網(wǎng)絡(luò)安全信息共享，顧名思義就是政府把關(guān)于網(wǎng)絡(luò)安全的信息、情報(bào)、研判等分享給私營(yíng)部門，同時(shí)私營(yíng)部門將其受到威脅、攻擊等有關(guān)信息報(bào)告給政府，以及私營(yíng)部門之間互相交流有助于網(wǎng)絡(luò)安全防護(hù)工作的信息。

　　我國(guó)《網(wǎng)絡(luò)安全法》第五十一條規(guī)定“國(guó)家建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度。國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報(bào)工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息”。該條明確要求政府和私營(yíng)之間應(yīng)當(dāng)建立起信息共享的機(jī)制?！毒W(wǎng)絡(luò)安全法》第二十九條提出，“國(guó)家支持網(wǎng)絡(luò)運(yùn)營(yíng)者之間在網(wǎng)絡(luò)安全信息收集、分析、通報(bào)和應(yīng)急處置等方面進(jìn)行合作，提高網(wǎng)絡(luò)運(yùn)營(yíng)者的安全保障能力”，表明國(guó)家應(yīng)當(dāng)鼓勵(lì)、支持私營(yíng)部門之間的網(wǎng)絡(luò)安全信息共享合作。

　　美國(guó)被公認(rèn)為當(dāng)今世界網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)安全立法方面最為發(fā)達(dá)的國(guó)家，但近年來(lái)美國(guó)在網(wǎng)絡(luò)安全立法上一直停滯不前。在第111 屆國(guó)會(huì)期間（2009—2010年），共有涉及網(wǎng)絡(luò)安全的法案、決議案逾60件。在第112 屆（2011—2012年）和第113屆國(guó)會(huì)（2013—2014年）期間均有逾40件法案、決議案。但直到第113屆國(guó)會(huì)最后時(shí)刻，國(guó)會(huì)才通過(guò)四項(xiàng)法案。這也是自頂著“互聯(lián)網(wǎng)總統(tǒng)”稱號(hào)的奧巴馬2009年就任以來(lái)，美國(guó)國(guó)會(huì)首次就網(wǎng)絡(luò)安全通過(guò)了法案。

　　即便如此，事實(shí)表明，自2002年通過(guò)《聯(lián)邦信息安全管理法》以來(lái)，美國(guó)沒(méi)有通過(guò)任何重要的綜合性網(wǎng)絡(luò)安全立法。2014年年末通過(guò)的四項(xiàng)法案也僅是對(duì)已有法律的修正案或者是就人員和機(jī)構(gòu)等局部事項(xiàng)作出規(guī)定。

　　美國(guó)政府和國(guó)會(huì)網(wǎng)絡(luò)安全綜合性立法的重點(diǎn)放在促進(jìn)網(wǎng)絡(luò)安全信息共享，以及建立個(gè)人數(shù)據(jù)泄露竊取事件的強(qiáng)制披露機(jī)制。原因是在美國(guó)，90%的關(guān)鍵基礎(chǔ)設(shè)施為私人所有，美國(guó)法律又將這些私有關(guān)鍵基礎(chǔ)設(shè)施的安全防護(hù)責(zé)任放在設(shè)施所有人身上，而非政府。因此，美國(guó)政府增強(qiáng)基礎(chǔ)設(shè)施安全的最主要手段就是通過(guò)促進(jìn)政府部門和私人部門之間的公私合作，實(shí)現(xiàn)網(wǎng)絡(luò)威脅的“群防群治”，同時(shí)借由事件強(qiáng)制公開(kāi)，督促私人部門改進(jìn)網(wǎng)絡(luò)安全措施。這兩個(gè)方面中，網(wǎng)絡(luò)安全的信息共享是公認(rèn)的重中之重。

　　信息共享意味著什么——安全防護(hù)理念的變化

　　在過(guò)去，大多數(shù)的組織機(jī)構(gòu)對(duì)于維護(hù)自身的網(wǎng)絡(luò)安全，抱著這樣一種思維定勢(shì)：“各家自掃門前雪，莫管他人瓦上霜”。與“高筑城墻，深挖護(hù)城河”相配合，組織機(jī)構(gòu)的信息系統(tǒng)與其他組織機(jī)構(gòu)的連接通道越少越好；信息系統(tǒng)的技術(shù)細(xì)節(jié)和安全防控布局要嚴(yán)格保密；一旦發(fā)生網(wǎng)絡(luò)安全事件，必須嚴(yán)格控制分析、處置等信息的擴(kuò)散范圍，越少人知道越好，更別提對(duì)外透露了。

　　許多組織機(jī)構(gòu)滿足于通過(guò)此種孤立的自我防御（即最大程度的“隔離”和“藏著、掖著”）的方式來(lái)追求信息系統(tǒng)安全。但這樣的方式也導(dǎo)致了組織機(jī)構(gòu)在開(kāi)展安全防護(hù)工作時(shí)，只能依靠自己——極其局限的信息和情報(bào)、有限的人力和知識(shí)儲(chǔ)備，因而無(wú)法有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

