您当前的位置:首页 > 电脑百科 > 安全防护 > 数据安全

信息安全之众测服务要求。

时间:2023-08-28 14:58:32  来源:  作者: 安全架构

本文主要基于《信息安全技术 网络安全众测服务要求》征求意见稿进行学习整理。

 

基础术语

 

网络安全众测服务(crowdsourcing security test service):它以自愿的方式组织非特定的自然人或组织,在审计及监督下,对网络产品和系统等开展漏洞发现等安全测试的过程。

网络安全众测服务平台(crowdsourcing security test service platform):由众测组织方运营并通过在线方式提供网络安全众测服务的平台。

众测组织方(crowdsourcing test provider):在众测需求方授权下,组织符合众测需求方要求的授权测试方开展网络安全众测服务的组织。

授权测试方(authorized test entity):获得众测组织方授权对测试对象进行安全测试的自然人或组织。

众测审计方(crowdsourcing test auditing entity):网络安全众测服务过程中进行审计及监督的组织。

 

服务流程

 

安全众测服务流程可分为准备阶段、实施阶段、后处理阶段三个阶段。

网络安全众测服务流程包括以下几个阶段:

准备阶段:众测需求方和众测组织方相互协商,明确双方权利义务;众测需求方向众测组织方明确授权并授权众测组织方组织符合要求的授权测试方实施众测;众测组织方按照众测需求方的要求发布众测项目,在获得众测需求方授权的前提下组织授权测试方;授权测试方做好测试准备;众测审计方做好审计准备。

实施阶段:授权测试方通过获得授权的安全接入方式执行测试,按要求提交漏洞;众测组织方对漏洞进行初步审核后交付给众测需求方;众测需求方对漏洞进行审核确认;众测审计方对众测过程进行审计和监督。

后处理阶段:在约定的测试时间结束后,众测组织方向众测需求方提供众测服务报告;众测审计方提交审计报告

 

角色交互

 

安全众测服务涉及的角色包括众测需求方、众测组织方、授权测试方、众测审计方。

在安全众测服务过程中,众测需求方与众测组织方之间通过授权委托建立众测服务关系,众测组织方组织具备测试条件和能力的授权测试方实施众测,并由众测审计方对众测过程进行审计。众测审计方一般根据众测需求方的需要由具备众测审计条件和能力的第三方承担,对授权测试方的审计可由众测组织方承担。

 

准备阶段服务要求

 

1、众测需求方要求如下:

a) 应确定众测服务需求,包括但不限于:测试对象、测试时间、测试人员要求、测试人员行为准则、是否第三方审计等众测项目实施参数;

b) 应建立测试过程中安全监控机制及突发事件应急预案,协调人员做好测试期间的安全监控和应急响应;

c) 应提供对测试对象拥有所有权的证明;

d) 应对测试对象进行测试授权;

e) 宜根据众测服务需求挑选符合条件的授权测试方,也可委托众测组织方挑选。

2、众测组织方要求如下:

a) 应制定并公开发布授权测试方行为准则,授权测试方行为准则应满足附录A的要求;

b) 应制定项目应急预案;

c) 网络安全众测服务宜依托网络安全众测服务平台开展,

d) 依托网络安全众测服务平台提供网络安全众测服务的,应按照网络安全等级保护制度的要求履行安全保护义务并通过等级保护测评,所运营的众测服务平台等级保护定级不宜低于三级;

e) 应在众测项目正式实施前与众测需求方、众测审计方签订众测授权书及安全保密协议,安全保密协议内容包括但不限于:1、测试对象、测试过程、测试结果等众测项目信息;2、网络拓扑信息、应用代码等;3、众测中发现的漏洞信息等。

f) 应对众测需求方进行认证以及对测试对象进行所有权校验,确保众测需求方测试内容合法。所有权校验宜支持网站、移动应用程序方式;

g) 应与众测需求方明确众测服务需求;

h) 应按照众测需求方的需求生成众测项目,生成项目的关键要素包括:测试时间、测试范围、测试要求、漏洞评级标准、验收标准;

i) 应支持众测需求方按测试时间、技能、信誉、排名等多维度挑选授权测试方进行测试或对报名的授权测试方进行筛选;也可受众测需求方委托为其选择合适的授权测试方;

j) 应根据众测需求方要求支持众测审计方完成代理账号创建、配置等工作;

k) 应对授权测试方进行实名认证和背景调查。应要求授权测试方提供身份证号等相关信息并进行核实;为方便众测服务的开展,可要求授权测试方提供手机号或其他联系方式;

l) 应严格管理授权测试方,管理内容包括但不仅限于实名认证、技能评估、任务完成情况、近三年内无违法违规纪录审核等;

m) 针对授权测试方的个人信息处理活动应遵循GB/T 35273的相关要求;

