数字化转型下的网络威胁情报治理能力建设研究

李留英

(国防大学政治学院 上海 200433)

没有网络安全就没有国家安全.网络空间已成为大国博弈的新型作战域，其呈现出的强战略性、对抗性、军事性及复杂攻击日益威胁到国家安全和政治稳定.新冠疫情促进了数字化转型，加速了新型数字基础设施建设的推进，万物互联使得网络空间与物理空间、现实世界深度融合，网络安全冲击加剧，实施有效防护的难度越来越大，网络空间安全治理成为各国高度关注的核心议题.

随着全球经济数字化转型的升级和创新发展，全球网络威胁持续增长，网络核武、网络攻击、网络犯罪、网络恐怖主义日益频繁，网络行为体的国家化、网络攻击工具的专业化智能化、攻击目的的商业化、攻击行为的组织化、攻击目标的精准化，大大提升了网络空间安全防御与态势评估的难度.在数字化转型时期，网络安全是数字经济、数字未来的防护基石，安全设备结合威胁情报成为数字化发展的保护屏障.云计算、大数据、虚拟化、软件定义网络和区块链等新技术的不断涌现，促进了威胁情报感知、分析、共享及利用的发展，提升了威胁情报中心的检测和反应能力，为新经济和数字中国建设保驾护航.

1 数字化转型下的网络威胁危害深远

为全方位维护美国的网络空间安全和数字霸权，2020年美国推出清洁网络计划及具体政策措施，拉开了数字冷战的序幕.

1.1 网络威胁是网络空间面临的最严重威胁

2013年以来，美国情报界就把网络威胁视为美国面临的最严重威胁.2016年10月美国标准研究所(NIST)发布的SP 800-150《网络威胁信息共享指南》定义网络威胁为：“对信息系统的未授权访问、损害、信息披露或修改、拒绝服务可能会对组织运营(包括任务、职能、形象或声誉)、组织资产、个人、其他组织或国家造成潜在不利影响的情形或事件.”[1]网络威胁分为传统威胁和高级威胁，传统威胁一般指具有破坏行为或入侵动机意图的威胁；而高级威胁是指具有违反、中断或战争动机意图，甚至威胁人类生命的威胁.

网络安全威胁主要来自5个方面：一是网络信息系统运营的内部员工无意或有意的失误操作；二是外部的自然灾害或恶意失误对物理基础设施的损害；三是网络信息系统和安全防御体系存在的漏洞；四是外部攻击，物联网(IoT)、无人机、智能机器人的发展促进了各领域关键信息基础设施的关联，为网络攻击提供新的路径，增加了新的威胁来源，如特斯拉的自动驾驶系统以及特斯拉上海超级工厂遭遇网络攻击后，引发民众普遍恐慌；五是网络安全设备的产业链供应链不完善，有限设备供应商增加了网络安全风险的发生概率.

按照网络安全威胁的来源和危害程度，可将网络威胁分为3个等级：一是个体和团伙实施的网络犯罪；二是恐怖分子和组织发动的网络恐怖主义，如2021年2月3—18日，1 021名18岁以上的美国成年人进行了盖洛普民意测验，82%的美国民众认为网络恐怖主义是严重威胁，超过伊朗核武的发展和国际恐怖主义；三是国家政府领导和支持的网络间谍和网络攻击行动，多数企业视其为主要威胁，没有应对经验，未来5年将会显著增加[2].如美国在联合国一直坚持认为的观点是：威胁来自国家行为，也来自该国如何使用网络能力，而非来自技术或能力本身.2021年4月15日，美国白宫新闻简报官网发布消息称，美国总统拜登签署了对俄罗斯实施新制裁的行政令，以反击俄罗斯在Solarwinds黑客攻击以及破坏美国大选等行为.

目前，网络威胁出现高度不对称性，主要体现在：一是网络攻击所造成的破坏效果远远超出规划发动攻击所需成本，尤其是对关键基础设施的攻击，如对水厂的攻击，后果无法估量；二是网络防御付出的代价远高于攻击收益；三是新技术新应用促使风险增长快速，如物联网设备的几何级数增长，无人机、监控设备的大量运用，人工智能技术的普及，很容易放大现有风险或创造出新的风险；四是网络风险触发形式日益多样化自动化，而用户防御技术和手段严重滞后，组织必须保持对网络威胁和新兴攻击手段的实时监测.

