信息安全技術(shù) 網(wǎng)絡(luò)安全信息共享指南

信息安全技術(shù)網(wǎng)絡(luò)安全信息共享指南Informationsecuritytechnology—Guidanceforcybersecurit2023-08-06發(fā)布2023-08-06發(fā)布國家市場監(jiān)督管理總局發(fā)布國家標(biāo)準(zhǔn)化管理委員會前言 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 15共享活動要素 25.1概述 25.2共享場景 25.3共享參與角色 25.4共享模式 35.5網(wǎng)絡(luò)安全信息 36基本原則 36.1安全性原則 36.2可控性原則 36.3合規(guī)性原則 47共享范圍 48共享活動過程 48.1概述 48.2共享活動準(zhǔn)備 48.3共享活動實施 68.4共享活動終止 8附錄A(資料性)網(wǎng)絡(luò)安全信息共享活動示例 9附錄B(資料性)網(wǎng)絡(luò)安全信息共享模式示例 B.1中心共享模式 B.2點對點共享模式 B.3混合共享模式 B.4群共享模式 11附錄C(資料性)網(wǎng)絡(luò)安全信息描述 C.1威脅信息描述 C.2安全事件信息描述 C.3脆弱性信息描述 C.4應(yīng)對措施信息描述 C.5經(jīng)驗信息描述 IC.6態(tài)勢信息描述 附錄D(資料性)共享活動中的信息交換技術(shù)概述 D.1網(wǎng)絡(luò)安全信息交換模型 D.2網(wǎng)絡(luò)安全信息交換方法 D,3網(wǎng)絡(luò)安全信息數(shù)據(jù)接口描述 參考文獻 18ⅡⅡ信息安全技術(shù)網(wǎng)絡(luò)安全信息共享指南API;應(yīng)用程序編程接口(ApplicationPrograHTTPS:超文本傳輸安全協(xié)議(HyperTextTr共享活動是網(wǎng)絡(luò)安全信息共享過程的一系列任務(wù)的集合，其日的是使參與共享活動的組織或個 2e)經(jīng)驗信息：描述在網(wǎng)絡(luò)安全防護和網(wǎng)絡(luò)安全事件響應(yīng)等方面積累的成功經(jīng)驗和失敗教訓(xùn)的3準(zhǔn)的規(guī)定及共享活動中制定的協(xié)議和規(guī)程。網(wǎng)絡(luò)安全信息中涉及網(wǎng)絡(luò)產(chǎn)品安全漏洞信息發(fā)布和共享行為的管理要求見6網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定3:7共享范圍共享范圍是共享活動中網(wǎng)絡(luò)安全信息可被知悉的范圍。共享范圍通?？煞譃橥耆蚕怼?nèi)部共享、部分共享三種類別：b)內(nèi)部共享：信息在特定共享活動中的所有參與者間共享；c)部分共享：信息在特定共享活動中的部分或指定參與者間共享。B共享活動過程8.1概述共享活動過程包括三個基本階段：共享活動準(zhǔn)備、共享活動實施、共享活動終止，每一階段有一組確定的工作任務(wù)。8.2共享活動準(zhǔn)備B.2.1基本工作流程共享活動準(zhǔn)備階段包括明確共享場景、評估網(wǎng)絡(luò)安全防護能力、識別共享參與角色、確定共享范圍和網(wǎng)絡(luò)安全信息類別、選擇共享模式、制定共享策略和規(guī)程六項主要任務(wù)，共享活動準(zhǔn)備階段基本工作流程見圖2.圖2共享活動準(zhǔn)備階段基本工作流程4發(fā)起或組織共享活動的組織或個人可自行擔(dān)任或委托其他組織或個人擔(dān)任共享活動的信息管理56工作。