周雨欣 盧明欣 楊海平
(南京大學(xué)信息管理學(xué)院 南京 210000)
網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗,然而傳統(tǒng)的網(wǎng)絡(luò)安全防護體系普遍存在“后知后防”的弱點,攻擊方只要找到一個弱點就可以滲透系統(tǒng),而防御方則需要考慮其組織安全態(tài)勢中所有潛在的弱點,后者在網(wǎng)絡(luò)安全“速度之爭”中處于天然的劣勢。威脅情報的提出彌補了這一不足。“知彼知己,百戰(zhàn)不殆”揭示了情報的本質(zhì),威脅情報通過對敵手攻擊意圖和手法等信息進行搜集、加工、分析、共享和分發(fā),填補了網(wǎng)絡(luò)安全外防與內(nèi)控的空白,促使信息安全管理范式由被動防御轉(zhuǎn)向主動防御[1]。隨著勒索病毒、APT攻擊等破壞活動頻發(fā),網(wǎng)絡(luò)空間內(nèi)基于傳統(tǒng)地緣政治的大國博弈進入白熱化階段,威脅情報逐漸上升為國家安全層面的戰(zhàn)略情報。
威脅情報的誕生豐富了國家安全情報在知識、活動、組織維度的理論與實踐,促進了公私合作模式(Public-Private Partnership,PPP)在情報界的發(fā)展。我國《國家情報法》第12條規(guī)定 ,“國家情報工作機構(gòu)可以按照國家有關(guān)規(guī)定,與有關(guān)個人和組織建立合作關(guān)系,委托開展相關(guān)工作”。然而,威脅情報是情報學(xué)的新興領(lǐng)域,關(guān)于建立什么樣的公私合作伙伴關(guān)系,如何建立公私合作伙伴關(guān)系,仍然有待探索。美國作為網(wǎng)絡(luò)技術(shù)的起源地和情報領(lǐng)域的先驅(qū),從20世紀90年代起就開始重視威脅情報領(lǐng)域中的公私合作模式的應(yīng)用,并形成了較為完善的制度保障體系和產(chǎn)業(yè)鏈,對于促進我國威脅情報體系的建設(shè),探索網(wǎng)絡(luò)空間新型治理模式具有借鑒意義。
基于此,本文將對美國威脅情報公私合作的產(chǎn)生原因、發(fā)展歷程、制度保障、實踐經(jīng)驗以及存在的問題進行分析,并為我國威脅情報公私合作實踐提出建議。
美國“戰(zhàn)略情報之父”謝爾曼·肯特認為情報是知識、是組織、是活動[2],威脅情報的誕生豐富了情報在知識、活動、組織維度的理論與實踐,為美國情報界公私合作模式的發(fā)展提供了新的契機。
隨著網(wǎng)絡(luò)空間成為繼陸、海、空、天之后的第五疆域,美國對網(wǎng)絡(luò)威脅的認知不斷深化。一方面,網(wǎng)絡(luò)與美國政治、經(jīng)濟、軍事和文化領(lǐng)域深度耦合,牽一發(fā)而動全局。“棱鏡門”“劍橋分析事件”表明網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)滲透不僅嚴重侵犯公民個人隱私,還能操縱選舉、侵蝕政治安全和國家安全。另一方面,信息通信技術(shù)廣泛應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施、重要信息網(wǎng)絡(luò)和消費設(shè)備,對網(wǎng)絡(luò)的高度依賴導(dǎo)致了美國網(wǎng)絡(luò)安全的脆弱性。APT攻擊、勒索病毒、零日攻擊和復(fù)合攻擊等新型網(wǎng)絡(luò)威脅具有多矢量、多階段的特性,使傳統(tǒng)防火墻、入侵檢測等防護手段捉襟見肘[3]。2020年,黑客利用太陽風(fēng)公司(SolarWinds)的網(wǎng)管軟件漏洞攻陷了多個美國聯(lián)邦機構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施運營商以及企業(yè)網(wǎng)絡(luò),超過1.8萬個組織的網(wǎng)絡(luò)中被發(fā)現(xiàn)存在惡意代碼,堪稱“有史以來規(guī)模最大、最復(fù)雜的攻擊”[4]。美國90%以上的基礎(chǔ)設(shè)施掌握在私營部門手中,保護基礎(chǔ)設(shè)施安全既是私營部門維持正常運營的必然需求,也是政府維護國家安全與繁榮的職責(zé)所在。網(wǎng)絡(luò)威脅的全面性驅(qū)使公私部門整合資源、形成合力、協(xié)同防御,共同目標為公私合作奠定了價值基礎(chǔ)。
Gartner公司認為“威脅情報是一種基于證據(jù)的知識,包括背景、機制、指標、影響和可操作的建議,旨在為決策者提供資產(chǎn)所面臨的已知或未知的攻擊威脅以便響應(yīng)和應(yīng)對威脅”[5]。威脅情報和傳統(tǒng)國家安全情報都具有激烈的對抗性,在網(wǎng)絡(luò)戰(zhàn)中發(fā)揮著“耳目、尖兵、參謀”的作用。所謂“耳目”是指實時的威脅情報可以幫助偵察和及時告知威脅,最大限度地縮短攻擊者的“自由攻擊時間”,從而實現(xiàn)網(wǎng)絡(luò)威脅的早期檢測、情報預(yù)警和應(yīng)急響應(yīng)[6]。 威脅狩獵體現(xiàn)了情報的“尖兵”作用,自2018年以來,美國在多地開展“前置狩獵”行動,主動持續(xù)地搜尋網(wǎng)絡(luò)威脅以探明攻擊者意圖和手法并在攻擊發(fā)生前予以阻止?!皡⒅\”是指威脅情報能夠幫助管理者快速掌握當(dāng)前安全態(tài)勢并進一步識別未意識到的風(fēng)險,支持組織運營決策。
然而,傳統(tǒng)國家安全情報的作用機理在于通過隱蔽行動等手段擴大與敵方的信息不對稱獲得優(yōu)勢,因此其價值建立在隱秘性之上。威脅情報則是一種以防御為主要目標的反情報,它的目的是縮小與敵方的信息不對稱以獲得威脅響應(yīng)的時間資源,因而需要在利益攸關(guān)者之間最大程度地共享以建立網(wǎng)絡(luò)安全態(tài)勢感知,即“以空間換時間”[7]。威脅情報共享有利于增強威脅的可見性、縮短威脅響應(yīng)時間和構(gòu)建完整的攻擊鏈。早在20世紀90年代,美國就開始重視公私部門間的網(wǎng)絡(luò)安全信息共享,并逐步建立起一套較為完善的威脅情報共享機制。公私合作是威脅情報共享的重要途徑,也是美國歷屆政府政策與法律的焦點議題。
2000年美軍頒布的《聯(lián)合作戰(zhàn)情報支援條令》提出“聯(lián)合作戰(zhàn)情報周期”理論,將情報視為由情報搜集、處理與加工、分析與生產(chǎn)、分發(fā)與整合、評估和反饋6個階段構(gòu)成的循環(huán)往復(fù)的活動[8]。威脅情報同樣具有完整的生命周期,那么,就情報的生產(chǎn)與供給而言,政府和市場誰來決定資源配置?
