YDT 4576-2023網(wǎng)絡(luò)安全眾測(cè)平臺(tái)第三方安全審計(jì)技術(shù)要求

ICS35.24

CCSL70

YD

中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)

YD/T[×××××]—[××××]

[代替YD/T]

網(wǎng)絡(luò)安全眾測(cè)平臺(tái)第三方安全審計(jì)技術(shù)

要求

Technicalspecificationsforthird-partysecurityauditofnetworksecurity

crowdsourcedtestingplatforms

[點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)]

（報(bào)批稿）

[點(diǎn)擊此處添加本稿完成日期]

[××××]-[××]-[××]發(fā)布[××××]-[××]-[××]實(shí)施

中華人民共和國(guó)工業(yè)和信息化部發(fā)布

YD/T×××××—××××

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件屬于網(wǎng)絡(luò)安全眾測(cè)系列標(biāo)準(zhǔn)之一，該系列標(biāo)準(zhǔn)包括：

YD/T3744網(wǎng)絡(luò)安全眾測(cè)平臺(tái)技術(shù)要求

YD/T3745網(wǎng)絡(luò)安全眾測(cè)服務(wù)管理要求

YD/TXXXX網(wǎng)絡(luò)安全眾測(cè)平臺(tái)第三方安全審計(jì)技術(shù)要求

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。

本文件由中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)提出并歸口。

本文件起草單位：國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、上海斗象信息科技有限公司、阿里云

計(jì)算有限公司、北京奇虎科技有限公司、北京東方通網(wǎng)信科技有限公司、中國(guó)信息通信研究院、杭州

安恒信息技術(shù)股份有限公司。

本文件主要起草人：王暉、張奇、肖佃艷、呂夢(mèng)凡、鄒瀟湘、張屹、吳昊、姚一楠、景慧昀、崔

婷婷、范樂(lè)君、王文磊、鄒昕、王博、舒敏、李政、張大江、俞斌、李其蓉。

II

YD/T×××××—××××

網(wǎng)絡(luò)安全眾測(cè)平臺(tái)第三方安全審計(jì)技術(shù)要求

1范圍

本文件規(guī)定了網(wǎng)絡(luò)安全眾測(cè)平臺(tái)的第三方審計(jì)業(yè)務(wù)場(chǎng)景、工作流程、主要任務(wù)和技術(shù)要求。

本文件適用于參與網(wǎng)絡(luò)安全眾測(cè)服務(wù)的個(gè)人、組織和機(jī)構(gòu)，也可以作為網(wǎng)絡(luò)安全主管部門(mén)進(jìn)行監(jiān)

督、檢查的依據(jù)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用

于本文件。

YD/T3744-2020網(wǎng)絡(luò)安全眾測(cè)平臺(tái)技術(shù)要求

YD/T3745-2020網(wǎng)絡(luò)安全眾測(cè)服務(wù)管理要求

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

網(wǎng)絡(luò)安全眾測(cè)平臺(tái)cybersecuritycrowdsourcetestingplatform

組織或機(jī)構(gòu)依托其安全經(jīng)驗(yàn)，通過(guò)互聯(lián)網(wǎng)建立一個(gè)安全測(cè)試協(xié)作平臺(tái)，組織授權(quán)測(cè)試實(shí)體，規(guī)范

并監(jiān)督安全測(cè)試過(guò)程，對(duì)簽約眾測(cè)需求方提供安全滲透測(cè)試與漏洞發(fā)現(xiàn)等服務(wù)。

3.2

授權(quán)測(cè)試實(shí)體authorizedtestentity

不惡意利用漏洞進(jìn)行破壞或通過(guò)漏洞獲得非法利益的白帽子黑客或安全公司，包括通過(guò)利用自身

的技術(shù)在客戶授權(quán)的前提下對(duì)測(cè)試目標(biāo)進(jìn)行安全測(cè)試，幫助客戶查找計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的漏洞、

