數字化轉型下的網絡威脅情報治理能力建設研究

李留英

(國防大學政治學院 上海 200433)

沒有網絡安全就沒有國家安全.網絡空間已成為大國博弈的新型作戰域，其呈現出的強戰略性、對抗性、軍事性及復雜攻擊日益威脅到國家安全和政治穩定.新冠疫情促進了數字化轉型，加速了新型數字基礎設施建設的推進，萬物互聯使得網絡空間與物理空間、現實世界深度融合，網絡安全沖擊加劇，實施有效防護的難度越來越大，網絡空間安全治理成為各國高度關注的核心議題.

隨著全球經濟數字化轉型的升級和創新發展，全球網絡威脅持續增長，網絡核武、網絡攻擊、網絡犯罪、網絡恐怖主義日益頻繁，網絡行為體的國家化、網絡攻擊工具的專業化智能化、攻擊目的的商業化、攻擊行為的組織化、攻擊目標的精準化，大大提升了網絡空間安全防御與態勢評估的難度.在數字化轉型時期，網絡安全是數字經濟、數字未來的防護基石，安全設備結合威脅情報成為數字化發展的保護屏障.云計算、大數據、虛擬化、軟件定義網絡和區塊鏈等新技術的不斷涌現，促進了威脅情報感知、分析、共享及利用的發展，提升了威脅情報中心的檢測和反應能力，為新經濟和數字中國建設保駕護航.

1 數字化轉型下的網絡威脅危害深遠

為全方位維護美國的網絡空間安全和數字霸權，2020年美國推出清潔網絡計劃及具體政策措施，拉開了數字冷戰的序幕.

1.1 網絡威脅是網絡空間面臨的最嚴重威脅

2013年以來，美國情報界就把網絡威脅視為美國面臨的最嚴重威脅.2016年10月美國標準研究所(NIST)發布的SP 800-150《網絡威脅信息共享指南》定義網絡威脅為：“對信息系統的未授權訪問、損害、信息披露或修改、拒絕服務可能會對組織運營(包括任務、職能、形象或聲譽)、組織資產、個人、其他組織或國家造成潛在不利影響的情形或事件.”[1]網絡威脅分為傳統威脅和高級威脅，傳統威脅一般指具有破壞行為或入侵動機意圖的威脅；而高級威脅是指具有違反、中斷或戰爭動機意圖，甚至威脅人類生命的威脅.

網絡安全威脅主要來自5個方面：一是網絡信息系統運營的內部員工無意或有意的失誤操作；二是外部的自然災害或惡意失誤對物理基礎設施的損害；三是網絡信息系統和安全防御體系存在的漏洞；四是外部攻擊，物聯網(IoT)、無人機、智能機器人的發展促進了各領域關鍵信息基礎設施的關聯，為網絡攻擊提供新的路徑，增加了新的威脅來源，如特斯拉的自動駕駛系統以及特斯拉上海超級工廠遭遇網絡攻擊后，引發民眾普遍恐慌；五是網絡安全設備的產業鏈供應鏈不完善，有限設備供應商增加了網絡安全風險的發生概率.

按照網絡安全威脅的來源和危害程度，可將網絡威脅分為3個等級：一是個體和團伙實施的網絡犯罪；二是恐怖分子和組織發動的網絡恐怖主義，如2021年2月3—18日，1 021名18歲以上的美國成年人進行了蓋洛普民意測驗，82%的美國民眾認為網絡恐怖主義是嚴重威脅，超過伊朗核武的發展和國際恐怖主義；三是國家政府領導和支持的網絡間諜和網絡攻擊行動，多數企業視其為主要威脅，沒有應對經驗，未來5年將會顯著增加[2].如美國在聯合國一直堅持認為的觀點是：威脅來自國家行為，也來自該國如何使用網絡能力，而非來自技術或能力本身.2021年4月15日，美國白宮新聞簡報官網發布消息稱，美國總統拜登簽署了對俄羅斯實施新制裁的行政令，以反擊俄羅斯在Solarwinds黑客攻擊以及破壞美國大選等行為.

