GB∕T 43557-2023 信息安全技术 网络安全信息报送指南

信息安全技术网络安全信息报送指南2023-12-28发布国家标准化管理委员会1 Ⅲ 12规范性引用文件 13术语和定义 14网络安全信息报送内容 24.1信息类型 24.2信息要素 25网络安全信息报送活动 75.1要素和关系 75.2基本流程 85.3报送方式 5.4时效性 5.5准确性 附录（资料)网络安全报送信息类型网络共享享信息类别的对应关系 参考文献 1信息安全技术网络安全信息报送指南下列文件中的内容通过文中的规范性引用而构成本文件必不GB/T20984信息安全技术信息安全风险评估方法GB/T20986信息安全技术网络安全事件分类分级指南GB/T25069—2022信息安全技术术语GB/T30279信息安全技术网络安全漏洞分类分级指南GB/T36643信息安全技术网络安全威胁信息格式规范GB/T20984,GB/T20986、GB/T25069-2022,GB/T30279.GB/T36643界定的以及下列术语24.1信息类型本节中的信息类型与GB/Z42885—2023中的信息类别对应关系见附录A。网络安全信息通用部分的信息要素见表1。3说明网络安全信息编号网络安全信息名称报送时间宜精确到秒报送网络安全信息的单位/组织名称，人员姓名漏洞信息专属部分的推荐信息要素见表2，可选信息要素见表3。说明发现时间以秒为单位葡润类型面河分类归属的信息，漏间类型和分类方法见翻润级别的方法以及需要说明的其他相关信息等说明可使用通用漏洞披露（CVE)/国家信息安全漏洞共享平台（CNVD)/国家信息安全信息漏制JRI.届洞涉及的URI.包括潜在的影响范围，危害后果，发生的可能性，以及对业务措黄信息关联信息包括与此脆弱性相关的其他网络安全信息，如利用此脆弱性造成4网络配置合规缺陷信息专属部分的推荐信息要素见表4，可选信息要素见表5。说明发现时间以秒为单位说明当前值包括潜在的影响范围、危害后果，发生的可能性，以及对业务关联信息包括与此脆弱性相关的其他网络安全信息，如利用此脆弱性造成网络安全威胁信息专属部分的推荐信息要素见表6，可选信息要素见表7。说明发现时间以秒为单位成转类型接收方宜针对每个成赫类型，分别制定威胁描述的信息要素规范，见GB/T说明网络安全威胁的来源信息，可包括传播源IP/URL/城名，控制服务器IP地址/域名.回网络安全威物的目标信息，可包括目标国家/地区/行业/单位/组织/IP/城名/URL等5说明威胁级别潜在的影响范围、危害后果、发生的可能性，以及对业务措施信息报送方已采取的措施和后续计划措施，以及建议接收方/潜在受影响方关联信息与此网络安全威胁相关的其他网络安全信息，如该网络安全威胁所利用的脆弱性信息等网络安全事态信息专属部分的推荐信息要素见表8.可选信息要素见表9,网络说明发生时间网络安全事态的发生时间发现时间以秒为单位网络安全事态的类型，接收方宜根据需要制定需报送的网络安全事态类型接收方宜针对每个事态类型，分别制定事态描述的信息要素规范，可利用潜在的影响范围、危害后果，发生的可能性，以及对业务说明措施信息报送方已采取的措施和后续计划措施，以及建议接收方/潜在受影响关联信息与此网络安全事态相关的网络安全信息，如同网络安全事件信息专属部分的推荐信息要素见表10.可选信息要素见表11,6表10网络安全事件信息专属部分的推荐信息要素信急明说明发生时间网络安全事件的发生时间发现时间以秒为单位网络安全事件的类型.见GB/T20986事件级别对网络安全事件信息的级别划分方法制定规范接收方宜针对每个事件类型，分别制定事件描述的信息要素规范，可利用能项进行扩展攻击方信息被攻击方信息表11网络安全事件信息专属部分的可选信息要素说明网络安全事件影响资产的所属单位影响范围，危害后果，以及对业务的影响情况等攻击方法信息措施信息报送方已采取的措施和后续计划措施。