網(wǎng)絡(luò)安全測試能力（團隊）評價規(guī)范

3網(wǎng)絡(luò)安全測試能力（團隊）評價規(guī)范本文件規(guī)定了網(wǎng)絡(luò)安全測試團隊能力的評定原則、團隊人員組成、團隊的分級、評價指標(biāo)、團隊的認(rèn)證等要求。本文件適用于認(rèn)證機構(gòu)對網(wǎng)絡(luò)安全攻防測試團隊進行認(rèn)證，可作為網(wǎng)絡(luò)安全攻防測試服務(wù)需方選擇團隊的評估依據(jù)，另外，也可為網(wǎng)絡(luò)安全攻防測試團隊提高自身能力提供指導(dǎo)。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1網(wǎng)絡(luò)安全攻防團隊cybersecurityattackanddefenseteam由主要從事網(wǎng)絡(luò)安全攻防測試人員以攻方和防守方的形式組成的團隊。3.2攻防演練offensiveanddefensivedrills基于預(yù)設(shè)的網(wǎng)絡(luò)信息系統(tǒng)保護目標(biāo)，以網(wǎng)絡(luò)安全滲透（攻擊）和網(wǎng)絡(luò)安全防范（防守）為主要手段，采用攻防雙方對抗方式組織的網(wǎng)絡(luò)安全防范演習(xí)和訓(xùn)練活動。3.3PWNpwn通過程序本身的漏洞，編寫利用腳本破解程序拿到主機權(quán)限的形式。在CTF比賽中代表著溢出類的題目，其中常見類型的溢出漏洞有棧溢出、堆溢出。3.4CTFcapturetheflag即奪旗比賽，在網(wǎng)絡(luò)安全領(lǐng)域中指的是網(wǎng)絡(luò)安全技術(shù)人員之間進行技術(shù)競技的一種比賽形式。參賽4隊伍通過互聯(lián)網(wǎng)，以在線環(huán)境交互或文件離線分析方式，解決網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)并獲取相應(yīng)分值。比賽結(jié)果根據(jù)選手所獲總分和花費時間多少來排名。包括解題模式(Jeopardy)、攻防模式(AWD)，還有混合模式(Mix)賽制。3.5解題模式j(luò)eopardymode在解題模式CTF賽制中，參賽隊伍可以通過互聯(lián)網(wǎng)或者現(xiàn)場網(wǎng)絡(luò)參與，這種模式的CTF競賽以解決網(wǎng)移動、二進制、PWN提權(quán)、雜項等。3.6攻防模式attackwithdefensemode在攻防模式CTF賽制中，參賽隊伍在網(wǎng)絡(luò)空間互相進行攻擊和防守，挖掘網(wǎng)絡(luò)服務(wù)漏洞并攻擊對手服務(wù)來得分，修補自身服務(wù)漏洞進行防御來避免丟分。攻防模式CTF賽制可以實時通過得分反映出比賽情最終也以得分直接分出勝負。3.7通過多個網(wǎng)絡(luò)節(jié)點構(gòu)建的對真實網(wǎng)絡(luò)世界平行仿真的多層次，多路徑的靶場場景，完成特定任務(wù)，并按完成時間和過程積分排名。4評定原則4.1自愿原則在團隊及成員自愿的基礎(chǔ)上開展等級評定工作。4.2公開原則團隊的等級評定規(guī)則公開透明。4.3公平原則采用統(tǒng)一、中立、持平的評定規(guī)則，以保證評定的公平性。4.4公正原則評定的過程及其結(jié)果不受任何方的影響。5團隊人員組成5團隊可按網(wǎng)絡(luò)安全攻防與應(yīng)急實戰(zhàn)演練、CTF奪旗賽（解題模式、攻防模式、混合模式）靶場演練等賽事組成人員。5.1網(wǎng)絡(luò)安全攻防與應(yīng)急實戰(zhàn)演練由3-5名成員組成，可由滲透測試、WEB安全、社會工程學(xué)等專業(yè)人員組成。5.2解題模式(Jeopardy)由3-6名成員組成，可由WEB、逆向、取證、隱寫、密碼、移動、二進制、流量數(shù)據(jù)分析、提權(quán)、漏洞挖掘等人員組成。5.3攻防模式(AWD)由3-5名成員組成，可由若干名攻擊和防守人員組成，一般需具備代碼審計、攻擊腳本編寫、提權(quán)、后門維持、基線加固、流量監(jiān)測、應(yīng)急處置等能力的人員。5.4靶場演練(ISW)由4名以內(nèi)成員構(gòu)成，需要具備綜合網(wǎng)絡(luò)安全滲透測試能力。利用各種網(wǎng)絡(luò)安全技能，發(fā)現(xiàn)路徑，實現(xiàn)角色任務(wù)。6團隊的分級團隊等級分為一星級、二星級、三星級、四星級、五星級。一星級級別最低，五星級級別最高。具體的團隊等級評定參見附錄A。7團隊評價指標(biāo)7.1基本條件基本條件是評定團隊等級的起評條件，申請等級認(rèn)證的團隊所有人員應(yīng)擁護中國共產(chǎn)黨的領(lǐng)導(dǎo)，擁護中國特色社會主義制度；應(yīng)具有中華人民共和國國籍，長期在境內(nèi)居住，無境外永久居留權(quán)；應(yīng)遵守相關(guān)法律法規(guī)的規(guī)定，無犯罪記錄。