ICS35.030 CCSL80 中华人民共和国国家标准 GB/T43741—2024 网络安全技术 网络安全众测服务要求 Cybersecuritytechnology— Requirementsforcrowdsourcingsecuritytestservices 2024-04-25发布 2024-11-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 通则 2 ……………………………………………………………………………………………………… 4.1 角色及职责 2 ………………………………………………………………………………………… 4.2 服务流程 3 …………………………………………………………………………………………… 4.3 安全风险 4 …………………………………………………………………………………………… 5 服务要求 4 ………………………………………………………………………………………………… 5.1 准备阶段服务要求 4 ………………………………………………………………………………… 5.2 实施阶段服务要求 5 ………………………………………………………………………………… 5.3 后处理阶段服务要求 7 ……………………………………………………………………………… 附录A(资料性) 网络安全众测服务平台功能 8 ………………………………………………………… 附录B(规范性) 授权测试方行为准则 11 …………………………………………………………………GB/T43741—2024 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院、国家信息 技术安全研究中心、阿里云计算有限公司、奇安信网神信息技术(北京)股份有限公司、中国移动通信集 团有限公司、中国科学院软件研究所、上海斗象信息科技有限公司、北京天融信网络安全技术有限公司、 中通服咨询设计研究院有限公司、上海文鳐信息科技有限公司、蚂蚁科技集团股份有限公司、杭州安恒 信息技术股份有限公司、北京市政务安全保障中心(北京信息安全测评中心)、北京东方通网信科技有限 公司、北京众安天下科技有限公司、北京奇虎科技有限公司、中国工业互联网研究院、启明星辰信息技术 集团股份有限公司、北京数字观星科技有限公司、中国电子科技网络信息安全有限公司。 本文件主要起草人:云晓春、王文磊、耿冬梅、刘贤刚、张大江、舒敏、孙彦、杨晨、高继明、王宏、 严寒冰、何能强、董航、王惠莅、邓萍萍、俞斌、崔婷婷、李媛、胡鸣、王俊杰、郭亮、闫宏石、王龑、邱勤、 左敏、胡晓娜、查奇文、张奇、杨蔚、李旭楠、严定宇、伍俊毓。 ⅠGB/T43741—2024 引 言 《中华人民共和国网络安全法》第二十七条规定“任何个人和组织不得从事非法侵入他人网络、干 扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网 络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具……”。本文件在遵守国家相 应的法律法规和技术标准要求的基础上,紧密围绕国内网络安全众测服务的发展实践和需求,提出了网 络安全众测服务要求。 ⅡGB/T43741—2024 网络安全技术 网络安全众测服务要求 1 范围 本文件描述了网络安全众测服务的角色及其职责,服务流程,以及安全风险,规定了服务要求。 本文件适用于网络安全众测服务活动。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069—2022 信息安全技术 术语 GB/T28458—2020 信息安全技术 网络安全漏洞标识与描述规范 GB/T30276—2020 信息安全技术 网络安全漏洞管理规范 GB/T35273 信息安全技术 个人信息安全规范 3 术语和定义 GB/T25069—2022和GB/T28458—2020界定的以及下列术语和定义适用于本文件。 3.1 网络安全众测服务 crowdsourcingsecuritytestservice 以众包和自愿的方式组织非特定的自然人或组织,对网络产品和系统等开展漏洞发现等安全测试 的过程。 注1:网络安全众测服务符合国家漏洞有关管理规定。 注2:关键信息基础设施的网络安全众测服务在网络安全主管部门和保护工作部门的指导下进行。 3.2 众测需求方 crowdsourcingtestdemand-side 需要网络安全众测服务(3.1)的组织。 注:众测需求方拥有对测试对象的所有权,与众测组织方(3.3)签订授权测试协议,并授权众测组织方组织授权测试 方(3.4)开展网络安全众测服务(3.1)。 3.3 众测组织方 crowdsourcingtestprovider 在众测需求方(3.2)授权下,组织符合众测需求方要求的授权测试方(3.4)开展网络安全众测服务 (3.1)的组织。 3.4 授权测试方 authorizedtestentity 获得众测组织方(3.3)授权对测试对象进行安全测试的自然人或组织。 3.5 众测审计方 crowdsourcingtestauditingentity 网络安全众测服务(3.1)过程中进行审计及监督的组织。 1GB/T43741—2024 3.6 第三方审计 third-partyauditing 独立于众测需求方(3.2)和众测组织方(3.3)的有公信力的众测审计方(3.5)提供的审计。 3.7 网络安全众测服务平台 crowdsourcingsecuritytestserviceplatform 由众测组织方(3.3)运营并通过在线方式提供网络安全众测服务(3.1)的平台。 4 通则 4.1 角色及职责 4.1.1 角色及其交互关系 网络安全众测服务涉及的角色包括众测需求方、众测组织方、授权测试方、众测审计方。各角色的 交互关系如图1所示。 图1 网络安全众测服务角色及其交互关系 在网络安全众测服务过程中,众测需求方与众测组织方之间通过授权委托建立众测服务关系,众测 组织方组织具备测试条件和能力的授权测试方实施众测,并由众测审计方对众测过程进行审计。众测 审计方一般应由具备众测审计条件和能力的第三方承担,对授权测试方的审计可由众测组织方承担。 各角色的职责详见4.1.2~4.1.5。 4.1.2 众测需求方 众测需求方的职责为:委托众测组织方提供安全众测服务,提供相应证明,明确众测授权和服务要 求,制定应急预案。 4.1.3 众测组织方 众测组织方的职责包括: a) 验证众测需求方的测试需求; b) 选择满足众测需求方要求的授权测试方,并给予测试授权; c) 管理授权测试方,包括制定并发布授权测试方行为准则等相关要求,对授权测试方进行身份核 验等; d) 向众测需求方交付众测结果; e) 众测实施环境的运营和管理; 2GB/T43741—2024 f) 接受并配合众测审计方的审计。 4.1.4 授权测试方 授权测试方的职责包括: a) 在众测需求方指定的测试范围及测试时间内进行测试; b) 在测试结束后交付测试中发现的安全漏洞及安全众测报告; c) 接受并配合众测审计方的审计。 4.1.5 众测审计方 众测审计方的职责包括: a) 对众测组织方及由众测组织方组织开展的众测服务活动进行审计及监督; b) 客观、公正出具众测审计报告。 4.2 服务流程 网络安全众测服务流程可分为准备阶段、实施阶段、后处理阶段三个阶段。网络安全众测服务流程 如图2所示。 图2 网络安全众测服务流程 网络安全众测服务流程包括以下几个阶段。 a) 准备阶段:众测需求方和众测组织方相互协商,明确双方权利义务;众测需求方向众测组织方 明确授权并委托众测组织方组织符合要求的授权测试方实施众测;众测组织方按照众测需求 方的要求发布众测项目,在获得众测需求方授权的前提下组织授权测试方;授权测试方做好测 试准备;众测审计方做好审计准备。 b) 实施阶段:授权测试方通过获得授权的安全接入方式执行测试,按要求提交漏洞;众测组织方 对漏洞进行初步审核后交付给众测需求方;众测需求方对漏洞进行审核确认;众测审计方对众 测过程进行审计和监督。 3GB/T43741—2024 c) 后处理阶段:在约定的测试时间结束后,众测组织方向众测需求方提供众测服务报告;众测审 计方提交众测审计报告。 4.3 安全风险 网络安全众测服务过程中主要面临以下安全风险。 a) 授权测试方行为不可控的风险:网络安全众测服务的授权测试方来自各种非特定的自然人或 组织,