網絡安全信息共享，顧名思義就是政府把關于網絡安全的信息、情報、研判等分享給私營部門，同時私營部門將其受到威脅、攻擊等有關信息報告給政府，以及私營部門之間互相交流有助于網絡安全防護工作的信息。

　　我國《網絡安全法》第五十一條規定“國家建立網絡安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作，按照規定統一發布網絡安全監測預警信息”。該條明確要求政府和私營之間應當建立起信息共享的機制?！毒W絡安全法》第二十九條提出，“國家支持網絡運營者之間在網絡安全信息收集、分析、通報和應急處置等方面進行合作，提高網絡運營者的安全保障能力”，表明國家應當鼓勵、支持私營部門之間的網絡安全信息共享合作。

　　美國被公認為當今世界網絡技術和網絡安全立法方面最為發達的國家，但近年來美國在網絡安全立法上一直停滯不前。在第111 屆國會期間（2009—2010年），共有涉及網絡安全的法案、決議案逾60件。在第112 屆（2011—2012年）和第113屆國會（2013—2014年）期間均有逾40件法案、決議案。但直到第113屆國會最后時刻，國會才通過四項法案。這也是自頂著“互聯網總統”稱號的奧巴馬2009年就任以來，美國國會首次就網絡安全通過了法案。

　　即便如此，事實表明，自2002年通過《聯邦信息安全管理法》以來，美國沒有通過任何重要的綜合性網絡安全立法。2014年年末通過的四項法案也僅是對已有法律的修正案或者是就人員和機構等局部事項作出規定。

　　美國政府和國會網絡安全綜合性立法的重點放在促進網絡安全信息共享，以及建立個人數據泄露竊取事件的強制披露機制。原因是在美國，90%的關鍵基礎設施為私人所有，美國法律又將這些私有關鍵基礎設施的安全防護責任放在設施所有人身上，而非政府。因此，美國政府增強基礎設施安全的最主要手段就是通過促進政府部門和私人部門之間的公私合作，實現網絡威脅的“群防群治”，同時借由事件強制公開，督促私人部門改進網絡安全措施。這兩個方面中，網絡安全的信息共享是公認的重中之重。

　　信息共享意味著什么——安全防護理念的變化

　　在過去，大多數的組織機構對于維護自身的網絡安全，抱著這樣一種思維定勢：“各家自掃門前雪，莫管他人瓦上霜”。與“高筑城墻，深挖護城河”相配合，組織機構的信息系統與其他組織機構的連接通道越少越好；信息系統的技術細節和安全防控布局要嚴格保密；一旦發生網絡安全事件，必須嚴格控制分析、處置等信息的擴散范圍，越少人知道越好，更別提對外透露了。

　　許多組織機構滿足于通過此種孤立的自我防御（即最大程度的“隔離”和“藏著、掖著”）的方式來追求信息系統安全。但這樣的方式也導致了組織機構在開展安全防護工作時，只能依靠自己——極其局限的信息和情報、有限的人力和知識儲備，因而無法有效應對網絡攻擊。

　　首先，孤立的自我防御導致的局限性，體現在防御和處置網絡攻擊、發現安全漏洞等方面。借用“殺傷鏈”模型，網絡攻擊可大致劃分為七個階段：偵查跟蹤（reconnaissance）、武器構建（weaponization）、載荷投遞（delivery）、突防利用（exploitation）、安裝植入（installation）、通信控制（command and control）、達成目標（actions on objective）。

　　真正的安全防范能力應該覆蓋攻擊者的每個階段，安全信息共享可以讓防御方在更早的階段介入到防范工作中。例如，在實踐中，許多網絡攻擊者對大量目標采用了相似的攻擊工具和手法（即“殺傷鏈”前三階段），因此通過共享網絡安全信息，就能有效地分析、歸納得出關于攻擊者、攻擊工具和手法的信息和情報，從而為防御方在盡可能早的階段地阻斷“殺傷鏈”提供先機。

　　而孤立的自我防御下，由于掌握的信息和情報十分有限，組織機構往往只能在突防利用及之后的階段，才具備檢測、防御的技術手段和能力。顯然，孤立的自我防御導致了防護工作的被動。

