G-B-Z 42885-2023 信息安全技术 网络安全信息共享指南 (正式版)

中华人民共和国国家标准化指导性技术文件信息安全技术网络安全信息共享指南2023-08-06发布2024-03-01实施国家市场监督管理总局IGB/Z42885—2023前言 12规范性引用文件 13术语和定义 14缩略语 15共享活动要素 25.1概述 25.2共享场景 25.3共享参与角色 25.4共享模式 35.5网络安全信息 36基本原则 36.1安全性原则 36.2可控性原则 36.3合规性原则 47共享范围 48共享活动过程 48.1概述 48.2共享活动准备 48.3共享活动实施 68.4共享活动终止 8附录A(资料性)网络安全信息共享活动示例 附录B(资料性)网络安全信息共享模式示例 B.1中心共享模式 B.2点对点共享模式 B.3混合共享模式 B.4群共享模式 附录C(资料性)网络安全信息描述 C.1威胁信息描述 C.2安全事件信息描述 C.3脆弱性信息描述 C.4应对措施信息描述 C.5经验信息描述 ⅡGB/Z42885—2023C.6态势信息描述 附录D(资料性)共享活动中的信息交换技术概述 D.1网络安全信息交换模型 D.2网络安全信息交换方法 D.3网络安全信息数据接口描述 参考文献 ⅢGB/Z42885—2023本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位：国家工业信息安全发展研究中心、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、中国信息安全测评中心、中国科学院信息工程研究所、杭州安恒信息技术股份有限公司、北京神州绿盟科技有限公司、四川大学、北京天融信网络安全技术有限公司、中国电子信息产业集团有限公司第六研究所、国网新疆电力有限公司电力科学研究院、中国航天科工飞航技术研究院、国能信息技术有限公司、南方电网数字电网集团有限公司、腾讯云计算(北京)有限责任公司、陕西省网络与信息安全测评中心。1信息安全技术网络安全信息共享指南本文件确立了网络安全信息共享活动要素和基本原则，描述了共享活动的范围和过程。本文件适用于各类组织或个人间的网络安全信息共享活动。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T25069—2022信息安全技术术语3术语和定义GB/T25069—2022界定的以及下列术语和定义适用于本文件。描述网络安全(即网络空间安全)相关情况的信息。共享活动sharingactivities通过采取有效的组织机制和技术手段，使网络安全信息在参与者间实现信息资源复用的活动。注：共享活动中网络安全信息可单向、双向或多向共享。共享模式sharingmode参与者间进行信息共享的行为方式。注：共享模式主要分为中心共享模式、点对点共享模式、混合共享模式和群共享模式。4缩略语下列缩略语适用于本文件。API:应用程序编程接口(ApplicationProgrammingInterface)HTTP:超文本传输协议(HyperTextTransferProtocol)HTTPS:超文本传输安全协议(HyperTextTransferProtocoloverSecureSocketLayer)P2P:点对点技术(peer-to-peer)URL:统一资源定位器(UniformResourceLocator)2信息公开信息公开5共享活动要素共享活动是网络安全信息共享过程的一系列任务的集合，其目的是使参与共享活动的组织或个人，生成或获得在网络安全防护和威胁应对时的必要信息。共享活动要素一般包括共享场景、共享参与角色、共享模式、网络安全信息等。共享活动要素示意图如图1所示。共享场景共享场景共亨模式网络安全信息信息提供者信息管理者信息使用者移信息报送或下发安全事件应对措施信息共字参与角色脆弱性信息威胁信息态势信息经验信息参与图1共享活动要素示意图典型的共享活动示例详见附录A。