网络安全共享框架与标准

汽车安全 2年前 (2022) admin

650 0 0

青骥信息安全原创技术专题

当今的网络安全威胁环境比以往任何时候都面临更大的挑战。最近针对政府和企业复杂的、有针对性的网络攻击激增，凸显了改进防御的必要性。组织必须防范那些孜孜不倦地研究他们、分析他们的弱点并使用这些信息来定制他们攻击的黑客。面对这些威胁，集体行动的好处显而易见。集体应对网络威胁的一个关键组成部分是信息共享以及对其采取行动的速度。当有关攻击者和攻击方法的信息被共享时，组织可以更好地阻止他们。在这种情况下，预先警告确实是预先准备好的。本文介绍了信息共享的历史背景和微软的信息共享框架以及国内刚刚颁布的《信息安全技术网络安全信息共享指南》（征求意见稿）。

1. 概述

人们常说，知识就是力量。在网络安全中，在正确的时间接收正确的信息可以使决策者降低风险、阻止攻击者并增强弹性。共享正确的信息不仅仅是人们交换数据，它还涉及机器对机器共享的自动化，以应对快速发展的威胁。

人们越来越意识到网络安全对国家和世界安全的影响。因此立法者和其他利益相关者鼓励共享或交换信息，他们认识到降低政府系统、关键基础设施和企业的网络安全风险的能力越来越依赖于这种信息共享的协作形式。

信息共享描述了一种将信息或经验从一个受信任方传递给另一方的方式。人们普遍认为信息共享和协作可以降低网络安全风险。

但是围绕信息共享的细节仍然存在混乱和争议：

谁应该共享信息？
应该共享什么信息？
什么时候应该共享信息？
应该如何共享？
为什么要共享？
共享内容的质量和效用如何？
可以用共享信息做什么？

2008年，Conficker工作组聚集在一起分享信息并制定应对Conficker 蠕虫病毒的响应措施，该蠕虫病毒感染了全球数百万台计算机。信息共享和分析中心 (ISAC) 被调动起来，公司事件响应团队被启动，政府也参与进来，媒体报道了达到的效果。应急人员愿意分享信息，因为可以从集体响应中获得互惠互利。响应者之间建立了信任，特别是政府响应者和私营部门参与者之间。

随着时间的推移，重复进行特定的交换能力能够建立信任，并期望各方将以一致和可重复的方式行事，从而最大限度地减少伤害和最大限度地提供保护。以更结构化的方式维持这些特别的工作，需要仔细考虑信息共享的内容、时间、方式和原因。了解这些构建模块可以帮助开发共享框架结构，不仅可以建立信任，还可以积极支持减少网络安全风险的合作。

信任起着关键的作用。信任关系培养了对所提供的信息将被采取行动的信心，以及对这些信息将被适当地保护和/或共享的信心。尽管信任是强大的，但它也是脆弱的，如果被打破，就会给各方带来毁灭性的后果。此外，信任是不可能有效立法的。因此，考虑到网络安全威胁的复杂性，我们需要一种公私合作的方式来共享信息。法律可以强制事件报告，但它们不能增加信任或合作，也不能减少风险。

随着政府机构、关键基础设施和私营企业网络中的安全事件在数量、规模、持久性和复杂性方面的增长，建立有效信息共享计划的压力也在增加。 各国政府开始认识到信息共享作为降低网络安全风险手段的重要性。许多政府已经认识到平衡隐私和公民自由的重要性。共享信息的安全利益必须以不损害隐私或对自由无不利影响的方式实现。共享网络安全数据可能会引发许多隐私和公民自由问题，包括：:

共享什么类型的信息？
它可以在多大程度上与个人或组织联系起来？
与谁共享信息（特别是从私营部门传输到政府时）？
如何存储和使用信息？

如果一个信息共享计划要被广泛接受并获得成功，强有力的隐私和公民自由保护是至关重要的。

应对当前和未来威胁所需的信息共享的广度需要明确的目标、战略、自动化和卓越的运营才能获得成功。本文讨论了微软建议的信息共享框架及其在降低网络安全风险方面的建议。

2. 为可持续的共享和协作构建基础

建立有效和可持续的信息共享计划需要详细了解以下要素：

参与者。谁需要共享信息，谁可以解决出现的问题？
交换的信息类型。共享了哪些信息，共享信息的目的是什么？
交换模式。信息共享背后的动力是什么？它是自愿共享的还是受监管的要求？
交换方法。共享信息的组织结构和治理是什么？
交换机制。信息实际上是如何共享的？
范围和运营目的。如何构建信息交换以确保其提供最大价值？

