周雨欣 盧明欣 楊海平

(南京大學(xué)信息管理學(xué)院 南京 210000)

0 引 言

網(wǎng)絡(luò)安全的本質(zhì)是攻防對(duì)抗，然而傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系普遍存在“后知后防”的弱點(diǎn)，攻擊方只要找到一個(gè)弱點(diǎn)就可以滲透系統(tǒng)，而防御方則需要考慮其組織安全態(tài)勢(shì)中所有潛在的弱點(diǎn)，后者在網(wǎng)絡(luò)安全“速度之爭(zhēng)”中處于天然的劣勢(shì)。威脅情報(bào)的提出彌補(bǔ)了這一不足?！爸酥?，百戰(zhàn)不殆”揭示了情報(bào)的本質(zhì)，威脅情報(bào)通過對(duì)敵手攻擊意圖和手法等信息進(jìn)行搜集、加工、分析、共享和分發(fā)，填補(bǔ)了網(wǎng)絡(luò)安全外防與內(nèi)控的空白，促使信息安全管理范式由被動(dòng)防御轉(zhuǎn)向主動(dòng)防御[1]。隨著勒索病毒、APT攻擊等破壞活動(dòng)頻發(fā)，網(wǎng)絡(luò)空間內(nèi)基于傳統(tǒng)地緣政治的大國博弈進(jìn)入白熱化階段，威脅情報(bào)逐漸上升為國家安全層面的戰(zhàn)略情報(bào)。

威脅情報(bào)的誕生豐富了國家安全情報(bào)在知識(shí)、活動(dòng)、組織維度的理論與實(shí)踐，促進(jìn)了公私合作模式(Public-Private Partnership，PPP)在情報(bào)界的發(fā)展。我國《國家情報(bào)法》第12條規(guī)定 ，“國家情報(bào)工作機(jī)構(gòu)可以按照國家有關(guān)規(guī)定，與有關(guān)個(gè)人和組織建立合作關(guān)系，委托開展相關(guān)工作”。然而，威脅情報(bào)是情報(bào)學(xué)的新興領(lǐng)域，關(guān)于建立什么樣的公私合作伙伴關(guān)系，如何建立公私合作伙伴關(guān)系，仍然有待探索。美國作為網(wǎng)絡(luò)技術(shù)的起源地和情報(bào)領(lǐng)域的先驅(qū)，從20世紀(jì)90年代起就開始重視威脅情報(bào)領(lǐng)域中的公私合作模式的應(yīng)用，并形成了較為完善的制度保障體系和產(chǎn)業(yè)鏈，對(duì)于促進(jìn)我國威脅情報(bào)體系的建設(shè)，探索網(wǎng)絡(luò)空間新型治理模式具有借鑒意義。

基于此，本文將對(duì)美國威脅情報(bào)公私合作的產(chǎn)生原因、發(fā)展歷程、制度保障、實(shí)踐經(jīng)驗(yàn)以及存在的問題進(jìn)行分析，并為我國威脅情報(bào)公私合作實(shí)踐提出建議。

1 美國威脅情報(bào)公私合作模式的產(chǎn)生原因

美國“戰(zhàn)略情報(bào)之父”謝爾曼·肯特認(rèn)為情報(bào)是知識(shí)、是組織、是活動(dòng)[2]，威脅情報(bào)的誕生豐富了情報(bào)在知識(shí)、活動(dòng)、組織維度的理論與實(shí)踐，為美國情報(bào)界公私合作模式的發(fā)展提供了新的契機(jī)。

1.1 在威脅情報(bào)作為知識(shí)的維度，公私合作是情報(bào)共享的重要途徑

隨著網(wǎng)絡(luò)空間成為繼陸、海、空、天之后的第五疆域，美國對(duì)網(wǎng)絡(luò)威脅的認(rèn)知不斷深化。一方面，網(wǎng)絡(luò)與美國政治、經(jīng)濟(jì)、軍事和文化領(lǐng)域深度耦合，牽一發(fā)而動(dòng)全局。“棱鏡門”“劍橋分析事件”表明網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)滲透不僅嚴(yán)重侵犯公民個(gè)人隱私，還能操縱選舉、侵蝕政治安全和國家安全。另一方面，信息通信技術(shù)廣泛應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施、重要信息網(wǎng)絡(luò)和消費(fèi)設(shè)備，對(duì)網(wǎng)絡(luò)的高度依賴導(dǎo)致了美國網(wǎng)絡(luò)安全的脆弱性。APT攻擊、勒索病毒、零日攻擊和復(fù)合攻擊等新型網(wǎng)絡(luò)威脅具有多矢量、多階段的特性，使傳統(tǒng)防火墻、入侵檢測(cè)等防護(hù)手段捉襟見肘[3]。2020年，黑客利用太陽風(fēng)公司(SolarWinds)的網(wǎng)管軟件漏洞攻陷了多個(gè)美國聯(lián)邦機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商以及企業(yè)網(wǎng)絡(luò)，超過1.8萬個(gè)組織的網(wǎng)絡(luò)中被發(fā)現(xiàn)存在惡意代碼，堪稱“有史以來規(guī)模最大、最復(fù)雜的攻擊”[4]。美國90%以上的基礎(chǔ)設(shè)施掌握在私營部門手中，保護(hù)基礎(chǔ)設(shè)施安全既是私營部門維持正常運(yùn)營的必然需求，也是政府維護(hù)國家安全與繁榮的職責(zé)所在。網(wǎng)絡(luò)威脅的全面性驅(qū)使公私部門整合資源、形成合力、協(xié)同防御，共同目標(biāo)為公私合作奠定了價(jià)值基礎(chǔ)。

Gartner公司認(rèn)為“威脅情報(bào)是一種基于證據(jù)的知識(shí)，包括背景、機(jī)制、指標(biāo)、影響和可操作的建議，旨在為決策者提供資產(chǎn)所面臨的已知或未知的攻擊威脅以便響應(yīng)和應(yīng)對(duì)威脅”[5]。威脅情報(bào)和傳統(tǒng)國家安全情報(bào)都具有激烈的對(duì)抗性，在網(wǎng)絡(luò)戰(zhàn)中發(fā)揮著“耳目、尖兵、參謀”的作用。所謂“耳目”是指實(shí)時(shí)的威脅情報(bào)可以幫助偵察和及時(shí)告知威脅，最大限度地縮短攻擊者的“自由攻擊時(shí)間”，從而實(shí)現(xiàn)網(wǎng)絡(luò)威脅的早期檢測(cè)、情報(bào)預(yù)警和應(yīng)急響應(yīng)[6]。 威脅狩獵體現(xiàn)了情報(bào)的“尖兵”作用，自2018年以來，美國在多地開展“前置狩獵”行動(dòng)，主動(dòng)持續(xù)地搜尋網(wǎng)絡(luò)威脅以探明攻擊者意圖和手法并在攻擊發(fā)生前予以阻止?！皡⒅\”是指威脅情報(bào)能夠幫助管理者快速掌握當(dāng)前安全態(tài)勢(shì)并進(jìn)一步識(shí)別未意識(shí)到的風(fēng)險(xiǎn)，支持組織運(yùn)營決策。

然而，傳統(tǒng)國家安全情報(bào)的作用機(jī)理在于通過隱蔽行動(dòng)等手段擴(kuò)大與敵方的信息不對(duì)稱獲得優(yōu)勢(shì)，因此其價(jià)值建立在隱秘性之上。威脅情報(bào)則是一種以防御為主要目標(biāo)的反情報(bào)，它的目的是縮小與敵方的信息不對(duì)稱以獲得威脅響應(yīng)的時(shí)間資源，因而需要在利益攸關(guān)者之間最大程度地共享以建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知，即“以空間換時(shí)間”[7]。威脅情報(bào)共享有利于增強(qiáng)威脅的可見性、縮短威脅響應(yīng)時(shí)間和構(gòu)建完整的攻擊鏈。早在20世紀(jì)90年代，美國就開始重視公私部門間的網(wǎng)絡(luò)安全信息共享，并逐步建立起一套較為完善的威脅情報(bào)共享機(jī)制。公私合作是威脅情報(bào)共享的重要途徑，也是美國歷屆政府政策與法律的焦點(diǎn)議題。

