GB/T 43741-2024 网络安全技术 网络安全众测服务要求

ICS35.030

CCSL80

中华人民共和国国家标准

/—

GBT437412024

网络安全技术网络安全众测服务要求

Cbersecurittechnolo—

yygy

Reuirementsforcrowdsourcinsecurittestservices

qgy

2024-04-25发布2024-11-01实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—

GBT437412024

目次

前言…………………………Ⅰ

引言…………………………Ⅱ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4通则………………………2

4.1角色及职责…………………………2

4.2服务流程……………3

4.3安全风险……………4

5服务要求…………………4

5.1准备阶段服务要求…………………4

5.2实施阶段服务要求…………………5

5.3后处理阶段服务要求………………7

()…………

附录资料性网络安全众测服务平台功能

A8

()…………………

附录规范性授权测试方行为准则

B11

/—

GBT437412024

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由全国网络安全标准化技术委员会(/)提出并归口。

SACTC260

:、、

本文件起草单位国家计算机网络应急技术处理协调中心中国电子技术标准化研究院国家信息

、、()、

技术安全研究中心阿里云计算有限公司奇安信网神信息技术北京股份有限公司中国移动通信集

、、、、

团有限公司中国科学院软件研究所上海斗象信息科技有限公司北京天融信网络安全技术有限公司

、、、

中通服咨询设计研究院有限公司上海文鳐信息科技有限公司蚂蚁科技集团股份有限公司杭州安恒

、()、

信息技术股份有限公司北京市政务安全保障中心北京信息安全测评中心北京东方通网信科技有限

、、、、

公司北京众安天下科技有限公司北京奇虎科技有限公司中国工业互联网研究院启明星辰信息技术

、、。

集团股份有限公司北京数字观星科技有限公司中国电子科技网络信息安全有限公司

:、、、、、、、、、、

本文件主要起草人云晓春王文磊耿冬梅刘贤刚张大江舒敏孙彦杨晨高继明王宏

、、、、、、、、、、、、、、

严寒冰何能强董航王惠莅邓萍萍俞斌崔婷婷李媛胡鸣王俊杰郭亮闫宏石王龑邱勤

、、、、、、、。

左敏胡晓娜查奇文张奇杨蔚李旭楠严定宇伍俊毓

Ⅰ

/—

GBT437412024

引言

《》“、

中华人民共和国网络安全法第二十七条规定任何个人和组织不得从事非法侵入他人网络干

、;、

扰他人网络正常功能窃取网络数据等危害网络安全的活动不得提供专门用于从事侵入网络干扰网

、、……”。

络正常功能及防护措施窃取网络数据等危害网络安全活动的程序工具本文件在遵守国家相

,,

应的法律法规和技术标准要求的基础上紧密围绕国内网络安全众测服务的发展实践和需求提出了网

络安全众测服务要求。

Ⅱ

/—

GBT437412024

网络安全技术网络安全众测服务要求

1范围

,,,。

本文件描述了网络安全众测服务的角色及其职责服务流程以及安全风险规定了服务要求

本文件适用于网络安全众测服务活动。

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/—信息安全技术术语

GBT250692022

/—信息安全技术网络安全漏洞标识与描述规范

GBT284582020

/—信息安全技术网络安全漏洞管理规范

GBT302762020

/信息安全技术个人信息安全规范

GBT35273

3术语和定义

/—和/—界定的以及下列术语和定义适用于本文件。

GBT250692022GBT284582020

3.1

网络安全众测服务crowdsourcinsecurittestservice

gy

,

以众包和自愿的方式组织非特定的自然人或组织对网络产品和系统等开展漏洞发现等安全测试

的过程。

:。

注网络安全众测服务符合国家漏洞有关管理规定

1

:。

注关键信息基础设施的网络安全众测服务在网络安全主管部门和保护工作部门的指导下进行

2

3.2

众测需求方crowdsourcintestdemand-side

g

需要网络安全众测服务()的组织。

3.1

:,(),

注众测需求方拥有对测试对象的所有权与众测组织方3.3签订授权测试协议并授权众测组织方组织授权测试

方()开展网络安全众测服务()。

3.43.1

3.3

众测组织方crowdsourcintestrovider

gp

(),()

在众测需求方3.2授权下组织符合众测需求方要求的授权测试方3.4开展网络安全众测服务

()的组织。

3.1

3.4

授权测试方authorizedtestentit

y

获得众测组织方()授权对测试对象进行安全测试的自然人或组织。

3.3

3.5

众测审计方crowdsourcintestauditinentit

ggy

网络安全众测服务()过程中进行审计及监督的组织。

3.1

1