ICS35.24

CCSL70

YD

中華人民共和國通信行業標準

YD/T[×××××]—[××××]

[代替YD/T]

網絡安全眾測平臺第三方安全審計技術

要求

Technicalspecificationsforthird-partysecurityauditofnetworksecurity

crowdsourcedtestingplatforms

[點擊此處添加與國際標準一致性程度的標識]

（報批稿）

[點擊此處添加本稿完成日期]

[××××]-[××]-[××]發布[××××]-[××]-[××]實施

中華人民共和國工業和信息化部發布

YD/T×××××—××××

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定

起草。

本文件屬于網絡安全眾測系列標準之一，該系列標準包括：

YD/T3744網絡安全眾測平臺技術要求

YD/T3745網絡安全眾測服務管理要求

YD/TXXXX網絡安全眾測平臺第三方安全審計技術要求

請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。

本文件由中國通信標準化協會提出并歸口。

本文件起草單位：國家計算機網絡應急技術處理協調中心、上海斗象信息科技有限公司、阿里云

計算有限公司、北京奇虎科技有限公司、北京東方通網信科技有限公司、中國信息通信研究院、杭州

安恒信息技術股份有限公司。

本文件主要起草人：王暉、張奇、肖佃艷、呂夢凡、鄒瀟湘、張屹、吳昊、姚一楠、景慧昀、崔

婷婷、范樂君、王文磊、鄒昕、王博、舒敏、李政、張大江、俞斌、李其蓉。

II

YD/T×××××—××××

網絡安全眾測平臺第三方安全審計技術要求

1范圍

本文件規定了網絡安全眾測平臺的第三方審計業務場景、工作流程、主要任務和技術要求。

本文件適用于參與網絡安全眾測服務的個人、組織和機構，也可以作為網絡安全主管部門進行監

督、檢查的依據。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用

于本文件。

YD/T3744-2020網絡安全眾測平臺技術要求

YD/T3745-2020網絡安全眾測服務管理要求

3術語和定義

下列術語和定義適用于本文件。

3.1

網絡安全眾測平臺cybersecuritycrowdsourcetestingplatform

組織或機構依托其安全經驗，通過互聯網建立一個安全測試協作平臺，組織授權測試實體，規范

并監督安全測試過程，對簽約眾測需求方提供安全滲透測試與漏洞發現等服務。

3.2

授權測試實體authorizedtestentity

不惡意利用漏洞進行破壞或通過漏洞獲得非法利益的白帽子黑客或安全公司，包括通過利用自身

的技術在客戶授權的前提下對測試目標進行安全測試，幫助客戶查找計算機系統或網絡系統的漏洞、

向眾測需求方報告并配合修復，確保眾測需求方系統安全。

3.3

眾測需求方crowdsourcetestingdemand-side

安全測試需求企業與網絡安全眾測平臺簽訂授權測試協議，并同意平臺授權給授權測試實體進行

安全測試的實體統稱。

3.4

1

YD/T×××××—××××

第三方審計third-partyaudit

對授權測試實體測試過程產生的日志信息，進行外部獨立審計的組織機構。審計目的是確定測試

過程是否存在惡意破壞等高風險行為。

3.5

安全審計securityaudit

對信息系統的各種事件及行為實行監測、信息采集、分析，并針對特定事件及行為采取相應的動

作。

4縮略語

下列縮略語適用于本文件。

ARP：地址解析協議（AddressResolutionProtocol）

DNS：域名系統（DomainNameSystem）

HTTP：超文本傳輸協議（HyperTextTransferProtocol）

HTTPS：超文本傳輸安全協議（HyperTextTransferProtocoloverSecureSocketLayer）

ICMP：控制報文協議（InternetControlMessageProtocol）

IGMP：網際組管理協議（InternetGroupManagementProtocol）

POP3：郵局協議版本3（PostOfficeProtocol-Version3）

TCP：傳輸控制協議（TransmissionControlProtocol）

UDP：用戶數據報協議（UserDatagramProtocol）

DDoS：分布式拒絕服務攻擊（DistributedDenialofService）

APT：高級可持續威脅攻擊（AdvancedPersistentThreat）

5安全審計描述

5.1需求描述

針對眾測需求方要求引入第三方審計機構的網絡安全眾測服務項目，網絡安全眾測平臺應協助眾

測需求方和第三方審計機構，對授權測試實體的測試行為進行審計，主要包括：連接審計系統后再進

行測試；記錄測試人員的測試行為及測試流量，以備后期取證；審計授權測試實體是否有未授權的入

侵網絡、干擾網絡正常功能、竊取網絡數據等危害網絡安全的行為或活動，對整個測試過程進行控制。

5.2業務場景

5.2.1應用識別

基于對授權測試實體的測試流量進行采集、過濾、整形，并對測試流量進行關聯分析，有效的識

別授權測試實體對眾測需求方測試的過程中所使用的應用情況。

5.2.2網絡協議解析

第三方審計基于對眾測過程流量捕獲、協議解析、協議轉存實現無丟失抓包、存包。通過安全策

略設置有效發現異常流量，并通過預先設置好的應對策略，對網絡協議流量進行處理。

5.2.3異常行為發現

2

YD/T×××××—××××

授權測試實體在眾測過程中，可能會對眾測需求方進行高風險操作，如服務器提權、拖庫等行為。

授權測試實體在進行高風險操作時，其行為會和正常的眾測行為基線存在差異。因此，可以通過對授

權測試實體的監測以及眾測行為的管理，及時發現異常行為，從而及時進行告警。

5.2.4安全溯源

安全溯源是指當攻擊、仿冒等網絡事件發生以后，能根據與此相關的例如日志記錄、時間等信息，

找到引發事件的實體。而在網絡安全眾測流量審計中，可以針對授權測試實體進行身份識別，同時對