公共物品,又稱公共產(chǎn)品,根據(jù)薩繆爾森的定義,是指在消費過程中具備非排他性和非競爭性的物品[9]。非排他性是指公共產(chǎn)品一旦生產(chǎn)出來就不能排斥該社會任何人消費該種產(chǎn)品;非競爭性是指增加一個消費者不會減少任何一個人對該產(chǎn)品的消費數(shù)量和質(zhì)量。在自發(fā)決策和分散的市場機制中,具有正外部性的公共產(chǎn)品將產(chǎn)生“搭便車”問題,進而導(dǎo)致市場失靈、供給不足,因此,國防、法律等純公共產(chǎn)品一般由政府來供給,公共產(chǎn)品的供給也是政府存在合法性的基礎(chǔ)。但現(xiàn)實中純公共產(chǎn)品很少,大多是介于純公共產(chǎn)品和私人產(chǎn)品之間的準公共產(chǎn)品,準公共產(chǎn)品只具備純公共產(chǎn)品的某一特征,可以由非政府主體提供。
根據(jù)公共物品理論,傳統(tǒng)國家安全情報是服務(wù)于國家安全的純公共安全產(chǎn)品,公眾是間接受益者,但威脅情報是一種不純粹的公共安全產(chǎn)品。首先,威脅情報可以被視為一種網(wǎng)絡(luò)安全信息資源,信息的共享性以及消費無損耗性使之具備非排他性和非競爭性[10],威脅情報共享所產(chǎn)生的“群體免疫”效應(yīng)增加了“搭便車”的機會,因此從信息的角度來說,威脅情報是具備正外部性的公共產(chǎn)品。但是,相比一般的交付性情報,威脅情報要求場景化、定制化、服務(wù)化以切實解決網(wǎng)絡(luò)安全問題。威脅情報的產(chǎn)品或服務(wù)的消費所花費的成本可排除某些人的消費或受益,也就是說,它可以通過技術(shù)手段實現(xiàn)“排它”從而轉(zhuǎn)變?yōu)椤皽使伯a(chǎn)品”,這為威脅情報產(chǎn)品和服務(wù)的市場化奠定了理論基礎(chǔ)。其次,從社會公平的角度來說,威脅情報作為挾制網(wǎng)絡(luò)威脅的重要資源,其生產(chǎn)與供給關(guān)系到公共安全與社會利益。Stiglitz和Wallsten的研究發(fā)現(xiàn),在技術(shù)創(chuàng)新背景下的公私合作伙伴關(guān)系中,利潤最大化的公司在技術(shù)研發(fā)上的投資低于社會最優(yōu)水平[11]。私營部門的逐利性決定了其在公共安全產(chǎn)品供給方面的局限性,因此,威脅情報的公私混合供給模式是一種權(quán)衡效率和公平的安排。
隨著網(wǎng)絡(luò)威脅的持續(xù)擴散,公眾和企業(yè)成為威脅情報的直接消費者,以往由美國政府壟斷的威脅情報逐漸下放至私營部門[12],形成公私混合供給模式,如圖1所示。一方面,美國依托網(wǎng)絡(luò)安全部門和情報機構(gòu)生產(chǎn)威脅情報,通過網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)向恰當(dāng)?shù)乃綘I部門分發(fā)情報并提供相應(yīng)的業(yè)務(wù)指導(dǎo);另一方面,對威脅情報廠商來說,與政府共享威脅情報,可能導(dǎo)致該情報與其競爭對手共享,因此他們的商業(yè)模式依賴于獲取、持有和出售情報,而不是共享情報[13]。美國政府通過政府采購、情報外包、風(fēng)險投資等形式推動威脅情報產(chǎn)業(yè)化,建立威脅情報生態(tài)系統(tǒng)。公私部門混合供給模式不僅減輕了政府的財政壓力,還增加了情報需求和情報供給的耦合度,更好地滿足了情報用戶多樣化的產(chǎn)品需求。
圖1 美國威脅情報公私部門混合供給模式
公共安全產(chǎn)品供給模式變化的背后是國家安全治理需求的變化。“9·11”事件后,恐怖主義、跨國犯罪等非傳統(tǒng)安全威脅擴大了情報界的工作范圍和人才需求,政府情報機構(gòu)逐漸難以滿足持續(xù)變化的國家安全治理需求;與此同時,私營部門的人力、技術(shù)和管理優(yōu)勢在情報領(lǐng)域日益凸顯。貝爾科維奇和古德曼指出,“私營部門往往比政府情報機構(gòu)更先進,不僅在情報產(chǎn)品開發(fā)和情報服務(wù)方面做得更好,還能將其快速傳遞給用戶。在某些情況下,私營部門能分析出更好的情報信息”[14]。以“私有化”為特征的新公共管理浪潮下,美國公共服務(wù)市場化改革蓬勃興起并逐漸蔓延至情報界,情報外包是委托私有化的一個例子[15]。
雖然美國民營化理論大師薩瓦斯認為公私合作制與私有化的概念基本是相同的,都是市場機制參與公共服務(wù)的過程,但傳統(tǒng)的情報外包更多的是政府情報職能“轉(zhuǎn)移”給私營部門,而不是“合作”。一個典型的例子是2006年《美國情報界五年戰(zhàn)略人力資本計劃》曾提及情報界發(fā)現(xiàn)自己在與承包商“競爭”自己的員工,一些情報承包商為了完成政府外包的情報工作雇傭了政府情報人員,這些由政府支付審查成本和培訓(xùn)費用的員工,卻被以更高的成本“租”給情報界。 Wettenhall將公私合作伙伴關(guān)系分為兩類,一類是以協(xié)商一致決定為特征的橫向、非等級的共同決策,另一類則是有一方處于控制角色的層級組織關(guān)系[16]。情報外包顯然是一種具備層級關(guān)系的委托-代理關(guān)系,如圖2所示,將政府情報機構(gòu)視為委托方,其目標為公共利益;情報承包商為代理方,其目標為利潤。盡管委托人具有監(jiān)督代理人執(zhí)行情報任務(wù)的職能,但委托人并不是總是知道代理人在做什么,如果公共利益和追求利潤的目標沖突,代理人則有可能從一定程度的自由裁量權(quán)中受益,損害公共利益從而獲取利潤。斯諾登事件為美國情報界敲響了警鐘,情報外包在幫助政府解決情報工作效率低下、官僚主義等問題的同時,也引起了公眾對政府監(jiān)管缺位、推諉責(zé)任的質(zhì)疑。
