金融机构应用系统安全测试规程.docxVIP

1

金融机构应用系统安全测试规程

1范围

本文件规定了金融行业应用系统安全测试的目标、原则、流程和方法。

本文件适用于：

a)金融机构及其分支机构通过自有团队开展应用系统安全测试的管理工作。

b)金融机构及其分支机构通过外部团队开展应用系统安全测试的管理工作。

注：金融机构包括：银行、保险、证券、基金等金融机构。

2规范性引用文件

下列文件中的条款通过本文件的引用而成为本文件的条款。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20984-2022信息安全技术信息安全风险评估方法

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T27910-2011金融服务信息安全指南

GB/T30279-2020信息安全技术网络安全漏洞分类分级指南

GB/T31509-2015信息安全技术信息安全风险评估实施指南

JR/T0072—2020金融行业网络安全等级保护测评指南

JR/T0213-2021金融网络安全Web应用服务安全测试通用规范

3术语和定义

GB/T25069-2022、GB/T30273—2013、GB/T29246-2017界定的以及下列术语和定义适用于本文件。3.1

应用软件系统applicationsoftwaresystem

信息系统中对特定业务进行处理的软件系统。

[来源：GB/T25069-2022，3.731]3.2

应用程序接口applicationprogramminginterface

一组预先定义好的功能，开发者可通过该功能（或功能的组合）便捷地访问相关服务，而无需关注服务的设计与实现。

[来源：JR/T0185—2020，3.1]3.3

中间件middleware

中间件是指在分布式系统中，帮助不同应用程序或组件进行通信和数据交换的软件层。中间件提供通用服务，如消息传递、事务管理、安全认证和数据访问，简化了应用程序的开发和集成。

2

3.4

应用服务器applicationserver

提供应用程序运行环境的中间件，支持应用程序的开发、部署和运行。

3.5

应用系统安全测试applicationsecuritytesting

通过技术安全测试或业务安全测试等方式，对应用系统服务及其运行环境进行安全性验证，以检验其安全质量标准的过程。

3.6

技术安全测试technicalsecuritytesting

技术安全测试即对应用系统开展渗透测试，以威胁视角模拟入侵行为对系统实施攻击操作，来评估应用系统安全性，包括工具漏扫测试和人工渗透测试。

3.7

业务安全测试businesssecuritytesting

主要是测试人员依据业务需求中的安全功能，随项目功能性测试同步开展，主要是验证安全功能的实现是否满足业务需求中的要求。

3.8

安全缺陷securityvulnerability

信息系统在需求、设计、实现、配置、运行等过程中，有意或无意违背了信息安全原则产生的缺陷。这些缺陷以不同形式存在于信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对信息系统的安全造成损害，从而影响信息系统的正常运行。

3.9

泄露disclosure

违反信息安全策略，导致数据被未经授权的实体使用的行为。

[来源：GB/T25069-2022，3.670]

3.10

加密enciphermentencryption

对数据进行密码变换以产生密文的过程。

[来源：GB/T36322-2018，3.5]

3.11

明文plaintext

未加密的信息。

[来源：GB/T15843.1-2017，3.19]

3.12

敏感信息sensitiveinformation

一旦泄露可能会对用户或金融机构造成损失的数据。

3

[来源：JR/T0171—2020，定义3.2]

3.13

个人金融信息personalfinancialinformation

金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。

注：个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定

个人某些情况的信息。

[来源：JR/T0171—2020，定义3.2]

3.14

字典攻击dictionaryattack

一种由可能的密钥或口令组成字典，遍历其中的所有条目以猜测密钥或口令的攻击方法。

[来源：GB/T25069-2022，3.813]

3.15

备份文件backupfiles

一种用于以后数据恢复的文件。

[