![点击分享此内容可以赚币 分享](/master/images/share_but.png)
JR∕T 0232—2021 银行互联网渗透测试指南(金融).pdf
《JR∕T 0232—2021 银行互联网渗透测试指南(金融).pdf》由会员分享,可在线阅读,更多相关《JR∕T 0232—2021 银行互联网渗透测试指南(金融).pdf(31页珍藏版)》请在咨信网上搜索。
1、附件 9ICS 35.240.40CCS A 11JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 02322021银行互联网渗透测试指南Guidelines for internet penetration test in bank2021 - 07 - 22 发布2021 - 07 - 22 实施中国人民银行发 布JR/T 02322021I目次前言.III引言. IV1 范围.12 规范性引用文件.13 术语和定义.14 概述.35 渗透测试策划.35.1 概述.35.2 确定测试范围.35.3 确定测试引用文档.35.4 确定测试项.45.5 确定被测试特性和不被测试特性
2、.45.6 确定测试方法与测试通过准则.45.7 确定暂停准则和恢复条件.45.8 测试交付项.45.9 确定测试活动、任务与进度.45.10 明确环境需求.55.11 分配职责、权限和各部门间的工作衔接.55.12 明确人员配备和培训目标.55.13 明确风险和应急措施.55.14 确定质量保证过程.55.15 测试策划阶段文档.56 渗透测试设计.66.1 概述.66.2 确定测试范围.66.3 被测试特征、测试方法与通过准则.66.4 测试用例.66.5 测试环境.76.6 测试过程描述.96.7 测试就绪评审.96.8 测试设计阶段文档.107 渗透测试执行.107.1 概述.107.
3、2 信息收集.107.3 威胁建模.11JR/T 02322021II7.4 漏洞发现.127.5 渗透攻击.147.6 测试执行阶段文档.158 渗透测试总结.158.1 概述.158.2 测试数据分析.158.3 差异分析.158.4 风险决策根据分析.158.5 报告编写.168.6 测试评审.178.7 测试总结阶段文档.17附录 A (资料性) 银行互联网渗透测试过程要点清单. 18附录 B (资料性) 银行互联网渗透测试漏洞风险定级参考. 21参考文献.26JR/T 02322021III前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定
4、起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国银行业协会提出。本文件由全国金融标准化技术委员会(SAC/TC 180)归口。本文件起草单位:中国银行业协会、中国工商银行股份有限公司、中国农业银行股份有限公司、中信银行股份有限公司、兴业银行股份有限公司、北京银联金卡科技有限公司、中金金融认证中心有限公司、北京梆梆安全科技有限公司、北京长亭未来科技有限公司。本文件主要起草人:潘光伟、张芳、高峰、李宽、王阳、敦宏程、苏建明、刘涌、王贵智、蒋家堂、叶红、戴心齐、孟宪哲、李亚敏、王金希、李沁蕾、赵成刚、陈嘉、江超、李乐天、高强裔、刘淑敏、刘一鸣、马男。JR/
5、T 02322021IV引言渗透测试(Penetration Test)也叫穿透测试,是一种通过模拟真实世界中的攻击动作,发现并利用安全漏洞,进而检验、评估信息系统实际安全水平的测试方法。渗透测试具有深入、直接、客观的特点,是主动提升信息系统(尤其是互联网信息系统)安全性的有力手段,已得到了广泛使用。互联网渗透测试主要模拟的是来自互联网的攻击行为, 是当前最主要的一种渗透测试形式。 银行信息系统是国家的重要基础设施,对互联网的依赖与日俱增,面临的互联网攻击也日趋严峻。因此通过互联网渗透测试这一技术手段主动发现安全漏洞也是当前银行普遍的现实需求。渗透测试虽然是一项基础的安全技术, 但在不同的行业
6、应用场景下又有各自的特殊性。 银行信息系统直接涉及资金安全, 且需要非常高的稳定性, 不规范的渗透测试不仅无法全面覆盖与资金安全密切相关的核心安全风险,还可能给系统的安全稳定带来负面影响。因此,在国家层面尚未建立成熟的渗透测试实施相关标准的情况下,很有必要从行业安全的角度,结合银行业务的特点,针对性地制定一套规范的银行互联网渗透测试方法,以保障测试质量、控制实施风险,确保银行机构能更加规范、系统、有效、方便地开展互联网渗透测试工作。基于以上行业需求,制定本文件。依照本文件开展渗透测试时,首先遵循国家的法律法规、监管制度及强制性标准的最新条款,如本文件与前述各项条款矛盾,遵循前述各项条款。JR/
