ICS 35. 24 CCS L70 YD 中华人民共和国通信行业标准 [××××]-[×X×××]1/0 [代替YD/T] 网络安全众测平台第三方安全审计技术 要求 Technical specifications for third-party security audit of network security crowdsourced testing platforms [点击此处添加与国际标准一致性程度的标识] 行业标准信息服务平台 (报批稿) 此处添加本稿完成日期] [××××]-[××]-[××]发布 [xxx×]-[××]-[××]实施 中华人民共和国工业和信息化部 发布
YD/Txxxxxxxxx 目次 前 言 1范围 2规范性引用文件 3术语和定义, 4缩略语.
5安全审计描述. 5.1需求描述. 5.2业务场景.. 5.2.1应用识别.. 5.2.2网络协议解析.
5.2.3异常行为发现 .2 5.2.4安全溯源, 5.3工作流程.. .3 5.4主要任务 .3 5.4.1众测第三方审计任务 .3 5.4.2编写审计报告.
.3 6技术要求. .3 6.1流量审计, .3 6.2行为审计. 6.3内容审计.. 4 6.4威胁审计.. .5 6.5人员审计 .5 附录A(资料性)网络安全众测第三方审计机构审计报告模板. 信息服务平台
YD/Txxxxxxxxx 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
本文件属于网络安全众测系列标准之一,该系列标准包括: YD/T3744网络安全众测平台技术要求 YD/T3745网络安全众测服务管理要求 YD/TXXXX网络安全众测平台第三方安全审计技术要求 请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:国家计算机网络应急技术处理协调中心、上海斗象信息科技有限公司、阿里云 计算有限公司、北京奇虎科技有限公司、北京东方通网信科技有限公司、中国信息通信研究院、杭州 安恒信息技术股份有限公司.
本文件主要起草人:王晖、张奇、肖仙艳、吕梦凡、邹潇湘、张屹、吴昊、姚一楠、景慧昀、崔 婷婷、范乐君、王文磊、邹昕、王博、舒敏、李政、张大江、俞斌、李其蓉.
行业标准信息服务平台 I1
YD/Txxxxxxxxx 网络安全众测平台第三方安全审计技术要求 1范围 本文件规定了网络安全众测平台的第三方审计业务场景、工作流程、主要任务和技术要求.
本文件适用于参与网络安全众测服务的个人、组织和机构,也可以作为网络安全主管部门进行监 督、检查的依据.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用 于本文件.
YD/T3744-2020网络安全众测平台技术要求 YD/T3745-2020网络安全众测服务管理要求 3术语和定义 下列术语和定义适用于本文件.
3. 1 网络安全众测平台cybersecurity crowdsource testingplatform 组织或机构依托其安全经验,通过互联网建立一个安全测试协作平台,组织授权测试实体,规范 并监督安全测试过程,对签约众测需求方提供安全渗透测试与漏洞发现等服务.
3. 2 授权测试实体authorizedtestentity 不恶意利用漏润进行破坏或通过漏洞获得非法利益的白帽子黑客或安全公司,包括通过利用自身 的技术在客户授权的前提下对测试目标进行安全测试,帮助客户查找计算机系统或网络系统的漏洞、 向众测需求方报告并配合修复,确保众测需求方系统安全.
3.3 众测需求方crowdsource testing demand-side 安全测试需求企业与网络安全众测平台签订授权测试协议,并同意平台授权给授权测试实体进行 安全测试的实体统称.
3. 4
YD/Txxxxxxxxx 第三方审计third-partyaudit 对授权测试实体测试过程产生的日志信息,进行外部独立审计的组织机构.
审计目的是确定测试 过程是否存在恶意破坏等高风险行为.
3.5 安全审计security audit 对信息系统的各种事件及行为实行监测、信息采集、分析,并针对特定事件及行为采取相应的动 作.
下列缩略语适用于本文件.
ARP:地址解析协议(Address Resolution Protocol) DNS:城名系统(Domain Name System) HTTP:超文本传输协议(Hyper Text Transfer Protocol) HTTPS:超文本传输安全协议(Hyper Text Transfer Protocol over Secure Socket Layer) ICMP:控制报文协议(Internet ControlMessage Protocol) IGMP:网际组管理协议(Internet Group Management Protocol) POP3:邮局协议版本3(Post Office Protocol-Version 3) TCP:传输控制协议(Transmission ControlProtocol) UDP:用户数据报协议(User Datagram Protocol) DDoS:分布式拒绝服务攻击(Distributed Denialof Service) APT:高级可持续威胁攻击(Advanced Persistent Threat) 5安全审计描述 5.1需求描述 针对众测需求方要求引入第三方审计机构的网络安全众测服务项目,网络安全众测平台应协助众 测需求方和第三方审计机构,对授权测试实体的测试行为进行审计,主要包括:连接审计系统后再进 行测试:记录测试人员的测试行为及测试流量,以备后期取证:审计授权测试实体是否有未授权的入 侵网络、干扰网络正常功能、窃取网络数据等危害网络安全的行为或活动,对整个测试过程进行控制.
5.2业务场景 5.2.1应用识别 基于对授权测试实体的测试流量进行采集、过滤、整形,并对测试流量进行关联分析,有效的识 别授权测试实体对众测需求方测试的过程中所使用的应用情况.
5.2.2网络协议解析 第三方审计基于对众测过程流量捕获、协议解析、协议转存实现无丢失抓包、存包.
通过安全策 略设置有效发现异常流量,并通过预先设置好的应对策略,对网络协议流量进行处理.
5.2.3异常行为发现
