美国智库提出推进网络威胁信息的共享的建议
2015年3月,美国战略与国际研究中心(CSIS)发布了《网络威胁信息共享-对国会与政府的建议》报告[1],分析了美国在网络威胁信息共享中面临的技术和法律挑战,提出了相应的政策和立法建议。
报告指出,网络攻击伴随着互联网技术的发展日益复杂化,针对企业和政府的黑客攻击活动和信息泄露事件数量急剧增长,单纯依靠反应性策略应对网络威胁显得尤为不足。
网络威胁信息共享对提高网络安全防御能力十分关键,威胁信息共享使得机构能够利用群体的能力、知识和经验增强自身的网络防御能力,对威胁的全貌产生更好的态势感知,增强机构之间的应对威胁的合作并减少跨系统、跨行业、跨部门级联效应的产生。但由于对侵犯公民隐私、执法部门利用信息等方面的担忧,美国国会难以通过网络威胁信息共享的立法提案。为平衡网络安全防御和隐私权保护问题,推进网络威胁信息共享政策和立法的形成,CSIS提出以下11条建议:
1、不同的行业和企业在网络安全上面临的风险水平具有差异,增强与政府的信息共享并非适用于所有企业。企业与政府之间的信息共享协议应充分考虑行业和自身的风险程度,进行合理的成本效益分析。
2、鼓励企业之间“私对私”的共享,并最小化政府在其中的角色作用,以促进企业进行自愿性的信息共享,减缓企业对隐私权和法律责任问题的担忧。
3、各机构应该在信息共享之前尽量剔除与网络攻击威胁无关的个人可标识信息(PII)。立法应对采取该措施的企业提供法律保护,国家标准与技术研究所和国土安全部应该考虑确立PII剔除的最佳实践方法,并发布威胁信息特征识别的指南。
4、基于已有的信息共享机构和运行机制开展网络信息共享建设。电力等行业已经建立了信息共享和分析中心(ISAC),政府应支持其发展和成熟,对于尚未建立ISAC的、与国家关键基础设施相关的行业,政府应该积极鼓励企业建立信息共享机构。
5、精简优化企业与政府之间、企业内部及企业之间网络威胁信息共享的程序,避免过度占用各方资源。
6、立法应该为企业自愿共享的网络威胁信息提供明确的保护,所共享的信息应该免受《信息自由法案》中信息公开的要求,并且严禁用于民事诉讼或监管目的。
7、确立一些方法以使得信息共享模式能够体现所有参与者的价值,避免信息的单向流动阻碍企业共享信息的积极性。
8、集中式和分散式的信息共享模式各有优势,政府应该共同促进两种共享模式的发展和应用,避免偏向其中的一种。
9、信息共享协议应该充分考虑共享信息的类型。技术威胁指标(如IP地址、特殊字符串等)的共享造成隐私或商业信息暴露的风险很小,而情境威胁信息(如漏洞攻击目标、攻击路径等)的共享会给个人和企业带来较大的风险。
10、如执法部门在允许的情况下使用企业与政府的共享信息,应该严格限制其用于网络安全的目的和特定的情境。
11、法律应该对监测和共享网络威胁信息的行为给予明确的授权,为诚信的信息共享行为提供安全的法律环境,减少企业对于共享信息后可能承担民事和刑事责任风险的顾虑。
(陶斯宇)