GB/T 42708-2023 金融網絡安全威脅信息共享指南（正式版）

ICS35.240.40GB/T42708—20232023-08-06發(fā)布國家市場監(jiān)督管理總局國家標準化管理委員會GB/T42708—2023 I Ⅱ 2規(guī)范性引用文件 3術語和定義 2 2 3 3 39.1威脅信息共享基本流程 39.2威脅信息分析 4 49.4威脅信息使用 49.5威脅信息使用反饋 510威脅信息質量管理 510.1威脅信息組件格式 510.2威脅信息綜合評定 611威脅信息共享保障機制 612威脅信息共享安全管理 712.1訪問控制 712.2數(shù)據(jù)管理 712.3安全審計 712.4應急響應 附錄A(資料性)典型金融網絡安全威脅信息共享場景 8A.1網絡安全服務方的威脅信息共享 8A.2基礎設施提供方的威脅信息共享 8A.3不同金融機構間的威脅信息共享 9 9 IGB/T42708—2023本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國金融標準化技術委員會(SAC/TC180)歸口。本文件起草單位：北京銀聯(lián)金卡科技有限公司、中國工商銀行股份有限公司、中國建設銀行股份有融科技認證中心有限公司、騰訊云計算(北京)有限責任公司。ⅡGB/T42708—2023金融網絡安全威脅信息共享旨在采用技術手段實現(xiàn)網絡安全威脅信息的有效流動，通過建立威脅1GB/T42708—2023金融網絡安全威脅信息共享指南下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文GB/T2260中華人民共和國行3術語和定義API:應用程序接口(ApplicationProgramming2GB/T42708—2023APP:應用軟件(Application)IP:網際互連協(xié)議(InternetProtocol)SDK:軟件開發(fā)工具包(SoftwareDevelopmentKit)5總則6威脅信息共享框架威脅信息共享的目標是為金融行業(yè)提供高質量、高時效的網絡安全威脅信息。通過建立健全多層威脅信息深入合作。威脅信息共享參與者在遵循共享原則的前提下進行威脅信息傳遞。金融行業(yè)網絡安全威脅信息共享框架見圖1。金融行業(yè)威脅信息共享平臺金融行業(yè)威脅信息共享平臺金融機構金融機構N威脅信息提供方國家/共他行業(yè)威脅信息平臺金融業(yè)務合作方網絡安企服務機構金融機構1圖1金融行業(yè)網絡安全威脅信息共享框架圖金融網絡安全威脅信息共享的主要參與者包括：構提供信息共享服務接口和溝通協(xié)調渠道；b)金融機構：金融網絡安全威脅信息共享的核心受益者，通過接收威脅信息提供方的威脅信不同金融機構之間可以通過金融網絡安全威脅信息共享平臺共享威脅信息。事件信息等。3GB/T42708—20237威脅信息共享原則威脅信息共享遵循以下原則：a)最小必要原則：僅共享滿足金融網絡安全威脅信息共享需要的最少信息，非必要信息不可戶信息等關鍵信息的再利用；享活動可追溯；共享過程中安全可控。8威脅信息共享方式8.2根據(jù)共享的目標不同，威脅信息共享方式可分為定向共享而將威脅信息發(fā)送至共享平臺，由共享平臺以廣播的方式通知金融機構。非定向共享的主要或其他來源的信息。由成員提供的信息被中心直接轉發(fā)給其他成員，或由中心以某種方式處理后分發(fā)給指定的成員。