5.2共享场景组织或个人参与共享活动的共享场景，一般可分为以下三类：a)信息公开：通过信息共享平台或相关技术手段提供开放信息资源的在线检索、浏览、下载及调用等服务；b)信息报送或下发：一般由多层级的共享活动参与者完成，由下级参与者与上级参与者完成网络安全信息的共享；c)信息交换：共享活动参与者之间通过建立合作关系开展信息共享。信息共享过程中，共享活动参与者之间是平等的关系。5.3共享参与角色按照共享活动参与者在共享活动中承担的内容，共享参与角色划分为信息提供者、信息管理者、信息使用者等。a)信息提供者：提供网络安全共享活动中信息的组织或个人，信息提供者一般由信息管理者邀请或授权同意加入共享活动中，自行发布或将信息提交至信息管理者统一发布网络安全信息；b)信息管理者：收集和管理信息提供者提供的网络安全信息、监督和调整共享活动的组织或个人，信息管理者一般在共享活动中明确共享场景、模式、共享范围，确认共享活动的其他参与者，制定共享策略和规程，必要时引入第三方信息监管者对共享活动进行监督；3c)信息使用者：遵循共享原则和相关策略规程，根据自身需要使用网络安全信息的组织或个人。5.4共享模式根据共享需求、共享场景和共享活动参与者性质的不同，共享模式可分为中心共享模式、点对点共享模式、混合共享模式和群共享模式四种。a)中心共享模式：具有一个共享中心，一般为信息管理者自身或其委托的组织或个人，由共享中心向两个以上节点收集或发布共享信息；b)点对点共享模式：两个具有平行关系的节点间传递信息的形式，共享活动参与者各自负责本节c)混合共享模式：同时存在中心共享模式和点对点共享模式；d)群共享模式：同一共享活动中的每个节点均可向其他所有节点共享(广播)信息。典型的网络安全信息共享模式示例，详见附录B。5.5网络安全信息网络安全信息主要考虑攻击源和目标对象两个方面的因素，涵盖网络安全事件生命周期中涉及的与网络安全相关的威胁、脆弱性、防御和响应措施等信息。网络安全信息通常可分为以下几类：a)威胁信息：描述已知现有或可能出现的威胁的信息，主要为了实现对威胁的响应和预防，通常包括攻击方法信息、威胁主体信息等；b)安全事件信息：描述由于自然或者认为以及软硬件本身缺陷或故障，已经对信息系统造成危害的信息，通常包括有害程序事件、网络攻击事件(包括攻击IP五元组信息)、信息破坏事件、信息内容安全事件、灾害性事件等。关于安全事件信息相关描述的信息见GB/Z20986—2007;c)脆弱性信息：描述可能被威胁利用的资产或若干资产的薄弱环节的信息，通常包括漏洞信息、配置弱点等；d)应对措施信息：描述网络安全防护措施及网络安全事件和响应处置措施的信息；e)经验信息：描述在网络安全防护和网络安全事件响应等方面积累的成功经验和失败教训的信息；f)态势信息：描述通过分析研判获取的关于国内外网络安全态势或动态的信息，包括通过安全监测、统计分析得到的国内外网络安全态势报告，以及通过搜集整理、提炼加工的国内外网络安全新闻动态等原始数据等信息；g)其他信息：除以上各类之外的其他与网络安全相关的信息，如与国内外网络安全法律法规、政策标准等信息、网络安全涉及的实体信息等。网络安全信息可根据共享活动的目的和需要，在以上7个类别下进一步划分子类，确保在特定共享活动中，网络安全信息描述的一致性，提升共享活动的效率和互操作性。6基本原则6.1安全性原则性、完整性、可用性、不可否认性。遵循保护敏感个人信息、商业秘密和重要数据的相关规定。6.2可控性原则确保网络安全信息内容及来源的真实性、准确性。共享活动参与者共同享有网络安全信息，信息提供者提供网络安全信息时，明示使用目的、方式、范围，保证信息被授权同意使用，对网络安全信息共享过程中因信息错误、造假或超范围传播等情况造成的损害承担责任。4GB/Z42885—20236.3合规性原则确保网络安全信息在共享范围内的收集、存储、使用、加工、传输、提供、公开、删除过程符合有关标准的规定及共享活动中制定的协议和规程。网络安全信息中涉及网络产品安全漏洞信息发布和共享行为的管理要求见《网络产品安全漏洞管7共享范围共享范围是共享活动中网络安全信息可被知悉的范围。