n) 应根据授权测试方的历史漏洞提交情况,分析其技能、擅长挖掘的漏洞类型、漏洞级别、漏洞报告质量等,审查授权测试方以保证获得良好的测试效果,并判定是否符合众测要求。同时应建立授权测试方的信誉体系及优胜劣汰机制,对不符合相关法律法规及不按众测需求方要求进行测试的授权测试方进行处罚及清退,确保身份可信、技能可行;

o) 宜支持授权测试方填写多维度的属性信息,如技能列表及擅长挖掘的漏洞类型等;

p) 应面向授权测试方定期开展培训,培训的内容宜包括项目测试范围、项目测试时间、测试行为准则、安全保密要求等

3、授权测试方要求如下:

a) 应遵守众测项目的相关要求,包括项目测试范围、项目测试时间、项目测试行为准则、安全保密要求等;

b) 应提供准确的身份信息,并配合众测组织方完成身份、技能认证;

c) 宜提供详细的技能列表及擅长挖掘的漏洞类型等信息。

4、众测审计方要求如下:

a) 应成立项目实施小组和应急小组,确定项目负责人;

b) 应完成众测审计的技术准备工作,包括系统环境搭建、稳定性测试、安全接入账号的创建与配置等。

 

实施阶段服务要求

 

1、众测需求方要求如下:

a) 应做好测试期间的系统、网络等的安全监控工作,发现重大安全攻击事件或系统服务中断等突发事件,及时启动相应的应急流程;

b) 众测实施过程中若发生安全事件,应做好应急响应工作,包括事件报告、事件分析、事件处置、评估总结等工作;

c) 漏洞处置、发布、跟踪应符合 GB/T 30276—2020 的相关要求;

d) 应跟踪漏洞的处置修复,对于高危及以上的漏洞,组织相关人员立即修复漏洞,并协调漏洞复检工作;

e) 应严格按照协议对授权测试方提交的漏洞进行审核确认。

 

2、众测组织方要求如下:

a) 应对漏洞信息进行加密存储;

b) 发生网络安全事件时,应及时启动应急预案,对事件进行响应和处置;

c) 应严格管理授权测试方,要求其按照项目要求,在授权的时间范围内,对授权范围内的测试对象,使用授权范围内的测试方法开展测试工作;

d) 应严格要求授权测试方对测试中可能获取的少量的网络拓扑信息、应用代码、漏洞等严格保密,不得用于其他途径;

e) 应仅支持授权测试方查看自己提交的漏洞信息;

f) 当众测需求方和授权测试方对漏洞的判定不一致时,应承担纠纷处理职责;

g) 应建立授权测试方的信誉或积分体系,对不符合相关法律法规及不按众测需求方要求进行测试的测试授权方进行处罚及清退;对违反相关法律法规等损害众测需求方利益的行为,应协助众测需求方及执法机关,对测试授权方的非法测试行为及其造成的后果进行取证;

h) 应协助众测审计方,在众测过程中进行审计及监督。

 

3、授权测试方要求如下:

a) 应严格遵守授权测试方行为准则,严格按照众测项目要求开展测试;

b) 不应私自越界访问/篡改数据信息;

c) 不应超出项目测试范围对内部网络使用扫描器等自动化工具;

d) 未经许可不应进行高风险操作,包括但不仅限于:服务器提权操作等;

e) 不应实施对业务造成稳定性、可用性受损的操作行为;

f) 未经许可不应对交易数据、用户信息等敏感信息进行下载/拖取,收到对数据拖取行为的报警时应立即停止当前动作,并配合众测组织方和众测审计方等进行责任追溯;

g) 应对测试中可能获取的少量的网络拓扑信息、应用代码、数据、漏洞等严格保密,不得用于其他途径;

h) 应提交真实完整且描述清晰的漏洞信息,上报的安全漏洞宜按照 GB/T 28458—2020 的要求进行标识与描述;

  1. 可协助众测需求方、众测组织方完成漏洞的复测工作。

 

4、众测审计方要求如下:

a) 应对测试授权方的行为进行审计,重点检查测试授权方是否有未授权的入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全的行为或活动,并保存原始日志满足追溯要求;

b) 应记录并加密存储授权测试方的测试流量,以便进行回溯分析及后期取证;

c) 发现异常时,应及时通知众测需求方和众测组织方;

d) 应负责测试过程中,授权测试方代理账号的管理工作,包括账号暂停、账号恢复等;

e) 突发事件时,应协助众测需求方进行突发事件的溯源分析和应急响应工作。

 

后期阶段服务要求

 

1、众测需求方要求如下:

a) 应及时进行分析总结,持续提升安全防护能力;

b) 应对测试对象进行复检,确保木马后门等已清理,漏洞已修复。

 

