2022年9月27日，全國信息安全標準化技術(shù)委員會《信息安全技術(shù) 網(wǎng)絡(luò)安全眾測服務(wù)要求》（征求意見稿）（以下簡稱《眾測要求》），面向社會征求意見。

《眾測要求》確立了網(wǎng)絡(luò)安全眾測服務(wù)的角色及其職責，描述了服務(wù)流程，規(guī)定了服務(wù)要求，眾測需求方、眾測組織方、授權(quán)測試方和眾測審計方開展網(wǎng)絡(luò)安全眾測服務(wù)時使用。

《眾測要求》中的“網(wǎng)絡(luò)安全眾測服務(wù)”是指，以自愿的方式組織非特定的自然人或組織，在審計及監(jiān)督下，對網(wǎng)絡(luò)產(chǎn)品和系統(tǒng)等開展漏洞發(fā)現(xiàn)等安全測試的過程?！熬W(wǎng)絡(luò)安全眾測服務(wù)平臺”是指，由眾測組織方運營并通過在線方式提供網(wǎng)絡(luò)安全眾測服務(wù)的平臺。

《眾測要求》，網(wǎng)絡(luò)安全眾測服務(wù)涉及的角色包括眾測需求方、眾測組織方、授權(quán)測試方、眾測審計方，各角色的在網(wǎng)絡(luò)安全眾測服務(wù)過程中，眾測需求方與眾測組織方之間通過授權(quán)委托建立眾測服務(wù)關(guān)系，眾測組織方組織具備測試條件和能力的授權(quán)測試方實施眾測，并由眾測審計方對眾測過程進行審計。

眾測審計方一般根據(jù)眾測需求方的需要由具備眾測審計條件和能力的第三方承擔，對授權(quán)測試方的審計可由眾測組織方承擔。

其中，眾測需求方的職責為：授權(quán)眾測組織方提供安全眾測服務(wù)，明確服務(wù)要求。

眾測組織方的職責包括：

• 驗證眾測需求方的測試需求；
• 選擇滿足眾測需求方要求的授權(quán)測試方；
• 管理授權(quán)測試方，包括制定并發(fā)布授權(quán)測試方行為準則等相關(guān)要求，對授權(quán)測試方進行身份核驗等；
• 如果眾測需求方提出第三方審計要求，配合第三方對眾測過程中的授權(quán)測試方行為、流量等進行審計；
• 向眾測需求方交付眾測結(jié)果；
• 眾測環(huán)境的運營和管理。

授權(quán)測試方的職責為：在眾測需求方指定的測試范圍及測試時間內(nèi)進行測試，并在測試結(jié)束后交付測試中發(fā)現(xiàn)的安全漏洞及安全眾測報告。

眾測審計方的職責包括：

• 對眾測服務(wù)過程進行全流程審計及監(jiān)督；
• 第三方審計對眾測組織方及由眾測組織方組織開展的眾測服務(wù)活動進行審計及監(jiān)督；
• 客觀、公正出具審計報告。

另外，網(wǎng)絡(luò)安全眾測服務(wù)過程中面臨的主要安全風險包括：

• 授權(quán)測試方行為不可控的風險：網(wǎng)絡(luò)安全眾測服務(wù)的授權(quán)測試方來自各種非特定的自然人或組織，若無法對眾測過程進行有效管理、監(jiān)督與審計，授權(quán)測試方在眾測過程中可能會進行違規(guī)操作；
• 系統(tǒng)正常運行受到影響的風險：在安全眾測時，需要模擬黑客對設(shè)備和系統(tǒng)進行一定的攻擊測試工作，可能對系統(tǒng)的運行造成影響，甚至可能會影響業(yè)務(wù)連續(xù)性；
• 敏感信息泄露的風險：授權(quán)測試方可能會獲取到被測系統(tǒng)的的業(yè)務(wù)數(shù)據(jù)或狀態(tài)信息，如用戶身份信息、用戶賬號信息、網(wǎng)絡(luò)拓撲、互聯(lián)網(wǎng)協(xié)議地址、業(yè)務(wù)流程、安全機制、安全漏洞信息等，存在敏感信息泄露風險。