【国家标准】 信息安全技术 网络安全信息共享指南

ICS35.030
CCSL80
中华人民共和国国家标准化指导性技术文件GB/Z42885—2023
信息安全技术
网络安全信息共享指南
Information security technologyGuidance for cyber security information sharing2023-08-06发布
国家市场监督管理总局
国家标准化管理委员会
2024-03-01实施
规范性引用文件
术语和定义
缩略语
共享活动要素
共享场景
共享参与角色
共享模式
网络安全信息
6基本原则
安全性原则
可控性原则
合规性原则
共享范围
共享活动过程
共享活动准备
共享活动实施
共享活动终止
附录A（资料性）
附录B（资料性）
网络安全信息共享活动示例
网络安全信息共享模式示例.
中心共享模式
点对点共享模式·
混合共享模式·
群共享模式
附录C（资料性）
网络安全信息描述
威胁信息描述·
安全事件信息描述
脆弱性信息描述
应对措施信息描述
经验信息描述
GB/Z42885—2023
GB/Z42885—2023
C.6态势信息描述……
附录D（资料性）共享活动中的信息交换技术概述网络安全信息交换模型
网络安全信息交换方法
网络安全信息数据接口描述…….参考文献
GB/Z42885—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：国家工业信息安全发展研究中心、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、中国信息安全测评中心、中国科学院信息工程研究所、杭州安恒信息技术股份有限公司、北京神州绿盟科技有限公司、四川大学、北京天融信网络安全技术有限公司、中国电子信息产业集团有限公司第六研究所、国网新疆电力有限公司电力科学研究院、中国航天科工飞航技术研究院、国能信息技术有限公司、南方电网数字电网集团有限公司、腾讯云计算（北京）有限责任公司、陕西省网络与信息安全测评中心。
本文件主要起草人：张格、张哲宇、王诗蕊、孙军、于盟、肖俊芳、郝志强、王惠莅、郭晶、杜宇鸽、姜政伟、梁伟、吴昊、王俊峰、唐宾徽、安高峰、杨鹏、郭莉、刘志磊、李明轩、裴彦纯、章利光、韩鹏军、吕华辉、李杨、程曦、杨梓涛、樊凯、秦小伟、任泽君、王蕊、王尊、谢承运、高瑞、江钧。1范围
网络安全信息共享指南
信息安全技术
GB/Z42885—2023
本文件确立了网络安全信息共享活动要素和基本原则，描述了共享活动的范围和过程。本文件适用于各类组织或个人间的网络安全信息共享活动。2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T25069—2022
3术语和定义
信息安全技术术语
GB/T25069一2022界定的以及下列术语和定义适用于本文件。3.1
cybersecurityinformation
网络安全信息
描述网络安全（即网络空间安全）相关情况的信息注：网络安全信息主要包括威胁信息、安全事件信息、脆弱性信息、应对措施信息、经验信息、态势信息等。3.2
hsharingactivities
共享活动
通过采取有效的组织机制和技术手段，使网络安全信息在参与者间实现信息资源复用的活动。注：共享活动中网络安全信息可单向、双向或多向共享。3.3
共享模式
sharingmode
参与者间进行信息共享的行为方式。注：共享模式主要分为中心共享模式、点对点共享模式、混合共享模式和群共享模式，4
缩略语
下列缩略语适用于本文件。
API：应用程序编程接口（ApplicationProgrammingInterface）HTTP：超文本传输协议（HyperTextTransferProtocol）HTTPS：超文本传输安全协议（HyperTextTransferProtocoloverSecureSocketLayer）P2P：点对点技术（peer-to-peer）URL：统一资源定位器（UniformResourceLocator）1
GB/Z42885-2023
5共享活动要素
5.1概述
共享活动是网络安全信息共享过程的一系列任务的集合，其目的是使参与共享活动的组织或个人，生成或获得在网络安全防护和威胁应对时的必要信息。共享活动要素一般包括共享场景、共享参与角色、共享模式、网络安全信息等。共享活动要素示意图如图1所示。共享场址