7、T 023220211银行互联网渗透测试指南1范围本文件提供了在银行信息系统中开展互联网渗透测试的整体流程以及流程各个环节中保障测试质量、控制测试风险的指南。本文件适用于银行互联网渗透测试的策划、设计、执行、总结,也供保险、证券等其他金融行业参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 155322008计算机软件测试规范GB/T 250692010信息安全技术术语GB/T 292462017信息技术安全技术信息安全管理体系概
8、述和词汇JR/T 01012013银行业软件测试文档规范3术语和定义GB/T 250692010和GB/T 292462017界定的以及下列术语和定义适用于本文件。3.1渗透测试penetration test渗透性测试穿透性测试以模拟真实攻击的动作,检测发现信息系统存在的技术漏洞,并利用漏洞突破信息系统的安全控制机制,进而评估信息系统面临的实际安全风险的一种测试手段。来源:GB/T 250692010, 2.3.87,有修改3.2授权authorization通过技术手段界定渗透测试实施范围的过程。示例:通过防火墙策略仅允许渗透测试实施人员访问测试范围内的信息系统。来源:GB/T 25069
9、2010, 2.1.33,有修改3.3威胁代理threat agent有动机和能力破坏信息系统安全性的人或程序。示例:企图通过攻击信息系统非法获取资金的黑客团伙。3.4JR/T 023220212威胁建模threat modeling对信息系统的资产、流程、攻击信息系统的主要动机、潜在威胁代理及其能力等进行分析,对相关的主体和关系进行有效组织。注:威胁建模的目的是构建信息系统面临的最可能攻击场景。3.5敏感信息sensitive information由权威机构确定的必须受保护的信息,该信息的泄露、修改、破坏或丢失会对人或事产生可预知的损害。注:敏感信息的具体分级标准宜参考JR/T 01972
10、020。来源:GB/T 250692010, 2.2.4.73.6漏洞vulnerability脆弱性弱点信息系统中可能被攻击者利用的薄弱环节。来源:GB/T 250692010, 2.3.30,有修改3.7实施风险implement risk渗透测试实施过程中可能对目标信息系统的保密性、完整性、可用性带来的影响。3.8访问控制access control一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。来源:GB/T 250692010, 2.2.1.423.9仿真环境simulation environment为避免直接在目标信息系统中实施测试所引入的实施风险,仿照目标信
11、息系统搭建且具备测试所需的各项条件的渗透测试实施环境。示例:业务系统及配置与生产一致的测试环境;生产环境中与生产服务器配置一致但不承载实际业务的模拟服务器;与生产高度一致的网络靶场环境。3.10权限提升privilege escalation在低权限用户状态下,利用信息系统中存在的漏洞突破权限控制,获得该用户原本不具备的操作权限的过程。示例:利用操作系统漏洞从普通用户权限提升为超级管理员用户权限。3.11现场清理site clearing渗透测试实施完毕后,将目标信息系统恢复到测试前状态的过程。示例:删除上传到目标信息系统中的测试脚本。JR/T 0232202133.12应急预案conting
12、ency plan一种关于备份、应急响应和灾后恢复的计划。来源:GB/T 250692010, 2.2.3.43.13保密性confidentiality信息对未授权的个人、实体或过程不可用或不泄露的特性。来源:GB/T 292462017, 2.123.14完整性integrity准确和完备的特性。来源:GB/T 292462017, 2.403.15可用性availability根据授权实体的要求可访问和可使用的特性。来源:GB/T 292462017, 2.93.16遵从性compliance遵守指导活动的相关条款的程度。4概述银行互联网渗透测试是指从互联网渠道发起的针对银行信息系统的渗
13、透测试,宜按照GB/T155322008中4.3规定的要求,将测试流程划分为策划、设计、执行、总结四个阶段,并根据整体测试情况编制总结文档。渗透测试过程中的相关文档,宜按照JR/T 01012013中4.4.3规定的要求,给出的单项测试三级规范编制。5渗透测试策划5.1概述渗透测试策划(以下简称测试策划)主要进行渗透测试需求分析,包括确定测试范围,确定测试引用文档,确定测试项以及被测试特性和不被测试特性,确定测试方法与测试通过准则,确定暂停准则和恢复条件,规定测试活动、任务与进度,明确环境需求,分配职责、权限和各部门间的工作衔接,明确人员配备和培训目标,明确风险和应急措施,确定质量保证过程。在
