網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程研究

湯文嶠 陳 明

(1.中國人民解放軍國防科技大學(xué) 南京 210039；2.中國人民武裝警察部隊警官學(xué)院 成都 610213)

網(wǎng)絡(luò)安全是大國逐鹿的必爭之地[1]。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示，APT攻擊重要行業(yè)、搜集和買賣個人信息，以及網(wǎng)頁仿冒、網(wǎng)絡(luò)漏洞、惡意程序傳播等風(fēng)險持續(xù)存在，并有增大的可能[2]。對此，越來越多的機構(gòu)和個人已拋棄傳統(tǒng)的“銀彈”思維，不再追求一勞永逸解決安全問題的終極方案，而是非常務(wù)實地實施安全技術(shù)創(chuàng)新和協(xié)同防御策略，持續(xù)改進(jìn)和優(yōu)化安全技術(shù)與產(chǎn)品[3]。其中，正確及時的情報尤為重要。事實上，科學(xué)有序的網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程不僅是情報獲取、整理、分析、傳遞和反饋等環(huán)節(jié)高效運轉(zhuǎn)的基礎(chǔ)，也是情報有效支撐國家安全、主權(quán)和發(fā)展的關(guān)鍵。研究本課題，既是時代所需，亦是維護(hù)網(wǎng)絡(luò)空間安全，乃至國家主權(quán)、安全與發(fā)展的現(xiàn)實所需。

經(jīng)梳理，學(xué)界并沒有關(guān)于本課題的專門研究，研究觀點、視角等還比較分散，主要集中在情報流程、情報保障要素以及情報流程各環(huán)節(jié)等幾方面。首先，揭示情報工作流程的基本模式。學(xué)界普遍認(rèn)為，最早提出“情報流程”的是美軍2004年向外界頒布的《對軍事行動的聯(lián)合及國家情報支援》(JP2-01)一文，該文一改以往美國情報界“情報周期”的表述，將情報周期的6個環(huán)節(jié)變更為情報流程中的情報行動，屬于網(wǎng)絡(luò)拓樸結(jié)構(gòu)[4]。 Larry、Herring、Ron分別提出四環(huán)[5]、五環(huán)[6]、六環(huán)[7]模型，Lowerthal提出多層反饋視角的情報流程，強調(diào)每個環(huán)節(jié)反饋的重要性[8]。Walsh、Geraint、Mark Phythian分別提出“超級結(jié)構(gòu)”[9]、輪輻式[10]、嵌套式[11]等情報流程。Francois、Robert M. Clark、劉強等學(xué)者則分別提出安全/監(jiān)測雙功能[12]、以“目標(biāo)”為中心[13]、預(yù)警[14]等情報流程。此外，孫琳等[15]、彭知輝[16]則分別提出了競爭情報的流程和公安情報流程。彭知輝還對情報流程的線性推進(jìn)、周期循環(huán)、多重反復(fù)、網(wǎng)絡(luò)交互等模型展開評述反思[17]。其次，揭示網(wǎng)絡(luò)空間安全戰(zhàn)略情報保障能力要素的演化規(guī)律。陳明[18]結(jié)合人類活動模型系統(tǒng)分析了網(wǎng)絡(luò)情報保障主體、客體、工具等要素的互動規(guī)律，初步揭示了情報工作流程的運行規(guī)律。再次，揭示網(wǎng)絡(luò)威脅情報共享及其相關(guān)技術(shù)。開展該方面研究的學(xué)者大部分是計算機技術(shù)類專業(yè)人才，更加習(xí)慣于從技術(shù)層面化解網(wǎng)絡(luò)威脅情報共享的障礙[19]。最后，指出情報流程與其他環(huán)節(jié)的區(qū)別。學(xué)界普遍認(rèn)為“情報流程”源于“情報周期”，是對“情報周期”的升級和改造，各情報流程環(huán)節(jié)既相互銜接又相互獨立。

綜合來看，學(xué)界關(guān)于網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的研究觀點、研究內(nèi)容還比較宏觀、分散，因此，本文將結(jié)合學(xué)界對本課題的研究現(xiàn)狀，堅持問題導(dǎo)向，綜合運用系統(tǒng)工程學(xué)原理、比較研究等方法，分類別構(gòu)建和完善網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程，并提出適用范圍。

