安全資訊

《移動(dòng)支付網(wǎng)》消息：2月10日，中國人民銀行正式批準發(fā)布金融行業(yè)標準《金融網(wǎng)絡(luò )安全 網(wǎng)絡(luò )安全眾測實(shí)施指南》（JR/T 0214—2021）。

標準給出了金融信息系統網(wǎng)絡(luò )安全眾測實(shí)施的指導，明確了眾測的作用、重點(diǎn)關(guān)注的風(fēng)險項以及實(shí)施主體和職責，并提供了依托眾測需求方、眾測組織方、眾測測試方以及眾測審計方等四方主體進(jìn)行眾測準備、眾測實(shí)施以及分析與報告編制的過(guò)程，適用于金融機構開(kāi)展網(wǎng)絡(luò )安全眾測工作，并為給金融機構提供網(wǎng)絡(luò )安全眾測服務(wù)的組織提供參考。

眾測：一個(gè)存在多年卻“不正規”的行業(yè)

網(wǎng)絡(luò )安全眾測，對于非行業(yè)人士來(lái)說(shuō)可能根本沒(méi)有聽(tīng)說(shuō)過(guò)，但如果換個(gè)說(shuō)法，白帽子黑客，就有很多人聽(tīng)說(shuō)過(guò)了。

黑客，是指尋找并利用漏洞入侵計算機系統，盜竊數據或進(jìn)行破壞的網(wǎng)絡(luò )技術(shù)人員，而白帽子黑客，是指站在黑客的立場(chǎng)攻擊系統以進(jìn)行安全漏洞排查的技術(shù)人員，他們的工作被稱(chēng)為“挖洞”。 

最了解你的人是你的敵人，這句話(huà)在網(wǎng)絡(luò )安全界也行得通，因此白帽子的工作雖然看起來(lái)無(wú)關(guān)緊要，但事實(shí)上是每個(gè)公司不可或缺的一部分。

唯一的問(wèn)題在于，白帽子的工作總是隨心所欲的。在這一行最開(kāi)始的時(shí)候，白帽子黑客和黑客的行為在很多時(shí)候是無(wú)法分辨的。 

雙方同時(shí)游蕩在系統的外圍，使用各種各樣的方式對系統進(jìn)行攻擊，區別只在發(fā)現漏洞后的處置上，是報告給企業(yè)，還是盜走數據賣(mài)掉。

從法律角度來(lái)說(shuō)，白帽子的行為可以說(shuō)是“在違法的邊緣反復橫跳”，這個(gè)過(guò)程中，白帽子和企業(yè)往往會(huì )產(chǎn)生不可調和的矛盾。為了解決矛盾，漏洞平臺出現了，平臺的作用就是作為白帽子和企業(yè)之間的溝通橋梁，一方面為企業(yè)提供安全幫助，另一方面為白帽子解除一定的法律風(fēng)險。 

但是在2016年，白帽子和企業(yè)之間的矛盾還是爆發(fā)了，這就是著(zhù)名的“世紀佳緣白帽事件”。 

白帽子袁煒發(fā)現世紀佳緣網(wǎng)站存在SQL注入漏洞，在測試中獲取了4000多條信息。他在2015年12月將漏洞報告給當時(shí)國內最大的漏洞平臺，烏云互聯(lián)網(wǎng)漏洞報告平臺，通過(guò)烏云警告了世紀佳緣，世紀佳緣在修復漏洞后在2016年1月通知了警方，2016年3月袁煒遭到了逮捕。

事情的發(fā)展總是讓人措手不急，“世紀佳緣白帽事件”讓白帽子和企業(yè)之間的矛盾徹底爆發(fā)，對于白帽子行為邊界認定問(wèn)題得到了廣泛的討論，在還未得出一個(gè)公認的結果前，2016年7月20日凌晨，烏云網(wǎng)無(wú)法訪(fǎng)問(wèn)，網(wǎng)站公告稱(chēng)，烏云及相關(guān)服務(wù)將升級，并稱(chēng)將在最短時(shí)間內回歸。