2.1. 参与者

个人或组织类型，每个人都有自己的观点、兴趣和需求，极大地影响着任何信息交换的形成。这些参与者也可能具有不同程度的技术能力，面临的威胁明显不同，根据网络安全信息采取行动的动机也不同。由于参与者的背景不同，识别和阐明独特的需要和要求是建立信任的先决条件。理解每个成员为交换贡献的价值是关键。确定任何信息共享工作的成员标准有助于从一开始就建立透明度和信任。

网络安全信息共享生态系统中的参与者及其角色

政府	政府负有国家经济和安全责任，包括需要保护自己的机密和非机密系统，打击网络犯罪，并帮助降低网络安全对公民的风险。
关键基础设施	关键基础设施的安全对于政府确保公共卫生和国防等关键国家利益的目标至关重要
商业企业	私有公司对保护敏感信息(如客户数据、商业秘密、合同信息和其他知识产权)的安全性有兴趣
IT企业	创建IT产品和服务的公司对保持其产品的安全性和完整性很感兴趣。他们经常分享产品或服务中的漏洞信息，以便安全公司能够创建解决方案来补救这些漏洞，或者他们可能会制作并发布软件更新来为他们的客户补救漏洞
IT安全公司	IT安全公司，包括杀毒软件供应商、计算机取证专家和渗透测试人员，收集并出售网络安全信息，以及这些信息提供的服务，并将其出售给生态系统中的其他公司
安全研究人员	安全研究人员跟踪恶意软件和有针对性的攻击活动，他们通过学术工作、业务或自愿合作或满足个人的好奇心来发现软件、硬件和服务中的漏洞。他们可以通知相关的回应者，以帮助减轻威胁和补救弱点，或者他们可以选择公开报告他们的发现。

2.2. 信息类型

信息共享：网络安全风险管理的基础

信息共享是共享关于网络安全事件、威胁、漏洞、最佳实践、缓解措施和其他主题的信息的过程。
信息共享可以帮助实体通过协作而更好地管理网络安全风险
通过更好地理解信息共享，组织可以创建应对网络安全挑战的计划

通常通过交换共享七种主要类型的信息。下面的概念框架说明了它们之间的关系，以及如何将它们用于特定的结果。

网络安全共享框架与标准

图1：网络安全交换信息的类型

事件	尝试和成功的攻击的详细信息，可能包括丢失的信息、使用的技术、意图和影响的描述。事件的严重程度可以从成功阻止攻击到严重的国家安全局势
威胁	尚未理解的潜在严重影响的问题;入侵的指标，如恶意文件，被盗的电子邮件地址，受影响的IP地址，或恶意软件样本;或者威胁行动者的信息。威胁信息可以帮助运营商检测或阻止事件，从攻击中学习，并创建能够更好地保护自己和他人系统的解决方案
漏洞	软件、硬件或业务流程中可能被恶意利用的漏洞
缓解方法	修复漏洞（限制或隔离漏洞）、响应事件并从事件中恢复的方法。这类信息的常见形式包括修补程序以堵住漏洞，防病毒更新以阻止漏洞利用，以及从网络中清除恶意行为者的说明
态势感知	使决策者能够对事件做出响应并且可能需要对已利用的漏洞、活动威胁和攻击进行实时遥测的信息。还可能包含有关攻击目标和关键公共或专用网络状态的信息。
最佳实践	与软件和服务的开发和交付方式相关的信息，例如安全控制、实现和事件响应实践以及软件补丁或有效性指标。
战略分析	收集、提炼和分析多种类型的信息，以构建度量、趋势和预测。它常常与对潜在情景的预测相结合，以使政府或私营部门的决策者为未来的风险做好准备。

每种类型的信息都有不同的用途。一些信息有助于政府和私营部门实体评估国家或组织层面的网络安全风险，包括关键基础设施的风险。有些有助于长期分析网络安全并为提高安全性创造激励措施。其他类型的信息可用于检测攻击、识别事件并观察这些事件以确定攻击者的目标。一些，例如最佳实践信息，对于改进硬件、软件和服务或立即改进网络防御更直接可行。此外，有关欺诈和滥用的安全信息可用于保护身份、保护账户泄露以及一般的生态系统安全状态。最后，信息共享越来越被视为促进定责和法律响应的工具。

