3網絡安全測試能力（團隊）評價規范本文件規定了網絡安全測試團隊能力的評定原則、團隊人員組成、團隊的分級、評價指標、團隊的認證等要求。本文件適用于認證機構對網絡安全攻防測試團隊進行認證，可作為網絡安全攻防測試服務需方選擇團隊的評估依據，另外，也可為網絡安全攻防測試團隊提高自身能力提供指導。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。3術語和定義下列術語和定義適用于本文件。3.1網絡安全攻防團隊cybersecurityattackanddefenseteam由主要從事網絡安全攻防測試人員以攻方和防守方的形式組成的團隊。3.2攻防演練offensiveanddefensivedrills基于預設的網絡信息系統保護目標，以網絡安全滲透（攻擊）和網絡安全防范（防守）為主要手段，采用攻防雙方對抗方式組織的網絡安全防范演習和訓練活動。3.3PWNpwn通過程序本身的漏洞，編寫利用腳本破解程序拿到主機權限的形式。在CTF比賽中代表著溢出類的題目，其中常見類型的溢出漏洞有棧溢出、堆溢出。3.4CTFcapturetheflag即奪旗比賽，在網絡安全領域中指的是網絡安全技術人員之間進行技術競技的一種比賽形式。參賽4隊伍通過互聯網，以在線環境交互或文件離線分析方式，解決網絡安全技術挑戰并獲取相應分值。比賽結果根據選手所獲總分和花費時間多少來排名。包括解題模式(Jeopardy)、攻防模式(AWD)，還有混合模式(Mix)賽制。3.5解題模式jeopardymode在解題模式CTF賽制中，參賽隊伍可以通過互聯網或者現場網絡參與，這種模式的CTF競賽以解決網移動、二進制、PWN提權、雜項等。3.6攻防模式attackwithdefensemode在攻防模式CTF賽制中，參賽隊伍在網絡空間互相進行攻擊和防守，挖掘網絡服務漏洞并攻擊對手服務來得分，修補自身服務漏洞進行防御來避免丟分。攻防模式CTF賽制可以實時通過得分反映出比賽情最終也以得分直接分出勝負。3.7通過多個網絡節點構建的對真實網絡世界平行仿真的多層次，多路徑的靶場場景，完成特定任務，并按完成時間和過程積分排名。4評定原則4.1自愿原則在團隊及成員自愿的基礎上開展等級評定工作。4.2公開原則團隊的等級評定規則公開透明。4.3公平原則采用統一、中立、持平的評定規則，以保證評定的公平性。4.4公正原則評定的過程及其結果不受任何方的影響。5團隊人員組成5團隊可按網絡安全攻防與應急實戰演練、CTF奪旗賽（解題模式、攻防模式、混合模式）靶場演練等賽事組成人員。5.1網絡安全攻防與應急實戰演練由3-5名成員組成，可由滲透測試、WEB安全、社會工程學等專業人員組成。5.2解題模式(Jeopardy)由3-6名成員組成，可由WEB、逆向、取證、隱寫、密碼、移動、二進制、流量數據分析、提權、漏洞挖掘等人員組成。5.3攻防模式(AWD)由3-5名成員組成，可由若干名攻擊和防守人員組成，一般需具備代碼審計、攻擊腳本編寫、提權、后門維持、基線加固、流量監測、應急處置等能力的人員。5.4靶場演練(ISW)由4名以內成員構成，需要具備綜合網絡安全滲透測試能力。利用各種網絡安全技能，發現路徑，實現角色任務。6團隊的分級團隊等級分為一星級、二星級、三星級、四星級、五星級。一星級級別最低，五星級級別最高。具體的團隊等級評定參見附錄A。7團隊評價指標7.1基本條件基本條件是評定團隊等級的起評條件，申請等級認證的團隊所有人員應擁護中國共產黨的領導，擁護中國特色社會主義制度；應具有中華人民共和國國籍，長期在境內居住，無境外永久居留權；應遵守相關法律法規的規定，無犯罪記錄。