　　首先，孤立的自我防御導(dǎo)致的局限性，體現(xiàn)在防御和處置網(wǎng)絡(luò)攻擊、發(fā)現(xiàn)安全漏洞等方面。借用“殺傷鏈”模型，網(wǎng)絡(luò)攻擊可大致劃分為七個(gè)階段：偵查跟蹤（reconnaissance）、武器構(gòu)建（weaponization）、載荷投遞（delivery）、突防利用（exploitation）、安裝植入（installation）、通信控制（command and control）、達(dá)成目標(biāo)（actions on objective）。

　　真正的安全防范能力應(yīng)該覆蓋攻擊者的每個(gè)階段，安全信息共享可以讓防御方在更早的階段介入到防范工作中。例如，在實(shí)踐中，許多網(wǎng)絡(luò)攻擊者對(duì)大量目標(biāo)采用了相似的攻擊工具和手法（即“殺傷鏈”前三階段），因此通過(guò)共享網(wǎng)絡(luò)安全信息，就能有效地分析、歸納得出關(guān)于攻擊者、攻擊工具和手法的信息和情報(bào)，從而為防御方在盡可能早的階段地阻斷“殺傷鏈”提供先機(jī)。

　　而孤立的自我防御下，由于掌握的信息和情報(bào)十分有限，組織機(jī)構(gòu)往往只能在突防利用及之后的階段，才具備檢測(cè)、防御的技術(shù)手段和能力。顯然，孤立的自我防御導(dǎo)致了防護(hù)工作的被動(dòng)。

　　其次，孤立的自我防御導(dǎo)致的局限性，還體現(xiàn)在開(kāi)展安全規(guī)劃、部署等方面。缺乏相互溝通、相互借鑒，安全人員能看見(jiàn)、能分析的對(duì)象，只能是自家的系統(tǒng)，無(wú)法從其他組織機(jī)構(gòu)經(jīng)歷的安全事件中獲得寶貴經(jīng)驗(yàn)，包括那些安全事件中涉及的漏洞、被攻破的系統(tǒng)的安全部署方案及采用的具體安全措施和產(chǎn)品、能夠抵御攻擊的安全措施等等。安全人員僅能從“小樣本”中學(xué)習(xí)、改進(jìn)。缺少?gòu)摹按髽颖尽敝刑釤挸鰜?lái)的安全信息、情報(bào)、知識(shí)，安全人員無(wú)法準(zhǔn)確評(píng)估哪些工具、技術(shù)、做法在應(yīng)對(duì)特定威脅時(shí)最為有效。

　　極其有限、單薄、碎片的信息和情報(bào)，讓組織機(jī)構(gòu)的安全人員在決定購(gòu)買、部署安全措施和產(chǎn)品時(shí)，只能依靠泛泛的一般性建議和教科書(shū)上通行的做法，甚至于道聽(tīng)途說(shuō)和直覺(jué)，很大程度上困于“盲人摸象”的局面。

　　再次，孤立的自我防御無(wú)法應(yīng)對(duì)快速變化的網(wǎng)絡(luò)安全形勢(shì)。一方面，網(wǎng)絡(luò)和信息系統(tǒng)之間相互依賴程度不斷，在這樣不可逆轉(zhuǎn)的趨勢(shì)下，單個(gè)組織機(jī)構(gòu)的安全越來(lái)越取決于其他與之相連的組織機(jī)構(gòu)的安全，缺乏協(xié)同的防御效果難以令人滿意。

　　另一方面，近年來(lái)，網(wǎng)絡(luò)攻守平衡逐漸被打破，攻擊方的能力有大幅上升，例如分布式攻擊（僵尸網(wǎng)絡(luò)、DDoS）日益數(shù)量猖獗、漏洞黑市交易漸成規(guī)模、惡意軟件和網(wǎng)絡(luò)武器越來(lái)越復(fù)雜、網(wǎng)絡(luò)犯罪組織化程度提高等。許多攻擊必須在綜合來(lái)自多方的信息后，才能被發(fā)現(xiàn)。因此，任何組織機(jī)構(gòu)靠一己之力，已經(jīng)無(wú)法對(duì)抗攻擊。

　　從孤立式的安全到協(xié)同式的安全（collaborative security）

　　協(xié)同式的安全，本質(zhì)上是要匯集眾智，以指導(dǎo)組織機(jī)構(gòu)的每個(gè)安全決策和行為。因此，與孤立式的自我防御最大的不同，在于協(xié)同式安全非常注重對(duì)外的溝通和合作。如下圖所示，組織機(jī)構(gòu)內(nèi)部除了監(jiān)控自身網(wǎng)絡(luò)、系統(tǒng)的部門，以及做出安全決策的部門之外，還專門設(shè)立合作部門開(kāi)展對(duì)外的溝通合作。