圖2 情報外包“委托-代理關(guān)系”模型
Wettenhall認為真正的“伙伴關(guān)系”屬于第一類,本文主要探討的也是這一類公私合作伙伴關(guān)系。公私合作模式可以被視為對私有化的反思,它要求政府更多地參與到合作項目之中,合作雙方建立目標一致的伙伴關(guān)系、收益共享、風(fēng)險同擔(dān),此外,公私合作模式還突出“治理”的功能,強調(diào)多元主體的合作與協(xié)調(diào)[17]。傳統(tǒng)國家安全情報呈現(xiàn)以政府為中心的治理框架,而網(wǎng)絡(luò)空間的無邊界性和網(wǎng)絡(luò)安全的脆弱性促使各個社會主體參與網(wǎng)絡(luò)安全治理,形成多元共治的格局。威脅情報搜集和共享的過程中還涉及到知識產(chǎn)權(quán)、個人隱私等問題,多利益攸關(guān)模式促使社會力量參與國家治理,體現(xiàn)了科學(xué)、民主的決策模式。
公私合作模式具有復(fù)雜性和多樣性,在不同的歷史背景和政策環(huán)境下具有不同的內(nèi)涵、目標和表現(xiàn)形式,美國威脅情報公私合作模式的發(fā)展歷程可以劃分為三個階段:
在關(guān)鍵基礎(chǔ)設(shè)施大規(guī)模私有化的背景下,公私合作模式成為美國保護網(wǎng)絡(luò)安全的重要手段。1998年克林頓簽署第63號總統(tǒng)指令(PPD-63),要求推動公共部門和私營部門信息共享以降低關(guān)鍵基礎(chǔ)設(shè)施的脆弱性,鼓勵建立由關(guān)鍵基礎(chǔ)設(shè)施的所有者和運營者基于成員關(guān)系形成的非營利性信息共享與分析中心(ISAC),其任務(wù)是收集、分析和傳遞網(wǎng)絡(luò)攻擊與預(yù)警信息。但在美國遭受“9.11”恐怖襲擊前,只有金融服務(wù)、通信和供應(yīng)鏈管理部門等少數(shù)關(guān)鍵基礎(chǔ)設(shè)施部門創(chuàng)建了ISAC。并且這一時期公私合作更多地是作為一種約定俗成的慣例出現(xiàn),沒有形成一種固定化的制度[18]。
“9.11”事件后,美國由克林頓政府的“發(fā)展優(yōu)先”戰(zhàn)略向小布什政府“安全優(yōu)先”戰(zhàn)略轉(zhuǎn)變[19],“反恐”的迫切需求使公私合作模式成為保障美國網(wǎng)絡(luò)安全的最主要甚至唯一可行的模式。小布什政府先后頒布了《愛國者法案》《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》《國家網(wǎng)絡(luò)安全綜合計劃》等文件對公私合作模式做了進一步說明,要求增強公私部門在網(wǎng)絡(luò)安全應(yīng)急響應(yīng)和信息共享方面的合作,并確立由國土安全部負責(zé)協(xié)調(diào)公私合作相關(guān)事項。
從克林頓到小布什時期,美國形成了以保護關(guān)鍵基礎(chǔ)設(shè)施為主要目標,以網(wǎng)絡(luò)攻擊預(yù)警和事件信息共享為主要形式的公私合作模式。但過于依賴私營部門自律,缺乏完善的法律和政策保障體系,導(dǎo)致私營部門參與信息共享的意愿不強。
奧巴馬上臺后宣布放棄“全球反恐戰(zhàn)爭”,彼時,網(wǎng)絡(luò)空間的政治效能日益凸顯,網(wǎng)絡(luò)空間被視為“戰(zhàn)略性國家資產(chǎn)”,以民族國家為主體的網(wǎng)絡(luò)攻擊活動逐漸引起重視。網(wǎng)絡(luò)攻擊的團體化、復(fù)雜化驅(qū)使威脅信息轉(zhuǎn)化為具有更高價值的威脅情報為決策服務(wù),2012年《大數(shù)據(jù)研究和發(fā)展倡議》正式提出“威脅情報”這一概念。2015年2月,奧巴馬要求國家情報總監(jiān)設(shè)立網(wǎng)絡(luò)威脅情報整合中心(CTIIC),旨在以“整個政府”的力量應(yīng)對網(wǎng)絡(luò)威脅。隨后,奧巴馬簽署《改善私營領(lǐng)域網(wǎng)絡(luò)安全信息共享行政令》,要求推進更廣泛、更深入的公私合作和信息共享,新建信息共享和分析組織(ISAO),允許不符合已建立的行業(yè)的組織加入,由此擴充原有的共享模式。同年,《2015網(wǎng)絡(luò)安全信息共享法》確立了網(wǎng)絡(luò)安全信息共享的主體、范圍、程序、組織機構(gòu)、責(zé)任豁免和隱私保護等內(nèi)容,首次明確威脅情報共享的范圍包括網(wǎng)絡(luò)威脅指標和防御性措施兩大類[20]。
奧巴馬時期,恐怖主義的陰霾逐漸消散,政府的工作重心重新轉(zhuǎn)移到經(jīng)濟復(fù)蘇和美國領(lǐng)導(dǎo)地位重塑上?;诖?,美國充分發(fā)揮政府的主導(dǎo)作用,完善機構(gòu)設(shè)置和法律政策,自上而下地推動建立威脅情報共享機制,公共部門和私營部門從簡單的網(wǎng)絡(luò)安全事件信息共享過渡到威脅情報共享。奧巴馬政府鼓勵網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的市場化和創(chuàng)新化發(fā)展,威脅情報最早應(yīng)用于軍事和反恐領(lǐng)域,2005年后逐漸擴展到商業(yè)領(lǐng)域,但早期的威脅情報主要局限于病毒防御機制,即向用戶推送病毒特征信息[21]。2013年以后,融合大數(shù)據(jù)技術(shù)的威脅情報成為美國網(wǎng)絡(luò)安全行業(yè)迅速崛起的新興領(lǐng)域,并逐步實現(xiàn)市場化、產(chǎn)業(yè)化和服務(wù)化,F(xiàn)ireEye、CrowdStrike等威脅情報廠商蓬勃興起。