1 當(dāng)前網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程存在的主要問題

網(wǎng)絡(luò)空間安全是網(wǎng)絡(luò)空間所涉及的物理層、認(rèn)知層、信息層不受外界威脅的一種狀態(tài)，具有涉及領(lǐng)域的廣泛性、虛擬隱蔽性、分散異構(gòu)性、類型多樣性、欺騙虛假性等特征。情報是經(jīng)過人的智能加工處理后的信息。網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作不僅要與網(wǎng)絡(luò)空間安全需求相對接，還要構(gòu)建出相關(guān)要素間體系暢通、穩(wěn)定運行的體制機制，形成情報與決策，情報工作諸要素之間的運行閉環(huán)。本研究認(rèn)為，網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的主要由四類要素構(gòu)成，分別是情報需求，情報搜集、分析與傳遞，情報評估與反饋，第三方情報機構(gòu)。結(jié)合工作實踐發(fā)現(xiàn)，網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程還存在以下幾個方面的主要問題。

a.將情報工作流程線性化描述。相比于其他領(lǐng)域，網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程更為復(fù)雜，不可控因素更多，運行規(guī)律更難以被認(rèn)知。因此，部分學(xué)者從信息流的視角出發(fā)，運用數(shù)據(jù)到信息的變化過程描述網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的基本規(guī)律。據(jù)此，有學(xué)者構(gòu)建出網(wǎng)絡(luò)安全態(tài)勢感知模型(network security situational awareness,NSSA)，并將其分為態(tài)勢察覺、態(tài)勢理解、態(tài)勢投射3部分，如圖1所示[20]。事實上，網(wǎng)絡(luò)安全事件的發(fā)展演變是不斷反復(fù)的過程，并不是線性式遞進(jìn)。該模型揭示了網(wǎng)絡(luò)安全態(tài)勢感知的基本規(guī)律，同時也間接表明了情報工作的基本流程，但并沒有將人的主觀能動性充分融入整個流程，并不符合“情報是滲透人的價值判斷的信息”這一本質(zhì)。另外，應(yīng)對網(wǎng)絡(luò)威脅所需的情報是一個信息不斷迭加的過程，具有反復(fù)性，該類模型并沒有解決此問題。

圖1 網(wǎng)絡(luò)安全態(tài)勢感知模型

b.將情報分析流程與整個工作流程相等同。部分學(xué)者受羅伯特克拉克提出的“以目標(biāo)為中心的情報流程”啟發(fā)，高度重視情報分析工作在情報流程中的重要作用，并試圖構(gòu)建出情報分析與情報任務(wù)、情報用戶、情報搜集等環(huán)節(jié)高效運轉(zhuǎn)的模型，例如祝振媛從任務(wù)、數(shù)據(jù)與方法3個維度構(gòu)建出具有普遍指導(dǎo)意義的情報分析模型，較好的描述了情報分析的基本規(guī)律[21]。但進(jìn)一步分析發(fā)現(xiàn)，該類學(xué)者構(gòu)建的情報分析模型就是事實上的情報工作流程，或者是以情報分析為中心的情報流程。原因在于，情報任務(wù)既需要靠決策部門來明確，也需要情報部門自己統(tǒng)籌規(guī)劃，處于情報分析工作的“上游”，情報分析工作可以促進(jìn)新的情報任務(wù)產(chǎn)生，但改變不了其“圍繞確定的任務(wù)，產(chǎn)出滿足決策需求的策略或思想”[22]這一本質(zhì)。換言之，情報任務(wù)是驅(qū)動情報分析的關(guān)鍵變量，二者功能并不等同。該類不足一定程度上影響了對網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程運行規(guī)律的認(rèn)識。

c.專注于情報與決策、行動之間的有效互動。部分學(xué)者從情報的“參謀、尖兵、耳目”等功能出發(fā)，思考與決策、行動之間的良性互動，并做了深入的研究。較為典型的是學(xué)者陳明對網(wǎng)絡(luò)空間安全戰(zhàn)略情報保障能力要素演化規(guī)律的探索，并構(gòu)建出如圖2所示的作用模型[18]?？梢钥闯?，該學(xué)者是基于網(wǎng)絡(luò)空間互聯(lián)互通、雙向透明的特點，以決策過程為主線，揭示了決策過程與情報過程相交互的基本規(guī)律。深入分析發(fā)現(xiàn)，該模型所反映的情報過程主要集中在情報保障目標(biāo)、主體、手段之間的互動規(guī)律，沒有對情報流程所涉及的搜集、分析、傳遞、評估反饋等核心環(huán)節(jié)的運行規(guī)律進(jìn)行研究，該類不足在學(xué)界具有一定的普遍性。另一方面來看，相當(dāng)一部分學(xué)者將網(wǎng)絡(luò)空間安全情報工作研究的重點聚焦于情報共享、情報標(biāo)準(zhǔn)化建設(shè)、情報關(guān)聯(lián)分析，以及情報技術(shù)等幾方面，沒有探尋情報流程運行的基本規(guī)律，致使還存在“只要解決了技術(shù)問題，網(wǎng)絡(luò)情報工作就能順利展開”的錯誤認(rèn)識。