共享模式
共享参子角色
信息提供者
信息管理者
信息使用者
网络安全信息
威助信息
境弱性信息
经验信息
安全事件bzxZ.net
应对措施
态势信息
信息报送或
图1共享活动要素示意图
典型的共享活动示例详见附录A。5.2共享场景
组织或个人参与共享活动的共享场景，一般可分为以下三类：共
信息交换
信息公开：通过信息共享平台或相关技术手段提供开放信息资源的在线检索、浏览、下载及调a
用等服务；
信息报送或下发：一般由多层级的共享活动参与者完成，由下级参与者与上级参与者完成网络安全信息的共享；
信息交换：共享活动参与者之间通过建立合作关系开展信息共享。信息共享过程中，共享活动参与者之间是平等的关系。
5.3共享参与角色
按照共享活动参与者在共享活动中承担的内容，共享参与角色划分为信息提供者、信息管理者、信息使用者等。
a）信息提供者：提供网络安全共享活动中信息的组织或个人，信息提供者一般由信息管理者邀请或授权同意加人共享活动中，自行发布或将信息提交至信息管理者统一发布网络安全信息；b）
信息管理者：收集和管理信息提供者提供的网络安全信息、监督和调整共享活动的组织或个人，信息管理者一般在共享活动中明确共享场景、模式、共享范围，确认共享活动的其他参与者，制定共享策略和规程，必要时引入第三方信息监管者对共享活动进行监督：2
GB/Z42885-2023
信息使用者：遵循共享原则和相关策略规程，根据自身需要使用网络安全信息的组织或个人。c）
5.4共享模式
根据共享需求、共享场景和共享活动参与者性质的不同，共享模式可分为中心共享模式、点对点共享模式、混合共享模式和群共享模式四种。a）中心共享模式：具有一个共享中心，一般为信息管理者自身或其委托的组织或个人，由共享中心向两个以上节点收集或发布共享信息；点对点共享模式：两个具有平行关系的节点间传递信息的形式，共享活动参与者各自负责本节b)
点信息的汇总、关联、分析、验证、处理、保护和发布等活动；c
混合共享模式：同时存在中心共享模式和点对点共享模式；d）
群共享模式：同一共享活动中的每个节点均可向其他所有节点共享（广播）信息。典型的网络安全信息共享模式示例，详见附录B。5.5网络安全信息
网络安全信息主要考攻击源和自标对象两个方面的因素，涵盖网络安全事件生命周期中涉及的与网络安全相关的威胁、脆弱性、防御和响应措施等信息。网络安全信息通常可分为以下几类：a
威胁信息：描述已知现有或可能出现的威胁的信息，主要为了实现对威胁的响应和预防，通常包括攻击方法信息、威胁主体信息等；安全事件信息：描述由于自然或者认为以及软硬件本身缺陷或故障，已经对信息系统造成危害b)
的信息，通常包括有害程序事件、网络攻击事件（包括攻击IP五元组信息）、信息破坏事件、信息内容安全事件、灾害性事件等。关于安全事件信息相关描述的信息见GB/Z20986一2007；脆弱性信息：描述可能被威胁利用的资产或若干资产的薄弱环节的信息，通常包括漏洞信息、c）
配置弱点等；
应对措施信息：描述网络安全防护措施及网络安全事件和响应处置措施的信息；d)
经验信息：描述在网络安全防护和网络安全事件响应等方面积累的成功经验和失败教训的信息；
态势信息：描述通过分析研判获取的关于国内外网络安全态势或动态的信息，包括通过安全监测、统计分析得到的国内外网络安全态势报告，以及通过搜集整理、提炼加工的国内外网络安全新闻动态等原始数据等信息；其他信息：除以上各类之外的其他与网络安全相关的信息，如与国内外网络安全法律法规、政g）
策标准等信息、网络安全涉及的实体信息等。网络安全信息可根据共享活动的目的和需要，在以上7个类别下进一步划分子类，确保在特定共享活动中，网络安全信息描述的一致性，提升共享活动的效率和互操作性。6基本原则
6.1安全性原则
确保网络安全信息在共享范围内的收集、存储、使用、加工、传输、提供、公开、删除等过程中的保密性、完整性、可用性、不可否认性。遵循保护敏感个人信息、商业秘密和重要数据的相关规定。6.2可控性原则
确保网络安全信息内容及来源的真实性、准确性。共享活动参与者共同享有网络安全信息，信息提供者提供网络安全信息时，明示使用目的、方式、范围，保证信息被授权同意使用，对网络安全信息共享过程中因信息错误、造假或超范围传播等情况造成的损害承担责任。3
GB/Z42885—2023
3合规性原则
