GB/T 42708-2023 金融网络安全威胁信息共享指南（正式版）

ICS35.240.40GB/T42708—20232023-08-06发布国家市场监督管理总局国家标准化管理委员会GB/T42708—2023 I Ⅱ 2规范性引用文件 3术语和定义 2 2 3 3 39.1威胁信息共享基本流程 39.2威胁信息分析 4 49.4威胁信息使用 49.5威胁信息使用反馈 510威胁信息质量管理 510.1威胁信息组件格式 510.2威胁信息综合评定 611威胁信息共享保障机制 612威胁信息共享安全管理 712.1访问控制 712.2数据管理 712.3安全审计 712.4应急响应 附录A(资料性)典型金融网络安全威胁信息共享场景 8A.1网络安全服务方的威胁信息共享 8A.2基础设施提供方的威胁信息共享 8A.3不同金融机构间的威胁信息共享 9 9 IGB/T42708—2023本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国金融标准化技术委员会(SAC/TC180)归口。本文件起草单位：北京银联金卡科技有限公司、中国工商银行股份有限公司、中国建设银行股份有融科技认证中心有限公司、腾讯云计算(北京)有限责任公司。ⅡGB/T42708—2023金融网络安全威胁信息共享旨在采用技术手段实现网络安全威胁信息的有效流动，通过建立威胁1GB/T42708—2023金融网络安全威胁信息共享指南下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文GB/T2260中华人民共和国行3术语和定义API:应用程序接口(ApplicationProgramming2GB/T42708—2023APP:应用软件(Application)IP:网际互连协议(InternetProtocol)SDK:软件开发工具包(SoftwareDevelopmentKit)5总则6威胁信息共享框架威胁信息共享的目标是为金融行业提供高质量、高时效的网络安全威胁信息。通过建立健全多层威胁信息深入合作。威胁信息共享参与者在遵循共享原则的前提下进行威胁信息传递。金融行业网络安全威胁信息共享框架见图1。金融行业威胁信息共享平台金融行业威胁信息共享平台金融机构金融机构N威胁信息提供方国家/共他行业威胁信息平台金融业务合作方网络安企服务机构金融机构1图1金融行业网络安全威胁信息共享框架图金融网络安全威胁信息共享的主要参与者包括：构提供信息共享服务接口和沟通协调渠道；b)金融机构：金融网络安全威胁信息共享的核心受益者，通过接收威胁信息提供方的威胁信不同金融机构之间可以通过金融网络安全威胁信息共享平台共享威胁信息。事件信息等。3GB/T42708—20237威胁信息共享原则威胁信息共享遵循以下原则：a)最小必要原则：仅共享满足金融网络安全威胁信息共享需要的最少信息，非必要信息不可户信息等关键信息的再利用；享活动可追溯；共享过程中安全可控。8威胁信息共享方式8.2根据共享的目标不同，威胁信息共享方式可分为定向共享而将威胁信息发送至共享平台，由共享平台以广播的方式通知金融机构。非定向共享的主要或其他来源的信息。由成员提供的信息被中心直接转发给其他成员，或由中心以某种方式处理后分发给指定的成员。9威胁信息共享流程威胁信息共享基本流程基于最小共享模型提出，仅包含一个威胁信息发送方和一个威胁信息接收信息接收方。威胁信息接收方根据需要使用威胁信息，并对威胁信息的使用情况进行反馈。威胁信息共享流程见图2。4GB/T42708—2023威胁信息发送方威胁信息接收方图2威胁信息共享流程送方又作为信息接收方存在，参与机构根据其实际处理中的角色确定其具体工作。金融网络安全威胁信息共享平台主动发现威胁信息时，按照威胁信息发送方的要求进行分析和共享；金融网络安全威胁信息共享平台仅作为共享渠道转发威胁信息时，可不进行威胁信息分析工作。典型的金融网络安全威胁信息共享场景参见附录A。