圖2 網(wǎng)絡(luò)空間安全戰(zhàn)略情報保障能力構(gòu)成要素的作用機制

d.沒有構(gòu)建出第三方情報機構(gòu)的介入模式。從網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作的國內(nèi)外實踐來看，第三方情報機構(gòu)介入情報工作流程即是現(xiàn)實存在，亦是形勢所需。較為典型的是王英、趙寧等幾位學(xué)者的研究。王英等基于相關(guān)法規(guī)制度指出第三方情報機構(gòu)介入網(wǎng)絡(luò)空間安全情報工作的基本模式[23]，趙寧等則以網(wǎng)絡(luò)開源情報的分析與管理為切入點，提到了第三方情報的共享，但是并沒有結(jié)合網(wǎng)絡(luò)安全威脅的特征提出具體的介入時機、內(nèi)容、方法等[24]。事實上，當(dāng)前物聯(lián)網(wǎng)與工控安全面臨日益增多的技術(shù)挑戰(zhàn)，區(qū)塊鏈、人工智能等信息新技術(shù)正被迅速運用至網(wǎng)絡(luò)安全領(lǐng)域，單靠某一部門已難以掌握情報工作所需的所有技術(shù)，與IT公司等各門建立技術(shù)協(xié)同機制已是現(xiàn)實所需。例如，美國政府為提升網(wǎng)絡(luò)威脅應(yīng)對能力，建立聯(lián)邦機構(gòu)和私營部門與NCCIC進(jìn)行網(wǎng)絡(luò)威脅指數(shù)共享的舉措，同時建立國家犯罪情報分析計劃(NCISP)、地區(qū)信息分享系統(tǒng)(RISS)、國土安全信息網(wǎng)絡(luò)(HSIN)、國防部聯(lián)合地區(qū)信息交換系統(tǒng)(JRIES)、跨州反恐信息交換系統(tǒng)(MATRIX)、司法部信息共享系統(tǒng)(LEISP)等平臺[25]。學(xué)界目前在第三方情報機構(gòu)介入模式方面研究存在的不足已影響了對網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程運行規(guī)律的認(rèn)識。

2 網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的設(shè)計與運行

本研究立足于網(wǎng)絡(luò)空間的互聯(lián)互通性，以及在此基礎(chǔ)上情報用戶與工作部門所掌握信息差距在縮小、認(rèn)知差異的不確定性在增加的現(xiàn)實，試圖通過增強情報工作流程的科學(xué)性、系統(tǒng)性來克服可能出現(xiàn)的情報失誤。

2.1 網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的設(shè)計

研究發(fā)現(xiàn)，網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程所涉及的情報需求，情報搜集、分析與傳遞，情報評估與反饋，以及情報流程支撐機制四類要素既分屬不同的系統(tǒng)，相互間屬于系統(tǒng)與系統(tǒng)之間的交互，難以按照單一的線性流程來表示中的運行機制。本文主要根據(jù)系統(tǒng)工程方法論中的霍爾三維結(jié)構(gòu)模型[26]，基于對網(wǎng)絡(luò)空間安全戰(zhàn)略情報的相關(guān)研究文獻(xiàn)和實踐進(jìn)行研究后得出啟示。根據(jù)功能類別，情報需求可以單獨成為一個維度，成為任務(wù)層；情報搜集、分析、傳遞與情報評估反饋可以合并為一個維度，成為處理層，數(shù)據(jù)、技術(shù)、政策法規(guī)、強制力等為一個維度，成為第三方支持層。如圖3所示。

