網(wǎng)絡安全信息共享，顧名思義就是政府把關于網(wǎng)絡安全的信息、情報、研判等分享給私營部門，同時私營部門將其受到威脅、攻擊等有關信息報告給政府，以及私營部門之間互相交流有助于網(wǎng)絡安全防護工作的信息。

　　我國《網(wǎng)絡安全法》第五十一條規(guī)定“國家建立網(wǎng)絡安全監(jiān)測預警和信息通報制度。國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關部門加強網(wǎng)絡安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡安全監(jiān)測預警信息”。該條明確要求政府和私營之間應當建立起信息共享的機制?！毒W(wǎng)絡安全法》第二十九條提出，“國家支持網(wǎng)絡運營者之間在網(wǎng)絡安全信息收集、分析、通報和應急處置等方面進行合作，提高網(wǎng)絡運營者的安全保障能力”，表明國家應當鼓勵、支持私營部門之間的網(wǎng)絡安全信息共享合作。

　　美國被公認為當今世界網(wǎng)絡技術和網(wǎng)絡安全立法方面最為發(fā)達的國家，但近年來美國在網(wǎng)絡安全立法上一直停滯不前。在第111 屆國會期間（2009—2010年），共有涉及網(wǎng)絡安全的法案、決議案逾60件。在第112 屆（2011—2012年）和第113屆國會（2013—2014年）期間均有逾40件法案、決議案。但直到第113屆國會最后時刻，國會才通過四項法案。這也是自頂著“互聯(lián)網(wǎng)總統(tǒng)”稱號的奧巴馬2009年就任以來，美國國會首次就網(wǎng)絡安全通過了法案。

　　即便如此，事實表明，自2002年通過《聯(lián)邦信息安全管理法》以來，美國沒有通過任何重要的綜合性網(wǎng)絡安全立法。2014年年末通過的四項法案也僅是對已有法律的修正案或者是就人員和機構(gòu)等局部事項作出規(guī)定。

　　美國政府和國會網(wǎng)絡安全綜合性立法的重點放在促進網(wǎng)絡安全信息共享，以及建立個人數(shù)據(jù)泄露竊取事件的強制披露機制。原因是在美國，90%的關鍵基礎設施為私人所有，美國法律又將這些私有關鍵基礎設施的安全防護責任放在設施所有人身上，而非政府。因此，美國政府增強基礎設施安全的最主要手段就是通過促進政府部門和私人部門之間的公私合作，實現(xiàn)網(wǎng)絡威脅的“群防群治”，同時借由事件強制公開，督促私人部門改進網(wǎng)絡安全措施。這兩個方面中，網(wǎng)絡安全的信息共享是公認的重中之重。

　　信息共享意味著什么——安全防護理念的變化

　　在過去，大多數(shù)的組織機構(gòu)對于維護自身的網(wǎng)絡安全，抱著這樣一種思維定勢：“各家自掃門前雪，莫管他人瓦上霜”。與“高筑城墻，深挖護城河”相配合，組織機構(gòu)的信息系統(tǒng)與其他組織機構(gòu)的連接通道越少越好；信息系統(tǒng)的技術細節(jié)和安全防控布局要嚴格保密；一旦發(fā)生網(wǎng)絡安全事件，必須嚴格控制分析、處置等信息的擴散范圍，越少人知道越好，更別提對外透露了。

　　許多組織機構(gòu)滿足于通過此種孤立的自我防御（即最大程度的“隔離”和“藏著、掖著”）的方式來追求信息系統(tǒng)安全。但這樣的方式也導致了組織機構(gòu)在開展安全防護工作時，只能依靠自己——極其局限的信息和情報、有限的人力和知識儲備，因而無法有效應對網(wǎng)絡攻擊。

　　首先，孤立的自我防御導致的局限性，體現(xiàn)在防御和處置網(wǎng)絡攻擊、發(fā)現(xiàn)安全漏洞等方面。借用“殺傷鏈”模型，網(wǎng)絡攻擊可大致劃分為七個階段：偵查跟蹤（reconnaissance）、武器構(gòu)建（weaponization）、載荷投遞（delivery）、突防利用（exploitation）、安裝植入（installation）、通信控制（command and control）、達成目標（actions on objective）。

