1、附錄A （資料性）網絡安全信息共享活動示例網絡安全信息共享活動示例見表A.1。表A.1 網絡安全信息共享活動示例場景示例共享場景類型共享模式共享活動發起者信息提供者信息控制者信息使用者網絡安全信息類別共享范圍網絡安全論壇上的信息分享信息公開中心/混合共享論壇運營機構網絡安全服務機構、科研機構的從業人員、網絡安全愛好者論壇運營機構建設的網絡安全論壇想了解和查閱網絡安全信息資源的組織或個人已公開風險信息、漏洞信息、應對措施信息、經驗信息等完全共享主管/監管部門組織的網絡安全信息報送信息報送或下發中心共享主管/監管部門網絡安全服務機構、科研機構、行業主管部門等由主管/監管部門提出，平臺運營機構建設的

2、信息共享平臺主管/監管部門認為有必要接收相關信息的組織或個人依主管/監管部門要求提供其所需的所有類別信息。依主管/監管部門要求提供其所需共享范圍內的信息。業務合作伙伴間的安全提醒和共同維護信息互換點對點共享業務合作雙方/多方業務合作雙方/多方業務合作雙方/多方業務合作雙方/多方已公開或通過某些技術手段發現的，可能對合作伙伴間網絡安全造成危害的所需的所有類別信息。完全共享、內部共享、受限共享DB附錄B （資料性）網絡安全信息共享模式示例B.1 中心共享模式中心共享模式信息交互形式如圖B.1所示。圖B.1 網絡安全信息中心共享模式基于中心共享模式的共享活動通常需要建立正式的信息共享協議，規定信息共

3、享內容、共享活動參與者范圍、是否允許注明來源、以及允許的詳細程度等。共享中心擁有各信息提供者傳遞來的全量信息，在對信息進行提煉、處理和分發過程中需按照信息共享協議進行操作，并根據需要為信息使用者提供抽象的、有針對性的摘要信息。中心可建立準入門檻，中心在共享過程中，如發現某網絡安全信息質量不高，則宜通過降低乃至停止該信息提供者共享的方式，提高網絡安全信息整體的質量，以此規范計劃參與共享活動的組織或個人。對于信息傳遞頻繁、信息共享數量高的中心可以選擇自動化匯總和處理工具對信息進行處理。對于信息共享的權限控制要求更為精細的情況，可根據需要設立多級共享中心。不同的共享中心各自對其收集到的信息進行管理與

4、維護，同時信息共享中心需根據自身所處層級的不同，以從低到高的順序逐級將信息傳遞至高級別共享中心進行統一分發管理，從而實現信息的逐級匯總與分發。中心共享模式的優勢主要取決于中心提供的服務。有些中心可能只以中間人的身份進行信息傳遞，另一些中心可能會執行附加的處理來豐富信息。中心共享模式的潛在缺點是共享活動的有效開展完全依賴于中心的基礎設施，使其容易受到系統故障、延遲或損壞等影響。當中心不能正常工作或性能下降時，所有信息共享參與角色都會受到影響。此外，中心作為網絡安全信息的存儲點，容易成為攻擊目標。B.2 點對點共享模式點對點共享模式信息的交互形式如圖B.2所示。圖B.2 網絡安全信息點對點共享模式

5、在點對點共享模式中，基于所建立的信任等級和交換的信息類型，同一共享活動中的參與者之間自愿直接建立對等信任關系，并進行信息共享。共享活動參與者彼此信任的基礎是擁有共同目標，尊重規定的共享規則，并愿意參與互惠共享。點對點共享模式的優勢在于共享活動參與者彼此直接共享，信息使用者可直接從源頭獲得信息，便于信息的迅速分享與使用；同時，信息可以通過多種渠道獲得，且沒有成為潛在單點攻擊故障點或高價值攻擊目標的中心，使架構表現出更大的健壯性。但此模式下架構實現不采用統一的標準方法，共享活動參與者必須支持多種數據格式和協議，難以實現快速的擴展，隨著共享活動參與者數量的增加，管理眾多連接、數據和信任關系的成本將以