越来越多的人认为，脆弱性和缓解信息有助于帮助不同部门的参与者决定如何最好地评估和管理风险。这一趋势反映了人们越来越认识到需要开发更好的分析能力以了解战略威胁并更好地预测 ICT及其所促成的整个经济领域的新风险。高质量的战略信息可以帮助预测下一类网络威胁可能来自何处，并确定可能激励未来攻击者的激励措施，以及他们可能针对的技术。

此外，战略分析可以帮助将事件置于更广泛的背景下，并可以推动内部变革，增强任何公共或私人组织更新风险管理实践以降低其风险敞口的能力。通常信息由一方与另一方共享，而不期望立即或近期互惠。但是公司可能会提供有关受影响客户或技术漏洞的信息，希望随着时间的推移，合作伙伴之间的信任会增加，信息会双向流动。

在过去的 15 年中，政府一直致力于增加内部或与亲密盟友共享的信息流。大多数情况下，这种共享发生在特定的网络安全事件周围，目的是获取数据以深入了解安全事件的性质和范围。这种事后分析对于了解攻击趋势至关重要。政府面临的挑战是确保收集、分析和传播信息之间的适当平衡，以击败攻击并为长期安全做好准备。除了事件响应之外，还有一个强大且不断增长的努力是分享与软件和服务的安全开发相关的最佳实践。其中包括安全控制、编码和开发实践，以及修补软件和响应事件的实践，以及这些程序的有效性指标。

2.3. 交换模型

信息共享的范围可以从零星的临时交流到通过长期正式组织建立的交流。不同的方法通常反映了各方之间的信任程度、各种参与者的法律权威以及利益相关者之间的关系等变化。每种模型都有其优势，但为正确的目的选择正确的模型对于成功至关重要。下面重点介绍两种交换模式：自愿交换和强制披露。

自愿交换模型

数据的自愿交换可能是网络安全生态系统中存在的最丰富、最有价值的交换。通过自愿信息共享，参与者确定交换数据的需求或理由，并开始共享和使用有价值和可操作的信息。政府和公司通常根据所涉及的类型和各方的目标来决定与谁共享信息。

例如，各国政府可以在双边基础上自愿与其他政府分享，也可以选择与一些政府分享。在其他情况下，政府出于对国家安全的需要，明确要求与企业共享重要信息，特别是有关威胁和漏洞的信息。

同样，私营部门的自愿努力可以是双边的，也可能涉及一组实体。私营部门实体经常共享有关事件、威胁、漏洞和缓解措施的信息，其中包括：

为集体国防或响应做出贡献。
保护他们的客户、品牌和产品。
将严重情况通知当局。
报告犯罪活动。在某些情况下，私营企业会自愿与行业和政府共享信息。

在某些情况下，私营公司会自愿与行业和政府共享信息。

除了对大型事件或威胁的集体响应之外，共享信息的最有效方案似乎是私人公司与公司之间的交流。因此，当政府希望制定最有效的信息共享制度或事件报告义务时，他们必须考虑如何加深信任、提供集体利益同时最大限度地降低声誉风险，以及对明确表达的国家事件作出反应。

最后，还值得注意的是，一些网络安全信息是通过安全公司和研究人员的商业销售来交换的。由于有关威胁、事件和漏洞的信息的增加，已经出现了一个重要的市场来满足对更好的安全性的需求。私人事件响应和取证公司最近成为重要的事件响应者和网络监控者，它们利用他们收集的专有信息和第三方共享的信息进行操作。但是，某些购买的信息可能会在其预期目的之外使用（例如利用系统），因此保护任何此类信息非常重要。

强制披露模式

政府越来越多地要求向监管机构和其他政府机构、投资者或受影响的个人(包括客户)披露安全事件信息。尽管这些监管披露规定目前在大多数国家都是有限的，但人们一直在推动要求更多的事故报告，特别是当事故影响到关键基础设施时。