　　真正的安全防范能力應該覆蓋攻擊者的每個階段，安全信息共享可以讓防御方在更早的階段介入到防范工作中。例如，在實踐中，許多網(wǎng)絡攻擊者對大量目標采用了相似的攻擊工具和手法（即“殺傷鏈”前三階段），因此通過共享網(wǎng)絡安全信息，就能有效地分析、歸納得出關于攻擊者、攻擊工具和手法的信息和情報，從而為防御方在盡可能早的階段地阻斷“殺傷鏈”提供先機。

　　而孤立的自我防御下，由于掌握的信息和情報十分有限，組織機構(gòu)往往只能在突防利用及之后的階段，才具備檢測、防御的技術手段和能力。顯然，孤立的自我防御導致了防護工作的被動。

　　其次，孤立的自我防御導致的局限性，還體現(xiàn)在開展安全規(guī)劃、部署等方面。缺乏相互溝通、相互借鑒，安全人員能看見、能分析的對象，只能是自家的系統(tǒng)，無法從其他組織機構(gòu)經(jīng)歷的安全事件中獲得寶貴經(jīng)驗，包括那些安全事件中涉及的漏洞、被攻破的系統(tǒng)的安全部署方案及采用的具體安全措施和產(chǎn)品、能夠抵御攻擊的安全措施等等。安全人員僅能從“小樣本”中學習、改進。缺少從“大樣本”中提煉出來的安全信息、情報、知識，安全人員無法準確評估哪些工具、技術、做法在應對特定威脅時最為有效。

　　極其有限、單薄、碎片的信息和情報，讓組織機構(gòu)的安全人員在決定購買、部署安全措施和產(chǎn)品時，只能依靠泛泛的一般性建議和教科書上通行的做法，甚至于道聽途說和直覺，很大程度上困于“盲人摸象”的局面。

　　再次，孤立的自我防御無法應對快速變化的網(wǎng)絡安全形勢。一方面，網(wǎng)絡和信息系統(tǒng)之間相互依賴程度不斷，在這樣不可逆轉(zhuǎn)的趨勢下，單個組織機構(gòu)的安全越來越取決于其他與之相連的組織機構(gòu)的安全，缺乏協(xié)同的防御效果難以令人滿意。

　　另一方面，近年來，網(wǎng)絡攻守平衡逐漸被打破，攻擊方的能力有大幅上升，例如分布式攻擊（僵尸網(wǎng)絡、DDoS）日益數(shù)量猖獗、漏洞黑市交易漸成規(guī)模、惡意軟件和網(wǎng)絡武器越來越復雜、網(wǎng)絡犯罪組織化程度提高等。許多攻擊必須在綜合來自多方的信息后，才能被發(fā)現(xiàn)。因此，任何組織機構(gòu)靠一己之力，已經(jīng)無法對抗攻擊。

　　從孤立式的安全到協(xié)同式的安全（collaborative security）

　　協(xié)同式的安全，本質(zhì)上是要匯集眾智，以指導組織機構(gòu)的每個安全決策和行為。因此，與孤立式的自我防御最大的不同，在于協(xié)同式安全非常注重對外的溝通和合作。如下圖所示，組織機構(gòu)內(nèi)部除了監(jiān)控自身網(wǎng)絡、系統(tǒng)的部門，以及做出安全決策的部門之外，還專門設立合作部門開展對外的溝通合作。

　　合作式安全基本示意圖[1]

　　合作部門一方面把自身系統(tǒng)產(chǎn)生的安全信息和情報，與合作伙伴共享，另一方面源源不斷地將從外界得到的安全信息和情報，提供給決策部門參考、借鑒。

　　形成與外界制度化的信息溝通渠道、網(wǎng)絡，能夠給組織機構(gòu)的安全防護帶來什么樣的好處？2016年10月，美國國家標準技術研究所（NIST）發(fā)布了《網(wǎng)絡威脅信息共享指南》（編號：NIST SP 800-150）[2]，以向社會征求意見。在《指南》中，NIST指出安全信息共享能夠：

　　共享情景感知（Shared Situational Awareness）：信息共享能夠有效動員、發(fā)揮共享伙伴們集體的知識、經(jīng)驗、分析能力，因而能夠增強所有組織機構(gòu)的防御能力。共享網(wǎng)絡中的每一成員能受益于其他成員的知識和經(jīng)驗。每一成員對共享網(wǎng)絡的一點貢獻，都可以提高整個共享網(wǎng)絡對情景的感知和安全水平。

