信息安全技術(shù) 網(wǎng)絡(luò)安全信息共享指南

信息安全技術(shù)網(wǎng)絡(luò)安全信息共享指南Informationsecuritytechnology—Guidanceforcybersecurit2023-08-06發(fā)布2023-08-06發(fā)布國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)前言 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 15共享活動(dòng)要素 25.1概述 25.2共享場(chǎng)景 25.3共享參與角色 25.4共享模式 35.5網(wǎng)絡(luò)安全信息 36基本原則 36.1安全性原則 36.2可控性原則 36.3合規(guī)性原則 47共享范圍 48共享活動(dòng)過(guò)程 48.1概述 48.2共享活動(dòng)準(zhǔn)備 48.3共享活動(dòng)實(shí)施 68.4共享活動(dòng)終止 8附錄A(資料性)網(wǎng)絡(luò)安全信息共享活動(dòng)示例 9附錄B(資料性)網(wǎng)絡(luò)安全信息共享模式示例 B.1中心共享模式 B.2點(diǎn)對(duì)點(diǎn)共享模式 B.3混合共享模式 B.4群共享模式 11附錄C(資料性)網(wǎng)絡(luò)安全信息描述 C.1威脅信息描述 C.2安全事件信息描述 C.3脆弱性信息描述 C.4應(yīng)對(duì)措施信息描述 C.5經(jīng)驗(yàn)信息描述 IC.6態(tài)勢(shì)信息描述 附錄D(資料性)共享活動(dòng)中的信息交換技術(shù)概述 D.1網(wǎng)絡(luò)安全信息交換模型 D.2網(wǎng)絡(luò)安全信息交換方法 D,3網(wǎng)絡(luò)安全信息數(shù)據(jù)接口描述 參考文獻(xiàn) 18ⅡⅡ信息安全技術(shù)網(wǎng)絡(luò)安全信息共享指南API;應(yīng)用程序編程接口(ApplicationPrograHTTPS:超文本傳輸安全協(xié)議(HyperTextTr共享活動(dòng)是網(wǎng)絡(luò)安全信息共享過(guò)程的一系列任務(wù)的集合，其日的是使參與共享活動(dòng)的組織或個(gè) 2e)經(jīng)驗(yàn)信息：描述在網(wǎng)絡(luò)安全防護(hù)和網(wǎng)絡(luò)安全事件響應(yīng)等方面積累的成功經(jīng)驗(yàn)和失敗教訓(xùn)的3準(zhǔn)的規(guī)定及共享活動(dòng)中制定的協(xié)議和規(guī)程。網(wǎng)絡(luò)安全信息中涉及網(wǎng)絡(luò)產(chǎn)品安全漏洞信息發(fā)布和共享行為的管理要求見(jiàn)6網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定3:7共享范圍共享范圍是共享活動(dòng)中網(wǎng)絡(luò)安全信息可被知悉的范圍。共享范圍通?？煞譃橥耆蚕怼?nèi)部共享、部分共享三種類(lèi)別：b)內(nèi)部共享：信息在特定共享活動(dòng)中的所有參與者間共享；c)部分共享：信息在特定共享活動(dòng)中的部分或指定參與者間共享。B共享活動(dòng)過(guò)程8.1概述共享活動(dòng)過(guò)程包括三個(gè)基本階段：共享活動(dòng)準(zhǔn)備、共享活動(dòng)實(shí)施、共享活動(dòng)終止，每一階段有一組確定的工作任務(wù)。