共享范围通常可分为完全共享、内部共享、部分共享三种类别：a)完全共享：信息可不受限制的共享；b)内部共享：信息在特定共享活动中的所有参与者间共享；c)部分共享：信息在特定共享活动中的部分或指定参与者间共享。8共享活动过程8.1概述共享活动过程包括三个基本阶段：共享活动准备、共享活动实施、共享活动终止。每一阶段有一组确定的工作任务。8.2共享活动准备8.2.1基本工作流程共享活动准备阶段包括明确共享场景、评估网络安全防护能力、识别共享参与角色、确定共享范围和网络安全信息类别、选择共享模式、制定共享策略和规程六项主要任务，共享活动准备阶段基本工作流程见图2。共享活动准备明确共亨场景评估网络安全防护能力识别共亨参与角色确定共亨范围和网络安全信息类别选择共享模式制定共字策略和规程图2共享活动准备阶段基本工作流程58.2.2明确共享场景具有共享需求的组织或个人通过分析网络安全信息共享的需求和目的，寻找具有共同需求和目的的其他共享活动参与者，确定所处的共享场景，保证参与的范围与参与者自身的资源、能力及目标相匹配。8.2.3评估网络安全防护能力在参与共享活动前，共享活动参与者建立健全网络安全管理制度，对自身的网络安全防护能力开展自评估，或委托网络安全服务机构进行网络安全检测评估，及时整改发现的问题，确保具备网络防御能力和对网络安全信息的保护能力，同时确保实施共享活动不会对自身网络安全造成影响。8.2.4识别共享参与角色发起或组织共享活动的组织或个人可自行担任或委托其他组织或个人担任共享活动的信息管理者，信息管理者负责共享活动中所有环节的规则确定、管理和监督。由信息管理者确认参与信息共享的其他组织或个人，并明确参与者在共享活动中承担的角色和职责。在不同的共享模式下，存在一个组织或个人担任一种或多种角色的情况。8.2.5确定共享范围和网络安全信息类别信息管理者与其他共享参与角色共同协商，确定共享范围和网络安全信息类别。a)依据第7章确定共享范围，判断哪些信息在哪些情况下可进行共享，以及信息可共享给哪些参与者。b)网络安全信息可采用5.5中的信息类别，也可考虑自定义网络安全信息分类方法，自定义可考虑以下因素：1)任一网络安全信息都有所属类别，无一遗漏；2)避免各类别之间重叠；3)根据实际情况扩展网络安全信息的类别，或在已有网络安全信息类别下再次分类；4)有利于实现跨组织、跨行业、跨部门的信息共享。8.2.6选择共享模式信息管理者对共享活动参与者的特点、可信程度、能力水平和背景进行评估后，可通过考虑以下因素自主选择合适的共享模式。a)若指定某一相关方作为中心节点：1)其他参与者均只与中心节点进行信息共享，选择中心共享模式；2)其他参与者间也可进行信息共享，选择混合共享模式。b)若未指定某一相关方作为中心节点：1)参与者间两两共享信息，选择点对点共享模式；2)每个参与者均可同时向其他所有参与者共享信息，选择群共享模式。8.2.7制定共享策略和规程信息管理者组织参与者制定共享活动实施过程中的相关策略和规程，通常包括下列各项内容。a)建立网络安全信息的访问控制策略，指定专门人员负责网络安全信息共享活动，确保共享机制的安全性。b)建立保障持续信息共享的规则，包括规定网络安全信息的分发频率、信息共享方式等。6c)制定网络安全信息的标记方法，标记后的信息用于通信、存储或展示。标记涵盖信息的敏感程d)建立敏感信息保护机制。信息提供者直接发布或将网络安全信息提交给信息管理者进行发布前，采用数据脱敏技术对网络安全信息中的敏感字段进行脱敏处理，确保仅包含描述网络安全信息所必需的信息。常见的数据脱敏方法包括混淆、替换、置空、加密等。网络安全信息的脱敏处理包括个人信息脱敏和由于共享范围变更对信息脱敏。1)个人信息脱敏主要用于网络安全信息共享过程中的个人信息保护。信息共享前将个人信息与非个人信息进行有效的区分，采用个人信息去标识化技术和模型对个人信息进行脱敏和保护，根据信息的预期用途、敏感性和预期共享目标等，确定脱敏程度和效果，采取去标识化、加密等相应技术进行处理。