其網絡痕跡進行還原。

5.3工作流程

第三方安全審計工作流程分為：

a)審計準備階段：審計立項，明確審計依據，制定審計方案，編制工作計劃。

b)審計實施階段：第三方審計接入網絡安全眾測平臺、眾測需求方進行審計，收集審計內容，

開展審計工作，審計結果溝通。

c)審計終結階段：撰寫審計報告，提交報告。

5.4主要任務

5.4.1眾測第三方審計任務

在眾測第三方審計任務中，審計方根據測試過程中記錄的測試流量等內容，對授權測試實體的測

試行為和流量進行審計。

本項要求包括：

a)審計方根據測試過程中記錄的測試流量等內容，對授權測試實體的測試行為和流量進行審計。

b)審計結果應以審計報告的形式交付給眾測需求方說明該次安全測試審計情況，幫助網絡安全

眾測平臺提升對眾測授權測試實體的管控能力。

5.4.2編寫審計報告

第三方審計結束后，審計組應對取得的審計證據進行綜合分析，并撰寫審計報告，模板參見附錄

A。

主要包括下列內容：

a)安全審計報告的內容包括但不限于測試范圍、測試時間、測試人員、審計內容及審計結果等。

b)安全審計報告內容應客觀、完整、清晰、及時。

6技術要求

6.1流量審計

網絡安全眾測平臺的業務流量是指授權測試實體與眾測需求方之間的流量。

流量審計是第三方審計需要對網絡安全眾測平臺的業務流量進行實時審計分析。流量審計過程如

圖1所示。

3

YD/T×××××—××××

RequestRequest

授權測試實體第三方審計眾測需求方

ResponseResponse

圖1網絡安全眾測流量審計過程示意圖

流量審計主要包括流量接口、流量日志、流量異常、流量數據管控等內容。流量審計協議種類包

括但不限于HTTP、HTTPS、TCP、UDP、ICMP、IGMP、POP3、ARP、DNS等。

流量審計要求包括：

a)流量接口：第三方審計機構應對網絡安全眾測平臺進行眾測中的流量數據接口的規范性及流

量走向等進行審計。

b)流量日志：第三方審計機構對安全測試目標過程中的所有流量日志進行留存，應保存6個月

以上，用于后續流量分析、審計、備查等。

c)流量異常：建立網絡安全眾測平臺或用戶的正常流量基線，發現異常流量（包括但不限于上

傳惡意文件、拖庫、篡改信息等）。

d)流量數據管控:對安全測試流量進行格式整理和切片處理，并按照項目、時序、測試人員等

維度將流量進行切片，整理、篩選后，形成行為分析模型能夠讀取的格式。

6.2行為審計

行為審計是指對網絡行為進行實時監督、響應和記錄，從而發現異常行為并給予快速處理。

行為審計包括授權測試實體行為審計、網絡安全眾測平臺行為審計。

授權測試實體行為審計要求包括：

a)對授權測試實體拖庫、服務器提權等未授權行為進行監督。

b)通過對授權測試實體在線時長、次數、流量、時段、訪問目標、訪問頻次、訪問時長等的統

計，分析授權測試實體的行為特征、可信程度等。

c)對授權測試實體的高風險行為如撞庫攻擊、批量賬號登錄、掃描器攻擊，未授權下載和上傳

后門等進行回溯分析。

網絡安全眾測平臺行為審計要求包括：

a)網絡安全眾測平臺的網絡行為、管理行為應遵循YD/T3744-2020及YD/T3745-2020的相關

要求。

b)網絡安全眾測平臺應遵循YD/T3744-2020第6章6.1節及YD/T3745=2020第8章的相關規

定進行用戶數據隔離、數據庫加固、身份鑒別、訪問控制、資源監控等。

6.3內容審計

內容審計是指在審計行為經用戶和系統授權的前提下，對平臺流量報文的凈荷進行深度分析、信

息還原，防止隱私泄露等。

內容審計包括測試內容審計、測試報告內容審計、網絡安全眾測平臺內容審計。

內容審計要求包括：

a)測試內容審計：對測試內容進行審計分析，以防止用戶隱私、敏感數據等泄露。

b)測試報告內容審計：對授權測試實體提交的測試報告內容進行分析過濾，保障測試報告的專

業性、漏洞等敏感數據的保密性等。

c)網絡安全眾測平臺內容審計：對網絡安全眾測平臺傳輸的報文內容進行審計分析，對數據進

行保密性、完整性檢驗等。

4

YD/T×××××—××××

6.4威脅審計

威脅審計是對網絡流量進行解析，以發現并處置相關威脅，并且對威脅進行實時監測和審計分析。

威脅審計要求抓取授權測試實體對目標測試的行為流量進行威脅情報審計分析，主要包括DDoS攻

擊、APT攻擊、僵尸網絡、黑客工具、勒索病毒、挖礦木馬、惡意下載、流氓推廣、竊密木馬、網絡蠕

蟲等。

6.5人員審計

人員審計是對授權測試實體在文件、履行職責等方面進行審計核實。

授權測試實體相關文件包括但不限于授權測試實體與網絡安全眾測平臺簽署的用戶及保密協議，

基于網絡安全眾測平臺的身份、技能認證等。

人員審計要求包括：

a)授權測試實體應與網絡安全眾測平臺簽署用戶及保密協議。

b)授權測試實體應配合網絡安全眾測平臺完成身份、技能認證。

c)在測試過程中，應按協議要求，進行安全測試。

5

YD/T×××××—××××

附錄A

（資料性）

網絡安全眾測第三方審計機構審計報告模板

A.1審計概述

A.1.1項目簡介

簡述審計項目背景及意義、委托方等項目基本情況。

A.1.2審計依據

分類列出開展審計活動所依據的標準、文件和合同等。

YD/T3744信息安全技術網絡安全眾測服務管理要求

YD/T3745信息安全技術網絡安全眾測服務技術要求

YD/TXXXX網絡安全眾測平臺第三方安全審計技術要求

A.1.3審計過程

描述審計工作流程、各階段完成的關鍵任務和工作時間節點等內容。

A.1.4報告分發范圍

說明網絡安全眾測審計報告正本份數與分發范圍。

A.2單項審計結果分析

A.2.1流量審計

A.2.1.1流量統計

對授權測試實體vpn賬戶接入的使用情況進行數據統計，形成授權測試實體投入時間，有效測試時

長，測試流量分布等描述。

A.2.1.2流量接口

針對眾測活動中流量數據接口的規范性及流量走向等進行分析。形成被審計對象流量數據接口類

型和流量走向描述，給出符合性評價。

A.2.1.3異常流量

將眾測活動中流量與正常流量基線比對，形成眾測活動中流量特征描述，給出有無異常流量的評

價及對應截圖、數據包佐證（包括但不限于上傳惡意文件、拖庫、篡改信息等）。

A.2.2行為審計

