《GB_T 42708-2023 金融网络安全威胁信息共享指南.docx》由会员分享,可在线阅读,更多相关《GB_T 42708-2023 金融网络安全威胁信息共享指南.docx(14页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、ICS 35.240.40CCS A 11中 华 人 民 共 和 国 国 家 标 准GB/T 427082023金融网络安全威胁信息共享指南Guideline for financial cybersecurity threat information sharing2023-08-06 发布2023-08-06 实施发 布国家市场监督管理总局国家标准化管理委员会GB/T 427082023目 次前言 I引言 1 范围 l2 规范性引用文件 13 术语和定义 14 缩略语 15 总则 26 威胁信息共享框架 27 威胁信息共享原则 38 威胁信息共享方式 39 威胁信息共享流程 39.1 威胁
2、信息共享基本流程 39.2 威胁信息分析 49.3 威胁信息共享 49.4 威胁信息使用 49.5 威胁信息使用反馈 510 威胁信息质量管理510.1 威胁信息组件格式510.2 威胁信息综合评定611 威胁信息共享保障机制612 威胁信息共享安全管理712.1 访问控制 712.2 数据管理712.3 安全审计712.4 应急响应 7附录 A (资料性)典型金融网络安全威胁信息共享场景 8A.1 网络安全服务方的威胁信息共享 8A.2 基础设施提供方的威胁信息共享 8A.3 不同金融机构间的威胁信息共享 9A.4 金融机构业务合作方的威胁信息共享 9参考文献 10GB/T 42708202
3、3前 言本文件按照GB/T1.12020 标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国金融标准化技术委员会(SAC/TC 180)归口。本文件起草单位:北京银联金卡科技有限公司、中国工商银行股份有限公司、中国建设银行股份有 限公司、建信金融科技有限责任公司、中国邮政储蓄银行股份有限公司、中国银联股份有限公司、中国银 行股份有限公司、中国农业银行股份有限公司、联通支付有限公司、天翼电子商务有限公司、北京国家金融科技认证中心有限公司、腾讯云计算(北京)有限责任公司。本文件主要起草人:王玲、李晓
4、伟、张志波、于鸽、李博文、段超、侯晓晨、余思、聂玉涵、陈德锋、黄建德、廖渊、赵凯峰、苏涵、王美科、何启翱、刘汝隽、任震、彭大祥、孟熹、潘丽扬、李凡、蒋增增、林智鑫。GB/T 427082023引 言当前,互联网技术在金融行业广泛应用,网络技术既给广大用户带来便利,又带来网络安全威胁。 金融行业增强网络安全威胁信息的获取能力,强化威胁信息共享和使用,有助于提升网络安全防控整体水平。金融网络安全威胁信息共享旨在采用技术手段实现网络安全威胁信息的有效流动,通过建立威胁 信息共享机制,促进威胁信息的融合、分析,提升威胁信息利用的精准度,实现安全风险的及时预警、响应和处置,以降低金融网络威胁信息的使用成
5、本,提升金融网络风险处置能力。GB/T 427082023金融网络安全威胁信息共享指南1 范围本文件给出了金融网络安全威胁信息的共享框架、共享原则、共享方式、共享流程、质量管理、保障机制、安全管理等方面的建议。本文件适用于参与金融网络安全威胁信息共享的金融机构和相关组织。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 2260 中华人民共和国行政区划代码GB/T 2659 世界各国和地区名称代码GB 32100 法人和其他组织统一
6、社会信用代码编码规则3 术语和定义下列术语和定义适用于本文件。3.1威胁 threat可能对系统或组织造成危害的不期望事件的潜在原由。来源:GB/T 292462017,2.833.2威胁信息 threat information一种基于证据的知识,用于描述现有的或可能出现的威胁,从而实现对威胁的响应和预防。注:威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。来源:GB/T 366432018,3.33.3威胁信息控制者 threat information controller有能力决定威胁信息处理目的、方式等的组织或个人。3.4共 享 sharing威胁信息控制者向其他控制者提供威
