GB/T 42708-2023
基本信息
标准号: GB/T 42708-2023
中文名称:金融网络安全威胁信息共享指南
标准类别:国家标准(GB)
英文名称:Guideline for financial cybersecurity threat information sharing
标准状态:现行
发布日期:2023-08-06
实施日期:2023-08-06
出版语种:简体中文
下载格式:.pdf .zip
下载大小:5343755
标准分类号
标准ICS号:信息技术、办公机械设备>>信息技术应用>>35.240.40信息技术在银行中的应用
中标分类号:综合>>经济、文化>>A11金融、保险
关联标准
出版信息
出版社:中国标准出版社
页数:16页
标准价格:31.0
相关单位信息
起草人:王玲、李晓伟、张志波、于鸽、李博文、段超、侯晓晨、余思、聂玉涵、陈德锋、黄建德、廖渊、赵凯峰、苏涵、王美科、何启翱、刘汝隽、任震、彭大祥、孟熹、潘丽扬、李凡、蒋增增、林智鑫
起草单位:北京银联金卡科技有限公司、中国工商银行股份有限公司、中国建设银行股份有限公司、建信金融科技有限责任公司、中国邮政储蓄银行股份有限公司、中国银联股份有限公司、中国银行股份有限公司、中国农业银行股份有限公司、联通支付有限公司、天翼电子商务有限公司等
归口单位:全国金融标准化技术委员会(SAC/TC 180)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件给出了金融网络安全威胁信息的共享框架、共享原则、共享方式、共享流程、质量管理、保障机制、安全管理等方面的建议。本文件适用于参与金融网络安全威胁信息共享的金融机构和相关组织。
标准图片预览
标准内容
ICS35.240.40
CCS A 11
中华人民共和国国家标准
GB/T42708—2023
金融网络安全威胁信息共享指南Guideline for financial cybersecurity threat information sharing2023-08-06发布
国家市场监督管理总局
国家标准化管理委员会
2023-08-06实施
GB/T42708—2023
规范性引用文件
术语和定义
缩略语
威胁信息共享框架
威胁信息共享原则
威胁信息共享方式
威胁信息共享流程
威胁信息共享基本流程
威胁信息分析
威胁信息共享
威胁信息使用
威胁信息使用反馈
威胁信息质量管理
威胁信息组件格式·
威胁信息综合评定
威胁信息共享保障机制·
威胁信息共享安全管理
访问控制:
数据管理
安全审计
应急响应
附录A(资料性)典型金融网络安全威胁信息共享场景A.1
网络安全服务方的威胁信息共享基础设施提供方的威胁信息共享A.3不同金融机构间的威胁信息共享A.4金融机构业务合作方的威胁信息共享参考文献
GB/T42708—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国金融标准化技术委员会(SAC/TC180)归口。本文件起草单位:北京银联金卡科技有限公司、中国工商银行股份有限公司、中国建设银行股份有限公司、建信金融科技有限责任公司、中国邮政储蓄银行股份有限公司、中国银联股份有限公司、中国银行股份有限公司、中国农业银行股份有限公司、联通支付有限公司、天翼电子商务有限公司、北京国家金融科技认证中心有限公司、腾讯云计算(北京)有限责任公司。本文件主要起草人:王玲、李晓伟、张志波、于鸽、李博文、段超、侯晓晨、余思、聂玉涵、陈德锋、黄建德、廖渊、赵凯峰、苏涵、王美科、何启翱、刘汝隽、任震、彭大祥、孟熹、潘丽扬、李凡、蒋增增、林智鑫。I
GB/T42708—2023
当前,互联网技术在金融行业广泛应用,网络技术既给广大用户带来便利,又带来网络安全威胁。金融行业增强网络安全威胁信息的获取能力,强化威胁信息共享和使用,有助于提升网络安全防控整体水平。
金融网络安全威胁信息共享旨在采用技术手段实现网络安全威胁信息的有效流动,通过建立威胁信息共享机制,促进威胁信息的融合、分析,提升威胁信息利用的精准度,实现安全风险的及时预警、响应和处置,以降低金融网络威胁信息的使用成本,提升金融网络风险处置能力。1范围
金融网络安全威胁信息共享指南GB/T42708—2023
