網(wǎng)絡(luò)安全信息共享活動、模式示例、信息描述、信息交換技術(shù)概述

1、附錄A （資料性）網(wǎng)絡(luò)安全信息共享活動示例網(wǎng)絡(luò)安全信息共享活動示例見表A.1。表A.1 網(wǎng)絡(luò)安全信息共享活動示例場景示例共享場景類型共享模式共享活動發(fā)起者信息提供者信息控制者信息使用者網(wǎng)絡(luò)安全信息類別共享范圍網(wǎng)絡(luò)安全論壇上的信息分享信息公開中心/混合共享論壇運營機構(gòu)網(wǎng)絡(luò)安全服務(wù)機構(gòu)、科研機構(gòu)的從業(yè)人員、網(wǎng)絡(luò)安全愛好者論壇運營機構(gòu)建設(shè)的網(wǎng)絡(luò)安全論壇想了解和查閱網(wǎng)絡(luò)安全信息資源的組織或個人已公開風(fēng)險信息、漏洞信息、應(yīng)對措施信息、經(jīng)驗信息等完全共享主管/監(jiān)管部門組織的網(wǎng)絡(luò)安全信息報送信息報送或下發(fā)中心共享主管/監(jiān)管部門網(wǎng)絡(luò)安全服務(wù)機構(gòu)、科研機構(gòu)、行業(yè)主管部門等由主管/監(jiān)管部門提出，平臺運營機構(gòu)建設(shè)的

2、信息共享平臺主管/監(jiān)管部門認(rèn)為有必要接收相關(guān)信息的組織或個人依主管/監(jiān)管部門要求提供其所需的所有類別信息。依主管/監(jiān)管部門要求提供其所需共享范圍內(nèi)的信息。業(yè)務(wù)合作伙伴間的安全提醒和共同維護信息互換點對點共享業(yè)務(wù)合作雙方/多方業(yè)務(wù)合作雙方/多方業(yè)務(wù)合作雙方/多方業(yè)務(wù)合作雙方/多方已公開或通過某些技術(shù)手段發(fā)現(xiàn)的，可能對合作伙伴間網(wǎng)絡(luò)安全造成危害的所需的所有類別信息。完全共享、內(nèi)部共享、受限共享DB附錄B （資料性）網(wǎng)絡(luò)安全信息共享模式示例B.1 中心共享模式中心共享模式信息交互形式如圖B.1所示。圖B.1 網(wǎng)絡(luò)安全信息中心共享模式基于中心共享模式的共享活動通常需要建立正式的信息共享協(xié)議，規(guī)定信息共

3、享內(nèi)容、共享活動參與者范圍、是否允許注明來源、以及允許的詳細(xì)程度等。共享中心擁有各信息提供者傳遞來的全量信息，在對信息進(jìn)行提煉、處理和分發(fā)過程中需按照信息共享協(xié)議進(jìn)行操作，并根據(jù)需要為信息使用者提供抽象的、有針對性的摘要信息。中心可建立準(zhǔn)入門檻，中心在共享過程中，如發(fā)現(xiàn)某網(wǎng)絡(luò)安全信息質(zhì)量不高，則宜通過降低乃至停止該信息提供者共享的方式，提高網(wǎng)絡(luò)安全信息整體的質(zhì)量，以此規(guī)范計劃參與共享活動的組織或個人。對于信息傳遞頻繁、信息共享數(shù)量高的中心可以選擇自動化匯總和處理工具對信息進(jìn)行處理。對于信息共享的權(quán)限控制要求更為精細(xì)的情況，可根據(jù)需要設(shè)立多級共享中心。不同的共享中心各自對其收集到的信息進(jìn)行管理與

4、維護，同時信息共享中心需根據(jù)自身所處層級的不同，以從低到高的順序逐級將信息傳遞至高級別共享中心進(jìn)行統(tǒng)一分發(fā)管理，從而實現(xiàn)信息的逐級匯總與分發(fā)。中心共享模式的優(yōu)勢主要取決于中心提供的服務(wù)。有些中心可能只以中間人的身份進(jìn)行信息傳遞，另一些中心可能會執(zhí)行附加的處理來豐富信息。中心共享模式的潛在缺點是共享活動的有效開展完全依賴于中心的基礎(chǔ)設(shè)施，使其容易受到系統(tǒng)故障、延遲或損壞等影響。當(dāng)中心不能正常工作或性能下降時，所有信息共享參與角色都會受到影響。此外，中心作為網(wǎng)絡(luò)安全信息的存儲點，容易成為攻擊目標(biāo)。B.2 點對點共享模式點對點共享模式信息的交互形式如圖B.2所示。圖B.2 網(wǎng)絡(luò)安全信息點對點共享模式