向眾測(cè)需求方報(bào)告并配合修復(fù)，確保眾測(cè)需求方系統(tǒng)安全。

3.3

眾測(cè)需求方crowdsourcetestingdemand-side

安全測(cè)試需求企業(yè)與網(wǎng)絡(luò)安全眾測(cè)平臺(tái)簽訂授權(quán)測(cè)試協(xié)議，并同意平臺(tái)授權(quán)給授權(quán)測(cè)試實(shí)體進(jìn)行

安全測(cè)試的實(shí)體統(tǒng)稱。

3.4

1

YD/T×××××—××××

第三方審計(jì)third-partyaudit

對(duì)授權(quán)測(cè)試實(shí)體測(cè)試過(guò)程產(chǎn)生的日志信息，進(jìn)行外部獨(dú)立審計(jì)的組織機(jī)構(gòu)。審計(jì)目的是確定測(cè)試

過(guò)程是否存在惡意破壞等高風(fēng)險(xiǎn)行為。

3.5

安全審計(jì)securityaudit

對(duì)信息系統(tǒng)的各種事件及行為實(shí)行監(jiān)測(cè)、信息采集、分析，并針對(duì)特定事件及行為采取相應(yīng)的動(dòng)

作。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

ARP：地址解析協(xié)議（AddressResolutionProtocol）

DNS：域名系統(tǒng)（DomainNameSystem）

HTTP：超文本傳輸協(xié)議（HyperTextTransferProtocol）

HTTPS：超文本傳輸安全協(xié)議（HyperTextTransferProtocoloverSecureSocketLayer）

ICMP：控制報(bào)文協(xié)議（InternetControlMessageProtocol）

IGMP：網(wǎng)際組管理協(xié)議（InternetGroupManagementProtocol）

POP3：郵局協(xié)議版本3（PostOfficeProtocol-Version3）

TCP：傳輸控制協(xié)議（TransmissionControlProtocol）

UDP：用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol）

DDoS：分布式拒絕服務(wù)攻擊（DistributedDenialofService）

APT：高級(jí)可持續(xù)威脅攻擊（AdvancedPersistentThreat）

5安全審計(jì)描述

5.1需求描述

針對(duì)眾測(cè)需求方要求引入第三方審計(jì)機(jī)構(gòu)的網(wǎng)絡(luò)安全眾測(cè)服務(wù)項(xiàng)目，網(wǎng)絡(luò)安全眾測(cè)平臺(tái)應(yīng)協(xié)助眾

測(cè)需求方和第三方審計(jì)機(jī)構(gòu)，對(duì)授權(quán)測(cè)試實(shí)體的測(cè)試行為進(jìn)行審計(jì)，主要包括：連接審計(jì)系統(tǒng)后再進(jìn)

行測(cè)試；記錄測(cè)試人員的測(cè)試行為及測(cè)試流量，以備后期取證；審計(jì)授權(quán)測(cè)試實(shí)體是否有未授權(quán)的入

侵網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的行為或活動(dòng)，對(duì)整個(gè)測(cè)試過(guò)程進(jìn)行控制。

5.2業(yè)務(wù)場(chǎng)景

5.2.1應(yīng)用識(shí)別

基于對(duì)授權(quán)測(cè)試實(shí)體的測(cè)試流量進(jìn)行采集、過(guò)濾、整形，并對(duì)測(cè)試流量進(jìn)行關(guān)聯(lián)分析，有效的識(shí)

別授權(quán)測(cè)試實(shí)體對(duì)眾測(cè)需求方測(cè)試的過(guò)程中所使用的應(yīng)用情況。

5.2.2網(wǎng)絡(luò)協(xié)議解析

第三方審計(jì)基于對(duì)眾測(cè)過(guò)程流量捕獲、協(xié)議解析、協(xié)議轉(zhuǎn)存實(shí)現(xiàn)無(wú)丟失抓包、存包。通過(guò)安全策

