本文主要基于《信息安全技術(shù) 網(wǎng)絡(luò)安全眾測(cè)服務(wù)要求》征求意見稿進(jìn)行學(xué)習(xí)整理。
基礎(chǔ)術(shù)語(yǔ)
網(wǎng)絡(luò)安全眾測(cè)服務(wù)(crowdsourcing security test service):它以自愿的方式組織非特定的自然人或組織,在審計(jì)及監(jiān)督下,對(duì)網(wǎng)絡(luò)產(chǎn)品和系統(tǒng)等開展漏洞發(fā)現(xiàn)等安全測(cè)試的過(guò)程。
網(wǎng)絡(luò)安全眾測(cè)服務(wù)平臺(tái)(crowdsourcing security test service platform):由眾測(cè)組織方運(yùn)營(yíng)并通過(guò)在線方式提供網(wǎng)絡(luò)安全眾測(cè)服務(wù)的平臺(tái)。
眾測(cè)組織方(crowdsourcing test provider):在眾測(cè)需求方授權(quán)下,組織符合眾測(cè)需求方要求的授權(quán)測(cè)試方開展網(wǎng)絡(luò)安全眾測(cè)服務(wù)的組織。
授權(quán)測(cè)試方(authorized test entity):獲得眾測(cè)組織方授權(quán)對(duì)測(cè)試對(duì)象進(jìn)行安全測(cè)試的自然人或組織。
眾測(cè)審計(jì)方(crowdsourcing test auditing entity):網(wǎng)絡(luò)安全眾測(cè)服務(wù)過(guò)程中進(jìn)行審計(jì)及監(jiān)督的組織。
服務(wù)流程
安全眾測(cè)服務(wù)流程可分為準(zhǔn)備階段、實(shí)施階段、后處理階段三個(gè)階段。
網(wǎng)絡(luò)安全眾測(cè)服務(wù)流程包括以下幾個(gè)階段:
準(zhǔn)備階段:眾測(cè)需求方和眾測(cè)組織方相互協(xié)商,明確雙方權(quán)利義務(wù);眾測(cè)需求方向眾測(cè)組織方明確授權(quán)并授權(quán)眾測(cè)組織方組織符合要求的授權(quán)測(cè)試方實(shí)施眾測(cè);眾測(cè)組織方按照眾測(cè)需求方的要求發(fā)布眾測(cè)項(xiàng)目,在獲得眾測(cè)需求方授權(quán)的前提下組織授權(quán)測(cè)試方;授權(quán)測(cè)試方做好測(cè)試準(zhǔn)備;眾測(cè)審計(jì)方做好審計(jì)準(zhǔn)備。
實(shí)施階段:授權(quán)測(cè)試方通過(guò)獲得授權(quán)的安全接入方式執(zhí)行測(cè)試,按要求提交漏洞;眾測(cè)組織方對(duì)漏洞進(jìn)行初步審核后交付給眾測(cè)需求方;眾測(cè)需求方對(duì)漏洞進(jìn)行審核確認(rèn);眾測(cè)審計(jì)方對(duì)眾測(cè)過(guò)程進(jìn)行審計(jì)和監(jiān)督。
后處理階段:在約定的測(cè)試時(shí)間結(jié)束后,眾測(cè)組織方向眾測(cè)需求方提供眾測(cè)服務(wù)報(bào)告;眾測(cè)審計(jì)方提交審計(jì)報(bào)告
角色交互
安全眾測(cè)服務(wù)涉及的角色包括眾測(cè)需求方、眾測(cè)組織方、授權(quán)測(cè)試方、眾測(cè)審計(jì)方。
在安全眾測(cè)服務(wù)過(guò)程中,眾測(cè)需求方與眾測(cè)組織方之間通過(guò)授權(quán)委托建立眾測(cè)服務(wù)關(guān)系,眾測(cè)組織方組織具備測(cè)試條件和能力的授權(quán)測(cè)試方實(shí)施眾測(cè),并由眾測(cè)審計(jì)方對(duì)眾測(cè)過(guò)程進(jìn)行審計(jì)。眾測(cè)審計(jì)方一般根據(jù)眾測(cè)需求方的需要由具備眾測(cè)審計(jì)條件和能力的第三方承擔(dān),對(duì)授權(quán)測(cè)試方的審計(jì)可由眾測(cè)組織方承擔(dān)。