1.2 在威脅情報(bào)作為活動(dòng)的維度，公私合作是公共產(chǎn)品的混合供給模式

2000年美軍頒布的《聯(lián)合作戰(zhàn)情報(bào)支援條令》提出“聯(lián)合作戰(zhàn)情報(bào)周期”理論,將情報(bào)視為由情報(bào)搜集、處理與加工、分析與生產(chǎn)、分發(fā)與整合、評(píng)估和反饋6個(gè)階段構(gòu)成的循環(huán)往復(fù)的活動(dòng)[8]。威脅情報(bào)同樣具有完整的生命周期，那么，就情報(bào)的生產(chǎn)與供給而言，政府和市場(chǎng)誰來決定資源配置？

公共物品，又稱公共產(chǎn)品，根據(jù)薩繆爾森的定義，是指在消費(fèi)過程中具備非排他性和非競(jìng)爭(zhēng)性的物品[9]。非排他性是指公共產(chǎn)品一旦生產(chǎn)出來就不能排斥該社會(huì)任何人消費(fèi)該種產(chǎn)品；非競(jìng)爭(zhēng)性是指增加一個(gè)消費(fèi)者不會(huì)減少任何一個(gè)人對(duì)該產(chǎn)品的消費(fèi)數(shù)量和質(zhì)量。在自發(fā)決策和分散的市場(chǎng)機(jī)制中，具有正外部性的公共產(chǎn)品將產(chǎn)生“搭便車”問題，進(jìn)而導(dǎo)致市場(chǎng)失靈、供給不足，因此，國防、法律等純公共產(chǎn)品一般由政府來供給，公共產(chǎn)品的供給也是政府存在合法性的基礎(chǔ)。但現(xiàn)實(shí)中純公共產(chǎn)品很少，大多是介于純公共產(chǎn)品和私人產(chǎn)品之間的準(zhǔn)公共產(chǎn)品，準(zhǔn)公共產(chǎn)品只具備純公共產(chǎn)品的某一特征，可以由非政府主體提供。

根據(jù)公共物品理論，傳統(tǒng)國家安全情報(bào)是服務(wù)于國家安全的純公共安全產(chǎn)品，公眾是間接受益者，但威脅情報(bào)是一種不純粹的公共安全產(chǎn)品。首先，威脅情報(bào)可以被視為一種網(wǎng)絡(luò)安全信息資源，信息的共享性以及消費(fèi)無損耗性使之具備非排他性和非競(jìng)爭(zhēng)性[10]，威脅情報(bào)共享所產(chǎn)生的“群體免疫”效應(yīng)增加了“搭便車”的機(jī)會(huì)，因此從信息的角度來說，威脅情報(bào)是具備正外部性的公共產(chǎn)品。但是，相比一般的交付性情報(bào)，威脅情報(bào)要求場(chǎng)景化、定制化、服務(wù)化以切實(shí)解決網(wǎng)絡(luò)安全問題。威脅情報(bào)的產(chǎn)品或服務(wù)的消費(fèi)所花費(fèi)的成本可排除某些人的消費(fèi)或受益，也就是說，它可以通過技術(shù)手段實(shí)現(xiàn)“排它”從而轉(zhuǎn)變?yōu)椤皽?zhǔn)公共產(chǎn)品”，這為威脅情報(bào)產(chǎn)品和服務(wù)的市場(chǎng)化奠定了理論基礎(chǔ)。其次，從社會(huì)公平的角度來說，威脅情報(bào)作為挾制網(wǎng)絡(luò)威脅的重要資源，其生產(chǎn)與供給關(guān)系到公共安全與社會(huì)利益。Stiglitz和Wallsten的研究發(fā)現(xiàn)，在技術(shù)創(chuàng)新背景下的公私合作伙伴關(guān)系中，利潤(rùn)最大化的公司在技術(shù)研發(fā)上的投資低于社會(huì)最優(yōu)水平[11]。私營部門的逐利性決定了其在公共安全產(chǎn)品供給方面的局限性，因此，威脅情報(bào)的公私混合供給模式是一種權(quán)衡效率和公平的安排。

隨著網(wǎng)絡(luò)威脅的持續(xù)擴(kuò)散，公眾和企業(yè)成為威脅情報(bào)的直接消費(fèi)者，以往由美國政府壟斷的威脅情報(bào)逐漸下放至私營部門[12]，形成公私混合供給模式，如圖1所示。一方面，美國依托網(wǎng)絡(luò)安全部門和情報(bào)機(jī)構(gòu)生產(chǎn)威脅情報(bào)，通過網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)向恰當(dāng)?shù)乃綘I部門分發(fā)情報(bào)并提供相應(yīng)的業(yè)務(wù)指導(dǎo)；另一方面，對(duì)威脅情報(bào)廠商來說，與政府共享威脅情報(bào)，可能導(dǎo)致該情報(bào)與其競(jìng)爭(zhēng)對(duì)手共享，因此他們的商業(yè)模式依賴于獲取、持有和出售情報(bào)，而不是共享情報(bào)[13]。美國政府通過政府采購、情報(bào)外包、風(fēng)險(xiǎn)投資等形式推動(dòng)威脅情報(bào)產(chǎn)業(yè)化，建立威脅情報(bào)生態(tài)系統(tǒng)。公私部門混合供給模式不僅減輕了政府的財(cái)政壓力，還增加了情報(bào)需求和情報(bào)供給的耦合度，更好地滿足了情報(bào)用戶多樣化的產(chǎn)品需求。

圖1 美國威脅情報(bào)公私部門混合供給模式

1.3 在威脅情報(bào)作為組織的維度，公私合作是一種公共治理模式

公共安全產(chǎn)品供給模式變化的背后是國家安全治理需求的變化?！?·11”事件后，恐怖主義、跨國犯罪等非傳統(tǒng)安全威脅擴(kuò)大了情報(bào)界的工作范圍和人才需求，政府情報(bào)機(jī)構(gòu)逐漸難以滿足持續(xù)變化的國家安全治理需求；與此同時(shí)，私營部門的人力、技術(shù)和管理優(yōu)勢(shì)在情報(bào)領(lǐng)域日益凸顯。貝爾科維奇和古德曼指出，“私營部門往往比政府情報(bào)機(jī)構(gòu)更先進(jìn)，不僅在情報(bào)產(chǎn)品開發(fā)和情報(bào)服務(wù)方面做得更好，還能將其快速傳遞給用戶。在某些情況下，私營部門能分析出更好的情報(bào)信息”[14]。以“私有化”為特征的新公共管理浪潮下，美國公共服務(wù)市場(chǎng)化改革蓬勃興起并逐漸蔓延至情報(bào)界，情報(bào)外包是委托私有化的一個(gè)例子[15]。

