GB-T 42708-2023 金融網(wǎng)絡(luò)安全威脅信息共享指南

金融網(wǎng)絡(luò)安全威脅信息共享指南國家標準化管理委員會GB/T42708—2023前言 I引言 Ⅱ1范圍 l2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 6威脅信息共享框架 7威脅信息共享原則 8威脅信息共享方式 9威脅信息共享流程 9.1威脅信息共享基本流程 9.2威脅信息分析 9.3威脅信息共享 9.4威脅信息使用 9.5威脅信息使用反饋 10威脅信息質(zhì)量管理 10.1威脅信息組件格式 10.2威脅信息綜合評定 11威脅信息共享保障機制 12威脅信息共享安全管理 12.1訪問控制 712.2數(shù)據(jù)管理 712.3安全審計 12.4應(yīng)急響應(yīng) 7附錄A(資料性)典型金融網(wǎng)絡(luò)安全威脅信息共享場景 8A.1網(wǎng)絡(luò)安全服務(wù)方的威脅信息共享 8A.2基礎(chǔ)設(shè)施提供方的威脅信息共享 8A.3不同金融機構(gòu)間的威脅信息共享 9A.4金融機構(gòu)業(yè)務(wù)合作方的威脅信息共享 9參考文獻 本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由全國金融標準化技術(shù)委員會(SAC/TC180)歸口。金融網(wǎng)絡(luò)安全威脅信息共享旨在采用技術(shù)手段實現(xiàn)網(wǎng)絡(luò)安全威脅信息的有效流動，通過建立威脅金融網(wǎng)絡(luò)安全威脅信息共享指南本文件適用于參與金融網(wǎng)絡(luò)安全威脅信息共享的金融機構(gòu)和相關(guān)組織。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T2260中華人民共和國行政區(qū)劃代碼GB/T2659世界各國和地區(qū)名稱代碼GB32100法人和其他組織統(tǒng)一社會信用代碼編碼規(guī)則3術(shù)語和定義下列術(shù)語和定義適用于本文件?？赡軐ο到y(tǒng)或組織造成危害的不期望事件的潛在原由。一種基于證據(jù)的知識，用于描述現(xiàn)有的或可能出現(xiàn)的威脅，從而實現(xiàn)對威脅的響應(yīng)和預(yù)防。有能力決定威脅信息處理目的、方式等的組織或個人。威脅信息控制者向其他控制者提供威脅信息，且雙方分別對威脅信息擁有獨立控制權(quán)的過程。4縮略語下列縮略語適用于本文件。API:應(yīng)用程序接口(ApplicationProgrammingInterface)APP:應(yīng)用軟件(Application)IP:網(wǎng)際互連協(xié)議(InternetProtocol)SDK:軟件開發(fā)工具包(SoftwareDevelopmentKit)5總則建立金融行業(yè)網(wǎng)絡(luò)安全威脅信息共享機制，基于共享價值對結(jié)構(gòu)化網(wǎng)絡(luò)安全威脅數(shù)據(jù)進行分析，暢通網(wǎng)絡(luò)安全威脅信息的共享通道，制定威脅信息的數(shù)據(jù)標準。6威脅信息共享框架威脅信息共享的目標是為金融行業(yè)提供高質(zhì)量、高時效的網(wǎng)絡(luò)安全威脅信息。通過建立健全多層次、跨機構(gòu)的威脅信息共享機制，建立常態(tài)化、可信賴的威脅信息共享路徑，促進金融行業(yè)和其他行業(yè)的威脅信息深入合作。威脅信息共享參與者在遵循共享原則的前提下進行威脅信息傳遞。金融行業(yè)網(wǎng)絡(luò)安全威脅信息共享框架見圖1。