以及建议接收方/受影响方/其关联信息与此网络安全事件相关的网络安全信息，如相关的网络安网络安全态势信息专属部分的信息要素见表12,表12网络安全态势信息专属部分的信息要素说明时间范围网络安全态势的时间范围对象范围描述网络安全态势所分析对象的范围，可包括地域、行业根据接收方的需求确定，并在信息报送方案明确，例如胞势等对网络安全态势的详细描述，可采用文件，网络安全信息专属部分的信息要素见表13。说明出现时间网络安全消息首次出现时间资讯来源网络安全信息的初始来源资讯简介资讯详情对间塔安全信息的详细描述，可采用文件，其他信息是不直接描述网络安全情况，但对网络安全态势研判有辅助作4.2.4可扩展部分除本文件列出的通用部分和各类型网络安全信息专属部分外，报送方和接收方可在报送网络接收方宜制定网络安全信息报送方案，并取得报送方的认可。网络安全信息网络安全信息报送活动的要素和关系如图1所示。8副定接收折生提供认叫数方沟通网络安全信息报送的非周期常规报送流程如图3所示。该流程适用于网络安全信息报送方案中约定的以非周期方式报送的网络安全信息，如重要的网络安全事件信报送方新增符合网络安全信息报送方案中要求的网络安全信息时，及时向接收方报送网络安全信息。报送力报送力误收力网络安全信息报送的专项报送流程如图4所示。该流程适用于网络安全信息报送方案中约定但具体内容根据接收方需求确定的网络安全信息。如网络安全信息报送方案中约定定的网络安全威胁进行跟踪监测并报送相关信息。当接收方提出针全信息报送方案中要求的网络安全信息时，及时向接收方报送网络安全信息。馈接收情况。上述获取信息、报送信息、反馈接收情况的过程可重复进行，直到U福环报透网格安全信息反锁接收情况发送结束振送理知结束报送通知民收左图4网络安全信息的专项报送流程网络安全信息报送可采用报送系统或电子邮件通过互联网、专用线路，虚拟专用网络（VPN）等方式进行，也可采用光电/纸质载体通过物理交换等方式进行。网络安全信息报送宜支持接收方和报送方之间双向的通知与反馈。5.4时效性接收方宜针对不同类型的信息，分别制定信息报送的时效性规范，并与报送方取得共识。报送方宜按照时效性规范进行信息报送。接收方可对报送方的报送时效性进行评价和反馈。报送各类网络安全信息的时效性规范见表14。表14报送各类网络安全信息的时效性脆弱性信息“发现时间”后2d之内网络安全威胁信息“发生时间”后1周之内。或“发现时间”后2d之内“发生时间”后1周之内，或“发现时间”后2d之内表14报送各类网络安全信息的时效性（续网络安全事件信息*发生时间后1周之内，或“发现时间”后2日之内网络安全态势信息数据网络安全态势信息的“时间范围”.由接收方和报送方进行约定1年，1月，1周的网络安全态势信息，分题可在3月之内，10d之内，3d之内报送网络安全消息网络安全消息“出现时间”后1周之内其他信息接收方和报送方宜对网络安全信息的准确性要求和评价方法进行约定，并体接收方和报送方宜共同对网络安全信息的报送过程制定安全性规范，接收方（资料性）网络安全报送信息类型与网络安全共享信息类别的对应关系根据GB/Z42885~2023，共享场景一般可分为信息公开，信息报送或下发，信息互换三类。其中，信息报送或下发为“一般由多层级的共享活动参与者完成，由下级参与者与上级参与者完成网络安全信息的共享”。因此，本文件中的网络安全信息报送活动为GB/Z42885—2023中网络安全信息共享活动的一类场景，并对该场景下的网络安全信息报送内容和报送活动进行了细化。GB/Z42885—2023中将网络安全共享信息分为威胁信息、安全事件信息、脆弱性信息，应对措施信7个类别下进一步划分子类，确保在特定共享活动中，网络安全信息描述的一致性，提升共享活动的效率和互操作性，”本文件4.1的信息类型与GB/Z42885-2023中的信息类别存在对应关系，如表A.1所示。表A.1网络安全报送信息类