《移動(dòng)支付網(wǎng)》消息：2月10日，中國人民銀行正式批準(zhǔn)發(fā)布金融行業(yè)標(biāo)準(zhǔn)《金融網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全眾測實(shí)施指南》（JR/T 0214—2021）。

標(biāo)準(zhǔn)給出了金融信息系統(tǒng)網(wǎng)絡(luò)安全眾測實(shí)施的指導(dǎo)，明確了眾測的作用、重點(diǎn)關(guān)注的風(fēng)險(xiǎn)項(xiàng)以及實(shí)施主體和職責(zé)，并提供了依托眾測需求方、眾測組織方、眾測測試方以及眾測審計(jì)方等四方主體進(jìn)行眾測準(zhǔn)備、眾測實(shí)施以及分析與報(bào)告編制的過程，適用于金融機(jī)構(gòu)開展網(wǎng)絡(luò)安全眾測工作，并為給金融機(jī)構(gòu)提供網(wǎng)絡(luò)安全眾測服務(wù)的組織提供參考。

眾測：一個(gè)存在多年卻“不正規(guī)”的行業(yè)

網(wǎng)絡(luò)安全眾測，對(duì)于非行業(yè)人士來說可能根本沒有聽說過，但如果換個(gè)說法，白帽子黑客，就有很多人聽說過了。

黑客，是指尋找并利用漏洞入侵計(jì)算機(jī)系統(tǒng)，盜竊數(shù)據(jù)或進(jìn)行破壞的網(wǎng)絡(luò)技術(shù)人員，而白帽子黑客，是指站在黑客的立場攻擊系統(tǒng)以進(jìn)行安全漏洞排查的技術(shù)人員，他們的工作被稱為“挖洞”。 

最了解你的人是你的敵人，這句話在網(wǎng)絡(luò)安全界也行得通，因此白帽子的工作雖然看起來無關(guān)緊要，但事實(shí)上是每個(gè)公司不可或缺的一部分。

唯一的問題在于，白帽子的工作總是隨心所欲的。在這一行最開始的時(shí)候，白帽子黑客和黑客的行為在很多時(shí)候是無法分辨的。 

雙方同時(shí)游蕩在系統(tǒng)的外圍，使用各種各樣的方式對(duì)系統(tǒng)進(jìn)行攻擊，區(qū)別只在發(fā)現(xiàn)漏洞后的處置上，是報(bào)告給企業(yè)，還是盜走數(shù)據(jù)賣掉。

從法律角度來說，白帽子的行為可以說是“在違法的邊緣反復(fù)橫跳”，這個(gè)過程中，白帽子和企業(yè)往往會(huì)產(chǎn)生不可調(diào)和的矛盾。為了解決矛盾，漏洞平臺(tái)出現(xiàn)了，平臺(tái)的作用就是作為白帽子和企業(yè)之間的溝通橋梁，一方面為企業(yè)提供安全幫助，另一方面為白帽子解除一定的法律風(fēng)險(xiǎn)。 

但是在2016年，白帽子和企業(yè)之間的矛盾還是爆發(fā)了，這就是著名的“世紀(jì)佳緣白帽事件”。 

白帽子袁煒發(fā)現(xiàn)世紀(jì)佳緣網(wǎng)站存在SQL注入漏洞，在測試中獲取了4000多條信息。他在2015年12月將漏洞報(bào)告給當(dāng)時(shí)國內(nèi)最大的漏洞平臺(tái)，烏云互聯(lián)網(wǎng)漏洞報(bào)告平臺(tái)，通過烏云警告了世紀(jì)佳緣，世紀(jì)佳緣在修復(fù)漏洞后在2016年1月通知了警方，2016年3月袁煒遭到了逮捕。

事情的發(fā)展總是讓人措手不急，“世紀(jì)佳緣白帽事件”讓白帽子和企業(yè)之間的矛盾徹底爆發(fā)，對(duì)于白帽子行為邊界認(rèn)定問題得到了廣泛的討論，在還未得出一個(gè)公認(rèn)的結(jié)果前，2016年7月20日凌晨，烏云網(wǎng)無法訪問，網(wǎng)站公告稱，烏云及相關(guān)服務(wù)將升級(jí)，并稱將在最短時(shí)間內(nèi)回歸。

指南：讓行業(yè)變得正規(guī)對(duì)所有人都好

在“世紀(jì)佳緣白帽事件”之后，白帽子群體依舊在行動(dòng)，“挖洞”沒有停止，更多的漏洞平臺(tái)和白帽子站了出來，在這一行業(yè)發(fā)光發(fā)熱。