特朗普執(zhí)政后,網(wǎng)絡(luò)空間內(nèi)基于傳統(tǒng)地緣政治的大國博弈加劇。2019年,國家情報總監(jiān)辦公室發(fā)布的《國家情報戰(zhàn)略》(第4版)正式將“網(wǎng)絡(luò)威脅情報”列為美國情報界的四大專題目標之首。2020年美國網(wǎng)絡(luò)空間日光浴委員會(CSC) 發(fā)布的《分層網(wǎng)絡(luò)威懾戰(zhàn)略》明確提出要建立“聯(lián)合協(xié)作環(huán)境”,推進威脅情報的整合與共享、加強網(wǎng)絡(luò)歸因與威脅反制能力、重塑網(wǎng)絡(luò)生態(tài)系統(tǒng)。2021年,CISA成立“聯(lián)合網(wǎng)絡(luò)防御協(xié)作組織”(JCDC),倡導(dǎo)政府和企業(yè)共同制定全面的網(wǎng)絡(luò)防御計劃與聯(lián)合演習(xí)方案,將公私合作轉(zhuǎn)化為公私運營協(xié)同。這一時期,公私合作正在從威脅情報共享轉(zhuǎn)變?yōu)榭筛吨T于行動的情報賦能,私營部門在美國網(wǎng)絡(luò)安全態(tài)勢感知、應(yīng)急響應(yīng)和網(wǎng)絡(luò)歸因中發(fā)揮著越來越重要的作用。
“合作”是基于制度基礎(chǔ)上的信任關(guān)系, 制度有助于規(guī)范、協(xié)調(diào)合作雙方的行為。當(dāng)前,美國威脅情報公私合作實踐已經(jīng)取得了一定成果,主要體現(xiàn)在組織體系建設(shè)、新型合作模式的探索、風(fēng)險分擔(dān)機制和威脅情報賦能方面。
美國威脅情報公私合作模式的參與主體包括情報界、司法部、國土安全部和國防部等聯(lián)邦政府機構(gòu)以及各州、地方政府,也包括威脅情報廠商、關(guān)鍵基礎(chǔ)設(shè)施運營者和非營利性組織等非政府實體,因此,如何統(tǒng)籌管理、協(xié)調(diào)多方關(guān)系是威脅情報組織體系建設(shè)的重點。
當(dāng)前,美國依托國家情報總監(jiān)辦公室(ODNI)下屬的網(wǎng)絡(luò)威脅情報整合中心(CTIIC)進行跨部門協(xié)調(diào)管理,原有網(wǎng)絡(luò)安全機構(gòu)體系負責(zé)具體運作實施,如圖3所示。在國內(nèi)威脅情報工作中,國土安全部(DHS)下屬的網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)負責(zé)跨區(qū)域協(xié)調(diào)和管理網(wǎng)絡(luò)威脅事件,保護關(guān)鍵基礎(chǔ)設(shè)施和聯(lián)邦政府網(wǎng)絡(luò)安全。CISA設(shè)立了CISA 中心(CISA central)與MS-ISAC、ISACs、ISAOs以及其他利益攸關(guān)者保持密切聯(lián)系,協(xié)調(diào)網(wǎng)絡(luò)安全態(tài)勢感知和對國家網(wǎng)絡(luò)事件的響應(yīng);司法部(DoJ)下屬的聯(lián)邦調(diào)查局(FBI)負責(zé)網(wǎng)絡(luò)犯罪的網(wǎng)絡(luò)取證、調(diào)查、分析,對網(wǎng)絡(luò)安全事件提供支持。國防部(DoD)下屬的網(wǎng)絡(luò)司令部(US CYBERCOM)主要負責(zé)搜集國外威脅情報,準備和實施軍事網(wǎng)絡(luò)空間作戰(zhàn)行動。ODNI統(tǒng)領(lǐng)16個分散在各個部門的情報機構(gòu),直接受到美國總統(tǒng)的指揮、管理與控制,其下屬的CTIIC負責(zé)對聯(lián)邦政府威脅情報進行整合、全源分析和共享,支持、協(xié)調(diào)、監(jiān)督FBI、CISA、US CYBERCOM等部門的威脅情報行動。CTIIC橫向協(xié)調(diào)與管理的職能有助于打破情報壁壘,促進各部門情報共享與聯(lián)合行動,正如麥克里斯特爾所說的“用網(wǎng)絡(luò)來打敗網(wǎng)絡(luò)”。準確的來說,CTIIC是一個整合中心而不是運營中心,不具備情報行動的功能,這樣設(shè)計的目的一是通過分權(quán)形成權(quán)力制衡,二是盡量保持情報分析客觀性,避免情報政治化。但在實際履職中,不具備實際的人事任免權(quán)和非直線的指揮關(guān)系一定程度上限制了它的管理效力[22]。
圖3 美國威脅情報共享機制
與政府采購、情報外包的臨時性和短期性不同,“合作”要求雙方一開始就建立一個溝通渠道,持續(xù)性地互動并建立一種長期的伙伴關(guān)系,收益共享、風(fēng)險共擔(dān),最重要的是,公共部門在吸收私營部門的優(yōu)勢的同時需要保有對私營部門政策的控制權(quán)[17]。
3.2.1情報共享與公共服務(wù)
情報共享是美國威脅情報公私合作模式中最重要、參與主體最廣泛的形式。
為鼓勵私營部門自愿參與信息共享,奧巴馬時期,國土安全部推行了網(wǎng)絡(luò)信息共享與合作計劃(CISCP)、增強網(wǎng)絡(luò)安全服務(wù)(ECS) 計劃等項目,將非機密的威脅信息幾乎實時披露給共享主體,生產(chǎn)準確、相關(guān)、及時且可操作的威脅情報,并為私營部門提供免費的商業(yè)威脅情報訪問權(quán)限和網(wǎng)絡(luò)安全服務(wù)[23],但搭便車效應(yīng)和缺乏激勵使得私營部門合作動力不強。特朗普政府著手解決美國聯(lián)邦政府網(wǎng)絡(luò)安全“多頭管理”的問題,強化國土安全部在威脅情報共享方面的領(lǐng)導(dǎo)權(quán),關(guān)鍵基礎(chǔ)設(shè)施運營者只有增強與國土安全部合作才能獲得政府提供的威脅情報和業(yè)務(wù)指導(dǎo),以壟斷并且有選擇地提供公共服務(wù)的方式迫使私營部門更主動地配合該部門[24]。公私部門威脅情報共享筑成美國應(yīng)對網(wǎng)絡(luò)威脅的第一道防線,也為情報賦能奠定了基礎(chǔ)。