本文件给出了金融网络安全威胁信息的共享框架、共享原则、共享方式、共享流程、质量管理、保障机制、安全管理等方面的建议。本文件适用于参与金融网络安全威胁信息共享的金融机构和相关组织。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T2260
GB/T2659
GB32100
术语和定义
中华人民共和国行政区划代码
世界各国和地区名称代码
法人和其他组织统一社会信用代码编码规则下列术语和定义适用于本文件。3.1
办threat
可能对系统或组织造成危害的不期望事件的潜在原由。[来源:GB/T29246—2017,2.83]3.2
threatinformation
威胁信息
一种基于证据的知识,用于描述现有的或可能出现的威胁,从而实现对威胁的响应和预防。注:威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。[来源:GB/T36643—2018,3.3]3.3
威胁信息控制者threatinformationcontroller有能力决定威胁信息处理目的、方式等的组织或个人。3.4
Esharing
威胁信息控制者向其他控制者提供威胁信息,且双方分别对威胁信息拥有独立控制权的过程。4
缩略语
下列缩略语适用于本文件。
API:应用程序接口(ApplicationProgrammingInterface)1
GB/T42708—2023
APP:应用软件(Application)IP:网际互连协议(InternetProtocol)SDK:软件开发工具包(SoftwareDevelopmentKit)5总则
建立金融行业网络安全威胁信息共享机制,基于共享价值对结构化网络安全威胁数据进行分析,畅通网络安全威胁信息的共享通道,制定威胁信息的数据标准。6威胁信息共享框架
威胁信息共享的目标是为金融行业提供高质量、高时效的网络安全威胁信息。通过建立健全多层次、跨机构的威胁信息共享机制,建立常态化、可信赖的威胁信息共享路径,促进金融行业和其他行业的威胁信息深入合作。威胁信息共享参与者在遵循共享原则的前提下进行威胁信息传递。金融行业网络安全威胁信息共享框架见图1金融行业威胁信息共享平台
金融机构
金融机构1
威胁信息提供方
网络安全
服务机构
基础设施
提供方
金融业务
合作方
图1金融行业网络安全威胁信息共享框架图金融网络安全威胁信息共享的主要参与者包括:金融机构N
国家/其他行业
威胁信息平台
金融网络安全威胁信息共享平台:按照金融行业需要搭建信息共享的基础设施,为不同参与机构提供信息共享服务接口和沟通协调渠道;b)
金融机构:金融网络安全威胁信息共享的核心受益者,通过接收威胁信息提供方的威胁信息,提高自身的威胁研判和网络安全能力,应对网络安全风险;威胁信息提供方:收集、分析、提供网络安全威胁信息的组织或个人,主要为网络安全服务方c
(如安全服务公司、威胁信息共享社区、安全测试人员);国家或其他行业威胁信息平台,金融机构、为金融机构提供基础设施服务的机构、与金融机构存在业务合作的机构在发现金融网络安全威胁信息时,也可作为威胁信息提供方。不同金融机构之间可以通过金融网络安全威胁信息共享平台共享威胁信息威胁信息共享的内容主要包括威胁发生时间、威胁环境信息、影响范围、影响对象、影响程度、安全事件信息等。
威胁信息共享原则
威胁信息共享遵循以下原则:
GB/T42708—2023
最小必要原则:仅共享满足金融网络安全威信息共享需要的最少信息,非必要信息不可a)
共享;
知情同意原则:金融机构在信息提供方知悉并同意的前提下开展主体信息、网络资产信息、客b)
户信息等关键信息的再利用;
信息追溯原则:共享过程中记录共享方、使用方、共享时间、共享方式等信息,保障威胁信息共享活动可追溯;
安全可控原则:威胁信息共享的参与者对威胁信息采取同等安全措施的保护,保障威胁信息在共享过程中安全可控。
8威胁信息共享方式
8.1根据共享的时效性不同,威胁信息共享方式可分为实时共享和批量共享。实时共享:共享参与者发现威胁信息时,采用自动化方式实时触发共享a)
