8月6日，中国人民银行主管的《金融网络安全威胁信息共享指南》（GB/T 42708-2023）（以下简称“《指南》”）发布，并于当日实施。

《指南》给出了金融网络安全威胁信息的共享框架、共享原则、共享方式、共享流程、质量管理、保障机制、安全管理等方面的建议。附录部分展示了典型金融网络安全威胁信息共享场景。《指南》适用于参与金融网络安全威胁信息共享的金融机构和相关组织。

《指南》旨在建立金融行业网络安全威胁信息共享机制，基于共享价值对结构化网络安全威胁数据进行分析，畅通网络安全威胁信息的共享通道，制定威胁信息的数据标准。

威胁信息共享框架、共享原则、共享方式

威胁信息共享的目标是为金融行业提供高质量、高时效的网络安全威胁信息。通过建立健全多层次、跨机构的威胁信息共享机制，建立常态化、可信赖的威胁信息共享路径，促进金融行业和其他行业的威胁信息深入合作。

金融行业网络安全威胁信息共享框架为：

金融网络安全威胁信息共享的主要参与者包括金融网络安全威胁信息共享平台、金融机构、威胁信息提供方。威胁信息共享的内容包括威胁发生时间、威胁环境信息、影响范围、影响对象、影响程度、安全事件信息等。

《指南》提到，威胁信息共享应遵循“最小必要原则”“知情同意原则”“信息追溯原则”“安全可控原则”。

关于威胁信息共享方式。根据共享的时效性不同，可分为实时共享和批量共享；根据共享的目标不同，可分为定向共享和非定向共享；根据共享的参与机构不同，可分为中心共享模式和点对点共享模式。

威胁信息共享流程，主要有4步

威胁信息共享基本流程基于最小共享模型提出，仅包含一个威胁信息发送方和一个威胁信息接收方。

威胁信息发送方发现威胁，对威胁信息进行分析，根据威胁信息的分析情况，将威胁信息共享给威胁信息接收方。接收方根据需要使用威胁信息，并对使用情况进行反馈。

在金融行业的威胁信息共享中，可能经过信息多级传输，一个参与机构在一次共享中既作为信息发送方又作为信息接收方存在，参与机构根据其实际处理中的角色确定其具体工作。

威胁信息共享流程主要分为4步：

威胁信息分析。威胁信息发送方执行威胁信息共享前，开展威胁信息的分析工作。对威胁信息的原始数据进行处理，通过数据提取、去噪、归类、转换、加工等操作，将威胁信息转换为结构化数据，便于分析；对威胁信息结构化数据和原始数据进行比较分析，保障威胁信息结构化数据能精准表达原始数据所蕴含的信息；分析威胁信息的共享价值，综合多方面，以确定其是否需要共享；威胁信息共享可能导致数据违规使用等风险，如信息中涉及个人信息或其他具有安全隐患的内容，宜参照有关数据评估要求确认共享的可行性。

威胁信息共享。威胁信息发送方根据信息分析情况确定共享方式，以提升威胁信息的时效性和可达性，并通过安全的技术手段保障威胁信息中的重要信息在共享、传输过程中的机密性和完整性。

威胁信息使用。接收方获得威胁信息后，基于证据和逻辑对威胁信息进行分析、判断，对未来情况及其可能性进行预判，包括初步评估、交叉评估和持续评估。此外，在遵循威胁信息共享前提下，接收方在其所属环境研究、测试、应用威胁信息，包括旁路使用、边缘使用、正式使用。威胁信息使用后，使用方可将数据完整留存备查。

威胁信息使用反馈。威胁信息接收方在使用威胁信息后，可对使用情况进行记录并做出质量评价。接收方宜将使用反馈信息及时提供给该威胁信息的发送方，发送方可根据反馈情况优化威胁信息的生产、采集、评估方法，从而提升威胁信息的共享质量。使用情况反馈可包括信息相关性、信息准确性、信息时效性、信息具体性等内容。

威胁信息质量管理、共享保障机制、共享安全管理

在威胁信息质量管理上，分为组件格式和综合评定2方面内容。

组件格式方面。威胁信息组件是威胁信息共享的元数据。金融业宜建立统一的数据格式进行威胁信息组件描述，宜建立统一的威胁信息共享接口用于开展威胁信息共享，降低威胁信息共享接入成本，提升共享效率。

综合评定方面。金融机构可建立威胁信息质量评价模型，综合评定不同渠道网络威胁信息的有效性，通过设置权重、优先级等方式，提高威胁信息使用的精准性。由于不同的威胁信息共享方收集和共享的威胁信息可能存在特征差异，威胁信息质量评价模型根据威胁特征的差异性进行建立，避免错误模型影响威胁信息的有效使用。

在威胁信息共享保障机制上，威胁信息共享参与方宜通过合同或协议等方式确认共享关系的建立，明确共享的目标、范围及责任义务等；共享参与方宜提供机构接口人等联络方式；共享参与方宜监控金融网络安全威胁信息共享平台和其他威胁共享参与方系统的网络连通性情况等。

在威胁信息共享安全管理上，具体包括访问控制、数据管理、安全审计、应急响应4个方面的建议。