2022年9月27日,全国信息安全标准化技术委员会《信息安全技术 网络安全众测服务要求》(征求意见稿)(以下简称《众测要求》),面向社会征求意见。
《众测要求》确立了网络安全众测服务的角色及其职责,描述了服务流程,规定了服务要求,众测需求方、众测组织方、授权测试方和众测审计方开展网络安全众测服务时使用。
《众测要求》中的“网络安全众测服务”是指,以自愿的方式组织非特定的自然人或组织,在审计及监督下,对网络产品和系统等开展漏洞发现等安全测试的过程。“网络安全众测服务平台”是指,由众测组织方运营并通过在线方式提供网络安全众测服务的平台。
《众测要求》,网络安全众测服务涉及的角色包括众测需求方、众测组织方、授权测试方、众测审计方,各角色的在网络安全众测服务过程中,众测需求方与众测组织方之间通过授权委托建立众测服务关系,众测组织方组织具备测试条件和能力的授权测试方实施众测,并由众测审计方对众测过程进行审计。
众测审计方一般根据众测需求方的需要由具备众测审计条件和能力的第三方承担,对授权测试方的审计可由众测组织方承担。
其中,众测需求方的职责为:授权众测组织方提供安全众测服务,明确服务要求。
众测组织方的职责包括:
-
验证众测需求方的测试需求;
-
选择满足众测需求方要求的授权测试方;
-
管理授权测试方,包括制定并发布授权测试方行为准则等相关要求,对授权测试方进行身份核验等;
-
如果众测需求方提出第三方审计要求,配合第三方对众测过程中的授权测试方行为、流量等进行审计;
-
向众测需求方交付众测结果;
-
众测环境的运营和管理。
授权测试方的职责为:在众测需求方指定的测试范围及测试时间内进行测试,并在测试结束后交付测试中发现的安全漏洞及安全众测报告。
众测审计方的职责包括:
-
对众测服务过程进行全流程审计及监督;
-
第三方审计对众测组织方及由众测组织方组织开展的众测服务活动进行审计及监督;
-
客观、公正出具审计报告。
另外,网络安全众测服务过程中面临的主要安全风险包括:
-
授权测试方行为不可控的风险:网络安全众测服务的授权测试方来自各种非特定的自然人或组织,若无法对众测过程进行有效管理、监督与审计,授权测试方在众测过程中可能会进行违规操作;
-
系统正常运行受到影响的风险:在安全众测时,需要模拟黑客对设备和系统进行一定的攻击测试工作,可能对系统的运行造成影响,甚至可能会影响业务连续性;
-
敏感信息泄露的风险:授权测试方可能会获取到被测系统的的业务数据或状态信息,如用户身份信息、用户账号信息、网络拓扑、互联网协议地址、业务流程、安全机制、安全漏洞信息等,存在敏感信息泄露风险。