在不断发展的证券市场中，市场的参与者和监管机构都需要适应和应对不断变化的挑战。网络安全可以说是当今市场参与者和监管机构所面临的最重要挑战之一。本文参考国际良好实践，旨在从证券行业未来所面临的网络风险应对角度，对证券市场参与者所可采用的方法，以及监管机构可采取的举措进行大胆的设想，以期帮助证券行业成员寻找到适用的解决思路和方法。

信息共享可以使组织更好地了解网络安全环境，包括网络犯罪分子使用的技术、战术和过程。信息共享还可以使组织能够模拟攻击者的行为进行分析和决策，从而采取更精准的预防、检测和响应网络攻击措施。亦即，信息共享可以为网络威胁做出及时反应提供有效支撑，从而降低系统性风险。

信息共享，其范围可以包括网络威胁信息以外的信息，试想如下场景：

• 场景1：C发现其股票交易账户被黑客入侵，入侵者以欺诈为目的为他下达了卖单并将所得款项支付给了入侵者，入侵者随后将款项转入其他账户A，账户A已超越交易机构所在司法辖区。在调查客户C的投诉时，交易机构发现了其系统中的弱点，这些弱点将其客户暴露在类似攻击下。

• 场景2：X监管机构调查所辖范围内的涉嫌操纵市场的股票高频交易活动，但涉嫌操纵高频交易的公司位于其辖区外。X监管机构希望从该公司获取执行程序化交易指令的算法，以判断交易的合法性，以及交易活动是否反映了该机构的投资策略和交易风险管理。

如果存在一个涉及网络攻击的证券相关犯罪的交换信息的组织和机制，那么导致破坏和控制证券机构系统/网络，以至不当销售、资产盗用、市场滥用等行为是否会得到一定的抑制？其结论不言自明。

参考全球现存的信息共享组织，我们可以看到在实践中很多成功的信息共享组织都是由私营组织所领导。从现存的成功的信息共享组织案例来看，这些组织多数是由会员建立和运营，采用自下而上的结构，并为会员服务。这些组织成员之间的信任度更高，而网络化的信任度往往需要非常缓慢的构建过程。监管机构可以鼓励和支持受监管实体参与信息共享，但不宜尝试建立新的或相互竞争的机制。

信息共享需要预先制定相关标准，特别是在共享信息的类型和质量方面，并且共享的信息应该是相关的和可操作的。对于制定相关标准的工作，监管机构可以起到引导的作用。

FS-ISAC金融服务业信息共享和分析中心作为现存的信息共享组织，目前（2021年12月）拥有约16,000会员，无疑是信息共享良好实践的代表之一。

FS-ISAC成立于 1999 年，其使命是分享及时、相关、可操作的网络和物理安全信息和分析结果。虽然FS-ISAC由非营利性私营组织所运营，但其与各种政府实体有着密切的合作关系。FS-ISAC共享的信息类型包括但不限于：

• 攻击者及目标

• 攻击者TTP（Tactics, Techniques and Procedures）

• 威胁指标

• 恶意软件

• 钓鱼/鱼叉类恶意邮件

• 恶意站点

FS-ISAC于 2014 年启动了一项名为 Soltra 的网络威胁情报计划。该计划基于与DTCC (存托信托和清算公司)的合作，其目的是提供软件自动化和服务，从多个来源收集、提取和加速威胁情报的传输，以帮助防范网络攻击。该计划采用开放标准，包括STIX（结构化威胁信息表达标准） 和TAXII（指标信息的可信自动交换标准）。

• 攻击者的信息

• 攻击者的TTP

• 攻击指标

• 可被利用的漏洞

• 已被利用的漏洞

• 可以防止类似攻击的方法

• 网络安全事件

• 新兴网络风险趋势

从以上共享信息中可以看到，在全球范围内采取联合行动可以减轻网络攻击所带来的风险。但是，为防止侵犯隐私、数据泄露和信息滥用，有其他问题需要解决。例如：所传播的信息是否属于机密信息，所传播的信息是否会被潜在的网络犯罪分子利用，是否需要处理国家安全或刑事问题和证券监管的优先级，以及处理适用于世界各地信息共享的本地制度。