金融行業(yè)威脅信息共享平臺金融行業(yè)威脅信息共享平臺金融機構(gòu)國家/共他行業(yè)威脅信息平臺基礎(chǔ)設(shè)施提供方金融業(yè)務(wù)合作方服務(wù)機構(gòu)圖1金融行業(yè)網(wǎng)絡(luò)安全威脅信息共享框架圖金融網(wǎng)絡(luò)安全威脅信息共享的主要參與者包括：a)金融網(wǎng)絡(luò)安全威脅信息共享平臺：按照金融行業(yè)需要搭建信息共享的基礎(chǔ)設(shè)施，為不同參與機構(gòu)提供信息共享服務(wù)接口和溝通協(xié)調(diào)渠道；b)金融機構(gòu)：金融網(wǎng)絡(luò)安全威脅信息共享的核心受益者，通過接收威脅信息提供方的威脅信息，提高自身的威脅研判和網(wǎng)絡(luò)安全能力，應(yīng)對網(wǎng)絡(luò)安全風險；c)威脅信息提供方：收集、分析、提供網(wǎng)絡(luò)安全威脅信息的組織或個人，主要為網(wǎng)絡(luò)安全服務(wù)方(如安全服務(wù)公司、威脅信息共享社區(qū)、安全測試人員);國家或其他行業(yè)威脅信息平臺，金融機構(gòu)、為金融機構(gòu)提供基礎(chǔ)設(shè)施服務(wù)的機構(gòu)、與金融機構(gòu)存在業(yè)務(wù)合作的機構(gòu)在發(fā)現(xiàn)金融網(wǎng)絡(luò)安全威脅信息時，也可作為威脅信息提供方。不同金融機構(gòu)之間可以通過金融網(wǎng)絡(luò)安全威脅信息共享平臺共享威脅信息。威脅信息共享的內(nèi)容主要包括威脅發(fā)生時間、威脅環(huán)境信息、影響范圍、影響對象、影響程度、安全事件信息等。27威脅信息共享原則威脅信息共享遵循以下原則：a)最小必要原則：僅共享滿足金融網(wǎng)絡(luò)安全威脅信息共享需要的最少信息，非必要信息不可共享；b)知情同意原則：金融機構(gòu)在信息提供方知悉并同意的前提下開展主體信息、網(wǎng)絡(luò)資產(chǎn)信息、客戶信息等關(guān)鍵信息的再利用；c)信息追溯原則：共享過程中記錄共享方、使用方、共享時間、共享方式等信息，保障威脅信息共享活動可追溯；d)安全可控原則：威脅信息共享的參與者對威脅信息采取同等安全措施的保護，保障威脅信息在共享過程中安全可控。8威脅信息共享方式8.1根據(jù)共享的時效性不同，威脅信息共享方式可分為實時共享和批量共享。a)實時共享：共享參與者發(fā)現(xiàn)威脅信息時，采用自動化方式實時觸發(fā)共享。b)批量共享：共享參與者對相關(guān)的威脅信息進行批量存儲，定時或人工觸發(fā)共享。8.2根據(jù)共享的目標不同，威脅信息共享方式可分為定向共享和非定向共享。a)定向共享：威脅信息發(fā)送方能夠明確并指定威脅信息的最終接收方，通常在威脅信息與特定金融機構(gòu)關(guān)聯(lián)時使用，以提高共享的精準性。b)非定向共享：威脅信息的發(fā)送方無法明確威脅信息的最終接收方或威脅涉及金融行業(yè)全局，因而將威脅信息發(fā)送至共享平臺，由共享平臺以廣播的方式通知金融機構(gòu)。非定向共享的主要目標是提高信息共享的覆蓋面，提升機構(gòu)間聯(lián)防聯(lián)控能力。8.3根據(jù)共享的參與機構(gòu)不同，威脅信息共享方式可以分為中心共享模式和點對點共享模式。a)中心共享模式：以金融網(wǎng)絡(luò)安全威脅信息共享平臺為中心，用于存儲或交換來自信息共享成員或其他來源的信息。由成員提供的信息被中心直接轉(zhuǎn)發(fā)給其他成員，或由中心以某種方式處理后分發(fā)給指定的成員。b)點對點共享模式：成員彼此之間直接進行信息共享。成員各自負責利用、匯總、關(guān)聯(lián)、分析、驗證、處理、保護和交換信息，成員間交換的信息只能是成員獲取、分析和分發(fā)的有限數(shù)據(jù)。