目前，網絡威脅出現高度不對稱性，主要體現在：一是網絡攻擊所造成的破壞效果遠遠超出規劃發動攻擊所需成本，尤其是對關鍵基礎設施的攻擊，如對水廠的攻擊，后果無法估量；二是網絡防御付出的代價遠高于攻擊收益；三是新技術新應用促使風險增長快速，如物聯網設備的幾何級數增長，無人機、監控設備的大量運用，人工智能技術的普及，很容易放大現有風險或創造出新的風險；四是網絡風險觸發形式日益多樣化自動化，而用戶防御技術和手段嚴重滯后，組織必須保持對網絡威脅和新興攻擊手段的實時監測.

云端、網端、終端3端發力，使得數字智能時代的網絡威脅危害成倍增長，主要體現為：一是威脅資產和人身安全，企業應對網絡安全問題的支出不斷提高；二是以網絡犯罪、網絡恐怖活動為首的非法行動威脅社會的安全穩定，恐怖組織往往對商場、劇院、體育場館和學校等場所實施針對性攻擊；三是網絡戰威脅通信、能源、運輸、衛生醫療、金融、自來水等國家關鍵基礎設施安全，威脅全球供應鏈安全、國家安全、經濟安全以及公共健康安全；四是利用網絡攻擊開展網絡滲透、網絡暴動、網絡指揮等嚴重威脅國家的政權安全，如2021年3月波蘭政府的2個網站遭受黑客攻擊，發布了放射性核威脅的虛假信息；五是利用社交攻擊傳播違法不良信息，制造恐慌等威脅全球穩定，如新冠肺炎疫情期間，大量網絡虛假信息引發民眾恐慌；六是新型勒索軟件威脅軍事尖端武器系統的安全，以物聯網為代表的信息技術加速了軍事武器系統的信息化智能化發展，使得武器系統面臨更多威脅.

網絡威脅無處不在，傳統的被動式防御手段已無法應對各種威脅.如何快速檢測威脅攻擊、合理分析評估并作出積極應對，增強網絡安全主動防御能力，提高網絡空間治理能力，成為迫切需要解決的問題，網絡安全威脅情報由此而生.

1.2 網絡威脅情報是網絡安全主動防御體系的重要支撐

2013年5月12日，全球著名的信息技術研究與分析公司Gartner的McMillian定義：“威脅情報是一種基于證據的知識，其涉及針對資產的已有的或潛在的威脅，包括與威脅相關的背景、機制、指標、含義和可采取行動的建議，可為組織應對相關網絡威脅提供決策信息”[3].這個定義明確了所有決策必須圍繞現有的證據知識與未來的風險而展開[4].

網絡威脅情報是一種基于證明的信息，通過分析和共享安全數據來主動響應處置高級網絡威脅.其本質就是通過分析攻擊行為來展示未知威脅，通過了解修補自身不足，提供更好的決策信息來達成共識，降低組織整體安全風險，提高安全團隊和工具的有效性理念，從而實現組織的主動防御.網絡威脅情報采用了“以空間換時間”的防護策略，通過主動感知已發生的或潛在發生的網絡威脅，限制遭受攻擊的時間和范圍，縮短威脅響應時間，保證安全防護的精準實施[3].

利用威脅情報：一是可以對敵方的攻擊工具、手法、社工情報等進行關聯分析，從而描述敵方的畫像，顯示攻擊者的全貌，便于溯源；二是可以進一步對團隊成員進行分析，發現團隊情報和隱匿組織；三是將資產、漏洞、流量、行為等威脅信息與APT組織進行大數據多維聯合分析，通過推理發現APT等新型攻擊[5]，實現威脅情報的主動防御能力.