　　增強對威脅的認知（Enhanced Threat Understanding）：通過共享威脅情報，組織機構(gòu)能獲得對威脅環(huán)境更加完整的認識，從而能夠根據(jù)威脅環(huán)境的實時變化，有針對性地設計和部署安全措施、檢測方式等。

　　提升知識成熟（Knowledge Maturation）：通過共享和分析，原本看似互不相關的信息和觀測能相互關聯(lián)，并在此基礎上構(gòu)建針對特定時間和威脅的指標，同時對指標之間的關系取得更深的認識。

　　提高防守靈敏度（Greater Defensive Agility）：攻擊方持續(xù)根據(jù)防守方的保護和檢測方式，來修正攻擊的手段、技術、過程（Tactics, Techniques, and Procedures, TTP）。通過信息共享，組織機構(gòu)能獲得對攻擊方TTPs的快速偵測、應對，使防御從被動變?yōu)橹鲃印?/p>

　　改進安全決策（Improved Decision Making）：通過信息共享，組織機構(gòu)對安全態(tài)勢獲得了更完整、全面的認識。在做出安全決策時，更加高效，也更加自信。

　　對單個組織機構(gòu)來說，參與安全信息共享，能對攻擊者有更多、更深的了解，縮短對網(wǎng)絡攻擊的反應時間；能夠效仿別的組織機構(gòu)部署的行之有效的安全措施，提高總體安全水平。[3]

　　美國學者的一項研究還表明，參與安全信息共享的組織機構(gòu)，只需更少的投入，就能取得與沒有參與信息共享的組織機構(gòu)相同的安全水平。[4]原因正是，安全信息共享能夠讓組織機構(gòu)聰明地做出投資決定，事半功倍。另一項針對金融機構(gòu)的研究表明，隨著系統(tǒng)之間相互依存程度的上升，安全信息共享能帶來的好處就更多；同時，共享得越多，對安全的投資就越高效。[5]

　　事實上，除了提高組織機構(gòu)安全水平，信息共享還能推動網(wǎng)絡安全市場的健康發(fā)展。在著名經(jīng)濟學家阿克洛夫（George Akerlof）提出的“酸檸檬市場”中，顯著的信息不對稱，導致一方面買方難以分清商品的真正價值和好壞，另一方面賣方可以“安全”地夸大商品質(zhì)量。此時，買方只愿意通過市場上的平均價格來判斷商品的平均質(zhì)量，因此也只愿意付出平均價格。由于商品有好有壞，買方只愿意付出平均價格，就會使提供好商品的吃虧，提供壞商品的得益。于是好商品便會逐步退出市場。由于平均質(zhì)量下降，導致平均價格進一步下降，真實價值處于平均價格以上的商品也逐漸退出市場。最后，“酸檸檬市場”就只剩下壞商品。

　　在很大程度上，網(wǎng)絡安全市場中買賣雙方間恰恰存在嚴重的信息不對稱。例如，信息系統(tǒng)和網(wǎng)絡沒有發(fā)生安全事件，很多時候我們很難分清到底是購買的安全產(chǎn)品和服務確實有效，還是因為沒有被厲害的黑客盯上。缺乏安全信息共享，導致購買安全產(chǎn)品和服務的一方因“樣本”信息過少，而無法準確地評估功效。網(wǎng)絡安全市場中的信息不對稱得不到糾正，就很會導致“劣幣驅(qū)逐良幣”的現(xiàn)象，進而加劇買方對賣方的不信任。購買意愿降低，市場就會進一步萎縮，創(chuàng)新進步也就無從談起。

　　對政府主管部門來說，組織機構(gòu)間更大程度的安全信息共享，意味著有更多的安全信息和數(shù)據(jù)被“生產(chǎn)”出來，并開始流通。安全大數(shù)據(jù)得以成為可能。主管部門能借此在宏觀層面，更全面地掌握威脅和安全防護方面的全局性情況，分析出未來可能的發(fā)展趨勢，為在國家層面制定戰(zhàn)略和行動計劃、開展專項行動，有針對性地協(xié)調(diào)各部門、各行業(yè)進行防護工作等打下堅實的基礎。