7、胁信息,且双方分别对威胁信息拥有独立控制权的过程。4 缩略语下列缩略语适用于本文件。API: 应用程序接口(Application Programming Interface)GB/T 427082023APP: 应用软件(Application)IP: 网际互连协议(Internet Protocol)SDK: 软件开发工具包(Software Development Kit)5 总则建立金融行业网络安全威胁信息共享机制,基于共享价值对结构化网络安全威胁数据进行分析,畅通网络安全威胁信息的共享通道,制定威胁信息的数据标准。6 威胁信息共享框架威胁信息共享的目标是为金融行业提供高质量、高时效的
8、网络安全威胁信息。通过建立健全多层 次、跨机构的威胁信息共享机制,建立常态化、可信赖的威胁信息共享路径,促进金融行业和其他行业的威胁信息深入合作。威胁信息共享参与者在遵循共享原则的前提下进行威胁信息传递。金融行业网络安全威胁信息共享框架见图1。金融行业威胁信息共享平台金融机构金融机构1威胁信息提供方国家/共他行业 威胁信息平台基础设施 提供方金融业务 合作方网络安全 服务机构金融机构N*1图 1 金融行业网络安全威胁信息共享框架图金融网络安全威胁信息共享的主要参与者包括:a) 金融网络安全威胁信息共享平台:按照金融行业需要搭建信息共享的基础设施,为不同参与机构提供信息共享服务接口和沟通协调渠道
9、;b) 金融机构:金融网络安全威胁信息共享的核心受益者,通过接收威胁信息提供方的威胁信息,提高自身的威胁研判和网络安全能力,应对网络安全风险;c) 威胁信息提供方:收集、分析、提供网络安全威胁信息的组织或个人,主要为网络安全服务方 (如安全服务公司、威胁信息共享社区、安全测试人员);国家或其他行业威胁信息平台,金融机 构、为金融机构提供基础设施服务的机构、与金融机构存在业务合作的机构在发现金融网络安全威胁信息时,也可作为威胁信息提供方。不同金融机构之间可以通过金融网络安全威胁信息共享平台共享威胁信息。威胁信息共享的内容主要包括威胁发生时间、威胁环境信息、影响范围、影响对象、影响程度、安全事件信
10、息等。2GB/T 4270820237 威胁信息共享原则威胁信息共享遵循以下原则:a) 最小必要原则:仅共享满足金融网络安全威胁信息共享需要的最少信息,非必要信息不可共享;b) 知情同意原则:金融机构在信息提供方知悉并同意的前提下开展主体信息、网络资产信息、客户信息等关键信息的再利用;c) 信息追溯原则:共享过程中记录共享方、使用方、共享时间、共享方式等信息,保障威胁信息共享活动可追溯;d) 安全可控原则:威胁信息共享的参与者对威胁信息采取同等安全措施的保护,保障威胁信息在共享过程中安全可控。8 威胁信息共享方式8.1 根据共享的时效性不同,威胁信息共享方式可分为实时共享和批量共享。a) 实时
11、共享:共享参与者发现威胁信息时,采用自动化方式实时触发共享。b) 批量共享:共享参与者对相关的威胁信息进行批量存储,定时或人工触发共享。8.2 根据共享的目标不同,威胁信息共享方式可分为定向共享和非定向共享。a) 定向共享:威胁信息发送方能够明确并指定威胁信息的最终接收方,通常在威胁信息与特定金融机构关联时使用,以提高共享的精准性。b) 非定向共享:威胁信息的发送方无法明确威胁信息的最终接收方或威胁涉及金融行业全局,因 而将威胁信息发送至共享平台,由共享平台以广播的方式通知金融机构。非定向共享的主要目标是提高信息共享的覆盖面,提升机构间联防联控能力。8.3 根据共享的参与机构不同,威胁信息共享
12、方式可以分为中心共享模式和点对点共享模式。a) 中心共享模式:以金融网络安全威胁信息共享平台为中心,用于存储或交换来自信息共享成员 或其他来源的信息。由成员提供的信息被中心直接转发给其他成员,或由中心以某种方式处理后分发给指定的成员。b) 点对点共享模式:成员彼此之间直接进行信息共享。成员各自负责利用、汇总、关联、分析、验 证、处理、保护和交换信息,成员间交换的信息只能是成员获取、分析和分发的有限数据。信息交换的安全性、速度和频率等取决于相关成员的需求和能力。9 威胁信息共享流程9.1 威胁信息共享基本流程威胁信息共享基本流程基于最小共享模型提出,仅包含一个威胁信息发送方和一个威胁信息接收方。
