YDT 4576-2023網(wǎng)絡安全眾測平臺第三方安全審計技術要求

ICS35.24

CCSL70

YD

中華人民共和國通信行業(yè)標準

YD/T[×××××]—[××××]

[代替YD/T]

網(wǎng)絡安全眾測平臺第三方安全審計技術

要求

Technicalspecificationsforthird-partysecurityauditofnetworksecurity

crowdsourcedtestingplatforms

[點擊此處添加與國際標準一致性程度的標識]

（報批稿）

[點擊此處添加本稿完成日期]

[××××]-[××]-[××]發(fā)布[××××]-[××]-[××]實施

中華人民共和國工業(yè)和信息化部發(fā)布

YD/T×××××—××××

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定

起草。

本文件屬于網(wǎng)絡安全眾測系列標準之一，該系列標準包括：

YD/T3744網(wǎng)絡安全眾測平臺技術要求

YD/T3745網(wǎng)絡安全眾測服務管理要求

YD/TXXXX網(wǎng)絡安全眾測平臺第三方安全審計技術要求

請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別這些專利的責任。

本文件由中國通信標準化協(xié)會提出并歸口。

本文件起草單位：國家計算機網(wǎng)絡應急技術處理協(xié)調中心、上海斗象信息科技有限公司、阿里云

計算有限公司、北京奇虎科技有限公司、北京東方通網(wǎng)信科技有限公司、中國信息通信研究院、杭州

安恒信息技術股份有限公司。

本文件主要起草人：王暉、張奇、肖佃艷、呂夢凡、鄒瀟湘、張屹、吳昊、姚一楠、景慧昀、崔

婷婷、范樂君、王文磊、鄒昕、王博、舒敏、李政、張大江、俞斌、李其蓉。

II

YD/T×××××—××××

網(wǎng)絡安全眾測平臺第三方安全審計技術要求

1范圍

本文件規(guī)定了網(wǎng)絡安全眾測平臺的第三方審計業(yè)務場景、工作流程、主要任務和技術要求。

本文件適用于參與網(wǎng)絡安全眾測服務的個人、組織和機構，也可以作為網(wǎng)絡安全主管部門進行監(jiān)

