本文主要基于《信息安全技術 網絡安全眾測服務要求》征求意見稿進行學習整理。
基礎術語
網絡安全眾測服務(crowdsourcing security test service):它以自愿的方式組織非特定的自然人或組織,在審計及監督下,對網絡產品和系統等開展漏洞發現等安全測試的過程。
網絡安全眾測服務平臺(crowdsourcing security test service platform):由眾測組織方運營并通過在線方式提供網絡安全眾測服務的平臺。
眾測組織方(crowdsourcing test provider):在眾測需求方授權下,組織符合眾測需求方要求的授權測試方開展網絡安全眾測服務的組織。
授權測試方(authorized test entity):獲得眾測組織方授權對測試對象進行安全測試的自然人或組織。
眾測審計方(crowdsourcing test auditing entity):網絡安全眾測服務過程中進行審計及監督的組織。
服務流程
安全眾測服務流程可分為準備階段、實施階段、后處理階段三個階段。
網絡安全眾測服務流程包括以下幾個階段:
準備階段:眾測需求方和眾測組織方相互協商,明確雙方權利義務;眾測需求方向眾測組織方明確授權并授權眾測組織方組織符合要求的授權測試方實施眾測;眾測組織方按照眾測需求方的要求發布眾測項目,在獲得眾測需求方授權的前提下組織授權測試方;授權測試方做好測試準備;眾測審計方做好審計準備。
實施階段:授權測試方通過獲得授權的安全接入方式執行測試,按要求提交漏洞;眾測組織方對漏洞進行初步審核后交付給眾測需求方;眾測需求方對漏洞進行審核確認;眾測審計方對眾測過程進行審計和監督。
后處理階段:在約定的測試時間結束后,眾測組織方向眾測需求方提供眾測服務報告;眾測審計方提交審計報告
角色交互
安全眾測服務涉及的角色包括眾測需求方、眾測組織方、授權測試方、眾測審計方。
在安全眾測服務過程中,眾測需求方與眾測組織方之間通過授權委托建立眾測服務關系,眾測組織方組織具備測試條件和能力的授權測試方實施眾測,并由眾測審計方對眾測過程進行審計。眾測審計方一般根據眾測需求方的需要由具備眾測審計條件和能力的第三方承擔,對授權測試方的審計可由眾測組織方承擔。
準備階段服務要求
1、眾測需求方要求如下:
a) 應確定眾測服務需求,包括但不限于:測試對象、測試時間、測試人員要求、測試人員行為準則、是否第三方審計等眾測項目實施參數;
b) 應建立測試過程中安全監控機制及突發事件應急預案,協調人員做好測試期間的安全監控和應急響應;
c) 應提供對測試對象擁有所有權的證明;
d) 應對測試對象進行測試授權;
e) 宜根據眾測服務需求挑選符合條件的授權測試方,也可委托眾測組織方挑選。
2、眾測組織方要求如下:
a) 應制定并公開發布授權測試方行為準則,授權測試方行為準則應滿足附錄A的要求;
b) 應制定項目應急預案;
c) 網絡安全眾測服務宜依托網絡安全眾測服務平臺開展,
d) 依托網絡安全眾測服務平臺提供網絡安全眾測服務的,應按照網絡安全等級保護制度的要求履行安全保護義務并通過等級保護測評,所運營的眾測服務平臺等級保護定級不宜低于三級;
e) 應在眾測項目正式實施前與眾測需求方、眾測審計方簽訂眾測授權書及安全保密協議,安全保密協議內容包括但不限于:1、測試對象、測試過程、測試結果等眾測項目信息;2、網絡拓撲信息、應用代碼等;3、眾測中發現的漏洞信息等。
f) 應對眾測需求方進行認證以及對測試對象進行所有權校驗,確保眾測需求方測試內容合法。所有權校驗宜支持網站、移動應用程序方式;
g) 應與眾測需求方明確眾測服務需求;
h) 應按照眾測需求方的需求生成眾測項目,生成項目的關鍵要素包括:測試時間、測試范圍、測試要求、漏洞評級標準、驗收標準;
i) 應支持眾測需求方按測試時間、技能、信譽、排名等多維度挑選授權測試方進行測試或對報名的授權測試方進行篩選;也可受眾測需求方委托為其選擇合適的授權測試方;
j) 應根據眾測需求方要求支持眾測審計方完成代理賬號創建、配置等工作;
k) 應對授權測試方進行實名認證和背景調查。應要求授權測試方提供身份證號等相關信息并進行核實;為方便眾測服務的開展,可要求授權測試方提供手機號或其他聯系方式;
l) 應嚴格管理授權測試方,管理內容包括但不僅限于實名認證、技能評估、任務完成情況、近三年內無違法違規紀錄審核等;
m) 針對授權測試方的個人信息處理活動應遵循GB/T 35273的相關要求;
n) 應根據授權測試方的歷史漏洞提交情況,分析其技能、擅長挖掘的漏洞類型、漏洞級別、漏洞報告質量等,審查授權測試方以保證獲得良好的測試效果,并判定是否符合眾測要求。同時應建立授權測試方的信譽體系及優勝劣汰機制,對不符合相關法律法規及不按眾測需求方要求進行測試的授權測試方進行處罰及清退,確保身份可信、技能可行;
o) 宜支持授權測試方填寫多維度的屬性信息,如技能列表及擅長挖掘的漏洞類型等;
p) 應面向授權測試方定期開展培訓,培訓的內容宜包括項目測試范圍、項目測試時間、測試行為準則、安全保密要求等
