附件中华人民共和国金融行业标准金融网络安全网络安全众测实施指南发布实施中国人民银行发布目次前言引言范围规范性引用文件术语和定义缩略语众测通则众测准备众测实施分析与报告编制附录资料性网络安全众测协议书附录资料性测试方行为准则参考附录资料性金融行业漏洞评级参考附录资料性网络安全众测授权委托书参考文献前言本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任本文件由中国人民银行提出本文件由全国金融标准化技术委员会归口本文件起草单位中国人民银行科技司中国工商银行股份有限公司工银科技有限公司北京中金安服科技有限公司中国银行股份有限公司中国农业银行股份有限公司中国建设银行股份有限公司中国民生银行股份有限公司兴业银行股份有限公司恒丰银行股份有限公司中央国债登记结算有限责任公司华泰证券股份有限公司海通证券股份有限公司中国平安保险集团股份有限公司中国太平洋保险集团股份有限公司晋商银行股份有限公司西安银行股份有限公司江苏银行股份有限公司北京长亭未来科技有限公司百度时代网络技术北京有限公司北京奇虎科技有限公司上海艾芒信息科技有限公司北京神州绿盟科技有限公司奇安信科技集团股份有限公司深信服科技股份有限公司亚信科技成都有限公司杭州安恒信息技术股份有限公司北京启明星辰信息安全技术有限公司本文件主要起草人李伟陈立吾沈筱彦车珍昝新夏磊王涛敦宏程苏建明王贵智蒋家堂王晓王金希郭铮铮秦磊俞学浩何启翱李远祥刘红波宋克亚詹丹丹李乐天翟海超张爽江旺陆颂华于惊涛林利钦张军周扬茹华王楠王心玉马男祁晓丹何源源凌墨缘张屹张帆赵波高继明潘立亚罗伟俞斌孙林引言本文件是在收集分析评估金融机构实施网络安全众测流程以及面临的安全风险点的基础上形成的一套网络安全众测实施流程指南内容涉及网络安全众测组织实施架构网络安全众测实施流程网络安全众测实施流程中各参与方的职责本文件旨在规范金融机构网络安全众测的实施流程指导金融机构在安全可控的前提下开展网络安全众测本文件可作为金融机构网络安全众测实施方法的依据金融网络安全网络安全众测实施指南范围本文件提供了金融信息系统网络安全众测以下简称安全众测工作实施过程的指导包括安全众测准备实施分析与报告编制本文件适用于开展安全众测工作的境内金融机构规范性引用文件本文件没有规范性引用文件术语和定义下列术语和定义适用于本文件金融信息系统金融行业相关的应用服务信息技术资产或其他信息处理组件来源网络安全众测企业授权专业机构召集多名安全测试人员为企业提供漏洞发现服务帮助其发现安全漏洞及安全隐患并参照服务质量与效果支付服务费用缩略语下列缩略语适用于本文件开放式应用程序安全项目结构化查询语言众测通则众测作用在金融信息系统上线前或生产运行过程中金融信息系统的运营或使用单位主管或监管单位委托专业机构对金融信息系统实施安全众测发现并解决潜在的安全问题与隐患并在此基础上整改相关安全问题以提升安全防护能力满足业务的安全平稳运行重点关注的风险项测试人员身份背景信赖度实施安全众测的测试人员来自社会大众或不同的组织机构对于参与测试的技术人员身份缺少可靠判断信赖度偏低测试人员行为传统的安全测试模式下测试人员的行为不可见不可控不可审计不可溯源一旦在安全众测事中或事后发生安全事件缺少对事件的定位和溯源条件系统运行在安全众测时需要模拟黑客对设备和系统进行一定的攻击测试工作可能对系统的运行造成一定的影响甚至会影响业务连续性如排名前十的操作都具有一定的风险性敏感信息泄漏众测实施过程中有可能造成被测系统的业务数据或状态敏感信息泄露如针对核心数据库的注入等操作造成