　　合作式安全基本示意圖[1]

　　合作部門一方面把自身系統(tǒng)產(chǎn)生的安全信息和情報(bào)，與合作伙伴共享，另一方面源源不斷地將從外界得到的安全信息和情報(bào)，提供給決策部門參考、借鑒。

　　形成與外界制度化的信息溝通渠道、網(wǎng)絡(luò)，能夠給組織機(jī)構(gòu)的安全防護(hù)帶來(lái)什么樣的好處？2016年10月，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）發(fā)布了《網(wǎng)絡(luò)威脅信息共享指南》（編號(hào)：NIST SP 800-150）[2]，以向社會(huì)征求意見(jiàn)。在《指南》中，NIST指出安全信息共享能夠：

　　共享情景感知（Shared Situational Awareness）：信息共享能夠有效動(dòng)員、發(fā)揮共享伙伴們集體的知識(shí)、經(jīng)驗(yàn)、分析能力，因而能夠增強(qiáng)所有組織機(jī)構(gòu)的防御能力。共享網(wǎng)絡(luò)中的每一成員能受益于其他成員的知識(shí)和經(jīng)驗(yàn)。每一成員對(duì)共享網(wǎng)絡(luò)的一點(diǎn)貢獻(xiàn)，都可以提高整個(gè)共享網(wǎng)絡(luò)對(duì)情景的感知和安全水平。

　　增強(qiáng)對(duì)威脅的認(rèn)知（Enhanced Threat Understanding）：通過(guò)共享威脅情報(bào)，組織機(jī)構(gòu)能獲得對(duì)威脅環(huán)境更加完整的認(rèn)識(shí)，從而能夠根據(jù)威脅環(huán)境的實(shí)時(shí)變化，有針對(duì)性地設(shè)計(jì)和部署安全措施、檢測(cè)方式等。

　　提升知識(shí)成熟（Knowledge Maturation）：通過(guò)共享和分析，原本看似互不相關(guān)的信息和觀測(cè)能相互關(guān)聯(lián)，并在此基礎(chǔ)上構(gòu)建針對(duì)特定時(shí)間和威脅的指標(biāo)，同時(shí)對(duì)指標(biāo)之間的關(guān)系取得更深的認(rèn)識(shí)。

　　提高防守靈敏度（Greater Defensive Agility）：攻擊方持續(xù)根據(jù)防守方的保護(hù)和檢測(cè)方式，來(lái)修正攻擊的手段、技術(shù)、過(guò)程（Tactics, Techniques, and Procedures, TTP）。通過(guò)信息共享，組織機(jī)構(gòu)能獲得對(duì)攻擊方TTPs的快速偵測(cè)、應(yīng)對(duì)，使防御從被動(dòng)變?yōu)橹鲃?dòng)。

　　改進(jìn)安全決策（Improved Decision Making）：通過(guò)信息共享，組織機(jī)構(gòu)對(duì)安全態(tài)勢(shì)獲得了更完整、全面的認(rèn)識(shí)。在做出安全決策時(shí)，更加高效，也更加自信。

　　對(duì)單個(gè)組織機(jī)構(gòu)來(lái)說(shuō)，參與安全信息共享，能對(duì)攻擊者有更多、更深的了解，縮短對(duì)網(wǎng)絡(luò)攻擊的反應(yīng)時(shí)間；能夠效仿別的組織機(jī)構(gòu)部署的行之有效的安全措施，提高總體安全水平。[3]

　　美國(guó)學(xué)者的一項(xiàng)研究還表明，參與安全信息共享的組織機(jī)構(gòu)，只需更少的投入，就能取得與沒(méi)有參與信息共享的組織機(jī)構(gòu)相同的安全水平。[4]原因正是，安全信息共享能夠讓組織機(jī)構(gòu)聰明地做出投資決定，事半功倍。另一項(xiàng)針對(duì)金融機(jī)構(gòu)的研究表明，隨著系統(tǒng)之間相互依存程度的上升，安全信息共享能帶來(lái)的好處就更多；同時(shí)，共享得越多，對(duì)安全的投資就越高效。[5]

　　事實(shí)上，除了提高組織機(jī)構(gòu)安全水平，信息共享還能推動(dòng)網(wǎng)絡(luò)安全市場(chǎng)的健康發(fā)展。在著名經(jīng)濟(jì)學(xué)家阿克洛夫（George Akerlof）提出的“酸檸檬市場(chǎng)”中，顯著的信息不對(duì)稱，導(dǎo)致一方面買方難以分清商品的真正價(jià)值和好壞，另一方面賣方可以“安全”地夸大商品質(zhì)量。此時(shí)，買方只愿意通過(guò)市場(chǎng)上的平均價(jià)格來(lái)判斷商品的平均質(zhì)量，因此也只愿意付出平均價(jià)格。由于商品有好有壞，買方只愿意付出平均價(jià)格，就會(huì)使提供好商品的吃虧，提供壞商品的得益。于是好商品便會(huì)逐步退出市場(chǎng)。由于平均質(zhì)量下降，導(dǎo)致平均價(jià)格進(jìn)一步下降，真實(shí)價(jià)值處于平均價(jià)格以上的商品也逐漸退出市場(chǎng)。最后，“酸檸檬市場(chǎng)”就只剩下壞商品。

