中文版 | 网络态势感知标准建立分析

美韩两国通过《2022年美韩领导人联合声明》及2024年关于《美韩共同防御条约》延伸至网络空间的相关说明，强化了应对网络风险的协作。为维持稳固的网络安全合作，拟确立网络态势感知标准。网络态势感知旨在全面掌握网络环境、威胁及恶意活动态势，为网络空间行动提供决策基础。维持这一态势需持续监控、分析与评估网络活动，识别漏洞、威胁及其对经济、社会与国家安全的影响。

合作推进网络态势感知需共同制定流程与标准，协调实时通信，以支持及时决策并主动防御数字资产与基础设施。网络态势感知所需信息类别包括：威胁情报、网络监控、漏洞评估、事件检测与分析、全源风险评估以及近实时态势报告。

网络态势感知的核心包含三个维度：（1）获取数字环境动态信息；（2）理解并解释事件成因；（3）评估其对国家安全、经济稳定与公共安全的潜在影响。该过程依赖精密数据采集方法、先进分析框架与高效信息管理系统。最关键的是，两国需基于现有合作框架，就信息共享协议、任务分配流程及优先事项框架达成共识。

数据收集与情报基础设施

建立有效网络态势感知首先需具备从多元来源收集与共享聚合数据的能力。数据应涵盖政府网络、关键基础设施部门（如能源、金融、医疗、交通与水务系统）、私营企业、学术机构及开源情报。需对数据进行处理以识别恶意活动，理解各类威胁行为体（包括国家支持实体、复杂网络犯罪组织与意识形态驱动的黑客团体）的策略与技术。

人工智能工具

人工智能（AI）工具可通过以超越人类处理能力的速度与规模处理分析海量安全数据，提升网络态势感知水平，使机构更全面掌握自身安全态势与威胁演变。可联合开发算法，以较传统规则系统更高的精度与速度识别网络流量（及适应用户行为）中的模式异常，从而探测恶意活动。AI还可自动化部分事件响应流程，并通过漏洞优先级排序强化漏洞扫描。有效实施AI网络态势感知需结合专业工具与能解读AI生成洞见的安全分析师，以采取适当行动。

主动防御与预测能力

全面网络态势感知不仅限于应对即时威胁，更需通过趋势与模式分析预测未来网络攻击及新兴威胁，该过程需协作推进。此类预测能力对主动网络防御至关重要，因其支持先发制人的防护措施而非被动响应。有效态势感知的基石在于建立及时、安全且可操作的网络威胁情报共享机制。

共享分析标准

为建立统一的态势感知方法，将受益于旨在识别双方或多方数字生态系统中模式、关联及潜在事件的共享分析标准。此类分析框架可与其他威胁情报源整合，以更全面理解面临的威胁态势。生成的信息需包含面向高层决策者的战略摘要与面向操作分析师的技术细节报告。为实现此层级合作，需大幅拓展现有通信渠道，制定敏感网络安全信息共享标准化流程。该合作可基于与网络安全与基础设施安全局（CISA）现有“国家网络态势感知系统（NCAS）”的深化协作推进。该系统通过及时发布网络安全威胁、事件及通用安全主题信息，向技术与非技术受众提供态势感知，其产品包括技术警报、控制系统建议报告、周度漏洞公告与网络卫生最佳实践指南。政府间可考虑建立类似的双边数据共享机制。

任何商定的协同工作标准需明确共享信息的及时性、完整性与准确性准则。多数情况下，实时或近实时数据共享对快速响应网络威胁至关重要。所有共享数据需保持一致的格式与结构，以支持跨机构分析与联合防御行动。协作标准需平衡可操作情报需求与来源及方法保护顾虑，确定信息交换的颗粒度。

此类标准与协议需由两国网络安全主管部门联合制定并达成共识。网络安全协同标准需确保时效性以支持快速防御响应，包括规定威胁情报共享时限：针对关键零日漏洞与关键基础设施攻击实施分钟级通报，次优先威胁信息设置24小时窗口期。框架应含危机期间（如大规模攻击）自动加速信息共享的协议。此外，需投资兼容的安全通信通道与自动化共享系统，以标准化格式加密传输数据，减少人工干预，缩短威胁检测与防御响应延迟。

联合标准需确立网络威胁情报的最低数据要求，确保信息完整性。具体要求包括：各类威胁报告必须含技术指标（如IP地址、恶意软件特征码、命令与控制基础设施）与上下文信息（攻击模式、对手技术、潜在影响）。标准应明确原始数据与分析结论的提交规范，界定因涉密或来源保护需保留细节的情形。需建立联合审查机制，定期评估情报完整性并识别信息交换漏洞，同时制定隐私与个人信息保护的共同准则。

在准确性方面，标准需制定严格的威胁情报验证协议，包括置信度评级、来源标注规范（采用统一引用格式）及事实与推论区分流程。应组建联合技术工作组，在触发重大防御行动前验证关键技术发现，同时保留快速共享时效性情报的能力（附适当警示）。标准应含反馈机制，供接收方评估情报可操作性与准确性，形成持续改进循环。准确性要求需与及时性平衡，即通过预设程序共享含不确定性标识的初步信息，待进一步确认后更新验证结论。