5、在點對點共享模式中，基于所建立的信任等級和交換的信息類型，同一共享活動中的參與者之間自愿直接建立對等信任關(guān)系，并進(jìn)行信息共享。共享活動參與者彼此信任的基礎(chǔ)是擁有共同目標(biāo)，尊重規(guī)定的共享規(guī)則，并愿意參與互惠共享。點對點共享模式的優(yōu)勢在于共享活動參與者彼此直接共享，信息使用者可直接從源頭獲得信息，便于信息的迅速分享與使用；同時，信息可以通過多種渠道獲得，且沒有成為潛在單點攻擊故障點或高價值攻擊目標(biāo)的中心，使架構(gòu)表現(xiàn)出更大的健壯性。但此模式下架構(gòu)實現(xiàn)不采用統(tǒng)一的標(biāo)準(zhǔn)方法，共享活動參與者必須支持多種數(shù)據(jù)格式和協(xié)議，難以實現(xiàn)快速的擴展，隨著共享活動參與者數(shù)量的增加，管理眾多連接、數(shù)據(jù)和信任關(guān)系的成本將以

6、指數(shù)方式增加，不利于整體的維護與管理。B.3 混合共享模式混合共享模式信息的交互形式如圖B.3所示。在混合共享模式中，信息越接近于信息共享中心，信息共享范圍越小，信息控制者可將共享范圍較大的信息以點對點形式與其他共享活動參與者進(jìn)行傳遞，當(dāng)需要發(fā)送共享范圍較小的信息時，則需采用中心共享的方式將信息統(tǒng)一傳遞至信息共享中心，并由中心對接收到的信息進(jìn)行統(tǒng)一的收集、整合、分析與分發(fā)。圖B.3 網(wǎng)絡(luò)安全信息混合共享模式在混合共享模式下，共享活動參與者可以最大限度地實現(xiàn)信息的快速分享與使用，同時也能夠通過共享中心實現(xiàn)信息的統(tǒng)一管理維護，以提升信息共享的可靠性與保密性。因混合共享模式相較于其他兩種模式更為復(fù)雜

7、，其實現(xiàn)的成本會有所增加。同時對于共享活動參與者而言，在進(jìn)行信息共享時也會相應(yīng)增加實施與操作的復(fù)雜程度。DC附錄C （資料性）網(wǎng)絡(luò)安全信息描述C.1 威脅信息描述規(guī)范建議滿足GB/T 366432018中6.2-6.9關(guān)于網(wǎng)絡(luò)安全威脅信息組件描述的相關(guān)要求。C.2 應(yīng)對措施信息描述規(guī)范應(yīng)對措施信息描述規(guī)范如表C.1所示。表C.1 應(yīng)對措施信息描述規(guī)范字段內(nèi)容說明措施名稱所屬子類（防御/響應(yīng)）單位名稱實施對象措施目的具體描述C.3 經(jīng)驗信息描述規(guī)范經(jīng)驗信息描述規(guī)范如表C.2所示。表C.2 經(jīng)驗信息描述規(guī)范字段內(nèi)容說明經(jīng)驗信息名稱單位名稱具體描述風(fēng)險等級應(yīng)對措施C.4 態(tài)勢信息描述規(guī)范態(tài)勢信息描述

8、規(guī)范如表C.3所示。表C.3 態(tài)勢信息描述規(guī)范字段內(nèi)容說明態(tài)勢信息類型態(tài)勢信息名稱上報單位名稱態(tài)勢信息來源態(tài)勢信息具體描述DD附錄D （資料性）共享活動中的信息交換技術(shù)概述D.1 網(wǎng)絡(luò)安全信息交換模型D.1.1 概述網(wǎng)絡(luò)安全信息的交換采用“客戶端-服務(wù)端”方式。在該方式中，信息服務(wù)器的核心功能是提供“信息集”服務(wù)，客戶端通過訪問服務(wù)的不同接口實現(xiàn)注冊、認(rèn)證和網(wǎng)絡(luò)安全信息數(shù)據(jù)的上傳和拉取查詢。服務(wù)器可接收上傳的信息，存儲、管理網(wǎng)絡(luò)安全信息，并接受網(wǎng)絡(luò)安全信息查詢?？蛻舳耸蔷W(wǎng)絡(luò)安全信息的提供者或使用者。信息交換訪問方式如圖D.1所示。圖D.1 信息交換訪問方式在中心共享模式下，共享中心具有服務(wù)器功

