网络安全众测服务授权测试方行为准则、网络安全众测服务平台功能

GB/T XXXXXXXXX 8 A A 附录A （规范性）授权测试方行为准则 授权测试方参与网络安全众测项目应遵守的行为准则如下：a)提供本人真实有效的身份信息并配合众测组织方完成身份认证；b)未经测试需求方许可，不泄露任何项目相关的敏感信息；c)严格按照项目规定的测试时间，仅通过获得授权的安全接入方式，并仅针对获得明确授权的测试对象开展测试；d)经许可在众测实施过程中可实现非授权访问或用户权限越权，在完成非授权逻辑、越权逻辑验证时，不再批量获取和留存用户信息和信息系统文件信息；e)经许可在众测实施过程中可执行数据库查询条件，在获得数据库实例、库表名称等信息证明时，不再批量查询涉及个人信息、业务信息的详细数据；f)经许可在众测实施过程中可获得系统主机、设备高权限，在获得当前用户系统环境信息证明时，不再获取其他用户数据和业务数据信息；g)不利用当前主机或设备作为跳板，对测试对象以外区域进行扫描测试；h)应充分估计目标网络、系统的安全冗余，不进行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描；i)未获得众测需求方的明确授权不执行可导致本地、远程拒绝服务危害的技术验证用例；j)不执行有可能导致整体业务逻辑扰动、有可能产生用户经济财产损失的技术验证用例；k)经许可可获得信息系统后台功能操作权限，在获得当前用户角色属性证明时，不再利用系统功能实施编辑、增删、篡改等操作；l)经许可可获得系统主机、设备、数据库高权限，在获得当前系统环境信息证明时，不再执行文件、程序、数据的编辑、增删、篡改等操作；m)经许可可在信息系统上传可解析、可执行文件，在获得解析和执行权限逻辑证明时，不驻留带有控制性目的程序、代码；n)及时提交真实完整的漏洞信息，不隐瞒不报，不将同一漏洞拆分提交；o)未经众测需求方许可，不将发现的漏洞信息透漏给任何组织或个人；p)众测项目完成后，及时删除所获取、留存的项目相关敏感信息。GB/T XXXXXXXXX 9 B B 附录B （资料性）网络安全众测服务平台功能 网络安全众测服务平台可包括众测需求模块、众测组织模块、授权测试模块、众测审计模块四个部分。B.1 众测需求模块功能 B.1.1 概述 众测需求模块功能可包括众测需求方账户管理、众测需求管理、漏洞验收。B.1.2 众测需求方账户管理 能够对需要服务的众测需求方账号进行管理，设置查看漏洞等数据的权限。B.1.3 众测需求管理 本项功能包括：a)测试项目授权：众测需求方对测试范围中涉及的服务进行授权测试，众测需求方可以通过网络安全众测服务平台进行授权约束；b)测试项目管理：用于帮助众测需求方管理测试进度及测试周期，若众测需求方需要提前结束项目，需要先通知网络安全众测服务平台及授权测试方。B.1.4 漏洞验收 支持漏洞实时查看，众测需求方可进行确认漏洞、忽略漏洞等验收操作。B.2 众测组织模块功能 B.2.1 概述 众测组织模块的功能可包括众测项目管理、授权测试方管理、漏洞审核处理。B.2.2 众测项目管理 本项功能包括：a)项目生成：支持按众测需求方的需求生成众测项目，生成项目的关键要素包括：测试时间、测试范围、测试要求、漏洞评级标准、验收标准；b)项目分配：支持众测需求方按测试时间、技能、信誉、排名、任务完成情况、违规情况等多维度挑选授权测试方进行测试或对报名的授权测试方进行筛选；众测需求方也可委托众测组织方为其选择最合适的授权测试方；c)项目周期管理：支持按众测需求方的设置正常开始和结束项目；当有多个众测需求方发起众测时，支持多个项目并行测试，并合理分配测试人员。在众测需求方提交告知的情况下，支持提早结束或暂停测试项目。同时需对测试对象进行定期健康检查，及时发现破坏与篡改行为，保证测试对象的可用性。