網(wǎng)絡(luò)安全信息共享，顧名思義就是政府把關(guān)于網(wǎng)絡(luò)安全的信息、情報、研判等分享給私營部門，同時私營部門將其受到威脅、攻擊等有關(guān)信息報告給政府，以及私營部門之間互相交流有助于網(wǎng)絡(luò)安全防護(hù)工作的信息。

　　我國《網(wǎng)絡(luò)安全法》第五十一條規(guī)定“國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度。國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息”。該條明確要求政府和私營之間應(yīng)當(dāng)建立起信息共享的機(jī)制。《網(wǎng)絡(luò)安全法》第二十九條提出，“國家支持網(wǎng)絡(luò)運(yùn)營者之間在網(wǎng)絡(luò)安全信息收集、分析、通報和應(yīng)急處置等方面進(jìn)行合作，提高網(wǎng)絡(luò)運(yùn)營者的安全保障能力”，表明國家應(yīng)當(dāng)鼓勵、支持私營部門之間的網(wǎng)絡(luò)安全信息共享合作。

　　美國被公認(rèn)為當(dāng)今世界網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)安全立法方面最為發(fā)達(dá)的國家，但近年來美國在網(wǎng)絡(luò)安全立法上一直停滯不前。在第111 屆國會期間（2009—2010年），共有涉及網(wǎng)絡(luò)安全的法案、決議案逾60件。在第112 屆（2011—2012年）和第113屆國會（2013—2014年）期間均有逾40件法案、決議案。但直到第113屆國會最后時刻，國會才通過四項法案。這也是自頂著“互聯(lián)網(wǎng)總統(tǒng)”稱號的奧巴馬2009年就任以來，美國國會首次就網(wǎng)絡(luò)安全通過了法案。

　　即便如此，事實表明，自2002年通過《聯(lián)邦信息安全管理法》以來，美國沒有通過任何重要的綜合性網(wǎng)絡(luò)安全立法。2014年年末通過的四項法案也僅是對已有法律的修正案或者是就人員和機(jī)構(gòu)等局部事項作出規(guī)定。

　　美國政府和國會網(wǎng)絡(luò)安全綜合性立法的重點(diǎn)放在促進(jìn)網(wǎng)絡(luò)安全信息共享，以及建立個人數(shù)據(jù)泄露竊取事件的強(qiáng)制披露機(jī)制。原因是在美國，90%的關(guān)鍵基礎(chǔ)設(shè)施為私人所有，美國法律又將這些私有關(guān)鍵基礎(chǔ)設(shè)施的安全防護(hù)責(zé)任放在設(shè)施所有人身上，而非政府。因此，美國政府增強(qiáng)基礎(chǔ)設(shè)施安全的最主要手段就是通過促進(jìn)政府部門和私人部門之間的公私合作，實現(xiàn)網(wǎng)絡(luò)威脅的“群防群治”，同時借由事件強(qiáng)制公開，督促私人部門改進(jìn)網(wǎng)絡(luò)安全措施。這兩個方面中，網(wǎng)絡(luò)安全的信息共享是公認(rèn)的重中之重。

　　信息共享意味著什么——安全防護(hù)理念的變化

　　在過去，大多數(shù)的組織機(jī)構(gòu)對于維護(hù)自身的網(wǎng)絡(luò)安全，抱著這樣一種思維定勢：“各家自掃門前雪，莫管他人瓦上霜”。與“高筑城墻，深挖護(hù)城河”相配合，組織機(jī)構(gòu)的信息系統(tǒng)與其他組織機(jī)構(gòu)的連接通道越少越好；信息系統(tǒng)的技術(shù)細(xì)節(jié)和安全防控布局要嚴(yán)格保密；一旦發(fā)生網(wǎng)絡(luò)安全事件，必須嚴(yán)格控制分析、處置等信息的擴(kuò)散范圍，越少人知道越好，更別提對外透露了。

　　許多組織機(jī)構(gòu)滿足于通過此種孤立的自我防御（即最大程度的“隔離”和“藏著、掖著”）的方式來追求信息系統(tǒng)安全。但這樣的方式也導(dǎo)致了組織機(jī)構(gòu)在開展安全防護(hù)工作時，只能依靠自己——極其局限的信息和情報、有限的人力和知識儲備，因而無法有效應(yīng)對網(wǎng)絡(luò)攻擊。

