金融網絡安全威脅信息共享指南國家標準化管理委員會GB/T42708—2023前言 I引言 Ⅱ1范圍 l2規范性引用文件 3術語和定義 4縮略語 6威脅信息共享框架 7威脅信息共享原則 8威脅信息共享方式 9威脅信息共享流程 9.1威脅信息共享基本流程 9.2威脅信息分析 9.3威脅信息共享 9.4威脅信息使用 9.5威脅信息使用反饋 10威脅信息質量管理 10.1威脅信息組件格式 10.2威脅信息綜合評定 11威脅信息共享保障機制 12威脅信息共享安全管理 12.1訪問控制 712.2數據管理 712.3安全審計 12.4應急響應 7附錄A(資料性)典型金融網絡安全威脅信息共享場景 8A.1網絡安全服務方的威脅信息共享 8A.2基礎設施提供方的威脅信息共享 8A.3不同金融機構間的威脅信息共享 9A.4金融機構業務合作方的威脅信息共享 9參考文獻 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由全國金融標準化技術委員會(SAC/TC180)歸口。金融網絡安全威脅信息共享旨在采用技術手段實現網絡安全威脅信息的有效流動，通過建立威脅金融網絡安全威脅信息共享指南本文件適用于參與金融網絡安全威脅信息共享的金融機構和相關組織。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T2260中華人民共和國行政區劃代碼GB/T2659世界各國和地區名稱代碼GB32100法人和其他組織統一社會信用代碼編碼規則3術語和定義下列術語和定義適用于本文件。可能對系統或組織造成危害的不期望事件的潛在原由。一種基于證據的知識，用于描述現有的或可能出現的威脅，從而實現對威脅的響應和預防。有能力決定威脅信息處理目的、方式等的組織或個人。威脅信息控制者向其他控制者提供威脅信息，且雙方分別對威脅信息擁有獨立控制權的過程。4縮略語下列縮略語適用于本文件。API:應用程序接口(ApplicationProgrammingInterface)APP:應用軟件(Application)IP:網際互連協議(InternetProtocol)SDK:軟件開發工具包(SoftwareDevelopmentKit)5總則建立金融行業網絡安全威脅信息共享機制，基于共享價值對結構化網絡安全威脅數據進行分析，暢通網絡安全威脅信息的共享通道，制定威脅信息的數據標準。6威脅信息共享框架威脅信息共享的目標是為金融行業提供高質量、高時效的網絡安全威脅信息。通過建立健全多層次、跨機構的威脅信息共享機制，建立常態化、可信賴的威脅信息共享路徑，促進金融行業和其他行業的威脅信息深入合作。威脅信息共享參與者在遵循共享原則的前提下進行威脅信息傳遞。金融行業網絡安全威脅信息共享框架見圖1。金融行業威脅信息共享平臺金融行業威脅信息共享平臺金融機構國家/共他行業威脅信息平臺基礎設施提供方金融業務合作方服務機構圖1金融行業網絡安全威脅信息共享框架圖金融網絡安全威脅信息共享的主要參與者包括：a)金融網絡安全威脅信息共享平臺：按照金融行業需要搭建信息共享的基礎設施，為不同參與機構提供信息共享服務接口和溝通協調渠道；b)金融機構：金融網絡安全威脅信息共享的核心受益者，通過接收威脅信息提供方的威脅信息，提高自身的威脅研判和網絡安全能力，應對網絡安全風險；c)威脅信息提供方：收集、分析、提供網絡安全威脅信息的組織或個人，主要為網絡安全服務方(如安全服務公司、威脅信息共享社區、安全測試人員);國家或其他行業威脅信息平臺，金融機構、為金融機構提供基礎設施服務的機構、與金融機構存在業務合作的機構在發現金融網絡安全威脅信息時，也可作為威脅信息提供方。不同金融機構之間可以通過金融網絡安全威脅信息共享平臺共享威脅信息。威脅信息共享的內容主要包括威脅發生時間、威脅環境信息、影響范圍、影響對象、影響程度、安全事件信息等。