- 1、本文档共61页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
中国人民银行发
中国人民银行发布
ICS35.240.40
CCSA11
JR
中华人民共和国金融行业标准
JR/T0232—2021
银行互联网渗透测试指南
Guidelinesforinternetpenetrationtestinbank
2021
2021-07-22发布
2021-07-22实施
JR/T0232—2021
目次
前言 III
引言 IV
1范围 1
2规范性引用文件 1
3术语和定义 1
4概述 3
5渗透测试策划 3
5.1概述 3
5.2确定测试范围 3
5.3确定测试引用文档 3
5.4确定测试项 4
5.5确定被测试特性和不被测试特性 4
5.6确定测试方法与测试通过准则 4
5.7确定暂停准则和恢复条件 4
5.8测试交付项 4
5.9确定测试活动、任务与进度 4
5.10明确环境需求 5
5.11分配职责、权限和各部门间的工作衔接 5
5.12明确人员配备和培训目标 5
5.13明确风险和应急措施 5
5.14确定质量保证过程 5
5.15测试策划阶段文档 5
6渗透测试设计 6
6.1概述 6
6.2确定测试范围 6
6.3被测试特征、测试方法与通过准则 6
6.4测试用例 6
6.5测试环境 7
6.6测试过程描述 9
6.7测试就绪评审 9
6.8测试设计阶段文档 10
7渗透测试执行 10
7.1概述 10
7.2信息收集 10
7.3威胁建模 11
I
JR/T0232—2021
7.4漏洞发现 12
7.5渗透攻击 14
7.6测试执行阶段文档 15
8渗透测试总结 15
8.1概述 15
8.2测试数据分析 15
8.3差异分析 15
8.4风险决策根据分析 15
8.5报告编写 16
8.6测试评审 17
8.7测试总结阶段文档 17
附录A(资料性)银行互联网渗透测试过程要点清单 18
附录B(资料性)银行互联网渗透测试漏洞风险定级参考 21
参考文献 26
II
II
JR/T0232—2021
前言
本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国银行业协会提出。
本文件由全国金融标准化技术委员会(SAC/TC180)归口。
本文件起草单位:中国银行业协会、中国工商银行股份有限公司、中国农业银行股份有限公司、中信银行股份有限公司、兴业银行股份有限公司、北京银联金卡科技有限公司、中金金融认证中心有限公司、北京梆梆安全科技有限公司、北京长亭未来科技有限公司。
本文件主要起草人:潘光伟、张芳、高峰、李宽、王阳、敦宏程、苏建明、刘涌、王贵智、蒋家堂、叶红、戴心齐、孟宪哲、李亚敏、王金希、李沁蕾、赵成刚、陈嘉、江超、李乐天、高强裔、刘淑敏、刘一鸣、马男。
II
III
JR/T0232—2021
引言
渗透测试(PenetrationTest)也叫穿透测试,是一种通过模拟真实世界中的攻击动作,发现并利用安全漏洞,进而检验、评估信息系统实际安全水平的测试方法。渗透测试具有深入、直接、客观的特点,是主动提升信息系统(尤其是互联网信息系统)安全性的有力手段,已得到了广泛使用。互联网渗透测试主要模拟的是来自互联网的攻击行为,是当前最主要的一种渗透测试形式。银行信息系统是国家的重要基础设施,对互联网的依赖与日俱增,面临的互联网攻击也日趋严峻。因此通过互联网渗透测试这一技术手段主动发现安全漏洞也是当前银行普遍的现实需求。
渗透测试虽然是一项基础的安全技术,但在不同的行业应用场景下又有各自的特殊性。银行信息系统直接涉及资金安全,且需要非常高的稳定性,不规范的渗透测试不仅无法全面覆盖与资金安全密切相关的核心安全风险,还可能给系统的安全稳定带来负面影响。
因此,在国家层面尚未建立成熟的渗透测试实施相关标准的情况下,很有必要从行业安全的角度,结合银行业务的特点,针对性地制定一套规范的银行互联网渗透测试方法,以保障测试质量、控制实施风险,确保银行机构能更加规范、系统、有效、方便地开展互联网渗透测试工作。
基于以上行业需求,制定本文件。依照本文件开展渗透测试时,首先遵循国家的法律法规、监管制
您可能关注的文档
- 《金融分布式账本技术安全规范》(JRT 0184 2020).docx
- GB 42250-2022 信息安全技术 网络安全专用产品安全技术要求.pptx
- GB∕T 39204-2022 信息安全技术 关键信息基础设施安全保护要求-无水印版.pptx
- GB∕T 41806-2022 信息安全技术 基因识别数据安全要求.pptx
- GB∕T 41807-2022 信息安全技术 声纹识别数据安全要求.pptx
- GB∕T 41817-2022 信息安全技术 个人信息安全工程指南.pptx
- GB∕T 42013-2022 信息安全技术 快递物流服务数据安全要求.pptx
- GB∕T 42014-2022 信息安全技术 网上购物服务数据安全要求.pptx
- GB∕T 42016-2022 信息安全技术 网络音视频服务数据安全要求.pptx
- GB∕T 42017-2022 信息安全技术 网络预约汽车服务数据安全要求.pptx
文档评论(0)