云端、网端、终端3端发力，使得数字智能时代的网络威胁危害成倍增长，主要体现为：一是威胁资产和人身安全，企业应对网络安全问题的支出不断提高；二是以网络犯罪、网络恐怖活动为首的非法行动威胁社会的安全稳定，恐怖组织往往对商场、剧院、体育场馆和学校等场所实施针对性攻击；三是网络战威胁通信、能源、运输、卫生医疗、金融、自来水等国家关键基础设施安全，威胁全球供应链安全、国家安全、经济安全以及公共健康安全；四是利用网络攻击开展网络渗透、网络暴动、网络指挥等严重威胁国家的政权安全，如2021年3月波兰政府的2个网站遭受黑客攻击，发布了放射性核威胁的虚假信息；五是利用社交攻击传播违法不良信息，制造恐慌等威胁全球稳定，如新冠肺炎疫情期间，大量网络虚假信息引发民众恐慌；六是新型勒索软件威胁军事尖端武器系统的安全，以物联网为代表的信息技术加速了军事武器系统的信息化智能化发展，使得武器系统面临更多威胁.

网络威胁无处不在，传统的被动式防御手段已无法应对各种威胁.如何快速检测威胁攻击、合理分析评估并作出积极应对，增强网络安全主动防御能力，提高网络空间治理能力，成为迫切需要解决的问题，网络安全威胁情报由此而生.

1.2 网络威胁情报是网络安全主动防御体系的重要支撑

2013年5月12日，全球著名的信息技术研究与分析公司Gartner的McMillian定义：“威胁情报是一种基于证据的知识，其涉及针对资产的已有的或潜在的威胁，包括与威胁相关的背景、机制、指标、含义和可采取行动的建议，可为组织应对相关网络威胁提供决策信息”[3].这个定义明确了所有决策必须围绕现有的证据知识与未来的风险而展开[4].

网络威胁情报是一种基于证明的信息，通过分析和共享安全数据来主动响应处置高级网络威胁.其本质就是通过分析攻击行为来展示未知威胁，通过了解修补自身不足，提供更好的决策信息来达成共识，降低组织整体安全风险，提高安全团队和工具的有效性理念，从而实现组织的主动防御.网络威胁情报采用了“以空间换时间”的防护策略，通过主动感知已发生的或潜在发生的网络威胁，限制遭受攻击的时间和范围，缩短威胁响应时间，保证安全防护的精准实施[3].

利用威胁情报：一是可以对敌方的攻击工具、手法、社工情报等进行关联分析，从而描述敌方的画像，显示攻击者的全貌，便于溯源；二是可以进一步对团队成员进行分析，发现团队情报和隐匿组织；三是将资产、漏洞、流量、行为等威胁信息与APT组织进行大数据多维联合分析，通过推理发现APT等新型攻击[5]，实现威胁情报的主动防御能力.

有效的威胁情报能够实现对网络威胁的实时监测、主动防御、提前预警、快速响应，从而实现主动防御，是应对APT攻击、网络犯罪、新型安全威胁(如人工指标增强攻击)的高级武器，是网络安全体系的战略战术核心.威胁情报驱动的安全管理已达成共识[6]，一般而言，威胁情报可以将组织发现威胁的速度提高10倍，保证国家政府的感知能力和先发制人的战略视野.

网络威胁情报系统是一个威胁分析和信息共享系统，可增进对网络威胁的发现和防护，缩短攻击监测和主动响应时间.为此，建立以威胁情报为核心的主动安全防御体系，需要挖掘威胁情报的生产能力、运营能力、高级威胁分析能力，才能形成全面的预警、防御、阻断与响应.目前，网络威胁情报体系建设已经纳入国家安全战略规划，很多企业都将威胁情报深度融入网络安全设备，提升威胁情报的治理能力和服务水平.

