YD_T 3745-2020 网络安全众测服务管理要求.docx

ICS 35.24 L70 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3745—2020 网络安全众测服务管理要求 Management requirements of network security crowd sourcing test service 2020-08-31 发布 2020-10-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3745—2020 目 次 前言 Ⅱ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 网络安全众测服务流程 2 5 网络安全众测服务流程的角色职责 3 5.1 众测需求方 3 5.2 安全众测平台 3 5.3 授权测试实体 4 5.4 第三方审计机构 4 6 网络安全众测服务管理要求 4 6.1 众测需求方管理要求 4 6.2 安全众测平台管理要求 4 6.3 授权测试实体管理要求 5 6.4 第三方审计管理要求 5 Ⅱ YD/T 3745—2020 前 言 本标准按照GB/T1.1—2009 给出的规则进行起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准主要起草单位：国家计算机网络应急技术处理协调中心、阿里云计算有限公司、北京众安 天下科技有限公司、北京奇安信科技有限公司、上海斗象信息科技有限公司、北京天融信网络安全技 术有限公司、西安邮电大学、恒安嘉新(北京)科技股份公司。 本标准主要起草人：舒敏、王文磊、陈悦、王晖、李娜、王柯龙、张大江、杨蔚、苏嘉鹏、郭颖、 高继明、谢忱、徐钟豪、王羹、安高峰、张勇、吴晨、崔婷婷、陈乔。 YD/T 3745—2020 网络安全众测服务管理要求 1 范围 本标准规范了网络安全众测服务的服务流程和管理规范。 本标准适用于参与网络安全众测服务的个人、组织和机构，也可作为安全主管部门进行监督、检查 的依据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术术语 3 术语和定义 GB/T 25069—2010 所确立的以及下列术语和定义适用于本文件。 3.1 网络安全众测服务 cybersecurity crowdsource testing platform 组织或机构依托其安全经验，通过互联网建立一个安全测试协作平台，组织授权测试实体，规范并 监督安全测试过程，对签约众测需求方提供安全渗透测试与漏洞发现等服务。 3.2 授权测试实体 authorized test entity 不恶意利用漏洞进行破坏或通过漏洞获得非法利益的白帽子黑客或安全公司，包括通过利用自身的 技术在客户授权的前提下对测试目标进行安全测试，帮助客户查找计算机系统或网络系统的漏洞、向众 测需求方报告并配合修复，确保众测需求方系统安全。 3.3 众测需求方 crowdsource testing demand-side 安全测试需求企业与安全众测平台签订授权测试协议，并同意平台授权给授权测试实体进行安全测 试的实体统称。 3.4 第三方审计 third-party auditing 对授权测试实体测试过程产生的日志信息，进行外部独立审计的组织机构。审计目的是确定测试过 程是否存在恶意破坏等高风险行为。 2 YD/T 3745—2020 4 网络安全众测服务流程 网络安全众测服务中的主要角色包括需要众测服务的企业或机构、安全众测平台所在组织或机构、 授权测试实体和第三方审计机构。 其主要业务流程包括需要众测服务的企业或机构通过企业认证后，与安全众测平台所在组织或机构 签订包含众测服务内容的相关协议后，在安全众测平台发起项目，通过实名认证的授权测试实体授权测 试实体参与项目进行测试，测试过程中发现的问题提交给安全众测平台，安全众测平台同步测试结果给 需求企业，进行漏洞处理，处理完毕后通过安全众测平台发放测试费用。其中测试过程由第三方审计机 构审计。主要的业务流程如图1所示。 众测需求方 众测需求方 根据需求发布众测 认证、申请安全 众测服务 指定测试范围 测试(如需审计， 测试授权 约定测试时间、测 试要求及验收标准 测试结果汇总并 提交测试报告 审计报告 结果处理 授权测试实体 通过实名认证、 技能符合要求 连接第三方审计 服务)并提交漏洞 项目(是否需要 第三方审计) 提供审计 结果报告 分配授权 测试实体 漏洞管理及处理 第三方审计机构 漏