信息交換的安全性、速度和頻率等取決于相關(guān)成員的需求和能力。9威脅信息共享流程9.1威脅信息共享基本流程威脅信息共享基本流程基于最小共享模型提出，僅包含一個威脅信息發(fā)送方和一個威脅信息接收方。其中，威脅信息發(fā)送方即威脅信息提供方，威脅信息接收方即威脅信息使用方。威脅信息發(fā)送方發(fā)現(xiàn)威脅，對威脅信息進行分析，根據(jù)威脅信息的分析情況將威脅信息共享給威脅信息接收方。威脅信息接收方根據(jù)需要使用威脅信息，并對威脅信息的使用情況進行反饋。威脅信息共享流程見圖2。3威脅信息發(fā)送方威脅信息接收方1.威脅信息分析2.威脅信息共享3.威脅信息使用4.威脅信息使用反饋圖2威脅信息共享流程在金融行業(yè)的威脅信息共享中，可能經(jīng)過信息多級傳輸，一個參與機構(gòu)在一次共享中既作為信息發(fā)送方又作為信息接收方存在，參與機構(gòu)根據(jù)其實際處理中的角色確定其具體工作。金融網(wǎng)絡(luò)安全威脅信息共享平臺主動發(fā)現(xiàn)威脅信息時，按照威脅信息發(fā)送方的要求進行分析和共享；金融網(wǎng)絡(luò)安全威脅信息共享平臺僅作為共享渠道轉(zhuǎn)發(fā)威脅信息時，可不進行威脅信息分析工作。典型的金融網(wǎng)絡(luò)安全威脅信息共享場景參見附錄A。9.2威脅信息分析威脅信息發(fā)送方執(zhí)行威脅信息共享前，開展威脅信息的分析工作，具體內(nèi)容如下：a)對威脅信息的原始數(shù)據(jù)進行處理，通過數(shù)據(jù)提取、去噪、歸類、轉(zhuǎn)換、加工等操作，將威化為結(jié)構(gòu)化數(shù)據(jù)，便于威脅信息的分析；b)對威脅信息結(jié)構(gòu)化數(shù)據(jù)和原始數(shù)據(jù)進行比較分析，保障威脅信息結(jié)構(gòu)化數(shù)據(jù)能精準表達原始數(shù)據(jù)所蘊含的信息；c)分析威脅信息的共享價值，綜合評價威脅信息的來源、數(shù)量、威脅等級、威脅對象、時效性等方面，以確定威脅信息是否需要共享；d)威脅信息共享可能導(dǎo)致數(shù)據(jù)違規(guī)使用等風險，如威脅信息中涉及個人信息或其他具有安全隱患的內(nèi)容，宜參照有關(guān)數(shù)據(jù)評估要求確認共享的可行性。9.3威脅信息共享威脅信息發(fā)送方根據(jù)威脅信息的分析情況確定共享方式，以提升威脅信息的時效性和可達性，并通過安全的技術(shù)手段保障威脅信息中的重要信息在共享、傳輸過程中的機密性和完整性。9.4威脅信息使用9.4.1接收方獲得威脅信息后，基于證據(jù)和邏輯對威脅信息進行分析、判斷，對未來情況及其可能性進a)初步評估：威脅信息使用方對所持有威脅信息進行初步評估，包括但不限于邏輯性、時效性和豐富性；b)交叉評估：當威脅信息使用方持有同一安全事件兩條或兩條以上威脅信息時，對所有威脅信息進行比對，評估多條威脅信息間的重復(fù)性和差異性；威脅信息提供方宜對存在沖突的威脅信息4做出解釋，便于威脅信息使用方自行評估采用威脅信息的風險；c)持續(xù)評估：持續(xù)對威脅信息的評估最終形成對威脅信息源的評估，包括但不限于威脅信息源多樣性、豐富性、及時性、差異性評估，其結(jié)果可形成指標并用于提升初步評估的效果。