3、授權測試方要求如下:
a) 應遵守眾測項目的相關要求,包括項目測試范圍、項目測試時間、項目測試行為準則、安全保密要求等;
b) 應提供準確的身份信息,并配合眾測組織方完成身份、技能認證;
c) 宜提供詳細的技能列表及擅長挖掘的漏洞類型等信息。
4、眾測審計方要求如下:
a) 應成立項目實施小組和應急小組,確定項目負責人;
b) 應完成眾測審計的技術準備工作,包括系統環境搭建、穩定性測試、安全接入賬號的創建與配置等。
實施階段服務要求
1、眾測需求方要求如下:
a) 應做好測試期間的系統、網絡等的安全監控工作,發現重大安全攻擊事件或系統服務中斷等突發事件,及時啟動相應的應急流程;
b) 眾測實施過程中若發生安全事件,應做好應急響應工作,包括事件報告、事件分析、事件處置、評估總結等工作;
c) 漏洞處置、發布、跟蹤應符合 GB/T 30276—2020 的相關要求;
d) 應跟蹤漏洞的處置修復,對于高危及以上的漏洞,組織相關人員立即修復漏洞,并協調漏洞復檢工作;
e) 應嚴格按照協議對授權測試方提交的漏洞進行審核確認。
2、眾測組織方要求如下:
a) 應對漏洞信息進行加密存儲;
b) 發生網絡安全事件時,應及時啟動應急預案,對事件進行響應和處置;
c) 應嚴格管理授權測試方,要求其按照項目要求,在授權的時間范圍內,對授權范圍內的測試對象,使用授權范圍內的測試方法開展測試工作;
d) 應嚴格要求授權測試方對測試中可能獲取的少量的網絡拓撲信息、應用代碼、漏洞等嚴格保密,不得用于其他途徑;
e) 應僅支持授權測試方查看自己提交的漏洞信息;
f) 當眾測需求方和授權測試方對漏洞的判定不一致時,應承擔糾紛處理職責;
g) 應建立授權測試方的信譽或積分體系,對不符合相關法律法規及不按眾測需求方要求進行測試的測試授權方進行處罰及清退;對違反相關法律法規等損害眾測需求方利益的行為,應協助眾測需求方及執法機關,對測試授權方的非法測試行為及其造成的后果進行取證;
h) 應協助眾測審計方,在眾測過程中進行審計及監督。
3、授權測試方要求如下:
a) 應嚴格遵守授權測試方行為準則,嚴格按照眾測項目要求開展測試;
b) 不應私自越界訪問/篡改數據信息;
c) 不應超出項目測試范圍對內部網絡使用掃描器等自動化工具;
d) 未經許可不應進行高風險操作,包括但不僅限于:服務器提權操作等;
e) 不應實施對業務造成穩定性、可用性受損的操作行為;
f) 未經許可不應對交易數據、用戶信息等敏感信息進行下載/拖取,收到對數據拖取行為的報警時應立即停止當前動作,并配合眾測組織方和眾測審計方等進行責任追溯;
g) 應對測試中可能獲取的少量的網絡拓撲信息、應用代碼、數據、漏洞等嚴格保密,不得用于其他途徑;
h) 應提交真實完整且描述清晰的漏洞信息,上報的安全漏洞宜按照 GB/T 28458—2020 的要求進行標識與描述;
-
可協助眾測需求方、眾測組織方完成漏洞的復測工作。
4、眾測審計方要求如下:
a) 應對測試授權方的行為進行審計,重點檢查測試授權方是否有未授權的入侵網絡、干擾網絡正常功能、竊取網絡數據等危害網絡安全的行為或活動,并保存原始日志滿足追溯要求;
b) 應記錄并加密存儲授權測試方的測試流量,以便進行回溯分析及后期取證;
c) 發現異常時,應及時通知眾測需求方和眾測組織方;
d) 應負責測試過程中,授權測試方代理賬號的管理工作,包括賬號暫停、賬號恢復等;
e) 突發事件時,應協助眾測需求方進行突發事件的溯源分析和應急響應工作。
后期階段服務要求
1、眾測需求方要求如下:
a) 應及時進行分析總結,持續提升安全防護能力;
b) 應對測試對象進行復檢,確保木馬后門等已清理,漏洞已修復。
2、眾測組織方要求如下:
a) 應及時交付安全眾測報告,安全眾測報告內容包括但不限于:安全測試對象、測試時間、測 試人員、測試對象整體安全情況分析、漏洞分布及分析、漏洞信息、漏洞修復建議、安全防 護建議等;
b) 應按約定及時刪除眾測需求方測試對象相關材料、漏洞等敏感信息;
c) 可協助眾測需求方對測試對象進行復檢。
3、授權測試方要求如下:
授權測試方應及時刪除眾測實施過程中上傳的木馬、后門程序等工具。
4、眾測審計方要求如下:
a) 應對測試過程中留存的日志等記錄進行分析;
b) 安全審計的內容包括:
1、應審計授權測試方是否按照要求,使用授權的測試接入途徑進行安全測試;
2、應審計整體的測試過程,量化授權測試方測試工作量、測試對象范圍;
3、應審計授權測試方使用的攻擊手法;
4、審計授權測試方的高風險行為操作(如撞庫攻擊、批量賬號登錄、掃描器攻擊,未授權 下載等),溯源攻擊過程。
c) 審計結果應以審計報告的形式交付給眾測需求方或眾測組織方,說明該次安全測試審計情況;
d) 安全審計報告的內容應包括測試范圍、測試時間、測試人員、審計內容、及審計結果等;
e) 眾測審計方由眾測組織方承擔時,在約定時間內,應支持引入第三方審計機構進行審計和監督;
f) 應按約定及時刪除眾測過程中的測試流量等敏感信息。