确保网络安全信息在共享范围内的收集、存储、使用、加工、传输、提供、公开、删除过程符合有关标准的规定及共享活动中制定的协议和规程。网络安全信息中涉及网络产品安全漏洞信息发布和共享行为的管理要求见《网络产品安全漏洞管理规定》。
7共享范围
共享范围是共享活动中网络安全信息可被知悉的范围。共享范围通常可分为完全共享、内部共享、部分共享三种类别：
a）完全共享：信息可不受限制的共享；内部共享：信息在特定共享活动中的所有参与者间共享；b）
部分共享：信息在特定共享活动中的部分或指定参与者间共享。c)
8共享活动过程
8.1概述
共享活动过程包括三个基本阶段：共享活动准备、共享活动实施、共享活动终止。每一阶段有一组确定的工作任务。
2共享活动准备
8.2.1基本工作流程
共享活动准备阶段包括明确共享场景、评估网络安全防护能力、识别共享参与角色、确定共享范围和网络安全信息类别、选择共享模式、制定共享策略和规程六项主要任务，共享活动准备阶段基本工作流程见图2。
共享活动准备
明确共亨场景
评估网络安全防护
识别共亨参与角色
确定共宁范国和利网络
安全信息类别
选择共享模式
制定共享策略和规程
图2共享活动准备阶段基本工作流程4
8.2.2明确共享场景
GB/Z42885—2023
具有共享需求的组织或个人通过分析网络安全信息共享的需求和目的，寻找具有共同需求和目的的其他共享活动参与者，确定所处的共享场景，保证参与的范围与参与者自身的资源、能力及目标相匹配。
8.2.3评估网络安全防护能力
在参与共享活动前，共享活动参与者建立健全网络安全管理制度，对自身的网络安全防护能力开展自评估，或委托网络安全服务机构进行网络安全检测评估，及时整改发现的问题，确保具备网络防御能力和对网络安全信息的保护能力，同时确保实施共享活动不会对自身网络安全造成影响。8.2.4识别共享参与角色
发起或组织共享活动的组织或个人可自行担任或委托其他组织或个人担任共享活动的信息管理者，信息管理者负责共享活动中所有环节的规则确定、管理和监督。由信息管理者确认参与信息共享的其他组织或个人，并明确参与者在共享活动中承担的角色和职责。在不同的共享模式下，存在一个组织或个人担任一种或多种角色的情况。8.2.5确定共享范围和网络安全信息类别信息管理者与其他共享参与角色共同协商，确定共享范围和网络安全信息类别依据第7章确定共享范围，判断哪些信息在哪些情况下可进行共享，以及信息可共享给哪些参a）
与者。
网络安全信息可采用5.5中的信息类别，也可考虑自定义网络安全信息分类方法，自定义可考b）
虑以下因素：
任一网络安全信息都有所属类别，无一遗漏；1）
避免各类别之间重叠；
根据实际情况扩展网络安全信息的类别，或在已有网络安全信息类别下再次分类；4）有利于实现跨组织、跨行业、跨部门的信息共享。8.2.6选择共享模式
信息管理者对共享活动参与者的特点、可信程度、能力水平和背景进行评估后，可通过考虑以下因素自主选择合适的共享模式。
a）若指定某一相关方作为中心节点：1）其他参与者均只与中心节点进行信息共享，选择中心共享模式2）其他参与者间也可进行信息共享，选择混合共享模式。b）若未指定某一相关方作为中心节点：1）参与者间两两共享信息，选择点对点共享模式；2）每个参与者均可同时向其他所有参与者共享信息，选择群共享模式。8.2.7制定共享策略和规程
信息管理者组织参与者制定共享活动实施过程中的相关策略和规程，通常包括下列各项内容a）
建立网络安全信息的访问控制策略，指定专门人员负责网络安全信息共享活动，确保共享机制的安全性
建立保障持续信息共享的规则，包括规定网络安全信息的分发频率、信息共享方式等。b）
GB/Z42885—2023
制定网络安全信息的标记方法，标记后的信息用于通信、存储或展示。标记涵盖信息的敏感程度、共享范围、存储方式等。
建立敏感信息保护机制。信息提供者直接发布或将网络安全信息提交给信息管理者进行发布前，采用数据脱敏技术对网络安全信息中的敏感字段进行脱敏处理，确保仅包含描述网络安全信息所必需的信息。常见的数据脱敏方法包括混淆、替换、置空、加密等。网络安全信息的脱敏处理包括个人信息脱敏和由于共享范围变更对信息脱敏1）个人信息脱敏主要用于网络安全信息共享过程中的个人信息保护。信息共享前将个人信息与非个人信息进行有效的区分，采用个人信息去标识化技术和模型对个人信息进行脱敏和保护，根据信息的预期用途、敏感性和预期共享目标等，确定脱敏程度和效果，采取去标识化、加密等相应技术进行处理。GB/T35273一2020给出了个人信息处理活动的原则和安全要求，GB/T37964一2019给出了个人信息常用去标识化技术；由于共享范围变更对信息脱敏主要是在共享范围变化时，对不适宜在共享范围变更后共2）