雖然美國民營化理論大師薩瓦斯認(rèn)為公私合作制與私有化的概念基本是相同的，都是市場(chǎng)機(jī)制參與公共服務(wù)的過程，但傳統(tǒng)的情報(bào)外包更多的是政府情報(bào)職能“轉(zhuǎn)移”給私營部門，而不是“合作”。一個(gè)典型的例子是2006年《美國情報(bào)界五年戰(zhàn)略人力資本計(jì)劃》曾提及情報(bào)界發(fā)現(xiàn)自己在與承包商“競(jìng)爭(zhēng)”自己的員工，一些情報(bào)承包商為了完成政府外包的情報(bào)工作雇傭了政府情報(bào)人員，這些由政府支付審查成本和培訓(xùn)費(fèi)用的員工，卻被以更高的成本“租”給情報(bào)界。 Wettenhall將公私合作伙伴關(guān)系分為兩類，一類是以協(xié)商一致決定為特征的橫向、非等級(jí)的共同決策，另一類則是有一方處于控制角色的層級(jí)組織關(guān)系[16]。情報(bào)外包顯然是一種具備層級(jí)關(guān)系的委托-代理關(guān)系，如圖2所示，將政府情報(bào)機(jī)構(gòu)視為委托方，其目標(biāo)為公共利益；情報(bào)承包商為代理方，其目標(biāo)為利潤(rùn)。盡管委托人具有監(jiān)督代理人執(zhí)行情報(bào)任務(wù)的職能，但委托人并不是總是知道代理人在做什么，如果公共利益和追求利潤(rùn)的目標(biāo)沖突，代理人則有可能從一定程度的自由裁量權(quán)中受益，損害公共利益從而獲取利潤(rùn)。斯諾登事件為美國情報(bào)界敲響了警鐘，情報(bào)外包在幫助政府解決情報(bào)工作效率低下、官僚主義等問題的同時(shí)，也引起了公眾對(duì)政府監(jiān)管缺位、推諉責(zé)任的質(zhì)疑。

圖2 情報(bào)外包“委托-代理關(guān)系”模型

Wettenhall認(rèn)為真正的“伙伴關(guān)系”屬于第一類，本文主要探討的也是這一類公私合作伙伴關(guān)系。公私合作模式可以被視為對(duì)私有化的反思，它要求政府更多地參與到合作項(xiàng)目之中，合作雙方建立目標(biāo)一致的伙伴關(guān)系、收益共享、風(fēng)險(xiǎn)同擔(dān)，此外，公私合作模式還突出“治理”的功能，強(qiáng)調(diào)多元主體的合作與協(xié)調(diào)[17]。傳統(tǒng)國家安全情報(bào)呈現(xiàn)以政府為中心的治理框架，而網(wǎng)絡(luò)空間的無邊界性和網(wǎng)絡(luò)安全的脆弱性促使各個(gè)社會(huì)主體參與網(wǎng)絡(luò)安全治理，形成多元共治的格局。威脅情報(bào)搜集和共享的過程中還涉及到知識(shí)產(chǎn)權(quán)、個(gè)人隱私等問題，多利益攸關(guān)模式促使社會(huì)力量參與國家治理，體現(xiàn)了科學(xué)、民主的決策模式。

2 美國威脅情報(bào)公私合作模式的發(fā)展歷程

公私合作模式具有復(fù)雜性和多樣性，在不同的歷史背景和政策環(huán)境下具有不同的內(nèi)涵、目標(biāo)和表現(xiàn)形式，美國威脅情報(bào)公私合作模式的發(fā)展歷程可以劃分為三個(gè)階段：

2.1 萌芽期：克林頓和小布什時(shí)期

在關(guān)鍵基礎(chǔ)設(shè)施大規(guī)模私有化的背景下,公私合作模式成為美國保護(hù)網(wǎng)絡(luò)安全的重要手段。1998年克林頓簽署第63號(hào)總統(tǒng)指令(PPD-63)，要求推動(dòng)公共部門和私營部門信息共享以降低關(guān)鍵基礎(chǔ)設(shè)施的脆弱性，鼓勵(lì)建立由關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營者基于成員關(guān)系形成的非營利性信息共享與分析中心(ISAC)，其任務(wù)是收集、分析和傳遞網(wǎng)絡(luò)攻擊與預(yù)警信息。但在美國遭受“9.11”恐怖襲擊前，只有金融服務(wù)、通信和供應(yīng)鏈管理部門等少數(shù)關(guān)鍵基礎(chǔ)設(shè)施部門創(chuàng)建了ISAC。并且這一時(shí)期公私合作更多地是作為一種約定俗成的慣例出現(xiàn)，沒有形成一種固定化的制度[18]。

“9.11”事件后，美國由克林頓政府的“發(fā)展優(yōu)先”戰(zhàn)略向小布什政府“安全優(yōu)先”戰(zhàn)略轉(zhuǎn)變[19]，“反恐”的迫切需求使公私合作模式成為保障美國網(wǎng)絡(luò)安全的最主要甚至唯一可行的模式。小布什政府先后頒布了《愛國者法案》《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》《國家網(wǎng)絡(luò)安全綜合計(jì)劃》等文件對(duì)公私合作模式做了進(jìn)一步說明，要求增強(qiáng)公私部門在網(wǎng)絡(luò)安全應(yīng)急響應(yīng)和信息共享方面的合作，并確立由國土安全部負(fù)責(zé)協(xié)調(diào)公私合作相關(guān)事項(xiàng)。

從克林頓到小布什時(shí)期，美國形成了以保護(hù)關(guān)鍵基礎(chǔ)設(shè)施為主要目標(biāo)，以網(wǎng)絡(luò)攻擊預(yù)警和事件信息共享為主要形式的公私合作模式。但過于依賴私營部門自律，缺乏完善的法律和政策保障體系，導(dǎo)致私營部門參與信息共享的意愿不強(qiáng)。

2.2 發(fā)展期：奧巴馬時(shí)期

奧巴馬上臺(tái)后宣布放棄“全球反恐戰(zhàn)爭(zhēng)”，彼時(shí)，網(wǎng)絡(luò)空間的政治效能日益凸顯，網(wǎng)絡(luò)空間被視為“戰(zhàn)略性國家資產(chǎn)”，以民族國家為主體的網(wǎng)絡(luò)攻擊活動(dòng)逐漸引起重視。網(wǎng)絡(luò)攻擊的團(tuán)體化、復(fù)雜化驅(qū)使威脅信息轉(zhuǎn)化為具有更高價(jià)值的威脅情報(bào)為決策服務(wù)，2012年《大數(shù)據(jù)研究和發(fā)展倡議》正式提出“威脅情報(bào)”這一概念。2015年2月，奧巴馬要求國家情報(bào)總監(jiān)設(shè)立網(wǎng)絡(luò)威脅情報(bào)整合中心(CTIIC)，旨在以“整個(gè)政府”的力量應(yīng)對(duì)網(wǎng)絡(luò)威脅。隨后，奧巴馬簽署《改善私營領(lǐng)域網(wǎng)絡(luò)安全信息共享行政令》，要求推進(jìn)更廣泛、更深入的公私合作和信息共享，新建信息共享和分析組織(ISAO)，允許不符合已建立的行業(yè)的組織加入，由此擴(kuò)充原有的共享模式。同年，《2015網(wǎng)絡(luò)安全信息共享法》確立了網(wǎng)絡(luò)安全信息共享的主體、范圍、程序、組織機(jī)構(gòu)、責(zé)任豁免和隱私保護(hù)等內(nèi)容，首次明確威脅情報(bào)共享的范圍包括網(wǎng)絡(luò)威脅指標(biāo)和防御性措施兩大類[20]。

奧巴馬時(shí)期，恐怖主義的陰霾逐漸消散，政府的工作重心重新轉(zhuǎn)移到經(jīng)濟(jì)復(fù)蘇和美國領(lǐng)導(dǎo)地位重塑上。基于此，美國充分發(fā)揮政府的主導(dǎo)作用，完善機(jī)構(gòu)設(shè)置和法律政策，自上而下地推動(dòng)建立威脅情報(bào)共享機(jī)制，公共部門和私營部門從簡(jiǎn)單的網(wǎng)絡(luò)安全事件信息共享過渡到威脅情報(bào)共享。奧巴馬政府鼓勵(lì)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的市場(chǎng)化和創(chuàng)新化發(fā)展，威脅情報(bào)最早應(yīng)用于軍事和反恐領(lǐng)域，2005年后逐漸擴(kuò)展到商業(yè)領(lǐng)域，但早期的威脅情報(bào)主要局限于病毒防御機(jī)制，即向用戶推送病毒特征信息[21]。2013年以后，融合大數(shù)據(jù)技術(shù)的威脅情報(bào)成為美國網(wǎng)絡(luò)安全行業(yè)迅速崛起的新興領(lǐng)域，并逐步實(shí)現(xiàn)市場(chǎng)化、產(chǎn)業(yè)化和服務(wù)化，F(xiàn)ireEye、CrowdStrike等威脅情報(bào)廠商蓬勃興起。

