网络安全信息共享活动、模式示例、信息描述、信息交换技术概述.docxVIP

（资料性）网络安全信息共享活动示例 网络安全信息共享活动示例见表A.1。 网络安全信息共享活动示例 场景示例 共享场景类型 共享模式 共享活动发起者 信息提供者 信息控制者 信息使用者 网络安全信息类别 共享范围 网络安全论坛上的信息分享 信息公开 中心/混合共享 论坛运营机构 网络安全服务机构、科研机构的从业人员、网络安全爱好者 论坛运营机构建设的网络安全论坛 想了解和查阅网络安全信息资源的组织或个人 已公开风险信息、漏洞信息、应对措施信息、经验信息等 完全共享 主管/监管部门组织的网络安全信息报送 信息报送或下发 中心共享 主管/监管部门 网络安全服务机构、科研机构、行业主管部门等 由主管/监管部门提出，平台运营机构建设的信息共享平台 主管/监管部门认为有必要接收相关信息的组织或个人 依主管/监管部门要求提供其所需的所有类别信息。 依主管/监管部门要求提供其所需共享范围内的信息。 业务合作伙伴间的安全提醒和共同维护 信息互换 点对点共享 业务合作双方/多方 业务合作双方/多方 业务合作双方/多方 业务合作双方/多方 已公开或通过某些技术手段发现的，可能对合作伙伴间网络安全造成危害的所需的所有类别信息。 完全共享、内部共享、受限共享 （资料性）网络安全信息共享模式示例 中心共享模式 中心共享模式信息交互形式如图B.1所示。 网络安全信息中心共享模式 基于中心共享模式的共享活动通常需要建立正式的信息共享协议，规定信息共享内容、共享活动参与者范围、是否允许注明来源、以及允许的详细程度等。共享中心拥有各信息提供者传递来的全量信息，在对信息进行提炼、处理和分发过程中需按照信息共享协议进行操作，并根据需要为信息使用者提供抽象的、有针对性的摘要信息。中心可建立准入门槛，中心在共享过程中，如发现某网络安全信息质量不高，则宜通过降低乃至停止该信息提供者共享的方式，提高网络安全信息整体的质量，以此规范计划参与共享活动的组织或个人。对于信息传递频繁、信息共享数量高的中心可以选择自动化汇总和处理工具对信息进行处理。 对于信息共享的权限控制要求更为精细的情况，可根据需要设立多级共享中心。不同的共享中心各自对其收集到的信息进行管理与维护，同时信息共享中心需根据自身所处层级的不同，以从低到高的顺序逐级将信息传递至高级别共享中心进行统一分发管理，从而实现信息的逐级汇总与分发。 中心共享模式的优势主要取决于中心提供的服务。有些中心可能只以中间人的身份进行信息传递，另一些中心可能会执行附加的处理来丰富信息。中心共享模式的潜在缺点是共享活动的有效开展完全依赖于中心的基础设施，使其容易受到系统故障、延迟或损坏等影响。当中心不能正常工作或性能下降时，所有信息共享参与角色都会受到影响。此外，中心作为网络安全信息的存储点，容易成为攻击目标。 点对点共享模式 点对点共享模式信息的交互形式如图B.2所示。 网络安全信息点对点共享模式 在点对点共享模式中，基于所建立的信任等级和交换的信息类型，同一共享活动中的参与者之间自愿直接建立对等信任关系，并进行信息共享。共享活动参与者彼此信任的基础是拥有共同目标，尊重规定的共享规则，并愿意参与互惠共享。 点对点共享模式的优势在于共享活动参与者彼此直接共享，信息使用者可直接从源头获得信息，便于信息的迅速分享与使用；同时，信息可以通过多种渠道获得，且没有成为潜在单点攻击故障点或高价值攻击目标的中心，使架构表现出更大的健壮性。但此模式下架构实现不采用统一的标准方法，共享活动参与者必须支持多种数据格式和协议，难以实现快速的扩展，随着共享活动参与者数量的增加，管理众多连接、数据和信任关系的成本将以指数方式增加，不利于整体的维护与管理。 混合共享模式 混合共享模式信息的交互形式如图B.3所示。在混合共享模式中，信息越接近于信息共享中心，信息共享范围越小，信息控制者可将共享范围较大的信息以点对点形式与其他共享活动参与者进行传递，当需要发送共享范围较小的信息时，则需采用中心共享的方式将信息统一传递至信息共享中心，并由中心对接收到的信息进行统一的收集、整合、分析与分发。 网络安全信息混合共享模式 在混合共享模式下，共享活动参与者可以最大限度地实现信息的快速分享与使用，同时也能够通过共享中心实现信息的统一管理维护，以提升信息共享的可靠性与保密性。因混合共享模式相较于其他两种模式更为复杂，其实现的成本会有所增加。同时对于共享活动参与者而言，在进行信息共享时也会相应增加实施与操作的复杂程度。 （资料性）网络安全信息描述 威胁信息描述规范 建议满足GB/T 36643—2018中6.2-6.9关于网络安全威胁信息组件描述的相关要求。 应对措施信息描述规范 应对措施信息描述规范如表C.1所示。 应对措施信息描述规范 字段 内容说明 措施名称 所属子类