GB/T 42708-2023 金融網(wǎng)絡(luò)安全威脅信息共享指南（正式版）

ICS35.240.40GB/T42708—20232023-08-06發(fā)布國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會GB/T42708—2023 I Ⅱ 2規(guī)范性引用文件 3術(shù)語和定義 2 2 3 3 39.1威脅信息共享基本流程 39.2威脅信息分析 4 49.4威脅信息使用 49.5威脅信息使用反饋 510威脅信息質(zhì)量管理 510.1威脅信息組件格式 510.2威脅信息綜合評定 611威脅信息共享保障機(jī)制 612威脅信息共享安全管理 712.1訪問控制 712.2數(shù)據(jù)管理 712.3安全審計 712.4應(yīng)急響應(yīng) 附錄A(資料性)典型金融網(wǎng)絡(luò)安全威脅信息共享場景 8A.1網(wǎng)絡(luò)安全服務(wù)方的威脅信息共享 8A.2基礎(chǔ)設(shè)施提供方的威脅信息共享 8A.3不同金融機(jī)構(gòu)間的威脅信息共享 9 9 IGB/T42708—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國金融標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC180)歸口。本文件起草單位：北京銀聯(lián)金卡科技有限公司、中國工商銀行股份有限公司、中國建設(shè)銀行股份有融科技認(rèn)證中心有限公司、騰訊云計算(北京)有限責(zé)任公司。ⅡGB/T42708—2023金融網(wǎng)絡(luò)安全威脅信息共享旨在采用技術(shù)手段實現(xiàn)網(wǎng)絡(luò)安全威脅信息的有效流動，通過建立威脅1GB/T42708—2023金融網(wǎng)絡(luò)安全威脅信息共享指南下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文GB/T2260中華人民共和國行3術(shù)語和定義API:應(yīng)用程序接口(ApplicationProgramming2GB/T42708—2023APP:應(yīng)用軟件(Application)IP:網(wǎng)際互連協(xié)議(InternetProtocol)SDK:軟件開發(fā)工具包(SoftwareDevelopmentKit)5總則6威脅信息共享框架威脅信息共享的目標(biāo)是為金融行業(yè)提供高質(zhì)量、高時效的網(wǎng)絡(luò)安全威脅信息。通過建立健全多層威脅信息深入合作。威脅信息共享參與者在遵循共享原則的前提下進(jìn)行威脅信息傳遞。金融行業(yè)網(wǎng)絡(luò)安全威脅信息共享框架見圖1。金融行業(yè)威脅信息共享平臺金融行業(yè)威脅信息共享平臺金融機(jī)構(gòu)金融機(jī)構(gòu)N威脅信息提供方國家/共他行業(yè)威脅信息平臺金融業(yè)務(wù)合作方網(wǎng)絡(luò)安企服務(wù)機(jī)構(gòu)金融機(jī)構(gòu)1圖1金融行業(yè)網(wǎng)絡(luò)安全威脅信息共享框架圖金融網(wǎng)絡(luò)安全威脅信息共享的主要參與者包括：構(gòu)提供信息共享服務(wù)接口和溝通協(xié)調(diào)渠道；b)金融機(jī)構(gòu)：金融網(wǎng)絡(luò)安全威脅信息共享的核心受益者，通過接收威脅信息提供方的威脅信不同金融機(jī)構(gòu)之間可以通過金融網(wǎng)絡(luò)安全威脅信息共享平臺共享威脅信息。