　　首先，孤立的自我防御導(dǎo)致的局限性，體現(xiàn)在防御和處置網(wǎng)絡(luò)攻擊、發(fā)現(xiàn)安全漏洞等方面。借用“殺傷鏈”模型，網(wǎng)絡(luò)攻擊可大致劃分為七個階段：偵查跟蹤（reconnaissance）、武器構(gòu)建（weaponization）、載荷投遞（delivery）、突防利用（exploitation）、安裝植入（installation）、通信控制（command and control）、達(dá)成目標(biāo)（actions on objective）。

　　真正的安全防范能力應(yīng)該覆蓋攻擊者的每個階段，安全信息共享可以讓防御方在更早的階段介入到防范工作中。例如，在實踐中，許多網(wǎng)絡(luò)攻擊者對大量目標(biāo)采用了相似的攻擊工具和手法（即“殺傷鏈”前三階段），因此通過共享網(wǎng)絡(luò)安全信息，就能有效地分析、歸納得出關(guān)于攻擊者、攻擊工具和手法的信息和情報，從而為防御方在盡可能早的階段地阻斷“殺傷鏈”提供先機(jī)。

　　而孤立的自我防御下，由于掌握的信息和情報十分有限，組織機(jī)構(gòu)往往只能在突防利用及之后的階段，才具備檢測、防御的技術(shù)手段和能力。顯然，孤立的自我防御導(dǎo)致了防護(hù)工作的被動。

　　其次，孤立的自我防御導(dǎo)致的局限性，還體現(xiàn)在開展安全規(guī)劃、部署等方面。缺乏相互溝通、相互借鑒，安全人員能看見、能分析的對象，只能是自家的系統(tǒng)，無法從其他組織機(jī)構(gòu)經(jīng)歷的安全事件中獲得寶貴經(jīng)驗，包括那些安全事件中涉及的漏洞、被攻破的系統(tǒng)的安全部署方案及采用的具體安全措施和產(chǎn)品、能夠抵御攻擊的安全措施等等。安全人員僅能從“小樣本”中學(xué)習(xí)、改進(jìn)。缺少從“大樣本”中提煉出來的安全信息、情報、知識，安全人員無法準(zhǔn)確評估哪些工具、技術(shù)、做法在應(yīng)對特定威脅時最為有效。

　　極其有限、單薄、碎片的信息和情報，讓組織機(jī)構(gòu)的安全人員在決定購買、部署安全措施和產(chǎn)品時，只能依靠泛泛的一般性建議和教科書上通行的做法，甚至于道聽途說和直覺，很大程度上困于“盲人摸象”的局面。

　　再次，孤立的自我防御無法應(yīng)對快速變化的網(wǎng)絡(luò)安全形勢。一方面，網(wǎng)絡(luò)和信息系統(tǒng)之間相互依賴程度不斷，在這樣不可逆轉(zhuǎn)的趨勢下，單個組織機(jī)構(gòu)的安全越來越取決于其他與之相連的組織機(jī)構(gòu)的安全，缺乏協(xié)同的防御效果難以令人滿意。

　　另一方面，近年來，網(wǎng)絡(luò)攻守平衡逐漸被打破，攻擊方的能力有大幅上升，例如分布式攻擊（僵尸網(wǎng)絡(luò)、DDoS）日益數(shù)量猖獗、漏洞黑市交易漸成規(guī)模、惡意軟件和網(wǎng)絡(luò)武器越來越復(fù)雜、網(wǎng)絡(luò)犯罪組織化程度提高等。許多攻擊必須在綜合來自多方的信息后，才能被發(fā)現(xiàn)。因此，任何組織機(jī)構(gòu)靠一己之力，已經(jīng)無法對抗攻擊。