略設(shè)置有效發(fā)現(xiàn)異常流量，并通過(guò)預(yù)先設(shè)置好的應(yīng)對(duì)策略，對(duì)網(wǎng)絡(luò)協(xié)議流量進(jìn)行處理。

5.2.3異常行為發(fā)現(xiàn)

2

YD/T×××××—××××

授權(quán)測(cè)試實(shí)體在眾測(cè)過(guò)程中，可能會(huì)對(duì)眾測(cè)需求方進(jìn)行高風(fēng)險(xiǎn)操作，如服務(wù)器提權(quán)、拖庫(kù)等行為。

授權(quán)測(cè)試實(shí)體在進(jìn)行高風(fēng)險(xiǎn)操作時(shí)，其行為會(huì)和正常的眾測(cè)行為基線存在差異。因此，可以通過(guò)對(duì)授

權(quán)測(cè)試實(shí)體的監(jiān)測(cè)以及眾測(cè)行為的管理，及時(shí)發(fā)現(xiàn)異常行為，從而及時(shí)進(jìn)行告警。

5.2.4安全溯源

安全溯源是指當(dāng)攻擊、仿冒等網(wǎng)絡(luò)事件發(fā)生以后，能根據(jù)與此相關(guān)的例如日志記錄、時(shí)間等信息，

找到引發(fā)事件的實(shí)體。而在網(wǎng)絡(luò)安全眾測(cè)流量審計(jì)中，可以針對(duì)授權(quán)測(cè)試實(shí)體進(jìn)行身份識(shí)別，同時(shí)對(duì)

其網(wǎng)絡(luò)痕跡進(jìn)行還原。

5.3工作流程

第三方安全審計(jì)工作流程分為：

a)審計(jì)準(zhǔn)備階段：審計(jì)立項(xiàng)，明確審計(jì)依據(jù)，制定審計(jì)方案，編制工作計(jì)劃。

b)審計(jì)實(shí)施階段：第三方審計(jì)接入網(wǎng)絡(luò)安全眾測(cè)平臺(tái)、眾測(cè)需求方進(jìn)行審計(jì)，收集審計(jì)內(nèi)容，

開(kāi)展審計(jì)工作，審計(jì)結(jié)果溝通。

c)審計(jì)終結(jié)階段：撰寫(xiě)審計(jì)報(bào)告，提交報(bào)告。

5.4主要任務(wù)

5.4.1眾測(cè)第三方審計(jì)任務(wù)

在眾測(cè)第三方審計(jì)任務(wù)中，審計(jì)方根據(jù)測(cè)試過(guò)程中記錄的測(cè)試流量等內(nèi)容，對(duì)授權(quán)測(cè)試實(shí)體的測(cè)

試行為和流量進(jìn)行審計(jì)。

本項(xiàng)要求包括：

a)審計(jì)方根據(jù)測(cè)試過(guò)程中記錄的測(cè)試流量等內(nèi)容，對(duì)授權(quán)測(cè)試實(shí)體的測(cè)試行為和流量進(jìn)行審計(jì)。

b)審計(jì)結(jié)果應(yīng)以審計(jì)報(bào)告的形式交付給眾測(cè)需求方說(shuō)明該次安全測(cè)試審計(jì)情況，幫助網(wǎng)絡(luò)安全

眾測(cè)平臺(tái)提升對(duì)眾測(cè)授權(quán)測(cè)試實(shí)體的管控能力。

5.4.2編寫(xiě)審計(jì)報(bào)告

第三方審計(jì)結(jié)束后，審計(jì)組應(yīng)對(duì)取得的審計(jì)證據(jù)進(jìn)行綜合分析，并撰寫(xiě)審計(jì)報(bào)告，模板參見(jiàn)附錄