團隊人員還應(yīng)具備攻防對抗、滲透測試等網(wǎng)絡(luò)安全專業(yè)領(lǐng)域相關(guān)的經(jīng)驗。7.2管理制度要求團隊?wèi)?yīng)由中國境內(nèi)合法注冊的企、事業(yè)單位或社會團體等組織批準(zhǔn)成立，該組織承擔(dān)對團隊運作的管理責(zé)任。團隊?wèi)?yīng)具備人員及資產(chǎn)管理制度，技能合作訓(xùn)練、安全教育制度，漏洞攻擊、滲透測試等方面的技能培訓(xùn)制度。此外，團隊須接受網(wǎng)絡(luò)安全行業(yè)主管部門的監(jiān)管，遵紀(jì)守法，行為合規(guī)，不得違背6社會公序良俗。7.3能力要求團隊成員獲得國家級或省級網(wǎng)絡(luò)安全相關(guān)認(rèn)證證書、能力證書、榮譽證書（廳局級及以上政府部門發(fā)放的網(wǎng)絡(luò)安全相關(guān)的嘉獎證書）等。7.4實戰(zhàn)經(jīng)驗團隊?wèi)?yīng)有相關(guān)實戰(zhàn)比賽經(jīng)驗，如實戰(zhàn)演練，CTF類競賽，職業(yè)技能競賽，其它重大創(chuàng)新競賽或演練7.5業(yè)績獎項過去2年內(nèi)，團隊在相關(guān)比賽中獲得榮譽獎項，可根據(jù)業(yè)績獎項對團隊進行等級評定。8團隊的認(rèn)證團隊的等級認(rèn)證主要對基本條件、管理制度要求、能力要求、實戰(zhàn)經(jīng)驗等指標(biāo)進行評價，符合要求的團隊可進行等級認(rèn)證，頒發(fā)認(rèn)證證書。認(rèn)證證書有效期為：2年。有效期內(nèi)每年應(yīng)進行年審以確保團隊符合等級要求，不滿足年審要求的團隊將受到黃牌警告，有嚴(yán)重問題的將取消認(rèn)定證書。有效期滿或人員調(diào)整后應(yīng)進行延期評審或重新等級認(rèn)定，根據(jù)認(rèn)定結(jié)果調(diào)整等級。9團隊評價方法9.1指標(biāo)與賦分團隊評價指標(biāo)總賦分為100分。各項評價內(nèi)容賦分分別為：基本要求評價10分，管理制度要求評價15分，能力要求評價25分，實戰(zhàn)經(jīng)驗評價20分，業(yè)績獎項評價30分。評價計分細則見附錄A。9.2分?jǐn)?shù)計算總體評價分應(yīng)按公式（1）計算：S=A+B+C+D+E 式中：S一一總體評價分；A一一基本要求評價；B一一管理制度要求評價；C一一能力要求評價；D一一實戰(zhàn)經(jīng)驗評價；E一一業(yè)績獎項評價。9.3等級標(biāo)準(zhǔn)總體評價分在45分及以上的，可獲取一星級團隊認(rèn)證證書；總體評價分在55分及以上的，可獲取二星級團隊認(rèn)證證書；總體評價分在65分及以上的，可獲取三星級團隊認(rèn)證證書；總體評價分在75分及以上的，可獲取四星級團隊認(rèn)證證書；總體評價分在90分及以上的，可獲取五星級團隊認(rèn)證證書。8（規(guī)范性附錄）評價計分細則評價項目分值評價內(nèi)容評價指標(biāo)及賦分基本要求評價擁護中國共產(chǎn)黨的領(lǐng)導(dǎo)及中國特色社會主義制度具有中華人民共和國國籍，長期在境內(nèi)居住，無境外永久居留權(quán)無犯罪記錄遵守相關(guān)法律法規(guī)的規(guī)定管理制度要求評價團隊管理制度制度一般1分制度較好2分制度完善2.5分專業(yè)的技能培訓(xùn)制度制度一般1分制度較好2分制度完善2.5分有合作訓(xùn)練及安全教育記錄4~10次8分能力要求評價獲得國家級或省級網(wǎng)絡(luò)安全相關(guān)認(rèn)證證書、能力證書、榮譽證書（廳局級及以上政府部門發(fā)放的網(wǎng)絡(luò)安全相關(guān)的嘉獎證書）等2人獲證5分3人及以上獲證10分不同獲證人員的證書類別方向單一類別3分兩種類別5分三種類別8分四種以上類別10分9評價項目分值評價內(nèi)容評價指標(biāo)及賦分實戰(zhàn)經(jīng)驗評價（超過20分以計）成員參加過實戰(zhàn)職業(yè)技能競賽，其它重大創(chuàng)新競賽或演練等（如有決賽，則按進入決賽計）A類賽10分/次B類賽8分/次C類賽5分/次參加賽事頻次（如有決賽，則按進入決賽且得分計）5次以上10分業(yè)績獎項評價（超過35分以計）演練類獲得一等獎或等同于相關(guān)級別的獎項或榮譽[2]A類賽30分/次B類賽25分/次C類賽20分/次演練類獲得二等獎或競賽類獲得一等獎或等同于相關(guān)級別的獎項或榮譽；A類賽25分/次B類賽20分/次C類賽15分/次演練類獲得三等獎或競賽類獲得二等獎或等同于相關(guān)級別的獎項或榮譽；A類賽20分/次C類賽10分/次競賽類獲得三等獎或等同于相關(guān)級別的獎項或榮譽；A類賽15分/次C類賽5分/次備注：[1]賽事級別：A類賽：賽事主辦方或指導(dǎo)單位級別為國家級，或賽事規(guī)模為5000人以上；B類賽