9、能，非中心共享活動相關(guān)方具有客戶端功能；在點對點共享模式下，共享活動參與者均具有服務(wù)器與客戶端功能。D.1.2 服務(wù)器D.1.2.1 服務(wù)器功能服務(wù)器的核心功能是進(jìn)行信息的收集、存儲、管理、發(fā)布和查詢，主要為“注冊與認(rèn)證”服務(wù)、“服務(wù)信息”服務(wù)、“信息集”服務(wù)、“狀態(tài)信息”服務(wù)和相關(guān)功能的集合，從URL角度可理解為不同的服務(wù)接口實例的根URL。一個服務(wù)器實例可支持一個或多個“服務(wù)根”，同時支持一個“注冊與認(rèn)證”服務(wù)和一個“服務(wù)信息”查詢服務(wù)。D.1.2.2 注冊與認(rèn)證注冊與認(rèn)證服務(wù)負(fù)責(zé)授權(quán)憑據(jù)的生產(chǎn)、管理、分發(fā)與驗證，以及客戶端注冊和認(rèn)證信息的維護，通過提供的API接口接收客戶端的注冊和認(rèn)證，

10、并與“信息集”服務(wù)協(xié)作進(jìn)行網(wǎng)絡(luò)安全信息資源的訪問控制。只有在服務(wù)器上進(jìn)行注冊并認(rèn)證通過的合法客戶端才能訪問服務(wù)器上的網(wǎng)絡(luò)安全信息。D.1.2.3 服務(wù)根“服務(wù)根”是服務(wù)器上一組網(wǎng)絡(luò)安全信息數(shù)據(jù)資源和相關(guān)訪問接口的邏輯分組。一個服務(wù)器支持一個或多個服務(wù)根。每個服務(wù)根獨立提供網(wǎng)絡(luò)安全信息數(shù)據(jù)訪問所需接口。通過服務(wù)根，服務(wù)器可以實現(xiàn)網(wǎng)絡(luò)安全信息數(shù)據(jù)資源的劃分和獨立的訪問控制。從URL角度，服務(wù)根可以理解為服務(wù)器根URL的子URL。每個服務(wù)根可以根據(jù)需要將其中的網(wǎng)絡(luò)安全信息數(shù)據(jù)及訪問接口劃分為不同的“信息集”。D.1.2.4 服務(wù)信息“服務(wù)信息”是服務(wù)器提供的“服務(wù)根”信息的集合。該服務(wù)包括一組對“服

11、務(wù)根”信息進(jìn)行查詢的API接口，通過這些接口客戶端可以查詢服務(wù)器上的“服務(wù)根”列表，及每個“服務(wù)根”的URL及“服務(wù)根”上網(wǎng)絡(luò)安全信息數(shù)據(jù)的公共信息。D.1.2.5 信息集“信息集”是服務(wù)根實例提供的網(wǎng)絡(luò)安全信息數(shù)據(jù)對象及其訪問接口的邏輯分組，是客戶端對網(wǎng)絡(luò)安全信息對象進(jìn)行訪問的基本單位。“信息集”服務(wù)是通向信息集的API接口的集合?？蛻舳耸褂眠@些接口以請求-響應(yīng)的方式發(fā)送網(wǎng)絡(luò)安全信息數(shù)據(jù)到服務(wù)器，或者向服務(wù)器請求網(wǎng)絡(luò)安全信息。一個“服務(wù)根”可包含一個或多個信息集，將網(wǎng)絡(luò)安全信息數(shù)據(jù)組合成以“信息集”為單位的邏輯分組后，可按照信任組或其他邏輯分組形式劃分內(nèi)容和訪問控制。D.1.2.6 狀態(tài)信息

12、每個“服務(wù)根”實例允許客戶端查看發(fā)送給“服務(wù)根”的特定類型的請求的處理狀態(tài)。狀態(tài)信息用于描述向“服務(wù)根”上特定信息集添加網(wǎng)絡(luò)安全信息對象的請求的執(zhí)行狀態(tài)。當(dāng)客戶端提交了新的網(wǎng)絡(luò)安全信息后，可使用“狀態(tài)信息”服務(wù)提供的API接口可查看該新增網(wǎng)絡(luò)安全信息是否已被接受，請求是否完成以及請求中各對象的狀態(tài)（如：是否為待處理、完成但失敗，或者成功完成）。D.1.2.7 共享接口共享接口是客戶端對服務(wù)器上的各種服務(wù)進(jìn)行訪問的傳輸通路。一個接口表示一個服務(wù)器實例上一個特定的URL和HTTPS方法，每一個接口都由可訪問的URL和用于請求的HTTPS方法標(biāo)識。通過共享接口客戶端可實現(xiàn)在服務(wù)器上的注冊與認(rèn)證、服務(wù)