A。

主要包括下列內(nèi)容：

a)安全審計(jì)報(bào)告的內(nèi)容包括但不限于測(cè)試范圍、測(cè)試時(shí)間、測(cè)試人員、審計(jì)內(nèi)容及審計(jì)結(jié)果等。

b)安全審計(jì)報(bào)告內(nèi)容應(yīng)客觀、完整、清晰、及時(shí)。

6技術(shù)要求

6.1流量審計(jì)

網(wǎng)絡(luò)安全眾測(cè)平臺(tái)的業(yè)務(wù)流量是指授權(quán)測(cè)試實(shí)體與眾測(cè)需求方之間的流量。

流量審計(jì)是第三方審計(jì)需要對(duì)網(wǎng)絡(luò)安全眾測(cè)平臺(tái)的業(yè)務(wù)流量進(jìn)行實(shí)時(shí)審計(jì)分析。流量審計(jì)過(guò)程如

圖1所示。

3

YD/T×××××—××××

RequestRequest

授權(quán)測(cè)試實(shí)體第三方審計(jì)眾測(cè)需求方

ResponseResponse

圖1網(wǎng)絡(luò)安全眾測(cè)流量審計(jì)過(guò)程示意圖

流量審計(jì)主要包括流量接口、流量日志、流量異常、流量數(shù)據(jù)管控等內(nèi)容。流量審計(jì)協(xié)議種類(lèi)包

括但不限于HTTP、HTTPS、TCP、UDP、ICMP、IGMP、POP3、ARP、DNS等。

流量審計(jì)要求包括：

a)流量接口：第三方審計(jì)機(jī)構(gòu)應(yīng)對(duì)網(wǎng)絡(luò)安全眾測(cè)平臺(tái)進(jìn)行眾測(cè)中的流量數(shù)據(jù)接口的規(guī)范性及流

量走向等進(jìn)行審計(jì)。

b)流量日志：第三方審計(jì)機(jī)構(gòu)對(duì)安全測(cè)試目標(biāo)過(guò)程中的所有流量日志進(jìn)行留存，應(yīng)保存6個(gè)月

以上，用于后續(xù)流量分析、審計(jì)、備查等。

c)流量異常：建立網(wǎng)絡(luò)安全眾測(cè)平臺(tái)或用戶的正常流量基線，發(fā)現(xiàn)異常流量（包括但不限于上

傳惡意文件、拖庫(kù)、篡改信息等）。

d)流量數(shù)據(jù)管控:對(duì)安全測(cè)試流量進(jìn)行格式整理和切片處理，并按照項(xiàng)目、時(shí)序、測(cè)試人員等

維度將流量進(jìn)行切片，整理、篩選后，形成行為分析模型能夠讀取的格式。

6.2行為審計(jì)

行為審計(jì)是指對(duì)網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)監(jiān)督、響應(yīng)和記錄，從而發(fā)現(xiàn)異常行為并給予快速處理。

行為審計(jì)包括授權(quán)測(cè)試實(shí)體行為審計(jì)、網(wǎng)絡(luò)安全眾測(cè)平臺(tái)行為審計(jì)。

授權(quán)測(cè)試實(shí)體行為審計(jì)要求包括：

a)對(duì)授權(quán)測(cè)試實(shí)體拖庫(kù)、服務(wù)器提權(quán)等未授權(quán)行為進(jìn)行監(jiān)督。

b)通過(guò)對(duì)授權(quán)測(cè)試實(shí)體在線時(shí)長(zhǎng)、次數(shù)、流量、時(shí)段、訪問(wèn)目標(biāo)、訪問(wèn)頻次、訪問(wèn)時(shí)長(zhǎng)等的統(tǒng)

計(jì)，分析授權(quán)測(cè)試實(shí)體的行為特征、可信程度等。

c)對(duì)授權(quán)測(cè)試實(shí)體的高風(fēng)險(xiǎn)行為如撞庫(kù)攻擊、批量賬號(hào)登錄、掃描器攻擊，未授權(quán)下載和上傳