事件信息等。3GB/T42708—20237威脅信息共享原則威脅信息共享遵循以下原則：a)最小必要原則：僅共享滿足金融網(wǎng)絡(luò)安全威脅信息共享需要的最少信息，非必要信息不可戶信息等關(guān)鍵信息的再利用；享活動可追溯；共享過程中安全可控。8威脅信息共享方式8.2根據(jù)共享的目標(biāo)不同，威脅信息共享方式可分為定向共享而將威脅信息發(fā)送至共享平臺，由共享平臺以廣播的方式通知金融機(jī)構(gòu)。非定向共享的主要或其他來源的信息。由成員提供的信息被中心直接轉(zhuǎn)發(fā)給其他成員，或由中心以某種方式處理后分發(fā)給指定的成員。9威脅信息共享流程威脅信息共享基本流程基于最小共享模型提出，僅包含一個威脅信息發(fā)送方和一個威脅信息接收信息接收方。威脅信息接收方根據(jù)需要使用威脅信息，并對威脅信息的使用情況進(jìn)行反饋。威脅信息共享流程見圖2。4GB/T42708—2023威脅信息發(fā)送方威脅信息接收方圖2威脅信息共享流程送方又作為信息接收方存在，參與機(jī)構(gòu)根據(jù)其實際處理中的角色確定其具體工作。金融網(wǎng)絡(luò)安全威脅信息共享平臺主動發(fā)現(xiàn)威脅信息時，按照威脅信息發(fā)送方的要求進(jìn)行分析和共享；金融網(wǎng)絡(luò)安全威脅信息共享平臺僅作為共享渠道轉(zhuǎn)發(fā)威脅信息時，可不進(jìn)行威脅信息分析工作。典型的金融網(wǎng)絡(luò)安全威脅信息共享場景參見附錄A。9.2威脅信息分析威脅信息發(fā)送方執(zhí)行威脅信息共享前，開展威脅信息的分析工作，具體內(nèi)容如下：化為結(jié)構(gòu)化數(shù)據(jù)，便于威脅信息的分析；b)對威脅信息結(jié)構(gòu)化數(shù)據(jù)和原始數(shù)據(jù)進(jìn)行比較分析，保障威脅信息結(jié)構(gòu)化數(shù)據(jù)能精準(zhǔn)表達(dá)原始數(shù)據(jù)所蘊(yùn)含的信息；c)分析威脅信息的共享價值，綜合評價威脅信d)威脅信息共享可能導(dǎo)致數(shù)據(jù)違規(guī)使用等風(fēng)險，如威脅信息中涉及個人信息或其他具有安全隱患的內(nèi)容，宜參照有關(guān)數(shù)據(jù)評估要求確認(rèn)共享的可行性。9.3威脅信息共享威脅信息發(fā)送方根據(jù)威脅信息的分析情況確定共享方式，以提升威脅信息的時效性和可達(dá)性，并通過安全的技術(shù)手段保障威脅信息中的重要信息在共享、傳輸過程中的機(jī)密性和完整性。9.4威脅信息使用9.4.1接收方獲得威脅信息后，基于證據(jù)和邏輯對威脅信息進(jìn)行分析、判斷，對未來情況及其可能性進(jìn)a)初步評估：威脅信息使用方對所持有威脅信息進(jìn)行初步評估，包括但不限于邏輯性、時效性和b)交叉評估：當(dāng)威脅信息使用方持有同一安全事件兩條或兩條以上威脅信息時，對所有威脅信息進(jìn)行比對，評估多條威脅信息間的重復(fù)性和差異性；威脅信息提供方宜對存在沖突的威脅信息5GB/T42708—2023做出解釋，便于威脅信息使用方自行評估采用威脅信息的風(fēng)險；c)持續(xù)評估：持續(xù)對威脅信息的評估最終形成對威脅信息源的評估，包括但不限于威脅信息源多9.4.2在遵循威脅信息共享(見9.3)前提下，威脅信息接收方在其所屬環(huán)境研究、測試、應(yīng)用威脅信a)旁路使用：在不影響真實業(yè)務(wù)環(huán)境條件下，