G-Z 42885-2023信息安全技術(shù) 網(wǎng)絡(luò)安全信息共享指南

2信息公開信息交換信息公開信息交換5共享活動要素共享活動是網(wǎng)絡(luò)安全信息共享過程的一系列任務(wù)的集合，其目的是使參與共享活動的組織或個人，生成或獲得在網(wǎng)絡(luò)安全防護(hù)和威脅應(yīng)對時的必要信息。共享活動要素一般包括共享場景、共享參與角色、共享模式、網(wǎng)絡(luò)安全信息等。共享活動要素示意圖如圖1所示。共享場景共享場景共亨模式網(wǎng)絡(luò)安全信息信息提供者信息管理者信息使用者公信息報送或下發(fā)移安全事件應(yīng)對措施信息共字參與角色脆弱性信息威脅信息態(tài)勢信息經(jīng)驗(yàn)信息參與圖1共享活動要素示意圖典型的共享活動示例詳見附錄A。5.2共享場景組織或個人參與共享活動的共享場景，一般可分為以下三類：a)信息公開：通過信息共享平臺或相關(guān)技術(shù)手段提供開放信息資源的在線檢索、瀏覽、下載及調(diào)用等服務(wù)；b)信息報送或下發(fā)：一般由多層級的共享活動參與者完成，由下級參與者與上級參與者完成網(wǎng)絡(luò)安全信息的共享；c)信息交換：共享活動參與者之間通過建立合作關(guān)系開展信息共享。信息共享過程中，共享活動參與者之間是平等的關(guān)系。5.3共享參與角色按照共享活動參與者在共享活動中承擔(dān)的內(nèi)容，共享參與角色劃分為信息提供者、信息管理者、信息使用者等。a)信息提供者：提供網(wǎng)絡(luò)安全共享活動中信息的組織或個人，信息提供者一般由信息管理者邀請或授權(quán)同意加入共享活動中，自行發(fā)布或?qū)⑿畔⑻峤恢列畔⒐芾碚呓y(tǒng)一發(fā)布網(wǎng)絡(luò)安全信息；b)信息管理者：收集和管理信息提供者提供的網(wǎng)絡(luò)安全信息、監(jiān)督和調(diào)整共享活動的組織或個人，信息管理者一般在共享活動中明確共享場景、模式、共享范圍，確認(rèn)共享活動的其他參與者，制定共享策略和規(guī)程，必要時引入第三方信息監(jiān)管者對共享活動進(jìn)行監(jiān)督；3c)信息使用者：遵循共享原則和相關(guān)策略規(guī)程，根據(jù)自身需要使用網(wǎng)絡(luò)安全信息的組織或個人。5.4共享模式根據(jù)共享需求、共享場景和共享活動參與者性質(zhì)的不同，共享模式可分為中心共享模式、點(diǎn)對點(diǎn)共享模式、混合共享模式和群共享模式四種。a)中心共享模式：具有一個共享中心，一般為信息管理者自身或其委托的組織或個人，由共享中心向兩個以上節(jié)點(diǎn)收集或發(fā)布共享信息；b)點(diǎn)對點(diǎn)共享模式：兩個具有平行關(guān)系的節(jié)點(diǎn)間傳遞信息的形式，共享活動參與者各自負(fù)責(zé)本節(jié)c)混合共享模式：同時存在中心共享模式和點(diǎn)對點(diǎn)共享模式；d)群共享模式：同一共享活動中的每個節(jié)點(diǎn)均可向其他所有節(jié)點(diǎn)共享(廣播)信息。典型的網(wǎng)絡(luò)安全信息共享模式示例，詳見附錄B。5.5網(wǎng)絡(luò)安全信息網(wǎng)絡(luò)安全信息主要考慮攻擊源和目標(biāo)對象兩個方面的因素，涵蓋網(wǎng)絡(luò)安全事件生命周期中涉及的與網(wǎng)絡(luò)安全相關(guān)的威脅、脆弱性、防御和響應(yīng)措施等信息。網(wǎng)絡(luò)安全信息通常可分為以下幾類：a)威脅信息：描述已知現(xiàn)有或可能出現(xiàn)的威脅的信息，主要為了實(shí)現(xiàn)對威脅的響應(yīng)和預(yù)防，通常包括攻擊方法信息、威脅主體信息等；b)安全事件信息：描述由于自然或者認(rèn)為以及軟硬件本身缺陷或故障，已經(jīng)對信息系統(tǒng)造成危害的信息，通常包括有害程序事件、網(wǎng)絡(luò)攻擊事件(包括攻擊IP五元組信息)、信息破壞事件、信息內(nèi)容安全事件、災(zāi)害性事件等。