準(zhǔn)備階段服務(wù)要求
1、眾測(cè)需求方要求如下:
a) 應(yīng)確定眾測(cè)服務(wù)需求,包括但不限于:測(cè)試對(duì)象、測(cè)試時(shí)間、測(cè)試人員要求、測(cè)試人員行為準(zhǔn)則、是否第三方審計(jì)等眾測(cè)項(xiàng)目實(shí)施參數(shù);
b) 應(yīng)建立測(cè)試過(guò)程中安全監(jiān)控機(jī)制及突發(fā)事件應(yīng)急預(yù)案,協(xié)調(diào)人員做好測(cè)試期間的安全監(jiān)控和應(yīng)急響應(yīng);
c) 應(yīng)提供對(duì)測(cè)試對(duì)象擁有所有權(quán)的證明;
d) 應(yīng)對(duì)測(cè)試對(duì)象進(jìn)行測(cè)試授權(quán);
e) 宜根據(jù)眾測(cè)服務(wù)需求挑選符合條件的授權(quán)測(cè)試方,也可委托眾測(cè)組織方挑選。
2、眾測(cè)組織方要求如下:
a) 應(yīng)制定并公開發(fā)布授權(quán)測(cè)試方行為準(zhǔn)則,授權(quán)測(cè)試方行為準(zhǔn)則應(yīng)滿足附錄A的要求;
b) 應(yīng)制定項(xiàng)目應(yīng)急預(yù)案;
c) 網(wǎng)絡(luò)安全眾測(cè)服務(wù)宜依托網(wǎng)絡(luò)安全眾測(cè)服務(wù)平臺(tái)開展,
d) 依托網(wǎng)絡(luò)安全眾測(cè)服務(wù)平臺(tái)提供網(wǎng)絡(luò)安全眾測(cè)服務(wù)的,應(yīng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求履行安全保護(hù)義務(wù)并通過(guò)等級(jí)保護(hù)測(cè)評(píng),所運(yùn)營(yíng)的眾測(cè)服務(wù)平臺(tái)等級(jí)保護(hù)定級(jí)不宜低于三級(jí);
e) 應(yīng)在眾測(cè)項(xiàng)目正式實(shí)施前與眾測(cè)需求方、眾測(cè)審計(jì)方簽訂眾測(cè)授權(quán)書及安全保密協(xié)議,安全保密協(xié)議內(nèi)容包括但不限于:1、測(cè)試對(duì)象、測(cè)試過(guò)程、測(cè)試結(jié)果等眾測(cè)項(xiàng)目信息;2、網(wǎng)絡(luò)拓?fù)湫畔ⅰ?yīng)用代碼等;3、眾測(cè)中發(fā)現(xiàn)的漏洞信息等。
f) 應(yīng)對(duì)眾測(cè)需求方進(jìn)行認(rèn)證以及對(duì)測(cè)試對(duì)象進(jìn)行所有權(quán)校驗(yàn),確保眾測(cè)需求方測(cè)試內(nèi)容合法。所有權(quán)校驗(yàn)宜支持網(wǎng)站、移動(dòng)應(yīng)用程序方式;
g) 應(yīng)與眾測(cè)需求方明確眾測(cè)服務(wù)需求;
h) 應(yīng)按照眾測(cè)需求方的需求生成眾測(cè)項(xiàng)目,生成項(xiàng)目的關(guān)鍵要素包括:測(cè)試時(shí)間、測(cè)試范圍、測(cè)試要求、漏洞評(píng)級(jí)標(biāo)準(zhǔn)、驗(yàn)收標(biāo)準(zhǔn);
i) 應(yīng)支持眾測(cè)需求方按測(cè)試時(shí)間、技能、信譽(yù)、排名等多維度挑選授權(quán)測(cè)試方進(jìn)行測(cè)試或?qū)?bào)名的授權(quán)測(cè)試方進(jìn)行篩選;也可受眾測(cè)需求方委托為其選擇合適的授權(quán)測(cè)試方;
