2022年9月27日,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會《信息安全技術(shù) 網(wǎng)絡(luò)安全眾測服務(wù)要求》(征求意見稿)(以下簡稱《眾測要求》),面向社會征求意見。
《眾測要求》確立了網(wǎng)絡(luò)安全眾測服務(wù)的角色及其職責(zé),描述了服務(wù)流程,規(guī)定了服務(wù)要求,眾測需求方、眾測組織方、授權(quán)測試方和眾測審計(jì)方開展網(wǎng)絡(luò)安全眾測服務(wù)時使用。
《眾測要求》中的“網(wǎng)絡(luò)安全眾測服務(wù)”是指,以自愿的方式組織非特定的自然人或組織,在審計(jì)及監(jiān)督下,對網(wǎng)絡(luò)產(chǎn)品和系統(tǒng)等開展漏洞發(fā)現(xiàn)等安全測試的過程?!熬W(wǎng)絡(luò)安全眾測服務(wù)平臺”是指,由眾測組織方運(yùn)營并通過在線方式提供網(wǎng)絡(luò)安全眾測服務(wù)的平臺。
《眾測要求》,網(wǎng)絡(luò)安全眾測服務(wù)涉及的角色包括眾測需求方、眾測組織方、授權(quán)測試方、眾測審計(jì)方,各角色的在網(wǎng)絡(luò)安全眾測服務(wù)過程中,眾測需求方與眾測組織方之間通過授權(quán)委托建立眾測服務(wù)關(guān)系,眾測組織方組織具備測試條件和能力的授權(quán)測試方實(shí)施眾測,并由眾測審計(jì)方對眾測過程進(jìn)行審計(jì)。
眾測審計(jì)方一般根據(jù)眾測需求方的需要由具備眾測審計(jì)條件和能力的第三方承擔(dān),對授權(quán)測試方的審計(jì)可由眾測組織方承擔(dān)。
其中,眾測需求方的職責(zé)為:授權(quán)眾測組織方提供安全眾測服務(wù),明確服務(wù)要求。
眾測組織方的職責(zé)包括:
-
驗(yàn)證眾測需求方的測試需求;
-
選擇滿足眾測需求方要求的授權(quán)測試方;
-
管理授權(quán)測試方,包括制定并發(fā)布授權(quán)測試方行為準(zhǔn)則等相關(guān)要求,對授權(quán)測試方進(jìn)行身份核驗(yàn)等;
-
如果眾測需求方提出第三方審計(jì)要求,配合第三方對眾測過程中的授權(quán)測試方行為、流量等進(jìn)行審計(jì);
-
向眾測需求方交付眾測結(jié)果;
-
眾測環(huán)境的運(yùn)營和管理。
授權(quán)測試方的職責(zé)為:在眾測需求方指定的測試范圍及測試時間內(nèi)進(jìn)行測試,并在測試結(jié)束后交付測試中發(fā)現(xiàn)的安全漏洞及安全眾測報(bào)告。
眾測審計(jì)方的職責(zé)包括:
-
對眾測服務(wù)過程進(jìn)行全流程審計(jì)及監(jiān)督;
-
第三方審計(jì)對眾測組織方及由眾測組織方組織開展的眾測服務(wù)活動進(jìn)行審計(jì)及監(jiān)督;
-
客觀、公正出具審計(jì)報(bào)告。
另外,網(wǎng)絡(luò)安全眾測服務(wù)過程中面臨的主要安全風(fēng)險(xiǎn)包括:
-
授權(quán)測試方行為不可控的風(fēng)險(xiǎn):網(wǎng)絡(luò)安全眾測服務(wù)的授權(quán)測試方來自各種非特定的自然人或組織,若無法對眾測過程進(jìn)行有效管理、監(jiān)督與審計(jì),授權(quán)測試方在眾測過程中可能會進(jìn)行違規(guī)操作;
-
系統(tǒng)正常運(yùn)行受到影響的風(fēng)險(xiǎn):在安全眾測時,需要模擬黑客對設(shè)備和系統(tǒng)進(jìn)行一定的攻擊測試工作,可能對系統(tǒng)的運(yùn)行造成影響,甚至可能會影響業(yè)務(wù)連續(xù)性;
-
敏感信息泄露的風(fēng)險(xiǎn):授權(quán)測試方可能會獲取到被測系統(tǒng)的的業(yè)務(wù)數(shù)據(jù)或狀態(tài)信息,如用戶身份信息、用戶賬號信息、網(wǎng)絡(luò)拓?fù)?、互?lián)網(wǎng)協(xié)議地址、業(yè)務(wù)流程、安全機(jī)制、安全漏洞信息等,存在敏感信息泄露風(fēng)險(xiǎn)。