后門(mén)等進(jìn)行回溯分析。

網(wǎng)絡(luò)安全眾測(cè)平臺(tái)行為審計(jì)要求包括：

a)網(wǎng)絡(luò)安全眾測(cè)平臺(tái)的網(wǎng)絡(luò)行為、管理行為應(yīng)遵循YD/T3744-2020及YD/T3745-2020的相關(guān)

要求。

b)網(wǎng)絡(luò)安全眾測(cè)平臺(tái)應(yīng)遵循YD/T3744-2020第6章6.1節(jié)及YD/T3745=2020第8章的相關(guān)規(guī)

定進(jìn)行用戶數(shù)據(jù)隔離、數(shù)據(jù)庫(kù)加固、身份鑒別、訪問(wèn)控制、資源監(jiān)控等。

6.3內(nèi)容審計(jì)

內(nèi)容審計(jì)是指在審計(jì)行為經(jīng)用戶和系統(tǒng)授權(quán)的前提下，對(duì)平臺(tái)流量報(bào)文的凈荷進(jìn)行深度分析、信

息還原，防止隱私泄露等。

內(nèi)容審計(jì)包括測(cè)試內(nèi)容審計(jì)、測(cè)試報(bào)告內(nèi)容審計(jì)、網(wǎng)絡(luò)安全眾測(cè)平臺(tái)內(nèi)容審計(jì)。

內(nèi)容審計(jì)要求包括：

a)測(cè)試內(nèi)容審計(jì)：對(duì)測(cè)試內(nèi)容進(jìn)行審計(jì)分析，以防止用戶隱私、敏感數(shù)據(jù)等泄露。

b)測(cè)試報(bào)告內(nèi)容審計(jì)：對(duì)授權(quán)測(cè)試實(shí)體提交的測(cè)試報(bào)告內(nèi)容進(jìn)行分析過(guò)濾，保障測(cè)試報(bào)告的專

業(yè)性、漏洞等敏感數(shù)據(jù)的保密性等。

c)網(wǎng)絡(luò)安全眾測(cè)平臺(tái)內(nèi)容審計(jì)：對(duì)網(wǎng)絡(luò)安全眾測(cè)平臺(tái)傳輸?shù)膱?bào)文內(nèi)容進(jìn)行審計(jì)分析，對(duì)數(shù)據(jù)進(jìn)

行保密性、完整性檢驗(yàn)等。

4

YD/T×××××—××××

6.4威脅審計(jì)

威脅審計(jì)是對(duì)網(wǎng)絡(luò)流量進(jìn)行解析，以發(fā)現(xiàn)并處置相關(guān)威脅，并且對(duì)威脅進(jìn)行實(shí)時(shí)監(jiān)測(cè)和審計(jì)分析。

威脅審計(jì)要求抓取授權(quán)測(cè)試實(shí)體對(duì)目標(biāo)測(cè)試的行為流量進(jìn)行威脅情報(bào)審計(jì)分析，主要包括DDoS攻

擊、APT攻擊、僵尸網(wǎng)絡(luò)、黑客工具、勒索病毒、挖礦木馬、惡意下載、流氓推廣、竊密木馬、網(wǎng)絡(luò)蠕

蟲(chóng)等。

6.5人員審計(jì)

人員審計(jì)是對(duì)授權(quán)測(cè)試實(shí)體在文件、履行職責(zé)等方面進(jìn)行審計(jì)核實(shí)。

授權(quán)測(cè)試實(shí)體相關(guān)文件包括但不限于授權(quán)測(cè)試實(shí)體與網(wǎng)絡(luò)安全眾測(cè)平臺(tái)簽署的用戶及保密協(xié)議，

