信息安全之众测服务要求。

本文主要基于《信息安全技术 网络安全众测服务要求》征求意见稿进行学习整理。

网络安全众测服务(crowdsourcing security test service)：它以自愿的方式组织非特定的自然人或组织，在审计及监督下，对网络产品和系统等开展漏洞发现等安全测试的过程。

网络安全众测服务平台(crowdsourcing security test service platform)：由众测组织方运营并通过在线方式提供网络安全众测服务的平台。

众测组织方(crowdsourcing test provider)：在众测需求方授权下，组织符合众测需求方要求的授权测试方开展网络安全众测服务的组织。

授权测试方(authorized test entity)：获得众测组织方授权对测试对象进行安全测试的自然人或组织。

众测审计方(crowdsourcing test auditing entity)：网络安全众测服务过程中进行审计及监督的组织。

安全众测服务流程可分为准备阶段、实施阶段、后处理阶段三个阶段。

网络安全众测服务流程包括以下几个阶段：

准备阶段：众测需求方和众测组织方相互协商，明确双方权利义务；众测需求方向众测组织方明确授权并授权众测组织方组织符合要求的授权测试方实施众测；众测组织方按照众测需求方的要求发布众测项目，在获得众测需求方授权的前提下组织授权测试方；授权测试方做好测试准备；众测审计方做好审计准备。

实施阶段：授权测试方通过获得授权的安全接入方式执行测试，按要求提交漏洞；众测组织方对漏洞进行初步审核后交付给众测需求方；众测需求方对漏洞进行审核确认；众测审计方对众测过程进行审计和监督。

后处理阶段：在约定的测试时间结束后，众测组织方向众测需求方提供众测服务报告；众测审计方提交审计报告

安全众测服务涉及的角色包括众测需求方、众测组织方、授权测试方、众测审计方。

在安全众测服务过程中，众测需求方与众测组织方之间通过授权委托建立众测服务关系，众测组织方组织具备测试条件和能力的授权测试方实施众测，并由众测审计方对众测过程进行审计。众测审计方一般根据众测需求方的需要由具备众测审计条件和能力的第三方承担，对授权测试方的审计可由众测组织方承担。

1、众测需求方要求如下：

a) 应确定众测服务需求，包括但不限于：测试对象、测试时间、测试人员要求、测试人员行为准则、是否第三方审计等众测项目实施参数；

b) 应建立测试过程中安全监控机制及突发事件应急预案，协调人员做好测试期间的安全监控和应急响应；

c) 应提供对测试对象拥有所有权的证明；

d) 应对测试对象进行测试授权；

e) 宜根据众测服务需求挑选符合条件的授权测试方，也可委托众测组织方挑选。

2、众测组织方要求如下：

a) 应制定并公开发布授权测试方行为准则，授权测试方行为准则应满足附录A的要求；

b) 应制定项目应急预案；

c) 网络安全众测服务宜依托网络安全众测服务平台开展，

d) 依托网络安全众测服务平台提供网络安全众测服务的，应按照网络安全等级保护制度的要求履行安全保护义务并通过等级保护测评，所运营的众测服务平台等级保护定级不宜低于三级；

e) 应在众测项目正式实施前与众测需求方、众测审计方签订众测授权书及安全保密协议，安全保密协议内容包括但不限于：1、测试对象、测试过程、测试结果等众测项目信息；2、网络拓扑信息、应用代码等；3、众测中发现的漏洞信息等。

f) 应对众测需求方进行认证以及对测试对象进行所有权校验，确保众测需求方测试内容合法。所有权校验宜支持网站、移动应用程序方式；

g) 应与众测需求方明确众测服务需求；

h) 应按照众测需求方的需求生成众测项目，生成项目的关键要素包括：测试时间、测试范围、测试要求、漏洞评级标准、验收标准；

i) 应支持众测需求方按测试时间、技能、信誉、排名等多维度挑选授权测试方进行测试或对报名的授权测试方进行筛选；也可受众测需求方委托为其选择合适的授权测试方；

j) 应根据众测需求方要求支持众测审计方完成代理账号创建、配置等工作；

k) 应对授权测试方进行实名认证和背景调查。应要求授权测试方提供身份证号等相关信息并进行核实；为方便众测服务的开展，可要求授权测试方提供手机号或其他联系方式；

l) 应严格管理授权测试方，管理内容包括但不仅限于实名认证、技能评估、任务完成情况、近三年内无违法违规纪录审核等；

m) 针对授权测试方的个人信息处理活动应遵循GB/T 35273的相关要求；

n) 应根据授权测试方的历史漏洞提交情况，分析其技能、擅长挖掘的漏洞类型、漏洞级别、漏洞报告质量等，审查授权测试方以保证获得良好的测试效果，并判定是否符合众测要求。同时应建立授权测试方的信誉体系及优胜劣汰机制，对不符合相关法律法规及不按众测需求方要求进行测试的授权测试方进行处罚及清退，确保身份可信、技能可行；