批量共享:共享参与者对相关的威胁信息进行批量存储,定时或人工触发共享。8.2根据共享的目标不同,威胁信息共享方式可分为定向共享和非定向共享。定向共享:威胁信息发送方能够明确并指定威胁信息的最终接收方,通常在威胁信息与特定金a)
融机构关联时使用,以提高共享的精准性b)
非定向共享:威胁信息的发送方无法明确威胁信息的最终接收方或威胁涉及金融行业全局,因而将威胁信息发送至共享平台,由共享平台以广播的方式通知金融机构。非定向共享的主要目标是提高信息共享的覆盖面,提升机构间联防联控能力。8.3根据共享的参与机构不同,威胁信息共享方式可以分为中心共享模式和点对点共享模式a)中心共享模式:以金融网络安全威胁信息共享平台为中心,用于存储或交换来自信息共享成员或其他来源的信息。由成员提供的信息被中心直接转发给其他成员,或由中心以某种方式处理后分发给指定的成员,
点对点共享模式:成员彼此之间直接进行信息共享。成员各自负责利用、汇总、关联、分析、验b)
证、处理、保护和交换信息,成员间交换的信息只能是成员获取、分析和分发的有限数据。信息交换的安全性、速度和频率等取决于相关成员的需求和能力。9威信息共享流程
9.1威胁信息共享基本流程
威胁信息共享基本流程基于最小共享模型提出,仅包含一个威胁信息发送方和一个威胁信息接收方。其中,威胁信息发送方即威胁信息提供方,威胁信息接收方即威胁信息使用方。威胁信息发送方发现威胁,对威胁信息进行分析,根据威胁信息的分析情况将威胁信息共享给威肋信息接收方。威胁信息接收方根据需要使用威胁信息,并对威胁信息的使用情况进行反馈。威胁信息共享流程见图2。
GB/T42708—2023
威胁信息发送方
1.威胁信息分析
2.威助信息共享
威胁信总接收方
4.成胁信息使用反馈
图2威胁信息共享流程
3.威协信息使用
在金融行业的威胁信息共享中,可能经过信息多级传输,一个参与机构在一次共享中既作为信息发送方又作为信息接收方存在,参与机构根据其实际处理中的角色确定其具体工作。金融网络安全威胁信息共享平台主动发现威胁信息时,按照威胁信息发送方的要求进行分析和共享;金融网络安全威胁信息共享平台仅作为共享渠道转发威胁信息时,可不进行威胁信息分析工作。典型的金融网络安全威胁信息共享场景参见附录A。9.2威胁信息分析
威胁信息发送方执行威胁信息共享前,开展威胁信息的分析工作,具体内容如下:对威胁信息的原始数据进行处理,通过数据提取、去噪、归类、转换、加工等操作,将威胁信息转a)
化为结构化数据,便于威胁信息的分析;对威胁信息结构化数据和原始数据进行比较分析,保障威胁信息结构化数据能精准表达原始b)
数据所蕴含的信息;
分析威胁信息的共享价值,综合评价威胁信息的来源、数量、威胁等级、威胁对象、时效性等方c
面,以确定威胁信息是否需要共享;威胁信息共享可能导致数据违规使用等风险,如威胁信息中涉及个人信息或其他具有安全隐d)
患的内容,宜参照有关数据评估要求确认共享的可行性。9.3威胁信息共享
威胁信息发送方根据威胁信息的分析情况确定共享方式,以提升威胁信息的时效性和可达性,并通过安全的技术手段保障威胁信息中的重要信息在共享、传输过程中的机密性和完整性。9.4威胁信息使用
9.4.1接收方获得威胁信息后,基于证据和逻辑对威胁信息进行分析、判断,对未来情况及其可能性进行预判,具体内容如下:
a)初步评估:威胁信息使用方对所持有威胁信息进行初步评估,包括但不限于逻辑性、时效性和丰富性;
交叉评估:当威胁信息使用方持有同一安全事件两条或两条以上威胁信息时,对所有威胁信息b)
进行比对,评估多条威胁信息间的重复性和差异性;威胁信息提供方宜对存在冲突的威胁信息4
做出解释,便于威胁信息使用方自行评估采用威胁信息的风险;GB/T42708—2023
持续评估:持续对威胁信息的评估最终形成对威胁信息源的评估,包括但不限于威胁信息源多c
样性、丰富性、及时性、差异性评估,其结果可形成指标并用于提升初步评估的效果9.4.2在遵循威胁信息共享(见9.3)前提下,威胁信息接收方在其所属环境研究、测试、应用威胁信息,具体内容如下:
a)旁路使用:在不影响真实业务环境条件下,通过利用模拟环境、历史数据或流量镜像等方式模拟使用威胁信息以观测其作用,该阶段用于观测威胁信息的误报率、可用性和对业务环境可能产生的影响,并通知上下游相关业务方,明确应对方案,包括但不限于撤回方案、回滚方案、备份方案等;