　　另一方面，主管部門參與到安全信息共享中去，把自己掌握的情況通過共享網(wǎng)絡做到快速、廣泛發(fā)布，通過信息共享，達到調(diào)動、協(xié)調(diào)全社會實現(xiàn)實時的群防群治，提高網(wǎng)絡安全治理的效果。

　　共享哪些安全信息

　　每一類的信息都具有潛在的用途。例如有些信息能夠幫助政府主管部門或者組織機構(gòu)評估所處的威脅環(huán)境，包括攻擊者都有哪些、他們的規(guī)模和組織化程度、感興趣的目標、希望達到的目的等。通過信息共享，綜合大量的案例，并加以分析和跟蹤，形成對攻擊者行為模式、攻擊成本的描述，最終形成攻擊組織的畫像（Profiling）。

　　有些信息經(jīng)過共享、綜合，則能夠幫助組織機構(gòu)重構(gòu)單條殺傷鏈，分析攻擊工具、攻擊手法、攻擊來源、攻擊目標等特征。還有一些信息提供了應對某類威脅或攻擊的指南。共享這類信息能夠使組織機構(gòu)相互借鑒，提高安全防護水平。

　　2015年年初，美國微軟公司發(fā)布《網(wǎng)絡安全信息共享和風險降低框架》（A framework for cybersecurity information sharing and risk reduction）[6]。在《框架》中，可供共享的網(wǎng)絡安全信息可分做以下7類：

　　安全事件信息（incidents）：關于成功的或未遂的網(wǎng)絡攻擊的細節(jié)信息，具體包括丟失的信息、攻擊中使用的技術、攻擊意圖、造成的影響等。安全事件所囊括的范圍從一次被成功封阻的攻擊，到造成嚴重國家安全危機的攻擊。

　　威脅信息（threats）：包括尚未認識清楚但可導致潛在嚴重影響的事項；感染指標（Indicators of Compromise, IoC），如惡意文件、被竊取的電子郵箱地址、受影響的IP地址、惡意代碼樣本；關于威脅行為者（threat actors）的信息。該類信息有助于發(fā)現(xiàn)安全事件，從攻擊中吸取教訓，創(chuàng)造解決方案等。

　　漏洞信息（vulnerabilities）：軟件、硬件、商業(yè)流程中可被惡意利用的漏洞。

　　緩解措施信息（mitigations）：包括修補漏洞、封阻或遏制威脅、安全事件響應和恢復的方法。此類信息一般以漏洞補丁、殺毒軟件升級、從網(wǎng)絡中清除惡意行為者的方向等形式存在。

　　情景感知信息（Situational awareness）：此類信息包括對被利用漏洞、活躍的威脅、攻擊的實時遙測，還包括攻擊目標、網(wǎng)絡狀況等信息，能夠幫助決策人員響應安全事件。

　　最佳做法信息（Best practices）：關于安全產(chǎn)品和服務的開發(fā)和部署的信息，包括安全控制、時間響應流程、軟件漏洞修補等。

　　戰(zhàn)略分析信息（Strategicanalysis）：綜合、提煉、分析來自各方面的信息，以構(gòu)建度量體系、描繪趨勢、開展預測，幫助政府和私營部門決策者為未來的風險提前做準備。

　　安全信息共享網(wǎng)絡的基本模式

　　《網(wǎng)絡威脅信息共享指南》給出了安全信息共享網(wǎng)絡的三種基本結(jié)構(gòu)：集中式（centralized）、同儕式（peer to peer）、混合式（hybrid）。[7]

　　在集中式下，中心從端點接收安全信息，經(jīng)過綜合、分析后，再將結(jié)果傳回端點。一般來說，集中式的中心需要具備強大的信息存儲、處理、加工、分析能力，才能滿足信息共享網(wǎng)絡的不斷變化的需求。該模式的缺點是，整個信息共享網(wǎng)絡依賴于中心作為安全信息交換樞紐，如果該中心發(fā)生信息處理延遲，甚至于遭遇安全事件，則整個信息共享網(wǎng)絡的功能就會大打折扣，并有可能完全癱瘓。

　　在同儕模式下，每個端點自主向其他端點推送網(wǎng)絡安全信息，或直接向整個信息共享網(wǎng)絡廣播。由于不存在一個信息交換中心，因此同儕模式對各個端點的安全信息接收、分析能力提出了較高的要求。