6、指數方式增加，不利于整體的維護與管理。B.3 混合共享模式混合共享模式信息的交互形式如圖B.3所示。在混合共享模式中，信息越接近于信息共享中心，信息共享范圍越小，信息控制者可將共享范圍較大的信息以點對點形式與其他共享活動參與者進行傳遞，當需要發送共享范圍較小的信息時，則需采用中心共享的方式將信息統一傳遞至信息共享中心，并由中心對接收到的信息進行統一的收集、整合、分析與分發。圖B.3 網絡安全信息混合共享模式在混合共享模式下，共享活動參與者可以最大限度地實現信息的快速分享與使用，同時也能夠通過共享中心實現信息的統一管理維護，以提升信息共享的可靠性與保密性。因混合共享模式相較于其他兩種模式更為復雜

7、，其實現的成本會有所增加。同時對于共享活動參與者而言，在進行信息共享時也會相應增加實施與操作的復雜程度。DC附錄C （資料性）網絡安全信息描述C.1 威脅信息描述規范建議滿足GB/T 366432018中6.2-6.9關于網絡安全威脅信息組件描述的相關要求。C.2 應對措施信息描述規范應對措施信息描述規范如表C.1所示。表C.1 應對措施信息描述規范字段內容說明措施名稱所屬子類（防御/響應）單位名稱實施對象措施目的具體描述C.3 經驗信息描述規范經驗信息描述規范如表C.2所示。表C.2 經驗信息描述規范字段內容說明經驗信息名稱單位名稱具體描述風險等級應對措施C.4 態勢信息描述規范態勢信息描述

8、規范如表C.3所示。表C.3 態勢信息描述規范字段內容說明態勢信息類型態勢信息名稱上報單位名稱態勢信息來源態勢信息具體描述DD附錄D （資料性）共享活動中的信息交換技術概述D.1 網絡安全信息交換模型D.1.1 概述網絡安全信息的交換采用“客戶端-服務端”方式。在該方式中，信息服務器的核心功能是提供“信息集”服務，客戶端通過訪問服務的不同接口實現注冊、認證和網絡安全信息數據的上傳和拉取查詢。服務器可接收上傳的信息，存儲、管理網絡安全信息，并接受網絡安全信息查詢。客戶端是網絡安全信息的提供者或使用者。信息交換訪問方式如圖D.1所示。圖D.1 信息交換訪問方式在中心共享模式下，共享中心具有服務器功

9、能，非中心共享活動相關方具有客戶端功能；在點對點共享模式下，共享活動參與者均具有服務器與客戶端功能。D.1.2 服務器D.1.2.1 服務器功能服務器的核心功能是進行信息的收集、存儲、管理、發布和查詢，主要為“注冊與認證”服務、“服務信息”服務、“信息集”服務、“狀態信息”服務和相關功能的集合，從URL角度可理解為不同的服務接口實例的根URL。一個服務器實例可支持一個或多個“服務根”，同時支持一個“注冊與認證”服務和一個“服務信息”查詢服務。D.1.2.2 注冊與認證注冊與認證服務負責授權憑據的生產、管理、分發與驗證，以及客戶端注冊和認證信息的維護，通過提供的API接口接收客戶端的注冊和認證，

10、并與“信息集”服務協作進行網絡安全信息資源的訪問控制。只有在服務器上進行注冊并認證通過的合法客戶端才能訪問服務器上的網絡安全信息。D.1.2.3 服務根“服務根”是服務器上一組網絡安全信息數據資源和相關訪問接口的邏輯分組。一個服務器支持一個或多個服務根。每個服務根獨立提供網絡安全信息數據訪問所需接口。通過服務根，服務器可以實現網絡安全信息數據資源的劃分和獨立的訪問控制。從URL角度，服務根可以理解為服務器根URL的子URL。每個服務根可以根據需要將其中的網絡安全信息數據及訪問接口劃分為不同的“信息集”。D.1.2.4 服務信息“服務信息”是服務器提供的“服務根”信息的集合。該服務包括一組對“服

