YD_T 3744-2020 网络安全众测平台技术要求.docx

ICS 35.24 L70 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3744—2020 网络安全众测平台技术要求 Technical requirements of network security crowd sourcing test platform 2020-08-31 发布 2020-10-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3744—2020 目 次 前言 Ⅱ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 网络安全众测平台服务流程 2 5 网络安全众测平台功能要求 3 5.1 网络安全众测平台整体功能架构 3 5.2 众测需求方模块功能要求 3 5.3 安全众测平台模块功能要求 4 5.4 授权测试实体模块功能要求 5 5.5 第三方审计机构模块功能要求 6 6 众测平台安全要求 8 6.1 用户数据保护 8 6.2 通信网络安全 8 Ⅱ YD/T 3744—2020 前 言 本标准按照GB/T1.1—2009 给出的规则进行起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准主要起草单位：阿里云计算有限公司、国家计算机网络应急技术处理协调中心、北京众安 天下科技有限公司、奇安信科技集团股份有限公司、上海斗象信息科技有限公司、北京天融信网络安 全技术有限公司、西安邮电大学、恒安嘉新(北京)科技股份公司。 本标准主要起草人：李娜、王珂龙、张大江、舒敏、王文磊、陈悦、王晖、杨蔚、苏嘉鹏、郭颖、 高继明、谢忱、徐钟豪、王羹、安高峰、张勇、吴晨、崔婷婷、何文杰。 YD/T 3744—2020 网络安全众测平台技术要求 1 范围 本标准规定了网络安全众测平台的业务流程、功能要求和安全要求。 本标准适用于网络安全众测平台。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术术语 3 术语和定义 GB/T 25069—2010 所确立的以及下列术语和定义适用于本文件。 3.1 网络安全众测平台 cybersecurity crowdsource testing platform 组织或机构依托其安全经验，通过互联网建立一个安全测试协作平台，组织授权测试实体，规范并 监督安全测试过程，对签约众测需求方提供安全渗透测试与漏洞发现等服务。 3.2 授权测试实体 authorized test entity 不恶意利用漏洞进行破坏或通过漏洞获得非法利益的白帽子黑客或安全公司，包括通过利用自身的 技术在客户授权的前提下对测试目标进行安全测试，帮助客户查找计算机系统或网络系统的漏洞、向众 测需求方报告并配合修复，确保众测需求方系统安全。 3.3 众测需求方 crowdsource testing demand-side 安全测试需求企业与安全众测平台签订授权测试协议，并同意平台授权给授权测试实体进行安全测 试的实体统称。 3.4 第三方审计 third-party auditing 对授权测试实体测试过程产生的日志信息，进行外部独立审计的组织机构。审计目的是确定测试过 程是否存在恶意破坏等高风险行为。 2 YD/T 3744—2020 4 网络安全众测平台服务流程 网络安全众测服务中的主要角色包括需要众测服务的企业或机构、安全众测平台所在组织或机构、 授权测试实体和第三方审计机构。 其主要业务流程包括需要众测服务的企业或机构通过企业认证后，与安全众测平台所在组织或机构 签订包含众测服务内容的相关协议后，在安全众测平台发起项目，通过实名认证的授权测试实体授权测 试实体参与项目进行测试，测试过程中发现的问题提交给安全众测平台，安全众测平台同步测试结果给 需求企业，进行漏洞处理，处理完毕后通过安全众测平台发放测试费用。其中测试过程由第三方审计机 构审计。主要的业务流程如图1所示。 安全众测平台 安全众测平台 根据需求发布众 测项目(是否需 要第三方审计) 分配授权 测试实体 测试(如需审计， 连接第三方审计 服 务 ) 并 提 交 漏 洞 约定测试时间、测 试要求及验收标准 测试结果汇总 并提交测试报告 审计报告 结果处理 授权测试实体 通过实名认证、 技能符合要求 众测需求方 认证、申请 安全众测服务 提供审计 结果报告 漏洞管理 及处理 漏洞确认 和修复 第三方审计机构 接收测试报告 指定测试范围