2022年9月27日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)《信息安全技術(shù) 網(wǎng)絡(luò)安全眾測(cè)服務(wù)要求》（征求意見(jiàn)稿）（以下簡(jiǎn)稱《眾測(cè)要求》），面向社會(huì)征求意見(jiàn)。

《眾測(cè)要求》確立了網(wǎng)絡(luò)安全眾測(cè)服務(wù)的角色及其職責(zé)，描述了服務(wù)流程，規(guī)定了服務(wù)要求，眾測(cè)需求方、眾測(cè)組織方、授權(quán)測(cè)試方和眾測(cè)審計(jì)方開(kāi)展網(wǎng)絡(luò)安全眾測(cè)服務(wù)時(shí)使用。

《眾測(cè)要求》中的“網(wǎng)絡(luò)安全眾測(cè)服務(wù)”是指，以自愿的方式組織非特定的自然人或組織，在審計(jì)及監(jiān)督下，對(duì)網(wǎng)絡(luò)產(chǎn)品和系統(tǒng)等開(kāi)展漏洞發(fā)現(xiàn)等安全測(cè)試的過(guò)程。“網(wǎng)絡(luò)安全眾測(cè)服務(wù)平臺(tái)”是指，由眾測(cè)組織方運(yùn)營(yíng)并通過(guò)在線方式提供網(wǎng)絡(luò)安全眾測(cè)服務(wù)的平臺(tái)。

《眾測(cè)要求》，網(wǎng)絡(luò)安全眾測(cè)服務(wù)涉及的角色包括眾測(cè)需求方、眾測(cè)組織方、授權(quán)測(cè)試方、眾測(cè)審計(jì)方，各角色的在網(wǎng)絡(luò)安全眾測(cè)服務(wù)過(guò)程中，眾測(cè)需求方與眾測(cè)組織方之間通過(guò)授權(quán)委托建立眾測(cè)服務(wù)關(guān)系，眾測(cè)組織方組織具備測(cè)試條件和能力的授權(quán)測(cè)試方實(shí)施眾測(cè)，并由眾測(cè)審計(jì)方對(duì)眾測(cè)過(guò)程進(jìn)行審計(jì)。

眾測(cè)審計(jì)方一般根據(jù)眾測(cè)需求方的需要由具備眾測(cè)審計(jì)條件和能力的第三方承擔(dān)，對(duì)授權(quán)測(cè)試方的審計(jì)可由眾測(cè)組織方承擔(dān)。

其中，眾測(cè)需求方的職責(zé)為：授權(quán)眾測(cè)組織方提供安全眾測(cè)服務(wù)，明確服務(wù)要求。

眾測(cè)組織方的職責(zé)包括：

• 驗(yàn)證眾測(cè)需求方的測(cè)試需求；
• 選擇滿足眾測(cè)需求方要求的授權(quán)測(cè)試方；
• 管理授權(quán)測(cè)試方，包括制定并發(fā)布授權(quán)測(cè)試方行為準(zhǔn)則等相關(guān)要求，對(duì)授權(quán)測(cè)試方進(jìn)行身份核驗(yàn)等；
• 如果眾測(cè)需求方提出第三方審計(jì)要求，配合第三方對(duì)眾測(cè)過(guò)程中的授權(quán)測(cè)試方行為、流量等進(jìn)行審計(jì)；
• 向眾測(cè)需求方交付眾測(cè)結(jié)果；
• 眾測(cè)環(huán)境的運(yùn)營(yíng)和管理。

授權(quán)測(cè)試方的職責(zé)為：在眾測(cè)需求方指定的測(cè)試范圍及測(cè)試時(shí)間內(nèi)進(jìn)行測(cè)試，并在測(cè)試結(jié)束后交付測(cè)試中發(fā)現(xiàn)的安全漏洞及安全眾測(cè)報(bào)告。

眾測(cè)審計(jì)方的職責(zé)包括：

• 對(duì)眾測(cè)服務(wù)過(guò)程進(jìn)行全流程審計(jì)及監(jiān)督；
• 第三方審計(jì)對(duì)眾測(cè)組織方及由眾測(cè)組織方組織開(kāi)展的眾測(cè)服務(wù)活動(dòng)進(jìn)行審計(jì)及監(jiān)督；
• 客觀、公正出具審計(jì)報(bào)告。

另外，網(wǎng)絡(luò)安全眾測(cè)服務(wù)過(guò)程中面臨的主要安全風(fēng)險(xiǎn)包括：

• 授權(quán)測(cè)試方行為不可控的風(fēng)險(xiǎn)：網(wǎng)絡(luò)安全眾測(cè)服務(wù)的授權(quán)測(cè)試方來(lái)自各種非特定的自然人或組織，若無(wú)法對(duì)眾測(cè)過(guò)程進(jìn)行有效管理、監(jiān)督與審計(jì)，授權(quán)測(cè)試方在眾測(cè)過(guò)程中可能會(huì)進(jìn)行違規(guī)操作；
• 系統(tǒng)正常運(yùn)行受到影響的風(fēng)險(xiǎn)：在安全眾測(cè)時(shí)，需要模擬黑客對(duì)設(shè)備和系統(tǒng)進(jìn)行一定的攻擊測(cè)試工作，可能對(duì)系統(tǒng)的運(yùn)行造成影響，甚至可能會(huì)影響業(yè)務(wù)連續(xù)性；
• 敏感信息泄露的風(fēng)險(xiǎn)：授權(quán)測(cè)試方可能會(huì)獲取到被測(cè)系統(tǒng)的的業(yè)務(wù)數(shù)據(jù)或狀態(tài)信息，如用戶身份信息、用戶賬號(hào)信息、網(wǎng)絡(luò)拓?fù)?、互?lián)網(wǎng)協(xié)議地址、業(yè)務(wù)流程、安全機(jī)制、安全漏洞信息等，存在敏感信息泄露風(fēng)險(xiǎn)。