在美国和欧盟，法律要求公司向受违规影响的人报告个人身份信息违规行为。例如欧盟委员会的 NIS指令草案将对“市场经营者”提出额外要求，以向国家当局报告严重事件。

有人担心，强制性的事件报告方法会分散对信息共享或事件响应的关注。至关重要的是，政府不要将事件报告或他们自己对态势感知的需求与受信任方之间的信息共享混为一谈。

此外，私营部门普遍不愿意接受有关从自愿信息共享到必要信息共享的建议。强制性事件报告本质上是单向的，本身并不能提高运营安全性或响应能力。通常，重点是报告本身，而不是如何使用收集到的信息，这对强制性报告的基本目标提出了质疑。至关重要的是，强制性事件报告的重点明确且范围，以确保报告的数据用于提高安全性并保护隐私。Microsoft 提供以下原则来帮助指导强制性事件报告策略的制定。

事故报告政策的原则

需要共享安全事件信息的策略应该是

与明确定义的结果保持一致，例如保护隐私、公共安全、响应协调或改进安全防御。
灵活且商业上合理，应尽可能利用普遍接受的方法和国际标准，避免不兼容。
注意平衡与发布事件细节相关的风险和收益。
映射到特定的结果，而不是随意选择报告事件的时间表。
支持公共和私营部门的研究和开发。

2.4. 交换方式

组织可以通过多种方式交换信息。最常用的四种方法是正式的、基于安全许可的、基于信任的和临时的。在几乎所有的情况下，交换方法确定可以包括哪些参与者，并定义程序的范围。因此，在设计交换时，重要的是要确定最符合群体成员及其目标的方法

正式的交换

正式交换是基于协议的交换，例如保密协议、法律合同或会员协议。它的条件确定了各方，并经常说明要交换哪些信息、如何使用它以及如何保护其机密性。正式交换的一个示例是 Microsoft 主动保护计划 (MAPP)，这是一项针对安全软件提供商的计划，目前汇集了 80 多个合作伙伴。MAPP 的成员会在 Microsoft 每月安全更新之前从 Microsoft 安全响应中心 (MSRC) 收到安全漏洞信息。这些信息使他们能够为客户提供更新的保护，例如防病毒软件、基于网络的入侵检测系统或基于主机的入侵防御系统。另一个例子是亚太计算机应急响应小组 (APCERT)，这是一个会员制组织，旨在加强亚太地区 30 多个 CERT 之间的合作。

基于安全许可的交换

某些信息交换项目，尤其是那些涉及情报服务的项目，需要通过受保护的渠道交换机密信息和其他敏感信息，有时直接与单一方进行。基于安全许可的交换代表正式交换的一个子集，它的范围和参与范围更窄。从长远来看，安全许可过程会在参与者之间建立信任。然而，它也可能严重限制所涉及的参与者，例如将参与者限制在特定国家的参与者——这是全球市场的一项具有挑战性的要求。让私营部门参与者获得批准可能既困难又缓慢，而且大型科技公司中的国际劳动力使情况变得更加复杂。当涉及国防承包商或其他习惯于使用机密材料的实体时，这种机密交换更有可能成功。

以信任为基础的交换

基于信任的团体通常是由志同道合的网络安全参与者组成的封闭团体，当他们看到共同关心的安全问题时，他们会临时通知彼此。他们的工作原则是，通过与其他已知成员的信任关系链将信任扩展到未知成员。他们通常没有涉及成员之间信息交换的正式协议或合同，但他们可能会实施诸如交通灯协议 (TLP) 之类的系统。TLP 使用颜色编码系统来识别可能与之共享信息的人，因此表明发起人的意图并减轻对披露程度的担忧。TLP 还加快了信息交换，因为接收者本质上知道他们可以与谁共享该信息，而无需向发起者寻求共享信息的许可。建立和维持成员之间信任的系统可以从现有成员的简单提名到严格的担保和审查系统。信任通常提供给个人，而不是直接提供给他们工作的组织。这意味着，如果个人离开组织，该组织可能无权提名其他代表。信任是基于参与者的贡献、集体行动和共享经验而建立的。

临时交换

偶发性或临时性信息共享通常是针对特定事件（例如新的挑战或危机）而发生的，并且通常持续时间有限。这种类型的共享具有高度相关性，并且非常专注于解决一组特定的问题。如果成功，它可以为更有组织的交流奠定基础