9威脅信息共享流程威脅信息共享基本流程基于最小共享模型提出，僅包含一個威脅信息發(fā)送方和一個威脅信息接收信息接收方。威脅信息接收方根據(jù)需要使用威脅信息，并對威脅信息的使用情況進行反饋。威脅信息共享流程見圖2。4GB/T42708—2023威脅信息發(fā)送方威脅信息接收方圖2威脅信息共享流程送方又作為信息接收方存在，參與機構根據(jù)其實際處理中的角色確定其具體工作。金融網絡安全威脅信息共享平臺主動發(fā)現(xiàn)威脅信息時，按照威脅信息發(fā)送方的要求進行分析和共享；金融網絡安全威脅信息共享平臺僅作為共享渠道轉發(fā)威脅信息時，可不進行威脅信息分析工作。典型的金融網絡安全威脅信息共享場景參見附錄A。9.2威脅信息分析威脅信息發(fā)送方執(zhí)行威脅信息共享前，開展威脅信息的分析工作，具體內容如下：化為結構化數(shù)據(jù)，便于威脅信息的分析；b)對威脅信息結構化數(shù)據(jù)和原始數(shù)據(jù)進行比較分析，保障威脅信息結構化數(shù)據(jù)能精準表達原始數(shù)據(jù)所蘊含的信息；c)分析威脅信息的共享價值，綜合評價威脅信d)威脅信息共享可能導致數(shù)據(jù)違規(guī)使用等風險，如威脅信息中涉及個人信息或其他具有安全隱患的內容，宜參照有關數(shù)據(jù)評估要求確認共享的可行性。9.3威脅信息共享威脅信息發(fā)送方根據(jù)威脅信息的分析情況確定共享方式，以提升威脅信息的時效性和可達性，并通過安全的技術手段保障威脅信息中的重要信息在共享、傳輸過程中的機密性和完整性。9.4威脅信息使用9.4.1接收方獲得威脅信息后，基于證據(jù)和邏輯對威脅信息進行分析、判斷，對未來情況及其可能性進a)初步評估：威脅信息使用方對所持有威脅信息進行初步評估，包括但不限于邏輯性、時效性和b)交叉評估：當威脅信息使用方持有同一安全事件兩條或兩條以上威脅信息時，對所有威脅信息進行比對，評估多條威脅信息間的重復性和差異性；威脅信息提供方宜對存在沖突的威脅信息5GB/T42708—2023做出解釋，便于威脅信息使用方自行評估采用威脅信息的風險；c)持續(xù)評估：持續(xù)對威脅信息的評估最終形成對威脅信息源的評估，包括但不限于威脅信息源多9.4.2在遵循威脅信息共享(見9.3)前提下，威脅信息接收方在其所屬環(huán)境研究、測試、應用威脅信a)旁路使用：在不影響真實業(yè)務環(huán)境條件下，通過利用模擬環(huán)境、歷史數(shù)據(jù)或流量鏡像等方式模擬使用威脅信息以觀測其作用，該階段用于觀測威脅信息的誤報率、可用性和對業(yè)務環(huán)境可能份方案等；b)邊緣使用：在真實業(yè)務環(huán)境中的某些邊緣業(yè)務內使用威脅信息，以觀測威脅信息對真實業(yè)務環(huán)境的影響，該階段進一步確認威脅信息在真實業(yè)務環(huán)境使用的可用性，并驗證和完善應對c)正式使用：在真實業(yè)務環(huán)境中使用威脅信息，持續(xù)觀測威脅信息對真實業(yè)務的影響，并持續(xù)關注已使用威脅信息的參數(shù)變化，包括但不限于威脅信息是否已被撤回、威脅信息的時效性、威脅信息準確性及其他參數(shù)的變化。9.4.3威脅信息使用后，威脅信息使用方可將數(shù)據(jù)完整留存?zhèn)洳椋ǖ幌抻谠季€索、證據(jù)信息、9.5威脅信息使用反饋威脅信息接收方在使用威脅信息后，可對威脅信息的使用情況進行記錄并做出質量評價。