27威脅信息共享原則威脅信息共享遵循以下原則：a)最小必要原則：僅共享滿足金融網絡安全威脅信息共享需要的最少信息，非必要信息不可共享；b)知情同意原則：金融機構在信息提供方知悉并同意的前提下開展主體信息、網絡資產信息、客戶信息等關鍵信息的再利用；c)信息追溯原則：共享過程中記錄共享方、使用方、共享時間、共享方式等信息，保障威脅信息共享活動可追溯；d)安全可控原則：威脅信息共享的參與者對威脅信息采取同等安全措施的保護，保障威脅信息在共享過程中安全可控。8威脅信息共享方式8.1根據共享的時效性不同，威脅信息共享方式可分為實時共享和批量共享。a)實時共享：共享參與者發現威脅信息時，采用自動化方式實時觸發共享。b)批量共享：共享參與者對相關的威脅信息進行批量存儲，定時或人工觸發共享。8.2根據共享的目標不同，威脅信息共享方式可分為定向共享和非定向共享。a)定向共享：威脅信息發送方能夠明確并指定威脅信息的最終接收方，通常在威脅信息與特定金融機構關聯時使用，以提高共享的精準性。b)非定向共享：威脅信息的發送方無法明確威脅信息的最終接收方或威脅涉及金融行業全局，因而將威脅信息發送至共享平臺，由共享平臺以廣播的方式通知金融機構。非定向共享的主要目標是提高信息共享的覆蓋面，提升機構間聯防聯控能力。8.3根據共享的參與機構不同，威脅信息共享方式可以分為中心共享模式和點對點共享模式。a)中心共享模式：以金融網絡安全威脅信息共享平臺為中心，用于存儲或交換來自信息共享成員或其他來源的信息。由成員提供的信息被中心直接轉發給其他成員，或由中心以某種方式處理后分發給指定的成員。b)點對點共享模式：成員彼此之間直接進行信息共享。成員各自負責利用、匯總、關聯、分析、驗證、處理、保護和交換信息，成員間交換的信息只能是成員獲取、分析和分發的有限數據。信息交換的安全性、速度和頻率等取決于相關成員的需求和能力。9威脅信息共享流程9.1威脅信息共享基本流程威脅信息共享基本流程基于最小共享模型提出，僅包含一個威脅信息發送方和一個威脅信息接收方。其中，威脅信息發送方即威脅信息提供方，威脅信息接收方即威脅信息使用方。威脅信息發送方發現威脅，對威脅信息進行分析，根據威脅信息的分析情況將威脅信息共享給威脅信息接收方。威脅信息接收方根據需要使用威脅信息，并對威脅信息的使用情況進行反饋。威脅信息共享流程見圖2。3威脅信息發送方威脅信息接收方1.威脅信息分析2.威脅信息共享3.威脅信息使用4.威脅信息使用反饋圖2威脅信息共享流程在金融行業的威脅信息共享中，可能經過信息多級傳輸，一個參與機構在一次共享中既作為信息發送方又作為信息接收方存在，參與機構根據其實際處理中的角色確定其具體工作。金融網絡安全威脅信息共享平臺主動發現威脅信息時，按照威脅信息發送方的要求進行分析和共享；金融網絡安全威脅信息共享平臺僅作為共享渠道轉發威脅信息時，可不進行威脅信息分析工作。典型的金融網絡安全威脅信息共享場景參見附錄A。9.2威脅信息分析威脅信息發送方執行威脅信息共享前，開展威脅信息的分析工作，具體內容如下：a)對威脅信息的原始數據進行處理，通過數據提取、去噪、歸類、轉換、加工等操作，將威化為結構化數據，便于威脅信息的分析；b)對威脅信息結構化數據和原始數據進行比較分析，保障威脅信息結構化數據能精準表達原始數據所蘊含的信息；c)分析威脅信息的共享價值，綜合評價威脅信息的來源、數量、威脅等級、威脅對象、時效性等方面，以確定威脅信息是否需要共享；d)威脅信息共享可能導致數據違規使用等風險，如威脅信息中涉及個人信息或其他具有安全隱患的內容，宜參照有關數據評估要求確認共享的可行性。9.3威脅信息共享威脅信息發送方根據威脅信息的分析情況確定共享方式，以提升威脅信息的時效性和可達性，并通過安全的技術手段保障威脅信息中的重要信息在共享、傳輸過程中的機密性和完整性。9.4威脅信息使用9.4.1接收方獲得威脅信息后，基于證據和邏輯對威脅信息進行分析、判斷，對未來情況及其可能性進a)初步評估：威脅信息使用方對所持有威脅信息進行初步評估，包括但不限于邏輯性、時效性和豐富性；b)交叉評估：當威脅信息使用方持有同一安全事件兩條或兩條以上威脅信息時，對所有威脅信息進行比對，評估多條威脅信息間的重復性和差異性；威脅信息提供方宜對存在沖突的威脅信息4做出解釋，便于威脅信息使用方自行評估采用威脅信息的風險；c)持續評估：持續對威脅信息的評估最終形成對威脅信息源的評估，包括但不限于威脅信息源多樣性、豐富性、及時性、差異性評估，其結果可形成指標并用于提升初步評估的效果。