。以制定法律或者签订协议的方式，明确责任追究的主体、程序和方式。对信息上报不及时、不完全，甚至刻意隐瞒和虚报风险信息，以及不积极参与跨域联合协作，响应不及时，应急处置不配合等行为，给予严厉的责任追究和处罚。

　　城市跨域风险协同治理的运行机制

　　城市跨域风险协同治理的总体顶层设计和模式体制，需要通过完善的运行机制设计来保障落实。当出现跨域风险时，没有任何一个城市能够独善其身，也没有哪个城市能够担负起单独应对风险的防控责任和能力。为此，需要通过各种制度或非制度性约束，鼓励各城市采取联合行动，维持稳定、持续和正式的合作关系。这需要重点处理好城市间三个方面的协同：一是目标协同。不同城市在经济发展水平、主政官员治理理念上存在着差异，这决定了他们参与跨域风险协同治理的目标偏好可能会不太一致，对跨域风险治理的效果也存在着差别化的需求。相比于风险波及地城市，风险发生地往往有着更高的目标追求。而目标的不同又会带来城市主体行为选择的差异。因此，需要对主体目标进行调和，尽可能达成趋同状态，兼顾各城市切实需求的同时，保证目标的可操作性。二是过程协同。风险治理一头连接着常态，一头连接着应急态。因此，风险治理除了要衔接好跨区域的风险排查、联合指挥、跨域救援等全流程防控和资源供应、信息沟通等全方位保障的协同外，还要妥善处理常态与风险态转换时的协同关系。一方面，保证日常演练、风险监测、预防与风险识别、处置的高效衔接，确保跨域风险出现后，城市政府能第一时间从常态管理转换到风险处置状态，迅速调配资源进行响应。另一方面，还需关注风险应对与应急处置的协同，做好跨域应急管理的准备，以在重特大跨域风险转变为跨域灾害后有充分的动员力、处置力。三是资源协同。主要是推进不同城市间应急物资、应急装备的协同，保证跨域资源供应体系完整、规范，在应急状态下能够迅速调配。

　　具体来说，城市跨域风险协同治理的运行机制设计，包括沟通机制、评估机制、利益机制、信任机制等方面。

　　首先，建立有效的沟通机制。在风险识别、风险分析与评估、风险处理以及风险监控这四个步骤中，自始至终都需要进行风险沟通。只有将风险的相关情况，包括风险来源、范围、特性、演变趋势等，传达给相关的人，包括导致风险的人、面临风险的人、需要进行风险治理的人，风险治理活动才有价值可言。跨域风险波及面广，涉及因素复杂，加上不同城市间的地理区位阻隔，信息的分布极为分散，各城市主体往往只掌握着本行政辖区范围内的风险状况，对整体风险情况缺乏判断，这会很大程度上限制风险治理后续活动的开展。因此，建立高效的沟通机制，是保障城市跨域风险治理良性运行的重要前提。一方面，依托统一信息平台，实现预警信息的常态化沟通。借助大数据、物联网、云计算、5G等新兴技术手段，搭建现代化跨域风险信息平台，实时监测、追踪并实时共享自然灾害、安全生产、事故灾难、社会安全等传统风险和新兴技术风险领域的风险源信息，保证跨域治理共同体能够在完整的信息链条下对风险的整体态势和演变情况进行科学的研判、评估，并提醒可能涉及的毗邻城市做好风险的预警预防和应对处置工作。另一方面，完善风险治理过程中的基础信息共享，实现城市基础信息的互联互通。风险是突发事件的萌芽状态，风险治理是应急管理活动的起点。各城市的跨域风险治理活动，除了做好一般性的风险处置活动，还要共同应对重特大跨域风险转变为跨域突发事件甚至跨域危机后的管理活动。因此，城市之间还需要就应急基础信息达成充分沟通，如及时共享城市人口总量与空间分布、应急物资储备、应急队伍规模、应急技术配备等情况，以便充分识别各城市的资源储备情况，明晰区域整体的应急储备短板，以更好地进行跨域风险的协同治理。