2.5. 交换机制

信息交换可以使用多种机制，这取决于信息的性质、所涉及的参与者和要处理的问题。为了确定最合适的机制，需要考虑所需的自动化级别和交换信息的格式。

Person-to-person exchanges

许多信息交换是个人对个人的非结构化信息交换。最常见的机制是电子邮件和电话，尽管加密的电子邮件和门户网站也可以使用。例如，金融服务信息共享和分析中心(FS-ISAC)和美国CERT允许参与者提交他们通过门户网站收集的威胁数据。另一个例子是英国小型社区自助门户网站“警告、建议和报告点”(WARP)，该网站基于ISO 270106，鼓励信息共享。这种交换机制具有潜在的价值，因为它可以处理大量数据，并允许参与者匿名提交信息。然而，人与人之间的交流面临的挑战是，它们很难衡量，需要具有历史和信任的重要的个人关系来促进信息的交流。

Machine-to-machine exchanges

在安全专业人员中，目前的重点是开发自动交换信息的系统。人们认为，这些系统不仅使行动者能够更快地识别对他们来说重要的信息，而且还能在威胁发生时自动减轻威胁。在美国，最近的机器对机器信息交换的例子包括:安全事件系统及其集体智能框架组件，来自研究和教育网络信息共享和分析中心(REN-ISAC);公共区域信息安全事件管理(PRISEM)，来自华盛顿州;以及美国国土安全部(DHS)提供的增强网络安全服务(ECS)。

Microsoft Interflow是一个安全与威胁信息交流平台，面向网络安全领域的专业人士，遵循类似的一套原则。它使用行业规范，如结构化威胁信息表达(STIX)和可信的指标信息自动交换(TAXII)，来创建一个自动的、机器可读的威胁和安全信息feed，可以在行业和组之间近实时共享。这可以通过自动化当前通常手工执行的流程来帮助降低成本和提高防御速度。

2.6. 信息格式

许多(如果不是大多数的话)信息交换计划依赖于人们与对方的积极沟通，这意味着共享是非正式的，并且取决于情况。随着信息交换的自动化，需要开发标准来确保机器的可读性和互操作性

开放的反应

在响应事件时，诸如ISACs或ICASI这样的组织通过电话会议共享一般信息，并通过电子邮件提供具体信息。对支持或资源的请求可以是组织使用的任何格式，如电子表格或简单的文本文件。

独特的信息共享

新的和新颖的事件几乎总是导致需要以独特的方式共享信息。受攻击的一方可能只愿意共享足够的信息，以便更快速地恢复其系统。尽管共享的内容可能看起来很常规(概念证明或利用代码、散列或机器配置信息)，但事件可能是唯一的，信息只共享一次。

结构化信息共享

为了提高信息的一致性、效率和互操作性，使用标准化格式进行信息交换的倡议正在进行中。事件对象描述交换格式是Internet工程任务组标准，它定义了事件信息的结构化表示。类似地，结构威胁信息表示(STIX)寻求对事件、威胁、漏洞、缓解、态势感知和战略分析信息的格式进行标准化。

3. 信息共享的基础

交换的范围可以极大地影响所使用的信任机制，无论该范围是包括小规模的、区域性的研究人员小组定期举行会议和电话讨论威胁和漏洞，还是涉及国家政府之间的高层情报共享。

网络安全共享框架与标准

正确的参与者对于创建信息交换分组至关重要。信息交流通常由个人和组织组成，这些个人和组织因其专业知识、影响变化的能力和洞察力而被挑选出来。在某些情况下，信任是关键的门槛因素。两个截然不同的因素限制或扩大了信息交换关系:地理范围和操作目的。

3.1. 地理范围

区域

一些信息交流项目，特别是在私营部门，通过当地公司、大学和讨论共同威胁和漏洞的专家开展。在美国，像湾区首席安全办公室理事会和马萨诸塞州高级网络安全中心这样的非营利组织提供了地区性交流组织的例子。美国联邦调查局(FBI)也开发了InfraGard，这是一个地区性的公共/私人信息共享中心。这种项目的地方性质有利于通过面对面的会议建立信任。

国家

许多国家层面的交流计划，包括自愿的和有要求的，包括并影响所有主要的交流参与者。各国政府固有的监管和安全角色表明了开展国家交流项目的必要性。在美国，国会和行政部门提出的大多数建议都集中在国家一级参与新的信息交流计划。

