本文目录导读:

关于关基安全(关键信息基础设施安全)领域的CISP-HP(注册信息安全专业人员-渗透测试)认证,其核心理念不仅在于技术能力,更在于职业道德,由于该方向直接涉及国家关键信息基础设施的安全,诚实行为准则的严肃性和重要性远高于普通渗透测试领域。
中国信息安全测评中心(CNITSEC)发布的CISP系列(包含CISP-PTE/IRE/PTS等方向,HP为其中针对高级渗透与漏洞挖掘的子方向)通用《CISP职业道德准则》中,明确要求持证人员必须遵守严格的诚实行为标准。
以下为您整理并解读CISP-HP(渗透与漏洞挖掘方向)所应遵循的诚实行为准则核心要点基于通用安全审计与渗透测试的职业规范,并特别结合了关基保护的特有要求:
核心原则:零容忍的越权与隐瞒
授权与范围诚实
- 行为准则:严格遵守测试授权书(RoE,Rules of Engagement)的范围,不得以任何理由超出约定的IP段、域名、应用系统或测试时间进行测试。
- 关基关键点:对于关基系统(如电力、金融、交通网络),超范围扫描或尝试爆破可能触发真实的生产事故或国家网络安全预警。诚实意味着主动拒绝来自客户或上级的任何“顺便看一眼”的非授权要求。
漏洞发现与报告诚实
- 行为准则:不得为了“出业绩”而夸大漏洞风险等级(如将低危包装成高危),也不得隐瞒或淡化已发现的高危漏洞。
- 关基关键点:在关基场景下,必须区分“理论漏洞”与“可确定利用漏洞”,若发现无法在限定环境下稳定复现的漏洞,必须明确标注为“疑似”或“需二次确认”,严禁出具虚假报告。
数据与隐私保护
- 行为准则:在测试过程中获取的任何系统数据、配置文件、用户个人隐私信息(包括加密的业务数据),测试结束后必须立即彻底清除,不得保留截图、导出样本或用于任何非授权目的。
- 关基关键点:关基系统常涉及公民个人信息或国家秘密,即使只是通过测试偶然看到系统后台中的真实身份证号或操作日志,视同发现了最高级别的机密,必须隔离并报告,严禁传播。
红线行为:绝对禁止的行为
根据中国网络安全相关法律法规及CISP职业道德规范,CISP-HP人员若出现以下行为,将面临吊销证书、行业通报甚至法律追责:
- 超权突破与系统破坏:在未通知甲方并获得二次书面确认的情况下,擅自突破测试边界(如从Web服务器横向移动到内网核心数据库)。
- 非技术性欺瞒:利用社会工程学攻击,通过欺骗关基单位内部人员(冒充领导、IT运维)获取测试权限,在关基测试中,此类行为需有严格的“社会工程学测试协议”作为前置条件。
- 漏洞倒卖与寻租:将从关基系统中发现的未修复0day漏洞或敏感信息,用于谋取私利、泄愤或向其他组织进行“双面报告”。
- 技术文档造假:伪造渗透测试的流量截图、时间戳或日志记录来证明“成功测试”。
CISP-HP特有的“诚信披露”要求
由于CISP-HP(高级渗透)涉及大量黑盒测试、白盒代码审计及深入的逻辑漏洞探测,准则特别强调:
- 工具诚实:必须明确告知甲方本次使用的工具集是否存在“后门”或“监听”功能,若使用非商业版(如破解版、自制工具),需先进行工具自身的安全性声明。
- 能力边界诚实:如果测试人员自身技术不足,无法对某个疑似漏洞进行深入挖掘,必须如实报告为“无法进一步验证”,而不能为了糊弄工作随便给出一个“安全无虞”的结论。
- 协作诚实:在关基的团队渗透测试中,不得抢夺他人成果或隐瞒团队成员的失误记录。
违反准则的典型后果
如果CISP-HP持证人员违反上述诚实行为准则,根据《中国信息安全测评中心关于CISP人员违规行为的处理办法》:
- 立即取消认证,并列入中国网络安全行业黑名单。
- 通报给持证人员所在单位,个人将面临行业内通报批评。
- 情节严重(涉及关基):移送司法机关,可能涉嫌破坏计算机信息系统罪、非法获取计算机信息系统数据罪或侵犯公民个人信息罪。
💡 实操建议(写给CISP-HP从业者)
在进行关基系统的渗透测试时,建议您始终遵循以下“尺子”来判断是否诚实:
“如果我今晚的测试导致了明天该系统瘫痪,或者我的报告被发现是伪造的,我能否拿出经得起法律和行业审计的完整证据链?”
- 每一条记录都必须可追溯:执行的所有命令、弹出的所有窗口,都建议保留原始录屏或日志。
- 绝对不要将个人设备(U盘、移动硬盘)接入关基系统,以防数据残留或病毒传播,这会直接违反“诚实”的物理隔离原则。
- 对于无法复现的漏洞,书面坦诚说明:在关基领域,“诚实的不知道”远比“虚假的知道”更受尊重。
如果您需要获取官方最新的《CISP职业道德规范》手册原文,建议您访问中国信息安全测评中心的官网或联系授权的培训机构获取。