边缘使用:在真实业务环境中的某些边缘业务内使用威胁信息,以观测威胁信息对真实业务环境的影响,该阶段进一步确认威胁信息在真实业务环境使用的可用性,并验证和完善应对方案;
c)正式使用:在真实业务环境中使用威胁信息,持续观测威胁信息对真实业务的影响,并持续关注已使用威胁信息的参数变化,包括但不限于威胁信息是否已被撤回、威胁信息的时效性、威胁信息准确性及其他参数的变化。9.4.3威胁信息使用后,威胁信息使用方可将数据完整留存备查,包括但不限于原始线索、证据信息、事件内容、事件时间、威胁信息本身、威胁信息提供方信息、经办人、研判结论等相关数据。9.5威胁信息使用反馈
威胁信息接收方在使用威胁信息后,可对威胁信息的使用情况进行记录并做出质量评价。威胁信息接收方宜将使用反馈信息及时提供给该威胁信息的发送方,威胁信息的发送方可根据使用反馈情况优化威胁信息的生产、采集、评估方法,从而提升威胁信息的共享质量。使用情况反馈可包括下列内容。a)
信息相关性。判断网络安全威胁信息是否与信息接收方的信息系统运行环境相关,是否为信息接收方可能面临的威胁或可能遭受的攻击。信息准确性。判断网络安全信息是否准确、完整。不准确或不完整的网络安全信息可能妨碍b)
重要的行动,引起不必要或不适当的响应行动,或使信息接收方产生安全错觉。c)
信息时效性。判断网络安全威胁信息的获取是否及时,以使给信息接收方提供充足的时间预测威胁并做出响应。时效性的定义与信息变化速度、攻击速度、攻击者能力、可能造成的影响等因素有关。
信息具体性。判断网络安全威胁信息是否详细描述网络安全事件、网络安全攻击者等信息的细节,以便信息接收方清晰了解威胁对他们的影响。包含足够信息和背景的网络安全信息使信息接收者能够制定应对方案和采取响应行动。10威胁信息质量管理
10.1威胁信息组件格式
威胁信息组件是威胁信息共享的元数据。金融行业宜建立统一的数据格式进行威胁信息组件描述,宜建立统一的威胁信息共享接口用于开展威胁信息共享,降低威胁信息共享接人成本,提升威胁信息共享效率。威胁信息共享接口主要字段参考表1。5
GB/T42708—2023
数据字段
威胁信息提供方
威胁信息发生时间
受威胁机构代码
受威胁机构名称
威胁信息类型
安全事件详情
威胁信息综合评定
威胁信息共享接口数据字段
描述方式
威胁信息提供方标识和域名、IP等信息采用国际标准时间,时间格式宜参考GB/T7408采用统一社会信用代码,宜符合GB32100采用统一社会信用代码的机构注册名称根据金融行业面临的威胁分类,可设置子类型,如病毒木马、漏洞攻击等宜参考GB/T36643
金融机构可建立威胁信息质量评价模型,综合评定不同渠道网络威胁信息的有效性,通过设置权重、优先级等方式,提高威胁信息使用的精准性。质量评价模型可以根据威胁信息使用情况进行建立,综合判定参考因素见表2。
由于不同的威胁信息共享方收集和共享的威胁信息可能存在特征差异,威胁信息质量评价模型根据威胁特征的差异性进行建立,避免错误模型影响威胁信息的有效使用。表2威胁信息综合判定参考因素
参考因素
信息所属地区
信息来源
首次发生时间
最后发生时间
时间段内发生总次数
时间段内涉及机构总数
威胁信息类型
威胁等级
威胁命中情况
威胁误报情况
威胁传递时效性
威胁信息共享保障机制
描述方式
国家和地区编码宜按照GB/T2659执行中国地区的行政区划代码宜按照GB/T2260执行威胁信息的发送方标识,宜采用GB32100统一社会信用代码和机构注册名称采用国际标准时间,时间格式宜参考GB/T7408采用国际标准时间,时间格式宜参考GB/T7408一般设置高、中、低三级
威胁信息共享参与方宜通过合同或协议等方式确认威胁信息共享关系的建立,明确共享的目标、目的、范围、参与方以及网络安全相关的责任义务。威胁信息共享参与方宜提供机构接口人等联络方式,便于威胁信息使用方沟通确认相关技术细节信息。威胁信息共享参与方宜监控金融网络安全威胁信息共享平台和其他威胁共享参与方系统的网络6免费标准bzxz.net
连通性情况,及时处置网络延迟、通信阻塞等异常以保障威胁信息传输的时效性GB/T42708—2023
威胁信息共享参与方退出共享关系时,按照合同或协议约定完成相关义务,不私自泄露、出售在共享活动中获取的网络安全信息
