附錄 D(資料性附錄)組織一個信息共享團體的模型

附錄 D(資料性附錄)組織一個信息共享團體的模型

D.1 引言

組織一個信息共享團體有很多方式，從同等合作者的自由協會到高度結構化與集中式控制的正式法律機構。此附錄描述了在實踐中可見的、支持有效的信息安全管理的兩種團體組織形式。

D.2 可信信息通信機構

D.2.1引言

作為集中式的協調和溝通門戶，可信信息通信機構（TICE）是支持信息共享團體成員間信息交換的自治組織。它可成為行業間和組織間通信中有效的信息安全管理體系的核心要素。TICE可確保信息共享團體成員間有效的和安全的信息交換，并幫助成員有效的監視、分析、管理對事件及風險的響應。

可信信息通信機構（TICE）由一組主題專家組成，他們的主要工作是：

——確保TICE和團體成員間進行適當的信息交換；

——分析和響應信息安全事件；

——為從破壞中恢復，處理事件并支持團體成員；

——通過以下方法向團體成員提供相關的信息安全意識：

——發布當前使用組件中的漏洞公告；

——通知團體成員代表關于利用這些漏洞的病毒和攻擊，這樣得到授權的成員就可對組件進行高效的修補和更新。

TICE可作為使共享信息的源頭或接收方匿名的可信中介，從而使得成員對信息來自于可信源頭有信心，而又不必暴露自己的身份或信任其他隱藏身份的成員。

TICE可基于或發展自某個已存在的組織，如已經服務于相關團體的信息安全事件響應組（ISIRT）。但是，ISIRT需在提供一般的響應式服務基礎上，擴展業務以提供主動式TICE服務。

D.2.2 TICE組織上的考慮

D.2.2.1 主題專家

為確保具有恰當技能的合適人選參與其中，并確保專家能夠確定雙向通信及相關信息基礎設施環境中所有信息的相關性，TICE組織結構應由公共專家或行業專家組成。

宜通過專家進行分析，特別是對以下領域（但不限于）進行分析：

——業務管理；

——IT安全和基礎設施；

——運行；

——內部監管；

——法律部門。

專家要么是兼職或全職，且可能在控制中心或運行現場，要么是它們的結合。

D.2.2.2組織結構

一個典型的TICE宜至少包含以下職能：

——執行委員會（必不可少，負責TICE戰略管理和團體成員關系）；

——運行技術組（必不可少，負責分析業務和技術風險問題，確定應用補丁或變更時恰當的適用性）；

——運行技術通信人員（可選，推薦他們負責提高TICE對組件集成層面涉及的運行環境或資源的認識）；

——法律專家（可選，但是特別推薦他們在TICE起始階段平息法律問題）；

——通信專家（可選，推薦他們負責關注有關技術問題的翻譯困難，從而為成員準備更易于理解的消息）。作為團體成員和運行技術組之間的推動者，通信專家可提供從團體成員向運行技術組的反饋。

D.2.2.3 團體成員管理

為確保團體成員間關系恰當可信，TICE宜為鑒別、評估、持續了解和管理團體成員或其代表提供支持。

D.2.2.4 組織模式

對TICE而言，合適的組織模式很大程度上取決于當前結構的適當性、團體成員的性質、擴展此TICE能完成所述服務的潛能。同時，組織模式還取決于永久聘用的或是根據需要臨時聘用的主題專家的可訪問性。