指南：讓行業(yè)變得正規對所有人都好

在“世紀佳緣白帽事件”之后，白帽子群體依舊在行動(dòng)，“挖洞”沒(méi)有停止，更多的漏洞平臺和白帽子站了出來(lái)，在這一行業(yè)發(fā)光發(fā)熱。

不過(guò)白帽子和企業(yè)之間的矛盾并沒(méi)有得到實(shí)質(zhì)意義上的解決。 

首先是在心態(tài)上，企業(yè)對于白帽子的挖洞行為一直處于一個(gè)很微妙的狀態(tài)，漏洞的確實(shí)存在讓他們必須要依靠白帽子，但是想要讓他們承認白帽子的工作成果又是很難過(guò)去的一道心理關(guān)卡，這就觸犯了白帽子的利益。 

2020年11月，網(wǎng)絡(luò )尖刀團隊發(fā)布《網(wǎng)絡(luò )尖刀團隊關(guān)于終止攜程SRC漏洞合作公開(kāi)聲明》，將攜程與白帽子之間的問(wèn)題公開(kāi)化處理，同時(shí)讓我們看見(jiàn)了企業(yè)和白帽子之間的沖突：源于企業(yè)對于漏洞的認定和白帽子對于漏洞的認定不一致，實(shí)質(zhì)上是企業(yè)不想承認白帽子的工作成果。

在法律上，雖然平臺的出現降低了白帽子面對的法律風(fēng)險，但是白帽子依舊是在法律邊緣游走，在面對法律風(fēng)險和工作成果無(wú)法得到承認的現實(shí)打擊下，很多白帽子對很多漏洞都是抱著(zhù)“多一事不如少一事”的心態(tài)。 

很明顯，這樣的事情對于企業(yè)、白帽子、平臺來(lái)說(shuō)都不是好事情，沒(méi)有任何一方獲益。

《網(wǎng)絡(luò )安全眾測實(shí)施指南》的出臺就是為了解決這個(gè)行業(yè)痛點(diǎn)?！吨改稀访鞔_了眾測運營(yíng)中四個(gè)角色的職責與義務(wù)：

1、眾測需求方 

明確了授權主體為金融機構和授權要求。

組織系統、網(wǎng)絡(luò )、安全運維團隊做好測試期間的系統、網(wǎng)絡(luò )、安全的監控工作，發(fā)現重大安全攻擊事件或系統服務(wù)中斷等突發(fā)事件，及時(shí)啟動(dòng)相應的應急流程。 

做好眾測過(guò)程突發(fā)事件的應急響應工作，包括事件報告、事件分析、事件處置、評估總結等工作。 

委派或委托平臺指派項目負責人對項目進(jìn)行實(shí)時(shí)跟蹤，對提交的漏洞及時(shí)進(jìn)行審核和確認，對發(fā)現的漏洞進(jìn)行處理及應急響應，嚴格管理漏洞的生命周期。

進(jìn)行漏洞審核時(shí)，宜嚴格按照協(xié)議驗收，評定漏洞風(fēng)險。 

組織專(zhuān)項工作人員負責跟蹤漏洞的處置修復，對于危害較高的漏洞，組織相關(guān)人員對漏洞進(jìn)行快速整改修復，并協(xié)調漏洞復檢工作。

2、眾測組織方 

明確了組織方對實(shí)施人員和過(guò)程的要求，明確了組織方的科學(xué)管理體系要求，同時(shí)，明確要求保障測試人員的身份與背景可靠，明確組織方要對實(shí)施人員完成實(shí)名認證，包含個(gè)人/企業(yè)實(shí)名認證，并簽署安全保密協(xié)議。 

對測試人員進(jìn)行安全保密教育與其簽訂安全保密責任書(shū)，規定履行的安全保密義務(wù)和承擔的法律責任，并負責檢査落實(shí)，明確簽署安全保密教育與保密責任書(shū)。 