有效的威脅情報能夠實現對網絡威脅的實時監測、主動防御、提前預警、快速響應，從而實現主動防御，是應對APT攻擊、網絡犯罪、新型安全威脅(如人工指標增強攻擊)的高級武器，是網絡安全體系的戰略戰術核心.威脅情報驅動的安全管理已達成共識[6]，一般而言，威脅情報可以將組織發現威脅的速度提高10倍，保證國家政府的感知能力和先發制人的戰略視野.

網絡威脅情報系統是一個威脅分析和信息共享系統，可增進對網絡威脅的發現和防護，縮短攻擊監測和主動響應時間.為此，建立以威脅情報為核心的主動安全防御體系，需要挖掘威脅情報的生產能力、運營能力、高級威脅分析能力，才能形成全面的預警、防御、阻斷與響應.目前，網絡威脅情報體系建設已經納入國家安全戰略規劃，很多企業都將威脅情報深度融入網絡安全設備，提升威脅情報的治理能力和服務水平.

2 歐美提升網絡威脅情報治理能力的應對措施

美國是網絡威脅情報研究和實踐的先導者.1997年美國首次提到威脅和情報的關系，2005年威脅情報開始被運用于軍事和反恐領域，并逐漸運用于信息安全領域.大數據的發展使得威脅情報成為信息安全行業的研究熱點，也對國內網絡信息安全的發展帶來巨大影響.2015年至今，威脅情報連續多年成為美國RSA大會的熱詞，威脅情報與共享更是2020年RSA大會的10大熱點，也是國家、政府、資本及軍方投資的熱點.

為了保障國家安全，每個國家均高度重視自身的情報能力建設.各國對網絡安全領域的情報工作各有所側重，但威脅情報卻是情報研究中的新熱點.

2.1 提升網絡威脅情報的戰略地位

美國很早就意識到網絡威脅情報的重要性，從國家層面和戰略高度重視網絡威脅，將網絡威脅情報預警納入國家安全戰略規劃，每屆政府出臺的國家安全戰略均強調建立網絡威脅應急響應體系，進行安全信息共享.1998年8月4日發布總統令(PDD-63)“關鍵基礎設施保護”，強調需要更好地保護關鍵基礎設施免受網絡威脅.2000年1月，美國制定了“信息系統保護國家計劃”，強調共享網絡攻擊信息，以支持PDD-63的10項計劃，保護美國關鍵系統和網絡.9.11恐怖襲擊事件之后，2003年2月小布什政府發布《國家安全網絡戰略》，鼓勵建立基于公私合作的全國威脅預警體系.2012年12月奧巴馬政府頒布《國家信息共享及保護戰略》，強調國家安全信息的共享，建議建立政府機構間數據共享機制，加強涉密和敏感信息保護[7-8].為應對新網絡威脅和戰略競爭，特朗普政府先后發布《國家安全戰略》《網絡空間安全戰略》《國家網絡戰略》《國防部網絡戰略》《國防部網絡態勢評估》和《美國保護5G國家安全戰略》等，要求情報界發揮全球領先的全源網絡情報能力，與同盟國家共享情報信息，共同應對網絡漏洞、威脅、惡意活動者等.為應對各類緊迫威脅和長期風險，提升美國對重大網絡攻擊的防御能力，2018年成立網絡空間日光浴委員會(CSC).2020年3月CSC提出“分層網絡威懾戰略”，強調通過締造網絡安全同盟，塑造新的規則，加強公私合作，運用政策工具對網絡空間行動進行反制，竭力提升國家網絡空間威脅應對能力.拜登政府強調通過新的立法，制定新一代網絡規則和協議，主動應對外部網絡威脅，必要時可主動發起網絡攻擊，避免網絡對抗的無限升級.