GB/T35273—2020给出了个人信息处理活动的原则和安全要求，GB/T37964—2019给出了个人信息常用去标识化技术；2)由于共享范围变更对信息脱敏主要是在共享范围变化时，对不适宜在共享范围变更后共享的敏感信息进行脱敏。e)信息管理者制定信息审查和跟踪规程，建立共享活动评价、监管和问责等机制，保证共享活动络安全信息。f)信息管理者制定激励措施，提高参与者参与共享活动的积极性和主动性。8.3共享活动实施8.3.1基本工作流程共享活动实施阶段的主要任务包括建立网络安全信息清单、保护网络安全信息、监督和评价、持续共享、使用网络安全信息、调整共享活动和退出共享活动。共享活动实施阶段基本工作流程见图3。共享活动实施共享活动实施建立网络安全信息清单保护网络安全信息持续共享监督和评价调整共享活动使用网络安全信息退出共亨活动图3共享活动实施阶段基本工作流程8.3.2建立网络安全信息清单通常包括以下工作。a)信息提供者参考附录C中网络安全信息描述对掌握的网络安全信息内容进行提取、分析和总结，形成网络安全信息，标记信息后直接发布或提交给信息管理者。信息提供者建立的网络安全信息清单至少包括信息类别、共享范围、信息详情、信息生成时间和提交时间等内容。7b)信息管理者负责信息在收集、存储、加工、传输、提供、公开、删除等阶段的管理，定期更新信息，保证其真实、完整、准确和可使用。信息管理者建立的网络安全信息清单至少包括信息来c)信息使用者从共享活动中获得所需的网络安全信息。信息使用者建立的网络安全信息清单至少包括信息来源、信息类别、共享范围、信息详情、信息获得时间、信息使用反馈和接收情况等内容。8.3.3保护网络安全信息工作。a)根据网络安全信息类别和共享范围标记、存储和保护网络安全信息，采用适当的备份策略和安全控制手段进行数据保护。安全控制手段如数据加密存储、访问数据时采用双因子认证、定期进行数据审计、入侵检测等；备份策略可基于网络安全信息的不同类别不同共享范围采取热冗b)网络安全信息共享过程中采用校验、密码等技术保障信息传输的安全性。c)共享活动参与者掌握的内部共享信息和部分共享信息需要限定在最小知悉范围内。信息管理者(或第三方监督或仲裁机构)根据共享活动监督机制，对积极参与和配合的参与者进行激励或奖励；对违反共享活动原则及规程的行为采取警告、限制操作等措施。信息管理者(或第三方监督或仲裁机构)根据共享活动评价机制，对参与者的参与度、网络安全信息的质量等进行评价，以定期会议或电子邮件等方式告知共享活动参与者。8.3.5使用网络安全信息信息使用者在共享活动中获得网络安全信息后，通过评估信息来源、时效等因素，或采用技术手段验证信息真实性和准确性，整合信息及分析当前网络状态后，部署安全防护措施或纠正当前安全防护措施，以延迟、防范网络安全事件的发生，或弥补网络安全事件造成的损失。信息使用者在使用共享的网络安全信息实现网络安全防护目标后，对网络安全信息的时效性、准确性、有效性等方面作出评价，并将存在的问题反馈给信息管理者，由信息管理者评估和整改。持续共享过程中需注意以下因素。a)根据网络安全信息的特性、频率和时效性，可考虑采用电子邮件、会议、专门网站或平台等多种方式进行共享，共享过程中采用的信息交换技术可参考附录D实现。在信息量较大时，信息提供者或信息管理者可提交或发布概要信息来减少信息交互频率。b)共享活动中的所有参与者共同遵守共享策略和规程，信息管理者定期跟踪信息源和信息提供者提交信息的质量和频率，信息提供者按照约定的频率提供网络安全信息，并保证网络安全信息的真实性和准确性，信息使用者在网络安全防护过程中主动使用网络安全信息。c)共享活动参与者通过定期培训或引进技术人才提高网络安全信息共享团队的技术能力，通过定期组织自评价，评价内部网络安全信息共享团队的技术水平及共享工作效率。d)共享活动参与者通过获得的网络安全信息持续提升网络安全防护水平，确保具备网络防御能力和对网络安全信息的保护能力。88.3.7调整共享活动当共享活动参与者出现共享目的和需求变化，或信息量和共享频率无法达到预期值时，信息管理者组织各参与者重新评估，并及时调整网络安全信息共享的目标、范围和共享模式，保证共享活动的高质量。