GB_T 43741-2024 网络安全技术 网络安全众测服务要求.docx

ICS35.030CCS1.80OB中华人民共和国家标准GB/T437412024网络安全技术网络安全众测服务要求Cybersecuritytechnology一Requirementsforcrowdsourcingsecuritytestservices2024-04-25发布2024-11-01实施国家市场监督管理总局国家标准化管理委员会目次前言I引言II1范围12规范性引用文件13术语和定义14通则24.1 角色及职责24.2 服务流程34.3 安全风险45服务要求45.1 准备阶段服务要求45.2 实施阶段服务要求55.3 后处理阶段服务要求7附录A（资料性）网络安全众测服务平台功能8附录B（规范性）授权测试方行为准则11本文件按照GB/T1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院、国家信息技术安全研究中心、阿里云计算有限公司、奇安信网神信息技术（北京）股份有限公司、中国移动通信集团有限公司、中国科学院软件研究所、上海斗象信息科技有限公司、北京天融信网络安全技术有限公司、中通服咨询设计研究院有限公司、上海文鲍信息科技有限公司、蚂蚁科技集团股份有限公司、杭州安恒信息技术股份有限公司、北京市政务安全保障中心（北京信息安全测评中心）、北京东方通网信科技有限公司、北京众安天下科技有限公司、北京奇虎科技有限公司、中国工业互联网研究院、启明星辰信息技术集团股份有限公司、北京数字观星科技有限公司、中国电子科技网络信息安全有限公司。本文件主要起草人：云晓春、王文磊、耿冬梅、刘贤刚、张大江、舒敏、孙彦、杨晨、高继明、王宏、严寒冰、何能强、董航、王惠莅、邓萍萍、俞斌、崔婷婷、李媛、胡鸣、王俊杰、郭亮、闫宏石、王奠、邱勤、左敏、胡晓娜、查奇文、张奇、杨蔚、李旭楠、严定宇、伍俊毓。中华人民共和国网络安全法第二十七条规定“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具”。本文件在遵守国家相应的法律法规和技术标准要求的基础上，紧密围绕国内网络安全众测服务的发展实践和需求，提出了网络安全众测服务要求。网络安全技术网络安全众测服务要求1范围本文件描述了网络安全众测服务的角色及其职责，服务流程，以及安全风险，规定了服务要求。本文件适用于网络安全众测服务活动。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T250692022信息安全技术术语GB/T28458-2020信息安全技术网络安全漏洞标识与描述规范GB/T30276-2020信息安全技术网络安全漏洞管理规范GB/T35273信息安全技术个人信息安全规范3术语和定义GB/T250692022和GB/T284582020界定的以及下列术语和定义适用于本文件。3.1网络安全众测服务crowdsourcingsecuritytestservice以众包和自愿的方式组织非特定的自然人或组织，对网络产品和系统等开展漏洞发现等安全测试的过程。注1：网络安全众测服务符合国家漏洞有关管理规定。注2：关键信息基础设施的网络安全众测服务在网络安全主管部门和保护工作部门的指导下进行。3.2众测需求方crowdsourcingtestdemand-side需要网络安全众测服务(3.1)的组织。注，众测需求方拥有对测试对象的所有权，与众测组织方(3.3)签订授权测试协议，并授权众测组织方组织授权测试方(3.4)开展网络安全众测服务(3.1)o3.3众测组织方crowdsourcingtestprovider在众测需求方(3.2)授权下，组织符合众测需求方要求的授权测试方(3.4)开展网络安全众测服务(3.1)的组织。3.4授权测试方authorizedtestentity获得众测组织方(3.3)授权对测试对象进行安全测试的自然人或组织。3.5众;则审计方crowdsourcingtestauditingentity网络安全众测服务(3.1)过程中进行审计及监督的组织。3.6第三方审计third-partyauditing独立于众测需求方2)和众测组织方(3.3)的有公信力的众测审计方(3.5)提供的审计。3.7网络安全众测服务平台crowdsourcingsecuritytestsen,iceplatform由众测组织方(3.3)运营并通过在线方式提供网络安全众测服务D的平台。4通则4.1 角色及职责4.1.1 角色及其交互关系网络安全众测服务涉及的角色包括众测需求方、众测组织方、授权测试方、众测审计方。各角色的交互关系如图1所示。图1网络安全众测服务角色及其交互关系在网络安全众测服务过程中，众测需求方与众测组织方之间通过授权委托建立众测服务关系，众测组织方组织具备测试条件和能力的授权测试方实施众测，并由众测审计方对众测过程进行审计。众测审计方一般应由具备众测审计条件和能力的第三方承担，对授权测试方的审计可由众测组织方承担。各角色的职责详见4.1.24.1.5。4.1.2 众测需求方众测需求方的职责为：委托众测组织方提供安全众测服务，提供相应证明，明确众测授权和服务要求，制定应急预案。