自2003年以來，歐盟發布系列戰略和法規標準，均明確了網絡安全信息共享的重要性，歐盟成員國也在本國的網絡安全戰略中強調建立信息共享機制，逐步形成多層次的網絡威脅情報共享規劃.《歐盟安全聯盟戰略2020—2025》強調建設強大的歐洲安全生態系統，加強信息交換與合作，培訓民眾應對網絡犯罪的技能.《歐盟數字10年的網絡安全戰略》強調：要加強歐盟各機構與成員國政府的合作，運用網絡外交工具箱應對網絡惡意活動；加強國際合作和對話，擴展歐盟網絡外交網絡，打造安全、開放、穩定的網絡空間防護體.《網絡與信息系統安全指令》(NIS指令)、《一般數據保護條例》(GDPR)和《歐盟網絡安全法案》的出臺，奠定了網絡威脅情報共享的法律基礎和遵循，充分展現了歐盟網絡威脅情報的戰略地位[9].

2.2 完善網絡威脅情報共享及管理體系

為應對網絡威脅，美國總統和白宮負責制定總體網絡安全戰略，并領導開展各項工作.國家情報總監辦公室(ODNI)作為總協調機構，國家情報總監(DNI)負責統一領導，協調中央情報局、國家安全局、聯邦調查局等16個美國情報機構之間的情報收集、共享與分析.2009年設立網絡安全協調辦公室，負責處理所有網絡安全事務，在ODNI領導下同時積極整合國土安全部(DHS)、情報界(IC)、國防部(DOD)和司法部(DOJ)及商務部(MC)等相關安全職能部門的力量協作聯動，由DHS負責政府、企業等的網絡安全事務，國防部負責軍事網絡防御，網絡司令部(USCYCERCOM)負責軍用網絡及相關作戰指揮，司法部負責司法調查，從而形成了國家應對網絡威脅能力.

為有效協調網絡威脅的評估和共享，ODNI于2015年增設了網絡威脅情報整合中心(CTIIC)，是全國網絡威脅情報的中樞.其主要職能是統籌協調國土安全部、聯邦調查局、中央情報局等多部門的網絡安全工作和整個聯邦政府的網絡威脅情報，重點是將收集的境外惡意網絡威脅事件與影響美國國家利益的網絡事件聯系起來，向決策者提供對威脅的全方位分析，為政府網絡中心、NCCIC、DOD、USCYBERCOM、DOJ等的工作和網絡防御行動提供情報支持.

為構建覆蓋聯邦政府的威脅情報體系，DHS整合了22個與國防、情報相關的聯邦機構，總體協調美國政府與私營部門間跨部門、跨地區的情報及網絡威脅信息共享.2009年成立了國家層面的信息共享機構——國家網絡安全與通信整合中心(NCCIC)，并大力推動跨領域的信息共享和分析中心(ISACs)以及信息共享和分析組織(ISAOs)的建設.2012年，美國開始建立覆蓋其關鍵基礎設施的威脅情報共享體系，打破美國公共部門和私營部門共享障礙.2018年成立網絡安全與基礎設施安全局(CISA)，統管整個聯邦政府的網絡安全工作，通過加強政府部門與私營企業的合作，共同應對美國關鍵基礎設施面臨的威脅[9].

美國國防部也積極與大量的情報機構合作，下屬的國家安全局(NSA)、聯邦調查局(FBI)協調網絡竊聽，網絡入侵，網絡威脅的共享、綜合分析和評估，通過網絡空間情報、預警和共享態勢感知情報的支持，提高政府應對網絡威脅的反應能力.2019年10月，NSA設立網絡安全局，負責整合威脅情報收集、網絡防御等任務，通過與USCYCERCOM，DHS等的合作，向合作伙伴及客戶提供威脅情報，消除針對美國國家安全系統和國防工業基礎的網絡威脅.