威脅信息接收方宜將使用反饋信息及時提供給該威脅信息的發(fā)送方，威脅信息的發(fā)送方可根據(jù)使用反饋情況使用情況反饋可包括下列內容。a)信息相關性。判斷網絡安全威脅信息是否與信息接收方的信息系統(tǒng)運行環(huán)境相關，是否為信息接收方可能面臨的威脅或可能遭受的攻擊。b)信息準確性。判斷網絡安全信息是否準確、完整。不準確或不完整的網絡安全信息可能妨礙重要的行動，引起不必要或不適當?shù)捻憫袆?，或使信息接收方產生安全錯覺。c)信息時效性。判斷網絡安全威脅信息的獲取是否及時，以便給信息接收方提供充足的時間預測威脅并做出響應。時效性的定義與信息變化速度、攻擊速度、攻擊者能力、可能造成的影響等因素有關。d)信息具體性。判斷網絡安全威脅信息是否詳細描述網絡安全事件、網絡安全攻擊者等信息的細節(jié)，以便信息接收方清晰了解威脅對他們的影響。包含足夠信息和背景的網絡安全信息使信息接收者能夠制定應對方案和采取響應行動。10威脅信息質量管理10.1威脅信息組件格式威脅信息組件是威脅信息共享的元數(shù)據(jù)。金融行業(yè)宜建立統(tǒng)一的數(shù)據(jù)格式進行威脅信息組件描述，宜建立統(tǒng)一的威脅信息共享接口用于開展威脅信息共享，降低威脅信息共享接入成本，提升威脅信息共享效率。威脅信息共享接口主要字段參考表1。6GB/T42708—2023表1威脅信息共享接口數(shù)據(jù)字段序號數(shù)據(jù)字段描述方式1威脅信息提供方威脅信息提供方標識和域名、IP等信息2威脅信息發(fā)生時間采用國際標準時間，時間格式宜參考GB/T74083受威脅機構代碼采用統(tǒng)一社會信用代碼，宜符合GB321004受威脅機構名稱采用統(tǒng)一社會信用代碼的機構注冊名稱5威脅信息類型根據(jù)金融行業(yè)面臨的威脅分類，可設置子類型，如病毒木馬、漏洞攻擊等6安全事件詳情宜參考GB/T3664310.2威脅信息綜合評定金融機構可建立威脅信息質量評價模型，綜合評定不同渠道網絡威脅信息的有效性，通過設置權重、優(yōu)先級等方式，提高威脅信息使用的精準性。質量評價模型可以根據(jù)威脅信息使用情況進行建立，綜合判定參考因素見表2。由于不同的威脅信息共享方收集和共享的威脅信息可能存在特征差異，威脅信息質量評價模型根據(jù)威脅特征的差異性進行建立，避免錯誤模型影響威脅信息的有效使用。表2威脅信息綜合判定參考因素序號參考因素描述方式1信息所屬地區(qū)國家和地區(qū)編碼宜按照GB/T2659執(zhí)行中國地區(qū)的行政區(qū)劃代碼宜按照GB/T2260執(zhí)行2信息來源3首次發(fā)生時間采用國際標準時間，時間格式宜參考GB/T74084最后發(fā)生時間采用國際標準時間，時間格式宜參考GB/T74085時間段內發(fā)生總次數(shù)6時間段內涉及機構總數(shù)—7威脅信息類型8威脅等級一般設置高、中、低三級9威脅命中情況威脅誤報情況一威脅傳遞時效性11威脅信息共享保障機制威脅信息共享參與方宜通過合同或協(xié)議等方式確認威脅信息共享關系的建立，明確共享的目標、目威脅信息共享參與方宜提供機構接口人等聯(lián)絡方式，便于威脅信息使用方溝通確認相關技術細節(jié)信息。威脅信息共享參與方宜監(jiān)控金融網絡安全威脅信息共享平臺和其他威脅共享參與方系統(tǒng)的網絡7GB/T42708—202312威脅信息共享安全管理威脅信息可支持應用程序或人工訪問。