圖3 網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的三維模型圖

2.2 網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的運行機制

網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程涉及情報任務(wù)、情報方法和情報工作支撐機制三大系統(tǒng)之間的交互。其中，情報任務(wù)有按研究領(lǐng)域、行業(yè)發(fā)展、學(xué)科門類、分布層次等多種劃分模式，本研究以威脅產(chǎn)生和應(yīng)對為基本規(guī)律，按功能將情報任務(wù)分為感知網(wǎng)絡(luò)空間安全態(tài)勢、預(yù)警網(wǎng)絡(luò)安全威脅、塑造網(wǎng)絡(luò)空間安全態(tài)勢三大類別。根據(jù)情報的本質(zhì)和數(shù)據(jù)處理的一般過程，將情報處理分解為情報搜集、分析、傳遞、評估與反饋四個基本環(huán)節(jié)，相互之間既獨立又非線性關(guān)聯(lián)。根據(jù)網(wǎng)絡(luò)安全威脅極強的關(guān)聯(lián)性和覆蓋性，將情報工作第三方支撐力量劃分為政策、數(shù)據(jù)、技術(shù)、強制力等幾個獨立的要素。經(jīng)初步梳理，網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程運行機制如圖4所示。

根據(jù)圖4的描述，可以將網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的運行模式分為基于目標(biāo)指引、態(tài)勢跟蹤、第三方力量介入、人—互動4條主線。具體運行過程分為以下4類：

圖4 網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程運行機制

2.2.1基于目標(biāo)指引的運行模式

事實證明，突發(fā)性網(wǎng)絡(luò)攻擊是擺在任何國家面前一個很嚴(yán)重的問題，實際上是有發(fā)生可能的[27]。應(yīng)對突發(fā)性網(wǎng)絡(luò)攻擊，推動情報工作轉(zhuǎn)型是重中之重，核心工作在于偵測(detecting)與回應(yīng)(respond)[28]。筆者認(rèn)為，突發(fā)性網(wǎng)絡(luò)攻擊發(fā)生后，網(wǎng)絡(luò)安全情報部門將具有明確的情報任務(wù)，其工作重點是圍繞科學(xué)的流程做好目標(biāo)驗證、修正、評估、核查、制定回應(yīng)舉措等工作，基本過程如圖5所示。

圖5 基于目標(biāo)指引的網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作運行模式

該過程中，用戶提出目標(biāo)是整個流程運轉(zhuǎn)的動力，同時也確定了整個流程運轉(zhuǎn)的中心。用戶提出目標(biāo)后，目標(biāo)并不能直接轉(zhuǎn)化為具體的情報任務(wù)，而是要根據(jù)目標(biāo)明確與否、緊急與否、多少等特征將其劃分為不同的類別，諸如國別類、數(shù)據(jù)類、系統(tǒng)攻擊類、基礎(chǔ)設(shè)施損壞類，或基礎(chǔ)、技術(shù)、實務(wù)等類別，再根據(jù)任務(wù)所屬類別分派至不同的情報部門，由情報部門根據(jù)具體的任務(wù)選擇合適的情報工作流程。情報產(chǎn)品形成并報送至決策或行動部門后，根據(jù)效用發(fā)揮情況給出價值評估和反饋。或者根據(jù)所擔(dān)負(fù)的具體情報任務(wù)，由情報部門對提供的情報進(jìn)行自我評估，進(jìn)而做出完善現(xiàn)有成果或開展新的情報任務(wù)的決定。該流程運行需要各環(huán)節(jié)情報人員明確具體的目標(biāo)指向，并圍繞目標(biāo)開展情報工作，對提高運行效率具有至關(guān)重要的作用，主要適應(yīng)于網(wǎng)絡(luò)安全危機、專題式任務(wù)等目標(biāo)較為明確的情報保障工作，但因此也面臨鮮明的局限，主要表現(xiàn)在：情報工作流程各環(huán)節(jié)之間雖有共同目標(biāo)，但對情報共享以及補充情報“空白”等并沒有明確主次責(zé)任，會導(dǎo)致集體負(fù)責(zé)下的“無人負(fù)責(zé)”，目標(biāo)情報錯亂、分布不均等風(fēng)險。

2.2.2基于態(tài)勢感知的運行模式

基于感知跟蹤的網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程并沒有明確的情報任務(wù)，且情報任務(wù)是在情報部門建議或危機已較為明顯時被確立，重在輔助戰(zhàn)略決策層做出較為宏觀、長遠(yuǎn)、綜合的規(guī)劃，或應(yīng)對潛在的難以被有效感知的網(wǎng)絡(luò)威脅。

