GB_T 42708-2023 金融网络安全威胁信息共享指南.docx
《GB_T 42708-2023 金融网络安全威胁信息共享指南.docx》由会员分享,可在线阅读,更多相关《GB_T 42708-2023 金融网络安全威胁信息共享指南.docx(14页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、ICS 35.240.40CCS A 11中 华 人 民 共 和 国 国 家 标 准GB/T 427082023金融网络安全威胁信息共享指南Guideline for financial cybersecurity threat information sharing2023-08-06 发布2023-08-06 实施发 布国家市场监督管理总局国家标准化管理委员会GB/T 427082023目 次前言 I引言 1 范围 l2 规范性引用文件 13 术语和定义 14 缩略语 15 总则 26 威胁信息共享框架 27 威胁信息共享原则 38 威胁信息共享方式 39 威胁信息共享流程 39.1 威胁
2、信息共享基本流程 39.2 威胁信息分析 49.3 威胁信息共享 49.4 威胁信息使用 49.5 威胁信息使用反馈 510 威胁信息质量管理510.1 威胁信息组件格式510.2 威胁信息综合评定611 威胁信息共享保障机制612 威胁信息共享安全管理712.1 访问控制 712.2 数据管理712.3 安全审计712.4 应急响应 7附录 A (资料性)典型金融网络安全威胁信息共享场景 8A.1 网络安全服务方的威胁信息共享 8A.2 基础设施提供方的威胁信息共享 8A.3 不同金融机构间的威胁信息共享 9A.4 金融机构业务合作方的威胁信息共享 9参考文献 10GB/T 42708202
3、3前 言本文件按照GB/T1.12020 标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国金融标准化技术委员会(SAC/TC 180)归口。本文件起草单位:北京银联金卡科技有限公司、中国工商银行股份有限公司、中国建设银行股份有 限公司、建信金融科技有限责任公司、中国邮政储蓄银行股份有限公司、中国银联股份有限公司、中国银 行股份有限公司、中国农业银行股份有限公司、联通支付有限公司、天翼电子商务有限公司、北京国家金融科技认证中心有限公司、腾讯云计算(北京)有限责任公司。本文件主要起草人:王玲、李晓
4、伟、张志波、于鸽、李博文、段超、侯晓晨、余思、聂玉涵、陈德锋、黄建德、廖渊、赵凯峰、苏涵、王美科、何启翱、刘汝隽、任震、彭大祥、孟熹、潘丽扬、李凡、蒋增增、林智鑫。GB/T 427082023引 言当前,互联网技术在金融行业广泛应用,网络技术既给广大用户带来便利,又带来网络安全威胁。 金融行业增强网络安全威胁信息的获取能力,强化威胁信息共享和使用,有助于提升网络安全防控整体水平。金融网络安全威胁信息共享旨在采用技术手段实现网络安全威胁信息的有效流动,通过建立威胁 信息共享机制,促进威胁信息的融合、分析,提升威胁信息利用的精准度,实现安全风险的及时预警、响应和处置,以降低金融网络威胁信息的使用成
5、本,提升金融网络风险处置能力。GB/T 427082023金融网络安全威胁信息共享指南1 范围本文件给出了金融网络安全威胁信息的共享框架、共享原则、共享方式、共享流程、质量管理、保障机制、安全管理等方面的建议。本文件适用于参与金融网络安全威胁信息共享的金融机构和相关组织。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 2260 中华人民共和国行政区划代码GB/T 2659 世界各国和地区名称代码GB 32100 法人和其他组织统一
6、社会信用代码编码规则3 术语和定义下列术语和定义适用于本文件。3.1威胁 threat可能对系统或组织造成危害的不期望事件的潜在原由。来源:GB/T 292462017,2.833.2威胁信息 threat information一种基于证据的知识,用于描述现有的或可能出现的威胁,从而实现对威胁的响应和预防。注:威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。来源:GB/T 366432018,3.33.3威胁信息控制者 threat information controller有能力决定威胁信息处理目的、方式等的组织或个人。3.4共 享 sharing威胁信息控制者向其他控制者提供威
7、胁信息,且双方分别对威胁信息拥有独立控制权的过程。4 缩略语下列缩略语适用于本文件。API: 应用程序接口(Application Programming Interface)GB/T 427082023APP: 应用软件(Application)IP: 网际互连协议(Internet Protocol)SDK: 软件开发工具包(Software Development Kit)5 总则建立金融行业网络安全威胁信息共享机制,基于共享价值对结构化网络安全威胁数据进行分析,畅通网络安全威胁信息的共享通道,制定威胁信息的数据标准。6 威胁信息共享框架威胁信息共享的目标是为金融行业提供高质量、高时效的