9.2威胁信息分析威胁信息发送方执行威胁信息共享前，开展威胁信息的分析工作，具体内容如下：化为结构化数据，便于威胁信息的分析；b)对威胁信息结构化数据和原始数据进行比较分析，保障威胁信息结构化数据能精准表达原始数据所蕴含的信息；c)分析威胁信息的共享价值，综合评价威胁信d)威胁信息共享可能导致数据违规使用等风险，如威胁信息中涉及个人信息或其他具有安全隐患的内容，宜参照有关数据评估要求确认共享的可行性。9.3威胁信息共享威胁信息发送方根据威胁信息的分析情况确定共享方式，以提升威胁信息的时效性和可达性，并通过安全的技术手段保障威胁信息中的重要信息在共享、传输过程中的机密性和完整性。9.4威胁信息使用9.4.1接收方获得威胁信息后，基于证据和逻辑对威胁信息进行分析、判断，对未来情况及其可能性进a)初步评估：威胁信息使用方对所持有威胁信息进行初步评估，包括但不限于逻辑性、时效性和b)交叉评估：当威胁信息使用方持有同一安全事件两条或两条以上威胁信息时，对所有威胁信息进行比对，评估多条威胁信息间的重复性和差异性；威胁信息提供方宜对存在冲突的威胁信息5GB/T42708—2023做出解释，便于威胁信息使用方自行评估采用威胁信息的风险；c)持续评估：持续对威胁信息的评估最终形成对威胁信息源的评估，包括但不限于威胁信息源多9.4.2在遵循威胁信息共享(见9.3)前提下，威胁信息接收方在其所属环境研究、测试、应用威胁信a)旁路使用：在不影响真实业务环境条件下，通过利用模拟环境、历史数据或流量镜像等方式模拟使用威胁信息以观测其作用，该阶段用于观测威胁信息的误报率、可用性和对业务环境可能份方案等；b)边缘使用：在真实业务环境中的某些边缘业务内使用威胁信息，以观测威胁信息对真实业务环境的影响，该阶段进一步确认威胁信息在真实业务环境使用的可用性，并验证和完善应对c)正式使用：在真实业务环境中使用威胁信息，持续观测威胁信息对真实业务的影响，并持续关注已使用威胁信息的参数变化，包括但不限于威胁信息是否已被撤回、威胁信息的时效性、威胁信息准确性及其他参数的变化。9.4.3威胁信息使用后，威胁信息使用方可将数据完整留存备查，包括但不限于原始线索、证据信息、9.5威胁信息使用反馈威胁信息接收方在使用威胁信息后，可对威胁信息的使用情况进行记录并做出质量评价。威胁信息接收方宜将使用反馈信息及时提供给该威胁信息的发送方，威胁信息的发送方可根据使用反馈情况使用情况反馈可包括下列内容。a)信息相关性。判断网络安全威胁信息是否与信息接收方的信息系统运行环境相关，是否为信息接收方可能面临的威胁或可能遭受的攻击。b)信息准确性。判断网络安全信息是否准确、完整。不准确或不完整的网络安全信息可能妨碍重要的行动，引起不必要或不适当的响应行动，或使信息接收方产生安全错觉。c)信息时效性。判断网络安全威胁信息的获取是否及时，以便给信息接收方提供充足的时间预测威胁并做出响应。时效性的定义与信息变化速度、攻击速度、攻击者能力、可能造成的影响等因素有关。d)信息具体性。判断网络安全威胁信息是否详细描述网络安全事件、网络安全攻击者等信息的细节，以便信息接收方清晰了解威胁对他们的影响。包含足够信息和背景的网络安全信息使信息接收者能够制定应对方案和采取响应行动。10威胁信息质量管理10.1威胁信息组件格式威胁信息组件是威胁信息共享的元数据。金融行业宜建立统一的数据格式进行威胁信息组件描述，宜建立统一的威胁信息共享接口用于开展威胁信息共享，降低威胁信息共享接入成本，提升威胁信息共享效率。威胁信息共享接口主要字段参考表1。6GB/T42708—2023表1威胁信息共享接口数据字段序号数据字段描述方式1威胁信息提供方威胁信息提供方标识和域名、IP等信息2威胁信息发生时间采用国际标准时间，时间格式宜参考GB/T74083受威胁机构代码采用统一社会信用代码，宜符合GB321004受威胁机构名称采用统一社会信用代码的机构注册名称5威胁信息类型根据金融行业面临的威胁分类，可设置子类型，如病毒木马、漏洞攻击等6安全事件详情宜参考GB/T3664310.2威胁信息综合评定金融机构可建立威胁信息质量评价模型，综合评定不同渠道网络威胁信息的有效性，通过设置权重、优先级等方式，提高威胁信息使用的精准性。