　　在很大程度上，網(wǎng)絡(luò)安全市場(chǎng)中買賣雙方間恰恰存在嚴(yán)重的信息不對(duì)稱。例如，信息系統(tǒng)和網(wǎng)絡(luò)沒(méi)有發(fā)生安全事件，很多時(shí)候我們很難分清到底是購(gòu)買的安全產(chǎn)品和服務(wù)確實(shí)有效，還是因?yàn)闆](méi)有被厲害的黑客盯上。缺乏安全信息共享，導(dǎo)致購(gòu)買安全產(chǎn)品和服務(wù)的一方因“樣本”信息過(guò)少，而無(wú)法準(zhǔn)確地評(píng)估功效。網(wǎng)絡(luò)安全市場(chǎng)中的信息不對(duì)稱得不到糾正，就很會(huì)導(dǎo)致“劣幣驅(qū)逐良幣”的現(xiàn)象，進(jìn)而加劇買方對(duì)賣方的不信任。購(gòu)買意愿降低，市場(chǎng)就會(huì)進(jìn)一步萎縮，創(chuàng)新進(jìn)步也就無(wú)從談起。

　　對(duì)政府主管部門來(lái)說(shuō)，組織機(jī)構(gòu)間更大程度的安全信息共享，意味著有更多的安全信息和數(shù)據(jù)被“生產(chǎn)”出來(lái)，并開(kāi)始流通。安全大數(shù)據(jù)得以成為可能。主管部門能借此在宏觀層面，更全面地掌握威脅和安全防護(hù)方面的全局性情況，分析出未來(lái)可能的發(fā)展趨勢(shì)，為在國(guó)家層面制定戰(zhàn)略和行動(dòng)計(jì)劃、開(kāi)展專項(xiàng)行動(dòng)，有針對(duì)性地協(xié)調(diào)各部門、各行業(yè)進(jìn)行防護(hù)工作等打下堅(jiān)實(shí)的基礎(chǔ)。

　　另一方面，主管部門參與到安全信息共享中去，把自己掌握的情況通過(guò)共享網(wǎng)絡(luò)做到快速、廣泛發(fā)布，通過(guò)信息共享，達(dá)到調(diào)動(dòng)、協(xié)調(diào)全社會(huì)實(shí)現(xiàn)實(shí)時(shí)的群防群治，提高網(wǎng)絡(luò)安全治理的效果。

　　共享哪些安全信息

　　每一類的信息都具有潛在的用途。例如有些信息能夠幫助政府主管部門或者組織機(jī)構(gòu)評(píng)估所處的威脅環(huán)境，包括攻擊者都有哪些、他們的規(guī)模和組織化程度、感興趣的目標(biāo)、希望達(dá)到的目的等。通過(guò)信息共享，綜合大量的案例，并加以分析和跟蹤，形成對(duì)攻擊者行為模式、攻擊成本的描述，最終形成攻擊組織的畫像（Profiling）。

　　有些信息經(jīng)過(guò)共享、綜合，則能夠幫助組織機(jī)構(gòu)重構(gòu)單條殺傷鏈，分析攻擊工具、攻擊手法、攻擊來(lái)源、攻擊目標(biāo)等特征。還有一些信息提供了應(yīng)對(duì)某類威脅或攻擊的指南。共享這類信息能夠使組織機(jī)構(gòu)相互借鑒，提高安全防護(hù)水平。

　　2015年年初，美國(guó)微軟公司發(fā)布《網(wǎng)絡(luò)安全信息共享和風(fēng)險(xiǎn)降低框架》（A framework for cybersecurity information sharing and risk reduction）[6]。在《框架》中，可供共享的網(wǎng)絡(luò)安全信息可分做以下7類：

　　安全事件信息（incidents）：關(guān)于成功的或未遂的網(wǎng)絡(luò)攻擊的細(xì)節(jié)信息，具體包括丟失的信息、攻擊中使用的技術(shù)、攻擊意圖、造成的影響等。安全事件所囊括的范圍從一次被成功封阻的攻擊，到造成嚴(yán)重國(guó)家安全危機(jī)的攻擊。

　　威脅信息（threats）：包括尚未認(rèn)識(shí)清楚但可導(dǎo)致潛在嚴(yán)重影響的事項(xiàng)；感染指標(biāo)（Indicators of Compromise, IoC），如惡意文件、被竊取的電子郵箱地址、受影響的IP地址、惡意代碼樣本；關(guān)于威脅行為者（threat actors）的信息。該類信息有助于發(fā)現(xiàn)安全事件，從攻擊中吸取教訓(xùn)，創(chuàng)造解決方案等。