關(guān)于安全事件信息相關(guān)描述的信息見GB/Z20986—2007;c)脆弱性信息：描述可能被威脅利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)的信息，通常包括漏洞信息、配置弱點(diǎn)等；d)應(yīng)對措施信息：描述網(wǎng)絡(luò)安全防護(hù)措施及網(wǎng)絡(luò)安全事件和響應(yīng)處置措施的信息；e)經(jīng)驗(yàn)信息：描述在網(wǎng)絡(luò)安全防護(hù)和網(wǎng)絡(luò)安全事件響應(yīng)等方面積累的成功經(jīng)驗(yàn)和失敗教訓(xùn)的信息；f)態(tài)勢信息：描述通過分析研判獲取的關(guān)于國內(nèi)外網(wǎng)絡(luò)安全態(tài)勢或動態(tài)的信息，包括通過安全監(jiān)測、統(tǒng)計分析得到的國內(nèi)外網(wǎng)絡(luò)安全態(tài)勢報告，以及通過搜集整理、提煉加工的國內(nèi)外網(wǎng)絡(luò)安全新聞動態(tài)等原始數(shù)據(jù)等信息；g)其他信息：除以上各類之外的其他與網(wǎng)絡(luò)安全相關(guān)的信息，如與國內(nèi)外網(wǎng)絡(luò)安全法律法規(guī)、政策標(biāo)準(zhǔn)等信息、網(wǎng)絡(luò)安全涉及的實(shí)體信息等。網(wǎng)絡(luò)安全信息可根據(jù)共享活動的目的和需要，在以上7個類別下進(jìn)一步劃分子類，確保在特定共享活動中，網(wǎng)絡(luò)安全信息描述的一致性，提升共享活動的效率和互操作性。6基本原則6.1安全性原則性、完整性、可用性、不可否認(rèn)性。遵循保護(hù)敏感個人信息、商業(yè)秘密和重要數(shù)據(jù)的相關(guān)規(guī)定。6.2可控性原則確保網(wǎng)絡(luò)安全信息內(nèi)容及來源的真實(shí)性、準(zhǔn)確性。共享活動參與者共同享有網(wǎng)絡(luò)安全信息，信息提供者提供網(wǎng)絡(luò)安全信息時，明示使用目的、方式、范圍，保證信息被授權(quán)同意使用，對網(wǎng)絡(luò)安全信息共享過程中因信息錯誤、造假或超范圍傳播等情況造成的損害承擔(dān)責(zé)任。46.3合規(guī)性原則準(zhǔn)的規(guī)定及共享活動中制定的協(xié)議和規(guī)程。網(wǎng)絡(luò)安全信息中涉及網(wǎng)絡(luò)產(chǎn)品安全漏洞信息發(fā)布和共享行為的管理要求見《網(wǎng)絡(luò)產(chǎn)品安全漏洞管7共享范圍共享范圍是共享活動中網(wǎng)絡(luò)安全信息可被知悉的范圍。共享范圍通?？煞譃橥耆蚕怼?nèi)部共享、部分共享三種類別：a)完全共享：信息可不受限制的共享；b)內(nèi)部共享：信息在特定共享活動中的所有參與者間共享；c)部分共享：信息在特定共享活動中的部分或指定參與者間共享。8共享活動過程8.1概述共享活動過程包括三個基本階段：共享活動準(zhǔn)備、共享活動實(shí)施、共享活動終止。每一階段有一組確定的工作任務(wù)。8.2共享活動準(zhǔn)備共享活動準(zhǔn)備階段包括明確共享場景、評估網(wǎng)絡(luò)安全防護(hù)能力、識別共享參與角色、確定共享范圍和網(wǎng)絡(luò)安全信息類別、選擇共享模式、制定共享策略和規(guī)程六項主要任務(wù)，共享活動準(zhǔn)備階段基本工作流程見圖2。共享活動準(zhǔn)備明確共亨場景評估網(wǎng)絡(luò)安全防護(hù)能力識別共亨參與角色確定共亨范圍和網(wǎng)絡(luò)安全信息類別選擇共享模式制定共字策略和規(guī)程圖2共享活動準(zhǔn)備階段基本工作流程58.2.2明確共享場景具有共享需求的組織或個人通過分析網(wǎng)絡(luò)安全信息共享的需求和目的，尋找具有共同需求和目的的其他共享活動參與者，確定所處的共享場景，保證參與的范圍與參與者自身的資源、能力及目標(biāo)相匹配。8.2.3評估網(wǎng)絡(luò)安全防護(hù)能力在參與共享活動前，共享活動參與者建立健全網(wǎng)絡(luò)安全管理制度，對自身的網(wǎng)絡(luò)安全防護(hù)能力開展自評估，或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全檢測評估，及時整改發(fā)現(xiàn)的問題，確保具備網(wǎng)絡(luò)防御能力和對網(wǎng)絡(luò)安全信息的保護(hù)能力，同時確保實(shí)施共享活動不會對自身網(wǎng)絡(luò)安全造成影響。