2 欧美提升网络威胁情报治理能力的应对措施

美国是网络威胁情报研究和实践的先导者.1997年美国首次提到威胁和情报的关系，2005年威胁情报开始被运用于军事和反恐领域，并逐渐运用于信息安全领域.大数据的发展使得威胁情报成为信息安全行业的研究热点，也对国内网络信息安全的发展带来巨大影响.2015年至今，威胁情报连续多年成为美国RSA大会的热词，威胁情报与共享更是2020年RSA大会的10大热点，也是国家、政府、资本及军方投资的热点.

为了保障国家安全，每个国家均高度重视自身的情报能力建设.各国对网络安全领域的情报工作各有所侧重，但威胁情报却是情报研究中的新热点.

2.1 提升网络威胁情报的战略地位

美国很早就意识到网络威胁情报的重要性，从国家层面和战略高度重视网络威胁，将网络威胁情报预警纳入国家安全战略规划，每届政府出台的国家安全战略均强调建立网络威胁应急响应体系，进行安全信息共享.1998年8月4日发布总统令(PDD-63)“关键基础设施保护”，强调需要更好地保护关键基础设施免受网络威胁.2000年1月，美国制定了“信息系统保护国家计划”，强调共享网络攻击信息，以支持PDD-63的10项计划，保护美国关键系统和网络.9.11恐怖袭击事件之后，2003年2月小布什政府发布《国家安全网络战略》，鼓励建立基于公私合作的全国威胁预警体系.2012年12月奥巴马政府颁布《国家信息共享及保护战略》，强调国家安全信息的共享，建议建立政府机构间数据共享机制，加强涉密和敏感信息保护[7-8].为应对新网络威胁和战略竞争，特朗普政府先后发布《国家安全战略》《网络空间安全战略》《国家网络战略》《国防部网络战略》《国防部网络态势评估》和《美国保护5G国家安全战略》等，要求情报界发挥全球领先的全源网络情报能力，与同盟国家共享情报信息，共同应对网络漏洞、威胁、恶意活动者等.为应对各类紧迫威胁和长期风险，提升美国对重大网络攻击的防御能力，2018年成立网络空间日光浴委员会(CSC).2020年3月CSC提出“分层网络威慑战略”，强调通过缔造网络安全同盟，塑造新的规则，加强公私合作，运用政策工具对网络空间行动进行反制，竭力提升国家网络空间威胁应对能力.拜登政府强调通过新的立法，制定新一代网络规则和协议，主动应对外部网络威胁，必要时可主动发起网络攻击，避免网络对抗的无限升级.

自2003年以来，欧盟发布系列战略和法规标准，均明确了网络安全信息共享的重要性，欧盟成员国也在本国的网络安全战略中强调建立信息共享机制，逐步形成多层次的网络威胁情报共享规划.《欧盟安全联盟战略2020—2025》强调建设强大的欧洲安全生态系统，加强信息交换与合作，培训民众应对网络犯罪的技能.《欧盟数字10年的网络安全战略》强调：要加强欧盟各机构与成员国政府的合作，运用网络外交工具箱应对网络恶意活动；加强国际合作和对话，扩展欧盟网络外交网络，打造安全、开放、稳定的网络空间防护体.《网络与信息系统安全指令》(NIS指令)、《一般数据保护条例》(GDPR)和《欧盟网络安全法案》的出台，奠定了网络威胁情报共享的法律基础和遵循，充分展现了欧盟网络威胁情报的战略地位[9].

2.2 完善网络威胁情报共享及管理体系

为应对网络威胁，美国总统和白宫负责制定总体网络安全战略，并领导开展各项工作.国家情报总监办公室(ODNI)作为总协调机构，国家情报总监(DNI)负责统一领导，协调中央情报局、国家安全局、联邦调查局等16个美国情报机构之间的情报收集、共享与分析.2009年设立网络安全协调办公室，负责处理所有网络安全事务，在ODNI领导下同时积极整合国土安全部(DHS)、情报界(IC)、国防部(DOD)和司法部(DOJ)及商务部(MC)等相关安全职能部门的力量协作联动，由DHS负责政府、企业等的网络安全事务，国防部负责军事网络防御，网络司令部(USCYCERCOM)负责军用网络及相关作战指挥，司法部负责司法调查，从而形成了国家应对网络威胁能力.