團隊人員還應具備攻防對抗、滲透測試等網絡安全專業領域相關的經驗。7.2管理制度要求團隊應由中國境內合法注冊的企、事業單位或社會團體等組織批準成立，該組織承擔對團隊運作的管理責任。團隊應具備人員及資產管理制度，技能合作訓練、安全教育制度，漏洞攻擊、滲透測試等方面的技能培訓制度。此外，團隊須接受網絡安全行業主管部門的監管，遵紀守法，行為合規，不得違背6社會公序良俗。7.3能力要求團隊成員獲得國家級或省級網絡安全相關認證證書、能力證書、榮譽證書（廳局級及以上政府部門發放的網絡安全相關的嘉獎證書）等。7.4實戰經驗團隊應有相關實戰比賽經驗，如實戰演練，CTF類競賽，職業技能競賽，其它重大創新競賽或演練7.5業績獎項過去2年內，團隊在相關比賽中獲得榮譽獎項，可根據業績獎項對團隊進行等級評定。8團隊的認證團隊的等級認證主要對基本條件、管理制度要求、能力要求、實戰經驗等指標進行評價，符合要求的團隊可進行等級認證，頒發認證證書。認證證書有效期為：2年。有效期內每年應進行年審以確保團隊符合等級要求，不滿足年審要求的團隊將受到黃牌警告，有嚴重問題的將取消認定證書。有效期滿或人員調整后應進行延期評審或重新等級認定，根據認定結果調整等級。9團隊評價方法9.1指標與賦分團隊評價指標總賦分為100分。各項評價內容賦分分別為：基本要求評價10分，管理制度要求評價15分，能力要求評價25分，實戰經驗評價20分，業績獎項評價30分。評價計分細則見附錄A。9.2分數計算總體評價分應按公式（1）計算：S=A+B+C+D+E 式中：S一一總體評價分；A一一基本要求評價；B一一管理制度要求評價；C一一能力要求評價；D一一實戰經驗評價；E一一業績獎項評價。9.3等級標準總體評價分在45分及以上的，可獲取一星級團隊認證證書；總體評價分在55分及以上的，可獲取二星級團隊認證證書；總體評價分在65分及以上的，可獲取三星級團隊認證證書；總體評價分在75分及以上的，可獲取四星級團隊認證證書；總體評價分在90分及以上的，可獲取五星級團隊認證證書。8（規范性附錄）評價計分細則評價項目分值評價內容評價指標及賦分基本要求評價擁護中國共產黨的領導及中國特色社會主義制度具有中華人民共和國國籍，長期在境內居住，無境外永久居留權無犯罪記錄遵守相關法律法規的規定管理制度要求評價團隊管理制度制度一般1分制度較好2分制度完善2.5分專業的技能培訓制度制度一般1分制度較好2分制度完善2.5分有合作訓練及安全教育記錄4~10次8分能力要求評價獲得國家級或省級網絡安全相關認證證書、能力證書、榮譽證書（廳局級及以上政府部門發放的網絡安全相關的嘉獎證書）等2人獲證5分3人及以上獲證10分不同獲證人員的證書類別方向單一類別3分兩種類別5分三種類別8分四種以上類別10分9評價項目分值評價內容評價指標及賦分實戰經驗評價（超過20分以計）成員參加過實戰職業技能競賽，其它重大創新競賽或演練等（如有決賽，則按進入決賽計）A類賽10分/次B類賽8分/次C類賽5分/次參加賽事頻次（如有決賽，則按進入決賽且得分計）5次以上10分業績獎項評價（超過35分以計）演練類獲得一等獎或等同于相關級別的獎項或榮譽[2]A類賽30分/次B類賽25分/次C類賽20分/次演練類獲得二等獎或競賽類獲得一等獎或等同于相關級別的獎項或榮譽；A類賽25分/次B類賽20分/次C類賽15分/次演練類獲得三等獎或競賽類獲得二等獎或等同于相關級別的獎項或榮譽；A類賽20分/次C類賽10分/次競賽類獲得三等獎或等同于相關級別的獎項或榮譽；A類賽15分/次C類賽5分/次備注：[1]賽事級別：A類賽：賽事主辦方或指導單位級別為國家級，或賽事規模為5000人以上；B類賽