　　其次，构建合理的评估机制。跨域风险协同治理是一项长期工程，具有时间周期上的持续性和持久性，它不是一朝一夕就能完成的，也不是某一次风险治理活动就能终结的。因此，及时地发现问题，针对性地改进问题，为之后的城市跨域风险治理积累有益经验就极为重要。这需要依托合理的评估机制，对治理过程中的表现、治理绩效等进行评估。在评估主体上，需要综合性协调机构、跨域城市共同体、第三方机构共同参与，形成以学术机构、专业团队等第三方机构阶段性评估为主，综合性协调机构与跨域城市共同体定期自评为辅的评估体系。在评估内容上，一是针对风险治理活动的评估。还原风险治理情境，就应急预案、治理协议的有效程度，风险预防、评估、处置工作的及时程度，资源准备、信息交流的充分程度，风险应对效率情况等主要内容进行评估和改正，更新和完善风险治理模式与工作机制，推动城市风险治理工作更加有序地开展。二是面向各参与治理主体的评估。确定综合性协调机构在跨域风险治理中领导、指挥、协调行为的有效性情况，掌握不同城市在风险协同治理各个环节的相互配合情况，了解各城市主体参与跨域风险防控中的成本投入、工作成效和责任履行情况。在评估结果的运用上，要实施明确的奖惩结合方式，加大有效经验推广力度。

　　再次，建立清晰的利益机制。对于参与跨域风险治理的不同城市政府主体而言，首先需要调和、平衡的就是政府利益关系。建立利益机制是保障参与主体充分享受利益，实现利益分配最优化的重要渠道，它包括利益共享和利益补偿两个部分。其中，利益共享是跨域风险治理的前提，有效的利益共享有利于维系跨域风险治理活动的稳定性、持续性。但现实中，不同城市政府参与跨域风险治理的收益是不均等的。当跨域风险被成功化解，它很大程度上避免了风险转变为突发事件后的社会经济损失，这一潜在收益对风险发生城市体现的尤为直接和明显。而对于风险波及地城市而言，不仅获利十分受限，还不可避免地存在成本投入损耗问题，这种成本与收益之间的失衡很可能会破坏城市政府参与的积极性。利益补偿机制旨在化解这一问题，它通过调和参与者之间的利益冲突，保障主体间的利益关系，帮助跨域协同治理维系长远发展。然而，具体到城市跨域风险治理领域，相关的利益协调机制和资源补偿机制尚未成型。未来可尝试结合区域间共补和第三方激励两种渠道，丰富专项基金、资金补偿、专业人才培训、应急平台搭建等补偿方式，鼓励跨域城市共同体就跨域风险协同治理中的利益关系达成共识，努力实现区域共同利益的最大化。

　　最后，构建稳定的信任机制。在跨域风险协同治理过程中，各城市主体拥有平等且独立的治理权，缺乏来自治理体系和整体性治理理念对跨域协同的制度硬约束。基于此，寻求一种有效的、促进合作的软约束显得极为重要。信任机制是软约束体系的重要内容。信任的本质是承诺被兑现的程度，高水平的信任不仅能促进合作的生成，同时还能保持合作的灵活性与持续性，并降低合作成本。维系主体间的相互信任是达成城市区域内外安全合作的必要基础。为此，一方面，要积极打造跨域城市共同体自身的政府信誉，结成地区性信任联盟。大多数的城市政府在跨域风险协同治理中都面临着信息不对称和契约不完备难题，这增加了它们资源投入的风险以及跨域合作的监督成本。通过鼓励政府主动守信，并在跨域合作中结成信任联盟的方式，塑造城市良好的信誉形象，营造跨域间的互信文化。另一方面，要构建与信任机制相匹配的监督机制，纵向上强化综合性协调机构对跨域城市共同体守信情况的监督，横向上实现各城市主体相互之间的联合监督。在此基础上，增加城市政府违约失信的成本和代价，以帮助增强城市跨域风险治理共同体的守信意识和信念，促进信任关系的建立和维系。

　　（文图：赵筱尘 巫邓炎）