2.3 拓展期：特朗普時(shí)期至今

特朗普?qǐng)?zhí)政后，網(wǎng)絡(luò)空間內(nèi)基于傳統(tǒng)地緣政治的大國博弈加劇。2019年，國家情報(bào)總監(jiān)辦公室發(fā)布的《國家情報(bào)戰(zhàn)略》(第4版)正式將“網(wǎng)絡(luò)威脅情報(bào)”列為美國情報(bào)界的四大專題目標(biāo)之首。2020年美國網(wǎng)絡(luò)空間日光浴委員會(huì)(CSC) 發(fā)布的《分層網(wǎng)絡(luò)威懾戰(zhàn)略》明確提出要建立“聯(lián)合協(xié)作環(huán)境”，推進(jìn)威脅情報(bào)的整合與共享、加強(qiáng)網(wǎng)絡(luò)歸因與威脅反制能力、重塑網(wǎng)絡(luò)生態(tài)系統(tǒng)。2021年，CISA成立“聯(lián)合網(wǎng)絡(luò)防御協(xié)作組織”(JCDC)，倡導(dǎo)政府和企業(yè)共同制定全面的網(wǎng)絡(luò)防御計(jì)劃與聯(lián)合演習(xí)方案，將公私合作轉(zhuǎn)化為公私運(yùn)營協(xié)同。這一時(shí)期，公私合作正在從威脅情報(bào)共享轉(zhuǎn)變?yōu)榭筛吨T于行動(dòng)的情報(bào)賦能，私營部門在美國網(wǎng)絡(luò)安全態(tài)勢(shì)感知、應(yīng)急響應(yīng)和網(wǎng)絡(luò)歸因中發(fā)揮著越來越重要的作用。

3 美國威脅情報(bào)公私合作模式的制度保障與實(shí)踐經(jīng)驗(yàn)

“合作”是基于制度基礎(chǔ)上的信任關(guān)系, 制度有助于規(guī)范、協(xié)調(diào)合作雙方的行為。當(dāng)前，美國威脅情報(bào)公私合作實(shí)踐已經(jīng)取得了一定成果，主要體現(xiàn)在組織體系建設(shè)、新型合作模式的探索、風(fēng)險(xiǎn)分擔(dān)機(jī)制和威脅情報(bào)賦能方面。

3.1 明確機(jī)構(gòu)職能，完善威脅情報(bào)共享機(jī)制

美國威脅情報(bào)公私合作模式的參與主體包括情報(bào)界、司法部、國土安全部和國防部等聯(lián)邦政府機(jī)構(gòu)以及各州、地方政府，也包括威脅情報(bào)廠商、關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者和非營利性組織等非政府實(shí)體，因此，如何統(tǒng)籌管理、協(xié)調(diào)多方關(guān)系是威脅情報(bào)組織體系建設(shè)的重點(diǎn)。

當(dāng)前，美國依托國家情報(bào)總監(jiān)辦公室(ODNI)下屬的網(wǎng)絡(luò)威脅情報(bào)整合中心(CTIIC)進(jìn)行跨部門協(xié)調(diào)管理，原有網(wǎng)絡(luò)安全機(jī)構(gòu)體系負(fù)責(zé)具體運(yùn)作實(shí)施，如圖3所示。在國內(nèi)威脅情報(bào)工作中，國土安全部(DHS)下屬的網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)負(fù)責(zé)跨區(qū)域協(xié)調(diào)和管理網(wǎng)絡(luò)威脅事件，保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和聯(lián)邦政府網(wǎng)絡(luò)安全。CISA設(shè)立了CISA 中心(CISA central)與MS-ISAC、ISACs、ISAOs以及其他利益攸關(guān)者保持密切聯(lián)系，協(xié)調(diào)網(wǎng)絡(luò)安全態(tài)勢(shì)感知和對(duì)國家網(wǎng)絡(luò)事件的響應(yīng)；司法部(DoJ)下屬的聯(lián)邦調(diào)查局(FBI)負(fù)責(zé)網(wǎng)絡(luò)犯罪的網(wǎng)絡(luò)取證、調(diào)查、分析，對(duì)網(wǎng)絡(luò)安全事件提供支持。國防部(DoD)下屬的網(wǎng)絡(luò)司令部(US CYBERCOM)主要負(fù)責(zé)搜集國外威脅情報(bào)，準(zhǔn)備和實(shí)施軍事網(wǎng)絡(luò)空間作戰(zhàn)行動(dòng)。ODNI統(tǒng)領(lǐng)16個(gè)分散在各個(gè)部門的情報(bào)機(jī)構(gòu)，直接受到美國總統(tǒng)的指揮、管理與控制，其下屬的CTIIC負(fù)責(zé)對(duì)聯(lián)邦政府威脅情報(bào)進(jìn)行整合、全源分析和共享，支持、協(xié)調(diào)、監(jiān)督FBI、CISA、US CYBERCOM等部門的威脅情報(bào)行動(dòng)。CTIIC橫向協(xié)調(diào)與管理的職能有助于打破情報(bào)壁壘，促進(jìn)各部門情報(bào)共享與聯(lián)合行動(dòng)，正如麥克里斯特爾所說的“用網(wǎng)絡(luò)來打敗網(wǎng)絡(luò)”。準(zhǔn)確的來說，CTIIC是一個(gè)整合中心而不是運(yùn)營中心，不具備情報(bào)行動(dòng)的功能，這樣設(shè)計(jì)的目的一是通過分權(quán)形成權(quán)力制衡，二是盡量保持情報(bào)分析客觀性，避免情報(bào)政治化。但在實(shí)際履職中，不具備實(shí)際的人事任免權(quán)和非直線的指揮關(guān)系一定程度上限制了它的管理效力[22]。

圖3 美國威脅情報(bào)共享機(jī)制

3.2 建立持久性的公私合作伙伴關(guān)系

與政府采購、情報(bào)外包的臨時(shí)性和短期性不同，“合作”要求雙方一開始就建立一個(gè)溝通渠道，持續(xù)性地互動(dòng)并建立一種長(zhǎng)期的伙伴關(guān)系，收益共享、風(fēng)險(xiǎn)共擔(dān)，最重要的是，公共部門在吸收私營部門的優(yōu)勢(shì)的同時(shí)需要保有對(duì)私營部門政策的控制權(quán)[17]。

3.2.1情報(bào)共享與公共服務(wù)

情報(bào)共享是美國威脅情報(bào)公私合作模式中最重要、參與主體最廣泛的形式。

為鼓勵(lì)私營部門自愿參與信息共享，奧巴馬時(shí)期，國土安全部推行了網(wǎng)絡(luò)信息共享與合作計(jì)劃(CISCP)、增強(qiáng)網(wǎng)絡(luò)安全服務(wù)(ECS) 計(jì)劃等項(xiàng)目，將非機(jī)密的威脅信息幾乎實(shí)時(shí)披露給共享主體，生產(chǎn)準(zhǔn)確、相關(guān)、及時(shí)且可操作的威脅情報(bào)，并為私營部門提供免費(fèi)的商業(yè)威脅情報(bào)訪問權(quán)限和網(wǎng)絡(luò)安全服務(wù)[23]，但搭便車效應(yīng)和缺乏激勵(lì)使得私營部門合作動(dòng)力不強(qiáng)。特朗普政府著手解決美國聯(lián)邦政府網(wǎng)絡(luò)安全“多頭管理”的問題，強(qiáng)化國土安全部在威脅情報(bào)共享方面的領(lǐng)導(dǎo)權(quán)，關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者只有增強(qiáng)與國土安全部合作才能獲得政府提供的威脅情報(bào)和業(yè)務(wù)指導(dǎo)，以壟斷并且有選擇地提供公共服務(wù)的方式迫使私營部門更主動(dòng)地配合該部門[24]。公私部門威脅情報(bào)共享筑成美國應(yīng)對(duì)網(wǎng)絡(luò)威脅的第一道防線，也為情報(bào)賦能奠定了基礎(chǔ)。