USCYCERCOM與FBI和DHS的CISA建立了穩定的伙伴關系，共享威脅信息.2020年USCYCERCOM與NSA合作成立選舉安全小組(ESG)，共同防御針對美國大選的外國威脅，在境外9個國家開展了11次的網絡“前出追捕”行動，搶先破壞針對美國的網絡攻擊.2020年12月至今，美國9個聯邦機構和100多個私營部門遭受SolarWinds黑客入侵后，USCYCERCOM在確定國防部信息網絡(DODIN)使用SolarWinds Orion軟件產品范圍的同時，積極支持和協助其他聯邦部門和國防工業基地解決SolarWinds網絡威脅.FBI、CISA、NSA和國家情報局局長辦公室組成網絡統一協調小組，通過加強公共部門和私人伙伴的合作，共同調查、處理SolarWinds事件.總之，美國已經建立起了覆蓋地方聯邦政府、部門(行業)、企業與政府、國家之間的多層面威脅情報共享與管理體系.

為應對恐怖主義、網絡犯罪等新型復雜網絡威脅，歐盟成立專門的網絡信息安全機構，并積極與情報部門協作，形成了歐盟、成員國、民間組織與情報機構協作的多層次網絡威脅共享機制及管理體系.在歐盟層面，歐盟委員會、歐盟理事會、歐洲議會和對外行動署負責宏觀政策策略制定及立法工作，并由ENISA主要協調歐盟層面的網絡安全戰略、政策等的實施；歐洲刑警組織(Europol)負責監控打擊網絡犯罪；歐洲防務局(EDA)和歐盟軍事參謀部負責網絡攻擊和網絡情報；歐盟對外行動署(EEAS)負責網絡外交事務、軍事領域的跨國網絡安全和防御事務；歐盟計算機應急響應小組(EU -CERT)負責歐盟委員會、歐盟議會等主要機構的網絡安全；歐洲網絡彈性公私伙伴關系(EP3R)負責私營部門的網絡安全.歐盟成員國在執行歐盟政策決議和本國的網絡安全網絡戰略外，也設立專門的網絡安全機構，負責與電信、司法、情報部門的分工協作，以及與私營部門的合作.歐盟發布的《歐盟安全議程》(2015—2020)以及多項網絡安全法案，強調要加強歐盟成員國之間的信息共享和管理.由于發展不平衡，很難真正實現網絡安全威脅情報的跨國共享和有效管理[10].

2.3 增強網絡威脅情報服務的智能化

為保護政府網絡系統安全，全面監測、分析、共享針對聯邦政府內部網絡的入侵行為，美國政府投入大量的時間和精力收集制作網絡威脅情報，構建威脅情報共享利用系統，通過完善網絡安全產業鏈形成威脅情報驅動的安全保障框架，為美國政府實時掌握來自國內外的網絡威脅情報，保障美國網絡空間安全和實施網絡戰提供了強有力的支持.

美國聯邦政府自2003年實施了愛因斯坦(EINSTEIN)計劃，后更名為網絡空間安全保護系統(NCPS)[8].目前已經在美國除國防部之外的23個機構中部署運行，增強了政府的網絡掌控能力.如2016年，NSA利用愛因斯坦計劃收集的威脅情報支持網絡空間作戰，使其真正成為美國國家安全戰略體系的重要工具.作為保護關鍵信息基礎設施和關鍵資源的主要聯邦機構，DHS構建部署了自動指標共享平臺(AIS)，目前已有200多個政府部門及機構加入該系統.日本于2017年5月加入AIS平臺，實現與美國政府、私營部門之間的網絡威脅指標的共享.國家情報總監辦公室牽頭研制的情報社區分析與簽名工具(ICOAST)，于2017年被部署到美國政府絕密級網絡，為美國政府、情報界和軍方用戶提供網絡威脅信息共享服務.2017年，美國政府發布《網絡威脅框架》(CTF)，使用通用語言對網絡威脅事件進行描述和分類，并分析網絡對手活動的趨勢或變化，有助于高層決策和制定相關網絡安全策略.2019年12月，白宮科技政策辦公室發布《聯邦網絡空間安全研究和發展戰略計劃》，強調在人工智能、量子信息科學、隱私保護等6個網絡安全重點領域的研發[9].