通過利用模擬環(huán)境、歷史數(shù)據(jù)或流量鏡像等方式模擬使用威脅信息以觀測其作用，該階段用于觀測威脅信息的誤報率、可用性和對業(yè)務(wù)環(huán)境可能份方案等；b)邊緣使用：在真實業(yè)務(wù)環(huán)境中的某些邊緣業(yè)務(wù)內(nèi)使用威脅信息，以觀測威脅信息對真實業(yè)務(wù)環(huán)境的影響，該階段進(jìn)一步確認(rèn)威脅信息在真實業(yè)務(wù)環(huán)境使用的可用性，并驗證和完善應(yīng)對c)正式使用：在真實業(yè)務(wù)環(huán)境中使用威脅信息，持續(xù)觀測威脅信息對真實業(yè)務(wù)的影響，并持續(xù)關(guān)注已使用威脅信息的參數(shù)變化，包括但不限于威脅信息是否已被撤回、威脅信息的時效性、威脅信息準(zhǔn)確性及其他參數(shù)的變化。9.4.3威脅信息使用后，威脅信息使用方可將數(shù)據(jù)完整留存?zhèn)洳?，包括但不限于原始線索、證據(jù)信息、9.5威脅信息使用反饋威脅信息接收方在使用威脅信息后，可對威脅信息的使用情況進(jìn)行記錄并做出質(zhì)量評價。威脅信息接收方宜將使用反饋信息及時提供給該威脅信息的發(fā)送方，威脅信息的發(fā)送方可根據(jù)使用反饋情況使用情況反饋可包括下列內(nèi)容。a)信息相關(guān)性。判斷網(wǎng)絡(luò)安全威脅信息是否與信息接收方的信息系統(tǒng)運行環(huán)境相關(guān)，是否為信息接收方可能面臨的威脅或可能遭受的攻擊。b)信息準(zhǔn)確性。判斷網(wǎng)絡(luò)安全信息是否準(zhǔn)確、完整。不準(zhǔn)確或不完整的網(wǎng)絡(luò)安全信息可能妨礙重要的行動，引起不必要或不適當(dāng)?shù)捻憫?yīng)行動，或使信息接收方產(chǎn)生安全錯覺。c)信息時效性。判斷網(wǎng)絡(luò)安全威脅信息的獲取是否及時，以便給信息接收方提供充足的時間預(yù)測威脅并做出響應(yīng)。時效性的定義與信息變化速度、攻擊速度、攻擊者能力、可能造成的影響等因素有關(guān)。d)信息具體性。判斷網(wǎng)絡(luò)安全威脅信息是否詳細(xì)描述網(wǎng)絡(luò)安全事件、網(wǎng)絡(luò)安全攻擊者等信息的細(xì)節(jié)，以便信息接收方清晰了解威脅對他們的影響。包含足夠信息和背景的網(wǎng)絡(luò)安全信息使信息接收者能夠制定應(yīng)對方案和采取響應(yīng)行動。10威脅信息質(zhì)量管理10.1威脅信息組件格式威脅信息組件是威脅信息共享的元數(shù)據(jù)。金融行業(yè)宜建立統(tǒng)一的數(shù)據(jù)格式進(jìn)行威脅信息組件描述，宜建立統(tǒng)一的威脅信息共享接口用于開展威脅信息共享，降低威脅信息共享接入成本，提升威脅信息共享效率。威脅信息共享接口主要字段參考表1。6GB/T42708—2023表1威脅信息共享接口數(shù)據(jù)字段序號數(shù)據(jù)字段描述方式1威脅信息提供方威脅信息提供方標(biāo)識和域名、IP等信息2威脅信息發(fā)生時間采用國際標(biāo)準(zhǔn)時間，時間格式宜參考GB/T74083受威脅機(jī)構(gòu)代碼采用統(tǒng)一社會信用代碼，宜符合GB321004受威脅機(jī)構(gòu)名稱采用統(tǒng)一社會信用代碼的機(jī)構(gòu)注冊名稱5威脅信息類型根據(jù)金融行業(yè)面臨的威脅分類，可設(shè)置子類型，如病毒木馬、漏洞攻擊等6安全事件詳情宜參考GB/T3664310.2威脅信息綜合評定金融機(jī)構(gòu)可建立威脅信息質(zhì)量評價模型，綜合評定不同渠道網(wǎng)絡(luò)威脅信息的有效性，通過設(shè)置權(quán)重、優(yōu)先級等方式，提高威脅信息使用的精準(zhǔn)性。