8.3.8退出共享活动除信息管理者外，其他共享活动参与者无法在共享活动中实现共享目的和需求时，可退出共享活动，或者信息管理者对其他参与者进行审核评估时，发现有出售和泄露网络安全信息等违约行为，责令其退出。退出共享活动通常包括以下工作：a)信息使用者退出共享活动时，告知其他共享活动参与者，信息提供者及信息管理者停止向该参与者提供网络安全信息；b)信息管理者跟踪和评估共享活动参与者退出期间对网络安全信息的访问和复制等操作，以防止该参与者未经授权私自外泄共享活动产生的敏感数据等。8.4共享活动终止发起或组织共享活动的组织或个人因共享需求改变主动终止信息共享活动，并告知相关共享活动参与者，以签署保密协议、协商数据销毁机制等方式，确保参与者对其掌握的内部共享信息和部分共享信息进行保护。9(资料性)网络安全信息共享活动示例网络安全信息共享活动示例见表A.1。表A.1网络安全信息共享活动示例场景示例共享场景共享模式信息提供者信息管理者信息使用者网络安全信息类别共享范围网络安全论坛上的信息分享信息公开中心/混合共享网络安全服务机构、科研机员、网络安全爱好者论坛运营机构想了解和查阅网络安全信息资源的组织或个人已公开风险信息、息等完全共享主管/监管部门组织的网络安全信息报送信息报送或下发中心共享网络安全服务机构、科研机构、行业主管部门等由主管/监管部门发起，授权平台运营机构负责管理主管/监管部门认为有必要接收相关信息的组织或个人依主管/监管部门要求提供其所需的所有类别信息内部共享、部分共享业务合作伙伴间的安全提醒和共同维护信息交换点对点共享方/多方方/多方方/多方已公开或通过某些的，可能对合作伙伴间网络安全造成危害的所需的所有类别信息内部共享、部分共享集团内部建立的网络安全信息分享微信群聊信息交换群共享掌握网络安全信息的群成员掌握网络安全信息的群成员所有群成员技术手段发现的风险信息、漏洞信息、验信息等完全共享、内部共享(资料性)网络安全信息共享模式示例B.1中心共享模式中心共享模式信息交互形式如图B.1所示。中心节点其他参与者—信息传递方向图B.1中心共享模式基于中心共享模式的共享活动通常需要建立正式的信息共享协议，规定信息共享内容、共享活动参与者范围、是否允许注明来源、以及允许的详细程度等。共享中心拥有各信息提供者传递来的全量信息，在对信息进行提炼、处理和分发过程中需按照信息共享协议进行操作，并根据需要为信息使用者提供抽象的、有针对性的摘要信息。对于信息共享的权限控制要求更为精细的情况，可根据需要设立多级共享中心。不同的共享中心各自对其收集到的信息进行管理与维护，同时信息共享中心需根据自身所处层级的不同，以从低到高的顺序逐级将信息传递至高级别共享中心进行统一分发管理，从而实现信息的逐级汇总与分发。中心共享模式的优势主要取决于中心提供的服务。有些中心可能只以中间人的身份进行信息传递，另一些中心可能会执行附加的处理来丰富信息。中心共享模式的潜在缺点是共享活动的有效开展完全依赖于中心的基础设施，使其容易受到系统故障、延迟或损坏等影响。当中心不能正常工作或性能下降时，所有信息共享参与角色都会受到影响。此外，中心作为网络安全信息的存储点，容易成为攻击目标。B.2点对点共享模式点对点共享模式信息的交互形式如图B.2所示。)共享活动参与者4—信息传递方向图B.2点对点共享模式在点对点共享模式中，同一共享活动中的参与者之间自愿直接建立对等信任关系，并进行信息共享。共享可以是双向的，也可以是单向的。共享活动参与者彼此信任的基础是拥有共同目标，尊重规定的共享规则，并愿意参与互惠共享。点对点共享模式的优势在于共享活动参与者彼此直接共享，信息使用者可直接从源头获得信息，便于信息的迅速分享与使用；同时，信息可通过多种渠道获得，且没有成为潜在单点攻击故障点或高价值攻击目标的中心，使架构表现出更大的健壮性。但此模式下架构实现不采用统一的标准方法，共享活动参与者有必要支持多种数据格式和协议，难以实现快速的扩展，随着共享活动参与者数量的增加，管理众多连接、数据和信任关系的成本将以指数方式增加，不利于整体的维护与管理。