歐盟一直在加強網絡威脅情報平臺和能力建設，依托8個研發框架計劃推動網絡空間治理創新.如2016年，歐盟委員會推出公私合作的全新網絡安全研究創新項目——Horizon 2020，研究建設威脅情報共享態勢系統，提升網絡威脅預警能力.依托“地平線歐洲”(2021—2027)計劃，在超級計算機、人工智能、網絡安全、數字技能等方面開展基礎研究，通過增強網絡威脅預警能力，提高歐盟網絡和信息系統安全水平.同時，加強成員國安全組織網絡建設，將安全信息和事件管理系統(SIEM)廣泛部署到各個計算機應急響應團隊(CSIRT)和企業安全運營中心(SOC)[10].加大研發創新，利用AI、大數據技術提升SIEM威脅情報收集來源和利用，提高SIEM的智能治理效果.

2.4 加強網絡安全人才培訓和儲備

在網絡安全防御體系中，人員是最薄弱的環節，也是黑客最容易突破和利用的漏洞.2020年的新冠疫情導致全球化遠程辦公成為新常態，放大了人的漏洞威脅，人員成為網絡攻擊最大的安全威脅，市場對人員的安全意識服務需求快速增長.網絡空間安全建設的核心要素是網絡安全人才.

歐美很重視人才培育，美國一直把人才培養作為網絡空間優勢的重要因素.2008年1月發布國家安全總統令54(NSPD-54)“網絡安全政策”，以實施國家網絡安全綜合計劃(CNCI)，啟動網絡安全人才培育.2010年美國啟動 “國家網絡安全教育計劃(NICE)”，進行全員培訓，每5年調整更新愿景和目標.為落實2018年《國家網絡戰略》的“建設一支更有優勢的網絡安全人才隊伍網絡”要求和重要戰略舉措，2019年5月簽署13870號《關于美國網絡安全人才隊伍的行政令》，以最大限度強化網絡安全教育培訓工作，并啟動若干新的人才計劃，加強美國網絡安全人力資源儲備和開發，尤其是網絡軍事能力和情報能力的提升.同時，美軍也大力培養網絡安全人才，網絡司令部133支隊伍具備全面作戰能力之后，開發了培訓管道，運用共同的聯合標準進行培訓，通過訓練及實戰提高攻防能力和協同能力.

歐盟很注重提高公民的網絡安全意識和技能.2006年歐盟委員會出臺《確保信息安全社會的戰略》，提出建立網絡信息安全多方磋商對話機制，增強歐盟公共部門、私營部門和私人用戶的合作，強調要營造人人參與的網絡安全文化氛圍.自2011年，歐盟網絡與信息安全局(ENSIA)于每年10月舉行4～5周的網絡安全月活動，協調歐盟官方和各成員國舉行上萬場次的活動，如專題報告、培訓、戰略峰會、在線課程與測驗等，通過網站宣傳、海報、社交網絡、視頻、報紙雜志等渠道進行多語言宣傳.2019年ENSIA發布《歐洲網絡安全技能發展》報告，認為需要設計網絡安全教育與培訓方式，改變網絡安全人才短缺現狀.2020年12月，基于2020年7月發布的《歐洲技能議程》，ENSIA設立歐洲網絡安全技能框架特設工作組，計劃制定歐洲網絡安全技能框架[10].

3 加強我國網絡威脅情報治理能力建設的幾點思考

為應對美國的數字冷戰，歐盟提出數字主權理念，2020年9月中國提出《全球數據安全倡議》，闡明中國的網絡外交路線.隨著數字化轉型的深入和數字業務的增加，建設具有實戰效能的防御體系日益迫切.國家“十四五”規劃提出“加強跨領域網絡安全信息共享和工作協同，提升網絡安全威脅發現、監測預警、應急指揮、攻擊溯源能力.”我國的網絡威脅情報技術經過5年發展，正成為網絡安全攻防的一種必要的技術和手段，其治理能力越來越得到廣泛認可.

