2021金融網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全眾測實(shí)施指南

附件2JRICS35.240.40JRCCSA11中華人民共和國金融行業(yè)標(biāo)準(zhǔn)JR/T0214—2021金融網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全眾測實(shí)施指南FinancialcybersecurityGuidelinesofimplementationforcrowdsourcedcybersecuritytesting2021-02-10發(fā)布 2021-02-10實(shí)施中國人民銀行 發(fā)布JR/T0214—2021目??次前言 II引言 III范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 1眾測通則 1眾測準(zhǔn)備 3眾測實(shí)施 6分析與報(bào)告編制 9附錄A（資料性）網(wǎng)絡(luò)安全眾測協(xié)議書 12附錄B（資料性）測試方行為準(zhǔn)則參考 14附錄C（資料性）金融行業(yè)漏洞評(píng)級(jí)參考 15附錄D（資料性）網(wǎng)絡(luò)安全眾測授權(quán)委托書 16參考文獻(xiàn) 17IJR/T0214—2021引??言本文件是在收集、分析評(píng)估金融機(jī)構(gòu)實(shí)施網(wǎng)絡(luò)安全眾測流程以及面臨的安全風(fēng)險(xiǎn)點(diǎn)的基礎(chǔ)上，形成的一套網(wǎng)絡(luò)安全眾測實(shí)施流程指南，內(nèi)容涉及網(wǎng)絡(luò)安全眾測組織實(shí)施架構(gòu)、網(wǎng)絡(luò)安全眾測實(shí)施流程、網(wǎng)絡(luò)安全眾測實(shí)施流程中各參與方的職責(zé)。本文件旨在規(guī)范金融機(jī)構(gòu)網(wǎng)絡(luò)安全眾測的實(shí)施流程，指導(dǎo)金融機(jī)構(gòu)在安全可控的前提下開展網(wǎng)絡(luò)安全眾測。本文件可作為金融機(jī)構(gòu)網(wǎng)絡(luò)安全眾測實(shí)施方法的依據(jù)。IIIJR/T0214—2021金融網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全眾測實(shí)施指南范圍（以下簡稱安全眾測本文件適用于開展安全眾測工作的境內(nèi)金融機(jī)構(gòu)。規(guī)范性引用文件本文件沒有規(guī)范性引用文件。術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1金融信息系統(tǒng)financialinformationsystem金融行業(yè)相關(guān)的應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件。[來源：GB/T29246—2017，2.39]3.2網(wǎng)絡(luò)安全眾測crowdsourcedsecuritytesting縮略語下列縮略語適用于本文件。OWASP：開放式Web應(yīng)用程序安全項(xiàng)目（OpenWebApplicationSecurityProject）SQL：結(jié)構(gòu)化查詢語言（StructuredQueryLanguage）眾測通則眾測作用1JR/T0214—2021重點(diǎn)關(guān)注的風(fēng)險(xiǎn)項(xiàng)測試人員身份背景信賴度測試人員行為系統(tǒng)運(yùn)行敏感信息泄漏眾測實(shí)施過程中，有可能造成被測系統(tǒng)的業(yè)務(wù)數(shù)據(jù)或狀態(tài)敏感信息泄露。如針對(duì)核心數(shù)據(jù)庫的SQLIP實(shí)施主體和職責(zé)眾測需求方眾測需求方（以下簡稱需求方）：是發(fā)起安全眾測、授權(quán)安全眾測行為的組織，一般為金融機(jī)構(gòu)。眾測組織方（以下簡稱組織方組織方宜具備如下條件：從事相關(guān)安全測試或檢測評(píng)估工作兩年以上，無違法記錄。法定代表人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄。