ICS35.240.40 CCS A 11 中华人民共和国国家标准 GB/T 42708—2023 金融网络安全威胁信息共享指南 Guideline for financial cybersecurity threat information sharing 2023-08-06实施 2023-08-06发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42708—2023 目 次 前言 引言 范围 规范性引用文件 3 术语和定义 缩略语 5 总则 6 威胁信息共享框架 7 威胁信息共享原则 8 威胁信息共享方式 威胁信息共享流程 9.1 威胁信息共享基本流程 9.2 威胁信息分析 9.3 威胁信息共享 9.4 威胁信息使用 9.5 威胁信息使用反馈 10威胁信息质量管理 10.1 威胁信息组件格立 10.2 威胁信息综 11 威胁信息共享保障机制 12 威胁信息 12.1 访问控制 12.2 数据管理 12.3 安全审计 12.4 应急响应 附录A（资料性）典型金融网络安全威胁信息共享场景 A.1网络安全服务方的威胁信息共享 A.2基础设施提供方的威胁信息共享 A.3不同金融机构间的威胁信息共享 A.4金融机构业务合作方的威胁信息共享 参考文献 10 GB/T42708—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国金融标准化技术委员会（SAC/TC180）归口。 本文件起草单位：北京银联金卡科技有限公司、中国工商银行股份有限公司、中国建设银行股份有 限公司、建信金融科技有限责任公司、中国邮政储蓄银行股份有限公司、中国银联股份有限公司、中国银 行股份有限公司、中国农业银行股份有限公司、联通支付有限公司、天冀电子商务有限公司、北京国家金 融科技认证中心有限公司、腾讯云计算（北京）有限责任公司。 本文件主要起草人：王玲、李晓伟、张志波、于鸽、李博文、段超、侯晓晨、余思、聂玉涵、陈德锋、黄建德 廖渊、赵凯峰、苏涵、王美科、何启翱、刘汝隽、任震、彭大祥、孟熹、潘丽扬、李凡、蒋增增、林智鑫。 GB/T42708—2023 引 当前，互联网技术在金融行业广泛应用，网络技术既给广大用户带来便利，又带来网络安全威胁 金融行业增强网络安全威胁信息的获取能力，强化威胁信息共享和使用，有助于提升网络安全防控整体 水平。 金融网络安全威胁信息共享旨在采用技术手段实现网络安全威胁信息的有效流动，通过建立威胁 信息共享机制，促进威胁信息的融合、分析，提升威胁信息利用的精准度，实现安全风险的及时预警、响 应和处置，以降低金融网络威胁信息的使用成本，提升金融网络风险处置能力。 Ⅱ GB/T42708—2023 金融网络安全威胁信息共享指南 1范围 本文件给出了金融网络安全威胁信息的共享框架、共享原则、共享方式、共享流程、质量管理、保障 机制、安全管理等方面的建议。 本文件适用于参与金融网络安全威胁信息共享的金融机构和相关组织。 2规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T2260中华人民共和国行政区划代码 GB/T2659世界各国和地区名称代码 GB32100法人和其他组织统一社会信用代码编码规则 3 3术语和定义 下列术语和定义适用于本文件。 3.1 威胁threat 可能对系统或组织造成危害的不期望事件的潜在原由。 ［来源：GB/T29246—2017,2.83] 3.2 威胁信息 threat information 注：威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。 ［来源：GB/T36643—2018,3.3] 3.3 威胁信息控制者 threatinformationcontroller 有能力决定威胁信息处理目的、方式等的组织或个人。 3.4 共享sharing 威胁信息控制者向其他控制者提供威胁信息，且双方分别对威胁信息拥有独立控制权的过程。 4缩略语 下列缩略语适用于本文件。 