为有效协调网络威胁的评估和共享，ODNI于2015年增设了网络威胁情报整合中心(CTIIC)，是全国网络威胁情报的中枢.其主要职能是统筹协调国土安全部、联邦调查局、中央情报局等多部门的网络安全工作和整个联邦政府的网络威胁情报，重点是将收集的境外恶意网络威胁事件与影响美国国家利益的网络事件联系起来，向决策者提供对威胁的全方位分析，为政府网络中心、NCCIC、DOD、USCYBERCOM、DOJ等的工作和网络防御行动提供情报支持.

为构建覆盖联邦政府的威胁情报体系，DHS整合了22个与国防、情报相关的联邦机构，总体协调美国政府与私营部门间跨部门、跨地区的情报及网络威胁信息共享.2009年成立了国家层面的信息共享机构——国家网络安全与通信整合中心(NCCIC)，并大力推动跨领域的信息共享和分析中心(ISACs)以及信息共享和分析组织(ISAOs)的建设.2012年，美国开始建立覆盖其关键基础设施的威胁情报共享体系，打破美国公共部门和私营部门共享障碍.2018年成立网络安全与基础设施安全局(CISA)，统管整个联邦政府的网络安全工作，通过加强政府部门与私营企业的合作，共同应对美国关键基础设施面临的威胁[9].

美国国防部也积极与大量的情报机构合作，下属的国家安全局(NSA)、联邦调查局(FBI)协调网络窃听，网络入侵，网络威胁的共享、综合分析和评估，通过网络空间情报、预警和共享态势感知情报的支持，提高政府应对网络威胁的反应能力.2019年10月，NSA设立网络安全局，负责整合威胁情报收集、网络防御等任务，通过与USCYCERCOM，DHS等的合作，向合作伙伴及客户提供威胁情报，消除针对美国国家安全系统和国防工业基础的网络威胁.

USCYCERCOM与FBI和DHS的CISA建立了稳定的伙伴关系，共享威胁信息.2020年USCYCERCOM与NSA合作成立选举安全小组(ESG)，共同防御针对美国大选的外国威胁，在境外9个国家开展了11次的网络“前出追捕”行动，抢先破坏针对美国的网络攻击.2020年12月至今，美国9个联邦机构和100多个私营部门遭受SolarWinds黑客入侵后，USCYCERCOM在确定国防部信息网络(DODIN)使用SolarWinds Orion软件产品范围的同时，积极支持和协助其他联邦部门和国防工业基地解决SolarWinds网络威胁.FBI、CISA、NSA和国家情报局局长办公室组成网络统一协调小组，通过加强公共部门和私人伙伴的合作，共同调查、处理SolarWinds事件.总之，美国已经建立起了覆盖地方联邦政府、部门(行业)、企业与政府、国家之间的多层面威胁情报共享与管理体系.

为应对恐怖主义、网络犯罪等新型复杂网络威胁，欧盟成立专门的网络信息安全机构，并积极与情报部门协作，形成了欧盟、成员国、民间组织与情报机构协作的多层次网络威胁共享机制及管理体系.在欧盟层面，欧盟委员会、欧盟理事会、欧洲议会和对外行动署负责宏观政策策略制定及立法工作，并由ENISA主要协调欧盟层面的网络安全战略、政策等的实施；欧洲刑警组织(Europol)负责监控打击网络犯罪；欧洲防务局(EDA)和欧盟军事参谋部负责网络攻击和网络情报；欧盟对外行动署(EEAS)负责网络外交事务、军事领域的跨国网络安全和防御事务；欧盟计算机应急响应小组(EU -CERT)负责欧盟委员会、欧盟议会等主要机构的网络安全；欧洲网络弹性公私伙伴关系(EP3R)负责私营部门的网络安全.欧盟成员国在执行欧盟政策决议和本国的网络安全网络战略外，也设立专门的网络安全机构，负责与电信、司法、情报部门的分工协作，以及与私营部门的合作.欧盟发布的《欧盟安全议程》(2015—2020)以及多项网络安全法案，强调要加强欧盟成员国之间的信息共享和管理.由于发展不平衡，很难真正实现网络安全威胁情报的跨国共享和有效管理[10].

