2022信息安全技術網絡安全眾測服務要求

信息安全技術網絡安全眾測服務要求II目 次前言 III范圍 1規(guī)性用1術和1概述 2色職責 2務3全4服要求 4備段務4施段務5處階服要求 7附錄A規(guī)性）授測試行準則 8附錄B資性）網安全測務臺能 911信息安全技術 網絡安全眾測服務要求范圍本文件確立了網絡安全眾測服務的角色及其職責，描述了服務流程，規(guī)定了服務要求。本文件適用于眾測需求方、眾測組織方、授權測試方和眾測審計方開展網絡安全眾測服務時使用。（GB/T25069—2020 安全術 術語GB/T28458—2020 安全術 網安漏標識描規(guī)范GB/T30276—2020 安全術 網安漏管理范GB/T35273 息安術 人息全GB/T25069—2022和GB/T28458—2020界定的以及下列術語和定義適用于本文件。網絡全測務 crowdsourcingsecuritytestservice網絡全測務臺 crowdsourcingsecuritytestserviceplatform由眾測組織方（3.4）運營并通過在線方式提供網絡安全眾測服務（3.1）的平臺。眾測求方 crowdsourcingtestdemand-side需要網絡安全眾測服務（3.1）的組織。試方（3.5）（3.1）。眾測織方 crowdsourcingtestprovider22授權試方 authorizedtestentity獲得眾測組織方（3.5）授權對測試對象進行安全測試的自然人或組織。眾測計方 crowdsourcingtestauditingentity網絡安全眾測服務（3.1）過程中進行審計及監(jiān)督的組織。第三審計 third-partyauditing獨立于眾測需求方（3.3）和眾測組織方（3.4）的有公信力的外部組織提供的審計。概述圖1 網絡全測務色其交關系4.1.2至4.1.5節(jié)。眾測需求方的職責為：授權眾測組織方提供安全眾測服務，明確服務要求。33眾測組織方的職責包括：眾測審計方的職責包括：授權測試方測試過程審計測試實施，發(fā)現并提交漏洞漏洞初步審核處理發(fā)布眾測項目眾測授權授權測試方測試過程審計測試實施，發(fā)現并提交漏洞漏洞初步審核處理發(fā)布眾測項目眾測授權眾測審計方眾測組織方眾測需求方結果交付審計報告出具漏洞確認審計準備接受眾測項目準備階段實施階段后處理階段圖2 網絡全測務后處理階段網絡安全眾測服務流程包括以下幾個階段：——44————網絡安全眾測服務過程中面臨的主要安全風險包括：操作；5眾測需求方要求如下：眾測組織方要求如下：AB；55——測試對象、測試過程、測試結果等眾測項目信息；——網絡拓撲信息、應用代碼等；——眾測中發(fā)現的漏洞信息等。7.1.1a）；GB/T35273授權測試方要求如下：眾測審計方要求如下：置等。眾測需求方要求如下：66GB/T30276—2020眾測組織方要求如下：應建立授權測試方的信譽或積分體系，對不符合相關法律法規(guī)及不按眾測需求方要求進行測授權測試方要求如下：GB/T28458—2020行標識與描述；眾測審計方要求如下：77眾測需求方要求如下：眾測組織方要求如下：授權測試方應及時刪除眾測實施過程中上傳的木馬、后門程序等工具。眾測審計方要求如下：——應審計授權測試方是否按照要求，使用授權的測試接入途徑進行安全測試；——應審計整體的測試過程，量化授權測試方測試工作量、測試對象范圍；——應審計授權測試方使用的攻擊手法；——（）g)88附錄A（規(guī)范性）授權測試方行為準則授權測試方參與網絡安全眾測項目應遵守的行為準則如下：99附錄B（資料性）網絡安全眾測服務平臺功能概述眾測需求模塊功能可包括眾測需求方賬戶管理、眾測需求管理、漏洞驗收。能夠對需要服務的眾測需求方賬號進行管理，設置查看漏洞等數據的權限。本項功能包括：支持漏洞實時查看，眾測需求方可進行確認漏洞、忽略漏洞等驗收操作。概述眾測組織模塊的功能可包括眾測項目管理、授權測試方管理、漏洞審核處理。本項功能包括：1010本項功能包括：技能管理：采用綜合能力評定方法審查授權測試方以保證其挑選到合適的授權測試方并獲得（）漏洞已復測表示眾測組織方在眾測需求方確認漏洞修復后完成對漏洞的再次核查，再次通過概述授權測試模塊的功能可包括授權測試方賬戶管理、授權測試方眾測項目管理、漏洞提交。本項功能包括：身份/本項功能包括：本項功能包括：1111授權測試方提交漏洞后可在后臺實時查看漏洞的處理進展及漏洞的狀態(tài)。若提交