9.4.2在遵循威脅信息共享(見9.3)前提下，威脅信息接收方在其所屬環(huán)境研究、測試、應(yīng)用威脅信a)旁路使用：在不影響真實業(yè)務(wù)環(huán)境條件下，通過利用模擬環(huán)境、歷史數(shù)據(jù)或流量鏡像等方式模擬使用威脅信息以觀測其作用，該階段用于觀測威脅信息的誤報率、可用性和對業(yè)務(wù)環(huán)境可能產(chǎn)生的影響，并通知上下游相關(guān)業(yè)務(wù)方，明確應(yīng)對方案，包括但不限于撤回方案、回滾方案、備份方案等；b)邊緣使用：在真實業(yè)務(wù)環(huán)境中的某些邊緣業(yè)務(wù)內(nèi)使用威脅信息，以觀測威脅信息對真實業(yè)務(wù)環(huán)境的影響，該階段進一步確認威脅信息在真實業(yè)務(wù)環(huán)境使用的可用性，并驗證和完善應(yīng)對方案；c)正式使用：在真實業(yè)務(wù)環(huán)境中使用威脅信息，持續(xù)觀測威脅信息對真實業(yè)務(wù)的影響，并持續(xù)關(guān)注已使用威脅信息的參數(shù)變化，包括但不限于威脅信息是否已被撤回、威脅信息的時效性、威脅信息準確性及其他參數(shù)的變化。9.4.3威脅信息使用后，威脅信息使用方可將數(shù)據(jù)完整留存?zhèn)洳椋ǖ幌抻谠季€索、證據(jù)信息、9.5威脅信息使用反饋威脅信息接收方在使用威脅信息后，可對威脅信息的使用情況進行記錄并做出質(zhì)量評價。威脅信息接收方宜將使用反饋信息及時提供給該威脅信息的發(fā)送方，威脅信息的發(fā)送方可根據(jù)使用反饋情況優(yōu)化威脅信息的生產(chǎn)、采集、評估方法，從而提升威脅信息的共享質(zhì)量。使用情況反饋可包括下列內(nèi)容。a)信息相關(guān)性。判斷網(wǎng)絡(luò)安全威脅信息是否與信息接收方的信息系統(tǒng)運行環(huán)境相關(guān)，是否為信息接收方可能面臨的威脅或可能遭受的攻擊。b)信息準確性。判斷網(wǎng)絡(luò)安全信息是否準確、完整。不準確或不完整的網(wǎng)絡(luò)安全信息可能妨礙重要的行動，引起不必要或不適當?shù)捻憫?yīng)行動，或使信息接收方產(chǎn)生安全錯覺。c)信息時效性。判斷網(wǎng)絡(luò)安全威脅信息的獲取是否及時，以便給信息接收方提供充足的時間預(yù)測威脅并做出響應(yīng)。時效性的定義與信息變化速度、攻擊速度、攻擊者能力、可能造成的影響等因素有關(guān)。d)信息具體性。判斷網(wǎng)絡(luò)安全威脅信息是否詳細描述網(wǎng)絡(luò)安全事件、網(wǎng)絡(luò)安全攻擊者等信息的細節(jié)，以便信息接收方清晰了解威脅對他們的影響。包含足夠信息和背景的網(wǎng)絡(luò)安全信息使信息接收者能夠制定應(yīng)對方案和采取響應(yīng)行動。10威脅信息質(zhì)量管理10.1威脅信息組件格式威脅信息組件是威脅信息共享的元數(shù)據(jù)。金融行業(yè)宜建立統(tǒng)一的數(shù)據(jù)格式進行威脅信息組件描述，宜建立統(tǒng)一的威脅信息共享接口用于開展威脅信息共享，降低威脅信息共享接入成本，提升威脅信息共享效率。威脅信息共享接口主要字段參考表1。5表1威脅信息共享接口數(shù)據(jù)字段序號數(shù)據(jù)字段描述方式1威脅信息提供方威脅信息提供方標識和域名、IP等信息2威脅信息發(fā)生時間采用國際標準時間，時間格式宜參考GB/T74083受威脅機構(gòu)代碼采用統(tǒng)一社會信用代碼，宜符合GB321004受威脅機構(gòu)名稱采用統(tǒng)一社會信用代碼的機構(gòu)注冊名稱5威脅信息類型根據(jù)金融行業(yè)面臨的威脅分類，可設(shè)置子類型，如病毒木馬、漏洞攻擊等6安全事件詳情宜參考GB/T3664310.2威脅信息綜合評定金融機構(gòu)可建立威脅信息質(zhì)量評價模型，綜合評定不同渠道網(wǎng)絡(luò)威脅信息的有效性，通過設(shè)置權(quán)重、優(yōu)先級等方式，提高威脅信息使用的精準性。