具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度。對(duì)國家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。組織方宜履行如下義務(wù)：遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的安全眾測服務(wù)，保證服務(wù)質(zhì)量。保護(hù)在眾測活動(dòng)中知悉的國家秘密、商業(yè)秘密和個(gè)人隱私。保障測試人員的身份與背景可靠。眾測測試方（以下簡稱測試方是通過自身技術(shù)在需求方授權(quán)的前提下對(duì)測試目標(biāo)進(jìn)行安全測試，幫助需求方查找計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的漏洞的安全測試人員。測試方宜具備如下條件：2JR/T0214—202118眾測審計(jì)方（以下簡稱審計(jì)方審計(jì)方宜具備如下條件：從事相關(guān)安全測試審計(jì)或評(píng)估工作兩年以上，無違法記錄。法定代表人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄。具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度。對(duì)國家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。審計(jì)方與組織方、測試方宜相互權(quán)限隔離。審計(jì)方宜履行如下義務(wù)：保護(hù)在眾測活動(dòng)中知悉的國家秘密、商業(yè)秘密和個(gè)人隱私。履行安全保密義務(wù)和承擔(dān)相應(yīng)的法律責(zé)任。實(shí)施過程安全眾測實(shí)施過程包括眾測準(zhǔn)備、眾測實(shí)施和分析、報(bào)告編制三個(gè)過程。眾測準(zhǔn)備工作流程眾測準(zhǔn)備的基本工作流程見圖1。3JR/T0214—2021圖1眾測準(zhǔn)備工作流程圖主要任務(wù)項(xiàng)目啟動(dòng)輸入：網(wǎng)絡(luò)安全眾測協(xié)議書（見附錄A）。輸出/產(chǎn)品：項(xiàng)目計(jì)劃書。明確測試要求輸入：網(wǎng)絡(luò)安全眾測協(xié)議書。輸出/產(chǎn)品：測試要求。4JR/T0214—2021明確驗(yàn)收標(biāo)準(zhǔn)輸入：網(wǎng)絡(luò)安全眾測協(xié)議書。輸出/產(chǎn)品：驗(yàn)收標(biāo)準(zhǔn)。測試和審計(jì)授權(quán)在測試和審計(jì)授權(quán)任務(wù)中，需求方以書面的形式向組織方和審計(jì)方授權(quán)眾測和眾測審計(jì)。輸入：網(wǎng)絡(luò)安全眾測協(xié)議書。輸出/產(chǎn)品：網(wǎng)絡(luò)安全眾測授權(quán)委托書（見附錄D）。測試人員組織輸入：網(wǎng)絡(luò)安全眾測授權(quán)委托書。輸出/產(chǎn)品：安全測試人員清單。保密教育與保密協(xié)議輸入：網(wǎng)絡(luò)安全眾測授權(quán)委托書/安全測試人員清單。輸出/產(chǎn)品：培訓(xùn)記錄，安全保密協(xié)議。審計(jì)平臺(tái)準(zhǔn)備在審計(jì)平臺(tái)準(zhǔn)備任務(wù)中，審計(jì)方按照需求方對(duì)于安全眾測項(xiàng)目的要求，準(zhǔn)備管控與審計(jì)平臺(tái)環(huán)境，以及測試方安全接入所需的賬號(hào)口令等信息。輸入：網(wǎng)絡(luò)安全眾測授權(quán)委托書。輸出/產(chǎn)品：審計(jì)平臺(tái)及認(rèn)證信息。各實(shí)施主體職責(zé)眾測需求方5JR/T0214—2021宜考慮以下工作：成立眾測項(xiàng)目管理團(tuán)隊(duì)，包括項(xiàng)目負(fù)責(zé)人、漏洞審核處理負(fù)責(zé)人、安全監(jiān)測負(fù)責(zé)人。與組織方、審計(jì)方簽訂網(wǎng)絡(luò)安全眾測授權(quán)委托書及安全保密協(xié)議。