　　混合式則綜合了集中式和同儕式。每個端點向中心發(fā)送安全信息的同時，端點和端點之間也建立直接的信息共享渠道。

　　構(gòu)建安全信息共享網(wǎng)絡的另一個基礎性問題是自動化分享模式和人工共享模式的選擇。人工共享模式下，組織機構(gòu)指派專人負責安全信息的發(fā)送和接收、分析工作。該模式的缺點在于人的因素構(gòu)成了信息共享網(wǎng)絡的瓶頸，如人為導致的錯誤，無法勝任實時、持續(xù)性、高強度的信息發(fā)送、接收、安全配置更新工作等。

　　自動化共享模式則強制要求信息共享網(wǎng)絡的各個端點采用統(tǒng)一的信息傳輸格式，安裝用于收集安全信息的傳感器，能夠接收預警信息的監(jiān)控系統(tǒng)，以及避免敏感安全信息泄露的安全機制。自動化共享模式克服因人的因素造成的局限，但其高度的自動化卻也導致遭受網(wǎng)絡攻擊的風險。

　　消除妨礙安全信息共享網(wǎng)絡運行的三大障礙

　　上文介紹了協(xié)同式安全理念的興起、安全信息共享帶來的好處、共享的安全信息的分類，以及共享網(wǎng)絡的基本結(jié)構(gòu)和信息傳遞方式等，主要屬于一種抽象式、理論化的描述。

　　現(xiàn)在讓我們進入到紛繁復雜的現(xiàn)實中去，探究如何建立一個有實效、可持續(xù)、有序的安全信息共享機制。從紙面上的設計，映射到現(xiàn)實中的制度建設，再到運行流程的信息共享網(wǎng)絡，主要是消除三大運行中的障礙。

　　障礙之一：成員的發(fā)現(xiàn)能力

　　顯然，不能發(fā)現(xiàn)網(wǎng)絡安全事件，后續(xù)的分析和共享也就無從談起。如果信息共享網(wǎng)絡中的成員發(fā)現(xiàn)安全事件的能力高低差距明顯，將會直接導致大部分共享的信息，主要由發(fā)現(xiàn)能力強的成員單方面提供。長此以往，信息共享網(wǎng)絡的價值和可持續(xù)性將大打折扣。因此，在建立信息共享網(wǎng)絡中，往往要對入網(wǎng)的成員提出具備一定安全事件發(fā)現(xiàn)能力的要求。

　　光具備發(fā)現(xiàn)安全事件的能力還不夠。如果有成員考慮到共享的成本、風險等原因，刻意隱瞞發(fā)現(xiàn)的安全事件，不將有關信息共享出來，“搭便車”的問題還是沒法解決。因此，信息共享網(wǎng)絡還需要采取一定的措施，或是通過激勵（incentives），或是通過強制（mandates）手段[8]，解決這個問題。

　　障礙之二：成員的分析能力

　　如果信息共享網(wǎng)絡中的成員僅僅是把與安全事件有關的各種信息全部共享出去，而未加任何分析，顯然會造成整個共享網(wǎng)絡信息過剩的問題。面對大量的“雜音”，信息接收方需要自己開展過濾、分析，工作量大幅增加的同時，“收獲”卻寥寥無幾。這樣的信息共享網(wǎng)絡終將不可持續(xù)。因此，許多信息共享網(wǎng)絡會要求成員應該首先對安全事件作出分析；有些信息共享網(wǎng)絡還專門列出指導分析安全事件的幾類問題：

　　安全措施的影響

　　系統(tǒng)發(fā)生安全事件時使用了哪些安全措施，為什么這些措施不足以防御威脅入侵？

　　哪些安全措施可能能夠防御此次威脅入侵？

　　安全事件發(fā)生后，系統(tǒng)對安全部署和防御做了哪些調(diào)整？

　　入侵發(fā)生的根本原因及第三方因素

　　系統(tǒng)的軟、硬件、服務中的哪些因素（例如配置或漏洞）使得入侵得以成功？

　　是否有第三方的因素使得入侵得以成功？

　　安全事件造成的損失及后續(xù)清理

　　安全事件造成了什么損失（金錢、信息泄露、服務中斷等）？

　　采用了何種止損措施？

　　需要指出的是，并不是說對所有這些問題分析的結(jié)果都要共享出去。因為對其中很多問題的回答，往往包含了成員的商業(yè)秘密或者其他私有信息。列出這些問題的意義在于，發(fā)生安全事件后，成員應當試圖從這些方面做出分析、得到初步答案后，再將部分結(jié)論共享給其他成員。至于哪些信息需要共享、哪些信息可以保留，主要根據(jù)信息共享網(wǎng)絡的目的，以及信息共享網(wǎng)絡成員間的相互約定。