12威胁信息共享安全管理
12.1访问控制
威胁信息可支持应用程序或人工访问。威胁信息控制者在保护威胁信息时,宜建立访问授权控制机制,对访问威胁信息的应用程序或人员进行身份验证,合理控制访问数据的时间范围、内容和数量。12.2
数据管理
威胁信息共享时宜采用安全通道进行传输。威胁信息存储时宜采取有效的加密手段或其他安全措施进行保护。威胁信息使用后宜根据需要及时进行删除或销毁12.3
安全审计
威胁信息控制者宜建立威胁信息使用过程的安全审计能力,包括对威胁信息在采集、评估、共享、使用各流程的使用行为记录,降低威胁信息共享风险。12.4应急响应
威胁信息控制者宜建立配套的应急响应机制,必要时及时切断信息共享,应对威胁信息共享过程中面临的突发事件。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCS A 11
中华人民共和国国家标准
GB/T42708—2023
金融网络安全威胁信息共享指南Guideline for financial cybersecurity threat information sharing2023-08-06发布
国家市场监督管理总局
国家标准化管理委员会
2023-08-06实施
GB/T42708—2023
规范性引用文件
术语和定义
缩略语
威胁信息共享框架
威胁信息共享原则
威胁信息共享方式
威胁信息共享流程
威胁信息共享基本流程
威胁信息分析
威胁信息共享
威胁信息使用
威胁信息使用反馈
威胁信息质量管理
威胁信息组件格式·
威胁信息综合评定
威胁信息共享保障机制·
威胁信息共享安全管理
访问控制:
数据管理
安全审计
应急响应
附录A(资料性)典型金融网络安全威胁信息共享场景A.1
网络安全服务方的威胁信息共享基础设施提供方的威胁信息共享A.3不同金融机构间的威胁信息共享A.4金融机构业务合作方的威胁信息共享参考文献
GB/T42708—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国金融标准化技术委员会(SAC/TC180)归口。本文件起草单位:北京银联金卡科技有限公司、中国工商银行股份有限公司、中国建设银行股份有限公司、建信金融科技有限责任公司、中国邮政储蓄银行股份有限公司、中国银联股份有限公司、中国银行股份有限公司、中国农业银行股份有限公司、联通支付有限公司、天翼电子商务有限公司、北京国家金融科技认证中心有限公司、腾讯云计算(北京)有限责任公司。本文件主要起草人:王玲、李晓伟、张志波、于鸽、李博文、段超、侯晓晨、余思、聂玉涵、陈德锋、黄建德、廖渊、赵凯峰、苏涵、王美科、何启翱、刘汝隽、任震、彭大祥、孟熹、潘丽扬、李凡、蒋增增、林智鑫。I
GB/T42708—2023
当前,互联网技术在金融行业广泛应用,网络技术既给广大用户带来便利,又带来网络安全威胁。金融行业增强网络安全威胁信息的获取能力,强化威胁信息共享和使用,有助于提升网络安全防控整体水平。
金融网络安全威胁信息共享旨在采用技术手段实现网络安全威胁信息的有效流动,通过建立威胁信息共享机制,促进威胁信息的融合、分析,提升威胁信息利用的精准度,实现安全风险的及时预警、响应和处置,以降低金融网络威胁信息的使用成本,提升金融网络风险处置能力。1范围
金融网络安全威胁信息共享指南GB/T42708—2023
本文件给出了金融网络安全威胁信息的共享框架、共享原则、共享方式、共享流程、质量管理、保障机制、安全管理等方面的建议。本文件适用于参与金融网络安全威胁信息共享的金融机构和相关组织。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T2260
GB/T2659
GB32100
术语和定义
中华人民共和国行政区划代码
世界各国和地区名称代码
法人和其他组织统一社会信用代码编码规则下列术语和定义适用于本文件。3.1
办threat
可能对系统或组织造成危害的不期望事件的潜在原由。[来源:GB/T29246—2017,2.83]3.2
threatinformation
威胁信息
