各有关单位:
为进一步加强我省网络与数据安全保障体系建设,强化安全威胁发现能力,根据相关政策文件精神,我会拟依托网络与数据安全技术支撑单位及部分外部专家开展公益众测活动,帮助有关单位消除一批网络与数据安全风险隐患,有关事项通知如下:
一、试点目标
充分发挥我会资源整合优势,通过开展网络与数据安全公益众测试点,提升网络安全技术人才资源利用效率,形成“专家会诊,资源聚焦”的众测模式,帮助有关单位及时消除风险隐患,促进众测推广普及。
二、试点对象
面向社会开放,省内各有关部门和企事业单位均可参与。
三、众测内容
(一)信息系统渗透测试。主要采用黑盒测试方式,对送测信息系统开展授权范围内的非破坏性渗透测试,重点发现系统和设备存在的SQL注入、文件上传漏洞、权限漏洞、弱口令、敏感信息泄露、业务逻辑漏洞、安全配置缺陷等漏洞缺陷。
(二)APP、小程序个人信息保护合规性评估。主要根据《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等要求,参考有关标准和规范,检测APP、小程序在个人信息收集使用方面存在的不合规问题。
(三)抗拒绝服务能力测试。通过我会DDoS攻防演练平台调取超大流量资源,对试点单位授权范围内的系统开展DDoS攻击演练,验证目标在面对超大流量网络攻击情况下的抗拒绝服务能力、设备策略和应急处置机制有效性。
四、活动费用
本次众测活动为公益项目,不收取任何费用。
五、众测程序
(一)报名申请。填写报名意向表(附件),于2024年6月27日前报送至我会邮箱。
(二)意向沟通。汇总试点申报意向表,与报名单位联系人开展详细意向沟通,针对送测系统实际情况进行初步调研。
(三)试点单位确定。根据意向沟通结果,结合本次公益众测资源供给情况,确定公益众测试点单位名单。
(三)详细方案制定。对送测系统开展深入调研和沟通,一对一制定众测实施方案,试点单位出具授权书并提供测试对象详细信息。
(四)众测实施。组织技术支撑单位和外部专家,按照前期方案对授权系统开展众测,出具报告,试点单位协同配合测试工作。
云南省互联网协会
2024年6月18日
(联系人:曾老师,15329480019,ynhlwxh@126.com)