質(zhì)量評價模型可以根據(jù)威脅信息使用情況進行建立，綜合判定參考因素見表2。由于不同的威脅信息共享方收集和共享的威脅信息可能存在特征差異，威脅信息質(zhì)量評價模型根據(jù)威脅特征的差異性進行建立，避免錯誤模型影響威脅信息的有效使用。表2威脅信息綜合判定參考因素序號參考因素描述方式1信息所屬地區(qū)國家和地區(qū)編碼宜按照GB/T2659執(zhí)行中國地區(qū)的行政區(qū)劃代碼宜按照GB/T2260執(zhí)行2信息來源威脅信息的發(fā)送方標識，宜采用GB32100統(tǒng)一社會信用代碼和機構(gòu)注冊名稱3首次發(fā)生時間采用國際標準時間，時間格式宜參考GB/T74084最后發(fā)生時間采用國際標準時間，時間格式宜參考GB/T74085時間段內(nèi)發(fā)生總次數(shù)6時間段內(nèi)涉及機構(gòu)總數(shù)—7威脅信息類型—8威脅等級一般設(shè)置高、中、低三級9威脅命中情況威脅誤報情況—威脅傳遞時效性—11威脅信息共享保障機制威脅信息共享參與方宜通過合同或協(xié)議等方式確認威脅信息共享關(guān)系的建立，明確共享的目標、目的、范圍、參與方以及網(wǎng)絡(luò)安全相關(guān)的責任義務(wù)。威脅信息共享參與方宜提供機構(gòu)接口人等聯(lián)絡(luò)方式，便于威脅信息使用方溝通確認相關(guān)技術(shù)細節(jié)信息。威脅信息共享參與方宜監(jiān)控金融網(wǎng)絡(luò)安全威脅信息共享平臺和其他威脅共享參與方系統(tǒng)的網(wǎng)絡(luò)67連通性情況，及時處置網(wǎng)絡(luò)延遲、通信阻塞等異常以保障威脅信息傳輸?shù)臅r效性。威脅信息共享參與方退出共享關(guān)系時，按照合同或協(xié)議約定完成相關(guān)義務(wù)，不私自泄露、出售在共享活動中獲取的網(wǎng)絡(luò)安全信息。12威脅信息共享安全管理12.1訪問控制威脅信息可支持應(yīng)用程序或人工訪問。威脅信息控制者在保護威脅信息時，宜建立訪問授權(quán)控制機制，對訪問威脅信息的應(yīng)用程序或人員進行身份驗證，合理控制訪問數(shù)據(jù)的時間范圍、內(nèi)容和數(shù)量。威脅信息共享時宜采用安全通道進行傳輸。威脅信息存儲時宜采取有效的加密手段或其他安全措施進行保護。威脅信息使用后宜根據(jù)需要及時進行刪除或銷毀。威脅信息控制者宜建立威脅信息使用過程的安全審計能力，包括對威脅信息在采集、評估、共享、使用各流程的使用行為記錄，降低威脅信息共享風險。威脅信息控制者宜建立配套的應(yīng)急響應(yīng)機制，必要時及時切斷信息共享，應(yīng)對威脅信息共享過程中面臨的突發(fā)事件。8GB/T42708—2023(資料性)典型金融網(wǎng)絡(luò)安全威脅信息共享場景A.1網(wǎng)絡(luò)安全服務(wù)方的威脅信息共享網(wǎng)絡(luò)安全服務(wù)方發(fā)現(xiàn)特定的金融機構(gòu)面臨網(wǎng)絡(luò)安全威脅時，可直接與金融機構(gòu)進行威脅信息共享，提升信息準確性和共享效率；網(wǎng)絡(luò)安全服務(wù)方發(fā)現(xiàn)金融行業(yè)全局性威脅時，可與金融網(wǎng)絡(luò)安全威脅信息共享平臺進行威脅信息共享。網(wǎng)絡(luò)安全服務(wù)方的威脅信息共享見圖A.1。金融機構(gòu)網(wǎng)絡(luò)安全服務(wù)方金融網(wǎng)絡(luò)安全威脅信息共享平臺圖A.1網(wǎng)絡(luò)安全服務(wù)方的威脅信息共享網(wǎng)絡(luò)安全服務(wù)方在開展威脅信息分析時，為防止數(shù)據(jù)遺漏導(dǎo)致威脅信息無法被利用，宜重點考慮威脅信息全面性，共享與特定金融機構(gòu)或金融行業(yè)相關(guān)聯(lián)的全量數(shù)據(jù)。