j) 應(yīng)根據(jù)眾測(cè)需求方要求支持眾測(cè)審計(jì)方完成代理賬號(hào)創(chuàng)建、配置等工作;
k) 應(yīng)對(duì)授權(quán)測(cè)試方進(jìn)行實(shí)名認(rèn)證和背景調(diào)查。應(yīng)要求授權(quán)測(cè)試方提供身份證號(hào)等相關(guān)信息并進(jìn)行核實(shí);為方便眾測(cè)服務(wù)的開展,可要求授權(quán)測(cè)試方提供手機(jī)號(hào)或其他聯(lián)系方式;
l) 應(yīng)嚴(yán)格管理授權(quán)測(cè)試方,管理內(nèi)容包括但不僅限于實(shí)名認(rèn)證、技能評(píng)估、任務(wù)完成情況、近三年內(nèi)無(wú)違法違規(guī)紀(jì)錄審核等;
m) 針對(duì)授權(quán)測(cè)試方的個(gè)人信息處理活動(dòng)應(yīng)遵循GB/T 35273的相關(guān)要求;
n) 應(yīng)根據(jù)授權(quán)測(cè)試方的歷史漏洞提交情況,分析其技能、擅長(zhǎng)挖掘的漏洞類型、漏洞級(jí)別、漏洞報(bào)告質(zhì)量等,審查授權(quán)測(cè)試方以保證獲得良好的測(cè)試效果,并判定是否符合眾測(cè)要求。同時(shí)應(yīng)建立授權(quán)測(cè)試方的信譽(yù)體系及優(yōu)勝劣汰機(jī)制,對(duì)不符合相關(guān)法律法規(guī)及不按眾測(cè)需求方要求進(jìn)行測(cè)試的授權(quán)測(cè)試方進(jìn)行處罰及清退,確保身份可信、技能可行;
o) 宜支持授權(quán)測(cè)試方填寫多維度的屬性信息,如技能列表及擅長(zhǎng)挖掘的漏洞類型等;
p) 應(yīng)面向授權(quán)測(cè)試方定期開展培訓(xùn),培訓(xùn)的內(nèi)容宜包括項(xiàng)目測(cè)試范圍、項(xiàng)目測(cè)試時(shí)間、測(cè)試行為準(zhǔn)則、安全保密要求等
3、授權(quán)測(cè)試方要求如下:
a) 應(yīng)遵守眾測(cè)項(xiàng)目的相關(guān)要求,包括項(xiàng)目測(cè)試范圍、項(xiàng)目測(cè)試時(shí)間、項(xiàng)目測(cè)試行為準(zhǔn)則、安全保密要求等;
b) 應(yīng)提供準(zhǔn)確的身份信息,并配合眾測(cè)組織方完成身份、技能認(rèn)證;
c) 宜提供詳細(xì)的技能列表及擅長(zhǎng)挖掘的漏洞類型等信息。
4、眾測(cè)審計(jì)方要求如下:
a) 應(yīng)成立項(xiàng)目實(shí)施小組和應(yīng)急小組,確定項(xiàng)目負(fù)責(zé)人;
b) 應(yīng)完成眾測(cè)審計(jì)的技術(shù)準(zhǔn)備工作,包括系統(tǒng)環(huán)境搭建、穩(wěn)定性測(cè)試、安全接入賬號(hào)的創(chuàng)建與配置等。
實(shí)施階段服務(wù)要求
1、眾測(cè)需求方要求如下:
a) 應(yīng)做好測(cè)試期間的系統(tǒng)、網(wǎng)絡(luò)等的安全監(jiān)控工作,發(fā)現(xiàn)重大安全攻擊事件或系統(tǒng)服務(wù)中斷等突發(fā)事件,及時(shí)啟動(dòng)相應(yīng)的應(yīng)急流程;
b) 眾測(cè)實(shí)施過(guò)程中若發(fā)生安全事件,應(yīng)做好應(yīng)急響應(yīng)工作,包括事件報(bào)告、事件分析、事件處置、評(píng)估總結(jié)等工作;
c) 漏洞處置、發(fā)布、跟蹤應(yīng)符合 GB/T 30276—2020 的相關(guān)要求;
d) 應(yīng)跟蹤漏洞的處置修復(fù),對(duì)于高危及以上的漏洞,組織相關(guān)人員立即修復(fù)漏洞,并協(xié)調(diào)漏洞復(fù)檢工作;