如客户身份信息客户账号信息网络拓扑地址业务流程安全漏洞信息配置参数运行日志告警信息等的泄露实施主体和职责众测需求方众测需求方以下简称需求方是发起安全众测授权安全众测行为的组织一般为金融机构众测组织方众测组织方以下简称组织方是在需求方的授权下负责众测测试方的召集和管理并提供测试报告的组织组织方宜具备如下条件从事相关安全测试或检测评估工作两年以上无违法记录法定代表人及主要业务技术人员无犯罪记录具有完备的保密管理项目管理质量管理人员管理和培训教育等安全管理制度对国家安全社会秩序公共利益不构成威胁组织方宜履行如下义务遵守国家有关法律法规和技术标准提供安全客观公正的安全众测服务保证服务质量保护在众测活动中知悉的国家秘密商业秘密和个人隐私保障测试人员的身份与背景可靠对测试人员进行安全保密教育与其签订安全保密责任书规定履行的安全保密义务和承担的法律责任并负责检查落实众测测试方众测测试方以下简称测试方是通过自身技术在需求方授权的前提下对测试目标进行安全测试帮助需求方查找计算机系统或网络系统的漏洞的安全测试人员测试方宜具备如下条件年满周岁无违法及犯罪记录测试方宜履行如下义务遵守国家有关法律法规和技术标准需求方和组织方的相关要求在授权的范围内开展安全众测服务提供准确真实客观的网络安全漏洞保护在众测活动中知悉的国家秘密商业秘密和个人隐私履行安全保密义务和承担相应的法律责任众测审计方众测审计方以下简称审计方是根据需求方的要求对安全众测过程进行管控监控审计和评价的组织审计方宜具备如下条件从事相关安全测试审计或评估工作两年以上无违法记录法定代表人及主要业务技术人员无犯罪记录具有完备的保密管理项目管理质量管理人员管理和培训教育等安全管理制度对国家安全社会秩序公共利益不构成威胁审计方与组织方测试方宜相互权限隔离审计方宜履行如下义务遵守国家有关法律法规和技术标准提供安全客观公正的安全众测审计服务保证服务质量保护在众测活动中知悉的国家秘密商业秘密和个人隐私履行安全保密义务和承担相应的法律责任实施过程安全众测实施过程包括众测准备众测实施和分析报告编制三个过程众测准备概述众测准备工作是开展安全众测工作的前提和基础是整个安全众测过程有效性的保证众测准备工作是否充分直接关系到后续工作能否顺利开展其主要任务是确定安全测试对象时间范围众测实施方案与安全管理方案完成测试人员的召集和认证审核准备安全管控平台等众测基础环境为众测实施做好准备工作流程众测准备的基本工作流程见图主要任务项目启动图众测准备工作流程图在项目启动任务中需求方组织方和审计方组建安全众测项目组从基本资料人员计划安排等方面为安全众测项目的实施做基本准备输入网络安全众测协议书见附录任务描述根据需求方与组织方和审计方签订的网络安全众测协议书组织方和审计方组建众测项目组从人员方面做好准备并编制项目计划书项目计划书可包含项目概述工作依据技术思路工作内容和项目组织等输出产品项目计划书明确测试要求在明确测试要求任务中需求方向组织方和审计方明确测试对象测试时间测试人数限制测试安全管控方式测试人员行为准则见附录等安全众测工作的具体测试要求输入网络安全众测协议书任务描述根据需求方与组织方和审计方签订的网络安全众测协议书需求方向组织方和审计方明确测试对象测试时间测试人数限制测试安全管控方式测试人员行为准则审计要求等安全众测工作的具体测试要求输出产品测试要求明确验收标准在明确验收标准任务中需求方向组织方和审计方明确项目验收标准漏洞评级标准奖励计算方式等安全众测工作的具体验收标准输入网络安全众测协议书任务描述根据需求方与组织方和审计方签订的网络安