3.2.2政府風(fēng)險(xiǎn)投資

以In-Q-Tel為代表的政府風(fēng)險(xiǎn)投資模式是美國情報(bào)機(jī)構(gòu)利用市場(chǎng)手段獲取技術(shù)、保持技術(shù)領(lǐng)先地位的一種創(chuàng)新機(jī)制。In-Q-Tel公司是典型的“混合組織”，具備“公”“私”雙重屬性[25]。

“公”體現(xiàn)在In-Q-Tel的投資目標(biāo)不是財(cái)務(wù)收益而是滿足中情局(CIA)情報(bào)技術(shù)需求。In-Q-Tel的投資資金和日常管理費(fèi)用均由CIA提供，公司內(nèi)設(shè)立In-Q-Tel 界面管理中心(QIC)與CIA對(duì)接，QIC負(fù)責(zé)將CIA的涉密需求轉(zhuǎn)化為不涉密的“問題清單”傳達(dá)至In-Q-Tel。In-Q-Tel則以非營利性天使投資的形式向具有潛在情報(bào)價(jià)值的初創(chuàng)企業(yè)提供早期資金支持，尤其是數(shù)據(jù)分析和信息安全領(lǐng)域。這些公司完成技術(shù)孵化并轉(zhuǎn)入市場(chǎng)運(yùn)作后，通過In-Q-Tel將新興技術(shù)轉(zhuǎn)讓至CIA，公私部門共享知識(shí)產(chǎn)權(quán)，亦或允許政府情報(bào)機(jī)構(gòu)成為私營部門所搜集的海量情報(bào)的用戶。著名威脅情報(bào)廠商FireEye成立之初曾因金融危機(jī)陷入低迷，CIA提出如果FireEye能檢測(cè)出電子郵件中的惡意軟件則有意成為他們的客戶，此后In-Q-Tel買入FireEye的技術(shù)解決方案[26]。目前FireEye已經(jīng)成為美國政府的重要威脅數(shù)據(jù)來源和技術(shù)供應(yīng)商，有效提高了政府檢測(cè)、抵御網(wǎng)絡(luò)威脅的能力。

“私”體現(xiàn)在In-Q-Tel完全以私人公司身份從事市場(chǎng)活動(dòng)，公司內(nèi)部的日常經(jīng)營管理完全獨(dú)立，不受繁瑣的聯(lián)邦采辦法案的限制，高度的自主性促進(jìn)了情報(bào)界與技術(shù)市場(chǎng)間的信息交流，縮短了先進(jìn)技術(shù)的研發(fā)和采購周期。相較于成品采購、情報(bào)高級(jí)研究計(jì)劃局(IARPA)的外包式技術(shù)獲取方式，In-Q-Tel避免對(duì)市場(chǎng)進(jìn)行直接干預(yù)，而是通過風(fēng)險(xiǎn)投資活動(dòng)來識(shí)別有情報(bào)價(jià)值的初創(chuàng)企業(yè)，并對(duì)其決策和生產(chǎn)、經(jīng)營施加影響來幫助CIA獲取所需技術(shù)[27]。In-Q-Tel還尤為關(guān)注情報(bào)界和商業(yè)兩用的技術(shù)，帶動(dòng)私人風(fēng)險(xiǎn)投資家與政府聯(lián)合投資，從而降低研發(fā)風(fēng)險(xiǎn)、縮減技術(shù)獲取成本。在政治權(quán)力、資本權(quán)力和技術(shù)權(quán)力既交相融合又有所競(jìng)合的國家安全治理態(tài)勢(shì)中[28],以In-Q-Tel為代表的公私合作模式已然成為美國政府撬動(dòng)資本與技術(shù)為政治權(quán)力和國家安全服務(wù)的重要途徑。

3.3 構(gòu)建合理的風(fēng)險(xiǎn)分擔(dān)機(jī)制

在情報(bào)外包和政府采購中，公私部門所追求的是各自風(fēng)險(xiǎn)的最小化，因此存在著道德風(fēng)險(xiǎn)和逆向選擇的問題，不利于形成合作關(guān)系。構(gòu)建合理的風(fēng)險(xiǎn)分擔(dān)機(jī)制是建立公私合作伙伴關(guān)系的必要條件。

3.3.1風(fēng)險(xiǎn)識(shí)別

本文結(jié)合文獻(xiàn)調(diào)研和美國出臺(tái)的相關(guān)政策文件總結(jié)出威脅情報(bào)公私合作模式中的潛在風(fēng)險(xiǎn)，見表1。

表1 威脅情報(bào)公私合作模式的潛在風(fēng)險(xiǎn)

3.3.2風(fēng)險(xiǎn)分擔(dān)機(jī)制

在公私合作的過程中，私營部門對(duì)風(fēng)險(xiǎn)更加敏感和脆弱，因此構(gòu)建合理的風(fēng)險(xiǎn)分擔(dān)機(jī)制需要政府具備整體性思維，盡可能大地承擔(dān)自己有優(yōu)勢(shì)方面的伴生風(fēng)險(xiǎn)[32]。公共部門的優(yōu)勢(shì)主要體現(xiàn)在政策法規(guī)的制定、強(qiáng)大的財(cái)政支持和維護(hù)公共利益等方面。

在政策法規(guī)方面，美國歷屆政府都倡導(dǎo)自愿合作原則，《2015網(wǎng)絡(luò)安全信息共享法案》規(guī)定不參加自愿共享行為的實(shí)體不承擔(dān)任何法律責(zé)任，不強(qiáng)制私營部門收到政府分發(fā)的威脅情報(bào)后采取行動(dòng)，并對(duì)參與共享的主體設(shè)置了反壟斷、知識(shí)產(chǎn)權(quán)和公眾披露豁免條款，維護(hù)了私營部門的正當(dāng)權(quán)利。

在財(cái)政支持方面，美國將政府采購和項(xiàng)目承包作為激勵(lì)，引導(dǎo)私營部門積極與政府合作。例如《聯(lián)邦采辦條例國防部補(bǔ)充條例》規(guī)定國防采購項(xiàng)目競(jìng)爭(zhēng)失敗的承包商有權(quán)利獲得項(xiàng)目或資金的補(bǔ)償，以“競(jìng)爭(zhēng)補(bǔ)償”的形式降低私營部門參與技術(shù)研發(fā)的風(fēng)險(xiǎn)。為防控技術(shù)外溢，美國政府限制FireEye等威脅情報(bào)廠商向其他國家提供網(wǎng)絡(luò)安全核心技術(shù)，作為補(bǔ)償，美國政府與軍方大規(guī)模部署了FireEye的反APT產(chǎn)品[26]，以政府采購的方式彌補(bǔ)其海外收益。