2.3 增强网络威胁情报服务的智能化

为保护政府网络系统安全，全面监测、分析、共享针对联邦政府内部网络的入侵行为，美国政府投入大量的时间和精力收集制作网络威胁情报，构建威胁情报共享利用系统，通过完善网络安全产业链形成威胁情报驱动的安全保障框架，为美国政府实时掌握来自国内外的网络威胁情报，保障美国网络空间安全和实施网络战提供了强有力的支持.

美国联邦政府自2003年实施了爱因斯坦(EINSTEIN)计划，后更名为网络空间安全保护系统(NCPS)[8].目前已经在美国除国防部之外的23个机构中部署运行，增强了政府的网络掌控能力.如2016年，NSA利用爱因斯坦计划收集的威胁情报支持网络空间作战，使其真正成为美国国家安全战略体系的重要工具.作为保护关键信息基础设施和关键资源的主要联邦机构，DHS构建部署了自动指标共享平台(AIS)，目前已有200多个政府部门及机构加入该系统.日本于2017年5月加入AIS平台，实现与美国政府、私营部门之间的网络威胁指标的共享.国家情报总监办公室牵头研制的情报社区分析与签名工具(ICOAST)，于2017年被部署到美国政府绝密级网络，为美国政府、情报界和军方用户提供网络威胁信息共享服务.2017年，美国政府发布《网络威胁框架》(CTF)，使用通用语言对网络威胁事件进行描述和分类，并分析网络对手活动的趋势或变化，有助于高层决策和制定相关网络安全策略.2019年12月，白宫科技政策办公室发布《联邦网络空间安全研究和发展战略计划》，强调在人工智能、量子信息科学、隐私保护等6个网络安全重点领域的研发[9].

欧盟一直在加强网络威胁情报平台和能力建设，依托8个研发框架计划推动网络空间治理创新.如2016年，欧盟委员会推出公私合作的全新网络安全研究创新项目——Horizon 2020，研究建设威胁情报共享态势系统，提升网络威胁预警能力.依托“地平线欧洲”(2021—2027)计划，在超级计算机、人工智能、网络安全、数字技能等方面开展基础研究，通过增强网络威胁预警能力，提高欧盟网络和信息系统安全水平.同时，加强成员国安全组织网络建设，将安全信息和事件管理系统(SIEM)广泛部署到各个计算机应急响应团队(CSIRT)和企业安全运营中心(SOC)[10].加大研发创新，利用AI、大数据技术提升SIEM威胁情报收集来源和利用，提高SIEM的智能治理效果.

2.4 加强网络安全人才培训和储备

在网络安全防御体系中，人员是最薄弱的环节，也是黑客最容易突破和利用的漏洞.2020年的新冠疫情导致全球化远程办公成为新常态，放大了人的漏洞威胁，人员成为网络攻击最大的安全威胁，市场对人员的安全意识服务需求快速增长.网络空间安全建设的核心要素是网络安全人才.

欧美很重视人才培育，美国一直把人才培养作为网络空间优势的重要因素.2008年1月发布国家安全总统令54(NSPD-54)“网络安全政策”，以实施国家网络安全综合计划(CNCI)，启动网络安全人才培育.2010年美国启动 “国家网络安全教育计划(NICE)”，进行全员培训，每5年调整更新愿景和目标.为落实2018年《国家网络战略》的“建设一支更有优势的网络安全人才队伍网络”要求和重要战略举措，2019年5月签署13870号《关于美国网络安全人才队伍的行政令》，以最大限度强化网络安全教育培训工作，并启动若干新的人才计划，加强美国网络安全人力资源储备和开发，尤其是网络军事能力和情报能力的提升.同时，美军也大力培养网络安全人才，网络司令部133支队伍具备全面作战能力之后，开发了培训管道，运用共同的联合标准进行培训，通过训练及实战提高攻防能力和协同能力.