　　漏洞信息（vulnerabilities）：軟件、硬件、商業(yè)流程中可被惡意利用的漏洞。

　　緩解措施信息（mitigations）：包括修補(bǔ)漏洞、封阻或遏制威脅、安全事件響應(yīng)和恢復(fù)的方法。此類信息一般以漏洞補(bǔ)丁、殺毒軟件升級(jí)、從網(wǎng)絡(luò)中清除惡意行為者的方向等形式存在。

　　情景感知信息（Situational awareness）：此類信息包括對(duì)被利用漏洞、活躍的威脅、攻擊的實(shí)時(shí)遙測(cè)，還包括攻擊目標(biāo)、網(wǎng)絡(luò)狀況等信息，能夠幫助決策人員響應(yīng)安全事件。

　　最佳做法信息（Best practices）：關(guān)于安全產(chǎn)品和服務(wù)的開(kāi)發(fā)和部署的信息，包括安全控制、時(shí)間響應(yīng)流程、軟件漏洞修補(bǔ)等。

　　戰(zhàn)略分析信息（Strategicanalysis）：綜合、提煉、分析來(lái)自各方面的信息，以構(gòu)建度量體系、描繪趨勢(shì)、開(kāi)展預(yù)測(cè)，幫助政府和私營(yíng)部門決策者為未來(lái)的風(fēng)險(xiǎn)提前做準(zhǔn)備。

　　安全信息共享網(wǎng)絡(luò)的基本模式

　　《網(wǎng)絡(luò)威脅信息共享指南》給出了安全信息共享網(wǎng)絡(luò)的三種基本結(jié)構(gòu)：集中式（centralized）、同儕式（peer to peer）、混合式（hybrid）。[7]

　　在集中式下，中心從端點(diǎn)接收安全信息，經(jīng)過(guò)綜合、分析后，再將結(jié)果傳回端點(diǎn)。一般來(lái)說(shuō)，集中式的中心需要具備強(qiáng)大的信息存儲(chǔ)、處理、加工、分析能力，才能滿足信息共享網(wǎng)絡(luò)的不斷變化的需求。該模式的缺點(diǎn)是，整個(gè)信息共享網(wǎng)絡(luò)依賴于中心作為安全信息交換樞紐，如果該中心發(fā)生信息處理延遲，甚至于遭遇安全事件，則整個(gè)信息共享網(wǎng)絡(luò)的功能就會(huì)大打折扣，并有可能完全癱瘓。

　　在同儕模式下，每個(gè)端點(diǎn)自主向其他端點(diǎn)推送網(wǎng)絡(luò)安全信息，或直接向整個(gè)信息共享網(wǎng)絡(luò)廣播。由于不存在一個(gè)信息交換中心，因此同儕模式對(duì)各個(gè)端點(diǎn)的安全信息接收、分析能力提出了較高的要求。

　　混合式則綜合了集中式和同儕式。每個(gè)端點(diǎn)向中心發(fā)送安全信息的同時(shí)，端點(diǎn)和端點(diǎn)之間也建立直接的信息共享渠道。

　　構(gòu)建安全信息共享網(wǎng)絡(luò)的另一個(gè)基礎(chǔ)性問(wèn)題是自動(dòng)化分享模式和人工共享模式的選擇。人工共享模式下，組織機(jī)構(gòu)指派專人負(fù)責(zé)安全信息的發(fā)送和接收、分析工作。該模式的缺點(diǎn)在于人的因素構(gòu)成了信息共享網(wǎng)絡(luò)的瓶頸，如人為導(dǎo)致的錯(cuò)誤，無(wú)法勝任實(shí)時(shí)、持續(xù)性、高強(qiáng)度的信息發(fā)送、接收、安全配置更新工作等。

　　自動(dòng)化共享模式則強(qiáng)制要求信息共享網(wǎng)絡(luò)的各個(gè)端點(diǎn)采用統(tǒng)一的信息傳輸格式，安裝用于收集安全信息的傳感器，能夠接收預(yù)警信息的監(jiān)控系統(tǒng)，以及避免敏感安全信息泄露的安全機(jī)制。自動(dòng)化共享模式克服因人的因素造成的局限，但其高度的自動(dòng)化卻也導(dǎo)致遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

　　消除妨礙安全信息共享網(wǎng)絡(luò)運(yùn)行的三大障礙

　　上文介紹了協(xié)同式安全理念的興起、安全信息共享帶來(lái)的好處、共享的安全信息的分類，以及共享網(wǎng)絡(luò)的基本結(jié)構(gòu)和信息傳遞方式等，主要屬于一種抽象式、理論化的描述。