3.2.2政府風(fēng)險投資
以In-Q-Tel為代表的政府風(fēng)險投資模式是美國情報機構(gòu)利用市場手段獲取技術(shù)、保持技術(shù)領(lǐng)先地位的一種創(chuàng)新機制。In-Q-Tel公司是典型的“混合組織”,具備“公”“私”雙重屬性[25]。
“公”體現(xiàn)在In-Q-Tel的投資目標不是財務(wù)收益而是滿足中情局(CIA)情報技術(shù)需求。In-Q-Tel的投資資金和日常管理費用均由CIA提供,公司內(nèi)設(shè)立In-Q-Tel 界面管理中心(QIC)與CIA對接,QIC負責(zé)將CIA的涉密需求轉(zhuǎn)化為不涉密的“問題清單”傳達至In-Q-Tel。In-Q-Tel則以非營利性天使投資的形式向具有潛在情報價值的初創(chuàng)企業(yè)提供早期資金支持,尤其是數(shù)據(jù)分析和信息安全領(lǐng)域。這些公司完成技術(shù)孵化并轉(zhuǎn)入市場運作后,通過In-Q-Tel將新興技術(shù)轉(zhuǎn)讓至CIA,公私部門共享知識產(chǎn)權(quán),亦或允許政府情報機構(gòu)成為私營部門所搜集的海量情報的用戶。著名威脅情報廠商FireEye成立之初曾因金融危機陷入低迷,CIA提出如果FireEye能檢測出電子郵件中的惡意軟件則有意成為他們的客戶,此后In-Q-Tel買入FireEye的技術(shù)解決方案[26]。目前FireEye已經(jīng)成為美國政府的重要威脅數(shù)據(jù)來源和技術(shù)供應(yīng)商,有效提高了政府檢測、抵御網(wǎng)絡(luò)威脅的能力。
“私”體現(xiàn)在In-Q-Tel完全以私人公司身份從事市場活動,公司內(nèi)部的日常經(jīng)營管理完全獨立,不受繁瑣的聯(lián)邦采辦法案的限制,高度的自主性促進了情報界與技術(shù)市場間的信息交流,縮短了先進技術(shù)的研發(fā)和采購周期。相較于成品采購、情報高級研究計劃局(IARPA)的外包式技術(shù)獲取方式,In-Q-Tel避免對市場進行直接干預(yù),而是通過風(fēng)險投資活動來識別有情報價值的初創(chuàng)企業(yè),并對其決策和生產(chǎn)、經(jīng)營施加影響來幫助CIA獲取所需技術(shù)[27]。In-Q-Tel還尤為關(guān)注情報界和商業(yè)兩用的技術(shù),帶動私人風(fēng)險投資家與政府聯(lián)合投資,從而降低研發(fā)風(fēng)險、縮減技術(shù)獲取成本。在政治權(quán)力、資本權(quán)力和技術(shù)權(quán)力既交相融合又有所競合的國家安全治理態(tài)勢中[28],以In-Q-Tel為代表的公私合作模式已然成為美國政府撬動資本與技術(shù)為政治權(quán)力和國家安全服務(wù)的重要途徑。
在情報外包和政府采購中,公私部門所追求的是各自風(fēng)險的最小化,因此存在著道德風(fēng)險和逆向選擇的問題,不利于形成合作關(guān)系。構(gòu)建合理的風(fēng)險分擔(dān)機制是建立公私合作伙伴關(guān)系的必要條件。
3.3.1風(fēng)險識別
本文結(jié)合文獻調(diào)研和美國出臺的相關(guān)政策文件總結(jié)出威脅情報公私合作模式中的潛在風(fēng)險,見表1。
表1 威脅情報公私合作模式的潛在風(fēng)險
3.3.2風(fēng)險分擔(dān)機制
在公私合作的過程中,私營部門對風(fēng)險更加敏感和脆弱,因此構(gòu)建合理的風(fēng)險分擔(dān)機制需要政府具備整體性思維,盡可能大地承擔(dān)自己有優(yōu)勢方面的伴生風(fēng)險[32]。公共部門的優(yōu)勢主要體現(xiàn)在政策法規(guī)的制定、強大的財政支持和維護公共利益等方面。
在政策法規(guī)方面,美國歷屆政府都倡導(dǎo)自愿合作原則,《2015網(wǎng)絡(luò)安全信息共享法案》規(guī)定不參加自愿共享行為的實體不承擔(dān)任何法律責(zé)任,不強制私營部門收到政府分發(fā)的威脅情報后采取行動,并對參與共享的主體設(shè)置了反壟斷、知識產(chǎn)權(quán)和公眾披露豁免條款,維護了私營部門的正當(dāng)權(quán)利。
在財政支持方面,美國將政府采購和項目承包作為激勵,引導(dǎo)私營部門積極與政府合作。例如《聯(lián)邦采辦條例國防部補充條例》規(guī)定國防采購項目競爭失敗的承包商有權(quán)利獲得項目或資金的補償,以“競爭補償”的形式降低私營部門參與技術(shù)研發(fā)的風(fēng)險。為防控技術(shù)外溢,美國政府限制FireEye等威脅情報廠商向其他國家提供網(wǎng)絡(luò)安全核心技術(shù),作為補償,美國政府與軍方大規(guī)模部署了FireEye的反APT產(chǎn)品[26],以政府采購的方式彌補其海外收益。