国际

网络威胁通常是国际性的，因此信息交换参与者可能希望跨越国界共享信息。对于政府来说，这样的共享可能会有问题，因为传递敏感甚至机密信息通常只会发生在亲密的盟友之间。因此，旨在建立包括政府在内的国际交流项目的努力进展甚微。例如，欧洲公私弹性伙伴关系(EP3R)试图建立一个涉及政府和私人行为体的全欧盟交流项目，但在建立有效的信息交流机制方面进展缓慢

3.2. 操作目的

针对特定部门

某些资料分享计划具有部门性质。考虑到一个部门内多个供应商可能面临的威胁，特定部门的共享已成为关键基础设施供应商，特别是政府机构的一种流行的信息交换手段。ISACs和国防工业基地网络飞行员是特定行业信息交换关系的例子。

共同利益驱动的

参与者经常聚集在一起，就特定的网络安全问题交换信息和最佳实践。这种关系可以是临时的，也可以是制度化的。例如，SAFECode20将许多利益相关者聚集在一起，交换开发安全软件代码和创建更好的软件保证模型的最佳实践。类似地，ICASI召集私人参与者，交换关于应对安全事件的程序的信息

共同关心的驱动。

有时，小组的组成是为了共享关于对某种技术的共同依赖的信息。联合王国的21世纪保护国家基础设施中心和欧洲的控制系统信息交流就是很好的例子。这些论坛提供了一个可信任的环境，成员可以在其中共享关于控制系统或关键操作风险的信息。在其他情况下，当漏洞威胁到许多不同的参与者时，组织可能会选择一起实时解决问题。Conficker工作组(前面提到过)经常被认为是一个有效的网络安全合作伙伴。德国反僵尸网络咨询中心(German Anti-Botnet Advisory Centre)同样召集了政府、互联网服务提供商和杀毒软件供应商，告诉人们如何清理被加入僵尸网络的机器。

4.国内网络安全信息共享指南

2021年12月17日，全国信息安全标准化技术委员会发布《信息安全技术网络安全信息共享指南》（征求意见稿），是国内网络安全信息共享工作正式化和标准化的开始，尽管当前还是意见征集阶段。

《信息安全技术网络安全信息共享指南》（征求意见稿）（以下简称为“《指南》”）给出了网络安全信息共享活动要素、基本原则、共享范围和活动过程。适用于国家和行业主管部门、网络运营者、网络安全服务机构、研究机构和个人等网络安全信息共享参与方之间的网络安全信息共享活动。

在共享活动要素方面，《指南》提出，共享活动要素一般包括共享场景、共享参与角色、共享模式、网络安全信息等：

共享活动可分为信息公开、信息报送或下放、信息互换三种；

共享参与角色可以划分为共享活动发起者、信息提供者、信息控制者、信息使用者四种；
共享模式可分为中心共享模式、点对点共享模式和混合共享模式三种；
网络安全信息可分为威胁信息、应对措施信息、经验信息、态势信息、其他信息五种。

在基本原则方面，《指南》提出应遵循：

有效性原则
敏感信息最小化原则
知情同意原则
安全性原则

在共享范围方面，《指南》提出：

按照共享主体，可划分为国家、行业、组织或个人三个层面；
按照信息敏感程度，可划分为完全共享、内部共享、受限共享三种类别。

在共享活动过程方面，《指南》提出，共享活动过程包括共享活动准备、共享活动实施、共享活动终止三个阶段。

共享活动准备阶段包括明确共享场景、评估网络安全防护能力、识别共享参与角色、确定共享范围和网络安全信息类别、选择共享模式、制定共享策略和规程六项主要任务；
共享活动实施阶段包括建立网络安全信息清单、保护网络安全信息、监督和评价、持续共享、利用网络安全信息、调整共享活动和退出共享活动七项主要任务。

此外，《指南》还给出了网络安全信息共享活动示例、网络安全信息共享模式示例、网络安全信息描述、共享活动中的信息交换技术概述四个附录

5. 推荐

降低网络安全风险越来越依赖于广泛参与者之间的信息共享和协作，利用许多不同的模型、方法和机制。建立有效的信息共享计划是一项艰巨的任务。成功的信息工作需要承诺、信任、合作和明确的价值观。以下建议以本文探讨的概念为基础，以支持和推进公共和私营组织的信息共享工作