13、其中,威胁信息发送方即威胁信息提供方,威胁信息接收方即威胁信息使用方。威胁信息发送方发现威胁,对威胁信息进行分析,根据威胁信息的分析情况将威胁信息共享给威胁 信息接收方。威胁信息接收方根据需要使用威胁信息,并对威胁信息的使用情况进行反馈。威胁信息共享流程见图2。3GB/T 427082023威胁信息发送方 威胁信息接收方1.威胁信息分析2.威胁信息共享3.威胁信息使用4.威胁信息使用反馈图 2 威胁信息共享流程在金融行业的威胁信息共享中,可能经过信息多级传输, 一个参与机构在一次共享中既作为信息发送方又作为信息接收方存在,参与机构根据其实际处理中的角色确定其具体工作。金融网络安全威胁信息共享平
14、台主动发现威胁信息时,按照威胁信息发送方的要求进行分析和共享;金融网络安全威胁信息共享平台仅作为共享渠道转发威胁信息时,可不进行威胁信息分析工作。典型的金融网络安全威胁信息共享场景参见附录 A。9.2 威胁信息分析威胁信息发送方执行威胁信息共享前,开展威胁信息的分析工作,具体内容如下:a) 对威胁信息的原始数据进行处理,通过数据提取、去噪、归类、转换、加工等操作,将威胁信息转化为结构化数据,便于威胁信息的分析;b) 对威胁信息结构化数据和原始数据进行比较分析,保障威胁信息结构化数据能精准表达原始数据所蕴含的信息;c) 分析威胁信息的共享价值,综合评价威胁信息的来源、数量、威胁等级、威胁对象、时
15、效性等方面,以确定威胁信息是否需要共享;d) 威胁信息共享可能导致数据违规使用等风险,如威胁信息中涉及个人信息或其他具有安全隐患的内容,宜参照有关数据评估要求确认共享的可行性。9.3 威胁信息共享威胁信息发送方根据威胁信息的分析情况确定共享方式,以提升威胁信息的时效性和可达性,并通过安全的技术手段保障威胁信息中的重要信息在共享、传输过程中的机密性和完整性。9.4 威胁信息使用9.4.1 接收方获得威胁信息后,基于证据和逻辑对威胁信息进行分析、判断,对未来情况及其可能性进行预判,具体内容如下:a) 初步评估:威胁信息使用方对所持有威胁信息进行初步评估,包括但不限于逻辑性、时效性和丰富性;b) 交
16、叉评估:当威胁信息使用方持有同一安全事件两条或两条以上威胁信息时,对所有威胁信息进行比对,评估多条威胁信息间的重复性和差异性;威胁信息提供方宜对存在冲突的威胁信息4GB/T 427082023做出解释,便于威胁信息使用方自行评估采用威胁信息的风险;c) 持续评估:持续对威胁信息的评估最终形成对威胁信息源的评估,包括但不限于威胁信息源多样性、丰富性、及时性、差异性评估,其结果可形成指标并用于提升初步评估的效果。9.4.2 在遵循威胁信息共享(见9.3)前提下,威胁信息接收方在其所属环境研究、测试、应用威胁信息,具体内容如下:a) 旁路使用:在不影响真实业务环境条件下,通过利用模拟环境、历史数据或
17、流量镜像等方式模 拟使用威胁信息以观测其作用,该阶段用于观测威胁信息的误报率、可用性和对业务环境可能 产生的影响,并通知上下游相关业务方,明确应对方案,包括但不限于撤回方案、回滚方案、备份方案等;b) 边缘使用:在真实业务环境中的某些边缘业务内使用威胁信息,以观测威胁信息对真实业务环 境的影响,该阶段进一步确认威胁信息在真实业务环境使用的可用性,并验证和完善应对方案;c) 正式使用:在真实业务环境中使用威胁信息,持续观测威胁信息对真实业务的影响,并持续关 注已使用威胁信息的参数变化,包括但不限于威胁信息是否已被撤回、威胁信息的时效性、威胁信息准确性及其他参数的变化。9.4.3 威胁信息使用后,
18、威胁信息使用方可将数据完整留存备查,包括但不限于原始线索、证据信息、事件内容、事件时间、威胁信息本身、威胁信息提供方信息、经办人、研判结论等相关数据。9.5 威胁信息使用反馈威胁信息接收方在使用威胁信息后,可对威胁信息的使用情况进行记录并做出质量评价。威胁信 息接收方宜将使用反馈信息及时提供给该威胁信息的发送方,威胁信息的发送方可根据使用反馈情况优化威胁信息的生产、采集、评估方法,从而提升威胁信息的共享质量。使用情况反馈可包括下列内容。a) 信息相关性。判断网络安全威胁信息是否与信息接收方的信息系统运行环境相关,是否为信息接收方可能面临的威胁或可能遭受的攻击。b) 信息准确性。判断网络安全信息