信息共享并非一帆风顺。首先让我们看一组公开数据：2017年188名AIS参与者，仅2人（1%）共享了indicator；2018年252名参与者，仅9人（3%）共享了indicator；截止至2019年9月， 278家实体连接了国土安全部自动信标共享计划（AIS），其中190家是商业实体。信息共享的阻力和阻碍来自于参与者的能力与意愿。

能力层面：

参与信息共享网络可能并不适合所有类型的组织，尤其是规模较小的组织。部分组织可能没有能力或技术先进性来处理收到的信息并采取行动；部分组织可能没有能力或技术来生成达到质量要求的可共享信息。

意愿层面：

• 法律法规：信息保密需求和法律是有效信息共享的重要障碍之一。关于信息共享的法律问题，从数据和隐私保护问题、责任保护问题到潜在的反垄断问题，在许多国家仍然是一个挑战。

• 横向信任：与网络安全相关的信息通常具有敏感性，可能会影响组织的声誉并导致潜在的法律和监管后果。因此，信任对于信息共享网络至关重要。如果组织不相信可以访问此信息的其他组织会按照约定保密地使用这些信息，那么组织自然不会愿意共享信息。

• 纵向信任：监管者直接参与信息共享组织在某些情况下可能会对参与者共享相关信息形成阻碍，因为参与者害怕监管的不可预测的反应行为。

针对以上的阻力和障碍，参与者认为并期待监管机构帮助确保参与者有适当的动机和能力积极参与信息共享网络。作为监管框架的一部分，证券监管机构可以有效地要求或鼓励参与信息共享的行为，以确保参与者可以采取的适当的网络安全措施。

如上所述，如果信息共享被视为有效网络安全框架的一个组成部分，监管机构可以借助其职能有效地要求或鼓励这种共享作为其监管/监督框架的一部分，从而推动行业内组织采取的适当的网络安全措施。

通常，监管机构在促进行业参与者之间共享网络安全信息方面可以发挥不可或缺的作用：

• 监管机构可以与政府进行对话，帮助建立和促进信息共享网络并消除共享的法律障碍。政府也可以成为信息共享网络的积极参与者；政府可以获得最新技术和网络威胁情报，这些情报可以与商业参与者有效地共享。

• 监管机构可以支持政策的方式帮助能力不足的公司，缩小其网络安全目标和现实的差距。

• 证券监管机构可以共享信息，以强制执行和确保辖内组织、机构和企业遵守其各自的证券法律和法规。

证券监管机构也可以从促进信息共享中受益。鉴于其职责的性质，证券监管机构通常更加重视战略信息而不是技术信息，因为技术信息提供了更多的背景和细节。然而此类信息可为监管机构提供更多关于参与者所面临的威胁类型、网络安全实践以及总体准备水平的信息，从而最终帮助监管机构确保对制定行业规则、法规和监督活动的有效性和适当性。

信息共享是过程，信息共享的成果改变了攻防双方的对抗知识，其终极目的是加强组织的网络安全能力。

基于信息共享，组织可以实践“威胁信息导向的网络安全”方法，将通过信息共享所获得的网络威胁信息应用于IPDRR（识别、保护、检测、响应和恢复）框架从而加强网络安全实施的各种计划和措施。

基于信息共享而进行的模拟网络事件和违规行为演习，可以帮助组织更好地识别网络风险、检测威胁、保护自己免受威胁的侵害，并从网络安全事件中做出反应和恢复。

最后，适当的治理是有效的网络安全框架的核心。参与者为处理网络安全问题而建立的治理结构，包括高级管理层和公司董事会的参与，对于整体信息安全框架的有效性至关重要。治理结构可以帮助组织集中注意力，确定其风险偏好和优先级，并合理分配资源。鉴于网络安全形势在不断发展，需要注意的是对随着时间的推移而演化出的基于共享信息（威胁情报）的网络安全实践的治理和保障。