　　其次，孤立的自我防御導致的局限性，還體現在開展安全規劃、部署等方面。缺乏相互溝通、相互借鑒，安全人員能看見、能分析的對象，只能是自家的系統，無法從其他組織機構經歷的安全事件中獲得寶貴經驗，包括那些安全事件中涉及的漏洞、被攻破的系統的安全部署方案及采用的具體安全措施和產品、能夠抵御攻擊的安全措施等等。安全人員僅能從“小樣本”中學習、改進。缺少從“大樣本”中提煉出來的安全信息、情報、知識，安全人員無法準確評估哪些工具、技術、做法在應對特定威脅時最為有效。

　　極其有限、單薄、碎片的信息和情報，讓組織機構的安全人員在決定購買、部署安全措施和產品時，只能依靠泛泛的一般性建議和教科書上通行的做法，甚至于道聽途說和直覺，很大程度上困于“盲人摸象”的局面。

　　再次，孤立的自我防御無法應對快速變化的網絡安全形勢。一方面，網絡和信息系統之間相互依賴程度不斷，在這樣不可逆轉的趨勢下，單個組織機構的安全越來越取決于其他與之相連的組織機構的安全，缺乏協同的防御效果難以令人滿意。

　　另一方面，近年來，網絡攻守平衡逐漸被打破，攻擊方的能力有大幅上升，例如分布式攻擊（僵尸網絡、DDoS）日益數量猖獗、漏洞黑市交易漸成規模、惡意軟件和網絡武器越來越復雜、網絡犯罪組織化程度提高等。許多攻擊必須在綜合來自多方的信息后，才能被發現。因此，任何組織機構靠一己之力，已經無法對抗攻擊。

　　從孤立式的安全到協同式的安全（collaborative security）

　　協同式的安全，本質上是要匯集眾智，以指導組織機構的每個安全決策和行為。因此，與孤立式的自我防御最大的不同，在于協同式安全非常注重對外的溝通和合作。如下圖所示，組織機構內部除了監控自身網絡、系統的部門，以及做出安全決策的部門之外，還專門設立合作部門開展對外的溝通合作。

　　合作式安全基本示意圖[1]

　　合作部門一方面把自身系統產生的安全信息和情報，與合作伙伴共享，另一方面源源不斷地將從外界得到的安全信息和情報，提供給決策部門參考、借鑒。

　　形成與外界制度化的信息溝通渠道、網絡，能夠給組織機構的安全防護帶來什么樣的好處？2016年10月，美國國家標準技術研究所（NIST）發布了《網絡威脅信息共享指南》（編號：NIST SP 800-150）[2]，以向社會征求意見。在《指南》中，NIST指出安全信息共享能夠：

　　共享情景感知（Shared Situational Awareness）：信息共享能夠有效動員、發揮共享伙伴們集體的知識、經驗、分析能力，因而能夠增強所有組織機構的防御能力。共享網絡中的每一成員能受益于其他成員的知識和經驗。每一成員對共享網絡的一點貢獻，都可以提高整個共享網絡對情景的感知和安全水平。

　　增強對威脅的認知（Enhanced Threat Understanding）：通過共享威脅情報，組織機構能獲得對威脅環境更加完整的認識，從而能夠根據威脅環境的實時變化，有針對性地設計和部署安全措施、檢測方式等。

　　提升知識成熟（Knowledge Maturation）：通過共享和分析，原本看似互不相關的信息和觀測能相互關聯，并在此基礎上構建針對特定時間和威脅的指標，同時對指標之間的關系取得更深的認識。

　　提高防守靈敏度（Greater Defensive Agility）：攻擊方持續根據防守方的保護和檢測方式，來修正攻擊的手段、技術、過程（Tactics, Techniques, and Procedures, TTP）。通過信息共享，組織機構能獲得對攻擊方TTPs的快速偵測、應對，使防御從被動變為主動。

　　改進安全決策（Improved Decision Making）：通過信息共享，組織機構對安全態勢獲得了更完整、全面的認識。在做出安全決策時，更加高效，也更加自信。

　　對單個組織機構來說，參與安全信息共享，能對攻擊者有更多、更深的了解，縮短對網絡攻擊的反應時間；能夠效仿別的組織機構部署的行之有效的安全措施，提高總體安全水平。[3]