TICE至少存在三種可能的模式：

——獨立式模式：作為一個獨立組織，獨立式TICE有自己的管理層和員工。

——嵌入式模式：嵌入式TICE建立在組織內部并利用其資源提供服務。正常情況和特定情況下，所分配資源的數量可能因支持活動而有所變化。

——自愿式模式：自愿式TICE由自愿基礎上相互提供建議和支持的專家組成。它宜被視作一個高度依賴于參與者動機的專家團體。

D.2.3 TICE核心和可選服務

對于TICE提供給團體成員的服務，選擇服務是一個關鍵階段，宜基于以下事項：

——信息共享團體成員間所提議通信相關的范圍和風險；

——TICE范圍、信息共享團體的組織和性質。

此外，它很大程度上取決于團體環境中TICE擔任的角色（作為成員間信息共享的推動者或發起者）。

潛在的TICE核心服務為：

——響應式服務。響應式服務旨在檢測對信息基礎設施組件的所有潛在攻擊，分析和報告攻擊與威脅的影響，向團體成員響應幫助請求、響應事件的報告。

——主動式服務。主動式服務旨在所有事件或事態發生或被檢測到之前，通過改進信息共享團體的安全流程和相關信息基礎設施，確保和促進充分的信息交換。此外，一些主動式服務旨在通過成員的意識降低事發時的影響和范圍，以改進事件的預防。

潛在的TICE可選服務為：

——惡意代碼調查服務。惡意代碼調查服務旨在：

——分析可能涉及惡意行為的某個組件上發現的所有文件或對象。

——處理并傳播結果給團體成員、供應商和其他相關方，以阻止惡意軟件的進一步傳播和減輕風險。

——安全和質量管理服務。安全和質量管理服務旨在風險分析、業務持續性管理和安全意識等長期目標方面幫助團體成員。

——匿名化服務。匿名化服務旨在確保團體成員不向其他成員泄漏自身身份的情況下能發送或接收信息。

D.2.4 結論

TICE模型為組織間信息共享提供了一個全面、可控和結構化的模型。它特別適合于及時和優先信息共享、分析非常重要的關鍵環境，以及支持所需中心基礎設施成本的成員或政府。

D.3 預警、建議和報告中心

D.3.1 引言

預警、建議和報告中心（WARP）模型^[6]^自2003年起一直在用，該模型不僅為公共行業的組織間也為私有行業的組織間共享敏感信息提供了一個有效的機制。

通常在自愿的基礎上，一個警告、建議和報告中心在具有相似利益的人或組織間共享信息。WARP基于代表信息共享團體成員的人員之間的個人關系。一個典型的WARP包含一個略懂利益主體但主要能擅長與成員溝通的操作者。它的成員數一般在20到100個之間，否則WARP可能會缺少人與人間的接觸，且這些成員屬于具有強共同利益的一個團體（小型企業、當地政府、服務提供商、利益群體等）。

WARP成員同意作為團體的一部分協同工作，并通過共享信息降低信息系統遭受破壞的風險，從而降低對所在組織的風險。此共享團體可基于一個產業或市場行業、地理位置、技術標準、利益群體、風險群體或其他任何具有商業意義的共享利益。

通常，WARPs是小型的、私人的和不以盈利為目的的。

D.3.2 WARP職能

WARP操作員使用網頁、電子郵件、電話、短信和偶爾會面（在可能的情況下）給成員發送關于預警和建議的個性化服務。這些通常是IT安全建議（因為安全建議數量多且變化快），但也包含其他材料（其他威脅、電子犯罪、應急規劃等等）。同時，通過使用公告板、會議及通用通信技能，操作員利用成員自身的知識去幫助其他成員。為了其他成員的利益（有點像“鄰里照看”方案），一個成功的WARP通過建立足夠的信任以鼓勵成員匿名談論它們自己的事件和問題。

D.3.3 WARP服務

D.3.3.1概述

WARP通常提供三種核心服務：

——過濾預警服務-成員從在線標記列表中選擇，只接收它們需要的安全信息；

——建議中介服務-成員可通過某個成員的公告板學習其他成員的舉措和經驗；

——可信共享服務-由于報告匿名，這樣成員可以借鑒彼此的攻擊和事件而不用害怕遭受尷尬或指責。

D.3.3.2 過濾預警

過濾預警服務允許WARP成員接收到基于成員利益范圍過濾出來的預警和報告。過濾預警應用軟件使用一個允許WARP成員輕松修改和維護他們選擇的訂閱樹‘標記列表’，幫助WARP操作員輕松的及時分類和分發預警和報告。此服務實現了WARP的預警部分。