1) 为信息共享和协作制定一个总体战略

信息共享策略可以帮助组织确定优先级，建立共享的价值观，并为建立有效的信息共享过程设定路线。策略可以减少混乱，并增加对组织内部及其合作伙伴之间信息共享工作的支持。

2) 设计时考虑到隐私保护

信息共享的努力必须尊重隐私和公民自由，并应以最大程度地保护这些为目标进行设计。这些努力应包括建立在交易所的强有力的保护，并必须基于公平信息实践原则或其他国际公认的隐私和公民自由政策。

3) 建立一个有意义的治理过程

信息共享的成功或失败取决于信任和成员之间共享的数据的价值。因此，在网络安全问题被识别并宣布为突发事件之后，实体应该为其解决方案建立明确的目标，并应该评估最佳支持这些目标的参与者、信息类型、模型、方法和交换机制。确保成员遵守规则(并且规则得到执行)对工作的可信性至关重要。一个有意义的治理过程应该包括对共享数据的适当管理，从数据的创建和发布到数据的使用和销毁(在必要和适当的情况下)。

4) 集中分享可采取行动的威胁、漏洞和缓解信息

共享威胁、漏洞和缓解信息可以立即改善网络安全，并有助于为一般ICT消费者创造更好的结果。共享可操作的信息使行动者能够更好地保护网络和减轻威胁。交换这种类型的数据有助于建立信任，特别是在信息共享的早期阶段。自动化共享机制越来越多地用于快速共享这些信息并对其采取行动。使用机器可读的格式来交换威胁和缓解信息可以帮助自动化防御和降低风险

5) 通过建立人际关系来促进自愿信息共享

交流项目参与者之间的人际关系和信任，以及对项目本身的信任，都是至关重要的。相互信任的关系会营造出一种对行为有某种共同期望的氛围。互惠可以成为推动集体行动问题情景合作的一个强大因素。如果一个信息交换项目的成员期望他们的对手，即使是那些直接竞争关系的人，是真诚的，他们更有可能分享关于威胁和漏洞的信息。

6) 仅在有限的情况下要求强制共享信息

强制事件报告与自愿信息共享非常不同。在某些情况下，例如在国家安全和公共安全的情况下，可能需要强制报告事件。但是，这种强制性的方法应该严格定义，并通过可信的机制来实现。这有助于确保在适当的时间框架内只与适当的涉众共享正确的信息。此外，这种狭隘的做法加强了隐私和对公民自由的保护。政策努力应鼓励信息共享过程，这种过程应透明地说明如何使用这些数据，并确保向提交者分享的信息是有价值和及时的。

7) 充分利用共享信息，开展长期趋势分析

对网络安全事件的根本原因有更深入的了解，可以帮助预防未来的事件，并有助于改进安全分析。在许多情况下，对事件的详细分析可以帮助组织选择并确定网络安全风险缓解的优先级。这些信息的交换可以改善关键的基础设施运营，并可以帮助ICT供应商使产品和服务更能抵抗滥用、妥协或失败。此外，这种分析还可以帮助建立对长期趋势的认识，让网络捍卫者更好地了解新兴的网络威胁和利用方法的转变。

8) 鼓励全球分享最佳做法

最佳做法的交流是各国政府通过与其他行动者合作发挥积极作用的一个舞台。在安全和技术发展的许多其他领域中，公共/私人信息共享取得成功的一个方面是创造和分发关于标准和最佳做法及其有效性的信息。根据最佳实践在政府和其他行动者之间建立的牢固关系是发展与其他网络安全信息相关的交换关系的良好起点。各国政府还可以鼓励接受最佳做法，特别是私营关键基础设施，因为这种信息可以建立更强有力的防御姿态。

附件：

1.《Information Sharing Framework for Cybersecurity》

2.https://mp.weixin.qq.com/s?src=11×tamp=1642301714&ver=3561&signature=p1ElYsproqB2Jcagjhb4JhnsKI-dMVs3TtittN1Ps79qrMrvEXQW7ywSE5axikj01uSrTTB2-Z00tvWDrRHH*wKdX8uCumA4hmdwbwYyW33YbfFT6OH6ofwa1Mq5o1CF&new=1

END