　　從孤立式的安全到協(xié)同式的安全（collaborative security）

　　協(xié)同式的安全，本質(zhì)上是要匯集眾智，以指導(dǎo)組織機(jī)構(gòu)的每個安全決策和行為。因此，與孤立式的自我防御最大的不同，在于協(xié)同式安全非常注重對外的溝通和合作。如下圖所示，組織機(jī)構(gòu)內(nèi)部除了監(jiān)控自身網(wǎng)絡(luò)、系統(tǒng)的部門，以及做出安全決策的部門之外，還專門設(shè)立合作部門開展對外的溝通合作。

　　圖片

　　合作式安全基本示意圖[1]

　　合作部門一方面把自身系統(tǒng)產(chǎn)生的安全信息和情報，與合作伙伴共享，另一方面源源不斷地將從外界得到的安全信息和情報，提供給決策部門參考、借鑒。

　　形成與外界制度化的信息溝通渠道、網(wǎng)絡(luò)，能夠給組織機(jī)構(gòu)的安全防護(hù)帶來什么樣的好處？2016年10月，美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）發(fā)布了《網(wǎng)絡(luò)威脅信息共享指南》（編號：NIST SP 800-150）[2]，以向社會征求意見。在《指南》中，NIST指出安全信息共享能夠：

　　共享情景感知（Shared Situational Awareness）：信息共享能夠有效動員、發(fā)揮共享伙伴們集體的知識、經(jīng)驗、分析能力，因而能夠增強(qiáng)所有組織機(jī)構(gòu)的防御能力。共享網(wǎng)絡(luò)中的每一成員能受益于其他成員的知識和經(jīng)驗。每一成員對共享網(wǎng)絡(luò)的一點(diǎn)貢獻(xiàn)，都可以提高整個共享網(wǎng)絡(luò)對情景的感知和安全水平。

　　增強(qiáng)對威脅的認(rèn)知（Enhanced Threat Understanding）：通過共享威脅情報，組織機(jī)構(gòu)能獲得對威脅環(huán)境更加完整的認(rèn)識，從而能夠根據(jù)威脅環(huán)境的實時變化，有針對性地設(shè)計和部署安全措施、檢測方式等。

　　提升知識成熟（Knowledge Maturation）：通過共享和分析，原本看似互不相關(guān)的信息和觀測能相互關(guān)聯(lián)，并在此基礎(chǔ)上構(gòu)建針對特定時間和威脅的指標(biāo)，同時對指標(biāo)之間的關(guān)系取得更深的認(rèn)識。

　　提高防守靈敏度（Greater Defensive Agility）：攻擊方持續(xù)根據(jù)防守方的保護(hù)和檢測方式，來修正攻擊的手段、技術(shù)、過程（Tactics, Techniques, and Procedures, TTP）。通過信息共享，組織機(jī)構(gòu)能獲得對攻擊方TTPs的快速偵測、應(yīng)對，使防御從被動變?yōu)橹鲃印?/p>

　　改進(jìn)安全決策（Improved Decision Making）：通過信息共享，組織機(jī)構(gòu)對安全態(tài)勢獲得了更完整、全面的認(rèn)識。在做出安全決策時，更加高效，也更加自信。

　　對單個組織機(jī)構(gòu)來說，參與安全信息共享，能對攻擊者有更多、更深的了解，縮短對網(wǎng)絡(luò)攻擊的反應(yīng)時間；能夠效仿別的組織機(jī)構(gòu)部署的行之有效的安全措施，提高總體安全水平。[3]

　　美國學(xué)者的一項研究還表明，參與安全信息共享的組織機(jī)構(gòu)，只需更少的投入，就能取得與沒有參與信息共享的組織機(jī)構(gòu)相同的安全水平。[4]原因正是，安全信息共享能夠讓組織機(jī)構(gòu)聰明地做出投資決定，事半功倍。另一項針對金融機(jī)構(gòu)的研究表明，隨著系統(tǒng)之間相互依存程度的上升，安全信息共享能帶來的好處就更多；同時，共享得越多，對安全的投資就越高效。[5]

