信息安全技术 网络安全信息共享指南

信息安全技术网络安全信息共享指南Informationsecuritytechnology—Guidanceforcybersecurit2023-08-06发布2023-08-06发布国家市场监督管理总局发布国家标准化管理委员会前言 12规范性引用文件 13术语和定义 14缩略语 15共享活动要素 25.1概述 25.2共享场景 25.3共享参与角色 25.4共享模式 35.5网络安全信息 36基本原则 36.1安全性原则 36.2可控性原则 36.3合规性原则 47共享范围 48共享活动过程 48.1概述 48.2共享活动准备 48.3共享活动实施 68.4共享活动终止 8附录A(资料性)网络安全信息共享活动示例 9附录B(资料性)网络安全信息共享模式示例 B.1中心共享模式 B.2点对点共享模式 B.3混合共享模式 B.4群共享模式 11附录C(资料性)网络安全信息描述 C.1威胁信息描述 C.2安全事件信息描述 C.3脆弱性信息描述 C.4应对措施信息描述 C.5经验信息描述 IC.6态势信息描述 附录D(资料性)共享活动中的信息交换技术概述 D.1网络安全信息交换模型 D.2网络安全信息交换方法 D,3网络安全信息数据接口描述 参考文献 18ⅡⅡ信息安全技术网络安全信息共享指南API;应用程序编程接口(ApplicationPrograHTTPS:超文本传输安全协议(HyperTextTr共享活动是网络安全信息共享过程的一系列任务的集合，其日的是使参与共享活动的组织或个 2e)经验信息：描述在网络安全防护和网络安全事件响应等方面积累的成功经验和失败教训的3准的规定及共享活动中制定的协议和规程。网络安全信息中涉及网络产品安全漏洞信息发布和共享行为的管理要求见6网络产品安全漏洞管理规定3:7共享范围共享范围是共享活动中网络安全信息可被知悉的范围。共享范围通常可分为完全共享、内部共享、部分共享三种类别：b)内部共享：信息在特定共享活动中的所有参与者间共享；c)部分共享：信息在特定共享活动中的部分或指定参与者间共享。B共享活动过程8.1概述共享活动过程包括三个基本阶段：共享活动准备、共享活动实施、共享活动终止，每一阶段有一组确定的工作任务。8.2共享活动准备B.2.1基本工作流程共享活动准备阶段包括明确共享场景、评估网络安全防护能力、识别共享参与角色、确定共享范围和网络安全信息类别、选择共享模式、制定共享策略和规程六项主要任务，共享活动准备阶段基本工作流程见图2.图2共享活动准备阶段基本工作流程4发起或组织共享活动的组织或个人可自行担任或委托其他组织或个人担任共享活动的信息管理56工作。78(资料性)网络安全信息类别共享范用网络安全论中心/网络安全服务机构，科研机爱好者想了解和查阅网络安全信息门组织的间发中心网络安全服务部门等由主管/监管门认为有必要的组织或个人要求提供其所需的内部共亨、伙伴间的安全提醒和共同维护点对点已公开或通过某些的，可能对合作伙伴间网络安全造成危害的所需的所有类别信息内部共享、微信群明信息的群成员信息的群成员所有群成员技术手段发现的风应对措施信息、经验信息等完全共享，内部共享9(资料性)网络安全信息共享模式示例B.1中心共享模式中心共享模式信息交互形式如图B.1所示。基于中心共享模式的共享活动通常需要建立正式的信息共享协议，规定信息共享内容、共享活动参与者范围、是否允许注明来源、以及允许的详细程度等。共享中心拥有各信息提供者传递来的全量信息，在对信息进行提炼、处理和分发过程中需按照信息共享协议进行操作，并根据需要为信息使用者提对于信息共享的权限控制要求更为精细的情况，可根据需要设立多级共享中心。不同的共享中心各自对其收集到的信息进行管理与维护，同时信息共享中心需根据自身所处层级的不同，以从低到高的顺序逐级将信息传递至高级别共享中心进行统一分发管理，从而实现信息的逐级汇总与分发。中心共享模式的优势主要取决于中心提供的服务。有些中心可能只以中间人的身份进行信息传递，另一些中心可能会执行附加的处理来丰富信息。中心共享模式的潜在缺点是共享活动的有效开展完全依赖于中心的基础设施，使其容易受到系统故障、延迟或损坏等影响。当中心不能正常工作或性能下降时，所有信息共享参与角色都会受到影响。此外，中心作为网络安全信息的存储点，容易成为攻击B.2点对点共享模式点对点共享模式信息的交互形式如图B.2所示。O共享活动参?者4一信息传越方回图B.2点对点共享模式在点对点共享模式中，同一共享活动中的参与者之间自愿直接建立对等信任关系，并进行信息共图例；中心节点一信息传递方向 一信息位评文向图B.4群共享模式(资料性)网络安全信息描述C.1威胁信息描述GB/T36643—2018的6.2～6,9给出了关于网络安全威胁信息组件描述的相关要求。C.2安全事件信息描述安全事件信息描述如表C.1所示。表C.1事件信息描述内容字段1字段2起始时间字段3目标对象字段5字段7影响范用字段8C.3脆弱性信息描述脆弱性信息描述如表C,2所示。表C.2脆弱性信息描述内容字段1字段2发布时间字段3字殴5字段7字段8C.4应对措施信息描述应对措施信息描述如表C.3所示。表C.3应对措施信息描述内容所属子类(防御/响应)C.5经验信息描述经验信息描述如表C.4所示。表C.4经验信息描述内容C.6态势信息描述态势信息描述如表C.5所示。表C.5态势信息描述内容(资料性)共享活动中的信息交换技术概述D.1网络安全信息交换模型不同接口实现注册、认证和网络安全信息数据的上传和拉取查询。