督、檢查的依據(jù)。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用

于本文件。

YD/T3744-2020網(wǎng)絡安全眾測平臺技術要求

YD/T3745-2020網(wǎng)絡安全眾測服務管理要求

3術語和定義

下列術語和定義適用于本文件。

3.1

網(wǎng)絡安全眾測平臺cybersecuritycrowdsourcetestingplatform

組織或機構依托其安全經(jīng)驗，通過互聯(lián)網(wǎng)建立一個安全測試協(xié)作平臺，組織授權測試實體，規(guī)范

并監(jiān)督安全測試過程，對簽約眾測需求方提供安全滲透測試與漏洞發(fā)現(xiàn)等服務。

3.2

授權測試實體authorizedtestentity

不惡意利用漏洞進行破壞或通過漏洞獲得非法利益的白帽子黑客或安全公司，包括通過利用自身

的技術在客戶授權的前提下對測試目標進行安全測試，幫助客戶查找計算機系統(tǒng)或網(wǎng)絡系統(tǒng)的漏洞、

向眾測需求方報告并配合修復，確保眾測需求方系統(tǒng)安全。

3.3

眾測需求方crowdsourcetestingdemand-side

安全測試需求企業(yè)與網(wǎng)絡安全眾測平臺簽訂授權測試協(xié)議，并同意平臺授權給授權測試實體進行

安全測試的實體統(tǒng)稱。

3.4

1

YD/T×××××—××××

第三方審計third-partyaudit

對授權測試實體測試過程產(chǎn)生的日志信息，進行外部獨立審計的組織機構。審計目的是確定測試

過程是否存在惡意破壞等高風險行為。

3.5

安全審計securityaudit

對信息系統(tǒng)的各種事件及行為實行監(jiān)測、信息采集、分析，并針對特定事件及行為采取相應的動

作。

4縮略語

下列縮略語適用于本文件。

ARP：地址解析協(xié)議（AddressResolutionProtocol）

DNS：域名系統(tǒng)（DomainNameSystem）

HTTP：超文本傳輸協(xié)議（HyperTextTransferProtocol）

HTTPS：超文本傳輸安全協(xié)議（HyperTextTransferProtocoloverSecureSocketLayer）

ICMP：控制報文協(xié)議（InternetControlMessageProtocol）

IGMP：網(wǎng)際組管理協(xié)議（InternetGroupManagementProtocol）

POP3：郵局協(xié)議版本3（PostOfficeProtocol-Version3）

TCP：傳輸控制協(xié)議（TransmissionControlProtocol）

UDP：用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol）

DDoS：分布式拒絕服務攻擊（DistributedDenialofService）

APT：高級可持續(xù)威脅攻擊（AdvancedPersistentThreat）

5安全審計描述

5.1需求描述

針對眾測需求方要求引入第三方審計機構的網(wǎng)絡安全眾測服務項目，網(wǎng)絡安全眾測平臺應協(xié)助眾

測需求方和第三方審計機構，對授權測試實體的測試行為進行審計，主要包括：連接審計系統(tǒng)后再進

行測試；記錄測試人員的測試行為及測試流量，以備后期取證；審計授權測試實體是否有未授權的入

侵網(wǎng)絡、干擾網(wǎng)絡正常功能、竊取網(wǎng)絡數(shù)據(jù)等危害網(wǎng)絡安全的行為或活動，對整個測試過程進行控制。

5.2業(yè)務場景

5.2.1應用識別

基于對授權測試實體的測試流量進行采集、過濾、整形，并對測試流量進行關聯(lián)分析，有效的識

別授權測試實體對眾測需求方測試的過程中所使用的應用情況。

5.2.2網(wǎng)絡協(xié)議解析

第三方審計基于對眾測過程流量捕獲、協(xié)議解析、協(xié)議轉存實現(xiàn)無丟失抓包、存包。通過安全策

略設置有效發(fā)現(xiàn)異常流量，并通過預先設置好的應對策略，對網(wǎng)絡協(xié)議流量進行處理。

5.2.3異常行為發(fā)現(xiàn)