78(資料性)網(wǎng)絡(luò)安全信息類別共享范用網(wǎng)絡(luò)安全論中心/網(wǎng)絡(luò)安全服務(wù)機構(gòu)，科研機愛好者想了解和查閱網(wǎng)絡(luò)安全信息門組織的間發(fā)中心網(wǎng)絡(luò)安全服務(wù)部門等由主管/監(jiān)管門認為有必要的組織或個人要求提供其所需的內(nèi)部共亨、伙伴間的安全提醒和共同維護點對點已公開或通過某些的，可能對合作伙伴間網(wǎng)絡(luò)安全造成危害的所需的所有類別信息內(nèi)部共享、微信群明信息的群成員信息的群成員所有群成員技術(shù)手段發(fā)現(xiàn)的風(fēng)應(yīng)對措施信息、經(jīng)驗信息等完全共享，內(nèi)部共享9(資料性)網(wǎng)絡(luò)安全信息共享模式示例B.1中心共享模式中心共享模式信息交互形式如圖B.1所示。基于中心共享模式的共享活動通常需要建立正式的信息共享協(xié)議，規(guī)定信息共享內(nèi)容、共享活動參與者范圍、是否允許注明來源、以及允許的詳細程度等。共享中心擁有各信息提供者傳遞來的全量信息，在對信息進行提煉、處理和分發(fā)過程中需按照信息共享協(xié)議進行操作，并根據(jù)需要為信息使用者提對于信息共享的權(quán)限控制要求更為精細的情況，可根據(jù)需要設(shè)立多級共享中心。不同的共享中心各自對其收集到的信息進行管理與維護，同時信息共享中心需根據(jù)自身所處層級的不同，以從低到高的順序逐級將信息傳遞至高級別共享中心進行統(tǒng)一分發(fā)管理，從而實現(xiàn)信息的逐級匯總與分發(fā)。中心共享模式的優(yōu)勢主要取決于中心提供的服務(wù)。有些中心可能只以中間人的身份進行信息傳遞，另一些中心可能會執(zhí)行附加的處理來豐富信息。中心共享模式的潛在缺點是共享活動的有效開展完全依賴于中心的基礎(chǔ)設(shè)施，使其容易受到系統(tǒng)故障、延遲或損壞等影響。當(dāng)中心不能正常工作或性能下降時，所有信息共享參與角色都會受到影響。此外，中心作為網(wǎng)絡(luò)安全信息的存儲點，容易成為攻擊B.2點對點共享模式點對點共享模式信息的交互形式如圖B.2所示。O共享活動參?者4一信息傳越方回圖B.2點對點共享模式在點對點共享模式中，同一共享活動中的參與者之間自愿直接建立對等信任關(guān)系，并進行信息共圖例；中心節(jié)點一信息傳遞方向 一信息位評文向圖B.4群共享模式(資料性)網(wǎng)絡(luò)安全信息描述C.1威脅信息描述GB/T36643—2018的6.2～6,9給出了關(guān)于網(wǎng)絡(luò)安全威脅信息組件描述的相關(guān)要求。C.2安全事件信息描述安全事件信息描述如表C.1所示。表C.1事件信息描述內(nèi)容字段1字段2起始時間字段3目標(biāo)對象字段5字段7影響范用字段8C.3脆弱性信息描述脆弱性信息描述如表C,2所示。表C.2脆弱性信息描述內(nèi)容字段1字段2發(fā)布時間字段3字毆5字段7字段8C.4應(yīng)對措施信息描述應(yīng)對措施信息描述如表C.3所示。表C.3應(yīng)對措施信息描述內(nèi)容所屬子類(防御/響應(yīng))C.5經(jīng)驗信息描述經(jīng)驗信息描述如表C.4所示。表C.4經(jīng)驗信息描述內(nèi)容C.6態(tài)勢信息描述態(tài)勢信息描述如表C.5所示。表C.5態(tài)勢信息描述內(nèi)容(資料性)共享活動中的信息交換技術(shù)概述D.1網(wǎng)絡(luò)安全信息交換模型不同接口實現(xiàn)注冊、認證和網(wǎng)絡(luò)安全信息數(shù)據(jù)的上傳和拉取查詢。服務(wù)器可接收上傳的信息，存儲、管理網(wǎng)絡(luò)安全信息，并接受網(wǎng)絡(luò)安全信息查詢。客戶端是網(wǎng)絡(luò)安全信息的提供者或使用者。