2、众测组织方要求如下:

a) 应及时交付安全众测报告,安全众测报告内容包括但不限于:安全测试对象、测试时间、测 试人员、测试对象整体安全情况分析、漏洞分布及分析、漏洞信息、漏洞修复建议、安全防 护建议等;

b) 应按约定及时删除众测需求方测试对象相关材料、漏洞等敏感信息;

c) 可协助众测需求方对测试对象进行复检。

 

3、授权测试方要求如下:

授权测试方应及时删除众测实施过程中上传的木马、后门程序等工具。

 

4、众测审计方要求如下:

a) 应对测试过程中留存的日志等记录进行分析;

b) 安全审计的内容包括:

1、应审计授权测试方是否按照要求,使用授权的测试接入途径进行安全测试;

2、应审计整体的测试过程,量化授权测试方测试工作量、测试对象范围;

3、应审计授权测试方使用的攻击手法;

4、审计授权测试方的高风险行为操作(如撞库攻击、批量账号登录、扫描器攻击,未授权 下载等),溯源攻击过程。

c) 审计结果应以审计报告的形式交付给众测需求方或众测组织方,说明该次安全测试审计情况;

d) 安全审计报告的内容应包括测试范围、测试时间、测试人员、审计内容、及审计结果等;

e) 众测审计方由众测组织方承担时,在约定时间内,应支持引入第三方审计机构进行审计和监督;