結(jié)合相關(guān)實踐，本研究設(shè)計出如圖6所示的模型。該模型運行之始，并沒有明確的情報任務(wù)，而是在情報部門發(fā)現(xiàn)網(wǎng)絡(luò)安全領(lǐng)域的傾向性、重大性等矛盾問題后，將情報報知決策部門并引起重視，從而確立決策目標(biāo)，指導(dǎo)整個情報工作流程運轉(zhuǎn)。同時，該過程決策目標(biāo)的確立并不一定來源于情報部門所提供的情報產(chǎn)品，還可以借助于資料庫，其他行業(yè)、領(lǐng)域的發(fā)展動態(tài)等。因此，該過程決策目標(biāo)具有一定的模糊性，在后續(xù)的具體過程中得以被不斷明確細(xì)化，適合對網(wǎng)絡(luò)空間安全態(tài)勢的長期跟蹤，從細(xì)微之處發(fā)現(xiàn)可疑的信息，是情報界采取的主流模式，但是模糊的決策目標(biāo)會引起情報工作流程陷入“先入為主”的運作模式，或因沒有找到足夠多的信息而使合理的目標(biāo)被放棄等風(fēng)險。

圖6 基于態(tài)勢跟蹤的網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作運行模式

2.2.3第三方力量介入情報工作流程的模式

開展網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作必須依賴于海量的數(shù)據(jù)、信息技術(shù)、人才、資金。原因在于，眾包具有開放性、參與性、無邊界、創(chuàng)新性的特征，有助于情報工作模式走出現(xiàn)有的困境，并且可以開發(fā)和利用大數(shù)據(jù)[29]?，F(xiàn)實的困境是，情報機構(gòu)在編制體制、人才培養(yǎng)、技術(shù)更新等方面均難以提供網(wǎng)絡(luò)空間安全情報工作展開所需的所有條件，必須依賴于相關(guān)行業(yè)領(lǐng)域的支撐。面對部門行業(yè)職能差異、保密、工作條件、利益分割等綜合因素的限制，情報保障機制必須選擇合適的介入模式。分析發(fā)現(xiàn)，情報保障機制的介入模式有兩類，即以外包式介入、援助式介入、購買式介入。由于諸多新技術(shù)大多掌握在私人公司或研究機構(gòu)中，而且其擁有大量的人力、物力，情報界加強與之合作，進(jìn)行情報外包是必然趨勢[30]。外包式介入分為兩類，即由決策部門直接將情報任務(wù)外包至第三方，或由情報機構(gòu)直接將情報任務(wù)外包至第三方，情報用戶和情報機構(gòu)主要負(fù)責(zé)提需求，并做到對具體過程的監(jiān)督、指導(dǎo)和評估等工作。援助式介入，即情報用戶、情報部門等單位通過與互聯(lián)網(wǎng)或其他相關(guān)行業(yè)、領(lǐng)域簽定合同等方式，在面對本級難以完成的情報任務(wù)時從對方引進(jìn)專業(yè)技術(shù)和人才，適用于網(wǎng)絡(luò)安全危機管控等短期的、突發(fā)性情報保障任務(wù)。購買式介入，即情報用戶、部門等單位直接從智庫、互聯(lián)網(wǎng)公司等單位購買所需要的情報，用以滿足現(xiàn)有的情報需求。具體過程如圖7所示。

圖7 第三方力量介入網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的模式

2.2.4人—機互動模式中網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程模式

Web 3.0時代，網(wǎng)絡(luò)能夠滿足網(wǎng)民對于生命深度體驗的心理需求，更好地體現(xiàn)網(wǎng)民的勞動價值，并且能夠?qū)崿F(xiàn)價值均衡分配[31]，具有個性化、互動性、精準(zhǔn)化、智能化等特征。人的智能是開展網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作的核心，但是在智能化的網(wǎng)絡(luò)空間，人在利用網(wǎng)絡(luò)的時，也被網(wǎng)絡(luò)通過信息推送、行為引導(dǎo)等方式改變著知識結(jié)構(gòu)、思維模式和認(rèn)知水平。人—機互動已成網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作的重要特征?，F(xiàn)實的困境在于，網(wǎng)絡(luò)威脅常會迎合或歸避情報工作人員固有的思維慣性、認(rèn)知偏好，以突然、非常規(guī)等方式實現(xiàn)其目的。因此，相比于物理空間，人—機互動模式中網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程模式更為復(fù)雜，運行規(guī)律如圖8所示。在圖8所示的模型中，情報工作流程有三類，即情報任務(wù)——情報部門——情報搜集、分析、傳輸、評估——情報用戶；情報任務(wù)——情報部門——情報搜集、分析、傳輸、評估——情報用戶——第三方機構(gòu)；情報任務(wù)——情報部門——情報搜集、分析、傳輸、評估——重新設(shè)計模型。其中，關(guān)鍵點是情報人員知識結(jié)構(gòu)、思維模式、認(rèn)知水平，以及情報評估工作，是決定是否引入第三方機構(gòu)、重新設(shè)計模型、擴(kuò)大數(shù)據(jù)來源范圍的關(guān)鍵因素；最大挑戰(zhàn)是情報部門的網(wǎng)絡(luò)行為被記錄，導(dǎo)致部分認(rèn)知行為被強化，形成片面性或錯誤的認(rèn)知，構(gòu)建出不合理的工作模型，最終形成錯誤的情報產(chǎn)品。