基于網(wǎng)絡(luò)安全眾測(cè)平臺(tái)的身份、技能認(rèn)證等。

人員審計(jì)要求包括：

a)授權(quán)測(cè)試實(shí)體應(yīng)與網(wǎng)絡(luò)安全眾測(cè)平臺(tái)簽署用戶及保密協(xié)議。

b)授權(quán)測(cè)試實(shí)體應(yīng)配合網(wǎng)絡(luò)安全眾測(cè)平臺(tái)完成身份、技能認(rèn)證。

c)在測(cè)試過(guò)程中，應(yīng)按協(xié)議要求，進(jìn)行安全測(cè)試。

5

YD/T×××××—××××

附錄A

（資料性）

網(wǎng)絡(luò)安全眾測(cè)第三方審計(jì)機(jī)構(gòu)審計(jì)報(bào)告模板

A.1審計(jì)概述

A.1.1項(xiàng)目簡(jiǎn)介

簡(jiǎn)述審計(jì)項(xiàng)目背景及意義、委托方等項(xiàng)目基本情況。

A.1.2審計(jì)依據(jù)

分類(lèi)列出開(kāi)展審計(jì)活動(dòng)所依據(jù)的標(biāo)準(zhǔn)、文件和合同等。

YD/T3744信息安全技術(shù)網(wǎng)絡(luò)安全眾測(cè)服務(wù)管理要求

YD/T3745信息安全技術(shù)網(wǎng)絡(luò)安全眾測(cè)服務(wù)技術(shù)要求

YD/TXXXX網(wǎng)絡(luò)安全眾測(cè)平臺(tái)第三方安全審計(jì)技術(shù)要求

A.1.3審計(jì)過(guò)程

描述審計(jì)工作流程、各階段完成的關(guān)鍵任務(wù)和工作時(shí)間節(jié)點(diǎn)等內(nèi)容。

A.1.4報(bào)告分發(fā)范圍

說(shuō)明網(wǎng)絡(luò)安全眾測(cè)審計(jì)報(bào)告正本份數(shù)與分發(fā)范圍。

A.2單項(xiàng)審計(jì)結(jié)果分析

A.2.1流量審計(jì)

A.2.1.1流量統(tǒng)計(jì)

對(duì)授權(quán)測(cè)試實(shí)體vpn賬戶接入的使用情況進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，形成授權(quán)測(cè)試實(shí)體投入時(shí)間，有效測(cè)試時(shí)

長(zhǎng)，測(cè)試流量分布等描述。

A.2.1.2流量接口

針對(duì)眾測(cè)活動(dòng)中流量數(shù)據(jù)接口的規(guī)范性及流量走向等進(jìn)行分析。形成被審計(jì)對(duì)象流量數(shù)據(jù)接口類(lèi)

型和流量走向描述，給出符合性評(píng)價(jià)。

A.2.1.3異常流量

將眾測(cè)活動(dòng)中流量與正常流量基線比對(duì)，形成眾測(cè)活動(dòng)中流量特征描述，給出有無(wú)異常流量的評(píng)

價(jià)及對(duì)應(yīng)截圖、數(shù)據(jù)包佐證（包括但不限于上傳惡意文件、拖庫(kù)、篡改信息等）。

A.2.2行為審計(jì)

A.2.2.1授權(quán)測(cè)試實(shí)體行為審計(jì)

針對(duì)眾測(cè)活動(dòng)中授權(quán)測(cè)試實(shí)體在線時(shí)長(zhǎng)、次數(shù)、流量、時(shí)段、訪問(wèn)頻次、訪問(wèn)時(shí)長(zhǎng)、異常操作等

進(jìn)行統(tǒng)計(jì)分析。形成授權(quán)測(cè)試實(shí)體特征、行為描述，給出符合性評(píng)價(jià)。

6

YD/T×××××—××××

A.2.2.2網(wǎng)絡(luò)安全眾測(cè)平臺(tái)行為審計(jì)

針對(duì)網(wǎng)絡(luò)安全眾測(cè)平臺(tái)在數(shù)據(jù)傳輸、數(shù)據(jù)隔離、數(shù)據(jù)庫(kù)加固、身份鑒別、訪問(wèn)控制、資源監(jiān)控等

