2月10日，中国人民银行正式批准发布金融行业标准《金融网络安全 网络安全众测实施指南》（JR/T 0214—2021）。

标准给出了金融信息系统网络安全众测实施的指导，明确了众测的作用、重点关注的风险项以及实施主体和职责，并提供了依托众测需求方、众测组织方、众测测试方以及众测审计方等四方主体进行众测准备、众测实施以及分析与报告编制的过程，适用于金融机构开展网络安全众测工作，并为给金融机构提供网络安全众测服务的组织提供参考。

众测：一个存在多年却“不正规”的行业

网络安全众测，对于非行业人士来说可能根本没有听说过，但如果换个说法，白帽子黑客，就有很多人听说过了。

黑客，是指寻找并利用漏洞入侵计算机系统，盗窃数据或进行破坏的网络技术人员，而白帽子黑客，是指站在黑客的立场攻击系统以进行安全漏洞排查的技术人员，他们的工作被称为“挖洞”。

最了解你的人是你的敌人，这句话在网络安全界也行得通，因此白帽子的工作虽然看起来无关紧要，但事实上是每个公司不可或缺的一部分。

唯一的问题在于，白帽子的工作总是随心所欲的。在这一行最开始的时候，白帽子黑客和黑客的行为在很多时候是无法分辨的。

双方同时游荡在系统的外围，使用各种各样的方式对系统进行攻击，区别只在发现漏洞后的处置上，是报告给企业，还是盗走数据卖掉。

从法律角度来说，白帽子的行为可以说是“在违法的边缘反复横跳”，这个过程中，白帽子和企业往往会产生不可调和的矛盾。为了解决矛盾，漏洞平台出现了，平台的作用就是作为白帽子和企业之间的沟通桥梁，一方面为企业提供安全帮助，另一方面为白帽子解除一定的法律风险。

但是在2016年，白帽子和企业之间的矛盾还是爆发了，这就是著名的“世纪佳缘白帽事件”。

白帽子袁炜发现世纪佳缘网站存在SQL注入漏洞，在测试中获取了4000多条信息。他在2015年12月将漏洞报告给当时国内最大的漏洞平台，乌云互联网漏洞报告平台，通过乌云警告了世纪佳缘，世纪佳缘在修复漏洞后在2016年1月通知了警方，2016年3月袁炜遭到了逮捕。

事情的发展总是让人措手不急，“世纪佳缘白帽事件”让白帽子和企业之间的矛盾彻底爆发，对于白帽子行为边界认定问题得到了广泛的讨论，在还未得出一个公认的结果前，2016年7月20日凌晨，乌云网无法访问，网站公告称，乌云及相关服务将升级，并称将在最短时间内回归。

指南：让行业变得正规对所有人都好

在“世纪佳缘白帽事件”之后，白帽子群体依旧在行动，“挖洞”没有停止，更多的漏洞平台和白帽子站了出来，在这一行业发光发热。

不过白帽子和企业之间的矛盾并没有得到实质意义上的解决。

首先是在心态上，企业对于白帽子的挖洞行为一直处于一个很微妙的状态，漏洞的确实存在让他们必须要依靠白帽子，但是想要让他们承认白帽子的工作成果又是很难过去的一道心理关卡，这就触犯了白帽子的利益。

2020年11月，网络尖刀团队发布《网络尖刀团队关于终止携程SRC漏洞合作公开声明》，将携程与白帽子之间的问题公开化处理，同时让我们看见了企业和白帽子之间的冲突：源于企业对于漏洞的认定和白帽子对于漏洞的认定不一致，实质上是企业不想承认白帽子的工作成果。

在法律上，虽然平台的出现降低了白帽子面对的法律风险，但是白帽子依旧是在法律边缘游走，在面对法律风险和工作成果无法得到承认的现实打击下，很多白帽子对很多漏洞都是抱着“多一事不如少一事”的心态。