享的敏感信息进行脱敏。
信息管理者制定信息审查和跟踪规程，建立共享活动评价、监管和问责等机制，保证共享活动的活跃性，确保参与者均按照共享基本原则，收集、存储、使用、加工、传输、提供、公开、删除网络安全信息。
信息管理者制定激励措施，提高参与者参与共享活动的积极性和主动性。8.3共享活动实施
8.3.1基本工作流程
共享活动实施阶段的主要任务包括建立网络安全信息清单、保护网络安全信息、监督和评价、持续共享、使用网络安全信息、调整共享活动和退出共享活动。共享活动实施阶段基本工作流程见图3。共享活动实施
建立网络安企信息
保护网络安全信息
持续共享
监督和评价
调整共享活动
使用网络安全信息
退出共享活动
图3共享活动实施阶段基本工作流程8.3.2建立网络安全信息清单
通常包括以下工作
信息提供者参考附录C中网络安全信息描述对掌握的网络安全信息内容进行提取、分析和总a)
结，形成网络安全信息，标记信息后直接发布或提交给信息管理者。信息提供者建立的网络安全信息清单至少包括信息类别、共享范围、信息详情、信息生成时间和提交时间等内容。6
GB/Z42885—2023
信息管理者负责信息在收集、存储、加工、传输、提供、公开、删除等阶段的管理，定期更新信b)
息，保证其真实、完整、准确和可使用。信息管理者建立的网络安全信息清单至少包括信息来源、信息类别、共享范围、信息详情、信息获得时间和发布时间、信息使用反馈等内容。c)
信息使用者从共享活动中获得所需的网络安全信息。信息使用者建立的网络安全信息清单至少包括信息来源、信息类别、共享范围、信息详情、信息获得时间、信息使用反馈和接收情况等内容。
8.3.3保护网络安全信息
在信息的收集、存储、使用、加工、传输、提供、公开、删除等阶段保护网络安全信息，通常包括以下工作。
根据网络安全信息类别和共享范围标记、存储和保护网络安全信息，采用适当的备份策略和安a)
全控制手段进行数据保护。安全控制手段如数据加密存储、访问数据时采用双因子认证、定期进行数据审计、人侵检测等；备份策略可基于网络安全信息的不同类别不同共享范围采取热允余、异地实时备份等。
网络安全信息共享过程中采用校验、密码等技术保障信息传输的安全性。b）
c）共享活动参与者掌握的内部共享信息和部分共享信息需要限定在最小知悉范围内。8.3.4监督和评价
信息管理者（或第三方监督或仲裁机构）根据共享活动监督机制，对积极参与和配合的参与者进行激励或奖励；对违反共享活动原则及规程的行为采取警告、限制操作等措施。信息管理者（或第三方监督或仲裁机构）根据共享活动评价机制，对参与者的参与度、网络安全信息的质量等进行评价，以定期会议或电子邮件等方式告知共享活动参与者。8.3.5使用网络安全信息
信息使用者在共享活动中获得网络安全信息后，通过评估信息来源、时效等因素，或采用技术手段验证信息真实性和准确性，整合信息及分析当前网络状态后，部署安全防护措施或纠正当前安全防护措施，以延退、防范网络安全事件的发生，或弥补网络安全事件造成的损失，信息使用者在使用共享的网络安全信息实现网络安全防护目标后，对网络安全信息的时效性、准确性、有效性等方面作出评价，并将存在的问题反馈给信息管理者，由信息管理者评估和整改。8.3.6持续共享
持续共享过程中需注意以下因素。根据网络安全信息的特性、频率和时效性，可考采用电子邮件、会议、专门网站或平台等多种a)
方式进行共享，共享过程中采用的信息交换技术可参考附录D实现。在信息量较大时，信息提供者或信息管理者可提交或发布概要信息来减少信息交互频率。b）共享活动中的所有参与者共同遵守共享策略和规程，信息管理者定期跟踪信息源和信息提供者提交信息的质量和频率，信息提供者按照约定的频率提供网络安全信息，并保证网络安全信息的真实性和准确性，信息使用者在网络安全防护过程中主动使用网络安全信息。共享活动参与者通过定期培训或引进技术人才提高网络安全信息共享团队的技术能力，通过c
定期组织自评价，评价内部网络安全信息共享团队的技术水平及共享工作效率。d）
共享活动参与者通过获得的网络安全信息持续提开网络安全防护水平，确保具备网络防御能力和对网络安全信息的保护能力。7