方面的措施進(jìn)行評(píng)估，形成被審計(jì)對(duì)象在數(shù)據(jù)傳輸、數(shù)據(jù)隔離、數(shù)據(jù)庫(kù)加固、身份鑒別、訪問(wèn)控制、

資源監(jiān)控等方面的保護(hù)措施及存在的安全問(wèn)題描述。

A.2.3威脅審計(jì)

針對(duì)授權(quán)測(cè)試實(shí)體對(duì)目標(biāo)測(cè)試的行為流量進(jìn)行威脅情報(bào)審計(jì)分析，形成包括APT,僵尸網(wǎng)絡(luò)、黑客

工具、勒索病毒、挖礦木馬、惡意下載、流氓推廣、竊密木馬、網(wǎng)絡(luò)蠕蟲(chóng)等威脅的描述。

A.2.4人員審計(jì)

對(duì)授權(quán)測(cè)試實(shí)體與網(wǎng)絡(luò)安全眾測(cè)平臺(tái)簽署的用戶及保密協(xié)議，身份、技能認(rèn)證，有無(wú)違規(guī)測(cè)試等

內(nèi)容進(jìn)行統(tǒng)計(jì)確認(rèn)，形成符合性評(píng)價(jià)表。

A.3總體評(píng)價(jià)

根據(jù)被審計(jì)對(duì)象審計(jì)結(jié)果和審計(jì)過(guò)程中了解的相關(guān)信息，對(duì)本次眾測(cè)活動(dòng)的安全及規(guī)范性進(jìn)行說(shuō)

明和評(píng)價(jià)，包括授權(quán)測(cè)試實(shí)體的測(cè)試行為的規(guī)范性，審計(jì)數(shù)據(jù)的完整性，安全測(cè)試流量數(shù)據(jù)的可信度

等?；诰C合評(píng)價(jià)結(jié)果對(duì)本次眾測(cè)活動(dòng)是否符合審計(jì)技術(shù)要求給出總體結(jié)論。

附件眾測(cè)流量日志

編制報(bào)告必要時(shí)或按照眾測(cè)需求方要求，附上相關(guān)流量日志內(nèi)容。

_________________________________

7

YD/T×××××—××××

目次

前言............................................................................................................................................................II

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術(shù)語(yǔ)和定義.....................................................................................................................................................1

4縮略語(yǔ).............................................................................................................................................................2

5安全審計(jì)描述.................................................................................................................................................2

5.1需求描述..................................................................................................................................................2

5.2業(yè)務(wù)場(chǎng)景..................................................................................................................................................2

5.2.1應(yīng)用識(shí)別...........................................................................................................................................2

5.2.2網(wǎng)絡(luò)協(xié)議解析...................................................................................................................................2

5.2.3異常行為發(fā)現(xiàn)...................................................................................................................................2

5.2.4安全溯源...........................................................................................................................................3

5.3工作流程..................................................................................................................................................3

5.4主要任務(wù)..................................................................................................................................................3

5.4.1眾測(cè)第三方審計(jì)任務(wù).......................................................................................................................3

5.4.2編寫(xiě)審計(jì)報(bào)告...................................................................................................................................3

6技術(shù)要求.........................................................................................................................................................3

6.1流量審計(jì)..................................................................................................................................................3

6.2行為審計(jì)..................................................................................................................................................4

6.3內(nèi)容審計(jì)..................................................................................................................................................4

6.4威脅審計(jì)..................................................................................................................................................5

6.5人員審計(jì)..................................................................................................................................................5

附錄A（資料性）網(wǎng)絡(luò)安全眾測(cè)第三方審計(jì)機(jī)構(gòu)審計(jì)報(bào)告模板........................................................6