質(zhì)量評價模型可以根據(jù)威脅信息使用情況進(jìn)行建立，綜合判定參考因素見表2。由于不同的威脅信息共享方收集和共享的威脅信息可能存在特征差異，威脅信息質(zhì)量評價模型根據(jù)威脅特征的差異性進(jìn)行建立，避免錯誤模型影響威脅信息的有效使用。表2威脅信息綜合判定參考因素序號參考因素描述方式1信息所屬地區(qū)國家和地區(qū)編碼宜按照GB/T2659執(zhí)行中國地區(qū)的行政區(qū)劃代碼宜按照GB/T2260執(zhí)行2信息來源3首次發(fā)生時間采用國際標(biāo)準(zhǔn)時間，時間格式宜參考GB/T74084最后發(fā)生時間采用國際標(biāo)準(zhǔn)時間，時間格式宜參考GB/T74085時間段內(nèi)發(fā)生總次數(shù)6時間段內(nèi)涉及機(jī)構(gòu)總數(shù)—7威脅信息類型8威脅等級一般設(shè)置高、中、低三級9威脅命中情況威脅誤報情況一威脅傳遞時效性11威脅信息共享保障機(jī)制威脅信息共享參與方宜通過合同或協(xié)議等方式確認(rèn)威脅信息共享關(guān)系的建立，明確共享的目標(biāo)、目威脅信息共享參與方宜提供機(jī)構(gòu)接口人等聯(lián)絡(luò)方式，便于威脅信息使用方溝通確認(rèn)相關(guān)技術(shù)細(xì)節(jié)信息。威脅信息共享參與方宜監(jiān)控金融網(wǎng)絡(luò)安全威脅信息共享平臺和其他威脅共享參與方系統(tǒng)的網(wǎng)絡(luò)7GB/T42708—202312威脅信息共享安全管理威脅信息可支持應(yīng)用程序或人工訪問。威脅信息控制者在保護(hù)威脅信息時，宜建立訪問授權(quán)控制威脅信息共享時宜采用安全通道進(jìn)行傳輸。威脅信息存儲時宜采取有效的加密手段或其他安全措施進(jìn)行保護(hù)。威脅信息使用后宜根據(jù)需要及時進(jìn)行刪除或銷毀。8GB/T42708—2023(資料性)典型金融網(wǎng)絡(luò)安全威脅信息共享場景A.1網(wǎng)絡(luò)安全服務(wù)方的威脅信息共享網(wǎng)絡(luò)安全服務(wù)方發(fā)現(xiàn)特定的金融機(jī)構(gòu)面臨網(wǎng)絡(luò)安全威脅時，可直接與金融機(jī)構(gòu)進(jìn)行威脅信息共享，提升信息準(zhǔn)確性和共享效率；網(wǎng)絡(luò)安全服務(wù)方發(fā)現(xiàn)金融行業(yè)全局性威脅時，可與金融網(wǎng)絡(luò)安全威脅信息共享平臺進(jìn)行威脅信息共享。網(wǎng)絡(luò)安全服務(wù)方的威脅信息共享見圖A.1。金融機(jī)構(gòu)網(wǎng)絡(luò)安全服務(wù)方金融網(wǎng)絡(luò)安企威脅信息共享平臺圖A.1網(wǎng)絡(luò)安全服務(wù)方的威脅信息共享網(wǎng)絡(luò)安全服務(wù)方在開展威脅信息分析時，為防止數(shù)據(jù)遺漏導(dǎo)致威脅信息無法被利用，宜重點考慮威脅信息全面性，共享與特定金融機(jī)構(gòu)或金融行業(yè)相關(guān)聯(lián)的全量數(shù)據(jù)。由于過多的威脅信息共享可能帶來威脅處置上的困難和大量誤報等問題，網(wǎng)絡(luò)安全服務(wù)方宜持續(xù)關(guān)注并提升信息質(zhì)量。