不過白帽子和企業(yè)之間的矛盾并沒有得到實(shí)質(zhì)意義上的解決。 

首先是在心態(tài)上，企業(yè)對(duì)于白帽子的挖洞行為一直處于一個(gè)很微妙的狀態(tài)，漏洞的確實(shí)存在讓他們必須要依靠白帽子，但是想要讓他們承認(rèn)白帽子的工作成果又是很難過去的一道心理關(guān)卡，這就觸犯了白帽子的利益。 

2020年11月，網(wǎng)絡(luò)尖刀團(tuán)隊(duì)發(fā)布《網(wǎng)絡(luò)尖刀團(tuán)隊(duì)關(guān)于終止攜程SRC漏洞合作公開聲明》，將攜程與白帽子之間的問題公開化處理，同時(shí)讓我們看見了企業(yè)和白帽子之間的沖突：源于企業(yè)對(duì)于漏洞的認(rèn)定和白帽子對(duì)于漏洞的認(rèn)定不一致，實(shí)質(zhì)上是企業(yè)不想承認(rèn)白帽子的工作成果。

在法律上，雖然平臺(tái)的出現(xiàn)降低了白帽子面對(duì)的法律風(fēng)險(xiǎn)，但是白帽子依舊是在法律邊緣游走，在面對(duì)法律風(fēng)險(xiǎn)和工作成果無法得到承認(rèn)的現(xiàn)實(shí)打擊下，很多白帽子對(duì)很多漏洞都是抱著“多一事不如少一事”的心態(tài)。 

很明顯，這樣的事情對(duì)于企業(yè)、白帽子、平臺(tái)來說都不是好事情，沒有任何一方獲益。

《網(wǎng)絡(luò)安全眾測實(shí)施指南》的出臺(tái)就是為了解決這個(gè)行業(yè)痛點(diǎn)。《指南》明確了眾測運(yùn)營中四個(gè)角色的職責(zé)與義務(wù)：

1、眾測需求方 

明確了授權(quán)主體為金融機(jī)構(gòu)和授權(quán)要求。

組織系統(tǒng)、網(wǎng)絡(luò)、安全運(yùn)維團(tuán)隊(duì)做好測試期間的系統(tǒng)、網(wǎng)絡(luò)、安全的監(jiān)控工作，發(fā)現(xiàn)重大安全攻擊事件或系統(tǒng)服務(wù)中斷等突發(fā)事件，及時(shí)啟動(dòng)相應(yīng)的應(yīng)急流程。 

做好眾測過程突發(fā)事件的應(yīng)急響應(yīng)工作，包括事件報(bào)告、事件分析、事件處置、評(píng)估總結(jié)等工作。 

委派或委托平臺(tái)指派項(xiàng)目負(fù)責(zé)人對(duì)項(xiàng)目進(jìn)行實(shí)時(shí)跟蹤，對(duì)提交的漏洞及時(shí)進(jìn)行審核和確認(rèn)，對(duì)發(fā)現(xiàn)的漏洞進(jìn)行處理及應(yīng)急響應(yīng)，嚴(yán)格管理漏洞的生命周期。

進(jìn)行漏洞審核時(shí)，宜嚴(yán)格按照協(xié)議驗(yàn)收，評(píng)定漏洞風(fēng)險(xiǎn)。 

組織專項(xiàng)工作人員負(fù)責(zé)跟蹤漏洞的處置修復(fù)，對(duì)于危害較高的漏洞，組織相關(guān)人員對(duì)漏洞進(jìn)行快速整改修復(fù)，并協(xié)調(diào)漏洞復(fù)檢工作。

2、眾測組織方 

明確了組織方對(duì)實(shí)施人員和過程的要求，明確了組織方的科學(xué)管理體系要求，同時(shí)，明確要求保障測試人員的身份與背景可靠，明確組織方要對(duì)實(shí)施人員完成實(shí)名認(rèn)證，包含個(gè)人/企業(yè)實(shí)名認(rèn)證，并簽署安全保密協(xié)議。 

對(duì)測試人員進(jìn)行安全保密教育與其簽訂安全保密責(zé)任書，規(guī)定履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢査落實(shí)，明確簽署安全保密教育與保密責(zé)任書。 