19、是否准确、完整。不准确或不完整的网络安全信息可能妨碍重要的行动,引起不必要或不适当的响应行动,或使信息接收方产生安全错觉。c) 信息时效性。判断网络安全威胁信息的获取是否及时,以便给信息接收方提供充足的时间预 测威胁并做出响应。时效性的定义与信息变化速度、攻击速度、攻击者能力、可能造成的影响等因素有关。d) 信息具体性。判断网络安全威胁信息是否详细描述网络安全事件、网络安全攻击者等信息的 细节,以便信息接收方清晰了解威胁对他们的影响。包含足够信息和背景的网络安全信息使信息接收者能够制定应对方案和采取响应行动。10 威胁信息质量管理10.1 威胁信息组件格式威胁信息组件是威胁信息共享的元数据。金
20、融行业宜建立统一的数据格式进行威胁信息组件描 述,宜建立统一的威胁信息共享接口用于开展威胁信息共享,降低威胁信息共享接入成本,提升威胁信息共享效率。威胁信息共享接口主要字段参考表1。5GB/T 427082023表 1 威胁信息共享接口数据字段序号数据字段描述方式1威胁信息提供方威胁信息提供方标识和域名、IP等信息2威胁信息发生时间采用国际标准时间,时间格式宜参考GB/T 74083受威胁机构代码采用统一社会信用代码,宜符合GB 321004受威胁机构名称采用统一社会信用代码的机构注册名称5威胁信息类型根据金融行业面临的威胁分类,可设置子类型,如病毒木马、漏洞攻击等6安全事件详情宜参考GB/T
21、 3664310.2 威胁信息综合评定金融机构可建立威胁信息质量评价模型,综合评定不同渠道网络威胁信息的有效性,通过设置权 重、优先级等方式,提高威胁信息使用的精准性。质量评价模型可以根据威胁信息使用情况进行建立,综合判定参考因素见表2。由于不同的威胁信息共享方收集和共享的威胁信息可能存在特征差异,威胁信息质量评价模型根据威胁特征的差异性进行建立,避免错误模型影响威胁信息的有效使用。表 2 威胁信息综合判定参考因素序号参考因素描述方式1信息所属地区国家和地区编码宜按照GB/T 2659执行中国地区的行政区划代码宜按照GB/T 2260执行2信息来源威胁信息的发送方标识,宜采用GB32100统一
22、社会信用代码和机构注册名称3首次发生时间采用国际标准时间,时间格式宜参考GB/T 74084最后发生时间采用国际标准时间,时间格式宜参考GB/T 74085时间段内发生总次数6时间段内涉及机构总数7威胁信息类型8威胁等级一般设置高、中、低三级9威胁命中情况10威胁误报情况11威胁传递时效性11 威胁信息共享保障机制威胁信息共享参与方宜通过合同或协议等方式确认威胁信息共享关系的建立,明确共享的目标、目的、范围、参与方以及网络安全相关的责任义务。威胁信息共享参与方宜提供机构接口人等联络方式,便于威胁信息使用方沟通确认相关技术细节信息。威胁信息共享参与方宜监控金融网络安全威胁信息共享平台和其他威胁共
23、享参与方系统的网络6GB/T 427082023连通性情况,及时处置网络延迟、通信阻塞等异常以保障威胁信息传输的时效性。威胁信息共享参与方退出共享关系时,按照合同或协议约定完成相关义务,不私自泄露、出售在共享活动中获取的网络安全信息。12 威胁信息共享安全管理12.1 访问控制威胁信息可支持应用程序或人工访问。威胁信息控制者在保护威胁信息时,宜建立访问授权控制机制,对访问威胁信息的应用程序或人员进行身份验证,合理控制访问数据的时间范围、内容和数量。12.2 数据管理威胁信息共享时宜采用安全通道进行传输。威胁信息存储时宜采取有效的加密手段或其他安全措施进行保护。威胁信息使用后宜根据需要及时进行删
24、除或销毁。12.3 安全审计威胁信息控制者宜建立威胁信息使用过程的安全审计能力,包括对威胁信息在采集、评估、共享、使用各流程的使用行为记录,降低威胁信息共享风险。12.4 应急响应威胁信息控制者宜建立配套的应急响应机制,必要时及时切断信息共享,应对威胁信息共享过程中面临的突发事件。7GB/T 427082023附 录 A(资料性)典型金融网络安全威胁信息共享场景A.1 网络安全服务方的威胁信息共享网络安全服务方发现特定的金融机构面临网络安全威胁时,可直接与金融机构进行威胁信息共 享,提升信息准确性和共享效率;网络安全服务方发现金融行业全局性威胁时,可与金融网络安全威胁信息共享平台进行威胁信息共