　　現(xiàn)在讓我們進(jìn)入到紛繁復(fù)雜的現(xiàn)實(shí)中去，探究如何建立一個(gè)有實(shí)效、可持續(xù)、有序的安全信息共享機(jī)制。從紙面上的設(shè)計(jì)，映射到現(xiàn)實(shí)中的制度建設(shè)，再到運(yùn)行流程的信息共享網(wǎng)絡(luò)，主要是消除三大運(yùn)行中的障礙。

　　障礙之一：成員的發(fā)現(xiàn)能力

　　顯然，不能發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，后續(xù)的分析和共享也就無(wú)從談起。如果信息共享網(wǎng)絡(luò)中的成員發(fā)現(xiàn)安全事件的能力高低差距明顯，將會(huì)直接導(dǎo)致大部分共享的信息，主要由發(fā)現(xiàn)能力強(qiáng)的成員單方面提供。長(zhǎng)此以往，信息共享網(wǎng)絡(luò)的價(jià)值和可持續(xù)性將大打折扣。因此，在建立信息共享網(wǎng)絡(luò)中，往往要對(duì)入網(wǎng)的成員提出具備一定安全事件發(fā)現(xiàn)能力的要求。

　　光具備發(fā)現(xiàn)安全事件的能力還不夠。如果有成員考慮到共享的成本、風(fēng)險(xiǎn)等原因，刻意隱瞞發(fā)現(xiàn)的安全事件，不將有關(guān)信息共享出來(lái)，“搭便車”的問(wèn)題還是沒(méi)法解決。因此，信息共享網(wǎng)絡(luò)還需要采取一定的措施，或是通過(guò)激勵(lì)（incentives），或是通過(guò)強(qiáng)制（mandates）手段[8]，解決這個(gè)問(wèn)題。

　　障礙之二：成員的分析能力

　　如果信息共享網(wǎng)絡(luò)中的成員僅僅是把與安全事件有關(guān)的各種信息全部共享出去，而未加任何分析，顯然會(huì)造成整個(gè)共享網(wǎng)絡(luò)信息過(guò)剩的問(wèn)題。面對(duì)大量的“雜音”，信息接收方需要自己開(kāi)展過(guò)濾、分析，工作量大幅增加的同時(shí)，“收獲”卻寥寥無(wú)幾。這樣的信息共享網(wǎng)絡(luò)終將不可持續(xù)。因此，許多信息共享網(wǎng)絡(luò)會(huì)要求成員應(yīng)該首先對(duì)安全事件作出分析；有些信息共享網(wǎng)絡(luò)還專門列出指導(dǎo)分析安全事件的幾類問(wèn)題：

　　安全措施的影響

　　系統(tǒng)發(fā)生安全事件時(shí)使用了哪些安全措施，為什么這些措施不足以防御威脅入侵？

　　哪些安全措施可能能夠防御此次威脅入侵？

　　安全事件發(fā)生后，系統(tǒng)對(duì)安全部署和防御做了哪些調(diào)整？

　　入侵發(fā)生的根本原因及第三方因素

　　系統(tǒng)的軟、硬件、服務(wù)中的哪些因素（例如配置或漏洞）使得入侵得以成功？

　　是否有第三方的因素使得入侵得以成功？

　　安全事件造成的損失及后續(xù)清理

　　安全事件造成了什么損失（金錢、信息泄露、服務(wù)中斷等）？

　　采用了何種止損措施？

　　需要指出的是，并不是說(shuō)對(duì)所有這些問(wèn)題分析的結(jié)果都要共享出去。因?yàn)閷?duì)其中很多問(wèn)題的回答，往往包含了成員的商業(yè)秘密或者其他私有信息。列出這些問(wèn)題的意義在于，發(fā)生安全事件后，成員應(yīng)當(dāng)試圖從這些方面做出分析、得到初步答案后，再將部分結(jié)論共享給其他成員。至于哪些信息需要共享、哪些信息可以保留，主要根據(jù)信息共享網(wǎng)絡(luò)的目的，以及信息共享網(wǎng)絡(luò)成員間的相互約定。

　　障礙之三：共享的風(fēng)險(xiǎn)

　　共享網(wǎng)絡(luò)安全信息，一定程度上是向外界透露關(guān)于組織的安全信息，存在各種風(fēng)險(xiǎn)。舉例說(shuō)明如下：

　　聲譽(yù)和經(jīng)濟(jì)受損的風(fēng)險(xiǎn)：遭到黑客攻擊，本來(lái)就是不光彩的事。防住了還好，沒(méi)防住還要將有關(guān)情況共享出來(lái)，好比是家丑外揚(yáng)。如果這些信息泄露到信息共享網(wǎng)絡(luò)之外，全社會(huì)都知道了，組織機(jī)構(gòu)的聲譽(yù)將受重大損失，還可能造成股價(jià)的下跌；

　　被起訴或被主管部門問(wèn)責(zé)處罰的風(fēng)險(xiǎn)：被外界知道沒(méi)能防住黑客攻擊，造成經(jīng)濟(jì)損失或者信息泄露，有可能被有關(guān)權(quán)利人起訴；