14、测试过程中,如发现在测试规划阶段确定的内容有变化,宜及时变更测试策划,并妥善管理测试策划的版本。应用程序编程接口(API,Application Programming Interface)方式接入前,需要进行接入方系统改造和接口开发,并与接口平台开展联调测试,其中功能测试和业务场景测试是必做项。5.2确定测试范围概述本渗透测试涉及到的范围及其特征。示例:本渗透测试在因特网中国境内网段,针对实际生产环境进行。5.3确定测试引用文档JR/T 023220214确定开展渗透测试所考虑的需求因素,每个文档宜明确具体的标识(包括版本)和条款,典型的引用文档包括:a)国家监管制度。b)金融行业监管制度。
15、c)组织自身安全管理策略规范。d)团体组织准入规范。示例:支付卡行业安全标准委员会(PCI SSC,Payment Card Industry Security Standards Council)、环球银行金融电信协会(SWIFT,Society Worldwide Interbank Financial Telecommunication)等团体组织均有定期对特定信息系统进行渗透测试的相关规范。e)业务需求以及非功能需求。示例:某些重要业务系统需要很高的安全性,上线前和(或)上线后可能会提出专项的渗透测试需求。5.4确定测试项根据界定的测试范围,确定具体的渗透测试对象。测试项宜能够进行明确
16、的标识和界定。示例:测试项通过具有唯一性的属性予以标识的例子包括互联网协议(IP,Internet Protocol)地址、域名、域名+统一资源定位符(URL,Uniform Resource Locators)、客户端程序版本、客户端程序文件哈希值。当测试范围为因特网中国境内网段实际生产环境时,测试项为银行的整个信息与通信(ICT,Information andCommunications Technology)系统。5.5确定被测试特性和不被测试特性确定具体的渗透测试特性,即渗透测试针对测试项的哪些方面和不针对哪些方面。示例:当测试范围为因特网中国境内网段,测试项为银行的整个 ICT 系统
17、时,被测试特性为针对通用信息技术产品的通过互联网的攻击和利用应用系统业务需求逻辑漏洞进行的攻击。不被测试特性包括高级可持续威胁(APT,Advanced Persistent Threat)攻击和分布式拒绝服务(DDOS,Distributed Deny Of Service)攻击。5.6确定测试方法与测试通过准则根据渗透测试的目的、内容以及实施特性,选定渗透测试方法,明确成功实施该测试的准则。示例:渗透测试全流程中典型的测试方法包括:a)搜索,如基于搜索引擎收集信息。b)扫描,如通过自动化扫描工具收集信息或检测漏洞。c)监听,如通过网络监听窃取未加密敏感信息。d)篡改,如篡改上传服务端的交易
18、数据。e)绕过,如绕过登录控制直接访问敏感信息。f)滥用,如恶意、频繁地使用正常的业务功能。g)破解,如破解相关密码算法还原加密的敏感信息。h)逆向,如通过动态调试、反编译等方式掌握程序的运行逻辑。i)注入,如输入包含恶意代码的数据。5.7确定暂停准则和恢复条件包括计划内暂停和计划外暂停两种情况。在暂停后恢复时,宜关注是否需要进行回归测试。5.8测试交付项确定可交付的文档。 测试输入数据、 测试输出数据以及测试辅助软件 (如渗透测试工具的脚本) ,宜确定为可交付项。5.9确定测试活动、任务与进度JR/T 023220215明确准备和执行渗透测试的主要活动、任务和所需的时间周期,粒度宜符合实际需
19、要,对不同的活动、任务可按照不同的粒度进行规划。明确各项任务间的所有依赖关系和所需要的任何特殊技能。示例:在典型情况下,具体的实施计划宜包括测试的起始时间点、测试的结束时间点或结束标志,以及测试周期内的具体实施时间段。5.10明确环境需求典型的测试环境需求包括但不限于:a)所需的硬件。b)所需的软件,包括基础软件和测试工具软件。c)所需的特殊硬件设备。d)所需的网络环境,包括网络种类、带宽、账号。e)测试所需的基础数据。f)测试设计和执行的物理场地与办公设施。g)测试所需的银行产品凭据。5.11分配职责、权限和各部门间的工作衔接确定负责管理、设计、准备、执行、监督和解决问题的各个小组,实现所有