A.2.2.1授權測試實體行為審計

針對眾測活動中授權測試實體在線時長、次數、流量、時段、訪問頻次、訪問時長、異常操作等

進行統計分析。形成授權測試實體特征、行為描述，給出符合性評價。

6

YD/T×××××—××××

A.2.2.2網絡安全眾測平臺行為審計

針對網絡安全眾測平臺在數據傳輸、數據隔離、數據庫加固、身份鑒別、訪問控制、資源監控等

方面的措施進行評估，形成被審計對象在數據傳輸、數據隔離、數據庫加固、身份鑒別、訪問控制、

資源監控等方面的保護措施及存在的安全問題描述。

A.2.3威脅審計

針對授權測試實體對目標測試的行為流量進行威脅情報審計分析，形成包括APT,僵尸網絡、黑客

工具、勒索病毒、挖礦木馬、惡意下載、流氓推廣、竊密木馬、網絡蠕蟲等威脅的描述。

A.2.4人員審計

對授權測試實體與網絡安全眾測平臺簽署的用戶及保密協議，身份、技能認證，有無違規測試等

內容進行統計確認，形成符合性評價表。

A.3總體評價

根據被審計對象審計結果和審計過程中了解的相關信息，對本次眾測活動的安全及規范性進行說

明和評價，包括授權測試實體的測試行為的規范性，審計數據的完整性，安全測試流量數據的可信度

等。基于綜合評價結果對本次眾測活動是否符合審計技術要求給出總體結論。

附件眾測流量日志

編制報告必要時或按照眾測需求方要求，附上相關流量日志內容。

_________________________________

7

YD/T×××××—××××

目次

前言............................................................................................................................................................II

1范圍.................................................................................................................................................................1

2規范性引用文件.............................................................................................................................................1

3術語和定義.....................................................................................................................................................1

4縮略語.............................................................................................................................................................2

5安全審計描述.................................................................................................................................................2

5.1需求描述..................................................................................................................................................2

5.2業務場景..................................................................................................................................................2

5.2.1應用識別...........................................................................................................................................2

5.2.2網絡協議解析...................................................................................................................................2

5.2.3異常行為發現...................................................................................................................................2

5.2.4安全溯源...........................................................................................................................................3

5.3工作流程..................................................................................................................................................3