e) 應(yīng)嚴(yán)格按照協(xié)議對(duì)授權(quán)測(cè)試方提交的漏洞進(jìn)行審核確認(rèn)。
2、眾測(cè)組織方要求如下:
a) 應(yīng)對(duì)漏洞信息進(jìn)行加密存儲(chǔ);
b) 發(fā)生網(wǎng)絡(luò)安全事件時(shí),應(yīng)及時(shí)啟動(dòng)應(yīng)急預(yù)案,對(duì)事件進(jìn)行響應(yīng)和處置;
c) 應(yīng)嚴(yán)格管理授權(quán)測(cè)試方,要求其按照項(xiàng)目要求,在授權(quán)的時(shí)間范圍內(nèi),對(duì)授權(quán)范圍內(nèi)的測(cè)試對(duì)象,使用授權(quán)范圍內(nèi)的測(cè)試方法開展測(cè)試工作;
d) 應(yīng)嚴(yán)格要求授權(quán)測(cè)試方對(duì)測(cè)試中可能獲取的少量的網(wǎng)絡(luò)拓?fù)湫畔ⅰ?yīng)用代碼、漏洞等嚴(yán)格保密,不得用于其他途徑;
e) 應(yīng)僅支持授權(quán)測(cè)試方查看自己提交的漏洞信息;
f) 當(dāng)眾測(cè)需求方和授權(quán)測(cè)試方對(duì)漏洞的判定不一致時(shí),應(yīng)承擔(dān)糾紛處理職責(zé);
g) 應(yīng)建立授權(quán)測(cè)試方的信譽(yù)或積分體系,對(duì)不符合相關(guān)法律法規(guī)及不按眾測(cè)需求方要求進(jìn)行測(cè)試的測(cè)試授權(quán)方進(jìn)行處罰及清退;對(duì)違反相關(guān)法律法規(guī)等損害眾測(cè)需求方利益的行為,應(yīng)協(xié)助眾測(cè)需求方及執(zhí)法機(jī)關(guān),對(duì)測(cè)試授權(quán)方的非法測(cè)試行為及其造成的后果進(jìn)行取證;
h) 應(yīng)協(xié)助眾測(cè)審計(jì)方,在眾測(cè)過(guò)程中進(jìn)行審計(jì)及監(jiān)督。
3、授權(quán)測(cè)試方要求如下:
a) 應(yīng)嚴(yán)格遵守授權(quán)測(cè)試方行為準(zhǔn)則,嚴(yán)格按照眾測(cè)項(xiàng)目要求開展測(cè)試;
b) 不應(yīng)私自越界訪問/篡改數(shù)據(jù)信息;
c) 不應(yīng)超出項(xiàng)目測(cè)試范圍對(duì)內(nèi)部網(wǎng)絡(luò)使用掃描器等自動(dòng)化工具;
d) 未經(jīng)許可不應(yīng)進(jìn)行高風(fēng)險(xiǎn)操作,包括但不僅限于:服務(wù)器提權(quán)操作等;
e) 不應(yīng)實(shí)施對(duì)業(yè)務(wù)造成穩(wěn)定性、可用性受損的操作行為;
f) 未經(jīng)許可不應(yīng)對(duì)交易數(shù)據(jù)、用戶信息等敏感信息進(jìn)行下載/拖取,收到對(duì)數(shù)據(jù)拖取行為的報(bào)警時(shí)應(yīng)立即停止當(dāng)前動(dòng)作,并配合眾測(cè)組織方和眾測(cè)審計(jì)方等進(jìn)行責(zé)任追溯;
g) 應(yīng)對(duì)測(cè)試中可能獲取的少量的網(wǎng)絡(luò)拓?fù)湫畔ⅰ?yīng)用代碼、數(shù)據(jù)、漏洞等嚴(yán)格保密,不得用于其他途徑;
h) 應(yīng)提交真實(shí)完整且描述清晰的漏洞信息,上報(bào)的安全漏洞宜按照 GB/T 28458—2020 的要求進(jìn)行標(biāo)識(shí)與描述;
-
可協(xié)助眾測(cè)需求方、眾測(cè)組織方完成漏洞的復(fù)測(cè)工作。
4、眾測(cè)審計(jì)方要求如下:
