2月10日，中國人民銀行正式批準發布金融行業標準《金融網絡安全 網絡安全眾測實施指南》（JR/T 0214—2021）。

標準給出了金融信息系統網絡安全眾測實施的指導，明確了眾測的作用、重點關注的風險項以及實施主體和職責，并提供了依托眾測需求方、眾測組織方、眾測測試方以及眾測審計方等四方主體進行眾測準備、眾測實施以及分析與報告編制的過程，適用于金融機構開展網絡安全眾測工作，并為給金融機構提供網絡安全眾測服務的組織提供參考。

眾測：一個存在多年卻“不正規”的行業

網絡安全眾測，對于非行業人士來說可能根本沒有聽說過，但如果換個說法，白帽子黑客，就有很多人聽說過了。

黑客，是指尋找并利用漏洞入侵計算機系統，盜竊數據或進行破壞的網絡技術人員，而白帽子黑客，是指站在黑客的立場攻擊系統以進行安全漏洞排查的技術人員，他們的工作被稱為“挖洞”。

最了解你的人是你的敵人，這句話在網絡安全界也行得通，因此白帽子的工作雖然看起來無關緊要，但事實上是每個公司不可或缺的一部分。

唯一的問題在于，白帽子的工作總是隨心所欲的。在這一行最開始的時候，白帽子黑客和黑客的行為在很多時候是無法分辨的。

雙方同時游蕩在系統的外圍，使用各種各樣的方式對系統進行攻擊，區別只在發現漏洞后的處置上，是報告給企業，還是盜走數據賣掉。

從法律角度來說，白帽子的行為可以說是“在違法的邊緣反復橫跳”，這個過程中，白帽子和企業往往會產生不可調和的矛盾。為了解決矛盾，漏洞平臺出現了，平臺的作用就是作為白帽子和企業之間的溝通橋梁，一方面為企業提供安全幫助，另一方面為白帽子解除一定的法律風險。

但是在2016年，白帽子和企業之間的矛盾還是爆發了，這就是著名的“世紀佳緣白帽事件”。

白帽子袁煒發現世紀佳緣網站存在SQL注入漏洞，在測試中獲取了4000多條信息。他在2015年12月將漏洞報告給當時國內最大的漏洞平臺，烏云互聯網漏洞報告平臺，通過烏云警告了世紀佳緣，世紀佳緣在修復漏洞后在2016年1月通知了警方，2016年3月袁煒遭到了逮捕。

事情的發展總是讓人措手不急，“世紀佳緣白帽事件”讓白帽子和企業之間的矛盾徹底爆發，對于白帽子行為邊界認定問題得到了廣泛的討論，在還未得出一個公認的結果前，2016年7月20日凌晨，烏云網無法訪問，網站公告稱，烏云及相關服務將升級，并稱將在最短時間內回歸。

指南：讓行業變得正規對所有人都好

在“世紀佳緣白帽事件”之后，白帽子群體依舊在行動，“挖洞”沒有停止，更多的漏洞平臺和白帽子站了出來，在這一行業發光發熱。

不過白帽子和企業之間的矛盾并沒有得到實質意義上的解決。

首先是在心態上，企業對于白帽子的挖洞行為一直處于一個很微妙的狀態，漏洞的確實存在讓他們必須要依靠白帽子，但是想要讓他們承認白帽子的工作成果又是很難過去的一道心理關卡，這就觸犯了白帽子的利益。

2020年11月，網絡尖刀團隊發布《網絡尖刀團隊關于終止攜程SRC漏洞合作公開聲明》，將攜程與白帽子之間的問題公開化處理，同時讓我們看見了企業和白帽子之間的沖突：源于企業對于漏洞的認定和白帽子對于漏洞的認定不一致，實質上是企業不想承認白帽子的工作成果。

在法律上，雖然平臺的出現降低了白帽子面對的法律風險，但是白帽子依舊是在法律邊緣游走，在面對法律風險和工作成果無法得到承認的現實打擊下，很多白帽子對很多漏洞都是抱著“多一事不如少一事”的心態。

