网络安全众测服务平台功能、授权测试方行为准则.docxVIP

（资料性）网络安全众测服务平台功能 网络安全众测服务平台可包括众测组织方模块、众测需求方模块、授权测试方模块、众测审计方模块四个部分。 众测需求方模块功能 概述 众测需求方服务模块功能可包括众测需求方账户管理、众测需求管理、漏洞验收。 众测需求方账户管理 能够对需要服务的众测需求方账号进行管理，设置查看漏洞等数据的权限。 众测需求管理 本项功能包括： 测试项目授权：众测需求方对测试范围中涉及的服务进行授权测试，众测需求方可以通过网络安全众测服务平台进行授权约束。 测试项目管理：用于帮助众测需求方管理测试进度及测试周期，若众测需求方需要提前结束项目，需要先通知网络安全众测服务平台及授权测试方。 漏洞验收 支持漏洞实时查看，众测需求方可进行确认漏洞、忽略漏洞等验收操作。 众测组织方模块功能 概述 众测组织方模块的功能可包括众测需求方及众测项目管理、授权测试方管理、漏洞审核处理。 众测项目管理 本项功能包括： 项目生成：支持按众测需求方的需求生成众测项目，生成项目的关键要素包括：测试时间、测试范围、测试要求、漏洞评级标准、验收标准。 项目分配：支持众测需求方按测试时间、技能、信誉、排名、任务完成情况、违规情况等多维度挑选授权测试方进行测试或对报名的授权测试方进行筛选；众测需求方也可委托众测组织方为其选择最合适的授权测试方。 项目周期管理：支持按众测需求方的设置正常开始和结束项目；当有多个众测需求方发起众测时，支持多个项目并行测试，并合理分配测试人员。在众测需求方提交告知的情况下，支持提早结束或暂停测试项目。同时需对测试对象进行定期健康检查，及时发现破坏与篡改行为，保证测试对象的可用性。 授权测试方管理 本项功能包括： 身份管理：该模块支持对测试人员的身份进行实名认证。注册申请的授权测试方必须要提供自己的身份相关信息，经审核通过才能参加具体项目中来；出于就测试项目或漏洞和授权测试方沟通的目的，该模块可要求授权测试方提供手机号或其他联系方式。可设立积分、排名，对授权测试方进行管理。 技能管理：采用综合能力评定方法审查授权测试方以保证其挑选到合适的授权测试方并获得良好的测试效果，如根据历史数据判定授权测试方的测试行为和漏洞提交情况是否符合要求。 项目管理：项目开始后，能够根据测试实际情况，如测试进展缓慢、测试对象性能压力等，对测试人员进行增加、删除、修改。 漏洞审核处理 当授权测试方提交漏洞之后，众测需求方自行或委托众测组织方对漏洞进行审核。漏洞宜有漏洞待审核、漏洞已确认、漏洞已驳回（忽略）、漏洞已修复、漏洞已复测等状态： 漏洞待审核表示授权测试方提交漏洞后，等待众测需求方进行审核处理。 漏洞已确认表示漏洞能被复现，确认漏洞有效。需要众测需求方对漏洞进行修复。 漏洞已驳回包括漏洞经确认不真实，并不可重现；漏洞过程证明过于简单（无截图等），众测需求方无法定位与修复漏洞；漏洞真实存在，但是影响不大，实际环境难以造成影响；漏洞属抄袭，或未经验证的提交；漏洞重复或互联网上已有细节公布。 漏洞已修复表示漏洞已经被众测需求方处理（修复）并解决。 漏洞已复测表示众测组织方在众测需求方确认漏洞修复后完成对漏洞的再次核查，再次通过技术或人工等手段，确认漏洞修复完善，漏洞不会被再次利用。 授权测试方模块功能 概述 授权测试方模块的功能可包括授权测试方账户管理、授权测试方众测项目管理、漏洞提交。 授权测试方账户管理 本项功能包括： 身份/技能管理：该模块支持授权测试方进行实名认证、设置昵称、组成团队等。支持其填写技能列表及擅长挖掘的漏洞类型。 荣誉及信誉管理：授权测试方提交被确认的漏洞可获得奖励。当授权测试方在测试过程中出现违背众测需求方测试要求的行为或违反网络安全法的行为时，该模块支持对授权测试方进行相应的处罚。 授权测试方众测项目管理 本项功能包括： 对分配给授权测试方测试的项目，项目的测试进展、变更，项目中提交的漏洞及相关审核进展；该模块可通过短信站内信等方式通知授权测试方及时处理。 对分配给授权测试方测试的项目，该模块具备告知其测试的对象、测试范围、测试时间、测试要求、验收标准、奖励标准等功能。 漏洞提交 本项功能包括： 授权测试方在提交漏洞时，该模块要求提交的漏洞需包含漏洞标题、漏洞类型、漏洞危害等级、漏洞状态、漏洞简介、漏洞详情、漏洞修复建议等。 授权测试方提交漏洞后可在后台实时查看漏洞的处理进展及漏洞的状态。若提交的漏洞信息不完整，该模块支持要求授权测试方将漏洞信息补充完整，否则漏洞可能会被驳回。 审计模块功能 概述 审计服务模块的功能可包括流量接入、代理账号管理、流量镜像和数据管控。 流量接入 本项功能包括： 接入安全测试流量； 流量接入身份由众测需求方确认，流量出口范围由众测需求方确认。 代理账号管理 本项功能包括： 能为授权测试方创建