眾測組織方宜考慮以下工作：成立項(xiàng)目實(shí)施小組和應(yīng)急小組，明確項(xiàng)目負(fù)責(zé)人。與需求方簽署網(wǎng)絡(luò)安全眾測授權(quán)委托書及安全保密協(xié)議。WebAPP。對(duì)測試方進(jìn)行個(gè)人/企業(yè)實(shí)名認(rèn)證，并簽署安全保密協(xié)議。協(xié)助需求方和審計(jì)方，完成測試管控平臺(tái)的賬號(hào)申請(qǐng)、接入認(rèn)證賬號(hào)發(fā)放、培訓(xùn)教育等工作。眾測測試方宜考慮以下工作：與組織方簽署測試協(xié)議和安全保密協(xié)議。配合組織方完成身份、技能認(rèn)證。眾測審計(jì)方宜考慮以下工作：成立項(xiàng)目實(shí)施小組和應(yīng)急小組，確定項(xiàng)目負(fù)責(zé)人。制定安全審計(jì)計(jì)劃，協(xié)調(diào)審計(jì)人員，進(jìn)行測試前的項(xiàng)目啟動(dòng)會(huì)和宣傳教育工作。眾測實(shí)施6JR/T0214—2021工作流程眾測實(shí)施的基本工作流程見圖2。圖2眾測實(shí)施工作流程主要任務(wù)安全接入與管控輸入：審計(jì)平臺(tái)及認(rèn)證信息。輸出/產(chǎn)品：測試行為記錄。測試與漏洞提交輸入：網(wǎng)絡(luò)安全眾測授權(quán)委托書。輸出/產(chǎn)品：待審核安全缺陷/安全漏洞。漏洞審核評(píng)級(jí)輸入：待審核安全缺陷/安全漏洞。任務(wù)描述：組織方和需求方按照安全眾測項(xiàng)目的要求，分別對(duì)測試方提交的待審核安全缺陷/安全漏洞進(jìn)行漏洞審核定級(jí)，確定漏洞的有效性和危害級(jí)別。7JR/T0214—2021輸出/產(chǎn)品：已審核安全缺陷/安全漏洞。漏洞修復(fù)與復(fù)檢在漏洞整改與復(fù)檢任務(wù)中，需求方對(duì)眾測過程中發(fā)現(xiàn)的有效安全缺陷/安全漏洞，安排相關(guān)人員進(jìn)行漏洞修復(fù)，修復(fù)完成后，安排測試人員對(duì)漏洞修復(fù)情況進(jìn)行驗(yàn)證。輸入：已審核安全缺陷/安全漏洞。任務(wù)描述：在漏洞整改與復(fù)檢任務(wù)中，需求方對(duì)眾測過程中發(fā)現(xiàn)的有效安全缺陷/安全漏洞，安排輸出/產(chǎn)品：安全缺陷/安全漏洞復(fù)檢結(jié)果。各實(shí)施主體職責(zé)眾測需求方宜考慮以下工作：進(jìn)行漏洞審核時(shí)，宜嚴(yán)格按照協(xié)議驗(yàn)收，評(píng)定漏洞風(fēng)險(xiǎn)。眾測組織方宜考慮以下工作：提供有效可靠的溝通平臺(tái)或工具，供組織方、需求方、測試方、審計(jì)方能夠進(jìn)行及時(shí)溝通。對(duì)需求方提供項(xiàng)目的管理權(quán)限。平臺(tái)存儲(chǔ)的漏洞信息，宜對(duì)漏洞信息進(jìn)行加密存儲(chǔ)，且宜僅對(duì)參與項(xiàng)目人員提供相應(yīng)的權(quán)限。確保自身眾測平臺(tái)的安全性，防止因眾測平臺(tái)存在漏洞導(dǎo)致需求方的敏感數(shù)據(jù)被泄露。在服務(wù)過程中，當(dāng)需求方和測試方對(duì)漏洞的判定不一致時(shí)，組織方承擔(dān)糾紛處理職責(zé)。眾測測試方宜考慮以下工作：8JR/T0214—2021未經(jīng)許可不允許超出項(xiàng)目測試范圍對(duì)內(nèi)部網(wǎng)絡(luò)使用掃描器等自動(dòng)化工具。未經(jīng)許可不允許使用高并發(fā)測試手段及工具。未經(jīng)許可不允許上傳具有遠(yuǎn)程控制功能的惡意程序。未經(jīng)許可不允許私自進(jìn)入內(nèi)網(wǎng)越界訪問/篡改數(shù)據(jù)信息。未經(jīng)許可不允許進(jìn)行高風(fēng)險(xiǎn)操作，包括但不僅限于服務(wù)器提權(quán)操作等。未經(jīng)許可不允許對(duì)業(yè)務(wù)造成穩(wěn)定性、可用性受損的操作行為。