公私合作的最終目標是維護公共利益和國家安全,但安全與隱私往往不可兼得。“9.11”事件后,美國以反恐為由大規(guī)模地部署監(jiān)聽項目,“棱鏡門”的曝光引起美國民眾對政府的強烈不滿,這種不滿可以通過民眾的“選民”和“消費者”身份對公私合作實施產(chǎn)生影響,因此公私合作模式是多方博弈下的治理過程。政府在公私合作的過程中負有監(jiān)督的義務(wù),既是對私營部門的監(jiān)督也是對政府內(nèi)部的監(jiān)督。為降低泄密風(fēng)險,CISA通過交通燈協(xié)議 (TLP)確保與適當(dāng)?shù)氖鼙姽蚕砻舾行畔ⅲ⑶乙蠹尤隒ISCP的私營企業(yè)簽訂《合作研究與開發(fā)協(xié)議》,只有經(jīng)過安全審查的公司人員才有權(quán)訪問監(jiān)測系統(tǒng),查看機密威脅信息。美國國會具有立法權(quán)和代表選民的任務(wù),在情報監(jiān)督中發(fā)揮著核心作用?!?015網(wǎng)絡(luò)安全信息共享法案》要求聯(lián)邦機構(gòu)定期向國會聯(lián)合提交威脅情報共享實施的詳細報告,包括威脅情報使用、傳輸?shù)倪m當(dāng)性,以及對隱私保護問題的政策、程序、指南的充分性[20]。但該法案先搜集再移除的思路引起美國民權(quán)組織的強烈抗議,2016年國土安全部開發(fā)了自動化指標共享(AIS)計劃,實現(xiàn)自動化威脅情報共享的同時用技術(shù)手段刪除數(shù)據(jù)中的個人信息。
當(dāng)前,美國威脅情報公私合作模式正在從威脅情報共享轉(zhuǎn)向威脅情報賦能,提升了美國的網(wǎng)絡(luò)安全態(tài)勢感知、應(yīng)急響應(yīng)和網(wǎng)絡(luò)歸因能力。
3.4.1建立網(wǎng)絡(luò)安全態(tài)勢感知
國家網(wǎng)絡(luò)空間安全保護系統(tǒng)(National Cybersecurity Protection System ,NCPS)是美國國土安全部下屬的計算機應(yīng)急準備小組(US-CERT)開發(fā)的網(wǎng)絡(luò)安全自動監(jiān)測和防護項目,又名“愛因斯坦計劃”。該項目的實施分為三個階段,E1,E2,E3分別部署于2003年,2009年和2013年。E1和E2本質(zhì)都是入侵檢測系統(tǒng),不能主動防御,目前該項目已經(jīng)進入E3加速階段,威脅情報是其中一項關(guān)鍵技術(shù),通過AIS,該系統(tǒng)能夠?qū)崿F(xiàn)自動收集、關(guān)聯(lián)、分析和共享聯(lián)邦政府網(wǎng)絡(luò)安全信息,具有入侵檢測、入侵防御、安全檢測和信息共享四大功能。威脅情報的共享聯(lián)結(jié)了美國政府、軍事和民用網(wǎng)絡(luò),有利于構(gòu)建全面、動態(tài)、互動和實時的網(wǎng)絡(luò)安全態(tài)勢感知。
3.4.2構(gòu)建公私部門應(yīng)急響應(yīng)體系
基于國家網(wǎng)絡(luò)空間安全保護系統(tǒng),CISA central與MS-ISAC、ISACs、ISAOs等組織密切配合,建立7* 24 小時的威脅情報預(yù)警和事件報告能力。2021年CISA發(fā)布《網(wǎng)絡(luò)安全事件和漏洞響應(yīng)手冊》為聯(lián)邦民事行政部門(FCEB)機構(gòu)和私營部門提供了規(guī)劃和開展網(wǎng)絡(luò)安全事件和漏洞響應(yīng)活動的詳細操作程序。為檢驗和提升公私部門的協(xié)同能力,CISA每兩年舉行一次的網(wǎng)絡(luò)風(fēng)暴演習(xí),模擬發(fā)現(xiàn)與響應(yīng)國家關(guān)鍵基礎(chǔ)設(shè)施的重大網(wǎng)絡(luò)事件。CISA還是網(wǎng)絡(luò)安全的重要“宣傳口”,不僅舉行網(wǎng)絡(luò)安全意識研討會向公眾提供應(yīng)急響應(yīng)指導(dǎo),還向政府雇員、承包商和關(guān)鍵基礎(chǔ)設(shè)施合作伙伴免費開放網(wǎng)絡(luò)安全應(yīng)急響應(yīng)培訓(xùn),并開展網(wǎng)絡(luò)靶場模擬實驗加強練習(xí)調(diào)查和事件響應(yīng)技能。
3.4.3協(xié)同網(wǎng)絡(luò)歸因,促進網(wǎng)絡(luò)威懾
網(wǎng)絡(luò)歸因又稱網(wǎng)絡(luò)攻擊溯源,一般是指找到攻擊源頭,確認責(zé)任歸屬的過程。實踐中,攻擊者通常會通過偽造IP地址、改寫或清除日志痕跡等方式隱藏身份,因此網(wǎng)絡(luò)歸因是一項技術(shù)難題。在政治歸因中,網(wǎng)絡(luò)攻擊的攻擊者和特定國家之間聯(lián)系往往難以確定,使責(zé)任歸屬不清晰,例如,俄羅斯聲稱2007年愛沙尼亞的分布式拒絕服務(wù)攻擊是由愛國黑客發(fā)起的,不代表俄羅斯政府行為。在歸因?qū)嵺`中,美國威脅情報廠商大規(guī)模部署的傳感器所產(chǎn)生的威脅情報為歸因提供了數(shù)據(jù)支撐和分析框架,情報分析人員可以根據(jù)TTP(Tactics、Techniques、Procedures)檔案進行攻擊溯源、構(gòu)建證據(jù)鏈并生成歸因報告。2018年美國司法部訴俄羅斯GRU黑客案中,CrowdStrike協(xié)助FBI通過服務(wù)器鏡像等方式完成了證據(jù)固化和證據(jù)鏈分析,為官方調(diào)查提供了關(guān)鍵性材料?!疤栵L(fēng)”事件中,F(xiàn)ireEye更是先于政府發(fā)現(xiàn)俄羅斯黑客網(wǎng)絡(luò)攻擊的線索。政府情報機構(gòu)則在洞察敵方的政治動機和識別潛在的假旗行動等方面具有獨特的優(yōu)勢[30]?!疤栵L(fēng)”事件后,美國公私部門協(xié)同將攻擊源頭歸因于俄羅斯,司法部以官方網(wǎng)絡(luò)歸因結(jié)果為關(guān)鍵證據(jù)進行起訴,此后,拜登在多個場合公開向俄羅斯施壓,促進網(wǎng)絡(luò)空間威懾。
看似完善的制度的背后,“太陽風(fēng)”事件徹底擊碎了美國政府對網(wǎng)絡(luò)安全機制的自信,暴露出其在公私協(xié)同能力方面的漏洞,拜登提出“美國新政府會把網(wǎng)絡(luò)安全議題作為重中之重,進一步加強與私營部門的伙伴關(guān)系”[33]。