8.2.4識別共享參與角色發(fā)起或組織共享活動的組織或個人可自行擔(dān)任或委托其他組織或個人擔(dān)任共享活動的信息管理者，信息管理者負(fù)責(zé)共享活動中所有環(huán)節(jié)的規(guī)則確定、管理和監(jiān)督。由信息管理者確認(rèn)參與信息共享的其他組織或個人，并明確參與者在共享活動中承擔(dān)的角色和職責(zé)。在不同的共享模式下，存在一個組織或個人擔(dān)任一種或多種角色的情況。8.2.5確定共享范圍和網(wǎng)絡(luò)安全信息類別信息管理者與其他共享參與角色共同協(xié)商，確定共享范圍和網(wǎng)絡(luò)安全信息類別。a)依據(jù)第7章確定共享范圍，判斷哪些信息在哪些情況下可進(jìn)行共享，以及信息可共享給哪些參與者。b)網(wǎng)絡(luò)安全信息可采用5.5中的信息類別，也可考慮自定義網(wǎng)絡(luò)安全信息分類方法，自定義可考慮以下因素：1)任一網(wǎng)絡(luò)安全信息都有所屬類別，無一遺漏；2)避免各類別之間重疊；3)根據(jù)實(shí)際情況擴(kuò)展網(wǎng)絡(luò)安全信息的類別，或在已有網(wǎng)絡(luò)安全信息類別下再次分類；4)有利于實(shí)現(xiàn)跨組織、跨行業(yè)、跨部門的信息共享。8.2.6選擇共享模式信息管理者對共享活動參與者的特點(diǎn)、可信程度、能力水平和背景進(jìn)行評估后，可通過考慮以下因素自主選擇合適的共享模式。a)若指定某一相關(guān)方作為中心節(jié)點(diǎn)：1)其他參與者均只與中心節(jié)點(diǎn)進(jìn)行信息共享，選擇中心共享模式；2)其他參與者間也可進(jìn)行信息共享，選擇混合共享模式。b)若未指定某一相關(guān)方作為中心節(jié)點(diǎn)：1)參與者間兩兩共享信息，選擇點(diǎn)對點(diǎn)共享模式；2)每個參與者均可同時向其他所有參與者共享信息，選擇群共享模式。8.2.7制定共享策略和規(guī)程信息管理者組織參與者制定共享活動實(shí)施過程中的相關(guān)策略和規(guī)程，通常包括下列各項內(nèi)容。a)建立網(wǎng)絡(luò)安全信息的訪問控制策略，指定專門人員負(fù)責(zé)網(wǎng)絡(luò)安全信息共享活動，確保共享機(jī)制的安全性。b)建立保障持續(xù)信息共享的規(guī)則，包括規(guī)定網(wǎng)絡(luò)安全信息的分發(fā)頻率、信息共享方式等。6c)制定網(wǎng)絡(luò)安全信息的標(biāo)記方法，標(biāo)記后的信息用于通信、存儲或展示。標(biāo)記涵蓋信息的敏感程d)建立敏感信息保護(hù)機(jī)制。信息提供者直接發(fā)布或?qū)⒕W(wǎng)絡(luò)安全信息提交給信息管理者進(jìn)行發(fā)布前，采用數(shù)據(jù)脫敏技術(shù)對網(wǎng)絡(luò)安全信息中的敏感字段進(jìn)行脫敏處理，確保僅包含描述網(wǎng)絡(luò)安全信息所必需的信息。常見的數(shù)據(jù)脫敏方法包括混淆、替換、置空、加密等。網(wǎng)絡(luò)安全信息的脫敏處理包括個人信息脫敏和由于共享范圍變更對信息脫敏。1)個人信息脫敏主要用于網(wǎng)絡(luò)安全信息共享過程中的個人信息保護(hù)。信息共享前將個人信息與非個人信息進(jìn)行有效的區(qū)分，采用個人信息去標(biāo)識化技術(shù)和模型對個人信息進(jìn)行脫敏和保護(hù)，根據(jù)信息的預(yù)期用途、敏感性和預(yù)期共享目標(biāo)等，確定脫敏程度和效果，采取去標(biāo)識化、加密等相應(yīng)技術(shù)進(jìn)行處理。GB/T35273—2020給出了個人信息處理活動的原則和安全要求，GB/T37964—2019給出了個人信息常用去標(biāo)識化技術(shù)；2)由于共享范圍變更對信息脫敏主要是在共享范圍變化時，對不適宜在共享范圍變更后共享的敏感信息進(jìn)行脫敏。e)信息管理者制定信息審查和跟蹤規(guī)程，建立共享活動評價、監(jiān)管和問責(zé)等機(jī)制，保證共享活動絡(luò)安全信息。f)信息管理者制定激勵措施，提高參與者參與共享活動的積極性和主動性。