11、務根”信息進行查詢的API接口，通過這些接口客戶端可以查詢服務器上的“服務根”列表，及每個“服務根”的URL及“服務根”上網絡安全信息數據的公共信息。D.1.2.5 信息集“信息集”是服務根實例提供的網絡安全信息數據對象及其訪問接口的邏輯分組，是客戶端對網絡安全信息對象進行訪問的基本單位。“信息集”服務是通向信息集的API接口的集合。客戶端使用這些接口以請求-響應的方式發送網絡安全信息數據到服務器，或者向服務器請求網絡安全信息。一個“服務根”可包含一個或多個信息集，將網絡安全信息數據組合成以“信息集”為單位的邏輯分組后，可按照信任組或其他邏輯分組形式劃分內容和訪問控制。D.1.2.6 狀態信息

12、每個“服務根”實例允許客戶端查看發送給“服務根”的特定類型的請求的處理狀態。狀態信息用于描述向“服務根”上特定信息集添加網絡安全信息對象的請求的執行狀態。當客戶端提交了新的網絡安全信息后，可使用“狀態信息”服務提供的API接口可查看該新增網絡安全信息是否已被接受，請求是否完成以及請求中各對象的狀態（如：是否為待處理、完成但失敗，或者成功完成）。D.1.2.7 共享接口共享接口是客戶端對服務器上的各種服務進行訪問的傳輸通路。一個接口表示一個服務器實例上一個特定的URL和HTTPS方法，每一個接口都由可訪問的URL和用于請求的HTTPS方法標識。通過共享接口客戶端可實現在服務器上的注冊與認證、服務

13、信息的發現、與服務根進行數據交換及服務根狀態查詢等功能。服務器上的信息集服務提供一組相同的API接口，客戶端通過這些接口實現對特定信息集的訪問，進而實現網絡安全信息的交換。當前版本定義的API形式接口，需通過HTTPS協議實現接口訪問。D.1.3 客戶端單個客戶端向特定服務器進行注冊，認證通過后，可以向該服務器上的信息集查詢接口發送請求，查詢特定類型的網絡安全信息；客戶端也可以向特定服務器上的信息集的信息接收接口發送請求，向信息集中添加網絡安全信息數據；同時，可通過向服務器的狀態服務的查詢接口發送請求，獲取推送的網絡安全信息的處理狀態。D.2 網絡安全信息交換方法客戶端接入服務器并實現網絡安全

14、信息共享遵守如下過程：a) 注冊。新加入的客戶端首次連接服務器，或設備配置變動后，客戶端應向服務器進行注冊。服務器審核注冊信息后為客戶端分發認證憑據。注冊可采用離線人工注冊或在線API注冊方式；b) 認證。注冊成功后，客戶端訪問服務器的API接口進行認證。認證上傳注冊過程獲取的認證憑據，認證成功后獲取會話標識；c) 服務發現。認證成功后，客戶端使用會話標識作為認證憑證訪問服務器上的服務信息查詢接口和網絡安全信息數據的API接口，發現服務器所提供的服務信息。當會話標識失效后可重新啟動認證過程；d) 狀態查詢。認證成功后，客戶端使用會話標識作為認證憑證訪問服務器上的服務根狀態查詢接口，查詢服務根當

15、前狀態信息。當會話標識失效后可重新啟動認證過程；e) 數據交換。認證成功后，客戶端使用會話標識作為認證憑證訪問服務器上的服務根數據交換接口，查詢或上報網絡安全信息數據。當會話標識失效后可重新啟動認證過程；D.3 網絡安全信息數據接口描述D.3.1 基本描述網絡安全信息數據接口遵循如下基本描述：a) 所有的請求可在HTTPS協議的Accept頭中提供媒體范圍；b) 所有的響應可在HTTPS協議的Content-Type頭中提供所請求端點對應的媒體類型和版本參數；c) 若響應回復了HTTP成功碼（200系列的狀態碼），建議包含接口請求中指定的內容類型的響應體；d) 若響應回復了HTTP錯誤碼（RFC 7231 6.5節和6.6節定義的400系列和500系列的狀態碼），建議在響應體中包含錯誤消息；e) 若HTTPS協議請求的Accept和/或Content-Type頭中提供了接口指定的媒體類型，不宜回復HTTP 406（不可接受）或HTTP 415（不接受的媒體類型）；否則，可回復響應內容或HTTP 406（不可接受）或HTTP 415（不接受的媒體類型）；f) 傳輸的網絡安全信息的類型和格式