　　事實上，除了提高組織機(jī)構(gòu)安全水平，信息共享還能推動網(wǎng)絡(luò)安全市場的健康發(fā)展。在著名經(jīng)濟(jì)學(xué)家阿克洛夫（George Akerlof）提出的“酸檸檬市場”中，顯著的信息不對稱，導(dǎo)致一方面買方難以分清商品的真正價值和好壞，另一方面賣方可以“安全”地夸大商品質(zhì)量。此時，買方只愿意通過市場上的平均價格來判斷商品的平均質(zhì)量，因此也只愿意付出平均價格。由于商品有好有壞，買方只愿意付出平均價格，就會使提供好商品的吃虧，提供壞商品的得益。于是好商品便會逐步退出市場。由于平均質(zhì)量下降，導(dǎo)致平均價格進(jìn)一步下降，真實價值處于平均價格以上的商品也逐漸退出市場。最后，“酸檸檬市場”就只剩下壞商品。

　　在很大程度上，網(wǎng)絡(luò)安全市場中買賣雙方間恰恰存在嚴(yán)重的信息不對稱。例如，信息系統(tǒng)和網(wǎng)絡(luò)沒有發(fā)生安全事件，很多時候我們很難分清到底是購買的安全產(chǎn)品和服務(wù)確實有效，還是因為沒有被厲害的黑客盯上。缺乏安全信息共享，導(dǎo)致購買安全產(chǎn)品和服務(wù)的一方因“樣本”信息過少，而無法準(zhǔn)確地評估功效。網(wǎng)絡(luò)安全市場中的信息不對稱得不到糾正，就很會導(dǎo)致“劣幣驅(qū)逐良幣”的現(xiàn)象，進(jìn)而加劇買方對賣方的不信任。購買意愿降低，市場就會進(jìn)一步萎縮，創(chuàng)新進(jìn)步也就無從談起。

　　對政府主管部門來說，組織機(jī)構(gòu)間更大程度的安全信息共享，意味著有更多的安全信息和數(shù)據(jù)被“生產(chǎn)”出來，并開始流通。安全大數(shù)據(jù)得以成為可能。主管部門能借此在宏觀層面，更全面地掌握威脅和安全防護(hù)方面的全局性情況，分析出未來可能的發(fā)展趨勢，為在國家層面制定戰(zhàn)略和行動計劃、開展專項行動，有針對性地協(xié)調(diào)各部門、各行業(yè)進(jìn)行防護(hù)工作等打下堅實的基礎(chǔ)。

　　另一方面，主管部門參與到安全信息共享中去，把自己掌握的情況通過共享網(wǎng)絡(luò)做到快速、廣泛發(fā)布，通過信息共享，達(dá)到調(diào)動、協(xié)調(diào)全社會實現(xiàn)實時的群防群治，提高網(wǎng)絡(luò)安全治理的效果。

　　共享哪些安全信息

　　每一類的信息都具有潛在的用途。例如有些信息能夠幫助政府主管部門或者組織機(jī)構(gòu)評估所處的威脅環(huán)境，包括攻擊者都有哪些、他們的規(guī)模和組織化程度、感興趣的目標(biāo)、希望達(dá)到的目的等。通過信息共享，綜合大量的案例，并加以分析和跟蹤，形成對攻擊者行為模式、攻擊成本的描述，最終形成攻擊組織的畫像（Profiling）。

　　有些信息經(jīng)過共享、綜合，則能夠幫助組織機(jī)構(gòu)重構(gòu)單條殺傷鏈，分析攻擊工具、攻擊手法、攻擊來源、攻擊目標(biāo)等特征。還有一些信息提供了應(yīng)對某類威脅或攻擊的指南。共享這類信息能夠使組織機(jī)構(gòu)相互借鑒，提高安全防護(hù)水平。

　　2015年年初，美國微軟公司發(fā)布《網(wǎng)絡(luò)安全信息共享和風(fēng)險降低框架》（A framework for cybersecurity information sharing and risk reduction）[6]。在《框架》中，可供共享的網(wǎng)絡(luò)安全信息可分做以下7類：

　　安全事件信息（incidents）：關(guān)于成功的或未遂的網(wǎng)絡(luò)攻擊的細(xì)節(jié)信息，具體包括丟失的信息、攻擊中使用的技術(shù)、攻擊意圖、造成的影響等。安全事件所囊括的范圍從一次被成功封阻的攻擊，到造成嚴(yán)重國家安全危機(jī)的攻擊。