B.3混合共享模式混合共享模式有多种表现形式，图B.3为其中一种混合共享模式的信息交互形式。在混合共享模式中，信息越接近于信息共享中心，信息共享范围越小。信息提供者可将共享范围较大的信息以点对点形式与其他共享活动参与者进行传递，当需要发送共享范围较小的信息时，则采用中心共享的方式将信息统一传递至信息共享中心，并由中心对接收到的信息进行统一地收集、整合、分析与分发。中心节点其他参与省—信息传递方向图B.3混合共享模式在混合共享模式下，共享活动参与者通过采用不同共享模式可最大限度地实现信息的快速分享与使用。因混合共享模式相较于单一模式更为复杂，其实现的成本会有所增加。同时对于共享活动参与者而言，在进行信息共享时也会相应增加实施与操作的复杂程度。B.4群共享模式群共享模式信息的交互形式如图B.4所示。○○共享活动参与者4—信息传递方向图B.4群共享模式在群共享模式中，所有共享活动参与者之间基于对等信任的关系，需要事先建立统一的信息共享协议，规定信息共享的内容形式以及允许的详细程度。信息提供者向其他所有共享活动参与者发布共享信息。共享活动参与者彼此信任的基础是拥有共同目标，尊重规定的共享规则，并愿意参与互惠共享。群共享模式的优势是每个共享活动参与者均可快速灵活地参与共享活动，快速分享信息和使用信息，且实现成本较混合共享模式大为减少。但由于缺少了共享中心对共享信息的统一管理维护，信息共享的可靠性与保密性会大大降低，需要限制共享信息的内容敏感级别以及对共享参与者设置准入条件。(资料性)网络安全信息描述C.1威胁信息描述GB/T36643—2018的6.2～6.9给出了关于网络安全威胁信息组件描述的相关要求。C.2安全事件信息描述安全事件信息描述如表C.1所示。表C.1事件信息描述编号内容字段1事件名称字段2起始时间字段3攻击者及意图字段4目标对象字段5现象描述字段6攻击原理字段7影响范围字段8应对措施字段9其他描述C.3脆弱性信息描述脆弱性信息描述如表C.2所示。表C.2脆弱性信息描述编号内容字段1名称字段2发布时间字段3发布单位字段4类别字段5等级字段6影响系统字段7利用方法字段8解决方案建议字段9其他描述C.4应对措施信息描述应对措施信息描述如表C.3所示。表C.3应对措施信息描述编号内容字段1措施名称字段2所属子类(防御/响应)字段3单位名称字段4实施对象字段5措施目的字段6具体描述C.5经验信息描述经验信息描述如表C.4所示。表C.4经验信息描述编号内容字段1经验信息名称字段2单位名称字段3具体描述字段4风险等级字段5应对措施C.6态势信息描述态势信息描述如表C.5所示。表C.5态势信息描述编号内容字段1态势信息类型字段2态势信息名称字段3上报单位名称字段4态势信息来源字段5态势信息具体描述GB/Z42885—2023(资料性)共享活动中的信息交换技术概述D.1网络安全信息交换模型D.1.1概述网络安全信息的交换有“客户端-服务端”、P2P等工作方式。本节描述的是“客户端-服务端”方式下的信息交换技术。在该方式中，信息服务器的核心功能是提供“信息集”服务，客户端通过访问服务的不同接口实现注册、认证和网络安全信息数据的上传和拉取查询。服务器可接收上传的信息，存储、管理网络安全信息，并接受网络安全信息查询。客户端是网络安全信息的提供者或使用者。信息交换访问方式如图D.1所示。接口接口注册与认证服务发现信息集服务器数据交换服务根状态查询状态信息服务根注册与认证服务信息信息集客户端接门接口接口在中心共享模式下，共享中心具有服务器功能，非中心共享活动相关方具有客户端功能；在点对点共享模式下，共享活动参与者均具有服务器与客户端功能。而群共享模式可采用P2P方式。D.1.2服务器D.1.2.1服务器功能服务器的核心功能是进行信息的收集、存储、管角度可理解为不同的服务接口实例的根URL。一个服务器实例可支持一个或多个“服务根”,同时支持一个“注册与认证”服务和一个“服务信息”查询服务。D.1.2.2注册与认证注册与认证服务负责授权凭据的生产、管理、分发与验证，以及客户端注册和认证信息的维护，通过提供的API接口接收客户端的注册和认证，并与“信息集”服务协作进行网络安全信息资源的访问控制。