很明顯，這樣的事情對于企業、白帽子、平臺來說都不是好事情，沒有任何一方獲益。

《網絡安全眾測實施指南》的出臺就是為了解決這個行業痛點?！吨改稀访鞔_了眾測運營中四個角色的職責與義務：

1、眾測需求方

明確了授權主體為金融機構和授權要求。

組織系統、網絡、安全運維團隊做好測試期間的系統、網絡、安全的監控工作，發現重大安全攻擊事件或系統服務中斷等突發事件，及時啟動相應的應急流程。

做好眾測過程突發事件的應急響應工作，包括事件報告、事件分析、事件處置、評估總結等工作。

委派或委托平臺指派項目負責人對項目進行實時跟蹤，對提交的漏洞及時進行審核和確認，對發現的漏洞進行處理及應急響應，嚴格管理漏洞的生命周期。

進行漏洞審核時，宜嚴格按照協議驗收，評定漏洞風險。

組織專項工作人員負責跟蹤漏洞的處置修復，對于危害較高的漏洞，組織相關人員對漏洞進行快速整改修復，并協調漏洞復檢工作。

2、眾測組織方

明確了組織方對實施人員和過程的要求，明確了組織方的科學管理體系要求，同時，明確要求保障測試人員的身份與背景可靠，明確組織方要對實施人員完成實名認證，包含個人/企業實名認證，并簽署安全保密協議。

對測試人員進行安全保密教育與其簽訂安全保密責任書，規定履行的安全保密義務和承擔的法律責任，并負責檢査落實，明確簽署安全保密教育與保密責任書。

在保密教育與保密協議任務中，組織方根據需求方對于安全眾測項目的要求，對測試人員進行安全保密宣傳和教育培訓工作，包括項目測試范圍、項目測試時間、項目測試行為準則、安全保密要求等，與測試人員簽署安全保密協議。

明確需要提供網絡安全眾測授權委托書/安全測試人員清單，明確測試方可以是個人參與或者企業參與，并且簽署保密協議。

通過技能考核設置測試方的準入門檻，同時建立測試方的信譽體系及優勝劣汰競爭機制。

對不符合相關法律法規及不按需求方要求進行測試的測試方進行處罰及清退,確保身份可信、技能可行。

3、眾測測試方：

對測試人員要求滿足，年滿18周歲，無違法及犯罪記錄，并且履行遵守國家有關法律法規和技術標準、需求方和組織方的相關要求，在授權的范圍內開展安全眾測服務。

明確測試方，在授權范圍內開展安全眾測服務，提供準確、真實、客觀的網絡安全漏洞等義務，明確需要配合完成漏洞復測任務，對測試人員明確測試邊界與測試行為要求。

4、眾測審計方：

一方面是對安全眾測過程的可控、可審計，更安全可靠的配合組織方交付項目。另一方面，能夠更好的量化測試人員的工作量及測試目標范圍。

1)明確了審計方與組織方、測試方宜相互權限隔離。

2)眾測審計方，明確了對眾測過程中的流量及日志進行保存，并且明確要求記錄測試人員訪問信息，包括眾測環境系統/賬號的登錄、登出等關鍵時間，以及眾測項目測試時對眾測系統所做的行為，包括用戶、時間、事件類型、操作的資源、操作的結果、訪問發起端的地址或標識。

3)審計方的審計系統向需求方開放，即需求方有權對測試入員的行為進行實時審計、檢查。

4)負責測試過程中測試人員的安全監控工作，發現異常及時通知需求方和組織方。

5)負責測試過程中，測試人員安全接入賬號的管理工作，包括賬號暫停、賬號恢復、項目暫停、項目恢復等。

6)發生突發事件時，協助需求方進行突發事件的溯源分析和應急響應工作。

7)安全審計報告的內容包括但不限于測試范圍、測試時間、測試人員、審計內容及審計結果等。

8)編寫安全審計報告，安全審計報告的內容包括但不限于：

• 審計測試人員是否按照要求使用授權的測試接入途徑進行安全測試。
• 審計整體的測試過程，量化測試人員測試工作量、測試目標范圍。
• 審計測試人員使用的攻擊手法。
• 審計測試人員的高風險行為操作，溯源攻擊過程。
• 備份測試流量和行為等審計信息，建議保存6個月以上，以滿足安全眾測后期事件溯源的需要。

明確了四方角色的職責與義務，實質上是將“挖洞”行為正規化，保證各方利益，讓行業進入良性發展。

對于網絡安全行業來說，這樣的正規化，可以將更多的民間力量納入到網絡安全體系當中，助力我國網絡安全行業的發展。

責任編輯：陳愛