近日,全国网络安全标准化技术委员会发布《网络安全技术 网络安全众测服务要求》(GB/T 43741-2024,以下简称“众测服务要求”),并将在2024年11月1日正式实施。
《众测服务要求》确立了网络安全众测服务的角色及其职责,描述了服务流程,规定了服务要求;适用于众测需求方、众测组织方、授权测试方和众测审计方在开展网络安全众测服务时使用。
《众测服务要求》由国家计算机网络应急技术处理协调中心 、中国电子技术标准化研究院 、国家信息技术安全研究中心 、阿里云计算有限公司 、奇安信网神信息技术(北京)股份有限公司 、中国移动通信集团有限公司 、中国科学院软件研究所 、上海斗象信息科技有限公司等多家单位、企业共同编制,进一步促进众测服务产业发展。
当前国内存在大量的网络安全从业者,他们大部分在网络安全公司或对安全有强需求的行业从事安全防护等技术或管理工作,还有一部分进行包括研制黑客工具、非法入侵、敲诈勒索等破坏网络安全的活动牟利,如何将这些人员引导到白帽子方向,充分利用他们的技术,帮助企业发现网站漏洞,协助企业解决安全隐患,是一个新的方向。
同时,网络安全众测作为蓬勃发展的网络安全产业应用,在许多重要行业领域如金融、通信、工业等均有强烈的应用需求,促进其标准化有助于促进产业的规范与繁荣。
由于缺乏对网络安全众测服务的有效管理以及缺乏对众测服务安全性的重视,目前的网络安全众测服务在服务流程、人员管理、平台安全保障等方面存在安全隐患,可能带来信息泄露、测试人员行为不可控、漏洞黑产交易等新的安全风险。
因此,有必要根据相关行业实践,组织制定统一的国家标准。
《众测服务要求》进一步规范了网络安全众测服务所涉及角色的安全职责、服务流程和要求。 本标准适用于网络安全众测服务过程中的众测需求方、众测组织方、授权测试方和众测审计方在开展网络安全众测服务时使用。
主要内容包括:
(1)网络安全众测服务的定义和服务流程;
(2)网络安全众测服务可能存在的安全风险;
(3)网络安全众测服务的各相关方(众测需求方、众测组织方、授权测试方、众测审计方),各相关方在众测项目实施过程中的交互关系以及各相关方的职责;
(4)在网络安全众测服务准备阶段、实施阶段、后处理阶段各相关方应遵循的要求;其中后处理阶段给出众测服务结果为交付安全众测报告及安全审计报告,安全众测报告内容包括但不限于:安全测试对象、测试时间、测试人员、测试对象整体安全情况分析、漏洞分布及分析、漏洞信息、漏洞修复建议、安全防护建议等,安全审计报告的内容包括但不限于测试范围、测试时间、测试人员、审计内容、及审计结果等;
(5)网络安全众测服务平台安全要求,包括用户数据隔离要求、数据库加固要求、身份鉴别要求、访问控制要求等;
(6)网络安全众测服务平台功能参考;
(7)授权测试方行为准则,用于规范授权测试方的行为。