　　美國學者的一項研究還表明，參與安全信息共享的組織機構，只需更少的投入，就能取得與沒有參與信息共享的組織機構相同的安全水平。[4]原因正是，安全信息共享能夠讓組織機構聰明地做出投資決定，事半功倍。另一項針對金融機構的研究表明，隨著系統之間相互依存程度的上升，安全信息共享能帶來的好處就更多；同時，共享得越多，對安全的投資就越高效。[5]

　　事實上，除了提高組織機構安全水平，信息共享還能推動網絡安全市場的健康發展。在著名經濟學家阿克洛夫（George Akerlof）提出的“酸檸檬市場”中，顯著的信息不對稱，導致一方面買方難以分清商品的真正價值和好壞，另一方面賣方可以“安全”地夸大商品質量。此時，買方只愿意通過市場上的平均價格來判斷商品的平均質量，因此也只愿意付出平均價格。由于商品有好有壞，買方只愿意付出平均價格，就會使提供好商品的吃虧，提供壞商品的得益。于是好商品便會逐步退出市場。由于平均質量下降，導致平均價格進一步下降，真實價值處于平均價格以上的商品也逐漸退出市場。最后，“酸檸檬市場”就只剩下壞商品。

　　在很大程度上，網絡安全市場中買賣雙方間恰恰存在嚴重的信息不對稱。例如，信息系統和網絡沒有發生安全事件，很多時候我們很難分清到底是購買的安全產品和服務確實有效，還是因為沒有被厲害的黑客盯上。缺乏安全信息共享，導致購買安全產品和服務的一方因“樣本”信息過少，而無法準確地評估功效。網絡安全市場中的信息不對稱得不到糾正，就很會導致“劣幣驅逐良幣”的現象，進而加劇買方對賣方的不信任。購買意愿降低，市場就會進一步萎縮，創新進步也就無從談起。

　　對政府主管部門來說，組織機構間更大程度的安全信息共享，意味著有更多的安全信息和數據被“生產”出來，并開始流通。安全大數據得以成為可能。主管部門能借此在宏觀層面，更全面地掌握威脅和安全防護方面的全局性情況，分析出未來可能的發展趨勢，為在國家層面制定戰略和行動計劃、開展專項行動，有針對性地協調各部門、各行業進行防護工作等打下堅實的基礎。

　　另一方面，主管部門參與到安全信息共享中去，把自己掌握的情況通過共享網絡做到快速、廣泛發布，通過信息共享，達到調動、協調全社會實現實時的群防群治，提高網絡安全治理的效果。

　　共享哪些安全信息

　　每一類的信息都具有潛在的用途。例如有些信息能夠幫助政府主管部門或者組織機構評估所處的威脅環境，包括攻擊者都有哪些、他們的規模和組織化程度、感興趣的目標、希望達到的目的等。通過信息共享，綜合大量的案例，并加以分析和跟蹤，形成對攻擊者行為模式、攻擊成本的描述，最終形成攻擊組織的畫像（Profiling）。

　　有些信息經過共享、綜合，則能夠幫助組織機構重構單條殺傷鏈，分析攻擊工具、攻擊手法、攻擊來源、攻擊目標等特征。還有一些信息提供了應對某類威脅或攻擊的指南。共享這類信息能夠使組織機構相互借鑒，提高安全防護水平。

　　2015年年初，美國微軟公司發布《網絡安全信息共享和風險降低框架》（A framework for cybersecurity information sharing and risk reduction）[6]。在《框架》中，可供共享的網絡安全信息可分做以下7類：

　　安全事件信息（incidents）：關于成功的或未遂的網絡攻擊的細節信息，具體包括丟失的信息、攻擊中使用的技術、攻擊意圖、造成的影響等。安全事件所囊括的范圍從一次被成功封阻的攻擊，到造成嚴重國家安全危機的攻擊。

　　威脅信息（threats）：包括尚未認識清楚但可導致潛在嚴重影響的事項；感染指標（Indicators of Compromise, IoC），如惡意文件、被竊取的電子郵箱地址、受影響的IP地址、惡意代碼樣本；關于威脅行為者（threat actors）的信息。該類信息有助于發現安全事件，從攻擊中吸取教訓，創造解決方案等。