8.2共享活動(dòng)準(zhǔn)備B.2.1基本工作流程共享活動(dòng)準(zhǔn)備階段包括明確共享場(chǎng)景、評(píng)估網(wǎng)絡(luò)安全防護(hù)能力、識(shí)別共享參與角色、確定共享范圍和網(wǎng)絡(luò)安全信息類(lèi)別、選擇共享模式、制定共享策略和規(guī)程六項(xiàng)主要任務(wù)，共享活動(dòng)準(zhǔn)備階段基本工作流程見(jiàn)圖2.圖2共享活動(dòng)準(zhǔn)備階段基本工作流程4發(fā)起或組織共享活動(dòng)的組織或個(gè)人可自行擔(dān)任或委托其他組織或個(gè)人擔(dān)任共享活動(dòng)的信息管理56工作。78(資料性)網(wǎng)絡(luò)安全信息類(lèi)別共享范用網(wǎng)絡(luò)安全論中心/網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)，科研機(jī)愛(ài)好者想了解和查閱網(wǎng)絡(luò)安全信息門(mén)組織的間發(fā)中心網(wǎng)絡(luò)安全服務(wù)部門(mén)等由主管/監(jiān)管門(mén)認(rèn)為有必要的組織或個(gè)人要求提供其所需的內(nèi)部共亨、伙伴間的安全提醒和共同維護(hù)點(diǎn)對(duì)點(diǎn)已公開(kāi)或通過(guò)某些的，可能對(duì)合作伙伴間網(wǎng)絡(luò)安全造成危害的所需的所有類(lèi)別信息內(nèi)部共享、微信群明信息的群成員信息的群成員所有群成員技術(shù)手段發(fā)現(xiàn)的風(fēng)應(yīng)對(duì)措施信息、經(jīng)驗(yàn)信息等完全共享，內(nèi)部共享9(資料性)網(wǎng)絡(luò)安全信息共享模式示例B.1中心共享模式中心共享模式信息交互形式如圖B.1所示?；谥行墓蚕砟Ｊ降墓蚕砘顒?dòng)通常需要建立正式的信息共享協(xié)議，規(guī)定信息共享內(nèi)容、共享活動(dòng)參與者范圍、是否允許注明來(lái)源、以及允許的詳細(xì)程度等。共享中心擁有各信息提供者傳遞來(lái)的全量信息，在對(duì)信息進(jìn)行提煉、處理和分發(fā)過(guò)程中需按照信息共享協(xié)議進(jìn)行操作，并根據(jù)需要為信息使用者提對(duì)于信息共享的權(quán)限控制要求更為精細(xì)的情況，可根據(jù)需要設(shè)立多級(jí)共享中心。不同的共享中心各自對(duì)其收集到的信息進(jìn)行管理與維護(hù)，同時(shí)信息共享中心需根據(jù)自身所處層級(jí)的不同，以從低到高的順序逐級(jí)將信息傳遞至高級(jí)別共享中心進(jìn)行統(tǒng)一分發(fā)管理，從而實(shí)現(xiàn)信息的逐級(jí)匯總與分發(fā)。中心共享模式的優(yōu)勢(shì)主要取決于中心提供的服務(wù)。有些中心可能只以中間人的身份進(jìn)行信息傳遞，另一些中心可能會(huì)執(zhí)行附加的處理來(lái)豐富信息。中心共享模式的潛在缺點(diǎn)是共享活動(dòng)的有效開(kāi)展完全依賴(lài)于中心的基礎(chǔ)設(shè)施，使其容易受到系統(tǒng)故障、延遲或損壞等影響。當(dāng)中心不能正常工作或性能下降時(shí)，所有信息共享參與角色都會(huì)受到影響。此外，中心作為網(wǎng)絡(luò)安全信息的存儲(chǔ)點(diǎn)，容易成為攻擊B.2點(diǎn)對(duì)點(diǎn)共享模式點(diǎn)對(duì)點(diǎn)共享模式信息的交互形式如圖B.2所示。O共享活動(dòng)參?