o) 宜支持授权测试方填写多维度的属性信息，如技能列表及擅长挖掘的漏洞类型等；

p) 应面向授权测试方定期开展培训，培训的内容宜包括项目测试范围、项目测试时间、测试行为准则、安全保密要求等

3、授权测试方要求如下：

a) 应遵守众测项目的相关要求，包括项目测试范围、项目测试时间、项目测试行为准则、安全保密要求等；

b) 应提供准确的身份信息，并配合众测组织方完成身份、技能认证；

c) 宜提供详细的技能列表及擅长挖掘的漏洞类型等信息。

4、众测审计方要求如下：

a) 应成立项目实施小组和应急小组，确定项目负责人；

b) 应完成众测审计的技术准备工作，包括系统环境搭建、稳定性测试、安全接入账号的创建与配置等。

1、众测需求方要求如下：

a) 应做好测试期间的系统、网络等的安全监控工作，发现重大安全攻击事件或系统服务中断等突发事件，及时启动相应的应急流程；

b) 众测实施过程中若发生安全事件，应做好应急响应工作，包括事件报告、事件分析、事件处置、评估总结等工作；

c) 漏洞处置、发布、跟踪应符合 GB/T 30276—2020 的相关要求；

d) 应跟踪漏洞的处置修复，对于高危及以上的漏洞，组织相关人员立即修复漏洞，并协调漏洞复检工作；

e) 应严格按照协议对授权测试方提交的漏洞进行审核确认。

2、众测组织方要求如下：

a) 应对漏洞信息进行加密存储；

b) 发生网络安全事件时，应及时启动应急预案，对事件进行响应和处置；

c) 应严格管理授权测试方，要求其按照项目要求，在授权的时间范围内，对授权范围内的测试对象，使用授权范围内的测试方法开展测试工作；

d) 应严格要求授权测试方对测试中可能获取的少量的网络拓扑信息、应用代码、漏洞等严格保密，不得用于其他途径；

e) 应仅支持授权测试方查看自己提交的漏洞信息；

f) 当众测需求方和授权测试方对漏洞的判定不一致时，应承担纠纷处理职责；

g) 应建立授权测试方的信誉或积分体系，对不符合相关法律法规及不按众测需求方要求进行测试的测试授权方进行处罚及清退；对违反相关法律法规等损害众测需求方利益的行为，应协助众测需求方及执法机关，对测试授权方的非法测试行为及其造成的后果进行取证；

h) 应协助众测审计方，在众测过程中进行审计及监督。

3、授权测试方要求如下：

a) 应严格遵守授权测试方行为准则，严格按照众测项目要求开展测试；

b) 不应私自越界访问/篡改数据信息；

c) 不应超出项目测试范围对内部网络使用扫描器等自动化工具；

d) 未经许可不应进行高风险操作，包括但不仅限于：服务器提权操作等；

e) 不应实施对业务造成稳定性、可用性受损的操作行为；

f) 未经许可不应对交易数据、用户信息等敏感信息进行下载/拖取，收到对数据拖取行为的报警时应立即停止当前动作，并配合众测组织方和众测审计方等进行责任追溯；

g) 应对测试中可能获取的少量的网络拓扑信息、应用代码、数据、漏洞等严格保密，不得用于其他途径；

h) 应提交真实完整且描述清晰的漏洞信息，上报的安全漏洞宜按照 GB/T 28458—2020 的要求进行标识与描述；

1. 可协助众测需求方、众测组织方完成漏洞的复测工作。

4、众测审计方要求如下：

a) 应对测试授权方的行为进行审计，重点检查测试授权方是否有未授权的入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全的行为或活动，并保存原始日志满足追溯要求；

b) 应记录并加密存储授权测试方的测试流量，以便进行回溯分析及后期取证；

c) 发现异常时，应及时通知众测需求方和众测组织方；

d) 应负责测试过程中，授权测试方代理账号的管理工作，包括账号暂停、账号恢复等；

e) 突发事件时，应协助众测需求方进行突发事件的溯源分析和应急响应工作。

1、众测需求方要求如下：

a) 应及时进行分析总结，持续提升安全防护能力；

b) 应对测试对象进行复检，确保木马后门等已清理，漏洞已修复。

2、众测组织方要求如下：

a) 应及时交付安全众测报告，安全众测报告内容包括但不限于：安全测试对象、测试时间、测 试人员、测试对象整体安全情况分析、漏洞分布及分析、漏洞信息、漏洞修复建议、安全防 护建议等；

b) 应按约定及时删除众测需求方测试对象相关材料、漏洞等敏感信息；

c) 可协助众测需求方对测试对象进行复检。

3、授权测试方要求如下：

授权测试方应及时删除众测实施过程中上传的木马、后门程序等工具。

4、众测审计方要求如下：

a) 应对测试过程中留存的日志等记录进行分析；

b) 安全审计的内容包括：

1、应审计授权测试方是否按照要求，使用授权的测试接入途径进行安全测试；

2、应审计整体的测试过程，量化授权测试方测试工作量、测试对象范围；

3、应审计授权测试方使用的攻击手法；

4、审计授权测试方的高风险行为操作（如撞库攻击、批量账号登录、扫描器攻击，未授权 下载等），溯源攻击过程。

c) 审计结果应以审计报告的形式交付给众测需求方或众测组织方，说明该次安全测试审计情况；

d) 安全审计报告的内容应包括测试范围、测试时间、测试人员、审计内容、及审计结果等；

e) 众测审计方由众测组织方承担时，在约定时间内，应支持引入第三方审计机构进行审计和监督；

f) 应按约定及时删除众测过程中的测试流量等敏感信息。