8、网络安全威胁信息。通过建立健全多层 次、跨机构的威胁信息共享机制,建立常态化、可信赖的威胁信息共享路径,促进金融行业和其他行业的威胁信息深入合作。威胁信息共享参与者在遵循共享原则的前提下进行威胁信息传递。金融行业网络安全威胁信息共享框架见图1。金融行业威胁信息共享平台金融机构金融机构1威胁信息提供方国家/共他行业 威胁信息平台基础设施 提供方金融业务 合作方网络安全 服务机构金融机构N*1图 1 金融行业网络安全威胁信息共享框架图金融网络安全威胁信息共享的主要参与者包括:a) 金融网络安全威胁信息共享平台:按照金融行业需要搭建信息共享的基础设施,为不同参与机构提供信息共享服务接口和沟通协调渠道
9、;b) 金融机构:金融网络安全威胁信息共享的核心受益者,通过接收威胁信息提供方的威胁信息,提高自身的威胁研判和网络安全能力,应对网络安全风险;c) 威胁信息提供方:收集、分析、提供网络安全威胁信息的组织或个人,主要为网络安全服务方 (如安全服务公司、威胁信息共享社区、安全测试人员);国家或其他行业威胁信息平台,金融机 构、为金融机构提供基础设施服务的机构、与金融机构存在业务合作的机构在发现金融网络安全威胁信息时,也可作为威胁信息提供方。不同金融机构之间可以通过金融网络安全威胁信息共享平台共享威胁信息。威胁信息共享的内容主要包括威胁发生时间、威胁环境信息、影响范围、影响对象、影响程度、安全事件信
10、息等。2GB/T 4270820237 威胁信息共享原则威胁信息共享遵循以下原则:a) 最小必要原则:仅共享满足金融网络安全威胁信息共享需要的最少信息,非必要信息不可共享;b) 知情同意原则:金融机构在信息提供方知悉并同意的前提下开展主体信息、网络资产信息、客户信息等关键信息的再利用;c) 信息追溯原则:共享过程中记录共享方、使用方、共享时间、共享方式等信息,保障威胁信息共享活动可追溯;d) 安全可控原则:威胁信息共享的参与者对威胁信息采取同等安全措施的保护,保障威胁信息在共享过程中安全可控。8 威胁信息共享方式8.1 根据共享的时效性不同,威胁信息共享方式可分为实时共享和批量共享。a) 实时
11、共享:共享参与者发现威胁信息时,采用自动化方式实时触发共享。b) 批量共享:共享参与者对相关的威胁信息进行批量存储,定时或人工触发共享。8.2 根据共享的目标不同,威胁信息共享方式可分为定向共享和非定向共享。a) 定向共享:威胁信息发送方能够明确并指定威胁信息的最终接收方,通常在威胁信息与特定金融机构关联时使用,以提高共享的精准性。b) 非定向共享:威胁信息的发送方无法明确威胁信息的最终接收方或威胁涉及金融行业全局,因 而将威胁信息发送至共享平台,由共享平台以广播的方式通知金融机构。非定向共享的主要目标是提高信息共享的覆盖面,提升机构间联防联控能力。8.3 根据共享的参与机构不同,威胁信息共享
12、方式可以分为中心共享模式和点对点共享模式。a) 中心共享模式:以金融网络安全威胁信息共享平台为中心,用于存储或交换来自信息共享成员 或其他来源的信息。由成员提供的信息被中心直接转发给其他成员,或由中心以某种方式处理后分发给指定的成员。b) 点对点共享模式:成员彼此之间直接进行信息共享。成员各自负责利用、汇总、关联、分析、验 证、处理、保护和交换信息,成员间交换的信息只能是成员获取、分析和分发的有限数据。信息交换的安全性、速度和频率等取决于相关成员的需求和能力。9 威胁信息共享流程9.1 威胁信息共享基本流程威胁信息共享基本流程基于最小共享模型提出,仅包含一个威胁信息发送方和一个威胁信息接收方。
13、其中,威胁信息发送方即威胁信息提供方,威胁信息接收方即威胁信息使用方。威胁信息发送方发现威胁,对威胁信息进行分析,根据威胁信息的分析情况将威胁信息共享给威胁 信息接收方。威胁信息接收方根据需要使用威胁信息,并对威胁信息的使用情况进行反馈。威胁信息共享流程见图2。3GB/T 427082023威胁信息发送方 威胁信息接收方1.威胁信息分析2.威胁信息共享3.威胁信息使用4.威胁信息使用反馈图 2 威胁信息共享流程在金融行业的威胁信息共享中,可能经过信息多级传输, 一个参与机构在一次共享中既作为信息发送方又作为信息接收方存在,参与机构根据其实际处理中的角色确定其具体工作。金融网络安全威胁信息共享平
14、台主动发现威胁信息时,按照威胁信息发送方的要求进行分析和共享;金融网络安全威胁信息共享平台仅作为共享渠道转发威胁信息时,可不进行威胁信息分析工作。典型的金融网络安全威胁信息共享场景参见附录 A。9.2 威胁信息分析威胁信息发送方执行威胁信息共享前,开展威胁信息的分析工作,具体内容如下:a) 对威胁信息的原始数据进行处理,通过数据提取、去噪、归类、转换、加工等操作,将威胁信息转化为结构化数据,便于威胁信息的分析;b) 对威胁信息结构化数据和原始数据进行比较分析,保障威胁信息结构化数据能精准表达原始数据所蕴含的信息;c) 分析威胁信息的共享价值,综合评价威胁信息的来源、数量、威胁等级、威胁对象、时
15、效性等方面,以确定威胁信息是否需要共享;d) 威胁信息共享可能导致数据违规使用等风险,如威胁信息中涉及个人信息或其他具有安全隐患的内容,宜参照有关数据评估要求确认共享的可行性。9.3 威胁信息共享威胁信息发送方根据威胁信息的分析情况确定共享方式,以提升威胁信息的时效性和可达性,并通过安全的技术手段保障威胁信息中的重要信息在共享、传输过程中的机密性和完整性。9.4 威胁信息使用9.4.1 接收方获得威胁信息后,基于证据和逻辑对威胁信息进行分析、判断,对未来情况及其可能性进行预判,具体内容如下:a) 初步评估:威胁信息使用方对所持有威胁信息进行初步评估,包括但不限于逻辑性、时效性和丰富性;b) 交
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB_T 42708-2023 金融网络安全威胁信息共享指南 42708 2023 金融 网络安全 威胁 信息 共享 指南
限制150内