8.3共享活動實(shí)施8.3.1基本工作流程共享活動實(shí)施階段的主要任務(wù)包括建立網(wǎng)絡(luò)安全信息清單、保護(hù)網(wǎng)絡(luò)安全信息、監(jiān)督和評價、持續(xù)共享、使用網(wǎng)絡(luò)安全信息、調(diào)整共享活動和退出共享活動。共享活動實(shí)施階段基本工作流程見圖3。共享活動實(shí)施共享活動實(shí)施建立網(wǎng)絡(luò)安全信息清單保護(hù)網(wǎng)絡(luò)安全信息持續(xù)共享監(jiān)督和評價調(diào)整共享活動使用網(wǎng)絡(luò)安全信息退出共亨活動圖3共享活動實(shí)施階段基本工作流程8.3.2建立網(wǎng)絡(luò)安全信息清單通常包括以下工作。a)信息提供者參考附錄C中網(wǎng)絡(luò)安全信息描述對掌握的網(wǎng)絡(luò)安全信息內(nèi)容進(jìn)行提取、分析和總結(jié)，形成網(wǎng)絡(luò)安全信息，標(biāo)記信息后直接發(fā)布或提交給信息管理者。信息提供者建立的網(wǎng)絡(luò)安全信息清單至少包括信息類別、共享范圍、信息詳情、信息生成時間和提交時間等內(nèi)容。7b)信息管理者負(fù)責(zé)信息在收集、存儲、加工、傳輸、提供、公開、刪除等階段的管理，定期更新信息，保證其真實(shí)、完整、準(zhǔn)確和可使用。信息管理者建立的網(wǎng)絡(luò)安全信息清單至少包括信息來c)信息使用者從共享活動中獲得所需的網(wǎng)絡(luò)安全信息。信息使用者建立的網(wǎng)絡(luò)安全信息清單至少包括信息來源、信息類別、共享范圍、信息詳情、信息獲得時間、信息使用反饋和接收情況等內(nèi)容。8.3.3保護(hù)網(wǎng)絡(luò)安全信息工作。a)根據(jù)網(wǎng)絡(luò)安全信息類別和共享范圍標(biāo)記、存儲和保護(hù)網(wǎng)絡(luò)安全信息，采用適當(dāng)?shù)膫浞莶呗院桶踩刂剖侄芜M(jìn)行數(shù)據(jù)保護(hù)。安全控制手段如數(shù)據(jù)加密存儲、訪問數(shù)據(jù)時采用雙因子認(rèn)證、定期進(jìn)行數(shù)據(jù)審計、入侵檢測等；備份策略可基于網(wǎng)絡(luò)安全信息的不同類別不同共享范圍采取熱冗b)網(wǎng)絡(luò)安全信息共享過程中采用校驗(yàn)、密碼等技術(shù)保障信息傳輸?shù)陌踩浴)共享活動參與者掌握的內(nèi)部共享信息和部分共享信息需要限定在最小知悉范圍內(nèi)。信息管理者(或第三方監(jiān)督或仲裁機(jī)構(gòu))根據(jù)共享活動監(jiān)督機(jī)制，對積極參與和配合的參與者進(jìn)行激勵或獎勵；對違反共享活動原則及規(guī)程的行為采取警告、限制操作等措施。信息管理者(或第三方監(jiān)督或仲裁機(jī)構(gòu))根據(jù)共享活動評價機(jī)制，對參與者的參與度、網(wǎng)絡(luò)安全信息的質(zhì)量等進(jìn)行評價，以定期會議或電子郵件等方式告知共享活動參與者。8.3.5使用網(wǎng)絡(luò)安全信息信息使用者在共享活動中獲得網(wǎng)絡(luò)安全信息后，通過評估信息來源、時效等因素，或采用技術(shù)手段驗(yàn)證信息真實(shí)性和準(zhǔn)確性，整合信息及分析當(dāng)前網(wǎng)絡(luò)狀態(tài)后，部署安全防護(hù)措施或糾正當(dāng)前安全防護(hù)措施，以延遲、防范網(wǎng)絡(luò)安全事件的發(fā)生，或彌補(bǔ)網(wǎng)絡(luò)安全事件造成的損失。信息使用者在使用共享的網(wǎng)絡(luò)安全信息實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)目標(biāo)后，對網(wǎng)絡(luò)安全信息的時效性、準(zhǔn)確性、有效性等方面作出評價，并將存在的問題反饋給信息管理者，由信息管理者評估和整改。持續(xù)共享過程中需注意以下因素。a)根據(jù)網(wǎng)絡(luò)安全信息的特性、頻率和時效性，可考慮采用電子郵件、會議、專門網(wǎng)站或平臺等多種方式進(jìn)行共享，共享過程中采用的信息交換技術(shù)可參考附錄D實(shí)現(xiàn)。