　　威脅信息（threats）：包括尚未認(rèn)識清楚但可導(dǎo)致潛在嚴(yán)重影響的事項；感染指標(biāo)（Indicators of Compromise, IoC），如惡意文件、被竊取的電子郵箱地址、受影響的IP地址、惡意代碼樣本；關(guān)于威脅行為者（threat actors）的信息。該類信息有助于發(fā)現(xiàn)安全事件，從攻擊中吸取教訓(xùn)，創(chuàng)造解決方案等。

　　漏洞信息（vulnerabilities）：軟件、硬件、商業(yè)流程中可被惡意利用的漏洞。

　　緩解措施信息（mitigations）：包括修補(bǔ)漏洞、封阻或遏制威脅、安全事件響應(yīng)和恢復(fù)的方法。此類信息一般以漏洞補(bǔ)丁、殺毒軟件升級、從網(wǎng)絡(luò)中清除惡意行為者的方向等形式存在。

　　情景感知信息（Situational awareness）：此類信息包括對被利用漏洞、活躍的威脅、攻擊的實時遙測，還包括攻擊目標(biāo)、網(wǎng)絡(luò)狀況等信息，能夠幫助決策人員響應(yīng)安全事件。

　　最佳做法信息（Best practices）：關(guān)于安全產(chǎn)品和服務(wù)的開發(fā)和部署的信息，包括安全控制、時間響應(yīng)流程、軟件漏洞修補(bǔ)等。

　　戰(zhàn)略分析信息（Strategicanalysis）：綜合、提煉、分析來自各方面的信息，以構(gòu)建度量體系、描繪趨勢、開展預(yù)測，幫助政府和私營部門決策者為未來的風(fēng)險提前做準(zhǔn)備。

　　安全信息共享網(wǎng)絡(luò)的基本模式

　　《網(wǎng)絡(luò)威脅信息共享指南》給出了安全信息共享網(wǎng)絡(luò)的三種基本結(jié)構(gòu)：集中式（centralized）、同儕式（peer to peer）、混合式（hybrid）。[7]

　　圖片

　　在集中式下，中心從端點(diǎn)接收安全信息，經(jīng)過綜合、分析后，再將結(jié)果傳回端點(diǎn)。一般來說，集中式的中心需要具備強(qiáng)大的信息存儲、處理、加工、分析能力，才能滿足信息共享網(wǎng)絡(luò)的不斷變化的需求。該模式的缺點(diǎn)是，整個信息共享網(wǎng)絡(luò)依賴于中心作為安全信息交換樞紐，如果該中心發(fā)生信息處理延遲，甚至于遭遇安全事件，則整個信息共享網(wǎng)絡(luò)的功能就會大打折扣，并有可能完全癱瘓。

　　在同儕模式下，每個端點(diǎn)自主向其他端點(diǎn)推送網(wǎng)絡(luò)安全信息，或直接向整個信息共享網(wǎng)絡(luò)廣播。由于不存在一個信息交換中心，因此同儕模式對各個端點(diǎn)的安全信息接收、分析能力提出了較高的要求。

　　混合式則綜合了集中式和同儕式。每個端點(diǎn)向中心發(fā)送安全信息的同時，端點(diǎn)和端點(diǎn)之間也建立直接的信息共享渠道。

　　構(gòu)建安全信息共享網(wǎng)絡(luò)的另一個基礎(chǔ)性問題是自動化分享模式和人工共享模式的選擇。人工共享模式下，組織機(jī)構(gòu)指派專人負(fù)責(zé)安全信息的發(fā)送和接收、分析工作。該模式的缺點(diǎn)在于人的因素構(gòu)成了信息共享網(wǎng)絡(luò)的瓶頸，如人為導(dǎo)致的錯誤，無法勝任實時、持續(xù)性、高強(qiáng)度的信息發(fā)送、接收、安全配置更新工作等。