在保密教育與保密協(xié)議任務(wù)中，組織方根據需求方對于安全眾測項目的要求，對測試人員進(jìn)行安全保密宣傳和教育培訓工作，包括項目測試范圍、項目測試時(shí)間、項目測試行為準則、安全保密要求等，與測試人員簽署安全保密協(xié)議。 

明確需要提供網(wǎng)絡(luò )安全眾測授權委托書(shū)/安全測試人員清單，明確測試方可以是個(gè)人參與或者企業(yè)參與，并且簽署保密協(xié)議。 

通過(guò)技能考核設置測試方的準入門(mén)檻，同時(shí)建立測試方的信譽(yù)體系及優(yōu)勝劣汰競爭機制。 

對不符合相關(guān)法律法規及不按需求方要求進(jìn)行測試的測試方進(jìn)行處罰及清退,確保身份可信、技能可行。

3、眾測測試方

對測試人員要求滿(mǎn)足，年滿(mǎn)18周歲，無(wú)違法及犯罪記錄，并且履行遵守國家有關(guān)法律法規和技術(shù)標準、需求方和組織方的相關(guān)要求，在授權的范圍內開(kāi)展安全眾測服務(wù)。 

明確測試方，在授權范圍內開(kāi)展安全眾測服務(wù)，提供準確、真實(shí)、客觀(guān)的網(wǎng)絡(luò )安全漏洞等義務(wù)，明確需要配合完成漏洞復測任務(wù)，對測試人員明確測試邊界與測試行為要求。

4、眾測審計方

一方面是對安全眾測過(guò)程的可控、可審計，更安全可靠的配合組織方交付項目。另一方面，能夠更好的量化測試人員的工作量及測試目標范圍。 

1)明確了審計方與組織方、測試方宜相互權限隔離。

2)眾測審計方，明確了對眾測過(guò)程中的流量及日志進(jìn)行保存，并且明確要求記錄測試人員訪(fǎng)問(wèn)信息，包括眾測環(huán)境系統/賬號的登錄、登出等關(guān)鍵時(shí)間，以及眾測項目測試時(shí)對眾測系統所做的行為，包括用戶(hù)、時(shí)間、事件類(lèi)型、操作的資源、操作的結果、訪(fǎng)問(wèn)發(fā)起端的地址或標識。 

3)審計方的審計系統向需求方開(kāi)放，即需求方有權對測試入員的行為進(jìn)行實(shí)時(shí)審計、檢查。 

4)負責測試過(guò)程中測試人員的安全監控工作，發(fā)現異常及時(shí)通知需求方和組織方。 

5)負責測試過(guò)程中，測試人員安全接入賬號的管理工作，包括賬號暫停、賬號恢復、項目暫停、項目恢復等。 

6)發(fā)生突發(fā)事件時(shí)，協(xié)助需求方進(jìn)行突發(fā)事件的溯源分析和應急響應工作。 

7)安全審計報告的內容包括但不限于測試范圍、測試時(shí)間、測試人員、審計內容及審計結果等。 

8)編寫(xiě)安全審計報告，安全審計報告的內容包括但不限于： 

審計測試人員是否按照要求使用授權的測試接入途徑進(jìn)行安全測試。 

審計整體的測試過(guò)程，量化測試人員測試工作量、測試目標范圍。 

審計測試人員使用的攻擊手法。 

審計測試人員的高風(fēng)險行為操作，溯源攻擊過(guò)程。 

備份測試流量和行為等審計信息，建議保存6個(gè)月以上，以滿(mǎn)足安全眾測后期事件溯源的需要。 

明確了四方角色的職責與義務(wù)，實(shí)質(zhì)上是將“挖洞”行為正規化，保證各方利益，讓行業(yè)進(jìn)入良性發(fā)展。

對于網(wǎng)絡(luò )安全行業(yè)來(lái)說(shuō)，這樣的正規化，可以將更多的民間力量納入到網(wǎng)絡(luò )安全體系當中，助力我國網(wǎng)絡(luò )安全行業(yè)的發(fā)展。