　　漏洞信息（vulnerabilities）：軟件、硬件、商業流程中可被惡意利用的漏洞。

　　緩解措施信息（mitigations）：包括修補漏洞、封阻或遏制威脅、安全事件響應和恢復的方法。此類信息一般以漏洞補丁、殺毒軟件升級、從網絡中清除惡意行為者的方向等形式存在。

　　情景感知信息（Situational awareness）：此類信息包括對被利用漏洞、活躍的威脅、攻擊的實時遙測，還包括攻擊目標、網絡狀況等信息，能夠幫助決策人員響應安全事件。

　　最佳做法信息（Best practices）：關于安全產品和服務的開發和部署的信息，包括安全控制、時間響應流程、軟件漏洞修補等。

　　戰略分析信息（Strategicanalysis）：綜合、提煉、分析來自各方面的信息，以構建度量體系、描繪趨勢、開展預測，幫助政府和私營部門決策者為未來的風險提前做準備。

　　安全信息共享網絡的基本模式

　　《網絡威脅信息共享指南》給出了安全信息共享網絡的三種基本結構：集中式（centralized）、同儕式（peer to peer）、混合式（hybrid）。[7]

　　在集中式下，中心從端點接收安全信息，經過綜合、分析后，再將結果傳回端點。一般來說，集中式的中心需要具備強大的信息存儲、處理、加工、分析能力，才能滿足信息共享網絡的不斷變化的需求。該模式的缺點是，整個信息共享網絡依賴于中心作為安全信息交換樞紐，如果該中心發生信息處理延遲，甚至于遭遇安全事件，則整個信息共享網絡的功能就會大打折扣，并有可能完全癱瘓。

　　在同儕模式下，每個端點自主向其他端點推送網絡安全信息，或直接向整個信息共享網絡廣播。由于不存在一個信息交換中心，因此同儕模式對各個端點的安全信息接收、分析能力提出了較高的要求。

　　混合式則綜合了集中式和同儕式。每個端點向中心發送安全信息的同時，端點和端點之間也建立直接的信息共享渠道。

　　構建安全信息共享網絡的另一個基礎性問題是自動化分享模式和人工共享模式的選擇。人工共享模式下，組織機構指派專人負責安全信息的發送和接收、分析工作。該模式的缺點在于人的因素構成了信息共享網絡的瓶頸，如人為導致的錯誤，無法勝任實時、持續性、高強度的信息發送、接收、安全配置更新工作等。

　　自動化共享模式則強制要求信息共享網絡的各個端點采用統一的信息傳輸格式，安裝用于收集安全信息的傳感器，能夠接收預警信息的監控系統，以及避免敏感安全信息泄露的安全機制。自動化共享模式克服因人的因素造成的局限，但其高度的自動化卻也導致遭受網絡攻擊的風險。

　　消除妨礙安全信息共享網絡運行的三大障礙

　　上文介紹了協同式安全理念的興起、安全信息共享帶來的好處、共享的安全信息的分類，以及共享網絡的基本結構和信息傳遞方式等，主要屬于一種抽象式、理論化的描述。

　　現在讓我們進入到紛繁復雜的現實中去，探究如何建立一個有實效、可持續、有序的安全信息共享機制。從紙面上的設計，映射到現實中的制度建設，再到運行流程的信息共享網絡，主要是消除三大運行中的障礙。

　　障礙之一：成員的發現能力

　　顯然，不能發現網絡安全事件，后續的分析和共享也就無從談起。如果信息共享網絡中的成員發現安全事件的能力高低差距明顯，將會直接導致大部分共享的信息，主要由發現能力強的成員單方面提供。長此以往，信息共享網絡的價值和可持續性將大打折扣。因此，在建立信息共享網絡中，往往要對入網的成員提出具備一定安全事件發現能力的要求。

　　光具備發現安全事件的能力還不夠。如果有成員考慮到共享的成本、風險等原因，刻意隱瞞發現的安全事件，不將有關信息共享出來，“搭便車”的問題還是沒法解決。因此，信息共享網絡還需要采取一定的措施，或是通過激勵（incentives），或是通過強制（mandates）手段[8]，解決這個問題。