　　自動化共享模式則強(qiáng)制要求信息共享網(wǎng)絡(luò)的各個端點(diǎn)采用統(tǒng)一的信息傳輸格式，安裝用于收集安全信息的傳感器，能夠接收預(yù)警信息的監(jiān)控系統(tǒng)，以及避免敏感安全信息泄露的安全機(jī)制。自動化共享模式克服因人的因素造成的局限，但其高度的自動化卻也導(dǎo)致遭受網(wǎng)絡(luò)攻擊的風(fēng)險。

　　消除妨礙安全信息共享網(wǎng)絡(luò)運(yùn)行的三大障礙

　　上文介紹了協(xié)同式安全理念的興起、安全信息共享帶來的好處、共享的安全信息的分類，以及共享網(wǎng)絡(luò)的基本結(jié)構(gòu)和信息傳遞方式等，主要屬于一種抽象式、理論化的描述。

　　現(xiàn)在讓我們進(jìn)入到紛繁復(fù)雜的現(xiàn)實中去，探究如何建立一個有實效、可持續(xù)、有序的安全信息共享機(jī)制。從紙面上的設(shè)計，映射到現(xiàn)實中的制度建設(shè)，再到運(yùn)行流程的信息共享網(wǎng)絡(luò)，主要是消除三大運(yùn)行中的障礙。

　　障礙之一：成員的發(fā)現(xiàn)能力

　　顯然，不能發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，后續(xù)的分析和共享也就無從談起。如果信息共享網(wǎng)絡(luò)中的成員發(fā)現(xiàn)安全事件的能力高低差距明顯，將會直接導(dǎo)致大部分共享的信息，主要由發(fā)現(xiàn)能力強(qiáng)的成員單方面提供。長此以往，信息共享網(wǎng)絡(luò)的價值和可持續(xù)性將大打折扣。因此，在建立信息共享網(wǎng)絡(luò)中，往往要對入網(wǎng)的成員提出具備一定安全事件發(fā)現(xiàn)能力的要求。

　　光具備發(fā)現(xiàn)安全事件的能力還不夠。如果有成員考慮到共享的成本、風(fēng)險等原因，刻意隱瞞發(fā)現(xiàn)的安全事件，不將有關(guān)信息共享出來，“搭便車”的問題還是沒法解決。因此，信息共享網(wǎng)絡(luò)還需要采取一定的措施，或是通過激勵（incentives），或是通過強(qiáng)制（mandates）手段[8]，解決這個問題。

　　障礙之二：成員的分析能力

　　如果信息共享網(wǎng)絡(luò)中的成員僅僅是把與安全事件有關(guān)的各種信息全部共享出去，而未加任何分析，顯然會造成整個共享網(wǎng)絡(luò)信息過剩的問題。面對大量的“雜音”，信息接收方需要自己開展過濾、分析，工作量大幅增加的同時，“收獲”卻寥寥無幾。這樣的信息共享網(wǎng)絡(luò)終將不可持續(xù)。因此，許多信息共享網(wǎng)絡(luò)會要求成員應(yīng)該首先對安全事件作出分析；有些信息共享網(wǎng)絡(luò)還專門列出指導(dǎo)分析安全事件的幾類問題：

　　安全措施的影響

　　系統(tǒng)發(fā)生安全事件時使用了哪些安全措施，為什么這些措施不足以防御威脅入侵？

　　哪些安全措施可能能夠防御此次威脅入侵？

　　安全事件發(fā)生后，系統(tǒng)對安全部署和防御做了哪些調(diào)整？

　　入侵發(fā)生的根本原因及第三方因素

　　系統(tǒng)的軟、硬件、服務(wù)中的哪些因素（例如配置或漏洞）使得入侵得以成功？

　　是否有第三方的因素使得入侵得以成功？

　　安全事件造成的損失及后續(xù)清理

　　安全事件造成了什么損失（金錢、信息泄露、服務(wù)中斷等）？

　　采用了何種止損措施？

　　需要指出的是，并不是說對所有這些問題分析的結(jié)果都要共享出去。因為對其中很多問題的回答，往往包含了成員的商業(yè)秘密或者其他私有信息。列出這些問題的意義在于，發(fā)生安全事件后，成員應(yīng)當(dāng)試圖從這些方面做出分析、得到初步答案后，再將部分結(jié)論共享給其他成員。至于哪些信息需要共享、哪些信息可以保留，主要根據(jù)信息共享網(wǎng)絡(luò)的目的，以及信息共享網(wǎng)絡(luò)成員間的相互約定。