全众测协议书需求方向组织方和审计方明确项目验收标准漏洞评级标准见附录奖励计算方式等安全众测工作的具体验收标准输出产品验收标准测试和审计授权在测试和审计授权任务中需求方以书面的形式向组织方和审计方授权众测和众测审计输入网络安全众测协议书任务描述根据需求方与组织方和审计方签订的网络安全众测协议书需求方向组织方和审计方以书面的形式向组织方和审计方授权众测和众测审计输出产品网络安全众测授权委托书见附录测试人员组织在测试人员组织任务中组织方在需求方的授权和委托下招募和组织安全测试人员对安全测试人员进行实名认证和背景调查输入网络安全众测授权委托书任务描述根据需求方向组织方授予的网络安全众测授权委托书组织方招募和组织安全测试人员对安全测试人员进行实名认证和背景调查输出产品安全测试人员清单保密教育与保密协议在保密教育与保密协议任务中组织方根据需求方对于安全众测项目的要求对测试人员进行安全保密宣传和教育培训工作包括项目测试范围项目测试时间项目测试行为准则安全保密要求等与测试人员签署安全保密协议输入网络安全众测授权委托书安全测试人员清单任务描述组织方根据需求方要求向测试人员进行安全保密宣传和教育培训工作与测试人员签署安全保密协议输出产品培训记录安全保密协议审计平台准备在审计平台准备任务中审计方按照需求方对于安全众测项目的要求准备管控与审计平台环境以及测试方安全接入所需的账号口令等信息输入网络安全众测授权委托书任务描述根据需求方向审计方授予的网络安全众测授权委托书审计方准备管控与审计平台环境以及测试方安全接入所需的账号口令等信息输出产品审计平台及认证信息各实施主体职责众测需求方宜考虑以下工作成立众测项目管理团队包括项目负责人漏洞审核处理负责人安全监测负责人与组织方审计方签订网络安全众测授权委托书及安全保密协议明确测试对象测试时间测试人员数量测试人员行为准则漏洞评级标准漏洞发现奖励方式与标准等众测项目实施参数建立测试过程中安全监控机制及突发事件应急预案协调各部门人员做好测试期间的安全监控和应急响应组织开展项目启动会宣讲项目实施方案动员内外部做好测试准备工作和测试期间的安全保障工作众测组织方宜考虑以下工作成立项目实施小组和应急小组明确项目负责人与需求方签署网络安全众测授权委托书及安全保密协议对需求方进行认证以及对测试对象进行所有权校验确保需求方测试对象范围合法所有权校验需包括但不限于应用服务移动对测试方进行个人企业实名认证并签署安全保密协议通过技能考核设置测试方的准入门槛同时建立测试方的信誉体系及优胜劣汰机制对不符合相关法律法规及不按需求方要求进行测试的测试方进行处罚及清退确保身份可信技能可行对测试人员进行安全保密宣传和教育培训工作包括项目测试范围项目测试时间测试行为准则安全保密要求等并签署测试协议和安全保密协议协助需求方和审计方完成测试管控平台的账号申请接入认证账号发放培训教育等工作众测测试方宜考虑以下工作认真学习项目的相关要求包括项目测试范围项目测试时间项目测试行为准则安全保密要求与组织方签署测试协议和安全保密协议配合组织方完成身份技能认证众测审计方宜考虑以下工作成立项目实施小组和应急小组确定项目负责人制定安全审计计划协调审计人员进行测试前的项目启动会和宣传教育工作负责众测审计使用的技术平台的准备工作包括系统环境搭建稳定性测试安全性测试安全接入账号的创建与配置等众测实施概述众测实施是开展安全众测工作的核心活动其主要任务是按照安全众测方案的总体要求开展安全众测活动发现并及时提交系统存在的安全漏洞并及时整改相关安全问题以提升金融信息系统的安全防护能力满足业务的安全