公私合作的最終目標(biāo)是維護(hù)公共利益和國家安全，但安全與隱私往往不可兼得?！?.11”事件后，美國以反恐為由大規(guī)模地部署監(jiān)聽項(xiàng)目，“棱鏡門”的曝光引起美國民眾對(duì)政府的強(qiáng)烈不滿，這種不滿可以通過民眾的“選民”和“消費(fèi)者”身份對(duì)公私合作實(shí)施產(chǎn)生影響，因此公私合作模式是多方博弈下的治理過程。政府在公私合作的過程中負(fù)有監(jiān)督的義務(wù)，既是對(duì)私營部門的監(jiān)督也是對(duì)政府內(nèi)部的監(jiān)督。為降低泄密風(fēng)險(xiǎn)，CISA通過交通燈協(xié)議 (TLP)確保與適當(dāng)?shù)氖鼙姽蚕砻舾行畔?，并且要求加入CISCP的私營企業(yè)簽訂《合作研究與開發(fā)協(xié)議》，只有經(jīng)過安全審查的公司人員才有權(quán)訪問監(jiān)測(cè)系統(tǒng)，查看機(jī)密威脅信息。美國國會(huì)具有立法權(quán)和代表選民的任務(wù)，在情報(bào)監(jiān)督中發(fā)揮著核心作用?！?015網(wǎng)絡(luò)安全信息共享法案》要求聯(lián)邦機(jī)構(gòu)定期向國會(huì)聯(lián)合提交威脅情報(bào)共享實(shí)施的詳細(xì)報(bào)告，包括威脅情報(bào)使用、傳輸?shù)倪m當(dāng)性，以及對(duì)隱私保護(hù)問題的政策、程序、指南的充分性[20]。但該法案先搜集再移除的思路引起美國民權(quán)組織的強(qiáng)烈抗議，2016年國土安全部開發(fā)了自動(dòng)化指標(biāo)共享(AIS)計(jì)劃，實(shí)現(xiàn)自動(dòng)化威脅情報(bào)共享的同時(shí)用技術(shù)手段刪除數(shù)據(jù)中的個(gè)人信息。

3.4 將威脅情報(bào)共享轉(zhuǎn)化為情報(bào)賦能

當(dāng)前，美國威脅情報(bào)公私合作模式正在從威脅情報(bào)共享轉(zhuǎn)向威脅情報(bào)賦能，提升了美國的網(wǎng)絡(luò)安全態(tài)勢(shì)感知、應(yīng)急響應(yīng)和網(wǎng)絡(luò)歸因能力。

3.4.1建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知

國家網(wǎng)絡(luò)空間安全保護(hù)系統(tǒng)(National Cybersecurity Protection System ,NCPS)是美國國土安全部下屬的計(jì)算機(jī)應(yīng)急準(zhǔn)備小組(US-CERT)開發(fā)的網(wǎng)絡(luò)安全自動(dòng)監(jiān)測(cè)和防護(hù)項(xiàng)目，又名“愛因斯坦計(jì)劃”。該項(xiàng)目的實(shí)施分為三個(gè)階段，E1，E2，E3分別部署于2003年，2009年和2013年。E1和E2本質(zhì)都是入侵檢測(cè)系統(tǒng)，不能主動(dòng)防御，目前該項(xiàng)目已經(jīng)進(jìn)入E3加速階段，威脅情報(bào)是其中一項(xiàng)關(guān)鍵技術(shù)，通過AIS，該系統(tǒng)能夠?qū)崿F(xiàn)自動(dòng)收集、關(guān)聯(lián)、分析和共享聯(lián)邦政府網(wǎng)絡(luò)安全信息，具有入侵檢測(cè)、入侵防御、安全檢測(cè)和信息共享四大功能。威脅情報(bào)的共享聯(lián)結(jié)了美國政府、軍事和民用網(wǎng)絡(luò)，有利于構(gòu)建全面、動(dòng)態(tài)、互動(dòng)和實(shí)時(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知。

3.4.2構(gòu)建公私部門應(yīng)急響應(yīng)體系

基于國家網(wǎng)絡(luò)空間安全保護(hù)系統(tǒng)，CISA central與MS-ISAC、ISACs、ISAOs等組織密切配合，建立7* 24 小時(shí)的威脅情報(bào)預(yù)警和事件報(bào)告能力。2021年CISA發(fā)布《網(wǎng)絡(luò)安全事件和漏洞響應(yīng)手冊(cè)》為聯(lián)邦民事行政部門(FCEB)機(jī)構(gòu)和私營部門提供了規(guī)劃和開展網(wǎng)絡(luò)安全事件和漏洞響應(yīng)活動(dòng)的詳細(xì)操作程序。為檢驗(yàn)和提升公私部門的協(xié)同能力，CISA每?jī)赡昱e行一次的網(wǎng)絡(luò)風(fēng)暴演習(xí)，模擬發(fā)現(xiàn)與響應(yīng)國家關(guān)鍵基礎(chǔ)設(shè)施的重大網(wǎng)絡(luò)事件。CISA還是網(wǎng)絡(luò)安全的重要“宣傳口”，不僅舉行網(wǎng)絡(luò)安全意識(shí)研討會(huì)向公眾提供應(yīng)急響應(yīng)指導(dǎo)，還向政府雇員、承包商和關(guān)鍵基礎(chǔ)設(shè)施合作伙伴免費(fèi)開放網(wǎng)絡(luò)安全應(yīng)急響應(yīng)培訓(xùn)，并開展網(wǎng)絡(luò)靶場(chǎng)模擬實(shí)驗(yàn)加強(qiáng)練習(xí)調(diào)查和事件響應(yīng)技能。

3.4.3協(xié)同網(wǎng)絡(luò)歸因，促進(jìn)網(wǎng)絡(luò)威懾

網(wǎng)絡(luò)歸因又稱網(wǎng)絡(luò)攻擊溯源，一般是指找到攻擊源頭，確認(rèn)責(zé)任歸屬的過程。實(shí)踐中，攻擊者通常會(huì)通過偽造IP地址、改寫或清除日志痕跡等方式隱藏身份，因此網(wǎng)絡(luò)歸因是一項(xiàng)技術(shù)難題。在政治歸因中，網(wǎng)絡(luò)攻擊的攻擊者和特定國家之間聯(lián)系往往難以確定，使責(zé)任歸屬不清晰，例如，俄羅斯聲稱2007年愛沙尼亞的分布式拒絕服務(wù)攻擊是由愛國黑客發(fā)起的，不代表俄羅斯政府行為。在歸因?qū)嵺`中，美國威脅情報(bào)廠商大規(guī)模部署的傳感器所產(chǎn)生的威脅情報(bào)為歸因提供了數(shù)據(jù)支撐和分析框架，情報(bào)分析人員可以根據(jù)TTP(Tactics、Techniques、Procedures)檔案進(jìn)行攻擊溯源、構(gòu)建證據(jù)鏈并生成歸因報(bào)告。2018年美國司法部訴俄羅斯GRU黑客案中,CrowdStrike協(xié)助FBI通過服務(wù)器鏡像等方式完成了證據(jù)固化和證據(jù)鏈分析，為官方調(diào)查提供了關(guān)鍵性材料?！疤栵L(fēng)”事件中，F(xiàn)ireEye更是先于政府發(fā)現(xiàn)俄羅斯黑客網(wǎng)絡(luò)攻擊的線索。政府情報(bào)機(jī)構(gòu)則在洞察敵方的政治動(dòng)機(jī)和識(shí)別潛在的假旗行動(dòng)等方面具有獨(dú)特的優(yōu)勢(shì)[30]?！疤栵L(fēng)”事件后，美國公私部門協(xié)同將攻擊源頭歸因于俄羅斯，司法部以官方網(wǎng)絡(luò)歸因結(jié)果為關(guān)鍵證據(jù)進(jìn)行起訴，此后，拜登在多個(gè)場(chǎng)合公開向俄羅斯施壓，促進(jìn)網(wǎng)絡(luò)空間威懾。

4 美國威脅情報(bào)公私合作模式存在的問題

看似完善的制度的背后，“太陽風(fēng)”事件徹底擊碎了美國政府對(duì)網(wǎng)絡(luò)安全機(jī)制的自信，暴露出其在公私協(xié)同能力方面的漏洞，拜登提出“美國新政府會(huì)把網(wǎng)絡(luò)安全議題作為重中之重，進(jìn)一步加強(qiáng)與私營部門的伙伴關(guān)系”[33]。