作為對“太陽風(fēng)”事件的回應(yīng),2021年5月拜登簽署《關(guān)于加強國家網(wǎng)絡(luò)安全的行政命令》,要求消除公私部門之間威脅情報共享的障礙。該行政命令指出現(xiàn)有合同條款中存在限制技術(shù)供應(yīng)商和應(yīng)急響應(yīng)執(zhí)行部門威脅情報信息共享的條款,例如,聯(lián)邦政府的承包商必須聯(lián)系合同授權(quán)方才能獲取信息,嚴重影響了調(diào)查的速度。然而合同障礙只是操作層面的原因,美國公私部門威脅情報面臨的最大挑戰(zhàn)是缺乏結(jié)構(gòu)和激勵,目前美國大多的公私合作是基于私人關(guān)系推動的,并且很大程度上是臨時的點對點的關(guān)系,公私部門間缺乏便捷、透明的溝通渠道,私營部門不知道向誰尋求信息或合作,即使找到特定部門機構(gòu)并與之合作,簽署網(wǎng)絡(luò)威脅信息共享協(xié)議的文書工作也可能使之望而卻步[34]。此外,技術(shù)也是影響情報共享的重要因素,據(jù)美國私營部門反應(yīng),從AIS中獲得的威脅信息包含了大量難以處理的情報噪音,減弱了情報預(yù)警的效果,而在聯(lián)邦機構(gòu)中,威脅數(shù)據(jù)的過度分類和政府軟件系統(tǒng)之間的集成問題是威脅共享工作的主要障礙[35]。
公私合作既是融合的過程也是博弈的過程,政治權(quán)力和資本權(quán)力天平的失衡將導(dǎo)致情報政治化或過度私有化。一方面,情報工作應(yīng)秉持公正客觀的原則,即“所見即所言”,然而,一些威脅情報供應(yīng)商為了獲得政府支持,蓄意迎合政府的政治目的,頻繁報道國家層面的大型網(wǎng)絡(luò)攻擊,尤其是敵對國家的惡意網(wǎng)絡(luò)活動,卻對與普通消費者更相關(guān)的和本國的網(wǎng)絡(luò)攻擊活動緘口不言[36],損害了情報的客觀性和獨立性。另一方面,斯諾登事件揭露了美國情報外包產(chǎn)業(yè)的亂象,首先,過度私有化和不完善的問責(zé)體系導(dǎo)致私營部門違規(guī)行為時有發(fā)生,侵犯了公民的隱私權(quán)。其次,軍工復(fù)合體和旋轉(zhuǎn)門機制加劇了公私“合謀”的現(xiàn)象,情報外包中以保密為由產(chǎn)生的大量不受國會監(jiān)督的“黑色預(yù)算”成為了滋生尋租與腐敗行為的溫床。最后,外包的效率是立竿見影的,政府情報機構(gòu)間的競爭促使一些情報機構(gòu)濫用外包來提高政績,將越來越多核心情報工作交由私營部門承擔(dān),而美國政府自身的情報能力卻提升緩慢[37],陷入依賴性外包的惡性循環(huán)中。
受美國政治制度和政黨制度的影響,“旋轉(zhuǎn)門”已經(jīng)成為美國政商關(guān)系中默認協(xié)調(diào)機制。盡管“旋轉(zhuǎn)門”機制一定程度上促進了公共部門和私營部門間的人才流動,但也埋下情報泄露的隱患。2021年9月14日,三名前NSA情報人員因離職后在未經(jīng)美國政府批準的情況下蓄意向阿聯(lián)酋提供網(wǎng)絡(luò)間諜技術(shù)被美國司法部起訴,涉密人員離職引發(fā)的“內(nèi)部威脅”逐漸引起重視。私營部門同樣面臨威脅情報安全管理的問題。2020年Cybersecurity Insider對338位威脅情報從業(yè)人員調(diào)研結(jié)果顯示,34%的威脅情報人員就職前沒有任何開源網(wǎng)絡(luò)情報(OSINT)經(jīng)驗,54%的威脅情報人員缺乏安全指導(dǎo)規(guī)范[38]。培訓(xùn)和監(jiān)管的缺位不僅容易導(dǎo)致工具濫用、信息泄露,還可能危及情報人員的人身安全和公共安全。
我國“十四五”規(guī)劃提出“加強跨領(lǐng)域網(wǎng)絡(luò)安全信息共享和工作協(xié)同,提升網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)、監(jiān)測預(yù)警、應(yīng)急指揮、攻擊溯源能力”。相對來說,我國威脅情報的發(fā)展起步較晚,美國威脅情報公私合作模式對我國有著借鑒意義。
當(dāng)前,美國已經(jīng)形成了一套較為成熟的威脅情報共享機制。從共享廣度來看,參與威脅情報共享的私營部門覆蓋各個行業(yè);從共享深度來看,2019版《國家情報戰(zhàn)略》提出美國情報界將擴大定制化生產(chǎn)、適當(dāng)傳播和發(fā)布可采取行動的威脅情報以保護關(guān)鍵基礎(chǔ)設(shè)施,賦能決策與行動。這一成果與美國政府的政治支持密不可分。從克林頓時期起,美國政府就通過出臺戰(zhàn)略、國會立法、發(fā)布總統(tǒng)指令和行政命令等形式不斷完善頂層設(shè)計,塑造公私合作價值基礎(chǔ)。當(dāng)前,盡管我國已經(jīng)著手部署公私部門威脅情報共享平臺,例如,中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理聯(lián)盟(CCTGA)建立了網(wǎng)絡(luò)安全威脅信息共享平臺,工信部也設(shè)有網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺,2019年上海市信息安全行業(yè)協(xié)會牽頭成立“威脅數(shù)據(jù)共享聯(lián)盟”,但從成員名單來看,參與主體仍然不夠廣泛。我國應(yīng)充分發(fā)揮政府的主導(dǎo)作用,自上而下地推動威脅情報共享機制的建立。