2

YD/T×××××—××××

授權測試實體在眾測過程中，可能會對眾測需求方進行高風險操作，如服務器提權、拖庫等行為。

授權測試實體在進行高風險操作時，其行為會和正常的眾測行為基線存在差異。因此，可以通過對授

權測試實體的監(jiān)測以及眾測行為的管理，及時發(fā)現(xiàn)異常行為，從而及時進行告警。

5.2.4安全溯源

安全溯源是指當攻擊、仿冒等網(wǎng)絡事件發(fā)生以后，能根據(jù)與此相關的例如日志記錄、時間等信息，

找到引發(fā)事件的實體。而在網(wǎng)絡安全眾測流量審計中，可以針對授權測試實體進行身份識別，同時對

其網(wǎng)絡痕跡進行還原。

5.3工作流程

第三方安全審計工作流程分為：

a)審計準備階段：審計立項，明確審計依據(jù)，制定審計方案，編制工作計劃。

b)審計實施階段：第三方審計接入網(wǎng)絡安全眾測平臺、眾測需求方進行審計，收集審計內容，

開展審計工作，審計結果溝通。

c)審計終結階段：撰寫審計報告，提交報告。

5.4主要任務

5.4.1眾測第三方審計任務

在眾測第三方審計任務中，審計方根據(jù)測試過程中記錄的測試流量等內容，對授權測試實體的測

試行為和流量進行審計。

本項要求包括：

a)審計方根據(jù)測試過程中記錄的測試流量等內容，對授權測試實體的測試行為和流量進行審計。

b)審計結果應以審計報告的形式交付給眾測需求方說明該次安全測試審計情況，幫助網(wǎng)絡安全

眾測平臺提升對眾測授權測試實體的管控能力。

5.4.2編寫審計報告

第三方審計結束后，審計組應對取得的審計證據(jù)進行綜合分析，并撰寫審計報告，模板參見附錄

A。

主要包括下列內容：

a)安全審計報告的內容包括但不限于測試范圍、測試時間、測試人員、審計內容及審計結果等。

b)安全審計報告內容應客觀、完整、清晰、及時。

6技術要求

6.1流量審計

網(wǎng)絡安全眾測平臺的業(yè)務流量是指授權測試實體與眾測需求方之間的流量。

流量審計是第三方審計需要對網(wǎng)絡安全眾測平臺的業(yè)務流量進行實時審計分析。流量審計過程如

圖1所示。

3

YD/T×××××—××××

RequestRequest

授權測試實體第三方審計眾測需求方

ResponseResponse

圖1網(wǎng)絡安全眾測流量審計過程示意圖

流量審計主要包括流量接口、流量日志、流量異常、流量數(shù)據(jù)管控等內容。流量審計協(xié)議種類包

括但不限于HTTP、HTTPS、TCP、UDP、ICMP、IGMP、POP3、ARP、DNS等。

流量審計要求包括：

a)流量接口：第三方審計機構應對網(wǎng)絡安全眾測平臺進行眾測中的流量數(shù)據(jù)接口的規(guī)范性及流

量走向等進行審計。

b)流量日志：第三方審計機構對安全測試目標過程中的所有流量日志進行留存，應保存6個月

以上，用于后續(xù)流量分析、審計、備查等。

c)流量異常：建立網(wǎng)絡安全眾測平臺或用戶的正常流量基線，發(fā)現(xiàn)異常流量（包括但不限于上

傳惡意文件、拖庫、篡改信息等）。

d)流量數(shù)據(jù)管控:對安全測試流量進行格式整理和切片處理，并按照項目、時序、測試人員等

維度將流量進行切片，整理、篩選后，形成行為分析模型能夠讀取的格式。

6.2行為審計

行為審計是指對網(wǎng)絡行為進行實時監(jiān)督、響應和記錄，從而發(fā)現(xiàn)異常行為并給予快速處理。

行為審計包括授權測試實體行為審計、網(wǎng)絡安全眾測平臺行為審計。

授權測試實體行為審計要求包括：

a)對授權測試實體拖庫、服務器提權等未授權行為進行監(jiān)督。

b)通過對授權測試實體在線時長、次數(shù)、流量、時段、訪問目標、訪問頻次、訪問時長等的統(tǒng)

計，分析授權測試實體的行為特征、可信程度等。

c)對授權測試實體的高風險行為如撞庫攻擊、批量賬號登錄、掃描器攻擊，未授權下載和上傳

后門等進行回溯分析。

網(wǎng)絡安全眾測平臺行為審計要求包括：

a)網(wǎng)絡安全眾測平臺的網(wǎng)絡行為、管理行為應遵循YD/T3744-2020及YD/T3745-2020的相關

要求。

b)網(wǎng)絡安全眾測平臺應遵循YD/T3744-2020第6章6.1節(jié)及YD/T3745=2020第8章的相關規(guī)