4.1 情報(bào)共享仍存在障礙

作為對(duì)“太陽風(fēng)”事件的回應(yīng)，2021年5月拜登簽署《關(guān)于加強(qiáng)國家網(wǎng)絡(luò)安全的行政命令》，要求消除公私部門之間威脅情報(bào)共享的障礙。該行政命令指出現(xiàn)有合同條款中存在限制技術(shù)供應(yīng)商和應(yīng)急響應(yīng)執(zhí)行部門威脅情報(bào)信息共享的條款，例如，聯(lián)邦政府的承包商必須聯(lián)系合同授權(quán)方才能獲取信息，嚴(yán)重影響了調(diào)查的速度。然而合同障礙只是操作層面的原因，美國公私部門威脅情報(bào)面臨的最大挑戰(zhàn)是缺乏結(jié)構(gòu)和激勵(lì)，目前美國大多的公私合作是基于私人關(guān)系推動(dòng)的，并且很大程度上是臨時(shí)的點(diǎn)對(duì)點(diǎn)的關(guān)系，公私部門間缺乏便捷、透明的溝通渠道，私營部門不知道向誰尋求信息或合作，即使找到特定部門機(jī)構(gòu)并與之合作，簽署網(wǎng)絡(luò)威脅信息共享協(xié)議的文書工作也可能使之望而卻步[34]。此外，技術(shù)也是影響情報(bào)共享的重要因素，據(jù)美國私營部門反應(yīng)，從AIS中獲得的威脅信息包含了大量難以處理的情報(bào)噪音，減弱了情報(bào)預(yù)警的效果，而在聯(lián)邦機(jī)構(gòu)中，威脅數(shù)據(jù)的過度分類和政府軟件系統(tǒng)之間的集成問題是威脅共享工作的主要障礙[35]。

4.2 情報(bào)的“政治化”與“私有化”

公私合作既是融合的過程也是博弈的過程，政治權(quán)力和資本權(quán)力天平的失衡將導(dǎo)致情報(bào)政治化或過度私有化。一方面，情報(bào)工作應(yīng)秉持公正客觀的原則，即“所見即所言”，然而，一些威脅情報(bào)供應(yīng)商為了獲得政府支持，蓄意迎合政府的政治目的，頻繁報(bào)道國家層面的大型網(wǎng)絡(luò)攻擊，尤其是敵對(duì)國家的惡意網(wǎng)絡(luò)活動(dòng)，卻對(duì)與普通消費(fèi)者更相關(guān)的和本國的網(wǎng)絡(luò)攻擊活動(dòng)緘口不言[36]，損害了情報(bào)的客觀性和獨(dú)立性。另一方面，斯諾登事件揭露了美國情報(bào)外包產(chǎn)業(yè)的亂象，首先，過度私有化和不完善的問責(zé)體系導(dǎo)致私營部門違規(guī)行為時(shí)有發(fā)生，侵犯了公民的隱私權(quán)。其次，軍工復(fù)合體和旋轉(zhuǎn)門機(jī)制加劇了公私“合謀”的現(xiàn)象，情報(bào)外包中以保密為由產(chǎn)生的大量不受國會(huì)監(jiān)督的“黑色預(yù)算”成為了滋生尋租與腐敗行為的溫床。最后，外包的效率是立竿見影的，政府情報(bào)機(jī)構(gòu)間的競(jìng)爭(zhēng)促使一些情報(bào)機(jī)構(gòu)濫用外包來提高政績(jī),將越來越多核心情報(bào)工作交由私營部門承擔(dān)，而美國政府自身的情報(bào)能力卻提升緩慢[37]，陷入依賴性外包的惡性循環(huán)中。

4.3 威脅情報(bào)安全管理

受美國政治制度和政黨制度的影響，“旋轉(zhuǎn)門”已經(jīng)成為美國政商關(guān)系中默認(rèn)協(xié)調(diào)機(jī)制。盡管“旋轉(zhuǎn)門”機(jī)制一定程度上促進(jìn)了公共部門和私營部門間的人才流動(dòng)，但也埋下情報(bào)泄露的隱患。2021年9月14日，三名前NSA情報(bào)人員因離職后在未經(jīng)美國政府批準(zhǔn)的情況下蓄意向阿聯(lián)酋提供網(wǎng)絡(luò)間諜技術(shù)被美國司法部起訴，涉密人員離職引發(fā)的“內(nèi)部威脅”逐漸引起重視。私營部門同樣面臨威脅情報(bào)安全管理的問題。2020年Cybersecurity Insider對(duì)338位威脅情報(bào)從業(yè)人員調(diào)研結(jié)果顯示，34%的威脅情報(bào)人員就職前沒有任何開源網(wǎng)絡(luò)情報(bào)(OSINT)經(jīng)驗(yàn)，54%的威脅情報(bào)人員缺乏安全指導(dǎo)規(guī)范[38]。培訓(xùn)和監(jiān)管的缺位不僅容易導(dǎo)致工具濫用、信息泄露，還可能危及情報(bào)人員的人身安全和公共安全。

5 對(duì)我國的啟示

我國“十四五”規(guī)劃提出“加強(qiáng)跨領(lǐng)域網(wǎng)絡(luò)安全信息共享和工作協(xié)同，提升網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)、監(jiān)測(cè)預(yù)警、應(yīng)急指揮、攻擊溯源能力”。相對(duì)來說，我國威脅情報(bào)的發(fā)展起步較晚，美國威脅情報(bào)公私合作模式對(duì)我國有著借鑒意義。

5.1 完善威脅情報(bào)共享機(jī)制

當(dāng)前，美國已經(jīng)形成了一套較為成熟的威脅情報(bào)共享機(jī)制。從共享廣度來看，參與威脅情報(bào)共享的私營部門覆蓋各個(gè)行業(yè)；從共享深度來看，2019版《國家情報(bào)戰(zhàn)略》提出美國情報(bào)界將擴(kuò)大定制化生產(chǎn)、適當(dāng)傳播和發(fā)布可采取行動(dòng)的威脅情報(bào)以保護(hù)關(guān)鍵基礎(chǔ)設(shè)施，賦能決策與行動(dòng)。這一成果與美國政府的政治支持密不可分。從克林頓時(shí)期起，美國政府就通過出臺(tái)戰(zhàn)略、國會(huì)立法、發(fā)布總統(tǒng)指令和行政命令等形式不斷完善頂層設(shè)計(jì)，塑造公私合作價(jià)值基礎(chǔ)。當(dāng)前，盡管我國已經(jīng)著手部署公私部門威脅情報(bào)共享平臺(tái)，例如，中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理聯(lián)盟(CCTGA)建立了網(wǎng)絡(luò)安全威脅信息共享平臺(tái)，工信部也設(shè)有網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)，2019年上海市信息安全行業(yè)協(xié)會(huì)牽頭成立“威脅數(shù)據(jù)共享聯(lián)盟”，但從成員名單來看，參與主體仍然不夠廣泛。我國應(yīng)充分發(fā)揮政府的主導(dǎo)作用，自上而下地推動(dòng)威脅情報(bào)共享機(jī)制的建立。在頂層設(shè)計(jì)方面，我國應(yīng)在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律框架內(nèi)細(xì)化威脅情報(bào)共享的主體、范圍、程序、組織機(jī)構(gòu)、隱私保護(hù)和責(zé)任豁免等內(nèi)容；在組織機(jī)構(gòu)方面，美國威脅情報(bào)共享的組織體系具有機(jī)構(gòu)職能劃分明確、重視情報(bào)整合與共享和權(quán)力制衡的特點(diǎn)，我國應(yīng)建立國家層面的網(wǎng)絡(luò)威脅情報(bào)管理中心，破除情報(bào)的條塊分割，對(duì)各部門、各地區(qū)的威脅情報(bào)進(jìn)行整合分析，并且下設(shè)專門的公私合作伙伴關(guān)系部門。我國可以參考美國ISACs、ISAOs的經(jīng)驗(yàn)，鼓勵(lì)非營利性的威脅情報(bào)共享組織的建立，并由公私合作伙伴關(guān)系部門負(fù)責(zé)對(duì)接，使得私營部門面臨網(wǎng)絡(luò)攻擊時(shí)能夠及時(shí)上報(bào)、快速共享情報(bào)。在激勵(lì)機(jī)制方面，政府可以建立威脅情報(bào)共享績(jī)效評(píng)價(jià)體系，對(duì)參與威脅共享的企業(yè)給予一定的優(yōu)惠政策，例如免費(fèi)網(wǎng)絡(luò)安全服務(wù)、補(bǔ)貼等。同時(shí)，應(yīng)認(rèn)識(shí)到情報(bào)共享是途徑而不是目標(biāo)，政府應(yīng)在完善威脅情報(bào)共享機(jī)制的基礎(chǔ)上，促進(jìn)情報(bào)共享轉(zhuǎn)化為情報(bào)賦能，定期組織網(wǎng)絡(luò)安全應(yīng)急演練，建立國家安全態(tài)勢(shì)感知體系和預(yù)警機(jī)制，重視網(wǎng)絡(luò)攻擊溯源，積極參與國際網(wǎng)絡(luò)安全規(guī)則體系的建設(shè)。