在信息量較大時，信息提供者或信息管理者可提交或發(fā)布概要信息來減少信息交互頻率。b)共享活動中的所有參與者共同遵守共享策略和規(guī)程，信息管理者定期跟蹤信息源和信息提供者提交信息的質(zhì)量和頻率，信息提供者按照約定的頻率提供網(wǎng)絡(luò)安全信息，并保證網(wǎng)絡(luò)安全信息的真實(shí)性和準(zhǔn)確性，信息使用者在網(wǎng)絡(luò)安全防護(hù)過程中主動使用網(wǎng)絡(luò)安全信息。c)共享活動參與者通過定期培訓(xùn)或引進(jìn)技術(shù)人才提高網(wǎng)絡(luò)安全信息共享團(tuán)隊的技術(shù)能力，通過定期組織自評價，評價內(nèi)部網(wǎng)絡(luò)安全信息共享團(tuán)隊的技術(shù)水平及共享工作效率。d)共享活動參與者通過獲得的網(wǎng)絡(luò)安全信息持續(xù)提升網(wǎng)絡(luò)安全防護(hù)水平，確保具備網(wǎng)絡(luò)防御能力和對網(wǎng)絡(luò)安全信息的保護(hù)能力。88.3.7調(diào)整共享活動當(dāng)共享活動參與者出現(xiàn)共享目的和需求變化，或信息量和共享頻率無法達(dá)到預(yù)期值時，信息管理者組織各參與者重新評估，并及時調(diào)整網(wǎng)絡(luò)安全信息共享的目標(biāo)、范圍和共享模式，保證共享活動的高質(zhì)量。8.3.8退出共享活動除信息管理者外，其他共享活動參與者無法在共享活動中實(shí)現(xiàn)共享目的和需求時，可退出共享活動，或者信息管理者對其他參與者進(jìn)行審核評估時，發(fā)現(xiàn)有出售和泄露網(wǎng)絡(luò)安全信息等違約行為，責(zé)令其退出。退出共享活動通常包括以下工作：a)信息使用者退出共享活動時，告知其他共享活動參與者，信息提供者及信息管理者停止向該參與者提供網(wǎng)絡(luò)安全信息；b)信息管理者跟蹤和評估共享活動參與者退出期間對網(wǎng)絡(luò)安全信息的訪問和復(fù)制等操作，以防止該參與者未經(jīng)授權(quán)私自外泄共享活動產(chǎn)生的敏感數(shù)據(jù)等。8.4共享活動終止發(fā)起或組織共享活動的組織或個人因共享需求改變主動終止信息共享活動，并告知相關(guān)共享活動參與者，以簽署保密協(xié)議、協(xié)商數(shù)據(jù)銷毀機(jī)制等方式，確保參與者對其掌握的內(nèi)部共享信息和部分共享信息進(jìn)行保護(hù)。9(資料性)網(wǎng)絡(luò)安全信息共享活動示例網(wǎng)絡(luò)安全信息共享活動示例見表A.1。表A.1網(wǎng)絡(luò)安全信息共享活動示例場景示例共享場景共享模式信息提供者信息管理者信息使用者網(wǎng)絡(luò)安全信息類別共享范圍網(wǎng)絡(luò)安全論壇上的信息分享信息公開中心/混合共享網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、科研機(jī)員、網(wǎng)絡(luò)安全愛好者論壇運(yùn)營機(jī)構(gòu)想了解和查閱網(wǎng)絡(luò)安全信息資源的組織或個人已公開風(fēng)險信息、漏洞信息、應(yīng)對措施信息、經(jīng)驗(yàn)信息等完全共享主管/監(jiān)管部門組織的網(wǎng)絡(luò)安全信息報送信息報送或下發(fā)中心共享網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、科研機(jī)構(gòu)、行業(yè)主管部門等由主管/監(jiān)管部門發(fā)起，授權(quán)平臺運(yùn)營機(jī)構(gòu)負(fù)責(zé)管理主管/監(jiān)管部門認(rèn)為有必要接收相關(guān)信息的組織或個人依主管/監(jiān)管部門要求提供其所需的所有類別信息內(nèi)部共享、部分共享業(yè)務(wù)合作伙伴間的安全提醒和共同維護(hù)信息交換點(diǎn)對點(diǎn)共享方/多方方/多方方/多方已公開或通過某些的，可能對合作伙伴間網(wǎng)絡(luò)安全造成危害的所需的所有類別信息內(nèi)部共享、部分共享集團(tuán)內(nèi)部建立的網(wǎng)絡(luò)安全信息分享微信群聊信息交換群共享掌握網(wǎng)絡(luò)安全信息的群成員掌握網(wǎng)絡(luò)安全信息的群成員所有群成員完全共享、內(nèi)部共享(資料性)網(wǎng)絡(luò)安全信息共享模式示例B.1中心共享模式中心共享模式信息交互形式如圖B.1所示。