定進行用戶數(shù)據(jù)隔離、數(shù)據(jù)庫加固、身份鑒別、訪問控制、資源監(jiān)控等。

6.3內容審計

內容審計是指在審計行為經(jīng)用戶和系統(tǒng)授權的前提下，對平臺流量報文的凈荷進行深度分析、信

息還原，防止隱私泄露等。

內容審計包括測試內容審計、測試報告內容審計、網(wǎng)絡安全眾測平臺內容審計。

內容審計要求包括：

a)測試內容審計：對測試內容進行審計分析，以防止用戶隱私、敏感數(shù)據(jù)等泄露。

b)測試報告內容審計：對授權測試實體提交的測試報告內容進行分析過濾，保障測試報告的專

業(yè)性、漏洞等敏感數(shù)據(jù)的保密性等。

c)網(wǎng)絡安全眾測平臺內容審計：對網(wǎng)絡安全眾測平臺傳輸?shù)膱笪膬热葸M行審計分析，對數(shù)據(jù)進

行保密性、完整性檢驗等。

4

YD/T×××××—××××

6.4威脅審計

威脅審計是對網(wǎng)絡流量進行解析，以發(fā)現(xiàn)并處置相關威脅，并且對威脅進行實時監(jiān)測和審計分析。

威脅審計要求抓取授權測試實體對目標測試的行為流量進行威脅情報審計分析，主要包括DDoS攻

擊、APT攻擊、僵尸網(wǎng)絡、黑客工具、勒索病毒、挖礦木馬、惡意下載、流氓推廣、竊密木馬、網(wǎng)絡蠕

蟲等。

6.5人員審計

人員審計是對授權測試實體在文件、履行職責等方面進行審計核實。

授權測試實體相關文件包括但不限于授權測試實體與網(wǎng)絡安全眾測平臺簽署的用戶及保密協(xié)議，

基于網(wǎng)絡安全眾測平臺的身份、技能認證等。

人員審計要求包括：

a)授權測試實體應與網(wǎng)絡安全眾測平臺簽署用戶及保密協(xié)議。

b)授權測試實體應配合網(wǎng)絡安全眾測平臺完成身份、技能認證。

c)在測試過程中，應按協(xié)議要求，進行安全測試。

5

YD/T×××××—××××

附錄A

（資料性）

網(wǎng)絡安全眾測第三方審計機構審計報告模板

A.1審計概述

A.1.1項目簡介

簡述審計項目背景及意義、委托方等項目基本情況。

A.1.2審計依據(jù)

分類列出開展審計活動所依據(jù)的標準、文件和合同等。

YD/T3744信息安全技術網(wǎng)絡安全眾測服務管理要求

YD/T3745信息安全技術網(wǎng)絡安全眾測服務技術要求

YD/TXXXX網(wǎng)絡安全眾測平臺第三方安全審計技術要求

A.1.3審計過程

描述審計工作流程、各階段完成的關鍵任務和工作時間節(jié)點等內容。

A.1.4報告分發(fā)范圍

說明網(wǎng)絡安全眾測審計報告正本份數(shù)與分發(fā)范圍。

A.2單項審計結果分析

A.2.1流量審計

A.2.1.1流量統(tǒng)計

對授權測試實體vpn賬戶接入的使用情況進行數(shù)據(jù)統(tǒng)計，形成授權測試實體投入時間，有效測試時

長，測試流量分布等描述。

A.2.1.2流量接口

針對眾測活動中流量數(shù)據(jù)接口的規(guī)范性及流量走向等進行分析。形成被審計對象流量數(shù)據(jù)接口類

型和流量走向描述，給出符合性評價。

A.2.1.3異常流量

將眾測活動中流量與正常流量基線比對，形成眾測活動中流量特征描述，給出有無異常流量的評

價及對應截圖、數(shù)據(jù)包佐證（包括但不限于上傳惡意文件、拖庫、篡改信息等）。

A.2.2行為審計

A.2.2.1授權測試實體行為審計

針對眾測活動中授權測試實體在線時長、次數(shù)、流量、時段、訪問頻次、訪問時長、異常操作等

進行統(tǒng)計分析。形成授權測試實體特征、行為描述，給出符合性評價。

6

YD/T×××××—××××

A.2.2.2網(wǎng)絡安全眾測平臺行為審計

針對網(wǎng)絡安全眾測平臺在數(shù)據(jù)傳輸、數(shù)據(jù)隔離、數(shù)據(jù)庫加固、身份鑒別、訪問控制、資源監(jiān)控等

方面的措施進行評估，形成被審計對象在數(shù)據(jù)傳輸、數(shù)據(jù)隔離、數(shù)據(jù)庫加固、身份鑒別、訪問控制、

資源監(jiān)控等方面的保護措施及存在的安全問題描述。

A.2.3威脅審計

針對授權測試實體對目標測試的行為流量進行威脅情報審計分析，形成包括APT,僵尸網(wǎng)絡、黑客

工具、勒索病毒、挖礦木馬、惡意下載、流氓推廣、竊密木馬、網(wǎng)絡蠕蟲等威脅的描述。

A.2.4人員審計

對授權測試實體與網(wǎng)絡安全眾測平臺簽署的用戶及保密協(xié)議，身份、技能認證，有無違規(guī)測試等

內容進行統(tǒng)計確認，形成符合性評價表。

A.3總體評價

根據(jù)被審計對象審計結果和審計過程中了解的相關信息，對本次眾測活動的安全及規(guī)范性進行說

明和評價，包括授權測試實體的測試行為的規(guī)范性，審計數(shù)據(jù)的完整性，安全測試流量數(shù)據(jù)的可信度

等?；诰C合評價結果對本次眾測活動是否符合審計技術要求給出總體結論。

附件眾測流量日志

編制報告必要時或按照眾測需求方要求，附上相關流量日志內容。

_________________________________

7

YD/T×××××—××××

目次

前言............................................................................................................................................................II

