ICS

03.060CCS

A11

JR

JR/T

0276—2023證券期貨業(yè)信息系統(tǒng)滲透測(cè)試指南Guidelines

for

penetration

testing

of

information

systems

thesecurities

and

futures

industry 中國(guó)證券監(jiān)督管理委員會(huì) 發(fā)

布JR/T

02762023

II

5.1

5.2

5.3

5.4

6.1

6.2

6.3

6.4

7.1

7.2

7.3

7.4

7.5

7.6

8.1

8.2

8.3

8.4

8.5

9.1

9.2

.......................... A.1

A.2

A.3

JR/T

0276—2023A.4

10A.5

10A.6

10A.7

10

12IIJR/T

02762023 本文件按照GB/T

1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則

第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

JR/T

0276—2023 券期業(yè)信系統(tǒng)透測(cè)是指透測(cè)人員從內(nèi)側(cè)、聯(lián)網(wǎng)等通模擬擊者攻擊IIJR/T

02762023

GB/T

15532—2008GB/T

25069—2010

GB/T

29246—2017

GB/T

30279—2020

JR/T

0158—2018

JR/T

0175—2019

GB/T

3.1

penetration

test[來(lái)源：GB/T

3.2

[來(lái)源：GB/T

3.3

threat

3.4JR/T

0276—2023

threat

analysis3.5

information[來(lái)源：GB/T

25069—2010，]3.6

[來(lái)源：GB/T

25069—2010，2.3.30，有修改]3.7

access

control[來(lái)源：GB/T

25069—2010，2]3.8

testing

environment3.9

escalating

privileges

root

3.10

site

clearing3.11

contingency

plan[來(lái)源：GB/T

25069—2010，]3.12

penetration

test

riskJR/T

027620233.13

confidentiality[來(lái)源：GB/T

29246—2017，2.12]3.14

integrity[來(lái)源：GB/T

29246—2017，2.40]3.15

availability[來(lái)源：GB/T

試以攻擊者角度不限攻擊手段成功滲透信息系統(tǒng)，以發(fā)現(xiàn)信息系統(tǒng)存在安全問(wèn)題為目標(biāo)。宜參考GB/T15532—2008中4.3規(guī)定的測(cè)試過(guò)程和JR/T

5.1

5.2

5.3

a)

客戶端、H5

b)

c)

JR/T

0276—20235.4

6.1

6.2

a)

IP

b)

c)

d)

e)

6.3

a)

b)

c)

可嘗試攻擊手法，例如：Web

6.4

a)

析人員、系統(tǒng)內(nèi)核研究人員等；b)

c)

d)

JR/T

027620237.1

7.2

7.3

a)

Web

b)

APP

c)

PC

d)

e)

f)

g)

7.4

a)

b)

c)

d)

e)

f)

7.5

a)

b)

c)

d)

e)

f)

7.6

JR/T

0276—2023a)

b)

c)

d)

8.1

8.2

8.3

根據(jù)本文件附錄A《證券期貨業(yè)信息系統(tǒng)滲透測(cè)試漏洞風(fēng)險(xiǎn)定級(jí)參考》評(píng)估滲透測(cè)試成果的風(fēng)險(xiǎn)危表1

表1

a)

b)

c)

滲透測(cè)試成果涉及的風(fēng)險(xiǎn)對(duì)信息系統(tǒng)的危害描述及針對(duì)性有效修復(fù)方案；d)

e)

8.5

JR/T

02762023a)

b)

c)

d)

9.1

a)

b)

c)

d)

e)

9.2

a)

b)

c)

d)

e)

IP

IP

IP

IP

JR/T

0276—2023c）滲透測(cè)試工具文件校驗(yàn)比對(duì)；d）滲透測(cè)試工具使用報(bào)備。

a)

b)

c)

d)

JR/T

02762023

A.1

按GB/T

30279—2020描述的網(wǎng)絡(luò)安全漏洞分類分級(jí)方法和JR/T

0158—2018描述的證券期貨業(yè)數(shù)據(jù)分類a)

對(duì)被利用性指標(biāo)進(jìn)行賦值，根據(jù)賦值結(jié)果，按照

GB/T

30279—2020

規(guī)定的被利用性b)

對(duì)影響程度指標(biāo)進(jìn)行賦值，根據(jù)賦值結(jié)果，按照

GB/T

30279—2020

規(guī)定的漏洞影響c)

對(duì)環(huán)境因素指標(biāo)進(jìn)行賦值，根據(jù)賦值結(jié)果，按照

GB/T

30279—2020

規(guī)定的環(huán)境因素d)

JR/T

0158—2018

e)

根據(jù)被利用性、影響程度和環(huán)境因素分級(jí)結(jié)果，按照

GB/T

30279—2020

f)

A.2

洞被用性標(biāo)類映信系統(tǒng)洞觸的技術(shù)可性。利用指標(biāo)的組項(xiàng)包但不于：訪問(wèn)路徑、觸發(fā)要求、權(quán)限需求、交互條件，各項(xiàng)指標(biāo)項(xiàng)的賦值按照GB/T

30279—2020中6.2.1規(guī)果見(jiàn)GB/T

A.3

30279—2020中6.2.2JR/T

0276—2023級(jí)結(jié)果見(jiàn)GB/T

30279—2020中附錄B規(guī)定。A.4

—2020中6.2.3規(guī)定的要求執(zhí)行。不同的環(huán)境因素級(jí)別用1至9的數(shù)字表示，數(shù)字越大環(huán)境因素導(dǎo)致的漏洞危害程度越高。環(huán)境因素分級(jí)結(jié)果見(jiàn)GB/T

A.5

根據(jù)行業(yè)機(jī)構(gòu)信息系統(tǒng)運(yùn)營(yíng)或管理活動(dòng)中產(chǎn)生的數(shù)據(jù)類型，按JR/T

0158—2018描述的證券期貨業(yè)

A.6

按GB/T

30279—2020描述的附錄D和E，計(jì)算得到漏洞在技術(shù)層面的分級(jí)結(jié)果，漏洞技術(shù)分級(jí)結(jié)果見(jiàn)GB/T

A.7

證券期貨業(yè)信息系統(tǒng)漏洞風(fēng)險(xiǎn)綜合定級(jí)按GB/T

統(tǒng)所屬行業(yè)和業(yè)務(wù)特色。按JR/T

0158—2018描述的業(yè)務(wù)條線和數(shù)據(jù)分類分級(jí)方法，分析得到漏洞所在

A.1

101112JR/T

02762023

A.1

JR/T

0276—2023

[1]

GB/T

15532—2008

[2]

GB/T

25069—2010

[3]

GB/T

29246—2017

[4]

GB/T

30279—2020

[5]

GB/T

20984—2022

[6]

JR/T

0071—2012

[7]

JR/T

0158—2018

[8]

JR/T

01752019

[9]

JR/T

01912020

[10]

JR/T

0192—2020

[11]

JR/T

0199—2020

[12]

ISO/IEC

TR

20004:2015

Information

technology—Security

techniques

Refiningsoftware

ISO/IEC

and

ISO/IEC

[13]

ISO/IEC

18045:2008

Information

technology—Security

techniques—Methodology

forIT

evaluation[14]

豐K

博A

波A

等.南[J].800-115，

Scarfone

Orebaugh

et

al.

to

Information

Securit