威脅信息控制者在保護威脅信息時，宜建立訪問授權控制威脅信息共享時宜采用安全通道進行傳輸。威脅信息存儲時宜采取有效的加密手段或其他安全措施進行保護。威脅信息使用后宜根據(jù)需要及時進行刪除或銷毀。8GB/T42708—2023(資料性)典型金融網絡安全威脅信息共享場景A.1網絡安全服務方的威脅信息共享網絡安全服務方發(fā)現(xiàn)特定的金融機構面臨網絡安全威脅時，可直接與金融機構進行威脅信息共享，提升信息準確性和共享效率；網絡安全服務方發(fā)現(xiàn)金融行業(yè)全局性威脅時，可與金融網絡安全威脅信息共享平臺進行威脅信息共享。網絡安全服務方的威脅信息共享見圖A.1。金融機構網絡安全服務方金融網絡安企威脅信息共享平臺圖A.1網絡安全服務方的威脅信息共享網絡安全服務方在開展威脅信息分析時，為防止數(shù)據(jù)遺漏導致威脅信息無法被利用，宜重點考慮威脅信息全面性，共享與特定金融機構或金融行業(yè)相關聯(lián)的全量數(shù)據(jù)。由于過多的威脅信息共享可能帶來威脅處置上的困難和大量誤報等問題，網絡安全服務方宜持續(xù)關注并提升信息質量。A.2基礎設施提供方的威脅信息共享金融機構在使用運營商網絡(包括但不限于專線、移動蜂窩網絡、Wi-Fi、衛(wèi)星網絡)、云計算服務商等基礎設施時，網絡安全性受基礎設施影響。相關基礎設施運營機構可直接與金融機構進行威脅信息共享。由于基礎設施層面的網絡安全威脅波及范圍廣，直接影響金融機構業(yè)務系統(tǒng)的運行和金融行業(yè)的安全穩(wěn)定，相關基礎設施運營機構也可直接與金融網絡安全威脅信息共享平臺進行威脅信息共享?；A設施提供方的威脅信息共享見圖A.2。上礎設施提供方金融機構1金融機構N金融網絡安全威脅信息共亨平臺圖A.2基礎設施提供方的威脅信息共享9A.3不同金融機構間的威脅信息共享由于金融機構間存在業(yè)務系統(tǒng)的交互，金融機構業(yè)務執(zhí)行過程中可能影響其他金融機構的業(yè)務安全。金融機構在發(fā)現(xiàn)自身存在相關威脅時，為防止威脅在金融網絡中的擴散，將相關威脅信息共享給其他金融機構，以便在安全風險發(fā)生前對威脅進行及時的識別并采取相應的防御措施。不同金融機構間的威脅信息共享見圖A.3。金融網絡安企威脅信息共享平臺金融機構B金融網絡安全威脅信息共享平臺金融機構N圖A.3不同金融機構間的威脅信息共享不同金融機構之間的威脅信息共享宜充分考慮下列內容。a)威脅信息關聯(lián)性，即金融機構A在開展業(yè)務過程中與金融機構B的賬戶信息、業(yè)務系統(tǒng)等產生關聯(lián)，則威脅信息的影響也存在必要的聯(lián)系。b)業(yè)務共性，即不同金融機構開展的同類業(yè)務可能遭遇到相似的攻擊，這些攻擊在時間、空間都具備相似的特性，金融機構宜將與業(yè)務共性相關的威脅信息共享給行業(yè)平臺，由行業(yè)平臺進行批量預警。A.4金融機構業(yè)務合作方的威脅信息共享金融機構通過API方式、SDK與其他機構開展業(yè)務合作時，存在威脅信息共享需求。合作方的業(yè)務應用系統(tǒng)遭到攻擊或發(fā)現(xiàn)異常行為時，如業(yè)務合作方的APP遭到攻擊、電子商務合作方發(fā)現(xiàn)購物異常、短信提供商發(fā)現(xiàn)短信發(fā)送頻率異常等情況時，宜及時將相關威脅信息共享給合