25、享。网络安全服务方的威胁信息共享见图 A.1。金融机构网络安全服务方金融网络安全威胁信息共享平台图 A.1 网络安全服务方的威胁信息共享网络安全服务方在开展威胁信息分析时,为防止数据遗漏导致威胁信息无法被利用,宜重点考虑威 胁信息全面性,共享与特定金融机构或金融行业相关联的全量数据。由于过多的威胁信息共享可能带来威胁处置上的困难和大量误报等问题,网络安全服务方宜持续关注并提升信息质量。A.2 基础设施提供方的威胁信息共享金融机构在使用运营商网络(包括但不限于专线、移动蜂窝网络、Wi-Fi、卫星网络)、云计算服务商 等基础设施时,网络安全性受基础设施影响。相关基础设施运营机构可直接与金融机构进行
26、威胁信息 共享。由于基础设施层面的网络安全威胁波及范围广,直接影响金融机构业务系统的运行和金融行业 的安全稳定,相关基础设施运营机构也可直接与金融网络安全威胁信息共享平台进行威胁信息共享。基础设施提供方的威胁信息共享见图 A.2。金融机构1基础设施提供方金融机构N金融网络安全威胁信息共享平台图 A.2 基础设施提供方的威胁信息共享8GB/T 427082023A.3 不同金融机构间的威胁信息共享由于金融机构间存在业务系统的交互,金融机构业务执行过程中可能影响其他金融机构的业务安 全。金融机构在发现自身存在相关威胁时,为防止威胁在金融网络中的扩散,将相关威胁信息共享给其 他金融机构,以便在安全风
27、险发生前对威胁进行及时的识别并采取相应的防御措施。不同金融机构间的威胁信息共享见图 A.3。金融网络安全威胁信息共享平台金融机构B金融网络安全威胁信息共享平台金融机构N金融机构I3金融机构A金融机构A图 A.3 不同金融机构间的威胁信息共享不同金融机构之间的威胁信息共享宜充分考虑下列内容。a) 威胁信息关联性,即金融机构 A 在开展业务过程中与金融机构 B 的账户信息、业务系统等产生关联,则威胁信息的影响也存在必要的联系。b) 业务共性,即不同金融机构开展的同类业务可能遭遇到相似的攻击,这些攻击在时间、空间都 具备相似的特性,金融机构宜将与业务共性相关的威胁信息共享给行业平台,由行业平台进行批
28、量预警。A.4 金融机构业务合作方的威胁信息共享金融机构通过 API 方式、SDK 与其他机构开展业务合作时,存在威胁信息共享需求。合作方的业 务应用系统遭到攻击或发现异常行为时,如业务合作方的 APP 遭到攻击、电子商务合作方发现购物异 常、短信提供商发现短信发送频率异常等情况时,宜及时将相关威胁信息共享给合作的金融机构。金融机构业务合作方的威胁信息共享见图 A.4。金融机构业务合作方图 A.4 业务合作方的威胁信息共享9GB/T 427082023参 考 文 献GB/T 74082005 数据元和交换格式 信息交换 日期和时间表示法GB/T 209882007 信息安全技术 信息系统灾难恢
29、复规范3 GB/T 222392019 信息安全技术 网络安全等级保护基本要求4 GB/T 279102011 金融服务 信息安全指南5 GB/T 284582020 信息安全技术 网络漏洞标识与描述规范6 GB/T 292462017 信息技术 安全技术 信息安全管理体系 概述和词汇7 GB/T 302792020 信息安全技术 网络安全漏洞分类分级指南8 GB/T366432018 信息安全技术 网络安全威胁信息格式规范9 中华人民共和国全国人民代表大会常务委员会,中华人民共和国网络安全法,2016年11月7日10 关于加强国家网络安全标准化工作的若干意见,中网办发文20165号,2016
30、年8月12日11 Cyber Observable eXpressionCybOXTM A Structured Language for Cyber Observables12 The Trusted Automated eXchange of Indicator Information(TAXIIM)13 NIST Special Publication 800-150:Guide to Cyber Threat Information Sharing14 Standardizing Cyber Threat information Information with the Structured Threat Infor-mation eXpression(STIXTM)10
黑公网安备:91230400333293403D