1信息安全技術網絡安全眾測服務要求GB/T25069—2020信息安全技術術語GB/T28458—2020信息安全技術網絡安全漏洞標識與GB/T30276—2020信息安全技術網絡安全漏洞GB/T35273信息安全技術個人GB/T25069—2022和GB/T28458—2020界定的以及下列術語和定義適用3.1網絡安全眾測服務crowdsourcingsecu3.2網絡安全眾測服務平臺crowdsourcingsecuritytes3.3眾測需求方crowdsourcingtest3.4眾測組織方crowdsourcing23.5授權測試方authorizedteste3.6眾測審計方crowdsourcingtestaud3.7第三方審計third-partya4概述計方一般根據眾測需求方的需要由具備眾測審計條件和能力的第三方承擔，對授權測試方的審計可由4.1.2眾測需求方4.1.3眾測組織方3準備階段實施階段后處理階段眾測組織方授權測試方眾測審計方準備階段實施階段后處理階段眾測組織方授權測試方眾測審計方4.1.4授權測試方4.1.5眾測審計方b)第三方審計對眾測組織方及由眾測組織方組織開展的眾測服務活4.2服務流程眾測需求方眾測需求方明確授權并授權眾測組織方組織符合要求的授權測試方實施眾測；眾測組織方按照眾測需求方的要求44.3安全風險試工作，可能對系統的運行造成影響，甚至可能會影響業務b)應建立測試過程中安全監控機制及突發事件應急預案，協調人員做好測試期間的5——眾測中發現的漏洞信息等。）；i)應支持眾測需求方按測試時間、技能、信譽、排名等k)應對授權測試方進行實名認證和背景調查。應要求授權測試方提供身份證號o)宜支持授權測試方填寫多維度的屬性信息，如技能列表及擅長挖掘p)應面向授權測試方定期開展培訓，培訓的內容宜包括項目測試范圍、項目測試時b)應完成眾測審計的技術準備工作，包括系統環境搭建、穩定性測試、安全接入賬5.2實施階段服務要求6g)應建立授權測試方的信譽或積分體系，對不符合相關法律法規及不按眾測需求方要求進行測h)應協助眾測審計方，在眾測過程中進行審計及監督。f)未經許可不應對交易數據、用戶信息等敏感信息進行下載/拖取，收到對數據拖取行為的報警h)應提交真實完整且描述清晰的漏洞信息，上報的安全漏洞宜按照GB/T7常功能、竊取網絡數據等危害網絡安全的行為或活動，并保存原始5.3后處理階段服務要求試人員、測試對象整體安全情況分析、漏洞分布及分析、漏洞信息、漏洞修復建議、b)應按約定及時刪除眾測需求方測試對象相關材料、漏洞等敏感信息；授權測試方應及時刪除眾測實施過程中上傳的木馬、后門程序d)安全審計報告的內容應包括測試范圍、測試時間、測試人員、審計內容、及審計結果等；f)應按約定及時刪除眾測過程中的測試流量等敏感信息。8授權測試方參與網絡安全眾測項目應遵守的行為準則a)提供本人真實有效的身份信息并配合眾測組b)未經測試需求方許可，不泄露任何項目相關的敏感信息；g)不利用當前主機或設備作為跳板，對測試對象以外區域進行掃描測試；i)未獲得眾測需求方的明確授權不執行可j)不執行有可能導致整體業務邏輯擾動、有可能產生用戶經濟財產損失的技術驗證用例；o)未經眾測需求方許可，不將發現的漏洞信息透漏給任何組織或個人；p)眾測項目完成后，及時刪除所獲取、留存的項目相關敏感信息。9眾測需求模塊功能可包括眾測需求方賬戶管理、眾測需求管理眾測組織模塊的功能可包括眾測項目管理、授權測試方管理、漏洞度挑選授權測試方進行測試或對報名的授權測試方進行篩選；眾測需求方也可委托眾測組織b)技能管理：采用綜合能力評定方法審查授權測試方以保證其挑選），d)漏洞已修復表示漏洞已經被眾測需求方處理（修復）并解決；e)漏洞已復測表示眾測組織方在眾測需求方確認漏洞修復后完成對漏洞的再次核查，再次通過授權測試模塊的功能可包括授權測試方賬戶管理、授權測試方眾測項目管理、漏洞提該模塊可通過短信站內信等方式通知授權測b)授權測試