A.2基礎(chǔ)設(shè)施提供方的威脅信息共享金融機(jī)構(gòu)在使用運營商網(wǎng)絡(luò)(包括但不限于專線、移動蜂窩網(wǎng)絡(luò)、Wi-Fi、衛(wèi)星網(wǎng)絡(luò))、云計算服務(wù)商等基礎(chǔ)設(shè)施時，網(wǎng)絡(luò)安全性受基礎(chǔ)設(shè)施影響。相關(guān)基礎(chǔ)設(shè)施運營機(jī)構(gòu)可直接與金融機(jī)構(gòu)進(jìn)行威脅信息共享。由于基礎(chǔ)設(shè)施層面的網(wǎng)絡(luò)安全威脅波及范圍廣，直接影響金融機(jī)構(gòu)業(yè)務(wù)系統(tǒng)的運行和金融行業(yè)的安全穩(wěn)定，相關(guān)基礎(chǔ)設(shè)施運營機(jī)構(gòu)也可直接與金融網(wǎng)絡(luò)安全威脅信息共享平臺進(jìn)行威脅信息共享。基礎(chǔ)設(shè)施提供方的威脅信息共享見圖A.2。上礎(chǔ)設(shè)施提供方金融機(jī)構(gòu)1金融機(jī)構(gòu)N金融網(wǎng)絡(luò)安全威脅信息共亨平臺圖A.2基礎(chǔ)設(shè)施提供方的威脅信息共享9A.3不同金融機(jī)構(gòu)間的威脅信息共享由于金融機(jī)構(gòu)間存在業(yè)務(wù)系統(tǒng)的交互，金融機(jī)構(gòu)業(yè)務(wù)執(zhí)行過程中可能影響其他金融機(jī)構(gòu)的業(yè)務(wù)安全。金融機(jī)構(gòu)在發(fā)現(xiàn)自身存在相關(guān)威脅時，為防止威脅在金融網(wǎng)絡(luò)中的擴(kuò)散，將相關(guān)威脅信息共享給其他金融機(jī)構(gòu)，以便在安全風(fēng)險發(fā)生前對威脅進(jìn)行及時的識別并采取相應(yīng)的防御措施。不同金融機(jī)構(gòu)間的威脅信息共享見圖A.3。金融網(wǎng)絡(luò)安企威脅信息共享平臺金融機(jī)構(gòu)B金融網(wǎng)絡(luò)安全威脅信息共享平臺金融機(jī)構(gòu)N圖A.3不同金融機(jī)構(gòu)間的威脅信息共享不同金融機(jī)構(gòu)之間的威脅信息共享宜充分考慮下列內(nèi)容。a)威脅信息關(guān)聯(lián)性，即金融機(jī)構(gòu)A在開展業(yè)務(wù)過程中與金融機(jī)構(gòu)B的賬戶信息、業(yè)務(wù)系統(tǒng)等產(chǎn)生關(guān)聯(lián)，則威脅信息的影響也存在必要的聯(lián)系。b)業(yè)務(wù)共性，即不同金融機(jī)構(gòu)開展的同類業(yè)務(wù)可能遭遇到相似的攻擊，這些攻擊在時間、空間都具備相似的特性，金融機(jī)構(gòu)宜將與業(yè)務(wù)共性相關(guān)的威脅信息共享給行業(yè)平臺，由行業(yè)平臺進(jìn)行批量預(yù)警。A.4金融機(jī)構(gòu)業(yè)務(wù)合作方的威脅信息共享金融機(jī)構(gòu)通過API方式、SDK與其他機(jī)構(gòu)開展業(yè)務(wù)合作時，存在威脅信息共享需求。合作方的業(yè)務(wù)應(yīng)用系統(tǒng)遭到攻擊或發(fā)現(xiàn)異常行為時，如業(yè)務(wù)合作方的APP遭到攻擊、電子商務(wù)合作方發(fā)現(xiàn)購物異常、短信提供商發(fā)現(xiàn)短信發(fā)送頻率異常等情況時，宜及時將相關(guān)威脅信息共享給合