服务器可接收上传的信息，存储、管理网络安全信息，并接受网络安全信息查询。客户端是网络安全信息的提供者或使用者。信息交换访问方式如图D.1所示。服务发暖按口在中心共享模式下，共享中心具有服务器功能，非中心共享活动相关方具有客户端功能；在点对点共享模式下，共享活动参与者均具有服务器与客户端功能。而群共享模式可采用P2P方式。D.1.2服务器D.1.2.1服务器功能例的根URL。一个服务器实例可支持一个或多个“服务根”,同时支持一个“注册与认证”服务和一个D.1.2.2注册与认证提供的API接口接收客户端的注册和认证，并与“信息集”服务协作进行网络安全信息资源的访问控制。只有在服务器上进行注册并认证通过的合法客户端才能访问服务器上的网络安全信息。“服务根”是服务器上一组网络安全信息数据资源和相关访问接口的逻辑分组。一个服务器支持一个或多个服务根。每个服务根独立提供网络安全信息数据访问所需接口。通过服务根，服务器可实现网络安全信息数据资源的划分和独立的访问控制。从URL角度，服务根可理解为服务器根URL的子URL。每个服务根可根据需要将其中的网络安全信息数据及访问接口划分为不同的“信息集”。“服务信息”是服务器提供的“服务根”信息的集合。该服务包括一组对“服务根”信息进行查询的上网络安全信息数据的公共信息。D,1.2.5信息集“信息集”是服务根实例提供的网络安全信息数据对象及其访问接口的逻辑分组，是客户端对网络安全信息对象进行访问的基本单位。“信息集”服务是通向信息集的API接口的集合。客户端使用这些接口以请求-响应的方式发送网络安全信息数据到服务器，或者向服务器请求网络安全信息。组后，可按照信任组或其他逻辑分组形式划分内容和访问控制。状态信息用于描述向“服务根”上特定信息集添加网络安全信息对象的请求的执行状态。当客户端提交了新的网络安全信息后，可使用“状态信息”服务提供的API接口查看该新增网络安全信息是否已D.1.2.7共享接口共享接口是客户端对服务器上的各种服务进行访问的传输通路。一个接口表示一个服务器实例上一个特定的URI.和HTTPS方法，每一个接口都由可访问的LRI.和用于请求的HTTPS方法标识，通过共享接口客户端可实现在服务器上的注册与认证、服务信息的发现、与服务根进行数据交换及服务根状态查询等功能。服务器上的信息集服务提供一组相同的AP1接口，客户端通过这些接口实现对特定信息集的访问，进而实现网络安全信息的交换。当前版本定义的API形式接口，需通过HTTPS协单个客户端向特定服务器进行注册，认证通过后，可向该服务器上的信息集查询接口发送请求，查询特定类型的网络安全信息；客户端也可向特定服务器上的信息集的信息接收接口发送请求，向信息集中添加网络安全信息数据；同时，可通过向服务器的状态服务的查询接口发送请求，获取推送的网络安全信息的处理状态。D.2网络安全信息交换方法客户端接入服务器并实现网络安全信息共享遵守如下过程。a)注册。新加入的客户端首次连接服务器，或设备配置变动后，客户端应向服务器进行注册。服务器审核注册信息后为客户端分发认证凭据。注册可采用离线人工注册或在线API注册b)认证。注册成功后，客户端访问服务器的API接口进行认证。认证上传注册过程获取的认证c)服务发现。认证成功后，客户端使用会话标识作为认证凭证访问服务器上的服务信息查询接口和网络安全信息数据的API接口，发现服务器所提供的服务信息。当会话标识失效后可重新启动认证过程。d)状态查询。认证成功后，客户端使用会话标识作为认证凭证访问服务器上的服务根状态查询接口，查询服务根当前状态信息。当会话标识失效后可重新启动认证过程。e)数据交换。认证成功后，客户端使用会话标识作为认证凭证访问服务器上的服务根数据交换接口，查询或上报网络安全信息数据。当会话标识失效后可重新启动认证过程。D.3网络安全信息数据接口描述D.3.1基本描述网络安全信息数据接口薄循如下基本描述：a)所有的请求可在HTTPS协议的Accept头中提供媒体范围；b)所有的响应可在HTTPS协议的ContentType头中提供所请求端点对应的媒体类型和版本c)若响应回复了HTTP成功码(200系列的状态码),宜包含接口请求中指定的内容类型的响d)若响应回复了HTTP错误码(RFC7231的6.5和6.6定义的400系列和500系列的状态码),宜在响应体中包含错误信息；e)若HTTPS协议请求的Accept和/或Content-Type头中提供了接口指定的媒体类型，不宜回复HTTP406(不可接受)或HTTP415(不接受的媒体类型);否则，可回复响应内容或HTTP406(不可接受)或HTTP415(不接受的媒体类型);I)传输的网络安全信息的类型和格式参考附录C。D.3,2安全性描述网络安全信息数据接口遵循如下安全性描述；a)采用的密码技术遵循相关国家标准和行业标准；b)接口实现和访问基于HTTPS协议(RFC7230):c)传输加密建议支持TLS1.2(RFC5246)及以上版本；d)数据传输过程建议支持Token认证方式；e)数据传输过程可选择支持HTTPBasic(RFC7617)认证。D.3.3可扩展性描述保证认证和授权方面的扩展性，除本附录指定或保留的属性外，还可添加自定义属性以促进某些信息共享过程。[5]1SO/IEC27003:2017Informatymanagementsystems—Guid[6]ISO/IEC29147