信息交換訪問方式如圖D.1所示。服務(wù)發(fā)暖按口在中心共享模式下，共享中心具有服務(wù)器功能，非中心共享活動相關(guān)方具有客戶端功能；在點對點共享模式下，共享活動參與者均具有服務(wù)器與客戶端功能。而群共享模式可采用P2P方式。D.1.2服務(wù)器D.1.2.1服務(wù)器功能例的根URL。一個服務(wù)器實例可支持一個或多個“服務(wù)根”,同時支持一個“注冊與認證”服務(wù)和一個D.1.2.2注冊與認證提供的API接口接收客戶端的注冊和認證，并與“信息集”服務(wù)協(xié)作進行網(wǎng)絡(luò)安全信息資源的訪問控制。只有在服務(wù)器上進行注冊并認證通過的合法客戶端才能訪問服務(wù)器上的網(wǎng)絡(luò)安全信息?！胺?wù)根”是服務(wù)器上一組網(wǎng)絡(luò)安全信息數(shù)據(jù)資源和相關(guān)訪問接口的邏輯分組。一個服務(wù)器支持一個或多個服務(wù)根。每個服務(wù)根獨立提供網(wǎng)絡(luò)安全信息數(shù)據(jù)訪問所需接口。通過服務(wù)根，服務(wù)器可實現(xiàn)網(wǎng)絡(luò)安全信息數(shù)據(jù)資源的劃分和獨立的訪問控制。從URL角度，服務(wù)根可理解為服務(wù)器根URL的子URL。每個服務(wù)根可根據(jù)需要將其中的網(wǎng)絡(luò)安全信息數(shù)據(jù)及訪問接口劃分為不同的“信息集”?！胺?wù)信息”是服務(wù)器提供的“服務(wù)根”信息的集合。該服務(wù)包括一組對“服務(wù)根”信息進行查詢的上網(wǎng)絡(luò)安全信息數(shù)據(jù)的公共信息。D,1.2.5信息集“信息集”是服務(wù)根實例提供的網(wǎng)絡(luò)安全信息數(shù)據(jù)對象及其訪問接口的邏輯分組，是客戶端對網(wǎng)絡(luò)安全信息對象進行訪問的基本單位?！靶畔⒓狈?wù)是通向信息集的API接口的集合?？蛻舳耸褂眠@些接口以請求-響應(yīng)的方式發(fā)送網(wǎng)絡(luò)安全信息數(shù)據(jù)到服務(wù)器，或者向服務(wù)器請求網(wǎng)絡(luò)安全信息。組后，可按照信任組或其他邏輯分組形式劃分內(nèi)容和訪問控制。狀態(tài)信息用于描述向“服務(wù)根”上特定信息集添加網(wǎng)絡(luò)安全信息對象的請求的執(zhí)行狀態(tài)。當(dāng)客戶端提交了新的網(wǎng)絡(luò)安全信息后，可使用“狀態(tài)信息”服務(wù)提供的API接口查看該新增網(wǎng)絡(luò)安全信息是否已D.1.2.7共享接口共享接口是客戶端對服務(wù)器上的各種服務(wù)進行訪問的傳輸通路。一個接口表示一個服務(wù)器實例上一個特定的URI.和HTTPS方法，每一個接口都由可訪問的LRI.和用于請求的HTTPS方法標(biāo)識，通過共享接口客戶端可實現(xiàn)在服務(wù)器上的注冊與認證、服務(wù)信息的發(fā)現(xiàn)、與服務(wù)根進行數(shù)據(jù)交換及服務(wù)根狀態(tài)查詢等功能。服務(wù)器上的信息集服務(wù)提供一組相同的AP1接口，客戶端通過這些接口實現(xiàn)對特定信息集的訪問，進而實現(xiàn)網(wǎng)絡(luò)安全信息的交換。當(dāng)前版本定義的API形式接口，需通過HTTPS協(xié)單個客戶端向特定服務(wù)器進行注冊，認證通過后，可向該服務(wù)器上的信息集查詢接口發(fā)送請求，查詢特定類型的網(wǎng)絡(luò)安全信息；客戶端也可向特定服務(wù)器上的信息集的信息接收接口發(fā)送請求，向信息集中添加網(wǎng)絡(luò)安全信息數(shù)據(jù)；同時，可通過向服務(wù)器的狀態(tài)服務(wù)的查詢接口發(fā)送請求，獲取推送的網(wǎng)絡(luò)安全信息的處理狀態(tài)。