在保密教育與保密協(xié)議任務(wù)中，組織方根據(jù)需求方對(duì)于安全眾測項(xiàng)目的要求，對(duì)測試人員進(jìn)行安全保密宣傳和教育培訓(xùn)工作，包括項(xiàng)目測試范圍、項(xiàng)目測試時(shí)間、項(xiàng)目測試行為準(zhǔn)則、安全保密要求等，與測試人員簽署安全保密協(xié)議。 

明確需要提供網(wǎng)絡(luò)安全眾測授權(quán)委托書/安全測試人員清單，明確測試方可以是個(gè)人參與或者企業(yè)參與，并且簽署保密協(xié)議。 

通過技能考核設(shè)置測試方的準(zhǔn)入門檻，同時(shí)建立測試方的信譽(yù)體系及優(yōu)勝劣汰競爭機(jī)制。 

對(duì)不符合相關(guān)法律法規(guī)及不按需求方要求進(jìn)行測試的測試方進(jìn)行處罰及清退,確保身份可信、技能可行。

3、眾測測試方

對(duì)測試人員要求滿足，年滿18周歲，無違法及犯罪記錄，并且履行遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)、需求方和組織方的相關(guān)要求，在授權(quán)的范圍內(nèi)開展安全眾測服務(wù)。 

明確測試方，在授權(quán)范圍內(nèi)開展安全眾測服務(wù)，提供準(zhǔn)確、真實(shí)、客觀的網(wǎng)絡(luò)安全漏洞等義務(wù)，明確需要配合完成漏洞復(fù)測任務(wù)，對(duì)測試人員明確測試邊界與測試行為要求。

4、眾測審計(jì)方

一方面是對(duì)安全眾測過程的可控、可審計(jì)，更安全可靠的配合組織方交付項(xiàng)目。另一方面，能夠更好的量化測試人員的工作量及測試目標(biāo)范圍。 

1)明確了審計(jì)方與組織方、測試方宜相互權(quán)限隔離。

2)眾測審計(jì)方，明確了對(duì)眾測過程中的流量及日志進(jìn)行保存，并且明確要求記錄測試人員訪問信息，包括眾測環(huán)境系統(tǒng)/賬號(hào)的登錄、登出等關(guān)鍵時(shí)間，以及眾測項(xiàng)目測試時(shí)對(duì)眾測系統(tǒng)所做的行為，包括用戶、時(shí)間、事件類型、操作的資源、操作的結(jié)果、訪問發(fā)起端的地址或標(biāo)識(shí)。 

3)審計(jì)方的審計(jì)系統(tǒng)向需求方開放，即需求方有權(quán)對(duì)測試入員的行為進(jìn)行實(shí)時(shí)審計(jì)、檢查。 

4)負(fù)責(zé)測試過程中測試人員的安全監(jiān)控工作，發(fā)現(xiàn)異常及時(shí)通知需求方和組織方。 

5)負(fù)責(zé)測試過程中，測試人員安全接入賬號(hào)的管理工作，包括賬號(hào)暫停、賬號(hào)恢復(fù)、項(xiàng)目暫停、項(xiàng)目恢復(fù)等。 

6)發(fā)生突發(fā)事件時(shí)，協(xié)助需求方進(jìn)行突發(fā)事件的溯源分析和應(yīng)急響應(yīng)工作。 

7)安全審計(jì)報(bào)告的內(nèi)容包括但不限于測試范圍、測試時(shí)間、測試人員、審計(jì)內(nèi)容及審計(jì)結(jié)果等。 

8)編寫安全審計(jì)報(bào)告，安全審計(jì)報(bào)告的內(nèi)容包括但不限于： 

審計(jì)測試人員是否按照要求使用授權(quán)的測試接入途徑進(jìn)行安全測試。 

審計(jì)整體的測試過程，量化測試人員測試工作量、測試目標(biāo)范圍。 

審計(jì)測試人員使用的攻擊手法。 

審計(jì)測試人員的高風(fēng)險(xiǎn)行為操作，溯源攻擊過程。 

備份測試流量和行為等審計(jì)信息，建議保存6個(gè)月以上，以滿足安全眾測后期事件溯源的需要。 

明確了四方角色的職責(zé)與義務(wù)，實(shí)質(zhì)上是將“挖洞”行為正規(guī)化，保證各方利益，讓行業(yè)進(jìn)入良性發(fā)展。

對(duì)于網(wǎng)絡(luò)安全行業(yè)來說，這樣的正規(guī)化，可以將更多的民間力量納入到網(wǎng)絡(luò)安全體系當(dāng)中，助力我國網(wǎng)絡(luò)安全行業(yè)的發(fā)展。