圖8 人—機互動模式中網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程模式

2.3 網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的動態(tài)更新模式

情報工作流程并不是固定不變的，而是在遵從情報工作客觀規(guī)律的基礎(chǔ)上，根據(jù)不同的情報任務(wù)進(jìn)行適時的調(diào)整。從客觀上來講，情報工作流程動態(tài)更新是適應(yīng)網(wǎng)絡(luò)空間安全復(fù)雜態(tài)勢的現(xiàn)實所需。特別是面對網(wǎng)絡(luò)空間安全威脅的多樣、快速等特性，情報工作流程應(yīng)融入動態(tài)更新機制。從圖4所描述的網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程運行過程來看，情報工作流程動態(tài)更新機制如圖9所示。

圖9 網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的動態(tài)更新模式

根據(jù)圖9所示，網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的動態(tài)更新模式有3類：國家(網(wǎng)絡(luò)空間)安全形勢發(fā)生重大變化——情報部門——更新情報工作流程、情報部門——情報處理——決策部門——評估反饋——更新情報工作流程、情報任務(wù)——情報機構(gòu)——評估情報質(zhì)量——更新情報工作流程。其中，第一類模式一般從國家安全，或網(wǎng)絡(luò)空間安全發(fā)展的大局出發(fā)對情報工作流程更新機制做出長遠(yuǎn)規(guī)劃，不僅涉及到情報流程的更新，還涉及到情報部門機構(gòu)、職能、人員崗位、運轉(zhuǎn)機制等多方面的調(diào)整；第二類模式一般以完成單次的情報任務(wù)為一個周期，根據(jù)用戶對情報的評估反饋建議，情報部門對現(xiàn)有情報工作流程的合理性、科學(xué)性做出調(diào)整優(yōu)化，旨在使流程更科學(xué)、流暢，避免出現(xiàn)情報失誤；第三類模式發(fā)生在情報流程運轉(zhuǎn)之前，由情報部門根據(jù)所受領(lǐng)的具體任務(wù)特性，對情報工作流程做出適度調(diào)整，或從多種流程中選擇一個較為恰當(dāng)?shù)哪Ｊ健?/p>

2.4 網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程運行的關(guān)鍵支撐條件

網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作不同于其他領(lǐng)域的情報工作，需要諸多支撐性條件。經(jīng)研究，突出表現(xiàn)為以下幾類：

a.決策部門的頂層推動。網(wǎng)絡(luò)空間融合著國家、政府組織、非政府組織、個人等多種行為體，是一個可以映射所有物理領(lǐng)域的特殊空間。美國等網(wǎng)絡(luò)強國為有效應(yīng)對網(wǎng)絡(luò)威脅，普遍在國家層面出臺網(wǎng)絡(luò)安全戰(zhàn)略，推動網(wǎng)絡(luò)空間情報工作與政治、軍事、經(jīng)濟(jì)等領(lǐng)域的融合，進(jìn)而形成強大的情報工作能力。另據(jù)英國政府頒布的《2022年國家網(wǎng)絡(luò)戰(zhàn)略》顯示，針對網(wǎng)絡(luò)空間安全的任何戰(zhàn)略反應(yīng)都必須將地緣戰(zhàn)略與國家安全、刑事司法和民事監(jiān)管、經(jīng)濟(jì)和產(chǎn)業(yè)政策聯(lián)系起來，并且需要對在線互動的不同文化或社會背景和價值體系有深刻的理解?？梢灶A(yù)見，未來國家級的網(wǎng)絡(luò)攻擊將愈演愈烈，具有技術(shù)壁壘高、溯源難度大、應(yīng)對困難等特征。因此，網(wǎng)絡(luò)空間情報工作必須置于黨和國家的絕對領(lǐng)導(dǎo)之下，以總體國家安全觀為指導(dǎo)，綜合處理好國家主權(quán)、安全與發(fā)展，以及數(shù)據(jù)共享與隱私保護(hù)、使用與管理、成本與效益、制度與工作需要之間的關(guān)系，建立更加專業(yè)的力量，形成與國家網(wǎng)絡(luò)空間安全需求相適應(yīng)的情報體制和工作流程。