只有在服务器上进行注册并认证通过的合法客户端才能访问服务器上的网络安全信息。D.1.2.3服务根“服务根”是服务器上一组网络安全信息数据资源和相关访问接口的逻辑分组。一个服务器支持一个或多个服务根。每个服务根独立提供网络安全信息数据访问所需接口。通过服务根，服务器可实现网络安全信息数据资源的划分和独立的访问控制。从URL角度，服务根可理解为服务器根URL的子URL。每个服务根可根据需要将其中的网络安全信息数据及访问接口划分为不同的“信息集”。D.1.2.4服务信息“服务信息”是服务器提供的“服务根”信息的集合。该服务包括一组对“服务根”信息进行查询的API接口，通过这些接口客户端可查询服务器上的“服务根”列表，及每个“服务根”的URL及“服务根”上网络安全信息数据的公共信息。D.1.2.5信息集“信息集”是服务根实例提供的网络安全信息数据对象及其访问接口的逻辑分组，是客户端对网络安全信息对象进行访问的基本单位。“信息集”服务是通向信息集的API接口的集合。客户端使用这些接口以请求-响应的方式发送网络安全信息数据到服务器，或者向服务器请求网络安全信息。一个“服务根”可包含一个或多个信息集，将网络安全信息数据组合成以“信息集”为单位的逻辑分组后，可按照信任组或其他逻辑分组形式划分内容和访问控制。D.1.2.6状态信息每个“服务根”实例允许客户端查看发送给“服务根”的特定类型的请求的处理状态。状态信息用于描述向“服务根”上特定信息集添加网络安全信息对象的请求的执行状态。当客户端提交了新的网络安全信息后，可使用“状态信息”服务提供的API接口查看该新增网络安全信息是否已被接受，请求是否完成以及请求中各对象的状态(如：是否为待处理、完成但失败，或者成功完成)。D.1.2.7共享接口共享接口是客户端对服务器上的各种服务进行访问的传输通路。一个接口表示一个服务器实例上一个特定的URL和HTTPS方法，每一个接口都由可访问的URL和用于请求的HTTPS方法标识。通过共享接口客户端可实现在服务器上的注册与认证、服务信息的发现、与服务根进行数据交换及服务根状态查询等功能。服务器上的信息集服务提供一组相同的API接口，客户端通过这些接口实现对特定信息集的访问，进而实现网络安全信息的交换。当前版本定义的API形式接口，需通过HTTPS协议实现接口访问。单个客户端向特定服务器进行注册，认证通过后，可向该服务器上的信息集查询接口发送请求，查询特定类型的网络安全信息；客户端也可向特定服务器上的信息集的信息接收接口发送请求，向信息集中添加网络安全信息数据；同时，可通过向服务器的状态服务的查询接口发送请求，获取推送的网络安全信息的处理状态。D.2网络安全信息交换方法客户端接入服务器并实现网络安全信息共享遵守如下过程。a)注册。新加入的客户端首次连接服务器，或设备配置变动后，客户端应向服务器进行注册。服务器审核注册信息后为客户端分发认证凭据。注册可采用离线人工注册或在线API注册方式。b)认证。注册成功后，客户端访问服务器的API接口进行认证。认证上传注册过程获取的认证凭据，认证成功后获取会话标识。c)服务发现。认证成功后，客户端使用会话标识作为认证凭证访问服务器上的服务信息查询接口和网络安全信息数据的API接口，发现服务器所提供的服务信息。当会话标识失效后可重新启动认证过程。d)状态查询。认证成功后，客户端使用会话标识作为认证凭证访问服务器上的服务根状态查询接口，查询服务根当前状态信息。当会话标识失效后可重新启动认证过程。e)数据交换。认证成功后，客户端使用会话标识作为认证凭证访问服务器上的服务根数据交换接口，查询或上报网络安全信息数据。当会话标识失效后可重新启动认证过程。D.3网络安全信息数据接口描述D.3.1基本描述网络安全信息数据接口遵循如下基本描述：a)所有的请求可在HTTPS协议的Accept头中提供媒体范围；b)所有的响应可在HTTPS协议的Content-Type头中提供所请求端点对应的媒体类型和版本c)