a) 應(yīng)對(duì)測(cè)試授權(quán)方的行為進(jìn)行審計(jì),重點(diǎn)檢查測(cè)試授權(quán)方是否有未授權(quán)的入侵網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的行為或活動(dòng),并保存原始日志滿足追溯要求;
b) 應(yīng)記錄并加密存儲(chǔ)授權(quán)測(cè)試方的測(cè)試流量,以便進(jìn)行回溯分析及后期取證;
c) 發(fā)現(xiàn)異常時(shí),應(yīng)及時(shí)通知眾測(cè)需求方和眾測(cè)組織方;
d) 應(yīng)負(fù)責(zé)測(cè)試過(guò)程中,授權(quán)測(cè)試方代理賬號(hào)的管理工作,包括賬號(hào)暫停、賬號(hào)恢復(fù)等;
e) 突發(fā)事件時(shí),應(yīng)協(xié)助眾測(cè)需求方進(jìn)行突發(fā)事件的溯源分析和應(yīng)急響應(yīng)工作。
后期階段服務(wù)要求
1、眾測(cè)需求方要求如下:
a) 應(yīng)及時(shí)進(jìn)行分析總結(jié),持續(xù)提升安全防護(hù)能力;
b) 應(yīng)對(duì)測(cè)試對(duì)象進(jìn)行復(fù)檢,確保木馬后門等已清理,漏洞已修復(fù)。
2、眾測(cè)組織方要求如下:
a) 應(yīng)及時(shí)交付安全眾測(cè)報(bào)告,安全眾測(cè)報(bào)告內(nèi)容包括但不限于:安全測(cè)試對(duì)象、測(cè)試時(shí)間、測(cè) 試人員、測(cè)試對(duì)象整體安全情況分析、漏洞分布及分析、漏洞信息、漏洞修復(fù)建議、安全防 護(hù)建議等;
b) 應(yīng)按約定及時(shí)刪除眾測(cè)需求方測(cè)試對(duì)象相關(guān)材料、漏洞等敏感信息;
c) 可協(xié)助眾測(cè)需求方對(duì)測(cè)試對(duì)象進(jìn)行復(fù)檢。
3、授權(quán)測(cè)試方要求如下:
授權(quán)測(cè)試方應(yīng)及時(shí)刪除眾測(cè)實(shí)施過(guò)程中上傳的木馬、后門程序等工具。
4、眾測(cè)審計(jì)方要求如下:
a) 應(yīng)對(duì)測(cè)試過(guò)程中留存的日志等記錄進(jìn)行分析;
b) 安全審計(jì)的內(nèi)容包括:
1、應(yīng)審計(jì)授權(quán)測(cè)試方是否按照要求,使用授權(quán)的測(cè)試接入途徑進(jìn)行安全測(cè)試;
2、應(yīng)審計(jì)整體的測(cè)試過(guò)程,量化授權(quán)測(cè)試方測(cè)試工作量、測(cè)試對(duì)象范圍;
3、應(yīng)審計(jì)授權(quán)測(cè)試方使用的攻擊手法;
4、審計(jì)授權(quán)測(cè)試方的高風(fēng)險(xiǎn)行為操作(如撞庫(kù)攻擊、批量賬號(hào)登錄、掃描器攻擊,未授權(quán) 下載等),溯源攻擊過(guò)程。
c) 審計(jì)結(jié)果應(yīng)以審計(jì)報(bào)告的形式交付給眾測(cè)需求方或眾測(cè)組織方,說(shuō)明該次安全測(cè)試審計(jì)情況;
d) 安全審計(jì)報(bào)告的內(nèi)容應(yīng)包括測(cè)試范圍、測(cè)試時(shí)間、測(cè)試人員、審計(jì)內(nèi)容、及審計(jì)結(jié)果等;
e) 眾測(cè)審計(jì)方由眾測(cè)組織方承擔(dān)時(shí),在約定時(shí)間內(nèi),應(yīng)支持引入第三方審計(jì)機(jī)構(gòu)進(jìn)行審計(jì)和監(jiān)督;
f) 應(yīng)按約定及時(shí)刪除眾測(cè)過(guò)程中的測(cè)試流量等敏感信息。