　　障礙之三：共享的風(fēng)險

　　共享網(wǎng)絡(luò)安全信息，一定程度上是向外界透露關(guān)于組織的安全信息，存在各種風(fēng)險。舉例說明如下：

　　聲譽(yù)和經(jīng)濟(jì)受損的風(fēng)險：遭到黑客攻擊，本來就是不光彩的事。防住了還好，沒防住還要將有關(guān)情況共享出來，好比是家丑外揚(yáng)。如果這些信息泄露到信息共享網(wǎng)絡(luò)之外，全社會都知道了，組織機(jī)構(gòu)的聲譽(yù)將受重大損失，還可能造成股價的下跌；

　　被起訴或被主管部門問責(zé)處罰的風(fēng)險：被外界知道沒能防住黑客攻擊，造成經(jīng)濟(jì)損失或者信息泄露，有可能被有關(guān)權(quán)利人起訴；

　　泄露內(nèi)部安全部署的風(fēng)險：別有用心的人可以從共享出去的網(wǎng)絡(luò)安全信息中逆向推導(dǎo)，借此掌握組織機(jī)構(gòu)的內(nèi)部安全機(jī)制和部署；

　　泄露知識產(chǎn)權(quán)和商業(yè)信息的風(fēng)險：共享出去的網(wǎng)絡(luò)安全信息中有可能包含組織機(jī)構(gòu)的商業(yè)秘密、知識產(chǎn)權(quán)等信息；

　　違背顧客、用戶的隱私保護(hù)的風(fēng)險：網(wǎng)絡(luò)安全信息中如果包含組織機(jī)構(gòu)掌握的顧客、用戶的個人身份信息、通訊信息等，共享出去可能會導(dǎo)致顧客、用戶認(rèn)為組織機(jī)構(gòu)違背信息保護(hù)約定，侵犯了他們的隱私。

　　與政府主管部門共享信息存在風(fēng)險：首先，政府主管部門可能因組織機(jī)構(gòu)沒有盡到安全保護(hù)義務(wù)而問責(zé)或處罰；其次，顧客、用戶不愿意政府部門掌握其信息；再次，共享到政府的信息可能受到政府信息公開要求的約束，向社會公開。

　　違反有關(guān)法律規(guī)定的風(fēng)險：例如《反壟斷法》規(guī)定“經(jīng)營者達(dá)成壟斷協(xié)議”，組織機(jī)構(gòu)共享網(wǎng)絡(luò)安全信息的行為，有可能被當(dāng)成壟斷行為，引來反壟斷機(jī)構(gòu)的調(diào)查。

　　安全信息被二次使用的風(fēng)險：安全信息一旦共享出去，就離開了組織機(jī)構(gòu)的掌控；獲得信息的一方會如何使用這些信息無從保證；競爭對手會如何使用這些信息更難以防范。

　　信息真實性存疑的風(fēng)險：組織機(jī)構(gòu)可能擔(dān)心，即便自身克服這些風(fēng)險，與其他方面共享了網(wǎng)絡(luò)安全信息，別的組織機(jī)構(gòu)會這么做嗎？它們會不會故意提供錯誤的信息？

　　國家秘密泄露風(fēng)險：政府向組織機(jī)構(gòu)共享其掌握的網(wǎng)絡(luò)安全信息，如果信息擴(kuò)散范圍失控，則有可能導(dǎo)致國家安全風(fēng)險。

　　這些客觀存在的法律、聲譽(yù)、經(jīng)營方面的風(fēng)險，在很大程度上導(dǎo)致了組織機(jī)構(gòu)（或政府部門）更愿意對安全事件的信息藏著、捂著，因此阻礙了網(wǎng)絡(luò)安全信息的共享。

　　現(xiàn)實運(yùn)行中的安全信息共享網(wǎng)絡(luò)如何克服障礙

　　歸納實踐，我們大致可以看到有四類信息共享網(wǎng)絡(luò)：成員驅(qū)動型、數(shù)據(jù)驅(qū)動型、事件驅(qū)動型、風(fēng)險驅(qū)動型。