者4一信息傳越方回圖B.2點(diǎn)對(duì)點(diǎn)共享模式在點(diǎn)對(duì)點(diǎn)共享模式中，同一共享活動(dòng)中的參與者之間自愿直接建立對(duì)等信任關(guān)系，并進(jìn)行信息共圖例；中心節(jié)點(diǎn)一信息傳遞方向 一信息位評(píng)文向圖B.4群共享模式(資料性)網(wǎng)絡(luò)安全信息描述C.1威脅信息描述GB/T36643—2018的6.2～6,9給出了關(guān)于網(wǎng)絡(luò)安全威脅信息組件描述的相關(guān)要求。C.2安全事件信息描述安全事件信息描述如表C.1所示。表C.1事件信息描述內(nèi)容字段1字段2起始時(shí)間字段3目標(biāo)對(duì)象字段5字段7影響范用字段8C.3脆弱性信息描述脆弱性信息描述如表C,2所示。表C.2脆弱性信息描述內(nèi)容字段1字段2發(fā)布時(shí)間字段3字毆5字段7字段8C.4應(yīng)對(duì)措施信息描述應(yīng)對(duì)措施信息描述如表C.3所示。表C.3應(yīng)對(duì)措施信息描述內(nèi)容所屬子類(lèi)(防御/響應(yīng))C.5經(jīng)驗(yàn)信息描述經(jīng)驗(yàn)信息描述如表C.4所示。表C.4經(jīng)驗(yàn)信息描述內(nèi)容C.6態(tài)勢(shì)信息描述態(tài)勢(shì)信息描述如表C.5所示。表C.5態(tài)勢(shì)信息描述內(nèi)容(資料性)共享活動(dòng)中的信息交換技術(shù)概述D.1網(wǎng)絡(luò)安全信息交換模型不同接口實(shí)現(xiàn)注冊(cè)、認(rèn)證和網(wǎng)絡(luò)安全信息數(shù)據(jù)的上傳和拉取查詢(xún)。服務(wù)器可接收上傳的信息，存儲(chǔ)、管理網(wǎng)絡(luò)安全信息，并接受網(wǎng)絡(luò)安全信息查詢(xún)?？蛻舳耸蔷W(wǎng)絡(luò)安全信息的提供者或使用者。信息交換訪問(wèn)方式如圖D.1所示。服務(wù)發(fā)暖按口在中心共享模式下，共享中心具有服務(wù)器功能，非中心共享活動(dòng)相關(guān)方具有客戶端功能；在點(diǎn)對(duì)點(diǎn)共享模式下，共享活動(dòng)參與者均具有服務(wù)器與客戶端功能。而群共享模式可采用P2P方式。D.1.2服務(wù)器D.1.2.1服務(wù)器功能例的根URL。一個(gè)服務(wù)器實(shí)例可支持一個(gè)或多個(gè)“服務(wù)根”,同時(shí)支持一個(gè)“注冊(cè)與認(rèn)證”服務(wù)和一個(gè)D.1.2.2注冊(cè)與認(rèn)證提供的API接口接收客戶端的注冊(cè)和認(rèn)證，并與“信息集”服務(wù)協(xié)作進(jìn)行網(wǎng)絡(luò)安全信息資源的訪問(wèn)控制。只有在服務(wù)器上進(jìn)行注冊(cè)并認(rèn)證通過(guò)的合法客戶端才能訪問(wèn)服務(wù)器上的網(wǎng)絡(luò)安全信息。“服務(wù)根”是服務(wù)器上一組網(wǎng)絡(luò)安全信息數(shù)據(jù)資源和相關(guān)訪問(wèn)接口的邏輯分組。一個(gè)服務(wù)器支持一個(gè)或多個(gè)服務(wù)根。每個(gè)服務(wù)根獨(dú)立提供網(wǎng)絡(luò)安全信息數(shù)據(jù)訪問(wèn)所需接口。通過(guò)服務(wù)根，服務(wù)器可實(shí)現(xiàn)網(wǎng)絡(luò)安全信息數(shù)據(jù)資源的劃分和獨(dú)立的訪問(wèn)控制。從URL角度，服務(wù)根可理解為服務(wù)器根URL的子URL。每個(gè)服務(wù)根可根據(jù)需要將其中的網(wǎng)絡(luò)安全信息數(shù)據(jù)及訪問(wèn)接口劃分為不同的“信息集”?！胺?wù)信息”是服務(wù)器提供的“服務(wù)根”信息的集合。