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術語和定義.....................................................................................................................................................1

4縮略語.............................................................................................................................................................2

5安全審計描述.................................................................................................................................................2

5.1需求描述..................................................................................................................................................2

5.2業(yè)務場景..................................................................................................................................................2

5.2.1應用識別...........................................................................................................................................2

5.2.2網(wǎng)絡協(xié)議解析...................................................................................................................................2

5.2.3異常行為發(fā)現(xiàn)...................................................................................................................................2

5.2.4安全溯源...........................................................................................................................................3

5.3工作流程..................................................................................................................................................3

5.4主要任務..................................................................................................................................................3

5.4.1眾測第三方審計任務.......................................................................................................................3

5.4.2編寫審計報告...................................................................................................................................3

6技術要求.........................................................................................................................................................3

6.1流量審計..................................................................................................................................................3

6.2行為審計..................................................................................................................................................4

6.3內容審計..................................................................................................................................................4

6.4威脅審計..................................................................................................................................................5

6.5人員審計..................................................................................................................................................5

附錄A（資料性）網(wǎng)絡安全眾測第三方審計機構審計報告模板........................................................6

I

YD/T×××××—××××

網(wǎng)絡安全眾測平臺第三方安全審計技術要求

1范圍

本文件規(guī)定了網(wǎng)絡安全眾測平臺的第三方審計業(yè)務場景、工作流程、主要任務和技術要求。

本文件適用于參與網(wǎng)絡安全眾測服務的個人、組織和機構，也可以作為網(wǎng)絡安全主管部門進行監(jiān)

督、檢查的依據(jù)。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用

于本文件。

YD/T3744-2020網(wǎng)絡安全眾測平臺技術要求

YD/T3745-2020網(wǎng)絡安全眾測服務管理要求

3術語和定義

下列術語和定義適用于本文件。

3.1

網(wǎng)絡安全眾測平臺cybersecuritycrowdsourcetestingplatform

組織或機構依托其安全經(jīng)驗，通過互聯(lián)網(wǎng)建立一個安全測試協(xié)作平臺，組織授權測試實體，規(guī)范

并監(jiān)督安全測試過程，對簽約眾測需求方提供安全滲透測試與漏洞發(fā)現(xiàn)等服務。

3.2

授權測試實體authorizedtestentity

不惡意利用漏洞進行破壞或通過漏洞獲得非法利益的白帽子黑客或安全公司，包括通過利用自身

的技術在客戶授權的前提下對測試目標進行安全測試，幫助客戶查找計算機系統(tǒng)或網(wǎng)絡系統(tǒng)的漏洞、

向眾測需求方報告并配合修復，確保眾測需求方系統(tǒng)安全。

3.3

眾測需求方crowdsourcetestingdemand-side

安全測試需求企業(yè)與網(wǎng)絡安全眾測平臺簽訂授權測試協(xié)議，并同意平臺授權給授權測試實體進行

安全測試的實體統(tǒng)稱。

3.4

1

YD/T×××××—××××

第三方審計third-partyaudit

對授權測試實體測試過程產(chǎn)生的日志信息，進行外部獨立審計的組織機構。審計目的是確定測試

過程是否存在惡意破壞等高風險行為。

3.5

安全審計securityaudit

對信息系統(tǒng)的各種事件及行為實行監(jiān)測、信息采集、分析，并針對特定事件及行為采取相應的動

作。

4縮略語

下列縮略語適用于本文件。

ARP：地址解析協(xié)議（AddressResolutionProtocol）

DNS：域名系統(tǒng)（DomainNameSystem）

HTTP：超文本傳輸協(xié)議（HyperTextTransferProtocol）

HTTPS：超文本傳輸安全協(xié)議（HyperTextTransferProtocoloverSecureSocketLayer）

ICMP：控制報文協(xié)議（InternetControlMessageProtocol）

IGMP：網(wǎng)際組管理協(xié)議（InternetGroupManagementProtocol）

POP3：郵局協(xié)議版本3（PostOfficeProtocol-Version3）

TCP：傳輸控制協(xié)議（TransmissionControlProtocol）

UDP：用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol）

DDoS：分布式拒絕服務攻擊（DistributedDenialofService）

A