　　泄露內(nèi)部安全部署的風(fēng)險(xiǎn)：別有用心的人可以從共享出去的網(wǎng)絡(luò)安全信息中逆向推導(dǎo)，借此掌握組織機(jī)構(gòu)的內(nèi)部安全機(jī)制和部署；

　　泄露知識(shí)產(chǎn)權(quán)和商業(yè)信息的風(fēng)險(xiǎn)：共享出去的網(wǎng)絡(luò)安全信息中有可能包含組織機(jī)構(gòu)的商業(yè)秘密、知識(shí)產(chǎn)權(quán)等信息；

　　違背顧客、用戶的隱私保護(hù)的風(fēng)險(xiǎn)：網(wǎng)絡(luò)安全信息中如果包含組織機(jī)構(gòu)掌握的顧客、用戶的個(gè)人身份信息、通訊信息等，共享出去可能會(huì)導(dǎo)致顧客、用戶認(rèn)為組織機(jī)構(gòu)違背信息保護(hù)約定，侵犯了他們的隱私。

　　與政府主管部門共享信息存在風(fēng)險(xiǎn)：首先，政府主管部門可能因組織機(jī)構(gòu)沒(méi)有盡到安全保護(hù)義務(wù)而問(wèn)責(zé)或處罰；其次，顧客、用戶不愿意政府部門掌握其信息；再次，共享到政府的信息可能受到政府信息公開(kāi)要求的約束，向社會(huì)公開(kāi)。

　　違反有關(guān)法律規(guī)定的風(fēng)險(xiǎn)：例如《反壟斷法》規(guī)定“經(jīng)營(yíng)者達(dá)成壟斷協(xié)議”，組織機(jī)構(gòu)共享網(wǎng)絡(luò)安全信息的行為，有可能被當(dāng)成壟斷行為，引來(lái)反壟斷機(jī)構(gòu)的調(diào)查。

　　安全信息被二次使用的風(fēng)險(xiǎn)：安全信息一旦共享出去，就離開(kāi)了組織機(jī)構(gòu)的掌控；獲得信息的一方會(huì)如何使用這些信息無(wú)從保證；競(jìng)爭(zhēng)對(duì)手會(huì)如何使用這些信息更難以防范。

　　信息真實(shí)性存疑的風(fēng)險(xiǎn)：組織機(jī)構(gòu)可能擔(dān)心，即便自身克服這些風(fēng)險(xiǎn)，與其他方面共享了網(wǎng)絡(luò)安全信息，別的組織機(jī)構(gòu)會(huì)這么做嗎？它們會(huì)不會(huì)故意提供錯(cuò)誤的信息？

　　國(guó)家秘密泄露風(fēng)險(xiǎn)：政府向組織機(jī)構(gòu)共享其掌握的網(wǎng)絡(luò)安全信息，如果信息擴(kuò)散范圍失控，則有可能導(dǎo)致國(guó)家安全風(fēng)險(xiǎn)。

　　這些客觀存在的法律、聲譽(yù)、經(jīng)營(yíng)方面的風(fēng)險(xiǎn)，在很大程度上導(dǎo)致了組織機(jī)構(gòu)（或政府部門）更愿意對(duì)安全事件的信息藏著、捂著，因此阻礙了網(wǎng)絡(luò)安全信息的共享。

　　現(xiàn)實(shí)運(yùn)行中的安全信息共享網(wǎng)絡(luò)如何克服障礙

　　歸納實(shí)踐，我們大致可以看到有四類信息共享網(wǎng)絡(luò)：成員驅(qū)動(dòng)型、數(shù)據(jù)驅(qū)動(dòng)型、事件驅(qū)動(dòng)型、風(fēng)險(xiǎn)驅(qū)動(dòng)型。

　　成員驅(qū)動(dòng)型：例如美國(guó)覆蓋重要行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施部門的信息共享與分析中心（ISAC），包括金融服務(wù)、通信、電力、應(yīng)急服務(wù)行業(yè)、醫(yī)療和公共衛(wèi)生、信息技術(shù)、海事、公共交通、教育、供應(yīng)鏈、運(yùn)輸、水利以及房地產(chǎn)等。每個(gè)ISAC的成員主要來(lái)自于同一個(gè)行業(yè)。

　　數(shù)據(jù)驅(qū)動(dòng)型：例如采用統(tǒng)一的傳輸格式或工具自動(dòng)共享網(wǎng)絡(luò)安全信息的網(wǎng)絡(luò)。其中類型的典型是由美國(guó)電力行業(yè)的信息共享與分析中心（ES-ISAC）運(yùn)營(yíng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)信息共享計(jì)劃（Cybersecurity Risk Information Sharing Program, CRISP）。在該計(jì)劃中，ES-ISAC幫助參與成員在各自網(wǎng)絡(luò)中安裝傳感器。傳感器自動(dòng)將加密后的數(shù)據(jù)傳輸?shù)矫绹?guó)能源部下屬的太平洋西北國(guó)家實(shí)驗(yàn)室（Pacific Northwest NationalLaboratory, PNNL）。PNNL在對(duì)數(shù)據(jù)開(kāi)展分析后，對(duì)參與ES-ISAC的成員發(fā)出預(yù)警，分享緩解措施。