9.4.2在遵循威脅信息共享(見9.3)前提下，威脅信息接收方在其所屬環境研究、測試、應用威脅信a)旁路使用：在不影響真實業務環境條件下，通過利用模擬環境、歷史數據或流量鏡像等方式模擬使用威脅信息以觀測其作用，該階段用于觀測威脅信息的誤報率、可用性和對業務環境可能產生的影響，并通知上下游相關業務方，明確應對方案，包括但不限于撤回方案、回滾方案、備份方案等；b)邊緣使用：在真實業務環境中的某些邊緣業務內使用威脅信息，以觀測威脅信息對真實業務環境的影響，該階段進一步確認威脅信息在真實業務環境使用的可用性，并驗證和完善應對方案；c)正式使用：在真實業務環境中使用威脅信息，持續觀測威脅信息對真實業務的影響，并持續關注已使用威脅信息的參數變化，包括但不限于威脅信息是否已被撤回、威脅信息的時效性、威脅信息準確性及其他參數的變化。9.4.3威脅信息使用后，威脅信息使用方可將數據完整留存備查，包括但不限于原始線索、證據信息、9.5威脅信息使用反饋威脅信息接收方在使用威脅信息后，可對威脅信息的使用情況進行記錄并做出質量評價。威脅信息接收方宜將使用反饋信息及時提供給該威脅信息的發送方，威脅信息的發送方可根據使用反饋情況優化威脅信息的生產、采集、評估方法，從而提升威脅信息的共享質量。使用情況反饋可包括下列內容。a)信息相關性。判斷網絡安全威脅信息是否與信息接收方的信息系統運行環境相關，是否為信息接收方可能面臨的威脅或可能遭受的攻擊。b)信息準確性。判斷網絡安全信息是否準確、完整。不準確或不完整的網絡安全信息可能妨礙重要的行動，引起不必要或不適當的響應行動，或使信息接收方產生安全錯覺。c)信息時效性。判斷網絡安全威脅信息的獲取是否及時，以便給信息接收方提供充足的時間預測威脅并做出響應。時效性的定義與信息變化速度、攻擊速度、攻擊者能力、可能造成的影響等因素有關。d)信息具體性。判斷網絡安全威脅信息是否詳細描述網絡安全事件、網絡安全攻擊者等信息的細節，以便信息接收方清晰了解威脅對他們的影響。包含足夠信息和背景的網絡安全信息使信息接收者能夠制定應對方案和采取響應行動。10威脅信息質量管理10.1威脅信息組件格式威脅信息組件是威脅信息共享的元數據。金融行業宜建立統一的數據格式進行威脅信息組件描述，宜建立統一的威脅信息共享接口用于開展威脅信息共享，降低威脅信息共享接入成本，提升威脅信息共享效率。威脅信息共享接口主要字段參考表1。5表1威脅信息共享接口數據字段序號數據字段描述方式1威脅信息提供方威脅信息提供方標識和域名、IP等信息2威脅信息發生時間采用國際標準時間，時間格式宜參考GB/T74083受威脅機構代碼采用統一社會信用代碼，宜符合GB321004受威脅機構名稱采用統一社會信用代碼的機構注冊名稱5威脅信息類型根據金融行業面臨的威脅分類，可設置子類型，如病毒木馬、漏洞攻擊等6安全事件詳情宜參考GB/T3664310.2威脅信息綜合評定金融機構可建立威脅信息質量評價模型，綜合評定不同渠道網絡威脅信息的有效性，通過設置權重、優先級等方式，提高威脅信息使用的精準性。質量評價模型可以根據威脅信息使用情況進行建立，綜合判定參考因素見表2。由于不同的威脅信息共享方收集和共享的威脅信息可能存在特征差異，威脅信息質量評價模型根據威脅特征的差異性進行建立，避免錯誤模型影響威脅信息的有效使用。表2威脅信息綜合判定參考因素序號參考因素描述方式1信息所屬地區國家和地區編碼宜按照GB/T2659執行中國地區的行政區劃代碼宜按照GB/T2260執行2信息來源威脅信息的發送方標識，宜采用GB32100統一社會信用代碼和機構注冊名稱3首次發生時間采用國際標準時間，時間格式宜參考GB/T74084最后發生時間采用國際標準時間，時間格式宜參考GB/T74085時間段內發生總次數6時間段內涉及機構總數—7威脅信息類型—8威脅等級一般設置高、中、低三級9威脅命中情況威脅誤報情況—威脅傳遞時效性—11威脅信息共享保障機制威脅信息共享參與方宜通過合同或協議等方式確認威脅信息共享關系的建立，明確共享的目標、目的、范圍、參與方以及網絡安全相關的責任義務。