很明显，这样的事情对于企业、白帽子、平台来说都不是好事情，没有任何一方获益。

《网络安全众测实施指南》的出台就是为了解决这个行业痛点。《指南》明确了众测运营中四个角色的职责与义务：

1、众测需求方

明确了授权主体为金融机构和授权要求。

组织系统、网络、安全运维团队做好测试期间的系统、网络、安全的监控工作，发现重大安全攻击事件或系统服务中断等突发事件，及时启动相应的应急流程。

做好众测过程突发事件的应急响应工作，包括事件报告、事件分析、事件处置、评估总结等工作。

委派或委托平台指派项目负责人对项目进行实时跟踪，对提交的漏洞及时进行审核和确认，对发现的漏洞进行处理及应急响应，严格管理漏洞的生命周期。

进行漏洞审核时，宜严格按照协议验收，评定漏洞风险。

组织专项工作人员负责跟踪漏洞的处置修复，对于危害较高的漏洞，组织相关人员对漏洞进行快速整改修复，并协调漏洞复检工作。

2、众测组织方

明确了组织方对实施人员和过程的要求，明确了组织方的科学管理体系要求，同时，明确要求保障测试人员的身份与背景可靠，明确组织方要对实施人员完成实名认证，包含个人/企业实名认证，并签署安全保密协议。

对测试人员进行安全保密教育与其签订安全保密责任书，规定履行的安全保密义务和承担的法律责任，并负责检査落实，明确签署安全保密教育与保密责任书。

在保密教育与保密协议任务中，组织方根据需求方对于安全众测项目的要求，对测试人员进行安全保密宣传和教育培训工作，包括项目测试范围、项目测试时间、项目测试行为准则、安全保密要求等，与测试人员签署安全保密协议。

明确需要提供网络安全众测授权委托书/安全测试人员清单，明确测试方可以是个人参与或者企业参与，并且签署保密协议。

通过技能考核设置测试方的准入门槛，同时建立测试方的信誉体系及优胜劣汰竞争机制。

对不符合相关法律法规及不按需求方要求进行测试的测试方进行处罚及清退,确保身份可信、技能可行。

3、众测测试方：

对测试人员要求满足，年满18周岁，无违法及犯罪记录，并且履行遵守国家有关法律法规和技术标准、需求方和组织方的相关要求，在授权的范围内开展安全众测服务。

明确测试方，在授权范围内开展安全众测服务，提供准确、真实、客观的网络安全漏洞等义务，明确需要配合完成漏洞复测任务，对测试人员明确测试边界与测试行为要求。

4、众测审计方：

一方面是对安全众测过程的可控、可审计，更安全可靠的配合组织方交付项目。另一方面，能够更好的量化测试人员的工作量及测试目标范围。

1)明确了审计方与组织方、测试方宜相互权限隔离。

2)众测审计方，明确了对众测过程中的流量及日志进行保存，并且明确要求记录测试人员访问信息，包括众测环境系统/账号的登录、登出等关键时间，以及众测项目测试时对众测系统所做的行为，包括用户、时间、事件类型、操作的资源、操作的结果、访问发起端的地址或标识。

3)审计方的审计系统向需求方开放，即需求方有权对测试入员的行为进行实时审计、检查。

4)负责测试过程中测试人员的安全监控工作，发现异常及时通知需求方和组织方。

5)负责测试过程中，测试人员安全接入账号的管理工作，包括账号暂停、账号恢复、项目暂停、项目恢复等。

6)发生突发事件时，协助需求方进行突发事件的溯源分析和应急响应工作。

7)安全审计报告的内容包括但不限于测试范围、测试时间、测试人员、审计内容及审计结果等。

8)编写安全审计报告，安全审计报告的内容包括但不限于：

• 审计测试人员是否按照要求使用授权的测试接入途径进行安全测试。
• 审计整体的测试过程，量化测试人员测试工作量、测试目标范围。
• 审计测试人员使用的攻击手法。
• 审计测试人员的高风险行为操作，溯源攻击过程。
• 备份测试流量和行为等审计信息，建议保存6个月以上，以满足安全众测后期事件溯源的需要。

明确了四方角色的职责与义务，实质上是将“挖洞”行为正规化，保证各方利益，让行业进入良性发展。

对于网络安全行业来说，这样的正规化，可以将更多的民间力量纳入到网络安全体系当中，助力我国网络安全行业的发展。