f) 应按约定及时删除众测过程中的测试流量等敏感信息。



Tags:信息安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
如何正确考取网络信息安全管理员
1.职业技能等级认定的考试科目为:理论知识+操作技能+综合评审(仅限于2级参加)。2.理论知识考核:闭卷笔试,总分100分,60分及以上者为合格。3.操作技能考核:网络与信息安全管理员(4,3,2...【详细内容】
2023-12-19  Search: 信息安全  点击:(66)  评论:(0)  加入收藏
手机怎么会知道你走了多少步?千万不要小瞧了计步功能,事关你的信息安全
文 | 海莉・贝内特(Hayley Bennett)译 | 开心编 | 赵佳明在这些数据中,计步可能是最让人费解的了。智能手机、手表、手环又没有戴在脚上,它们是如何知道我们走了多少步呢?我们可...【详细内容】
2023-09-18  Search: 信息安全  点击:(138)  评论:(0)  加入收藏
知网被罚敲响信息安全警钟
高维知网,再一次站到了风口浪尖。国家互联网信息办公室6日发文称,知网存在违反必要原则收集个人信息、未经同意收集个人信息等多项违法行为,责令其停止违法处理个人信息行为,并...【详细内容】
2023-09-08  Search: 信息安全  点击:(91)  评论:(0)  加入收藏
如何通过数据销毁确保信息安全性
数据销毁是从数字存储设备(包括计算机硬盘、USB闪存驱动器、CD、移动设备等)中完全且不可逆地删除数据的过程。数据销毁的首要目标是确保之前存储的数据不可恢复,降低网络安...【详细内容】
2023-09-05  Search: 信息安全  点击:(208)  评论:(0)  加入收藏
信息安全之众测服务要求。
本文主要基于《信息安全技术 网络安全众测服务要求》征求意见稿进行学习整理。 基础术语 网络安全众测服务(crowdsourcing security test service):它以自愿的方式组织非特定...【详细内容】
2023-08-28  Search: 信息安全  点击:(199)  评论:(0)  加入收藏
生成式人工智能到来,个人信息安全如何保护?七部门出手
7月13日,国家网信办等七部门联合对外发布《生成式人工智能服务管理暂行办法》(以下简称《办法》),在促进生成式人工智能发展的同时,对传播虚假信息、侵害个人信息权益、数据安全...【详细内容】
2023-07-14  Search: 信息安全  点击:(126)  评论:(0)  加入收藏
VPN禁令背后的真相:保护信息安全与维护网络治理
国内为什么要构建一道与世界沟通的防火墙?国内对VPN(Virtual Private Network,虚拟私人网络)的使用进行了严格限制,甚至禁止在国内使用VPN。这一举措引发了广泛的讨论和争议。有...【详细内容】
2023-04-11  Search: 信息安全  点击:(377)  评论:(0)  加入收藏
TikTok面临被禁危机,CEO周受资回应信息安全等问题
作者/吕倩3月23日,字节跳动海外短视频平台TikTok CEO周受资参加主题为“TikTok:国会如何保护美国数据隐私,保护儿童免受网络伤害”的美国众议院能源与商务委员会听证会,面临来...【详细内容】
2023-03-24  Search: 信息安全  点击:(102)  评论:(0)  加入收藏
关注信息安全 如何彻底删除手机信息
3月16日消息,在昨日晚间的 315 晚会上,央视对“手机就算恢复出厂设置也不一定能彻底清除手机数据”这一现象进行了报道。据央视报道称,电子产品迭代升级速度越来越快,消费者家中...【详细内容】
2023-03-16  Search: 信息安全  点击:(219)  评论:(0)  加入收藏
关于2023年的黑客攻击,首席信息安全官应该了解的事
如今的首席信息安全官必须确保他们始终为下一个发展趋势做好准备,并领先于对手。2023年的安全形势与一年前相比已经发生了一些变化,更不用说10年前。俄乌冲突、Web3和人工智能...【详细内容】
2023-02-17  Search: 信息安全  点击:(204)  评论:(0)  加入收藏
▌简易百科推荐
保护隐私,从微信朋友圈开始
在这个信息化高速发展的时代,微信已经成为了我们生活中不可或缺的一部分。无论是工作沟通、亲友联络,还是日常的消遣娱乐,微信都扮演着重要的角色。而微信朋友圈,更是成为了我们...【详细内容】
2024-04-08    松鼠宝贝  Tags:微信朋友圈   点击:(5)  评论:(0)  加入收藏
加密领域的热门概念和创新应用
在当下快速发展的加密货币领域,BTC Layer 2(二层)概念、比特币商业场景型的应用、DePIN以及AI领域的全球GPU算力调度网等项目备受关注,被视为具有巨大潜力的创新方向。让我们一...【详细内容】
2024-03-20  曜楠科技    Tags:加密   点击:(17)  评论:(0)  加入收藏
让隐私数据不再裸奔!一文掌握加密技术,让你的隐私高枕无忧
随着互联网的普及和数字化进程的加速,加密技术已经成为我们生活中不可或缺的一部分。从保护个人隐私到保障国家安全,加密技术都发挥着至关重要的作用。今天,我们就来一起盘点一...【详细内容】
2024-02-19  媺媺熊    Tags:隐私数据   点击:(0)  评论:(0)  加入收藏
人人都该懂密码学,通用密码学原理与应用实战|完结无密
来百度APP畅享高清图片//下栽のke:http://quangneng.com/4061/标题:人人都该懂密码学:通用密码学原理与应用实战在当今数字化的世界中,密码学已经成为了信息安全的核心。不论是...【详细内容】
2024-02-06  阿小白    Tags:密码学   点击:(49)  评论:(0)  加入收藏
笔记本电脑如何设置开机密码
在信息化时代,笔记本电脑已经成为我们工作、学习和生活中不可或缺的工具。然而,与此同时,信息安全问题也日益突出。为了保护个人隐私和重要数据,设置开机密码成为了必不可少的一...【详细内容】
2024-01-30  雨后海棠    Tags:开机密码   点击:(29)  评论:(0)  加入收藏
什么是密钥扩展?如何确保密码安全?
译者 | 陈峻审校 | 重楼为了访问自己的数字账户,我们通常需要用到密码或口令。不过,正如现实生活中开锁的钥匙可能并不总是牢靠一样,并非所有的密码都是安全的。为了加强在线防...【详细内容】
2023-12-22    51CTO  Tags:密码   点击:(89)  评论:(0)  加入收藏
SQL注入漏洞的检测及防御方法
SQL注入(SQL Injection)是一种广泛存在于Web应用程序中的严重安全漏洞,它允许攻击者在不得到授权的情况下访问、修改或删除数据库中的数据。这是一种常见的攻击方式,因此数据库...【详细内容】
2023-12-01  兰花豆说网络安全  微信公众号  Tags:SQL注入   点击:(115)  评论:(0)  加入收藏
网络安全秘籍:打造隐私防护墙,保卫您的个人信息!
随着互联网的普及,越来越多的个人信息被储存在网络上。这些信息包括我们的通讯地址、购物记录、银行账号等,一旦被黑客窃取,后果将不堪设想。那么,如何保护个人隐私免受网络攻击...【详细内容】
2023-11-21  白面知识铺    Tags:网络安全   点击:(199)  评论:(0)  加入收藏
在数字时代,如何确保您的个人数据安全
随着我们生活中越来越多的信息数字化,个人隐私保护成为一个不容忽视的重要话题。无论是网络购物、社交媒体还是在线银行,我们的大量个人数据都在网络上流动。那么,如何保护我们...【详细内容】
2023-10-30  万花筒娱圈    Tags:个人数据   点击:(270)  评论:(0)  加入收藏
密码的末路!谷歌将密钥设为所有用户的默认登录方式
作者丨Carly Page编译丨诺亚近日,谷歌宣布,密钥正在成为所有用户的默认登录方法。因此,密钥也被这家科技巨头吹捧为密码“终结的开始”。密钥是一种防网络钓鱼的密码替代品,允许...【详细内容】
2023-10-19    51CTO  Tags:密钥   点击:(238)  评论:(0)  加入收藏
站内最新
站内热门
站内头条