b.關(guān)鍵信息技術(shù)的支撐。網(wǎng)絡(luò)信息技術(shù)既催生出了大數(shù)據(jù)時代，又使網(wǎng)絡(luò)空間成為數(shù)據(jù)的海洋。事實證明，網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作缺的不是數(shù)據(jù)，而是對數(shù)據(jù)進(jìn)行深度挖掘的關(guān)鍵技術(shù)。要緊盯網(wǎng)絡(luò)安全威脅特征，堅持體系化發(fā)展思路，圍繞溯源、關(guān)聯(lián)、共享、跟蹤、監(jiān)測等環(huán)節(jié)，重點加強對智能化時代類腦感知、類腦學(xué)習(xí)、類腦記憶機制與計算融合、類腦復(fù)雜系統(tǒng)、類腦控制等理論與方法的研究，確保技術(shù)手段不落后。要結(jié)合行業(yè)、領(lǐng)域網(wǎng)絡(luò)威脅主要特征，采取自我研發(fā)、委托第三方公司、采購引進(jìn)等方式，建立實用管用的技術(shù)標(biāo)準(zhǔn)體系。要瞄準(zhǔn)網(wǎng)絡(luò)安全威脅情報工作的瓶頸性問題，加大對智能語義搜索、智能問答、個性化推薦、自然語言理解、大數(shù)據(jù)分析與決策等技術(shù)的研發(fā)，提升情報工作深度和廣度。

c.提升情報人員的認(rèn)知水平。情報是經(jīng)過人的價值判斷的信息。人的主觀能動性在網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作中具有至關(guān)重要的作用。其中，情報人員的認(rèn)知水平是決定性因素。由于網(wǎng)絡(luò)安全高端人才缺口仍然較大，短期內(nèi)難以迅速補充。要結(jié)合工作實踐，規(guī)劃情報人員的成長路徑，嚴(yán)格準(zhǔn)入條件和崗位標(biāo)準(zhǔn)，建立硬性的人員動態(tài)流動機制，形成常態(tài)更新、結(jié)構(gòu)合理的人員隊伍；要通過定期和不定期培訓(xùn)等方式，讓情報人員掌握本行業(yè)、本領(lǐng)域最前沿的技能，讓認(rèn)知水平在不斷學(xué)習(xí)中得到提升；要瞄準(zhǔn)網(wǎng)絡(luò)威脅分布領(lǐng)域廣，情報工作涉及學(xué)科領(lǐng)域多的特征，通過送學(xué)培訓(xùn)、知識講座、自我學(xué)習(xí)、多維考核評價等方式，讓情報人員構(gòu)建起“技能知識+N”的知識結(jié)構(gòu)，進(jìn)而促進(jìn)認(rèn)知水平提升。

d.建立數(shù)據(jù)共享機制。數(shù)據(jù)是網(wǎng)絡(luò)空間安全情報工作順利展開的驅(qū)動力，也由于關(guān)乎國家主權(quán)安全，成為被世界各國努力保護(hù)的重要對象，“數(shù)據(jù)孤島”“數(shù)據(jù)鴻溝”等現(xiàn)象還切實存在。要通過出臺法規(guī)制度、明確權(quán)利與責(zé)任、建立共享平臺、細(xì)化操作規(guī)范等方式，在國家、行業(yè)、非政府組織間建立標(biāo)準(zhǔn)化和規(guī)范化的數(shù)據(jù)共享機制，提升數(shù)據(jù)共享的公開性、透明性以及協(xié)作性。另一方面，威脅情報之所以成功的本質(zhì)在于資源復(fù)用，無論是文件、IP、域名、TTP等，都存在不同程度的復(fù)用情況，攻擊者往往會使用已有的知識(漏洞、配置錯誤等)、資源(域名、IP等)來攻擊目標(biāo)。[32]換言之，數(shù)據(jù)共享主體關(guān)系發(fā)生轉(zhuǎn)變后，獲得的數(shù)據(jù)將成為攻擊對方的要害，相互間的不信任隨時存在。因此，還要通過與相關(guān)行業(yè)開展情報人員崗位任職、合作交流、交換使用等方式，動態(tài)構(gòu)筑和強化數(shù)據(jù)共享主體間的信任關(guān)系，消除由此帶來的隔閡。