該服務(wù)包括一組對(duì)“服務(wù)根”信息進(jìn)行查詢(xún)的上網(wǎng)絡(luò)安全信息數(shù)據(jù)的公共信息。D,1.2.5信息集“信息集”是服務(wù)根實(shí)例提供的網(wǎng)絡(luò)安全信息數(shù)據(jù)對(duì)象及其訪問(wèn)接口的邏輯分組，是客戶端對(duì)網(wǎng)絡(luò)安全信息對(duì)象進(jìn)行訪問(wèn)的基本單位?！靶畔⒓狈?wù)是通向信息集的API接口的集合?？蛻舳耸褂眠@些接口以請(qǐng)求-響應(yīng)的方式發(fā)送網(wǎng)絡(luò)安全信息數(shù)據(jù)到服務(wù)器，或者向服務(wù)器請(qǐng)求網(wǎng)絡(luò)安全信息。組后，可按照信任組或其他邏輯分組形式劃分內(nèi)容和訪問(wèn)控制。狀態(tài)信息用于描述向“服務(wù)根”上特定信息集添加網(wǎng)絡(luò)安全信息對(duì)象的請(qǐng)求的執(zhí)行狀態(tài)。當(dāng)客戶端提交了新的網(wǎng)絡(luò)安全信息后，可使用“狀態(tài)信息”服務(wù)提供的API接口查看該新增網(wǎng)絡(luò)安全信息是否已D.1.2.7共享接口共享接口是客戶端對(duì)服務(wù)器上的各種服務(wù)進(jìn)行訪問(wèn)的傳輸通路。一個(gè)接口表示一個(gè)服務(wù)器實(shí)例上一個(gè)特定的URI.和HTTPS方法，每一個(gè)接口都由可訪問(wèn)的LRI.和用于請(qǐng)求的HTTPS方法標(biāo)識(shí)，通過(guò)共享接口客戶端可實(shí)現(xiàn)在服務(wù)器上的注冊(cè)與認(rèn)證、服務(wù)信息的發(fā)現(xiàn)、與服務(wù)根進(jìn)行數(shù)據(jù)交換及服務(wù)根狀態(tài)查詢(xún)等功能。服務(wù)器上的信息集服務(wù)提供一組相同的AP1接口，客戶端通過(guò)這些接口實(shí)現(xiàn)對(duì)特定信息集的訪問(wèn)，進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)安全信息的交換。當(dāng)前版本定義的API形式接口，需通過(guò)HTTPS協(xié)單個(gè)客戶端向特定服務(wù)器進(jìn)行注冊(cè)，認(rèn)證通過(guò)后，可向該服務(wù)器上的信息集查詢(xún)接口發(fā)送請(qǐng)求，查詢(xún)特定類(lèi)型的網(wǎng)絡(luò)安全信息；客戶端也可向特定服務(wù)器上的信息集的信息接收接口發(fā)送請(qǐng)求，向信息集中添加網(wǎng)絡(luò)安全信息數(shù)據(jù)；同時(shí)，可通過(guò)向服務(wù)器的狀態(tài)服務(wù)的查詢(xún)接口發(fā)送請(qǐng)求，獲取推送的網(wǎng)絡(luò)安全信息的處理狀態(tài)。D.2網(wǎng)絡(luò)安全信息交換方法客戶端接入服務(wù)器并實(shí)現(xiàn)網(wǎng)絡(luò)安全信息共享遵守如下過(guò)程。a)注冊(cè)。新加入的客戶端首次連接服務(wù)器，或設(shè)備配置變動(dòng)后，客戶端應(yīng)向服務(wù)器進(jìn)行注冊(cè)。服務(wù)器審核注冊(cè)信息后為客戶端分發(fā)認(rèn)證憑據(jù)。注冊(cè)可采用離線人工注冊(cè)或在線API注冊(cè)b)認(rèn)證。注冊(cè)成功后，客戶端訪問(wèn)服務(wù)器的API接口進(jìn)行認(rèn)證。認(rèn)證上傳注冊(cè)過(guò)程獲取的認(rèn)證c)服務(wù)發(fā)現(xiàn)。