4.1.3众测组织方的职责包括：a)验证众测需求方的测试需求；b)选择满足众测需求方要求的授权测试方，并给予测试授权；C)管理授权测试方，包括制定并发布授权测试方行为准则等相关要求，对授权测试方进行身份核验等；d)向众测需求方交付众测结果；e)众测实施环境的运营和管理；f）接受并配合众测审计方的审计。4.1.4 授权测试方授权测试方的职责包括：a）在众测需求方指定的测试范围及测试时间内进行测试；b）在测试结束后交付测试中发现的安全漏洞及安全众测报告;c）接受并配合众测审计方的审计。4.1.5 众测审计方众测审计方的职责包括：a）对众测组织方及由众测组织方组织开展的众测服务活动进行审计及监督;b）客观、公正出具众测审计报告。4.2 服务流程网络安全众测服务流程可分为准备阶段、实施阶段、后处理阶段三个阶段。网络安全众测服务流程如图2所示。图例众测活动下一步流程接受审计准备阶段实施阶段后处理阶段图2网络安全众测服务流程网络安全众测服务流程包括以下几个阶段。a）准备阶段：众测需求方和众测组织方相互协商，明确双方权利义务；众测需求方向众测组织方明确授权并委托众测组织方组织符合要求的授权测试方实施众测；众测组织方按照众测需求方的要求发布众测项目，在获得众测需求方授权的前提下组织授权测试方；授权测试方做好测试准备；众测审计方做好审计准备。b）实施阶段：授权测试方通过获得授权的安全接入方式执行测试，按要求提交漏洞；众测组织方对漏洞进行初步审核后交付给众测需求方；众测需求方对漏洞进行审核确认；众测审计方对众测过程进行审计和监督。c）后处理阶段：在约定的测试时间结束后，众测组织方向众测需求方提供众测服务报告；众测审计方提交众测审计报告。4.3 RP网络安全众测服务过程中主要面临以下安全风险。a）授权测试方行为不可控的风险：网络安全众测服务的授权测试方来自各种非特定的自然人或组织，若无法对众测过程进行有效管理、监督与审计一，授权测试方在众测过程中可能会进行违规操作。b）系统正常运行受到影响的风险：在安全众测时，需要模拟黑客对设备和系统进行一定的攻击测试工作，可能对系统的运行造成影响，甚至可能会影响业务连续性。c）信息泄露的风险：授权测试方可能会获取到被测系统的业务数据或状态信息，如用户身份信息、用户账号信息、网络拓扑、互联网协议地址、业务流程、安全机制、安全漏洞信息等，存在信息泄露风险。为降低以上安全风险，在符合国家有关管理规定的前提下，应规范网络安全众测服务各角色在众测服务全流程的活动，网络安全众测服务要求见第5章。5服务要求5.1 准备阶段照务要求5.1.1 众测需求方众测需求方要求如下：a）应确定众测服务需求，包括但不限于测试对象、测试时间、测试人员要求、测试人员行为准则、是否第三方审计等众测项目实施参数；b）当针对生产环境下系统、网络开展网络安全众测服务时，应建立测试过程中突发事件应急预案，协调人员做好测试期间的安全监控和应急响应；c）应提供对测试对象拥有所有权的证明；d）应对测试对象进行测试授权；e）宜根据众测服务需求挑选符合条件的授权测试方，也可委托众测组织方挑选。5.1.2 A3mi众测组织方要求如下。a）应制定众测服务项目应急预案。b）应做好众测实施环境准备，网络安全众测服务宜依托网络安全众测服务平台开展，网络安全众测服务平台的功能参考附录A。c）依托网络安全众测服务平台提供网络安全众测服务的，应按照网络安全等级保护等制度的要求履行安全保护义务并通过等级保护测评，收集非自身网络产品和系统安全漏洞的网络安全众测服务平台应履行网络产品安全漏洞收集平台备案。d）应在众测项目正式实施前与众测需求方、众测审计方签订众测授权书及安全保密协议，安全保密协议内容包括但不限于：测试对象、测试过程、测试结果等众测项目信息；网络拓扑信息、应用代码等；众测中发现的漏洞信息等。e）应对众测需求方进行认证以及对测试对象进行所有权校验，确保众测需求方测试内容合法。所有权校验宜支持网站、移动应用程序方式。D应与众测需求方明确众测服务需求，见5.1.1a）Og）应按照众测需求方的需求生成众测项目，生成项目的关键要素包括：测试时间、测试范围、测试要求、漏洞评级标准、验收标准。h）应支持众测需求方按测试时间、技能、信誉、排名等多维度挑选授权测试方进行测试或对报名的授权测试方进行筛选；也可受众测需求方委托为其选择合适的授权测试方。i）应根据众测需求方要求支持众测审计方完成代理账号创建、配置等工作。j）应制定并公开发布授权测试方行为准则，授权测试方行为准则应满足附录B的要求。k）应对授权测试方进行实名认证和背景调查。应要求授权测试方提供公民身份证号码或组织机构统一社会信用代码等相关信息并进行核实；为方便众测服务的开展，可要求授权测试方提供手机号或其他联系方式。D应严格管理授权测试方，管理内容包括但不仅限于实名认证、技能评估、任务完成情况、近三年内无违法违规纪录审核等。m）针对授权测试方的个人信息处理活动应符合GB/T35273的要求。n）应根据授权测试方的历史漏洞提交情况，分析其技能、擅长挖掘的漏洞类型、漏洞级别、漏洞报告质量等，审查授权测试方以保证获得良好的测试效果，并判定是否符合众测要求。同时应建立授权测试方的信誉体系及筛选机制，对不符合相关法律法规及不按众测需求方要求进行测试的授权测试方进行处罚及清退，确保身份可信、技能可行。0）宜支持授权测试方填写多维度的属性信息，如技能列表及擅长挖掘的漏洞类型等。p）应面向授权测试方定期开展培训，培