一种基于证据的知识,用于描述现有的或可能出现的威胁,从而实现对威胁的响应和预防。注:威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。[来源:GB/T36643—2018,3.3]3.3
威胁信息控制者threatinformationcontroller有能力决定威胁信息处理目的、方式等的组织或个人。3.4
Esharing
威胁信息控制者向其他控制者提供威胁信息,且双方分别对威胁信息拥有独立控制权的过程。4
缩略语
下列缩略语适用于本文件。
API:应用程序接口(ApplicationProgrammingInterface)1
GB/T42708—2023
APP:应用软件(Application)IP:网际互连协议(InternetProtocol)SDK:软件开发工具包(SoftwareDevelopmentKit)5总则
建立金融行业网络安全威胁信息共享机制,基于共享价值对结构化网络安全威胁数据进行分析,畅通网络安全威胁信息的共享通道,制定威胁信息的数据标准。6威胁信息共享框架
威胁信息共享的目标是为金融行业提供高质量、高时效的网络安全威胁信息。通过建立健全多层次、跨机构的威胁信息共享机制,建立常态化、可信赖的威胁信息共享路径,促进金融行业和其他行业的威胁信息深入合作。威胁信息共享参与者在遵循共享原则的前提下进行威胁信息传递。金融行业网络安全威胁信息共享框架见图1金融行业威胁信息共享平台
金融机构
金融机构1
威胁信息提供方
网络安全
服务机构
基础设施
提供方
金融业务
合作方
图1金融行业网络安全威胁信息共享框架图金融网络安全威胁信息共享的主要参与者包括:金融机构N
国家/其他行业
威胁信息平台
金融网络安全威胁信息共享平台:按照金融行业需要搭建信息共享的基础设施,为不同参与机构提供信息共享服务接口和沟通协调渠道;b)
金融机构:金融网络安全威胁信息共享的核心受益者,通过接收威胁信息提供方的威胁信息,提高自身的威胁研判和网络安全能力,应对网络安全风险;威胁信息提供方:收集、分析、提供网络安全威胁信息的组织或个人,主要为网络安全服务方c
(如安全服务公司、威胁信息共享社区、安全测试人员);国家或其他行业威胁信息平台,金融机构、为金融机构提供基础设施服务的机构、与金融机构存在业务合作的机构在发现金融网络安全威胁信息时,也可作为威胁信息提供方。不同金融机构之间可以通过金融网络安全威胁信息共享平台共享威胁信息威胁信息共享的内容主要包括威胁发生时间、威胁环境信息、影响范围、影响对象、影响程度、安全事件信息等。
威胁信息共享原则
威胁信息共享遵循以下原则:
GB/T42708—2023
最小必要原则:仅共享满足金融网络安全威信息共享需要的最少信息,非必要信息不可a)
共享;
知情同意原则:金融机构在信息提供方知悉并同意的前提下开展主体信息、网络资产信息、客b)
户信息等关键信息的再利用;
信息追溯原则:共享过程中记录共享方、使用方、共享时间、共享方式等信息,保障威胁信息共享活动可追溯;
安全可控原则:威胁信息共享的参与者对威胁信息采取同等安全措施的保护,保障威胁信息在共享过程中安全可控。
8威胁信息共享方式
8.1根据共享的时效性不同,威胁信息共享方式可分为实时共享和批量共享。实时共享:共享参与者发现威胁信息时,采用自动化方式实时触发共享a)
批量共享:共享参与者对相关的威胁信息进行批量存储,定时或人工触发共享。8.2根据共享的目标不同,威胁信息共享方式可分为定向共享和非定向共享。定向共享:威胁信息发送方能够明确并指定威胁信息的最终接收方,通常在威胁信息与特定金a)
融机构关联时使用,以提高共享的精准性b)
非定向共享:威胁信息的发送方无法明确威胁信息的最终接收方或威胁涉及金融行业全局,因而将威胁信息发送至共享平台,由共享平台以广播的方式通知金融机构。非定向共享的主要目标是提高信息共享的覆盖面,提升机构间联防联控能力。8.3根据共享的参与机构不同,威胁信息共享方式可以分为中心共享模式和点对点共享模式a)中心共享模式:以金融网络安全威胁信息共享平台为中心,用于存储或交换来自信息共享成员或其他来源的信息。由成员提供的信息被中心直接转发给其他成员,或由中心以某种方式处理后分发给指定的成员,
点对点共享模式:成员彼此之间直接进行信息共享。成员各自负责利用、汇总、关联、分析、验b)
