行業(yè)動態(tài)

全國信安標委發(fā)布《信息安全技術(shù) 網(wǎng)絡(luò)安全眾測服務(wù)要求》(征求意見稿)

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2022-09-29    瀏覽次數(shù):
 

2022927日,全國信息安全標準化技術(shù)委員會《信息安全技術(shù) 網(wǎng)絡(luò)安全眾測服務(wù)要求》(征求意見稿)(以下簡稱《眾測要求》),面向社會征求意見。

《眾測要求》確立了網(wǎng)絡(luò)安全眾測服務(wù)的角色及其職責,描述了服務(wù)流程,規(guī)定了服務(wù)要求,眾測需求方、眾測組織方、授權(quán)測試方和眾測審計方開展網(wǎng)絡(luò)安全眾測服務(wù)時使用。

《眾測要求》中的“網(wǎng)絡(luò)安全眾測服務(wù)”是指,以自愿的方式組織非特定的自然人或組織,在審計及監(jiān)督下,對網(wǎng)絡(luò)產(chǎn)品和系統(tǒng)等開展漏洞發(fā)現(xiàn)等安全測試的過程?!熬W(wǎng)絡(luò)安全眾測服務(wù)平臺”是指,由眾測組織方運營并通過在線方式提供網(wǎng)絡(luò)安全眾測服務(wù)的平臺。

《眾測要求》,網(wǎng)絡(luò)安全眾測服務(wù)涉及的角色包括眾測需求方、眾測組織方、授權(quán)測試方、眾測審計方,各角色的在網(wǎng)絡(luò)安全眾測服務(wù)過程中,眾測需求方與眾測組織方之間通過授權(quán)委托建立眾測服務(wù)關(guān)系,眾測組織方組織具備測試條件和能力的授權(quán)測試方實施眾測,并由眾測審計方對眾測過程進行審計。

眾測審計方一般根據(jù)眾測需求方的需要由具備眾測審計條件和能力的第三方承擔,對授權(quán)測試方的審計可由眾測組織方承擔。

其中,眾測需求方的職責為:授權(quán)眾測組織方提供安全眾測服務(wù),明確服務(wù)要求。

眾測組織方的職責包括:

  • 驗證眾測需求方的測試需求;
  • 選擇滿足眾測需求方要求的授權(quán)測試方;
  • 管理授權(quán)測試方,包括制定并發(fā)布授權(quán)測試方行為準則等相關(guān)要求,對授權(quán)測試方進行身份核驗等;
  • 如果眾測需求方提出第三方審計要求,配合第三方對眾測過程中的授權(quán)測試方行為、流量等進行審計;
  • 向眾測需求方交付眾測結(jié)果;
  • 眾測環(huán)境的運營和管理。

授權(quán)測試方的職責為:在眾測需求方指定的測試范圍及測試時間內(nèi)進行測試,并在測試結(jié)束后交付測試中發(fā)現(xiàn)的安全漏洞及安全眾測報告。

眾測審計方的職責包括:

  • 對眾測服務(wù)過程進行全流程審計及監(jiān)督;
  • 第三方審計對眾測組織方及由眾測組織方組織開展的眾測服務(wù)活動進行審計及監(jiān)督;
  • 客觀、公正出具審計報告。

另外,網(wǎng)絡(luò)安全眾測服務(wù)過程中面臨的主要安全風險包括:

  • 授權(quán)測試方行為不可控的風險:網(wǎng)絡(luò)安全眾測服務(wù)的授權(quán)測試方來自各種非特定的自然人或組織,若無法對眾測過程進行有效管理、監(jiān)督與審計,授權(quán)測試方在眾測過程中可能會進行違規(guī)操作;
  • 系統(tǒng)正常運行受到影響的風險:在安全眾測時,需要模擬黑客對設(shè)備和系統(tǒng)進行一定的攻擊測試工作,可能對系統(tǒng)的運行造成影響,甚至可能會影響業(yè)務(wù)連續(xù)性;
  • 敏感信息泄露的風險:授權(quán)測試方可能會獲取到被測系統(tǒng)的的業(yè)務(wù)數(shù)據(jù)或狀態(tài)信息,如用戶身份信息、用戶賬號信息、網(wǎng)絡(luò)拓撲、互聯(lián)網(wǎng)協(xié)議地址、業(yè)務(wù)流程、安全機制、安全漏洞信息等,存在敏感信息泄露風險。

 
 

上一篇:2022年9月28日聚銘安全速遞

下一篇:以色列國防巨頭埃爾比特系統(tǒng)美國分公司遭黑客攻擊