13、信息的發(fā)現(xiàn)、與服務(wù)根進(jìn)行數(shù)據(jù)交換及服務(wù)根狀態(tài)查詢等功能。服務(wù)器上的信息集服務(wù)提供一組相同的API接口，客戶端通過這些接口實現(xiàn)對特定信息集的訪問，進(jìn)而實現(xiàn)網(wǎng)絡(luò)安全信息的交換。當(dāng)前版本定義的API形式接口，需通過HTTPS協(xié)議實現(xiàn)接口訪問。D.1.3 客戶端單個客戶端向特定服務(wù)器進(jìn)行注冊，認(rèn)證通過后，可以向該服務(wù)器上的信息集查詢接口發(fā)送請求，查詢特定類型的網(wǎng)絡(luò)安全信息；客戶端也可以向特定服務(wù)器上的信息集的信息接收接口發(fā)送請求，向信息集中添加網(wǎng)絡(luò)安全信息數(shù)據(jù)；同時，可通過向服務(wù)器的狀態(tài)服務(wù)的查詢接口發(fā)送請求，獲取推送的網(wǎng)絡(luò)安全信息的處理狀態(tài)。D.2 網(wǎng)絡(luò)安全信息交換方法客戶端接入服務(wù)器并實現(xiàn)網(wǎng)絡(luò)安全

14、信息共享遵守如下過程：a) 注冊。新加入的客戶端首次連接服務(wù)器，或設(shè)備配置變動后，客戶端應(yīng)向服務(wù)器進(jìn)行注冊。服務(wù)器審核注冊信息后為客戶端分發(fā)認(rèn)證憑據(jù)。注冊可采用離線人工注冊或在線API注冊方式；b) 認(rèn)證。注冊成功后，客戶端訪問服務(wù)器的API接口進(jìn)行認(rèn)證。認(rèn)證上傳注冊過程獲取的認(rèn)證憑據(jù)，認(rèn)證成功后獲取會話標(biāo)識；c) 服務(wù)發(fā)現(xiàn)。認(rèn)證成功后，客戶端使用會話標(biāo)識作為認(rèn)證憑證訪問服務(wù)器上的服務(wù)信息查詢接口和網(wǎng)絡(luò)安全信息數(shù)據(jù)的API接口，發(fā)現(xiàn)服務(wù)器所提供的服務(wù)信息。當(dāng)會話標(biāo)識失效后可重新啟動認(rèn)證過程；d) 狀態(tài)查詢。認(rèn)證成功后，客戶端使用會話標(biāo)識作為認(rèn)證憑證訪問服務(wù)器上的服務(wù)根狀態(tài)查詢接口，查詢服務(wù)根當(dāng)

15、前狀態(tài)信息。當(dāng)會話標(biāo)識失效后可重新啟動認(rèn)證過程；e) 數(shù)據(jù)交換。認(rèn)證成功后，客戶端使用會話標(biāo)識作為認(rèn)證憑證訪問服務(wù)器上的服務(wù)根數(shù)據(jù)交換接口，查詢或上報網(wǎng)絡(luò)安全信息數(shù)據(jù)。當(dāng)會話標(biāo)識失效后可重新啟動認(rèn)證過程；D.3 網(wǎng)絡(luò)安全信息數(shù)據(jù)接口描述D.3.1 基本描述網(wǎng)絡(luò)安全信息數(shù)據(jù)接口遵循如下基本描述：a) 所有的請求可在HTTPS協(xié)議的Accept頭中提供媒體范圍；b) 所有的響應(yīng)可在HTTPS協(xié)議的Content-Type頭中提供所請求端點對應(yīng)的媒體類型和版本參數(shù)；c) 若響應(yīng)回復(fù)了HTTP成功碼（200系列的狀態(tài)碼），建議包含接口請求中指定的內(nèi)容類型的響應(yīng)體；d) 若響應(yīng)回復(fù)了HTTP錯誤碼（RFC 7231 6.5節(jié)和6.6節(jié)定義的400系列和500系列的狀態(tài)碼），建議在響應(yīng)體中包含錯誤消息；e) 若HTTPS協(xié)議請求的Accept和/或Content-Type頭中提供了接口指定的媒體類型，不宜回復(fù)HTTP 406（不可接受）或HTTP 415（不接受的媒體類型）；否則，可回復(fù)響應(yīng)內(nèi)容或HTTP 406（不可接受）或HTTP 415（不接受的媒體類型）；f) 傳輸?shù)木W(wǎng)絡(luò)安全信息的類型和格式