3 本研究設(shè)計的網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的適用范圍

本文主要運用信息學(xué)、情報學(xué)及網(wǎng)絡(luò)空間安全等領(lǐng)域的專業(yè)知識構(gòu)建了網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的運行模式，描述了相互間的運行機制，為體現(xiàn)出研究的客觀性、科學(xué)性，有必要對其適用范圍做出明確。

a.適用于保障網(wǎng)絡(luò)空間安全戰(zhàn)略決策制定。本文從態(tài)勢感知、威脅應(yīng)對、第三方情報機構(gòu)介入、人—機互動四個層面描述了網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的基本規(guī)律，具有較強的普遍性和“底層性”，在揭示某一特定的網(wǎng)絡(luò)安全威脅情報工作流程運行規(guī)律時，需要在本文研究的基礎(chǔ)上進(jìn)一步細(xì)化完善，從而增強其針對性和實用性。因此，本研究成果并不適用于特定的網(wǎng)絡(luò)安全威脅情報工作，適合從戰(zhàn)略層面揭示有關(guān)規(guī)律。

b.適用于理解網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程各環(huán)節(jié)交互功能。在系統(tǒng)梳理學(xué)界對情報流程研究現(xiàn)狀的基礎(chǔ)上發(fā)現(xiàn)，無論是學(xué)者還是相關(guān)情報機構(gòu)均對情報流程涉及的具體環(huán)節(jié)進(jìn)行論述，但對于相互間的銜接機制并沒有形成統(tǒng)一的認(rèn)識。研究認(rèn)為，網(wǎng)絡(luò)空間的共享性將打破情報部門對相關(guān)信息占有優(yōu)勢，部分行業(yè)領(lǐng)域或決策部門甚至?xí)柚鷪D書館、智庫等載體先于情報部門獲取所需情報，并形成前瞻性決策。此外，若用固定的工作流程來規(guī)范網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作將難以適應(yīng)網(wǎng)絡(luò)空間戰(zhàn)略態(tài)勢的動態(tài)性、復(fù)雜性等特征。因此，本研究所構(gòu)建的網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程模型適用于了解各環(huán)節(jié)交互功能，以及各環(huán)節(jié)與其他系統(tǒng)之間可能發(fā)生的交互關(guān)系，可以彌補學(xué)界對該問題研究的不足。

c.適用于認(rèn)識網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作的一般性規(guī)律。情報具有“回顧過去”“感知當(dāng)下”“預(yù)測未來”等功能，本研究構(gòu)建的網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程綜合考慮了上述三項功能在不同狀態(tài)下的銜接與轉(zhuǎn)換機制，具有較強的普遍性。但受篇幅等因素影響，本研究并沒有將某一項功能作為重點突現(xiàn)出來探索，特別是在“預(yù)測未來”方面還具有一定短板。

4 結(jié) 語

探究網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程運行機理既是時代課題，亦是現(xiàn)實所需。本研究運用比較研究的方法，系統(tǒng)分析了學(xué)界當(dāng)前在該方面研究的不足，并區(qū)分目標(biāo)牽引、態(tài)勢感知、第三方情報機構(gòu)介入、人—機互動等4類情形，分別構(gòu)建出了網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作的流程。同時，結(jié)合系統(tǒng)工程學(xué)的基本原理和網(wǎng)絡(luò)威脅動態(tài)變化的特征，本研究還構(gòu)建出了網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程的更新機制。受多種因素影響，本研究提出的情報工作流程主要適用于保障網(wǎng)絡(luò)空間安全戰(zhàn)略決策制定、理解網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作流程各環(huán)節(jié)交互功能、認(rèn)識網(wǎng)絡(luò)空間安全戰(zhàn)略情報工作的一般性規(guī)律等方面，在指導(dǎo)“預(yù)測未來”“突發(fā)事件”等專項情報工作方面還有一定短板。