证、处理、保护和交换信息,成员间交换的信息只能是成员获取、分析和分发的有限数据。信息交换的安全性、速度和频率等取决于相关成员的需求和能力。9威信息共享流程
9.1威胁信息共享基本流程
威胁信息共享基本流程基于最小共享模型提出,仅包含一个威胁信息发送方和一个威胁信息接收方。其中,威胁信息发送方即威胁信息提供方,威胁信息接收方即威胁信息使用方。威胁信息发送方发现威胁,对威胁信息进行分析,根据威胁信息的分析情况将威胁信息共享给威肋信息接收方。威胁信息接收方根据需要使用威胁信息,并对威胁信息的使用情况进行反馈。威胁信息共享流程见图2。
GB/T42708—2023
威胁信息发送方
1.威胁信息分析
2.威助信息共享
威胁信总接收方
4.成胁信息使用反馈
图2威胁信息共享流程
3.威协信息使用
在金融行业的威胁信息共享中,可能经过信息多级传输,一个参与机构在一次共享中既作为信息发送方又作为信息接收方存在,参与机构根据其实际处理中的角色确定其具体工作。金融网络安全威胁信息共享平台主动发现威胁信息时,按照威胁信息发送方的要求进行分析和共享;金融网络安全威胁信息共享平台仅作为共享渠道转发威胁信息时,可不进行威胁信息分析工作。典型的金融网络安全威胁信息共享场景参见附录A。9.2威胁信息分析
威胁信息发送方执行威胁信息共享前,开展威胁信息的分析工作,具体内容如下:对威胁信息的原始数据进行处理,通过数据提取、去噪、归类、转换、加工等操作,将威胁信息转a)
化为结构化数据,便于威胁信息的分析;对威胁信息结构化数据和原始数据进行比较分析,保障威胁信息结构化数据能精准表达原始b)
数据所蕴含的信息;
分析威胁信息的共享价值,综合评价威胁信息的来源、数量、威胁等级、威胁对象、时效性等方c
面,以确定威胁信息是否需要共享;威胁信息共享可能导致数据违规使用等风险,如威胁信息中涉及个人信息或其他具有安全隐d)
患的内容,宜参照有关数据评估要求确认共享的可行性。9.3威胁信息共享
威胁信息发送方根据威胁信息的分析情况确定共享方式,以提升威胁信息的时效性和可达性,并通过安全的技术手段保障威胁信息中的重要信息在共享、传输过程中的机密性和完整性。9.4威胁信息使用
9.4.1接收方获得威胁信息后,基于证据和逻辑对威胁信息进行分析、判断,对未来情况及其可能性进行预判,具体内容如下:
a)初步评估:威胁信息使用方对所持有威胁信息进行初步评估,包括但不限于逻辑性、时效性和丰富性;
交叉评估:当威胁信息使用方持有同一安全事件两条或两条以上威胁信息时,对所有威胁信息b)
进行比对,评估多条威胁信息间的重复性和差异性;威胁信息提供方宜对存在冲突的威胁信息4
做出解释,便于威胁信息使用方自行评估采用威胁信息的风险;GB/T42708—2023
持续评估:持续对威胁信息的评估最终形成对威胁信息源的评估,包括但不限于威胁信息源多c
样性、丰富性、及时性、差异性评估,其结果可形成指标并用于提升初步评估的效果9.4.2在遵循威胁信息共享(见9.3)前提下,威胁信息接收方在其所属环境研究、测试、应用威胁信息,具体内容如下:
a)旁路使用:在不影响真实业务环境条件下,通过利用模拟环境、历史数据或流量镜像等方式模拟使用威胁信息以观测其作用,该阶段用于观测威胁信息的误报率、可用性和对业务环境可能产生的影响,并通知上下游相关业务方,明确应对方案,包括但不限于撤回方案、回滚方案、备份方案等;
边缘使用:在真实业务环境中的某些边缘业务内使用威胁信息,以观测威胁信息对真实业务环境的影响,该阶段进一步确认威胁信息在真实业务环境使用的可用性,并验证和完善应对方案;
c)正式使用:在真实业务环境中使用威胁信息,持续观测威胁信息对真实业务的影响,并持续关注已使用威胁信息的参数变化,包括但不限于威胁信息是否已被撤回、威胁信息的时效性、威胁信息准确性及其他参数的变化。9.4.3威胁信息使用后,威胁信息使用方可将数据完整留存备查,包括但不限于原始线索、证据信息、事件内容、事件时间、威胁信息本身、威胁信息提供方信息、经办人、研判结论等相关数据。9.5威胁信息使用反馈
威胁信息接收方在使用威胁信息后,可对威胁信息的使用情况进行记录并做出质量评价。威胁信息接收方宜将使用反馈信息及时提供给该威胁信息的发送方,威胁信息的发送方可根据使用反馈情况优化威胁信息的生产、采集、评估方法,从而提升威胁信息的共享质量。使用情况反馈可包括下列内容。a)