API：应用程序接口（ApplicationProgrammingInterface) 1 GB/T42708—2023 APP：应用软件（Application） IP：网际互连协议（InternetProtocol) SDK：软件开发工具包（SoftwareDevelopmentKit) 5总则 建立金融行业网络安全威胁信息共享机制，基于共享价值对结构化网络安全威胁数据进行分析，畅 通网络安全威胁信息的共享通道，制定威胁信息的数据标准。 6 威胁信息共享框架 威胁信息共享的目标是为金融行业提供高质量、高时效的网络安全威胁信息。通过建立健全多层 次、跨机构的威肋信息共享机制，建立常态化、可信赖的威胁信息共享路径，促进金融行业和其他行业的 威胁信息深入合作。威胁信息共享参与者在遵循共享原则的前提下进行威胁信息传递。 金融行业网络安全威胁信息共享框架见图1。 金融行业威胁信息共享平台 金融机构 金融机构1 金融机构N 威胁信息提供方 网络安企 基研设施 金融业务 国家/其他行业 服务机构 提供方 合作 威胁信息平台 图1金融行业网络安全威胁信息共享框架图 金融网络安全威胁信息共享的主要参与者包括： 金融网络安全威胁信息共享平台：按照金融行业需要搭建信息共享的基础设施，为不同参与机 a) 构提供信息共享服务接口和沟通协调渠道； b）金融机构：金融网络安全威胁信息共享的核心受益者，通过接收威胁信息提供方的威胁信 息，提高自身的威胁研判和网络安全能力，应对网络安全风险； 威胁信息提供方：收集、分析、提供网络安全威胁信息的组织或个人，主要为网络安全服务方 ） （如安全服务公司、威胁信息共享社区、安全测试人员）；国家或其他行业威胁信息平台，金融机 构、为金融机构提供基础设施服务的机构、与金融机构存在业务合作的机构在发现金融网络安 全威胁信息时，也可作为威胁信息提供方。 不同金融机构之间可以通过金融网络安全威胁信息共享平台共享威胁信息。 威胁信息共享的内容主要包括威胁发生时间、威胁环境信息、影响范围、影响对象、影响程度、安全 事件信息等。 2 GB/T42708—2023 7威胁信息共享原则 威胁信息共享遵循以下原则： 最小必要原则：仅共享满足金融网络安全威胁信息共享需要的最少信息，非必要信息不可 a) 共享； b) 知情同意原则：金融机构在信息提供方知悉并同意的前提下开展主体信息、网络资产信息、客 户信息等关键信息的再利用； c）1 信息追溯原则：共享过程中记录共享方、使用方、共享时间、共享方式等信息，保障威胁信息共 享活动可追溯； d) 安全可控原则：威胁信息共享的参与者对威胁信息采取同等安全措施的保护，保障威胁信息在 共享过程中安全可控。 8威胁信息共享方式 8.1根据共享的时效性不同，威胁信息共享方式可分为实时共享和批量共享。 a） 实时共享：共享参与者发现威胁信息时，采用自动化方式实时触发共享。 b）批量共享：共享参与者对相关的威胁信息进行批量存储，定时或人工触发共享。 8.2根据共享的目标不同，威胁信息共享方式可分为定向共享和非定向共享 a） 定向共享：威胁信息发送方能够明确并指定威胁信息的最终接收方，通常在威胁信息与特定金 融机构关联时使用，以提高共享的精准性。 b) 非定向共享：威胁信息的发送方无法明确威胁信息的最终接收方或威胁涉及金融行业全局，因 而将威胁信息发送至共享平台，由共享平台以厂播的方式通知金融机构。非定向共享的主要 目标是提高信息共享的覆盖面，提升机构间联防联控能力。 8.3根据共享的参与机构不同，威胁信息共享方式可以分为中心共享模式和点对点共享模式。 a）中心共享模式：以金融网络安全威胁信息共享平台为中心，用于存储或交换来自信息共享成员 或其他来源的信息。由成员提供的信息被中心直接转发给其他成员，或由中心以某种方式处 理后分发给指定的成员。 b）点对点共享模式：成员彼此之间直接进行信息共享。成员各自负责利用、汇总、关联、分析、验 证、处理、保护和交换信息，成员间交换的信息只能是成员获取、分析和分发的有限数据。信息 交换的安全性、速度和频率等取决于相关成员的需求和能力。 9威胁信息共享流程 9.1威胁信息共享基本流程 威胁信息共享基本流程基于最小共享模型提出，仅包含一个威胁信息发送方和一个威胁信息接收 方。其中，威胁信息发送方即威胁信息提供方，威胁信息接收方即威胁信息使用方。 威胁信息发送方发现威胁，对威胁信息进行分析，根据威胁信息的分析情况将威胁信息共享给威胁 信息接收方。威信息接收方根据需要使用威胁信息，并对威胁信息的使用情况进行反馈。威胁信息 共享流程见图2。 3