5.2 推動(dòng)威脅情報(bào)產(chǎn)業(yè)發(fā)展

美國政府為威脅情報(bào)產(chǎn)業(yè)的繁榮發(fā)展創(chuàng)造了良好的環(huán)境，不僅通過政府采購、風(fēng)險(xiǎn)投資、情報(bào)外包等形式為企業(yè)提供支持，還十分重視威脅情報(bào)的標(biāo)準(zhǔn)的研發(fā)、部署與管理。我國應(yīng)重視通過公私合作伙伴關(guān)系推動(dòng)威脅情報(bào)產(chǎn)業(yè)發(fā)展，滿足多樣化的市場(chǎng)需求，鼓勵(lì)關(guān)鍵技術(shù)的自主研發(fā)。一方面，政府需警惕“越位”，正確認(rèn)識(shí)傳統(tǒng)行政管理與公私合作伙伴關(guān)系中政府角色的不同。在公私合作伙伴關(guān)系中，政府是威脅情報(bào)產(chǎn)品供給的參與者，與社會(huì)資本是合作的關(guān)系，這要求政府避免過度監(jiān)管和干預(yù)，應(yīng)以“收益”和“風(fēng)險(xiǎn)”為抓手，通過政府購買服務(wù)、財(cái)政補(bǔ)貼、項(xiàng)目承包等激勵(lì)手段提高私營部門的參與技術(shù)研發(fā)積極性，并健全競(jìng)爭(zhēng)補(bǔ)償、研發(fā)補(bǔ)貼等風(fēng)險(xiǎn)分擔(dān)機(jī)制。與此同時(shí)，政府也要警惕“缺位”，正確認(rèn)識(shí)情報(bào)外包的潛在風(fēng)險(xiǎn)，為防止對(duì)情報(bào)外包過度依賴，政府應(yīng)建設(shè)由網(wǎng)絡(luò)安全專家和情報(bào)分析人員組成的人才隊(duì)伍，擴(kuò)充人才引進(jìn)渠道、健全人才培養(yǎng)制度、建立人才評(píng)價(jià)體系和薪酬激勵(lì)制度。另外，無論是政府采購還是情報(bào)外包都是臨時(shí)性和短期性的，政府應(yīng)拓展建設(shè)長(zhǎng)期公私合作伙伴關(guān)系的渠道，可以借鑒美國以In-Q-Tel公司為代表的風(fēng)險(xiǎn)投資模式，引導(dǎo)企業(yè)為國家安全服務(wù)。

5.3 發(fā)揮公私合作模式的治理作用

公私合作模式不僅是效率工具，還是治理工具。維護(hù)網(wǎng)絡(luò)安全是全社會(huì)共同的責(zé)任，需要“監(jiān)管”與“自律”并舉。政府應(yīng)綜合運(yùn)用法律、合同、培訓(xùn)和技術(shù)等手段加強(qiáng)對(duì)私營部門和情報(bào)人員的甄別、監(jiān)管、問責(zé)和保密，建立完善的情報(bào)監(jiān)督和問責(zé)體系，防范網(wǎng)絡(luò)安全內(nèi)部威脅、情報(bào)泄密風(fēng)險(xiǎn)以及私營部門違規(guī)侵犯公民個(gè)人隱私。此外，威脅情報(bào)公私合作項(xiàng)目涉及政府采購、商業(yè)價(jià)值與個(gè)人隱私，需要構(gòu)建一個(gè)公開透明的公私合作項(xiàng)目信息平臺(tái)，防止腐敗現(xiàn)象，消除公眾的擔(dān)憂。政府為私營部門提供網(wǎng)絡(luò)安全相關(guān)公共服務(wù)的同時(shí)應(yīng)重視培養(yǎng)企業(yè)和公眾的網(wǎng)絡(luò)安全意識(shí)，可以設(shè)立專門的網(wǎng)站，定期開展網(wǎng)絡(luò)安全教育與培訓(xùn)，并通過舉辦知識(shí)競(jìng)賽、網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練等方式鼓勵(lì)公眾參與。

6 結(jié) 語

在傳統(tǒng)印象中，情報(bào)是一項(xiàng)諱莫如深的活動(dòng)，高度的對(duì)抗性和隱秘性使之理所當(dāng)然地被視為政府的固有職能。然而，在非傳統(tǒng)威脅與傳統(tǒng)威脅交織的21世紀(jì)，國家安全治理需求的持續(xù)變化使得政府情報(bào)機(jī)構(gòu)應(yīng)接不暇，私營部門逐漸成為美國情報(bào)工作的重要主體。網(wǎng)絡(luò)攻擊頻發(fā)的背景下，公私合作已經(jīng)成為應(yīng)對(duì)網(wǎng)絡(luò)威脅、維護(hù)國家安全的必然趨勢(shì)，威脅情報(bào)的誕生促進(jìn)了公私合作模式在情報(bào)界的發(fā)展。過去，情報(bào)外包是美國私營部門參與情報(bào)工作的重要形式，然而，過度的私有化和政府參與不足導(dǎo)致了公私合作的“異化”，亟需審視“合作”的本質(zhì)，探索通過收益共享和風(fēng)險(xiǎn)同擔(dān)使雙方達(dá)成一致目標(biāo)的設(shè)計(jì)。本文基于謝爾曼·肯特的情報(bào)觀將網(wǎng)絡(luò)威脅情報(bào)領(lǐng)域的公私合作模式劃分為情報(bào)共享、公共產(chǎn)品供給和公共治理三種功能類型，進(jìn)而分析了不同類型的公私合作模式的理論和實(shí)踐意義，接著，梳理了美國威脅情報(bào)公私合作模式的發(fā)展歷程和制度保障，探討公私合作模式實(shí)踐中的機(jī)遇與挑戰(zhàn)。當(dāng)前美國正在從威脅情報(bào)共享轉(zhuǎn)化為情報(bào)賦能，提升了美國的網(wǎng)絡(luò)安全態(tài)勢(shì)感知、應(yīng)急響應(yīng)和網(wǎng)絡(luò)歸因能力，但實(shí)踐過程中暴露出的問題也值得我們反思?；诖?，本文結(jié)合美國實(shí)踐經(jīng)驗(yàn)和我國國情提出我國在威脅情報(bào)工作中應(yīng)完善威脅情報(bào)共享機(jī)制，推動(dòng)威脅情報(bào)產(chǎn)業(yè)發(fā)展，發(fā)揮公私合作模式的治理作用。