3.1 建立網絡威脅情報融合共享中心，提升事前預防能力

2021年，受SolarWinds黑客事件影響，美國網絡負責人指出：隨著威脅行為體的規模、范圍和復雜程度的增加，為從源頭上遏制入侵行為，防范災難性后果，需要從事件響應轉變為事前預防.為此，需要建立網絡威脅情報的收集、共享等機制，形成威脅情報在網絡安全中的事前預防能力.

目前，很多企業都在加倍投資威脅情報，大型組織加緊采購威脅情報數據、威脅情報平臺或威脅情報服務，加快與SIEM的融合，構建高價值威脅情報，一批網絡威脅信息共享平臺投入實用，如RSA公司的NetWitness Live、邁克菲公司的McAfee Global Threat Intelligence、IBM公司的X-Force Exchange、微步在線的ThreatBook等.但是，由于威脅情報界缺乏通用命名規則，全球很多威脅情報提供商可以為同一威脅組織冠以各種名字，導致情報共享復雜化.而且由于威脅情報與漏洞情報、資產情報的融合度低，很難形成有效的戰斗力.為此，需要建立國家層面的威脅情報融合共享中心，并建立各層級的威脅情報分中心，統籌多部門、跨行業、跨領域威脅情報融合共享，鼓勵政府部門、機構、企業加入威脅情報共享聯盟.

隨著威脅情報系統的推廣，開源威脅情報的收集、整理、分析成為未來掌握威脅情報技術的制高點.為此，可拓展開源威脅數據收集范圍，建立社區威脅情報收集、提取、匯總、融合和分析能力，建立重大事件威脅情報傳播鏈，尤其是IT供應鏈攻擊威脅情報傳播鏈，加強海量多源異構威脅數據的整合、提取和分析，形成以關鍵基礎設施威脅情報為中心的威脅情報云體系.

借鑒歐美ISAC，PPP等的共享合作經驗，加強網絡安全管理部門與行業、企業的合作與支持，建立多領域、多視角、多層次的威脅情報共享聯盟，制定長效的合作共享機制.利用威脅情報構建攻擊知識庫，加強國家級大型安全事件威脅情報戰術技術分析，描述重大網絡安全事件的ATT&CK模型、事例圖譜和攻擊組織畫像，構建基于威脅情報的網絡空間管理地圖以及網絡安全戰略實施進展圖，為威脅情報的事前預防能力智能化建設提供支持.吸取歐美在SolarWinds黑客事件中的信息共享缺乏等教訓，加強關鍵基礎設施安全現代化，尤其是企業數字化轉型中的數字風險防護(DRP)建設.目前國際知名威脅情報廠商，如Digital Shadows,ZeroFox等都在加大DRP的建設步伐.

發揮CNCERT/CC等機構的協調和溝通職能，積極參與亞太地區計算機應急響應聯盟(APCERT)與全球網絡安全應急響應聯盟(FIRST)等的威脅發現、預警、應急處置和信息共享行動.通過網絡安全周活動、網絡實戰演習、技能培訓等熟悉威脅情報處置方式等，提升應對境內外網絡安全事件的共享合作和事前防范能力.

3.2 發展網絡威脅情報共享技術和知識管理體系

網絡威脅情報共享是網絡威脅情報服務安全治理決策的前提，世界各國網絡空間戰略和政策均強調要求加強網絡威脅情報和信息共享能力建設.SolarWinds黑客事件的根源之一是美國眾多關鍵基礎設施由私營部門運營掌控，私營部門因為擔心法律責任、品牌聲譽及收入損失，不愿意與政府合作共享黑客攻擊或數據泄露的網絡威脅情報，導致美國政府缺乏對SolarWinds黑客的可見性，很被動地與境外國家黑客組織進行對抗.DHS呼吁聯邦政府要與私營部門合作，改進信息偵察、信息共享、私營部門信息披露、網絡安全現代化等，通過多方參與提高政府網絡彈性.