20、的工作任务均有任务属主,且明确承担相关属主角色之间的不兼容职责。所有参与者从承担责任上分为任务属主或参与者。从时间投入上分为全职人员或共享人员。宜确定这些个人和小组之间交流的内容和方法,包括阐明信息流和数据流的图表。按最小权限原则对渗透测试全体人员进行合理授权。对涉及到内部网络的,宜仅开通测试所需的网络访问范围和相关支撑系统、应用系统所必要的用户权限。对所有渗透测试涉及的文档(包括本计划)、工具、数据的归属、共享做出规定。5.12明确人员配备和培训目标根据任务和设置的小组与职责提出对人员的配备和技能的需求,对不具备相关技能的情况,说明如何进行培训。示例:指导组、工具组、环境组人员来自专业团队且
21、已经具备了所需的知识与技能。设计组需外部专家指导且已经在相关采购合同中包括了所需的人员,需要由工具组和外部专家进行工具脚本设计和工具使用的专业培训。5.13明确风险和应急措施标识测试策划的风险假设,提出应对各种风险的应急措施。示例:本渗透测试可预料到的风险和应急措施包括:a)对生产环境可能导致的破坏风险,应急措施为提前编制应急预案,提前备份敏感数据及重要系统。b)对生产环境的功能产生影响的风险,应急措施为提前编制应急预案,实施过程中暂停测试,并马上启动对该功能涉及到应用系统的修复。c)对生产环境的性能产生影响的风险,应急措施为加强对应用系统的监控,实施阶段的渗透攻击环节错开生产业务高峰期,限制
22、自动化工具的并发数。d)测试过程中误操作可能导致的风险,应急措施为测试均应采用脚本化方式,操作时双人实施。e)渗透测试不充分导致的残留风险,应急措施为对测试结果进行分析,保留测试现场数据和测试用例、规程数据,以便后期通过回归测试复现测试过程。5.14确定质量保证过程明确为保证测试过程和产品质量所用的方法,包含或引用异常的跟踪和解决过程。示例:所有的渗透测试均经过设计,编制了测试规格说明并经过评审。所有的测试过程均编制了测试日志,经质量控制人员审核,记录内容与测试过程一致。编制了测试总结报告并通过评审。5.15测试策划阶段文档JR/T 023220216在测试策划阶段,宜按照JR/T 01012
23、013中第5章规定的要求,制定测试策划。在本测试复用概率较低、且对后继工作影响较小情况下,可按照JR/T 01012013中第10章规定的要求,编制测试预案中与测试策划相关的部分。在应急测试时,宜按照JR/T 01012013中第15章规定的要求,编制测试综合报告中涉及到测试策划的相关内容。在确定质量保证过程中,参考相关文档进行审核时,测试规格说明宜按照JR/T 01012013中第9章规定的要求编制;测试日志宜按照JR/T 01012013中第11章规定的要求编制,测试总结报告宜按照JR/T 01012013中第14章规定的要求编制。6渗透测试设计6.1概述渗透测试设计(以下简称测试设计)是
24、按照测试策划,进一步细化针对被测试特征的测试方法和通过准则,选用已有的测试用例或设计新的测试用例;获取并验证测试数据;确定测试用例执行顺序的测试规程;准备测试工具并在必要时开发测试软件;建立并验证测试环境;进行测试就绪评审。在测试设计过程中,发现测试策划需要变更的,宜在经过评审后及时变更测试策划,使测试策划与测试规格保持一致与协调。6.2确定测试范围说明本渗透测试涉及到的范围及其特征。若测试策划的范围描述已经能够满足对不同测试方法的设计,则可直接参考该测试策划。在必要时,可针对测试策划中描述的测试范围有选择地进行细化,以说明应用相关测试方法的必要性。6.3被测试特征、测试方法与通过准则在测试策
25、划描述的测试项、测试方法与测试通过准则的基础上,针对每一测试特征,在必要时细化测试方法。描述的粒度宜能按照给定的方法进行测试用例和测试规程的设计。示例:测试项、测试方法与测试通过准则见测试策划。6.4测试用例6.4.1测试用例标识规则明确测试用例描述的方式。不论采用哪种方式,均可唯一定位和检索,并说明使用的规则与注意事项。6.4.2测试用例概述测试用例可根据测试的特征分组, 其粒度可根据测试用例是新设计还是选用库中现有测试用例、测试设计,本测试使用是否需要执行回归测试,测试用例是否计划复用,以及实施人员的知识与技能综合确定。宜集中描述测试用例的公共属性,包括但不限于:a)对相关测试用例集合中每
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JRT 02322021 银行互联网渗透测试指南金融 JR 0232 2021 银行 互联网 渗透 测试 指南 金融
![提示](https://www.zixin.com.cn/images/bang_tan.gif)
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。