在頂層設(shè)計方面,我國應(yīng)在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律框架內(nèi)細化威脅情報共享的主體、范圍、程序、組織機構(gòu)、隱私保護和責(zé)任豁免等內(nèi)容;在組織機構(gòu)方面,美國威脅情報共享的組織體系具有機構(gòu)職能劃分明確、重視情報整合與共享和權(quán)力制衡的特點,我國應(yīng)建立國家層面的網(wǎng)絡(luò)威脅情報管理中心,破除情報的條塊分割,對各部門、各地區(qū)的威脅情報進行整合分析,并且下設(shè)專門的公私合作伙伴關(guān)系部門。我國可以參考美國ISACs、ISAOs的經(jīng)驗,鼓勵非營利性的威脅情報共享組織的建立,并由公私合作伙伴關(guān)系部門負責(zé)對接,使得私營部門面臨網(wǎng)絡(luò)攻擊時能夠及時上報、快速共享情報。在激勵機制方面,政府可以建立威脅情報共享績效評價體系,對參與威脅共享的企業(yè)給予一定的優(yōu)惠政策,例如免費網(wǎng)絡(luò)安全服務(wù)、補貼等。同時,應(yīng)認識到情報共享是途徑而不是目標,政府應(yīng)在完善威脅情報共享機制的基礎(chǔ)上,促進情報共享轉(zhuǎn)化為情報賦能,定期組織網(wǎng)絡(luò)安全應(yīng)急演練,建立國家安全態(tài)勢感知體系和預(yù)警機制,重視網(wǎng)絡(luò)攻擊溯源,積極參與國際網(wǎng)絡(luò)安全規(guī)則體系的建設(shè)。
美國政府為威脅情報產(chǎn)業(yè)的繁榮發(fā)展創(chuàng)造了良好的環(huán)境,不僅通過政府采購、風(fēng)險投資、情報外包等形式為企業(yè)提供支持,還十分重視威脅情報的標準的研發(fā)、部署與管理。我國應(yīng)重視通過公私合作伙伴關(guān)系推動威脅情報產(chǎn)業(yè)發(fā)展,滿足多樣化的市場需求,鼓勵關(guān)鍵技術(shù)的自主研發(fā)。一方面,政府需警惕“越位”,正確認識傳統(tǒng)行政管理與公私合作伙伴關(guān)系中政府角色的不同。在公私合作伙伴關(guān)系中,政府是威脅情報產(chǎn)品供給的參與者,與社會資本是合作的關(guān)系,這要求政府避免過度監(jiān)管和干預(yù),應(yīng)以“收益”和“風(fēng)險”為抓手,通過政府購買服務(wù)、財政補貼、項目承包等激勵手段提高私營部門的參與技術(shù)研發(fā)積極性,并健全競爭補償、研發(fā)補貼等風(fēng)險分擔(dān)機制。與此同時,政府也要警惕“缺位”,正確認識情報外包的潛在風(fēng)險,為防止對情報外包過度依賴,政府應(yīng)建設(shè)由網(wǎng)絡(luò)安全專家和情報分析人員組成的人才隊伍,擴充人才引進渠道、健全人才培養(yǎng)制度、建立人才評價體系和薪酬激勵制度。另外,無論是政府采購還是情報外包都是臨時性和短期性的,政府應(yīng)拓展建設(shè)長期公私合作伙伴關(guān)系的渠道,可以借鑒美國以In-Q-Tel公司為代表的風(fēng)險投資模式,引導(dǎo)企業(yè)為國家安全服務(wù)。
公私合作模式不僅是效率工具,還是治理工具。維護網(wǎng)絡(luò)安全是全社會共同的責(zé)任,需要“監(jiān)管”與“自律”并舉。政府應(yīng)綜合運用法律、合同、培訓(xùn)和技術(shù)等手段加強對私營部門和情報人員的甄別、監(jiān)管、問責(zé)和保密,建立完善的情報監(jiān)督和問責(zé)體系,防范網(wǎng)絡(luò)安全內(nèi)部威脅、情報泄密風(fēng)險以及私營部門違規(guī)侵犯公民個人隱私。此外,威脅情報公私合作項目涉及政府采購、商業(yè)價值與個人隱私,需要構(gòu)建一個公開透明的公私合作項目信息平臺,防止腐敗現(xiàn)象,消除公眾的擔(dān)憂。政府為私營部門提供網(wǎng)絡(luò)安全相關(guān)公共服務(wù)的同時應(yīng)重視培養(yǎng)企業(yè)和公眾的網(wǎng)絡(luò)安全意識,可以設(shè)立專門的網(wǎng)站,定期開展網(wǎng)絡(luò)安全教育與培訓(xùn),并通過舉辦知識競賽、網(wǎng)絡(luò)安全實戰(zhàn)演練等方式鼓勵公眾參與。
在傳統(tǒng)印象中,情報是一項諱莫如深的活動,高度的對抗性和隱秘性使之理所當(dāng)然地被視為政府的固有職能。然而,在非傳統(tǒng)威脅與傳統(tǒng)威脅交織的21世紀,國家安全治理需求的持續(xù)變化使得政府情報機構(gòu)應(yīng)接不暇,私營部門逐漸成為美國情報工作的重要主體。網(wǎng)絡(luò)攻擊頻發(fā)的背景下,公私合作已經(jīng)成為應(yīng)對網(wǎng)絡(luò)威脅、維護國家安全的必然趨勢,威脅情報的誕生促進了公私合作模式在情報界的發(fā)展。過去,情報外包是美國私營部門參與情報工作的重要形式,然而,過度的私有化和政府參與不足導(dǎo)致了公私合作的“異化”,亟需審視“合作”的本質(zhì),探索通過收益共享和風(fēng)險同擔(dān)使雙方達成一致目標的設(shè)計。本文基于謝爾曼·肯特的情報觀將網(wǎng)絡(luò)威脅情報領(lǐng)域的公私合作模式劃分為情報共享、公共產(chǎn)品供給和公共治理三種功能類型,進而分析了不同類型的公私合作模式的理論和實踐意義,接著,梳理了美國威脅情報公私合作模式的發(fā)展歷程和制度保障,探討公私合作模式實踐中的機遇與挑戰(zhàn)。當(dāng)前美國正在從威脅情報共享轉(zhuǎn)化為情報賦能,提升了美國的網(wǎng)絡(luò)安全態(tài)勢感知、應(yīng)急響應(yīng)和網(wǎng)絡(luò)歸因能力,但實踐過程中暴露出的問題也值得我們反思?;诖耍疚慕Y(jié)合美國實踐經(jīng)驗和我國國情提出我國在威脅情報工作中應(yīng)完善威脅情報共享機制,推動威脅情報產(chǎn)業(yè)發(fā)展,發(fā)揮公私合作模式的治理作用。