　　成員驅(qū)動型：例如美國覆蓋重要行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施部門的信息共享與分析中心（ISAC），包括金融服務(wù)、通信、電力、應(yīng)急服務(wù)行業(yè)、醫(yī)療和公共衛(wèi)生、信息技術(shù)、海事、公共交通、教育、供應(yīng)鏈、運(yùn)輸、水利以及房地產(chǎn)等。每個ISAC的成員主要來自于同一個行業(yè)。

　　數(shù)據(jù)驅(qū)動型：例如采用統(tǒng)一的傳輸格式或工具自動共享網(wǎng)絡(luò)安全信息的網(wǎng)絡(luò)。其中類型的典型是由美國電力行業(yè)的信息共享與分析中心（ES-ISAC）運(yùn)營的網(wǎng)絡(luò)風(fēng)險信息共享計劃（Cybersecurity Risk Information Sharing Program, CRISP）。在該計劃中，ES-ISAC幫助參與成員在各自網(wǎng)絡(luò)中安裝傳感器。傳感器自動將加密后的數(shù)據(jù)傳輸?shù)矫绹茉床肯聦俚奶窖笪鞅眹覍嶒炇遥≒acific Northwest NationalLaboratory, PNNL）。PNNL在對數(shù)據(jù)開展分析后，對參與ES-ISAC的成員發(fā)出預(yù)警，分享緩解措施。

　　在這個例子中，ES-ISAC幫助參與成員安裝統(tǒng)一的傳感器，這樣就首先保證了各成員大致具有相似的安全事件發(fā)現(xiàn)能力；其次，所有數(shù)據(jù)均由美國能源部下屬的太平洋西北國家實驗室來統(tǒng)一分析，也就克服了成員分析能力不同的障礙；同時，ES-ISAC采用的是集中式的信息共享網(wǎng)絡(luò)，且由政府部門下屬的實驗室作為網(wǎng)絡(luò)的中心，中心對信息進(jìn)行了“脫敏”處理，能在很大程度上避免遭遇安全事件的成員面臨聲譽(yù)和經(jīng)濟(jì)受損、泄露內(nèi)部安全部署等風(fēng)險。

　　事件驅(qū)動型：該類型的信息共享網(wǎng)絡(luò)主要為解決特定的事項或問題而建立。網(wǎng)絡(luò)中各成員的共同點(diǎn)在于都面臨同樣的問題。例如為解決千年蟲問題而組成的信息共享網(wǎng)絡(luò)。

　　此類型的信息共享網(wǎng)絡(luò)僅僅關(guān)注單一議題或問題，成員大小不一，所處行業(yè)各異，且組織較為松散，因此對成員的發(fā)現(xiàn)和分析能力要求不高，網(wǎng)絡(luò)中共享的信息范圍有限（主要圍繞特定的事項或問題）。這些特征造成信息共享網(wǎng)絡(luò)面臨的障礙不大，另一方面也決定了此類信息共享網(wǎng)絡(luò)發(fā)揮的作用比較有限。

　　風(fēng)險驅(qū)動型：該類型信息共享網(wǎng)絡(luò)圍繞著特定系統(tǒng)或生態(tài)的安全研究而建立。共享網(wǎng)絡(luò)中的成員來自與特定系統(tǒng)或生態(tài)相關(guān)。例如專門為智能汽車的聯(lián)網(wǎng)安全而建立的信息共享網(wǎng)絡(luò)，網(wǎng)絡(luò)中成員可來自與智能汽車相關(guān)的方方面面。

　　與事件驅(qū)動型信息共享網(wǎng)絡(luò)類似，此類型信息共享網(wǎng)絡(luò)面臨的信息共享障礙不大，各成員之間分享某一系統(tǒng)或生態(tài)的漏洞、攻擊方式等，共享的信息比較單一。其中涉及的主要風(fēng)險是共享的信息可能泄露知識產(chǎn)權(quán)和商業(yè)信息，主動分享的組織機(jī)構(gòu)可通過進(jìn)一步自我審查，就可以很大程度上避免該風(fēng)險。（完）