　　在這個(gè)例子中，ES-ISAC幫助參與成員安裝統(tǒng)一的傳感器，這樣就首先保證了各成員大致具有相似的安全事件發(fā)現(xiàn)能力；其次，所有數(shù)據(jù)均由美國(guó)能源部下屬的太平洋西北國(guó)家實(shí)驗(yàn)室來(lái)統(tǒng)一分析，也就克服了成員分析能力不同的障礙；同時(shí)，ES-ISAC采用的是集中式的信息共享網(wǎng)絡(luò)，且由政府部門下屬的實(shí)驗(yàn)室作為網(wǎng)絡(luò)的中心，中心對(duì)信息進(jìn)行了“脫敏”處理，能在很大程度上避免遭遇安全事件的成員面臨聲譽(yù)和經(jīng)濟(jì)受損、泄露內(nèi)部安全部署等風(fēng)險(xiǎn)。

　　事件驅(qū)動(dòng)型：該類型的信息共享網(wǎng)絡(luò)主要為解決特定的事項(xiàng)或問(wèn)題而建立。網(wǎng)絡(luò)中各成員的共同點(diǎn)在于都面臨同樣的問(wèn)題。例如為解決千年蟲(chóng)問(wèn)題而組成的信息共享網(wǎng)絡(luò)。

　　此類型的信息共享網(wǎng)絡(luò)僅僅關(guān)注單一議題或問(wèn)題，成員大小不一，所處行業(yè)各異，且組織較為松散，因此對(duì)成員的發(fā)現(xiàn)和分析能力要求不高，網(wǎng)絡(luò)中共享的信息范圍有限（主要圍繞特定的事項(xiàng)或問(wèn)題）。這些特征造成信息共享網(wǎng)絡(luò)面臨的障礙不大，另一方面也決定了此類信息共享網(wǎng)絡(luò)發(fā)揮的作用比較有限。

　　風(fēng)險(xiǎn)驅(qū)動(dòng)型：該類型信息共享網(wǎng)絡(luò)圍繞著特定系統(tǒng)或生態(tài)的安全研究而建立。共享網(wǎng)絡(luò)中的成員來(lái)自與特定系統(tǒng)或生態(tài)相關(guān)。例如專門為智能汽車的聯(lián)網(wǎng)安全而建立的信息共享網(wǎng)絡(luò)，網(wǎng)絡(luò)中成員可來(lái)自與智能汽車相關(guān)的方方面面。

　　與事件驅(qū)動(dòng)型信息共享網(wǎng)絡(luò)類似，此類型信息共享網(wǎng)絡(luò)面臨的信息共享障礙不大，各成員之間分享某一系統(tǒng)或生態(tài)的漏洞、攻擊方式等，共享的信息比較單一。其中涉及的主要風(fēng)險(xiǎn)是共享的信息可能泄露知識(shí)產(chǎn)權(quán)和商業(yè)信息，主動(dòng)分享的組織機(jī)構(gòu)可通過(guò)進(jìn)一步自我審查，就可以很大程度上避免該風(fēng)險(xiǎn)。（完）

　　[1] Guozhu Meng, YangLiu, Jie Zhang, Alexander Pokluda, and Raouf Boutaba. 2015, CollaborativeSecurity: A Survey and Taxonomy. ACM Computing Surveys, 48（1）：1.

　　[2] https://csrc.nist.gov/publications/detail/sp/800-150/final

　　[3]相關(guān)經(jīng)驗(yàn)研究見(jiàn)V. B. Chang, D. Kim, H. Kim, J. Na, and T. Chung, “Active Security Management Based on Secure Zone Cooperation,”Future Generation Computer System 20, no. 2 （2004）： 283

　　[4] L.A. Gordon, M.P. Loeb and W. Lucyshyn, “Sharing Information on Computer Systems Security: An EconomicAnalysis,” Journal of Accounting & Public Policy 22, no. 6 （2003）： 461-85.

　　[5] K. Hausken, “Information Sharing among Firmsand Cyber Attacks,” Journal of Accounting & Public Policy 26, no. 6 （2007）： 639-88.

　　[6]https://www.microsoft.com/en-us/download/details.aspx?id=45516

　　[7]另見(jiàn)“Cyber Information-sharing Models: AnOverview,” MITRE, October 2012, http://www.mitre.org/sites/default/files/pdf/cyber_info_sharing.pdf

　　[8]下文會(huì)有更詳細(xì)的介紹和討論。