中心節(jié)點(diǎn)其他參與者—信息傳遞方向圖B.1中心共享模式基于中心共享模式的共享活動通常需要建立正式的信息共享協(xié)議，規(guī)定信息共享內(nèi)容、共享活動參與者范圍、是否允許注明來源、以及允許的詳細(xì)程度等。共享中心擁有各信息提供者傳遞來的全量信息，在對信息進(jìn)行提煉、處理和分發(fā)過程中需按照信息共享協(xié)議進(jìn)行操作，并根據(jù)需要為信息使用者提供抽象的、有針對性的摘要信息。對于信息共享的權(quán)限控制要求更為精細(xì)的情況，可根據(jù)需要設(shè)立多級共享中心。不同的共享中心各自對其收集到的信息進(jìn)行管理與維護(hù)，同時信息共享中心需根據(jù)自身所處層級的不同，以從低到高的順序逐級將信息傳遞至高級別共享中心進(jìn)行統(tǒng)一分發(fā)管理，從而實(shí)現(xiàn)信息的逐級匯總與分發(fā)。中心共享模式的優(yōu)勢主要取決于中心提供的服務(wù)。有些中心可能只以中間人的身份進(jìn)行信息傳遞，另一些中心可能會執(zhí)行附加的處理來豐富信息。中心共享模式的潛在缺點(diǎn)是共享活動的有效開展完全依賴于中心的基礎(chǔ)設(shè)施，使其容易受到系統(tǒng)故障、延遲或損壞等影響。當(dāng)中心不能正常工作或性能下降時，所有信息共享參與角色都會受到影響。此外，中心作為網(wǎng)絡(luò)安全信息的存儲點(diǎn)，容易成為攻擊B.2點(diǎn)對點(diǎn)共享模式點(diǎn)對點(diǎn)共享模式信息的交互形式如圖B.2所示。)共享活動參與者4—信息傳遞方向圖B.2點(diǎn)對點(diǎn)共享模式在點(diǎn)對點(diǎn)共享模式中，同一共享活動中的參與者之間自愿直接建立對等信任關(guān)系，并進(jìn)行信息共享。共享可以是雙向的，也可以是單向的。共享活動參與者彼此信任的基礎(chǔ)是擁有共同目標(biāo)，尊重規(guī)定的共享規(guī)則，并愿意參與互惠共享。點(diǎn)對點(diǎn)共享模式的優(yōu)勢在于共享活動參與者彼此直接共享，信息使用者可直接從源頭獲得信息，便于信息的迅速分享與使用；同時，信息可通過多種渠道獲得，且沒有成為潛在單點(diǎn)攻擊故障點(diǎn)或高價值攻擊目標(biāo)的中心，使架構(gòu)表現(xiàn)出更大的健壯性。但此模式下架構(gòu)實(shí)現(xiàn)不采用統(tǒng)一的標(biāo)準(zhǔn)方法，共享活動參與者有必要支持多種數(shù)據(jù)格式和協(xié)議，難以實(shí)現(xiàn)快速的擴(kuò)展，隨著共享活動參與者數(shù)量的增加，管理眾多連接、數(shù)據(jù)和信任關(guān)系的成本將以指數(shù)方式增加，不利于整體的維護(hù)與管理。B.3混合共享模式混合共享模式有多種表現(xiàn)形式，圖B.3為其中一種混合共享模式的信息交互形式。在混合共享模式中，信息越接近于信息共享中心，信息共享范圍越小。信息提供者可將共享范圍較大的信息以點(diǎn)對點(diǎn)形式與其他共享活動參與者進(jìn)行傳遞，當(dāng)需要發(fā)送共享范圍較小的信息時，則采用中心共享的方式將信息統(tǒng)一傳遞至信息共享中心，并由中心對接收到的信息進(jìn)行統(tǒng)一地收集、整合、分析與分發(fā)。中心節(jié)點(diǎn)其他參與省—信息傳遞方向圖B.3混合共享模式在混合共享模式下，共享活動參與者通過采用不同共享模式可最大限度地實(shí)現(xiàn)信息的快速分享與使用。因混合共享模式相較于單一模式更為復(fù)雜，其實(shí)現(xiàn)的成本會有所增加。同時對于共享活動參與者而言，在進(jìn)行信息共享時也會相應(yīng)增加實(shí)施與操作的復(fù)雜程度。B.4群共享模式群共享模式信息的交互形式如圖B.4所示。○○共享活動參與者4—信息傳遞方向圖B.4群共享模式在群共享模式中，所有共享活動參與者之間基于對等信任的關(guān)系，需要事先建立統(tǒng)一的信息共享協(xié)議，規(guī)定信息共享的內(nèi)容形式以及允許的詳細(xì)程度。