2016-8-22

申晨

（图片来源：搜狗图片）

近日，高盛、美国银行、花旗银行、摩根大通公司等美国八家重量级金融机构正在筹建一个旨在防御网络攻击的组织。该组织未来将在美国金融服务信息共享及分析中心（FSISAC）的管理下运营，其职责是将更多有关网络威胁的信息分享给组织成员，并针对大型金融机构面临的网络攻击进行演练，从而提高组织成员在网络攻击发生时全面应对的能力。这一举措将加强金融服务业对网络攻击的整体反应机制，并将惠及与上述八家金融机构共同建立了相关金融组织的7,000个成员。

一、网络攻击偏爱金融行业

根据IBM在2016年5月发布的一份美国网络安全报告显示，2015年金融服务行业受到网络攻击的次数在各行业中排名第三，仅次于医疗业与制造业。这种现象不仅发生在美国，在全世界范围内，针对金融行业的网络攻击都呈现愈演愈烈的趋势。随着金融行业的网络化、信息化，网络攻击更是成为埋伏在金融服务业四周的定时炸弹。

金融行业频繁遭受网络攻击的原因主要有两个：一方面，金融行业系统中除了拥有以电子数据形式存在的大量资金外，还存储着海量的用户个人信息和敏感信息，对黑客来说犹如一座装满财富的巨型宝库，一旦攻陷将会获得丰厚的利润；另一方面，金融服务业自身在应用系统和网络架构等方面存在脆弱性，容易成为黑客瞄准的目标。由于大型银行拥有比中小银行更复杂的金融系统，更容易遭受网络攻击。IBM的报告同时还指出，60%的网络攻击是由内部人士发起的，这说明金融行业内部管理的缺陷也是导致网络攻击频繁的重要因素。

二、信息共享铸造防御堡垒

为了增强全社会对网络攻击的防御能力，美国早在20世纪90年代就提出了“网络安全信息共享机制”这一概念，旨在实现私营企业与政府之间自愿、双向、及时的网络安全信息交换。该机制以一系列的政策和法律文件为基础，经过二十多年的不断完善，重点建设起一套相互联系的组织机构体系。其主要机构和职能分为以下三个层面：在联邦政府层面，美国国土安全部及其分支机构负责整体调度，国家情报总监办公室负责有关共享网络威胁情报的分析工作；在地方政府层面，各地方政府之间及其与联邦政府机构之间构建起一个跨州的信息共享和分析中心（MSISAC），开展政府之间的信息共享；在行业领域层面，金融、交通、能源等18个关键部门建立起了基于行业的信息共享和分析中心，负责政府与行业内部成员之间的信息交换。

美国金融服务信息共享及分析中心（FSISAC）是一个非营利性的组织，由金融行业关键基础设施的所有者和运营者基于成员关系形成，负责协调、促进金融行业内部公共与私营部门之间的网络安全信息共享。作为网络安全信息共享机制的组成部分，FSISAC始终保持着与国家网络安全和通讯整合中心（NCCIC）的协调，通过NCCIC得以共享有关漏洞、入侵、事件、风险减轻和恢复活动的信息。由于NCCIC将美国互联网应急中心（CERT）纳入其组织机构体系，FSISAC还能够从其网络安全风险监测、预警、应急、响应的一系列职能中获益。2015年12月美国通过了《网络安全信息共享法》(Cybersecurity Information Sharing Act)，明确了共享的网络安全信息包括网络威胁指标和防御性措施两大类，为FSISAC的工作提供了更精细化的指导。

八家金融机构将预防网络攻击的新组织安排在FSISAC下运营正是看重了其与美国政府进行信息共享这一优势。然而，他们在这一选择上存在一些忧虑，而这些考虑并非没有根据。一是，这些机构此前已经为遏制网络攻击和信息共享投入了几十亿美元的资金，而FSISAC运营所依据的《网络安全信息共享法》又增添了一层政府管控，有画蛇添足之嫌。二是，新组织接入FSISAC后，在短期内会受到其背后庞大的网络安全信息共享机制组织架构的牵制。尽管如此，该组织与政府之间进行信息共享在长期上仍然是一个利好的举措。原因在于，这种合作可以避免信息共享网络的重复架构，将为该组织节省大笔资金和精力。同时，组织与政府间网络安全信息的双向、及时交流能够有效提升机制整体的防御能力，对其自身也将是大有裨益。

三、隐私保护成为关键因素

信息资源的一大特性就是其共享性。在网络时代，信息资源可用极低的成本进行无差别的多向传播。信息资源共享能够使参与者利益最大化，这就是网络安全信息共享机制的设计理念。然而，也正是因为信息资源的这些特性，信息共享的隐私权保护问题凸显出来。在实践中，信息共享的模式分为强制共享和自愿共享两种。由于一些网络安全信息涉及商业机密或者个人隐私，私营企业与联邦政府进行信息共享时倾向于采取自愿模式以保护这些信息，而政府为了获得更大范围的支持也最终选择了该模式。美国《网络安全信息共享法》确保了私企在共享信息时完全自愿的权利，并规定，除直接关系到正在报告中的网络威胁，共享的信息里不能包含个人身份信息。但是，由于多项旨在加强个人隐私保护的方案未获得通过，一些企业担心这一法案实际上是一个以保护网络信息安全为借口的“监听法案”。

在美国，人们将信用卡作为主要支付手段，股市和期货等其他交易也依赖网络进行，金融服务行业的数据库中存储了海量的国内外用户敏感信息，隐私保护成为网络攻击风险防范的关键领域。美国现有的《金融隐私权法案》和《金融服务现代化法案》的有关规定已经不能满足新形式下用户隐私权的保护。大数据时代的信息搜集方式多元化，使得原本“告知与同意”框架的隐私保护功能弱化，那么八大金融机构的新组织在加入FSISAC后如何在信息共享过程中保障自身关键信息和所存储的用户信息？这一问题的解决途径主要有以下两个：其一，在现有法律制度下，强化“告知与同意”框架，保证用户能够无障碍地理解和获取有关隐私及其安全保障的信息，明确用户有权利控制信息共享系统收集和使用的个人信息，并确保收集、利用和公开个人信息的方式与其提供信息时的情境一致。其二，加强与联邦政府相关机构的协调工作，增加金融行业服务机构及其用户隐私权保护的相关条款，防止政府由于滥用监管权力而导致网络攻击以外的“二次伤害”。

防范网络威胁是新时代金融安全的重要领域，美国的网络安全信息共享机制如果能处理好隐私权保护问题，那么从长期上看，将成为保障金融安全强有力的支撑。美国的金融安全与中国息息相关，2015年，中国海外投资总额为1180.2亿美元，其中对美国投资总额为223亿，占比18.9%，排在第一位。有对美投资意向的个人或企业应当持续关注美国网络安全信息共享机制的动向，更好地安排投资计划。同时，我国有关部门也应加强对这一机制的研究，以吸取经验，巩固和加强我国的网络安全保障体系。

（作者是武汉大学中国边界与海洋研究院2015级硕士生）