　　障礙之二：成員的分析能力

　　如果信息共享網絡中的成員僅僅是把與安全事件有關的各種信息全部共享出去，而未加任何分析，顯然會造成整個共享網絡信息過剩的問題。面對大量的“雜音”，信息接收方需要自己開展過濾、分析，工作量大幅增加的同時，“收獲”卻寥寥無幾。這樣的信息共享網絡終將不可持續。因此，許多信息共享網絡會要求成員應該首先對安全事件作出分析；有些信息共享網絡還專門列出指導分析安全事件的幾類問題：

　　安全措施的影響

　　系統發生安全事件時使用了哪些安全措施，為什么這些措施不足以防御威脅入侵？

　　哪些安全措施可能能夠防御此次威脅入侵？

　　安全事件發生后，系統對安全部署和防御做了哪些調整？

　　入侵發生的根本原因及第三方因素

　　系統的軟、硬件、服務中的哪些因素（例如配置或漏洞）使得入侵得以成功？

　　是否有第三方的因素使得入侵得以成功？

　　安全事件造成的損失及后續清理

　　安全事件造成了什么損失（金錢、信息泄露、服務中斷等）？

　　采用了何種止損措施？

　　需要指出的是，并不是說對所有這些問題分析的結果都要共享出去。因為對其中很多問題的回答，往往包含了成員的商業秘密或者其他私有信息。列出這些問題的意義在于，發生安全事件后，成員應當試圖從這些方面做出分析、得到初步答案后，再將部分結論共享給其他成員。至于哪些信息需要共享、哪些信息可以保留，主要根據信息共享網絡的目的，以及信息共享網絡成員間的相互約定。

　　障礙之三：共享的風險

　　共享網絡安全信息，一定程度上是向外界透露關于組織的安全信息，存在各種風險。舉例說明如下：

　　聲譽和經濟受損的風險：遭到黑客攻擊，本來就是不光彩的事。防住了還好，沒防住還要將有關情況共享出來，好比是家丑外揚。如果這些信息泄露到信息共享網絡之外，全社會都知道了，組織機構的聲譽將受重大損失，還可能造成股價的下跌；

　　被起訴或被主管部門問責處罰的風險：被外界知道沒能防住黑客攻擊，造成經濟損失或者信息泄露，有可能被有關權利人起訴；

　　泄露內部安全部署的風險：別有用心的人可以從共享出去的網絡安全信息中逆向推導，借此掌握組織機構的內部安全機制和部署；

　　泄露知識產權和商業信息的風險：共享出去的網絡安全信息中有可能包含組織機構的商業秘密、知識產權等信息；

　　違背顧客、用戶的隱私保護的風險：網絡安全信息中如果包含組織機構掌握的顧客、用戶的個人身份信息、通訊信息等，共享出去可能會導致顧客、用戶認為組織機構違背信息保護約定，侵犯了他們的隱私。

　　與政府主管部門共享信息存在風險：首先，政府主管部門可能因組織機構沒有盡到安全保護義務而問責或處罰；其次，顧客、用戶不愿意政府部門掌握其信息；再次，共享到政府的信息可能受到政府信息公開要求的約束，向社會公開。

　　違反有關法律規定的風險：例如《反壟斷法》規定“經營者達成壟斷協議”，組織機構共享網絡安全信息的行為，有可能被當成壟斷行為，引來反壟斷機構的調查。

　　安全信息被二次使用的風險：安全信息一旦共享出去，就離開了組織機構的掌控；獲得信息的一方會如何使用這些信息無從保證；競爭對手會如何使用這些信息更難以防范。

　　信息真實性存疑的風險：組織機構可能擔心，即便自身克服這些風險，與其他方面共享了網絡安全信息，別的組織機構會這么做嗎？它們會不會故意提供錯誤的信息？

　　國家秘密泄露風險：政府向組織機構共享其掌握的網絡安全信息，如果信息擴散范圍失控，則有可能導致國家安全風險。

　　這些客觀存在的法律、聲譽、經營方面的風險，在很大程度上導致了組織機構（或政府部門）更愿意對安全事件的信息藏著、捂著，因此阻礙了網絡安全信息的共享。

　　現實運行中的安全信息共享網絡如何克服障礙

　　歸納實踐，我們大致可以看到有四類信息共享網絡：成員驅動型、數據驅動型、事件驅動型、風險驅動型。

　　成員驅動型：例如美國覆蓋重要行業和關鍵基礎設施部門的信息共享與分析中心（ISAC），包括金融服務、通信、電力、應急服務行業、醫療和公共衛生、信息技術、海事、公共交通、教育、供應鏈、運輸、水利以及房地產等。每個ISAC的成員主要來自于同一個行業。