B.2.3 授权测试方管理 GB/T XXXXXXXXX 10 本项功能包括：a)身份管理：该模块支持对测试人员的身份进行实名认证。注册申请的授权测试方必须要提供自己的身份相关信息，经审核通过才能参加具体项目中来；出于就测试项目或漏洞和授权测试方沟通的目的，该模块可要求授权测试方提供手机号或其他联系方式。可设立积分、排名，对授权测试方进行管理；b)技能管理：采用综合能力评定方法审查授权测试方以保证其挑选到合适的授权测试方并获得良好的测试效果，如根据历史数据判定授权测试方的测试行为和漏洞提交情况是否符合要求；c)项目管理：项目开始后，能够根据测试实际情况，如测试进展缓慢、测试对象性能压力等，对测试人员进行增加、删除、修改。B.2.4 漏洞审核处理 当授权测试方提交漏洞之后，众测需求方自行或委托众测组织方对漏洞进行审核。漏洞宜有漏洞待审核、漏洞已确认、漏洞已驳回（忽略）、漏洞已修复、漏洞已复测等状态：a)漏洞待审核表示授权测试方提交漏洞后，等待众测需求方进行审核处理；b)漏洞已确认表示漏洞能被复现，确认漏洞有效。需要众测需求方对漏洞进行修复；c)漏洞已驳回包括漏洞经确认不真实，并不可重现；漏洞过程证明过于简单（无截图等），众测需求方无法定位与修复漏洞；漏洞真实存在，但是影响不大，实际环境难以造成影响；漏洞属抄袭，或未经验证的提交；漏洞重复或互联网上已有细节公布；d)漏洞已修复表示漏洞已经被众测需求方处理（修复）并解决；e)漏洞已复测表示众测组织方在众测需求方确认漏洞修复后完成对漏洞的再次核查，再次通过技术或人工等手段，确认漏洞修复完善，漏洞不会被再次利用。B.3 授权测试模块功能 B.3.1 概述 授权测试模块的功能可包括授权测试方账户管理、授权测试方众测项目管理、漏洞提交。B.3.2 授权测试方账户管理 本项功能包括：a)身份/技能管理：该模块支持授权测试方进行实名认证、设置昵称、组成团队等。支持其填写技能列表及擅长挖掘的漏洞类型；b)荣誉及信誉管理：授权测试方提交被确认的漏洞可获得奖励。当授权测试方在测试过程中出现违背众测需求方测试要求的行为或违反网络安全法的行为时，该模块支持对授权测试方进行相应的处罚。B.3.3 授权测试方众测项目管理 本项功能包括：a)对分配给授权测试方测试的项目，项目的测试进展、变更，项目中提交的漏洞及相关审核进展；该模块可通过短信站内信等方式通知授权测试方及时处理；b)对分配给授权测试方测试的项目，该模块具备告知其测试的对象、测试范围、测试时间、测试要求、验收标准、奖励标准等功能。B.3.4 漏洞提交 本项功能包括：GB/T XXXXXXXXX 11 a)授权测试方在提交漏洞时，该模块要求提交的漏洞需包含漏洞标题、漏洞类型、漏洞危害等级、漏洞状态、漏洞简介、漏洞详情、漏洞修复建议等；b)授权测试方提交漏洞后可在后台实时查看漏洞的处理进展及漏洞的状态。若提交的漏洞信息不完整，该模块支持要求授权测试方将漏洞信息补充完整，否则漏洞可能会被驳回。B.4 众测审计模块功能 B.4.1 概述 众测审计模块的功能可包括流量接入、代理账号管理、流量镜像和数据管控。B.4.2 流量接入 本项功能包括：a)接入安全测试流量；b)流量接入身份由众测需求方确认，流量出口范围由众测需求方确认。B.4.3 代理账号管理 本项功能包括：a)能为授权测试方创建代理账号并进行管理，为授权测试方创建针对项目的唯一代理账号，用以标记和区分测试人员的流量；b)在流量存储中，按照安全众测服务平台、项目等生成授权测试方代理账号并控制账号失效时间，使其只在项目测试时段内有效；c)当发现代理账号的测试行为存在风险时，可立刻对该账号进行封停操作。B.4.4 流量镜像 能够对测试对象测试期间的的流量及日志进行留存，用于后续流量分析、审计、追溯等。B.4.5 数据管控 本项功能包括：a)具备格式整理和切片的功能；b)能够按照项目、时序、测试人员等维度将流量进行切片，并将其筛选、整理，形成行为分析模型能够读取的格式。