D.2網(wǎng)絡(luò)安全信息交換方法客戶端接入服務(wù)器并實現(xiàn)網(wǎng)絡(luò)安全信息共享遵守如下過程。a)注冊。新加入的客戶端首次連接服務(wù)器，或設(shè)備配置變動后，客戶端應(yīng)向服務(wù)器進行注冊。服務(wù)器審核注冊信息后為客戶端分發(fā)認證憑據(jù)。注冊可采用離線人工注冊或在線API注冊b)認證。注冊成功后，客戶端訪問服務(wù)器的API接口進行認證。認證上傳注冊過程獲取的認證c)服務(wù)發(fā)現(xiàn)。認證成功后，客戶端使用會話標(biāo)識作為認證憑證訪問服務(wù)器上的服務(wù)信息查詢接口和網(wǎng)絡(luò)安全信息數(shù)據(jù)的API接口，發(fā)現(xiàn)服務(wù)器所提供的服務(wù)信息。當(dāng)會話標(biāo)識失效后可重新啟動認證過程。d)狀態(tài)查詢。認證成功后，客戶端使用會話標(biāo)識作為認證憑證訪問服務(wù)器上的服務(wù)根狀態(tài)查詢接口，查詢服務(wù)根當(dāng)前狀態(tài)信息。當(dāng)會話標(biāo)識失效后可重新啟動認證過程。e)數(shù)據(jù)交換。認證成功后，客戶端使用會話標(biāo)識作為認證憑證訪問服務(wù)器上的服務(wù)根數(shù)據(jù)交換接口，查詢或上報網(wǎng)絡(luò)安全信息數(shù)據(jù)。當(dāng)會話標(biāo)識失效后可重新啟動認證過程。D.3網(wǎng)絡(luò)安全信息數(shù)據(jù)接口描述D.3.1基本描述網(wǎng)絡(luò)安全信息數(shù)據(jù)接口薄循如下基本描述：a)所有的請求可在HTTPS協(xié)議的Accept頭中提供媒體范圍；b)所有的響應(yīng)可在HTTPS協(xié)議的ContentType頭中提供所請求端點對應(yīng)的媒體類型和版本c)若響應(yīng)回復(fù)了HTTP成功碼(200系列的狀態(tài)碼),宜包含接口請求中指定的內(nèi)容類型的響d)若響應(yīng)回復(fù)了HTTP錯誤碼(RFC7231的6.5和6.6定義的400系列和500系列的狀態(tài)碼),宜在響應(yīng)體中包含錯誤信息；e)若HTTPS協(xié)議請求的Accept和/或Content-Type頭中提供了接口指定的媒體類型，不宜回復(fù)HTTP406(不可接受)或HTTP415(不接受的媒體類型);否則，可回復(fù)響應(yīng)內(nèi)容或HTTP406(不可接受)或HTTP415(不接受的媒體類型);I)傳輸?shù)木W(wǎng)絡(luò)安全信息的類型和格式參考附錄C。D.3,2安全性描述網(wǎng)絡(luò)安全信息數(shù)據(jù)接口遵循如下安全性描述；a)采用的密碼技術(shù)遵循相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；b)接口實現(xiàn)和訪問基于HTTPS協(xié)議(RFC7230):c)傳輸加密建議支持TLS1.2(RFC5246)及以上版本；d)數(shù)據(jù)傳輸過程建議支持Token認證方式；e)數(shù)據(jù)傳輸過程可選擇支持HTTPBasic(RFC7617)認證。D.3.3可擴展性描述保證認證和授權(quán)方面的擴展性，除本附錄指定或保留的屬性外，還可添加自定義屬性以促進某些信息共享過程。[5]1SO/IEC27003:2017Informatymanagementsystems—Guid[6]ISO/IEC29147