　　數據驅動型：例如采用統一的傳輸格式或工具自動共享網絡安全信息的網絡。其中類型的典型是由美國電力行業的信息共享與分析中心（ES-ISAC）運營的網絡風險信息共享計劃（Cybersecurity Risk Information Sharing Program, CRISP）。在該計劃中，ES-ISAC幫助參與成員在各自網絡中安裝傳感器。傳感器自動將加密后的數據傳輸到美國能源部下屬的太平洋西北國家實驗室（Pacific Northwest NationalLaboratory, PNNL）。PNNL在對數據開展分析后，對參與ES-ISAC的成員發出預警，分享緩解措施。

　　在這個例子中，ES-ISAC幫助參與成員安裝統一的傳感器，這樣就首先保證了各成員大致具有相似的安全事件發現能力；其次，所有數據均由美國能源部下屬的太平洋西北國家實驗室來統一分析，也就克服了成員分析能力不同的障礙；同時，ES-ISAC采用的是集中式的信息共享網絡，且由政府部門下屬的實驗室作為網絡的中心，中心對信息進行了“脫敏”處理，能在很大程度上避免遭遇安全事件的成員面臨聲譽和經濟受損、泄露內部安全部署等風險。

　　事件驅動型：該類型的信息共享網絡主要為解決特定的事項或問題而建立。網絡中各成員的共同點在于都面臨同樣的問題。例如為解決千年蟲問題而組成的信息共享網絡。

　　此類型的信息共享網絡僅僅關注單一議題或問題，成員大小不一，所處行業各異，且組織較為松散，因此對成員的發現和分析能力要求不高，網絡中共享的信息范圍有限（主要圍繞特定的事項或問題）。這些特征造成信息共享網絡面臨的障礙不大，另一方面也決定了此類信息共享網絡發揮的作用比較有限。

　　風險驅動型：該類型信息共享網絡圍繞著特定系統或生態的安全研究而建立。共享網絡中的成員來自與特定系統或生態相關。例如專門為智能汽車的聯網安全而建立的信息共享網絡，網絡中成員可來自與智能汽車相關的方方面面。

　　與事件驅動型信息共享網絡類似，此類型信息共享網絡面臨的信息共享障礙不大，各成員之間分享某一系統或生態的漏洞、攻擊方式等，共享的信息比較單一。其中涉及的主要風險是共享的信息可能泄露知識產權和商業信息，主動分享的組織機構可通過進一步自我審查，就可以很大程度上避免該風險。（完）

　　[1] Guozhu Meng, YangLiu, Jie Zhang, Alexander Pokluda, and Raouf Boutaba. 2015, CollaborativeSecurity: A Survey and Taxonomy. ACM Computing Surveys, 48（1）：1.

　　[2] https://csrc.nist.gov/publications/detail/sp/800-150/final

　　[3]相關經驗研究見V. B. Chang, D. Kim, H. Kim, J. Na, and T. Chung, “Active Security Management Based on Secure Zone Cooperation,”Future Generation Computer System 20, no. 2 （2004）： 283

　　[4] L.A. Gordon, M.P. Loeb and W. Lucyshyn, “Sharing Information on Computer Systems Security: An EconomicAnalysis,” Journal of Accounting & Public Policy 22, no. 6 （2003）： 461-85.

　　[5] K. Hausken, “Information Sharing among Firmsand Cyber Attacks,” Journal of Accounting & Public Policy 26, no. 6 （2007）： 639-88.

　　[6]https://www.microsoft.com/en-us/download/details.aspx?id=45516

　　[7]另見“Cyber Information-sharing Models: AnOverview,” MITRE, October 2012, http://www.mitre.org/sites/default/files/pdf/cyber_info_sharing.pdf

　　[8]下文會有更詳細的介紹和討論。