欧盟很注重提高公民的网络安全意识和技能.2006年欧盟委员会出台《确保信息安全社会的战略》，提出建立网络信息安全多方磋商对话机制，增强欧盟公共部门、私营部门和私人用户的合作，强调要营造人人参与的网络安全文化氛围.自2011年，欧盟网络与信息安全局(ENSIA)于每年10月举行4～5周的网络安全月活动，协调欧盟官方和各成员国举行上万场次的活动，如专题报告、培训、战略峰会、在线课程与测验等，通过网站宣传、海报、社交网络、视频、报纸杂志等渠道进行多语言宣传.2019年ENSIA发布《欧洲网络安全技能发展》报告，认为需要设计网络安全教育与培训方式，改变网络安全人才短缺现状.2020年12月，基于2020年7月发布的《欧洲技能议程》，ENSIA设立欧洲网络安全技能框架特设工作组，计划制定欧洲网络安全技能框架[10].

3 加强我国网络威胁情报治理能力建设的几点思考

为应对美国的数字冷战，欧盟提出数字主权理念，2020年9月中国提出《全球数据安全倡议》，阐明中国的网络外交路线.随着数字化转型的深入和数字业务的增加，建设具有实战效能的防御体系日益迫切.国家“十四五”规划提出“加强跨领域网络安全信息共享和工作协同，提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力.”我国的网络威胁情报技术经过5年发展，正成为网络安全攻防的一种必要的技术和手段，其治理能力越来越得到广泛认可.

3.1 建立网络威胁情报融合共享中心，提升事前预防能力

2021年，受SolarWinds黑客事件影响，美国网络负责人指出：随着威胁行为体的规模、范围和复杂程度的增加，为从源头上遏制入侵行为，防范灾难性后果，需要从事件响应转变为事前预防.为此，需要建立网络威胁情报的收集、共享等机制，形成威胁情报在网络安全中的事前预防能力.

目前，很多企业都在加倍投资威胁情报，大型组织加紧采购威胁情报数据、威胁情报平台或威胁情报服务，加快与SIEM的融合，构建高价值威胁情报，一批网络威胁信息共享平台投入实用，如RSA公司的NetWitness Live、迈克菲公司的McAfee Global Threat Intelligence、IBM公司的X-Force Exchange、微步在线的ThreatBook等.但是，由于威胁情报界缺乏通用命名规则，全球很多威胁情报提供商可以为同一威胁组织冠以各种名字，导致情报共享复杂化.而且由于威胁情报与漏洞情报、资产情报的融合度低，很难形成有效的战斗力.为此，需要建立国家层面的威胁情报融合共享中心，并建立各层级的威胁情报分中心，统筹多部门、跨行业、跨领域威胁情报融合共享，鼓励政府部门、机构、企业加入威胁情报共享联盟.

随着威胁情报系统的推广，开源威胁情报的收集、整理、分析成为未来掌握威胁情报技术的制高点.为此，可拓展开源威胁数据收集范围，建立社区威胁情报收集、提取、汇总、融合和分析能力，建立重大事件威胁情报传播链，尤其是IT供应链攻击威胁情报传播链，加强海量多源异构威胁数据的整合、提取和分析，形成以关键基础设施威胁情报为中心的威胁情报云体系.

借鉴欧美ISAC，PPP等的共享合作经验，加强网络安全管理部门与行业、企业的合作与支持，建立多领域、多视角、多层次的威胁情报共享联盟，制定长效的合作共享机制.利用威胁情报构建攻击知识库，加强国家级大型安全事件威胁情报战术技术分析，描述重大网络安全事件的ATT&CK模型、事例图谱和攻击组织画像，构建基于威胁情报的网络空间管理地图以及网络安全战略实施进展图，为威胁情报的事前预防能力智能化建设提供支持.吸取欧美在SolarWinds黑客事件中的信息共享缺乏等教训，加强关键基础设施安全现代化，尤其是企业数字化转型中的数字风险防护(DRP)建设.目前国际知名威胁情报厂商，如Digital Shadows,ZeroFox等都在加大DRP的建设步伐.

发挥CNCERT/CC等机构的协调和沟通职能，积极参与亚太地区计算机应急响应联盟(APCERT)与全球网络安全应急响应联盟(FIRST)等的威胁发现、预警、应急处置和信息共享行动.通过网络安全周活动、网络实战演习、技能培训等熟悉威胁情报处置方式等，提升应对境内外网络安全事件的共享合作和事前防范能力.