5.4主要任務..................................................................................................................................................3

5.4.1眾測第三方審計任務.......................................................................................................................3

5.4.2編寫審計報告...................................................................................................................................3

6技術要求.........................................................................................................................................................3

6.1流量審計..................................................................................................................................................3

6.2行為審計..................................................................................................................................................4

6.3內容審計..................................................................................................................................................4

6.4威脅審計..................................................................................................................................................5

6.5人員審計..................................................................................................................................................5

附錄A（資料性）網絡安全眾測第三方審計機構審計報告模板........................................................6

I

YD/T×××××—××××

網絡安全眾測平臺第三方安全審計技術要求

1范圍

本文件規定了網絡安全眾測平臺的第三方審計業務場景、工作流程、主要任務和技術要求。

本文件適用于參與網絡安全眾測服務的個人、組織和機構，也可以作為網絡安全主管部門進行監

督、檢查的依據。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用

于本文件。

YD/T3744-2020網絡安全眾測平臺技術要求

YD/T3745-2020網絡安全眾測服務管理要求

3術語和定義

下列術語和定義適用于本文件。

3.1

網絡安全眾測平臺cybersecuritycrowdsourcetestingplatform

組織或機構依托其安全經驗，通過互聯網建立一個安全測試協作平臺，組織授權測試實體，規范

并監督安全測試過程，對簽約眾測需求方提供安全滲透測試與漏洞發現等服務。

3.2

授權測試實體authorizedtestentity

不惡意利用漏洞進行破壞或通過漏洞獲得非法利益的白帽子黑客或安全公司，包括通過利用自身

的技術在客戶授權的前提下對測試目標進行安全測試，幫助客戶查找計算機系統或網絡系統的漏洞、

向眾測需求方報告并配合修復，確保眾測需求方系統安全。

3.3

眾測需求方crowdsourcetestingdemand-side

安全測試需求企業與網絡安全眾測平臺簽訂授權測試協議，并同意平臺授權給授權測試實體進行

安全測試的實體統稱。

3.4

1

YD/T×××××—××××

第三方審計third-partyaudit

對授權測試實體測試過程產生的日志信息，進行外部獨立審計的組織機構。審計目的是確定測試

過程是否存在惡意破壞等高風險行為。

3.5

安全審計securityaudit

對信息系統的各種事件及行為實行監測、信息采集、分析，并針對特定事件及行為采取相應的動

作。

4縮略語

下列縮略語適用于本文件。

ARP：地址解析協議（AddressResolutionProtocol）

DNS：域名系統（DomainNameSystem）

HTTP：超文本傳輸協議（HyperTextTransferProtocol）

HTTPS：超文本傳輸安全協議（HyperTextTransferProtocoloverSecureSocketLayer）

ICMP：控制報文協議（InternetControlMessageProtocol）

IGMP：網際組管理協議（InternetGroupManagementProtocol）

POP3：郵局協議版本3（PostOfficeProtocol-Version3）

TCP：傳輸控制協議（TransmissionControlProtocol）

UDP：用戶數據報協議（UserDatagramProtocol）

DDoS：分布式拒絕服務攻擊（DistributedDenialofService）

A