認(rèn)證成功后，客戶端使用會(huì)話標(biāo)識(shí)作為認(rèn)證憑證訪問(wèn)服務(wù)器上的服務(wù)信息查詢(xún)接口和網(wǎng)絡(luò)安全信息數(shù)據(jù)的API接口，發(fā)現(xiàn)服務(wù)器所提供的服務(wù)信息。當(dāng)會(huì)話標(biāo)識(shí)失效后可重新啟動(dòng)認(rèn)證過(guò)程。d)狀態(tài)查詢(xún)。認(rèn)證成功后，客戶端使用會(huì)話標(biāo)識(shí)作為認(rèn)證憑證訪問(wèn)服務(wù)器上的服務(wù)根狀態(tài)查詢(xún)接口，查詢(xún)服務(wù)根當(dāng)前狀態(tài)信息。當(dāng)會(huì)話標(biāo)識(shí)失效后可重新啟動(dòng)認(rèn)證過(guò)程。e)數(shù)據(jù)交換。認(rèn)證成功后，客戶端使用會(huì)話標(biāo)識(shí)作為認(rèn)證憑證訪問(wèn)服務(wù)器上的服務(wù)根數(shù)據(jù)交換接口，查詢(xún)或上報(bào)網(wǎng)絡(luò)安全信息數(shù)據(jù)。當(dāng)會(huì)話標(biāo)識(shí)失效后可重新啟動(dòng)認(rèn)證過(guò)程。D.3網(wǎng)絡(luò)安全信息數(shù)據(jù)接口描述D.3.1基本描述網(wǎng)絡(luò)安全信息數(shù)據(jù)接口薄循如下基本描述：a)所有的請(qǐng)求可在HTTPS協(xié)議的Accept頭中提供媒體范圍；b)所有的響應(yīng)可在HTTPS協(xié)議的ContentType頭中提供所請(qǐng)求端點(diǎn)對(duì)應(yīng)的媒體類(lèi)型和版本c)若響應(yīng)回復(fù)了HTTP成功碼(200系列的狀態(tài)碼),宜包含接口請(qǐng)求中指定的內(nèi)容類(lèi)型的響d)若響應(yīng)回復(fù)了HTTP錯(cuò)誤碼(RFC7231的6.5和6.6定義的400系列和500系列的狀態(tài)碼),宜在響應(yīng)體中包含錯(cuò)誤信息；e)若HTTPS協(xié)議請(qǐng)求的Accept和/或Content-Type頭中提供了接口指定的媒體類(lèi)型，不宜回復(fù)HTTP406(不可接受)或HTTP415(不接受的媒體類(lèi)型);否則，可回復(fù)響應(yīng)內(nèi)容或HTTP406(不可接受)或HTTP415(不接受的媒體類(lèi)型);I)傳輸?shù)木W(wǎng)絡(luò)安全信息的類(lèi)型和格式參考附錄C。D.3,2安全性描述網(wǎng)絡(luò)安全信息數(shù)據(jù)接口遵循如下安全性描述；a)采用的密碼技術(shù)遵循相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；b)接口實(shí)現(xiàn)和訪問(wèn)基于HTTPS協(xié)議(RFC7230):c)傳輸加密建議支持TLS1.2(RFC5246)及以上版本；d)數(shù)據(jù)傳輸過(guò)程建議支持Token認(rèn)證方式；e)數(shù)據(jù)傳輸過(guò)程可選擇支持HTTPBasic(RFC7617)認(rèn)證。D.3.3可擴(kuò)展性描述保證認(rèn)證和授權(quán)方面的擴(kuò)展性，除本附錄指定或保留的屬性外，還可添加自定義屬性以促進(jìn)某些信息共享過(guò)程。[5]1SO/IEC27003:2017Informatymanagementsystems—Guid[6]ISO/IEC29147