信息相关性。判断网络安全威胁信息是否与信息接收方的信息系统运行环境相关,是否为信息接收方可能面临的威胁或可能遭受的攻击。信息准确性。判断网络安全信息是否准确、完整。不准确或不完整的网络安全信息可能妨碍b)
重要的行动,引起不必要或不适当的响应行动,或使信息接收方产生安全错觉。c)
信息时效性。判断网络安全威胁信息的获取是否及时,以使给信息接收方提供充足的时间预测威胁并做出响应。时效性的定义与信息变化速度、攻击速度、攻击者能力、可能造成的影响等因素有关。
信息具体性。判断网络安全威胁信息是否详细描述网络安全事件、网络安全攻击者等信息的细节,以便信息接收方清晰了解威胁对他们的影响。包含足够信息和背景的网络安全信息使信息接收者能够制定应对方案和采取响应行动。10威胁信息质量管理
10.1威胁信息组件格式
威胁信息组件是威胁信息共享的元数据。金融行业宜建立统一的数据格式进行威胁信息组件描述,宜建立统一的威胁信息共享接口用于开展威胁信息共享,降低威胁信息共享接人成本,提升威胁信息共享效率。威胁信息共享接口主要字段参考表1。5
GB/T42708—2023
数据字段
威胁信息提供方
威胁信息发生时间
受威胁机构代码
受威胁机构名称
威胁信息类型
安全事件详情
威胁信息综合评定
威胁信息共享接口数据字段
描述方式
威胁信息提供方标识和域名、IP等信息采用国际标准时间,时间格式宜参考GB/T7408采用统一社会信用代码,宜符合GB32100采用统一社会信用代码的机构注册名称根据金融行业面临的威胁分类,可设置子类型,如病毒木马、漏洞攻击等宜参考GB/T36643
金融机构可建立威胁信息质量评价模型,综合评定不同渠道网络威胁信息的有效性,通过设置权重、优先级等方式,提高威胁信息使用的精准性。质量评价模型可以根据威胁信息使用情况进行建立,综合判定参考因素见表2。
由于不同的威胁信息共享方收集和共享的威胁信息可能存在特征差异,威胁信息质量评价模型根据威胁特征的差异性进行建立,避免错误模型影响威胁信息的有效使用。表2威胁信息综合判定参考因素
参考因素
信息所属地区
信息来源
首次发生时间
最后发生时间
时间段内发生总次数
时间段内涉及机构总数
威胁信息类型
威胁等级
威胁命中情况
威胁误报情况
威胁传递时效性
威胁信息共享保障机制
描述方式
国家和地区编码宜按照GB/T2659执行中国地区的行政区划代码宜按照GB/T2260执行威胁信息的发送方标识,宜采用GB32100统一社会信用代码和机构注册名称采用国际标准时间,时间格式宜参考GB/T7408采用国际标准时间,时间格式宜参考GB/T7408一般设置高、中、低三级
威胁信息共享参与方宜通过合同或协议等方式确认威胁信息共享关系的建立,明确共享的目标、目的、范围、参与方以及网络安全相关的责任义务。威胁信息共享参与方宜提供机构接口人等联络方式,便于威胁信息使用方沟通确认相关技术细节信息。威胁信息共享参与方宜监控金融网络安全威胁信息共享平台和其他威胁共享参与方系统的网络6免费标准bzxz.net
连通性情况,及时处置网络延迟、通信阻塞等异常以保障威胁信息传输的时效性GB/T42708—2023
威胁信息共享参与方退出共享关系时,按照合同或协议约定完成相关义务,不私自泄露、出售在共享活动中获取的网络安全信息
12威胁信息共享安全管理
12.1访问控制
威胁信息可支持应用程序或人工访问。威胁信息控制者在保护威胁信息时,宜建立访问授权控制机制,对访问威胁信息的应用程序或人员进行身份验证,合理控制访问数据的时间范围、内容和数量。12.2
数据管理
威胁信息共享时宜采用安全通道进行传输。威胁信息存储时宜采取有效的加密手段或其他安全措施进行保护。威胁信息使用后宜根据需要及时进行删除或销毁12.3
安全审计
威胁信息控制者宜建立威胁信息使用过程的安全审计能力,包括对威胁信息在采集、评估、共享、使用各流程的使用行为记录,降低威胁信息共享风险。12.4应急响应
威胁信息控制者宜建立配套的应急响应机制,必要时及时切断信息共享,应对威胁信息共享过程中面临的突发事件。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。