I

YD/T×××××—××××

網(wǎng)絡(luò)安全眾測(cè)平臺(tái)第三方安全審計(jì)技術(shù)要求

1范圍

本文件規(guī)定了網(wǎng)絡(luò)安全眾測(cè)平臺(tái)的第三方審計(jì)業(yè)務(wù)場(chǎng)景、工作流程、主要任務(wù)和技術(shù)要求。

本文件適用于參與網(wǎng)絡(luò)安全眾測(cè)服務(wù)的個(gè)人、組織和機(jī)構(gòu)，也可以作為網(wǎng)絡(luò)安全主管部門(mén)進(jìn)行監(jiān)

督、檢查的依據(jù)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用

于本文件。

YD/T3744-2020網(wǎng)絡(luò)安全眾測(cè)平臺(tái)技術(shù)要求

YD/T3745-2020網(wǎng)絡(luò)安全眾測(cè)服務(wù)管理要求

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

網(wǎng)絡(luò)安全眾測(cè)平臺(tái)cybersecuritycrowdsourcetestingplatform

組織或機(jī)構(gòu)依托其安全經(jīng)驗(yàn)，通過(guò)互聯(lián)網(wǎng)建立一個(gè)安全測(cè)試協(xié)作平臺(tái)，組織授權(quán)測(cè)試實(shí)體，規(guī)范

并監(jiān)督安全測(cè)試過(guò)程，對(duì)簽約眾測(cè)需求方提供安全滲透測(cè)試與漏洞發(fā)現(xiàn)等服務(wù)。

3.2

授權(quán)測(cè)試實(shí)體authorizedtestentity

不惡意利用漏洞進(jìn)行破壞或通過(guò)漏洞獲得非法利益的白帽子黑客或安全公司，包括通過(guò)利用自身

的技術(shù)在客戶授權(quán)的前提下對(duì)測(cè)試目標(biāo)進(jìn)行安全測(cè)試，幫助客戶查找計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的漏洞、

向眾測(cè)需求方報(bào)告并配合修復(fù)，確保眾測(cè)需求方系統(tǒng)安全。

3.3

眾測(cè)需求方crowdsourcetestingdemand-side

安全測(cè)試需求企業(yè)與網(wǎng)絡(luò)安全眾測(cè)平臺(tái)簽訂授權(quán)測(cè)試協(xié)議，并同意平臺(tái)授權(quán)給授權(quán)測(cè)試實(shí)體進(jìn)行

安全測(cè)試的實(shí)體統(tǒng)稱。

3.4

1

YD/T×××××—××××

第三方審計(jì)third-partyaudit

對(duì)授權(quán)測(cè)試實(shí)體測(cè)試過(guò)程產(chǎn)生的日志信息，進(jìn)行外部獨(dú)立審計(jì)的組織機(jī)構(gòu)。審計(jì)目的是確定測(cè)試

過(guò)程是否存在惡意破壞等高風(fēng)險(xiǎn)行為。

3.5

安全審計(jì)securityaudit

對(duì)信息系統(tǒng)的各種事件及行為實(shí)行監(jiān)測(cè)、信息采集、分析，并針對(duì)特定事件及行為采取相應(yīng)的動(dòng)

作。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

ARP：地址解析協(xié)議（AddressResolutionProtocol）

DNS：域名系統(tǒng)（DomainNameSystem）

HTTP：超文本傳輸協(xié)議（HyperTextTransferProtocol）

HTTPS：超文本傳輸安全協(xié)議（HyperTextTransferProtocoloverSecureSocketLayer）

ICMP：控制報(bào)文協(xié)議（InternetControlMessageProtocol）

IGMP：網(wǎng)際組管理協(xié)議（InternetGroupManagementProtocol）

POP3：郵局協(xié)議版本3（PostOfficeProtocol-Version3）

TCP：傳輸控制協(xié)議（TransmissionControlProtocol）

UDP：用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol）

DDoS：分布式拒絕服務(wù)攻擊（DistributedDenialofService）

A