網絡威脅數據作為一種網絡安全大數據，規模大、來源多、結構異構、協議復雜，給高效分析、全面地利用威脅情報帶來巨大的挑戰.目前，全球已建成數百個威脅情報體系，威脅情報體系的不一致和知識不完整限制了威脅情報能力.同時，開源威脅情報存在分布廣、形式多、噪音大等難題，其收集、開發、利用面臨技術難、計算存儲大等挑戰.2020年7月7日，歐盟ENISA發布《可信且網絡安全的歐洲》戰略文件，提出要通過建設歐盟網絡安全信息共享和知識管理體系來改進安全服務.

我國的威脅情報發展良好，但威脅信息共享和協作起步緩慢.2017年9月國內安全企業成立了“威脅情報交換共享聯盟”(TIXA聯盟).2019年上海市信息安全行業協會牽頭成立“威脅數據共享聯盟”以打擊黑灰產，打破企業威脅數據、威脅情報的信息孤島，實現企業威脅情報技術、知識、經驗的共享共用.針對現有威脅情報服務系統互聯互通平臺建設需求，需要利用知識組織、大數據技術、人工智能技術、區塊鏈技術和VR/AR等技術，研究形成網絡威脅情報共享技術體系.

為提升網絡威脅情報的質量和準確性，可利用各種知識表示技術，基于網絡安全知識圖譜，將分散的大規模、碎片化的多源異構網絡威脅情報進行關鍵威脅要素的融合、關聯分析，形成統一的高質量的威脅情報知識體系；根據威脅情報知識間的語義聯系，通過公理和規則補全知識，基于深度學習方法進行有效的隱含知識挖掘和推理等，從而實現威脅情報內容的自動分析，如推斷受害范圍、攻擊路徑，關聯攻擊組織等，以實現網絡威脅情報分析利用的智能化，從而形成高效的知識管理體系，提高威脅情報共享利用效率.

3.3 完善網絡威脅情報共享制度和標準

信息共享制度是國家網絡安全制度的核心之一，在威脅情報共享趨勢推動下，共享制度的目標側重于彌補各主體網絡安全態勢感知能力的缺陷，構建政府部門與私營部門之間的合作協同關系.

信息共享制度應該以實踐為導向，針對特定領域，充分考慮網絡安全信息的時效性、全面性、準確性的優先次序，以滿足某個時間點特定對象共享信息的目的.為此，面向實踐需求的網絡安全信息共享制度，應提供層次化的共享框架和多樣化的共享路徑，為政府部門、運營者、私營部門、利益攸關方等提供多種選擇方案.

面對新型網絡安全威脅，尤其是社交網絡、物聯網、自動駕駛、無人機等的應用，應當及時修訂完善網絡安全信息共享制度，擴展信息共享路徑，擴大信息共享的參與主體范圍，如工業互聯網安全需要整個產業鏈的企業參與信息共享.

標準化是威脅情報共享的技術基礎，可借鑒歐盟的NIS指令、美國情報百科(Intellipedia)與NIST的《網絡威脅信息共享指南》，構建我國的網絡威脅信息共享指南.依據業界威脅情報交換系列標準，如結構化威脅信息表達式(STIX)、網絡可觀察表達式(CyboX)、指標信息的可信自動化交換(TAXII)，以《信息安全技術 網絡安全威脅信息表達模型》(GB/T 36643—2018)[11]和2019年發布的《網絡安全威脅信息發布管理辦法》，制定網絡威脅情報的發布、共享、利用及交換規范等，提升威脅情報共享合作的范圍與力度.