质量评价模型可以根据威胁信息使用情况进行建立，综合判定参考因素见表2。由于不同的威胁信息共享方收集和共享的威胁信息可能存在特征差异，威胁信息质量评价模型根据威胁特征的差异性进行建立，避免错误模型影响威胁信息的有效使用。表2威胁信息综合判定参考因素序号参考因素描述方式1信息所属地区国家和地区编码宜按照GB/T2659执行中国地区的行政区划代码宜按照GB/T2260执行2信息来源3首次发生时间采用国际标准时间，时间格式宜参考GB/T74084最后发生时间采用国际标准时间，时间格式宜参考GB/T74085时间段内发生总次数6时间段内涉及机构总数—7威胁信息类型8威胁等级一般设置高、中、低三级9威胁命中情况威胁误报情况一威胁传递时效性11威胁信息共享保障机制威胁信息共享参与方宜通过合同或协议等方式确认威胁信息共享关系的建立，明确共享的目标、目威胁信息共享参与方宜提供机构接口人等联络方式，便于威胁信息使用方沟通确认相关技术细节信息。威胁信息共享参与方宜监控金融网络安全威胁信息共享平台和其他威胁共享参与方系统的网络7GB/T42708—202312威胁信息共享安全管理威胁信息可支持应用程序或人工访问。威胁信息控制者在保护威胁信息时，宜建立访问授权控制威胁信息共享时宜采用安全通道进行传输。威胁信息存储时宜采取有效的加密手段或其他安全措施进行保护。威胁信息使用后宜根据需要及时进行删除或销毁。8GB/T42708—2023(资料性)典型金融网络安全威胁信息共享场景A.1网络安全服务方的威胁信息共享网络安全服务方发现特定的金融机构面临网络安全威胁时，可直接与金融机构进行威胁信息共享，提升信息准确性和共享效率；网络安全服务方发现金融行业全局性威胁时，可与金融网络安全威胁信息共享平台进行威胁信息共享。网络安全服务方的威胁信息共享见图A.1。金融机构网络安全服务方金融网络安企威胁信息共享平台图A.1网络安全服务方的威胁信息共享网络安全服务方在开展威胁信息分析时，为防止数据遗漏导致威胁信息无法被利用，宜重点考虑威胁信息全面性，共享与特定金融机构或金融行业相关联的全量数据。由于过多的威胁信息共享可能带来威胁处置上的困难和大量误报等问题，网络安全服务方宜持续关注并提升信息质量。A.2基础设施提供方的威胁信息共享金融机构在使用运营商网络(包括但不限于专线、移动蜂窝网络、Wi-Fi、卫星网络)、云计算服务商等基础设施时，网络安全性受基础设施影响。相关基础设施运营机构可直接与金融机构进行威胁信息共享。由于基础设施层面的网络安全威胁波及范围广，直接影响金融机构业务系统的运行和金融行业的安全稳定，相关基础设施运营机构也可直接与金融网络安全威胁信息共享平台进行威胁信息共享。基础设施提供方的威胁信息共享见图A.2。上础设施提供方金融机构1金融机构N金融网络安全威胁信息共亨平台图A.2基础设施提供方的威胁信息共享9A.3不同金融机构间的威胁信息共享由于金融机构间存在业务系统的交互，金融机构业务执行过程中可能影响其他金融机构的业务安全。金融机构在发现自身存在相关威胁时，为防止威胁在金融网络中的扩散，将相关威胁信息共享给其他金融机构，以便在安全风险发生前对威胁进行及时的识别并采取相应的防御措施。不同金融机构间的威胁信息共享见图A.3。金融网络安企威胁信息共享平台金融机构B金融网络安全威胁信息共享平台金融机构N图A.3不同金融机构间的威胁信息共享不同金融机构之间的威胁信息共享宜充分考虑下列内容。a)威胁信息关联性，即金融机构A在开展业务过程中与金融机构B的账户信息、业务系统等产生关联，则威胁信息的影响也存在必要的联系。b)业务共性，即不同金融机构开展的同类业务可能遭遇到相似的攻击，这些攻击在时间、空间都具备相似的特性，金融机构宜将与业务共性相关的威胁信息共享给行业平台，由行业平台进行批量预警。A.4金融机构业务合作方的威胁信息共享金融机构通过API方式、SDK与其他机构开展业务合作时，存在威胁信息共享需求。合作方的业务应用系统遭到攻击或发现异常行为时，如业务合作方的APP遭到攻击、电子商务合作方发现购物异常、短信提供商发现短信发送频率异常等情况时，宜及时将相关威胁信息共享给合