由于過多的威脅信息共享可能帶來威脅處置上的困難和大量誤報等問題，網(wǎng)絡(luò)安全服務(wù)方宜持續(xù)關(guān)注并提升信息質(zhì)量。A.2基礎(chǔ)設(shè)施提供方的威脅信息共享金融機構(gòu)在使用運營商網(wǎng)絡(luò)(包括但不限于專線、移動蜂窩網(wǎng)絡(luò)、Wi-Fi、衛(wèi)星網(wǎng)絡(luò))、云計算服務(wù)商等基礎(chǔ)設(shè)施時，網(wǎng)絡(luò)安全性受基礎(chǔ)設(shè)施影響。相關(guān)基礎(chǔ)設(shè)施運營機構(gòu)可直接與金融機構(gòu)進行威脅信息共享。由于基礎(chǔ)設(shè)施層面的網(wǎng)絡(luò)安全威脅波及范圍廣，直接影響金融機構(gòu)業(yè)務(wù)系統(tǒng)的運行和金融行業(yè)的安全穩(wěn)定，相關(guān)基礎(chǔ)設(shè)施運營機構(gòu)也可直接與金融網(wǎng)絡(luò)安全威脅信息共享平臺進行威脅信息共享。基礎(chǔ)設(shè)施提供方的威脅信息共享見圖A.2。金融機構(gòu)1基礎(chǔ)設(shè)施提供方金融機構(gòu)N金融網(wǎng)絡(luò)安全威脅信息共享平臺圖A.2基礎(chǔ)設(shè)施提供方的威脅信息共享9A.3不同金融機構(gòu)間的威脅信息共享由于金融機構(gòu)間存在業(yè)務(wù)系統(tǒng)的交互，金融機構(gòu)業(yè)務(wù)執(zhí)行過程中可能影響其他金融機構(gòu)的業(yè)務(wù)安全。金融機構(gòu)在發(fā)現(xiàn)自身存在相關(guān)威脅時，為防止威脅在金融網(wǎng)絡(luò)中的擴散，將相關(guān)威脅信息共享給其他金融機構(gòu)，以便在安全風險發(fā)生前對威脅進行及時的識別并采取相應(yīng)的防御措施。不同金融機構(gòu)間的威脅信息共享見圖A.3。金融網(wǎng)絡(luò)安全威脅信息共享平臺金融網(wǎng)絡(luò)安全威脅信息共享平臺金融機構(gòu)B金融網(wǎng)絡(luò)安全威脅信息共享平臺金融機構(gòu)N金融機構(gòu)A金融機構(gòu)A圖A.3不同金融機構(gòu)間的威脅信息共享不同金融機構(gòu)之間的威脅信息共享宜充分考慮下列內(nèi)容。a)威脅信息關(guān)聯(lián)性，即金融機構(gòu)A在開展業(yè)務(wù)過程中與金融機構(gòu)B的賬戶信息、業(yè)務(wù)系統(tǒng)等產(chǎn)生關(guān)聯(lián)，則威脅信息的影響也存在必要的聯(lián)系。b)業(yè)務(wù)共性，即不同金融機構(gòu)開展的同類業(yè)務(wù)可能遭遇到相似的攻擊，這些攻擊在時間、空間都具備相似的特性，金融機構(gòu)宜將與業(yè)務(wù)共性相關(guān)的威脅信息共享給行業(yè)平臺，由行業(yè)平臺進行批量預(yù)警。A.4金融機構(gòu)業(yè)務(wù)合作方的威脅信息共享金融機構(gòu)通過API方式、SDK與其他機構(gòu)開展業(yè)務(wù)合作時，存在威脅信息共享需求。合作方的業(yè)務(wù)應(yīng)用系統(tǒng)遭到攻擊或發(fā)現(xiàn)異常行為時，如業(yè)務(wù)合作方的APP遭到攻擊、電子商務(wù)合作方發(fā)現(xiàn)購物異常、短信提供商發(fā)現(xiàn)短信發(fā)送頻率異常等情況時，宜及時將相關(guān)威脅信息共享給合作的金融機構(gòu)。金融機構(gòu)業(yè)務(wù)合作方