信息提供者向其他所有共享活動參與者發(fā)布共享信息。共享活動參與者彼此信任的基礎(chǔ)是擁有共同目標(biāo)，尊重規(guī)定的共享規(guī)則，并愿意參與互惠共享。群共享模式的優(yōu)勢是每個共享活動參與者均可快速靈活地參與共享活動，快速分享信息和使用信息，且實(shí)現(xiàn)成本較混合共享模式大為減少。但由于缺少了共享中心對共享信息的統(tǒng)一管理維護(hù)，信息共享的可靠性與保密性會大大降低，需要限制共享信息的內(nèi)容敏感級別以及對共享參與者設(shè)置準(zhǔn)入條件。(資料性)網(wǎng)絡(luò)安全信息描述C.1威脅信息描述GB/T36643—2018的6.2～6.9給出了關(guān)于網(wǎng)絡(luò)安全威脅信息組件描述的相關(guān)要求。C.2安全事件信息描述安全事件信息描述如表C.1所示。表C.1事件信息描述編號內(nèi)容字段1事件名稱字段2起始時間字段3攻擊者及意圖字段4目標(biāo)對象字段5現(xiàn)象描述字段6攻擊原理字段7影響范圍字段8應(yīng)對措施字段9其他描述C.3脆弱性信息描述脆弱性信息描述如表C.2所示。表C.2脆弱性信息描述編號內(nèi)容字段1名稱字段2發(fā)布時間字段3發(fā)布單位字段4類別字段5等級字段6影響系統(tǒng)字段7利用方法字段8解決方案建議字段9其他描述C.4應(yīng)對措施信息描述應(yīng)對措施信息描述如表C.3所示。表C.3應(yīng)對措施信息描述編號內(nèi)容字段1措施名稱字段2所屬子類(防御/響應(yīng))字段3單位名稱字段4實(shí)施對象字段5措施目的字段6具體描述C.5經(jīng)驗(yàn)信息描述經(jīng)驗(yàn)信息描述如表C.4所示。表C.4經(jīng)驗(yàn)信息描述編號內(nèi)容字段1經(jīng)驗(yàn)信息名稱字段2單位名稱字段3具體描述字段4風(fēng)險等級字段5應(yīng)對措施C.6態(tài)勢信息描述態(tài)勢信息描述如表C.5所示。表C.5態(tài)勢信息描述編號內(nèi)容字段1態(tài)勢信息類型字段2態(tài)勢信息名稱字段3上報單位名稱字段4態(tài)勢信息來源字段5態(tài)勢信息具體描述GB/Z42885—2023(資料性)共享活動中的信息交換技術(shù)概述D.1網(wǎng)絡(luò)安全信息交換模型D.1.1概述網(wǎng)絡(luò)安全信息的交換有“客戶端-服務(wù)端”、P2P等工作方式。本節(jié)描述的是“客戶端-服務(wù)端”方式下的信息交換技術(shù)。在該方式中，信息服務(wù)器的核心功能是提供“信息集”服務(wù)，客戶端通過訪問服務(wù)的不同接口實(shí)現(xiàn)注冊、認(rèn)證和網(wǎng)絡(luò)安全信息數(shù)據(jù)的上傳和拉取查詢。服務(wù)器可接收上傳的信息，存儲、管理網(wǎng)絡(luò)安全信息，并接受網(wǎng)絡(luò)安全信息查詢?？蛻舳耸蔷W(wǎng)絡(luò)安全信息的提供者或使用者。信息交換訪問方式如圖D.1所示。接口接口注冊與認(rèn)證服務(wù)發(fā)現(xiàn)信息集服務(wù)器數(shù)據(jù)交換服務(wù)根狀態(tài)查詢狀態(tài)信息服務(wù)根注冊與認(rèn)證服務(wù)信息客戶端接門接口接口信息集在中心共享模式下，共享中心具有服務(wù)器功能，非中心共享活動相關(guān)方具有客戶端功能；在點(diǎn)對點(diǎn)共享模式下，共享活動參與者均具有服務(wù)器與客戶端功能。而群共享模式可采用P2P方式。D.1.2服務(wù)器D.1.2.1服務(wù)器功能角度可理解為不同的服務(wù)接口實(shí)例的根URL。一個服務(wù)器實(shí)例可支持一個或多個“服務(wù)根”,同時支持一個“注冊與認(rèn)證”服務(wù)和一個“服務(wù)信息”查詢服務(wù)。D.1.2.2注冊與認(rèn)證注冊與認(rèn)證服務(wù)負(fù)責(zé)授權(quán)憑據(jù)的生產(chǎn)、管理、分發(fā)與驗(yàn)證，以及客戶端注冊和認(rèn)證信息的維護(hù)，通過提供的API接口接收客戶端的注冊和認(rèn)證，并與“信息集”服務(wù)協(xié)作進(jìn)行網(wǎng)絡(luò)安全信息資源的訪問控制。