未經(jīng)許可不允許對(duì)交易數(shù)據(jù)、用戶信息等敏感信息進(jìn)行下載/拖取，收到流量審計(jì)系統(tǒng)對(duì)數(shù)據(jù)拖取行為的報(bào)警時(shí)應(yīng)立即停止，并配合組織方和審計(jì)方等進(jìn)行責(zé)任追溯。發(fā)現(xiàn)的漏洞應(yīng)立即上報(bào)，禁止私自隱藏漏洞。提交真實(shí)且描述清晰的漏洞信息。眾測審計(jì)方宜考慮以下工作：配合組織方和需求方對(duì)測試方未授權(quán)行為進(jìn)行審計(jì)，審計(jì)方保存原始流量日志以滿足追溯要求。負(fù)責(zé)眾測安全接入和管控系統(tǒng)的運(yùn)行維護(hù)工作，保證系統(tǒng)的穩(wěn)定平穩(wěn)運(yùn)行。負(fù)責(zé)解決測試人員在測試過程中遇到眾測安全接入和管控系統(tǒng)相關(guān)的問題。記錄測試人員訪問信息，包括眾測環(huán)境系統(tǒng)/賬號(hào)的登錄、登出等關(guān)鍵時(shí)間，以及眾測項(xiàng)目測ID、時(shí)間、事件類型、操作的資源、操作的結(jié)果、訪問發(fā)起端的地址或標(biāo)識(shí)。審計(jì)方的審計(jì)系統(tǒng)向需求方開放，即需求方有權(quán)對(duì)測試人員的行為進(jìn)行實(shí)時(shí)審計(jì)、檢查。負(fù)責(zé)測試過程中測試人員的安全監(jiān)控工作，發(fā)現(xiàn)異常及時(shí)通知需求方和組織方。負(fù)責(zé)測試過程中，測試人員安全接入賬號(hào)的管理工作，包括賬號(hào)暫停、賬號(hào)恢復(fù)、項(xiàng)目暫停、項(xiàng)目恢復(fù)等。發(fā)生突發(fā)事件時(shí)，協(xié)助需求方進(jìn)行突發(fā)事件的溯源分析和應(yīng)急響應(yīng)工作。分析與報(bào)告編制概述工作流程分析與報(bào)告編制的基本工作流程見圖3。9JR/T0214—2021圖3分析與報(bào)告編制工作流程主要任務(wù)眾測審計(jì)在眾測審計(jì)任務(wù)中，審計(jì)方根據(jù)測試過程中記錄的測試流量等，對(duì)測試方的測試行為和流量進(jìn)行審計(jì)。輸入：測試行為記錄。任務(wù)描述：審計(jì)方根據(jù)測試過程中記錄的測試流量日志等，對(duì)測試方的測試行為和流量進(jìn)行審計(jì)。安全審計(jì)報(bào)告的內(nèi)容包括但不限于測試范圍、測試時(shí)間、測試人員、審計(jì)內(nèi)容及審計(jì)結(jié)果等。輸出/產(chǎn)品：安全審計(jì)報(bào)告。編制測試報(bào)告輸入：已審核安全缺陷/安全漏洞。綜合研判輸入：測試報(bào)告/安全審計(jì)報(bào)告/測試要求。輸出/產(chǎn)品：綜合研判結(jié)果。項(xiàng)目驗(yàn)收10JR/T0214—2021在項(xiàng)目驗(yàn)收任務(wù)中，需求方根據(jù)項(xiàng)目前期確認(rèn)的驗(yàn)收標(biāo)準(zhǔn)和交付物，組織項(xiàng)目驗(yàn)收工作。輸入：項(xiàng)目驗(yàn)收標(biāo)準(zhǔn)/項(xiàng)目交付物。任務(wù)描述：需求方根據(jù)項(xiàng)目前期確認(rèn)的驗(yàn)收標(biāo)準(zhǔn)和交付物，組織項(xiàng)目驗(yàn)收工作。輸出/產(chǎn)品：驗(yàn)收?qǐng)?bào)告。各實(shí)施主體職責(zé)眾測需求方宜考慮以下工作：對(duì)審計(jì)方提供的審計(jì)報(bào)告進(jìn)行分析總結(jié)和研判，識(shí)別違規(guī)行為和操作。根據(jù)項(xiàng)目前期確認(rèn)的驗(yàn)收標(biāo)準(zhǔn)和交付物，組織項(xiàng)目驗(yàn)收工作。眾測組織方宜考慮以下工作：以測試報(bào)告的形式交付測試成果。配合需求方完成項(xiàng)目驗(yàn)收工作。眾測測試方宜考慮以下工作：協(xié)助組織方完成測試報(bào)告編制。清除上傳的木馬、后門、工具等，并將添加或修改的測試賬號(hào)恢復(fù)原狀。眾測審計(jì)方宜考慮以下工作：對(duì)測試過程中留存的日志等記錄進(jìn)行審計(jì)。編寫安全審計(jì)報(bào)告，安全審計(jì)報(bào)告的內(nèi)容包括但不限于：審計(jì)測試人員是否按照要求使用授權(quán)的測試接入途徑進(jìn)行安全測試。