D.3.3.3 建議中介

此服務允許WARP團體成員在一個安全環境中討論良好實踐和信息安全問題。在一方已經完成某方面的工作而另一方還正在考慮時，此服務也能使成員向其他人提供他們的經驗和技能，這有可能會建立在交易的基礎上。此服務實現了WARP的建議部分。

D.3.3.4 可信共享

此服務提供了一個可信的環境，WARP的成員可以在了解共享敏感信息將不會對他們造成傷害或尷尬的情況下，共享諸如事件或威脅數據等敏感信息。在相應的安全保障下，報告可通過電話、電子郵件或面對面達成。對事件信息采取安全措施且進行適當匿名處理后，這類事件信息也可傳遞給其他與其具有信任關系的WARPs，并傳遞給政府，以核對和監視國家趨勢。此服務實現了WARP的報告部分。

D.3.3.5 其他服務

WARP可提供對他們的團體成員有益的其他服務。但是，為了使WARP操作員支持他們要求的時間和資源最小化，這些服務通常非常簡單直接。

D.3.4益處

通過提供如下益處，WARPs為成員提供有效和低成本的信息安全：

——可信環境；

——安全信息過濾；

——獲取專家建議；

——對威脅的風險提示；

——戰略決策支持；

——改進的安全意識。

與建立WARP相關的許多潛在益處中的一些有：

——工作效率：WARP促進信息共享和共同任務的協調，轉而這將減少重復工作。通過提高效率將使企業或政府的提供商獲益。

——避免信譽受損：隨著組織轉向使用更多在線途徑與公眾互動，網站成為一個關鍵因素。如果一個網站不可用或網站外觀有損傷，這會引起信譽問題并可能阻止網站服務的可接受性。通過成為WARP成員，所服務的團體將會得到更好的保護。

——風險提示：找出其他人正在經歷的問題和使用的解決方法，并在WARP團體內分享這些信息。這將促進獨特的和個性化的服務，而甚至是大型商業提供商的服務可能也無法與之匹敵。

——政府和其他WARPs的支持：屬于這樣一個集中式團體的優勢意味著從可信源頭共享和分發有用建議的能力。來自其他WARPs操作上的支持可以通過WARP操作者論壇得到很好的建立。過濾預警應用的端到端合作使得其他WARPs的預警和報告能夠容易的分發。

——低成本：該模型旨在通過最少的人員數量（或虛擬團隊）實現低成本。

——全面且免費的工具箱：一個WARP提供者有權使用從現有WARPs經驗中創建的WARP工具箱。它包括背景信息，如何啟動、創建與運行WARP，以及一個從報刊文章到市場資料的廣泛下載列表。

——可持續性：隨著許多相關組織已經成功的運用這種途徑驗證了其可持續性，目前WARPs已開始廣泛建立。

——軟件：WARP提供商有權可使用為支持所有三種WARP服務而開發的專業軟件。

——增強的可信性：具有非盈利特點及與已有最佳實踐的結合，將有助于獲得團體信任和增強組織可信性，特別是在公益活動中。

——符合性： WARP成員關系將幫助成員組織滿足GB/T 22081-2008中識別的組織接觸控制。

——發展潛力：許多現有的WARP提供商正在建立進一步的WARPs的過程中。這些WARPs建立在支持較低成本和較好的可持續性的現有的基礎設施和專業知識上。WARPs目前出現在很多行業，并開始呈現國際化。

——企業社會責任：成為WARP的一員增強了成員組織的企業社會責任，從而贏得團體信任，潛在的支持了操作者和成員的其他業務策略。

D.3.5 結論

WARP模型為具有相似目的的組織間進行信息共享提供了一個簡單的協作模式。它特別適合于資金有限、必須提供集中式基礎設施、自愿基礎上運行的情況。