　　障礙之三：共享的風險

　　共享網(wǎng)絡安全信息，一定程度上是向外界透露關于組織的安全信息，存在各種風險。舉例說明如下：

　　聲譽和經(jīng)濟受損的風險：遭到黑客攻擊，本來就是不光彩的事。防住了還好，沒防住還要將有關情況共享出來，好比是家丑外揚。如果這些信息泄露到信息共享網(wǎng)絡之外，全社會都知道了，組織機構(gòu)的聲譽將受重大損失，還可能造成股價的下跌；

　　被起訴或被主管部門問責處罰的風險：被外界知道沒能防住黑客攻擊，造成經(jīng)濟損失或者信息泄露，有可能被有關權(quán)利人起訴；

　　泄露內(nèi)部安全部署的風險：別有用心的人可以從共享出去的網(wǎng)絡安全信息中逆向推導，借此掌握組織機構(gòu)的內(nèi)部安全機制和部署；

　　泄露知識產(chǎn)權(quán)和商業(yè)信息的風險：共享出去的網(wǎng)絡安全信息中有可能包含組織機構(gòu)的商業(yè)秘密、知識產(chǎn)權(quán)等信息；

　　違背顧客、用戶的隱私保護的風險：網(wǎng)絡安全信息中如果包含組織機構(gòu)掌握的顧客、用戶的個人身份信息、通訊信息等，共享出去可能會導致顧客、用戶認為組織機構(gòu)違背信息保護約定，侵犯了他們的隱私。

　　與政府主管部門共享信息存在風險：首先，政府主管部門可能因組織機構(gòu)沒有盡到安全保護義務而問責或處罰；其次，顧客、用戶不愿意政府部門掌握其信息；再次，共享到政府的信息可能受到政府信息公開要求的約束，向社會公開。

　　違反有關法律規(guī)定的風險：例如《反壟斷法》規(guī)定“經(jīng)營者達成壟斷協(xié)議”，組織機構(gòu)共享網(wǎng)絡安全信息的行為，有可能被當成壟斷行為，引來反壟斷機構(gòu)的調(diào)查。

　　安全信息被二次使用的風險：安全信息一旦共享出去，就離開了組織機構(gòu)的掌控；獲得信息的一方會如何使用這些信息無從保證；競爭對手會如何使用這些信息更難以防范。

　　信息真實性存疑的風險：組織機構(gòu)可能擔心，即便自身克服這些風險，與其他方面共享了網(wǎng)絡安全信息，別的組織機構(gòu)會這么做嗎？它們會不會故意提供錯誤的信息？

　　國家秘密泄露風險：政府向組織機構(gòu)共享其掌握的網(wǎng)絡安全信息，如果信息擴散范圍失控，則有可能導致國家安全風險。

　　這些客觀存在的法律、聲譽、經(jīng)營方面的風險，在很大程度上導致了組織機構(gòu)（或政府部門）更愿意對安全事件的信息藏著、捂著，因此阻礙了網(wǎng)絡安全信息的共享。

　　現(xiàn)實運行中的安全信息共享網(wǎng)絡如何克服障礙

　　歸納實踐，我們大致可以看到有四類信息共享網(wǎng)絡：成員驅(qū)動型、數(shù)據(jù)驅(qū)動型、事件驅(qū)動型、風險驅(qū)動型。

　　成員驅(qū)動型：例如美國覆蓋重要行業(yè)和關鍵基礎設施部門的信息共享與分析中心（ISAC），包括金融服務、通信、電力、應急服務行業(yè)、醫(yī)療和公共衛(wèi)生、信息技術、海事、公共交通、教育、供應鏈、運輸、水利以及房地產(chǎn)等。每個ISAC的成員主要來自于同一個行業(yè)。