只有在服務(wù)器上進(jìn)行注冊并認(rèn)證通過的合法客戶端才能訪問服務(wù)器上的網(wǎng)絡(luò)安全信息。D.1.2.3服務(wù)根“服務(wù)根”是服務(wù)器上一組網(wǎng)絡(luò)安全信息數(shù)據(jù)資源和相關(guān)訪問接口的邏輯分組。一個服務(wù)器支持一個或多個服務(wù)根。每個服務(wù)根獨(dú)立提供網(wǎng)絡(luò)安全信息數(shù)據(jù)訪問所需接口。通過服務(wù)根，服務(wù)器可實(shí)現(xiàn)網(wǎng)絡(luò)安全信息數(shù)據(jù)資源的劃分和獨(dú)立的訪問控制。從URL角度，服務(wù)根可理解為服務(wù)器根URL的子URL。每個服務(wù)根可根據(jù)需要將其中的網(wǎng)絡(luò)安全信息數(shù)據(jù)及訪問接口劃分為不同的“信息集”。D.1.2.4服務(wù)信息“服務(wù)信息”是服務(wù)器提供的“服務(wù)根”信息的集合。該服務(wù)包括一組對“服務(wù)根”信息進(jìn)行查詢的API接口，通過這些接口客戶端可查詢服務(wù)器上的“服務(wù)根”列表，及每個“服務(wù)根”的URL及“服務(wù)根”上網(wǎng)絡(luò)安全信息數(shù)據(jù)的公共信息。D.1.2.5信息集“信息集”是服務(wù)根實(shí)例提供的網(wǎng)絡(luò)安全信息數(shù)據(jù)對象及其訪問接口的邏輯分組，是客戶端對網(wǎng)絡(luò)安全信息對象進(jìn)行訪問的基本單位?！靶畔⒓狈?wù)是通向信息集的API接口的集合?？蛻舳耸褂眠@些接口以請求-響應(yīng)的方式發(fā)送網(wǎng)絡(luò)安全信息數(shù)據(jù)到服務(wù)器，或者向服務(wù)器請求網(wǎng)絡(luò)安全信息。一個“服務(wù)根”可包含一個或多個信息集，將網(wǎng)絡(luò)安全信息數(shù)據(jù)組合成以“信息集”為單位的邏輯分組后，可按照信任組或其他邏輯分組形式劃分內(nèi)容和訪問控制。D.1.2.6狀態(tài)信息每個“服務(wù)根”實(shí)例允許客戶端查看發(fā)送給“服務(wù)根”的特定類型的請求的處理狀態(tài)。狀態(tài)信息用于描述向“服務(wù)根”上特定信息集添加網(wǎng)絡(luò)安全信息對象的請求的執(zhí)行狀態(tài)。當(dāng)客戶端提交了新的網(wǎng)絡(luò)安全信息后，可使用“狀態(tài)信息”服務(wù)提供的API接口查看該新增網(wǎng)絡(luò)安全信息是否已被接受，請求是否完成以及請求中各對象的狀態(tài)(如：是否為待處理、完成但失敗，或者成功完成)。D.1.2.7共享接口共享接口是客戶端對服務(wù)器上的各種服務(wù)進(jìn)行訪問的傳輸通路。一個接口表示一個服務(wù)器實(shí)例上一個特定的URL和HTTPS方法，每一個接口都由可訪問的URL和用于請求的HTTPS方法標(biāo)識。通過共享接口客戶端可實(shí)現(xiàn)在服務(wù)器上的注冊與認(rèn)證、服務(wù)信息的發(fā)現(xiàn)、與服務(wù)根進(jìn)行數(shù)據(jù)交換及服務(wù)根狀態(tài)查詢等功能。服務(wù)器上的信息集服務(wù)提供一組相同的API接口，客戶端通過這些接口實(shí)現(xiàn)對特定信息集的訪問，進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)安全信息的交換。當(dāng)前版本定義的API形式接口，需通過HTTPS協(xié)議實(shí)現(xiàn)接口訪問。單個客戶端向特定服務(wù)器進(jìn)行注冊，認(rèn)證通過后，可向該服務(wù)器上的信息集查詢接口發(fā)送請求，查詢特定類型的網(wǎng)絡(luò)安全信息；客戶端也可向特定服務(wù)器上的信息集的信息接收接口發(fā)送請求，向信息集中添加網(wǎng)絡(luò)安全信息數(shù)據(jù)；同時，可通過向服務(wù)器的狀態(tài)服務(wù)的查詢接口發(fā)送請求，獲取推送的網(wǎng)絡(luò)安全信息的處理狀態(tài)。D.2網(wǎng)絡(luò)安全信息交換方法客戶端接入服務(wù)器并實(shí)現(xiàn)網(wǎng)