3.2 发展网络威胁情报共享技术和知识管理体系

网络威胁情报共享是网络威胁情报服务安全治理决策的前提，世界各国网络空间战略和政策均强调要求加强网络威胁情报和信息共享能力建设.SolarWinds黑客事件的根源之一是美国众多关键基础设施由私营部门运营掌控，私营部门因为担心法律责任、品牌声誉及收入损失，不愿意与政府合作共享黑客攻击或数据泄露的网络威胁情报，导致美国政府缺乏对SolarWinds黑客的可见性，很被动地与境外国家黑客组织进行对抗.DHS呼吁联邦政府要与私营部门合作，改进信息侦察、信息共享、私营部门信息披露、网络安全现代化等，通过多方参与提高政府网络弹性.

网络威胁数据作为一种网络安全大数据，规模大、来源多、结构异构、协议复杂，给高效分析、全面地利用威胁情报带来巨大的挑战.目前，全球已建成数百个威胁情报体系，威胁情报体系的不一致和知识不完整限制了威胁情报能力.同时，开源威胁情报存在分布广、形式多、噪音大等难题，其收集、开发、利用面临技术难、计算存储大等挑战.2020年7月7日，欧盟ENISA发布《可信且网络安全的欧洲》战略文件，提出要通过建设欧盟网络安全信息共享和知识管理体系来改进安全服务.

我国的威胁情报发展良好，但威胁信息共享和协作起步缓慢.2017年9月国内安全企业成立了“威胁情报交换共享联盟”(TIXA联盟).2019年上海市信息安全行业协会牵头成立“威胁数据共享联盟”以打击黑灰产，打破企业威胁数据、威胁情报的信息孤岛，实现企业威胁情报技术、知识、经验的共享共用.针对现有威胁情报服务系统互联互通平台建设需求，需要利用知识组织、大数据技术、人工智能技术、区块链技术和VR/AR等技术，研究形成网络威胁情报共享技术体系.

为提升网络威胁情报的质量和准确性，可利用各种知识表示技术，基于网络安全知识图谱，将分散的大规模、碎片化的多源异构网络威胁情报进行关键威胁要素的融合、关联分析，形成统一的高质量的威胁情报知识体系；根据威胁情报知识间的语义联系，通过公理和规则补全知识，基于深度学习方法进行有效的隐含知识挖掘和推理等，从而实现威胁情报内容的自动分析，如推断受害范围、攻击路径，关联攻击组织等，以实现网络威胁情报分析利用的智能化，从而形成高效的知识管理体系，提高威胁情报共享利用效率.

3.3 完善网络威胁情报共享制度和标准

信息共享制度是国家网络安全制度的核心之一，在威胁情报共享趋势推动下，共享制度的目标侧重于弥补各主体网络安全态势感知能力的缺陷，构建政府部门与私营部门之间的合作协同关系.

信息共享制度应该以实践为导向，针对特定领域，充分考虑网络安全信息的时效性、全面性、准确性的优先次序，以满足某个时间点特定对象共享信息的目的.为此，面向实践需求的网络安全信息共享制度，应提供层次化的共享框架和多样化的共享路径，为政府部门、运营者、私营部门、利益攸关方等提供多种选择方案.

面对新型网络安全威胁，尤其是社交网络、物联网、自动驾驶、无人机等的应用，应当及时修订完善网络安全信息共享制度，扩展信息共享路径，扩大信息共享的参与主体范围，如工业互联网安全需要整个产业链的企业参与信息共享.

标准化是威胁情报共享的技术基础，可借鉴欧盟的NIS指令、美国情报百科(Intellipedia)与NIST的《网络威胁信息共享指南》，构建我国的网络威胁信息共享指南.依据业界威胁情报交换系列标准，如结构化威胁信息表达式(STIX)、网络可观察表达式(CyboX)、指标信息的可信自动化交换(TAXII)，以《信息安全技术 网络安全威胁信息表达模型》(GB/T 36643—2018)[11]和2019年发布的《网络安全威胁信息发布管理办法》，制定网络威胁情报的发布、共享、利用及交换规范等，提升威胁情报共享合作的范围与力度.