　　數(shù)據(jù)驅(qū)動型：例如采用統(tǒng)一的傳輸格式或工具自動共享網(wǎng)絡安全信息的網(wǎng)絡。其中類型的典型是由美國電力行業(yè)的信息共享與分析中心（ES-ISAC）運營的網(wǎng)絡風險信息共享計劃（Cybersecurity Risk Information Sharing Program, CRISP）。在該計劃中，ES-ISAC幫助參與成員在各自網(wǎng)絡中安裝傳感器。傳感器自動將加密后的數(shù)據(jù)傳輸?shù)矫绹茉床肯聦俚奶窖笪鞅眹覍嶒炇遥≒acific Northwest NationalLaboratory, PNNL）。PNNL在對數(shù)據(jù)開展分析后，對參與ES-ISAC的成員發(fā)出預警，分享緩解措施。

　　在這個例子中，ES-ISAC幫助參與成員安裝統(tǒng)一的傳感器，這樣就首先保證了各成員大致具有相似的安全事件發(fā)現(xiàn)能力；其次，所有數(shù)據(jù)均由美國能源部下屬的太平洋西北國家實驗室來統(tǒng)一分析，也就克服了成員分析能力不同的障礙；同時，ES-ISAC采用的是集中式的信息共享網(wǎng)絡，且由政府部門下屬的實驗室作為網(wǎng)絡的中心，中心對信息進行了“脫敏”處理，能在很大程度上避免遭遇安全事件的成員面臨聲譽和經(jīng)濟受損、泄露內(nèi)部安全部署等風險。

　　事件驅(qū)動型：該類型的信息共享網(wǎng)絡主要為解決特定的事項或問題而建立。網(wǎng)絡中各成員的共同點在于都面臨同樣的問題。例如為解決千年蟲問題而組成的信息共享網(wǎng)絡。

　　此類型的信息共享網(wǎng)絡僅僅關注單一議題或問題，成員大小不一，所處行業(yè)各異，且組織較為松散，因此對成員的發(fā)現(xiàn)和分析能力要求不高，網(wǎng)絡中共享的信息范圍有限（主要圍繞特定的事項或問題）。這些特征造成信息共享網(wǎng)絡面臨的障礙不大，另一方面也決定了此類信息共享網(wǎng)絡發(fā)揮的作用比較有限。

　　風險驅(qū)動型：該類型信息共享網(wǎng)絡圍繞著特定系統(tǒng)或生態(tài)的安全研究而建立。共享網(wǎng)絡中的成員來自與特定系統(tǒng)或生態(tài)相關。例如專門為智能汽車的聯(lián)網(wǎng)安全而建立的信息共享網(wǎng)絡，網(wǎng)絡中成員可來自與智能汽車相關的方方面面。

　　與事件驅(qū)動型信息共享網(wǎng)絡類似，此類型信息共享網(wǎng)絡面臨的信息共享障礙不大，各成員之間分享某一系統(tǒng)或生態(tài)的漏洞、攻擊方式等，共享的信息比較單一。其中涉及的主要風險是共享的信息可能泄露知識產(chǎn)權(quán)和商業(yè)信息，主動分享的組織機構(gòu)可通過進一步自我審查，就可以很大程度上避免該風險。（完）

　　[1] Guozhu Meng, YangLiu, Jie Zhang, Alexander Pokluda, and Raouf Boutaba. 2015, CollaborativeSecurity: A Survey and Taxonomy. ACM Computing Surveys, 48（1）：1.

　　[2] https://csrc.nist.gov/publications/detail/sp/800-150/final

　　[3]相關經(jīng)驗研究見V. B. Chang, D. Kim, H. Kim, J. Na, and T. Chung, “Active Security Management Based on Secure Zone Cooperation,”Future Generation Computer System 20, no. 2 （2004）： 283

　　[4] L.A. Gordon, M.P. Loeb and W. Lucyshyn, “Sharing Information on Computer Systems Security: An EconomicAnalysis,” Journal of Accounting & Public Policy 22, no. 6 （2003）： 461-85.

　　[5] K. Hausken, “Information Sharing among Firmsand Cyber Attacks,” Journal of Accounting & Public Policy 26, no. 6 （2007）： 639-88.

　　[6]https://www.microsoft.com/en-us/download/details.aspx?id=45516

　　[7]另見“Cyber Information-sharing Models: AnOverview,” MITRE, October 2012, http://www.mitre.org/sites/default/files/pdf/cyber_info_sharing.pdf

　　[8]下文會有更詳細的介紹和討論。