審計(jì)整體的測試過程，量化測試人員測試工作量、測試目標(biāo)范圍。審計(jì)測試人員使用的攻擊手法。審計(jì)測試人員的高風(fēng)險(xiǎn)行為操作，溯源攻擊過程。向需求方交付審計(jì)報(bào)告，說明安全測試審計(jì)情況，幫助需求方提升對(duì)測試方的管控能力。配合需求方完成項(xiàng)目驗(yàn)收工作。611JR/T0214—2021附錄A（資料性）網(wǎng)絡(luò)安全眾測協(xié)議書網(wǎng)絡(luò)安全眾測協(xié)議書宜包含相關(guān)方的權(quán)利和義務(wù)、信息安全、知識(shí)產(chǎn)權(quán)、保密條款等內(nèi)容。具體如下：相關(guān)方的權(quán)利和義務(wù)宜包括但不僅限于以下內(nèi)容：需求方授權(quán)組織方及審計(jì)方開展安全眾測工作，并授權(quán)組織方組織測試方進(jìn)行測試的權(quán)利，授權(quán)審計(jì)方對(duì)測試方進(jìn)行審計(jì)的權(quán)利。/IP//IP/系統(tǒng)進(jìn)行測試、審計(jì)。信息安全宜包括但不僅限于以下內(nèi)容：組織方宜對(duì)測試方進(jìn)行保密教育培訓(xùn)。知識(shí)產(chǎn)權(quán)宜包括但不僅限于以下內(nèi)容：保密條款包括但不僅限于以下內(nèi)容：12JR/T0214—202113JR/T0214—2021附錄B（資料性）測試方行為準(zhǔn)則參考提供本人真實(shí)有效的身份信息并配合組織方完成身份認(rèn)證。未經(jīng)測試需求方許可，不泄露任何項(xiàng)目相關(guān)的敏感信息。不利用當(dāng)前主機(jī)或設(shè)備作為跳板，對(duì)測試對(duì)象以外區(qū)域進(jìn)行掃描測試。未獲得需求方的明確授權(quán)不執(zhí)行可導(dǎo)致本地、遠(yuǎn)程拒絕服務(wù)危害的技術(shù)驗(yàn)證用例。不執(zhí)行有可能導(dǎo)致整體業(yè)務(wù)邏輯擾動(dòng)、有可能產(chǎn)生用戶經(jīng)濟(jì)財(cái)產(chǎn)損失的技術(shù)驗(yàn)證用例。及時(shí)提交真實(shí)完整的漏洞信息，不將同一漏洞拆分提交。未經(jīng)需求方許可，不將發(fā)現(xiàn)的漏洞信息透漏給任何組織或個(gè)人。眾測項(xiàng)目完成后，及時(shí)刪除所獲取、留存的項(xiàng)目相關(guān)敏感信息。14JR/T0214—2021附錄C（資料性）金融行業(yè)漏洞評(píng)級(jí)參考漏洞評(píng)級(jí)標(biāo)準(zhǔn)宜參考國際組織OWASP漏洞標(biāo)準(zhǔn)來制定，同時(shí)根據(jù)金融行業(yè)實(shí)際主營業(yè)務(wù)和漏洞類型側(cè)重點(diǎn)進(jìn)行適當(dāng)調(diào)整。高危漏洞評(píng)級(jí)方法如下：（越權(quán)訪問和操作。包括但不限于：繞過認(rèn)證直接訪問管理后臺(tái)可操作、核心業(yè)務(wù)非授權(quán)訪問、核心業(yè)務(wù)后臺(tái)弱密碼，增刪查改任意用戶信息或狀態(tài)等重要交互的越權(quán)行為等。直接導(dǎo)致重要業(yè)務(wù)拒絕服務(wù)的漏洞。包括通過該遠(yuǎn)程拒絕服務(wù)漏洞直接導(dǎo)致線上應(yīng)用、系統(tǒng)、服務(wù)器無法繼續(xù)提供服務(wù)的漏洞。中危漏洞評(píng)級(jí)方法如下：普通越權(quán)操作。包括但不限于：不正確的直接對(duì)象引用。普通信息泄漏。包括但不限于：客戶端明文存儲(chǔ)密碼。低危漏洞評(píng)級(jí)方法如下：（SQL（僅泄漏數(shù)據(jù)庫名稱、字段名、緩存內(nèi)容）、日志打印、配置信息、異常信息等。SQL15JR/T0214—2021附錄D（資料性）網(wǎng)絡(luò)安全眾測授權(quán)委托書網(wǎng)絡(luò)安全眾測測試授權(quán)委托書樣例見下表。表網(wǎng)絡(luò)安全眾測授權(quán)委托書示例網(wǎng)絡(luò)安全眾