威脅信息共享參與方宜提供機構接口人等聯絡方式，便于威脅信息使用方溝通確認相關技術細節信息。威脅信息共享參與方宜監控金融網絡安全威脅信息共享平臺和其他威脅共享參與方系統的網絡67連通性情況，及時處置網絡延遲、通信阻塞等異常以保障威脅信息傳輸的時效性。威脅信息共享參與方退出共享關系時，按照合同或協議約定完成相關義務，不私自泄露、出售在共享活動中獲取的網絡安全信息。12威脅信息共享安全管理12.1訪問控制威脅信息可支持應用程序或人工訪問。威脅信息控制者在保護威脅信息時，宜建立訪問授權控制機制，對訪問威脅信息的應用程序或人員進行身份驗證，合理控制訪問數據的時間范圍、內容和數量。威脅信息共享時宜采用安全通道進行傳輸。威脅信息存儲時宜采取有效的加密手段或其他安全措施進行保護。威脅信息使用后宜根據需要及時進行刪除或銷毀。威脅信息控制者宜建立威脅信息使用過程的安全審計能力，包括對威脅信息在采集、評估、共享、使用各流程的使用行為記錄，降低威脅信息共享風險。威脅信息控制者宜建立配套的應急響應機制，必要時及時切斷信息共享，應對威脅信息共享過程中面臨的突發事件。8GB/T42708—2023(資料性)典型金融網絡安全威脅信息共享場景A.1網絡安全服務方的威脅信息共享網絡安全服務方發現特定的金融機構面臨網絡安全威脅時，可直接與金融機構進行威脅信息共享，提升信息準確性和共享效率；網絡安全服務方發現金融行業全局性威脅時，可與金融網絡安全威脅信息共享平臺進行威脅信息共享。網絡安全服務方的威脅信息共享見圖A.1。金融機構網絡安全服務方金融網絡安全威脅信息共享平臺圖A.1網絡安全服務方的威脅信息共享網絡安全服務方在開展威脅信息分析時，為防止數據遺漏導致威脅信息無法被利用，宜重點考慮威脅信息全面性，共享與特定金融機構或金融行業相關聯的全量數據。由于過多的威脅信息共享可能帶來威脅處置上的困難和大量誤報等問題，網絡安全服務方宜持續關注并提升信息質量。A.2基礎設施提供方的威脅信息共享金融機構在使用運營商網絡(包括但不限于專線、移動蜂窩網絡、Wi-Fi、衛星網絡)、云計算服務商等基礎設施時，網絡安全性受基礎設施影響。相關基礎設施運營機構可直接與金融機構進行威脅信息共享。由于基礎設施層面的網絡安全威脅波及范圍廣，直接影響金融機構業務系統的運行和金融行業的安全穩定，相關基礎設施運營機構也可直接與金融網絡安全威脅信息共享平臺進行威脅信息共享。基礎設施提供方的威脅信息共享見圖A.2。金融機構1基礎設施提供方金融機構N金融網絡安全威脅信息共享平臺圖A.2基礎設施提供方的威脅信息共享9A.3不同金融機構間的威脅信息共享由于金融機構間存在業務系統的交互，金融機構業務執行過程中可能影響其他金融機構的業務安全。金融機構在發現自身存在相關威脅時，為防止威脅在金融網絡中的擴散，將相關威脅信息共享給其他金融機構，以便在安全風險發生前對威脅進行及時的識別并采取相應的防御措施。不同金融機構間的威脅信息共享見圖A.3。金融網絡安全威脅信息共享平臺金融網絡安全威脅信息共享平臺金融機構B金融網絡安全威脅信息共享平臺金融機構N金融機構A金融機構A圖A.3不同金融機構間的威脅信息共享不同金融機構之間的威脅信息共享宜充分考慮下列內容。a)威脅信息關聯性，即金融機構A在開展業務過程中與金融機構B的賬戶信息、業務系統等產生關聯，則威脅信息的影響也存在必要的聯系。b)業務共性，即不同金融機構開展的同類業務可能遭遇到相似的攻擊，這些攻擊在時間、空間都具備相似的特性，金融機構宜將與業務共性相關的威脅信息共享給行業平臺，由行業平臺進行批量預警。A.4金融機構業務合作方的威脅信息共享金融機構通過API方式、SDK與其他機構開展業務合作時，存在威脅信息共享需求。合作方的業務應用系統遭到攻擊或發現異常行為時，如業務合作方的APP遭到攻擊、電子商務合作方發現購物異常、短信提供商發現短信發送頻率異常等情況時，宜及時將相關威脅信息共享給合作的金融機構。金融機構業務合作方