被窝福利爱看午夜_久久精品国产导航_人妻无码久久久久久久久久久_久久精品66免费99精品-午夜黄色视频在线观看,国产无码精品在线观看,69精品人人人人,51国产在线观看

ICS 03.060 CCS A11

JR

中 華 人 民 共 和 國(guó) 金 融 行 業(yè) 標(biāo) 準(zhǔn) JR/T 0276—2023

證券期貨業(yè)信息系統(tǒng)滲透測(cè)試指南

Guidelines for penetration testing of information systems in the securities and futures industry

2023-02-07 發(fā)布                                    2023-02-07 實(shí)施

中 國(guó)證 券監(jiān) 督 管理 委 員會(huì)    發(fā) 布

JR/T 0276—2023

目    次

前言   I

引言   II

1  范圍   1

2  規(guī)范性引用文件   1

3  術(shù)語(yǔ)和定義   1

4  總則   3

5  滲透測(cè)試策劃   3

5.1  概述   3

5.2  滲透測(cè)試范圍   3

5.3  滲透測(cè)試對(duì)象   3

5.4  滲透測(cè)試時(shí)間   4

6  滲透測(cè)試設(shè)計(jì)   4

6.1  概述   4

6.2  信息收集   4

6.3  信息系統(tǒng)功能及技術(shù)弱點(diǎn)研判   4

6.4  滲透測(cè)試就緒準(zhǔn)備   4

7  滲透測(cè)試執(zhí)行   4

7.1  概述   5

7.2  漏洞掃描   5

7.3  漏洞利用   5

7.4  深度滲透   5

7.5  成果記錄   5

7.6  恢復(fù)環(huán)境   5

8  滲透測(cè)試總結(jié)   6

8.1  概述   6

8.2  滲透測(cè)試過(guò)程整理   6

8.3  滲透測(cè)試成果風(fēng)險(xiǎn)定級(jí)   6

8.4  滲透測(cè)試結(jié)果文檔撰寫(xiě)   6

8.5  滲透測(cè)試結(jié)果交付   6

9  滲透測(cè)試風(fēng)險(xiǎn)管理   7

9.1  風(fēng)險(xiǎn)分析   7

9.2  風(fēng)險(xiǎn)管理   7

附錄 A（資料性）  證券期貨業(yè)信息系統(tǒng)滲透測(cè)試漏洞風(fēng)險(xiǎn)定級(jí)參考  9

A.1  漏洞風(fēng)險(xiǎn)定級(jí)方法   9

A.2  被利用性   9

A.3  影響程度   9

JR/T 0276—2023

A.4  環(huán)境因素   10

A.5  業(yè)務(wù)重要性   10

A.6  漏洞技術(shù)分級(jí)   10

A.7  漏洞風(fēng)險(xiǎn)綜合定級(jí)   10

參考文獻(xiàn)   12

JR/T 0276—2023

前    言

本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則  第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。 本文件由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)證券分技術(shù)委員會(huì)（SAC/TC1 80/SC4）提出。

本文件由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC 180）歸 口。

本文件起草單位：中國(guó)證券監(jiān)督管理委員會(huì)科技監(jiān)管局、上交所技術(shù)有限責(zé)任公司、深圳證券交易 所、上海金融期貨信息技術(shù)有限公司、中證信息技術(shù)服務(wù)有限責(zé)任公司、國(guó)泰君安證券股份有限公司、 華泰證券股份有限公司、光大證券股份有限公司、華福證券有限責(zé)任公司、華安基金管理有限公司、杭 州安恒信息技術(shù)股份有限公司、三六零科技集團(tuán)有限公司。

本文件主要起草人：姚前、蔣東興、周云暉、沙明、樊芳、房慧麗、李佶、張旭、張?zhí)煲?、黃清華、 于釗、馮小根、苑立斌、路一、劉彬、陳凱暉、江旺、劉嵩、甘張生、徐正偉、袁明坤、周亞超、李磊、 楊志。

JR/T 0276—2023

引    言

近年來(lái)，證券期貨業(yè)面向互聯(lián)網(wǎng)的業(yè)務(wù)趨于多樣化，隨之而來(lái)承載各業(yè)務(wù)的信息系統(tǒng)所面臨的網(wǎng)絡(luò) 攻擊也愈發(fā)嚴(yán)峻，并且證券期貨業(yè)信息系統(tǒng)直接涉及證券賬戶、資金賬戶、資金、交易記錄等敏感信息， 證券期貨業(yè)信息系統(tǒng)已然成為國(guó)家經(jīng)濟(jì)建設(shè)的重要基礎(chǔ)設(shè)施。因此，保障證券期貨業(yè)信息系統(tǒng)安全已成 為當(dāng)前行業(yè)內(nèi)緊迫的需求。

本文件為證券期貨業(yè)提供一套通用的信息系統(tǒng)滲透測(cè)試框架，深化滲透測(cè)試對(duì)于行業(yè)信息系統(tǒng)的作 用，更加規(guī)范、安全穩(wěn)定地開(kāi)展?jié)B透測(cè)試工作，提升證券期貨行業(yè)信息系統(tǒng)的滲透測(cè)試能力，保障滲透 測(cè)試質(zhì)量，控制滲透測(cè)試實(shí)施風(fēng)險(xiǎn)，進(jìn)一步保障行業(yè)信息系統(tǒng)的安全性。

證券期貨業(yè)信息系統(tǒng)滲透測(cè)試是指滲透測(cè)試人員從內(nèi)網(wǎng)側(cè)、互聯(lián)網(wǎng)側(cè)等通過(guò)模擬攻擊者的攻擊方 法，對(duì)信息系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞加以分析和主動(dòng)利用，以期發(fā)現(xiàn)和挖掘信息系統(tǒng)中存在的 漏洞，從而評(píng)估證券期貨業(yè)信息系統(tǒng)安全的一種評(píng)估方法。本文件可供尋求以通用方法開(kāi)展證券期貨業(yè) 信息系統(tǒng)滲透測(cè)試的各機(jī)構(gòu)使用，能更加規(guī)范、安全穩(wěn)定地開(kāi)展信息系統(tǒng)滲透測(cè)試工作。

JR/T 0276—2023

證券期貨業(yè)信息系統(tǒng)滲透測(cè)試指南

1  范圍

本文件提供了在證券期貨業(yè)信息系統(tǒng)建設(shè)過(guò)程中開(kāi)展?jié)B透測(cè)試的整體流程，同時(shí)提供了在滲透測(cè)試 策劃、滲透測(cè)試設(shè)計(jì)、滲透測(cè)試執(zhí)行、滲透測(cè)試總結(jié)、滲透測(cè)試風(fēng)險(xiǎn)管理等環(huán)節(jié)如何保障測(cè)試質(zhì)量、控 制安全風(fēng)險(xiǎn)的操作指南。

本文件適用于證券期貨行業(yè)機(jī)構(gòu)開(kāi)展信息系統(tǒng)滲透測(cè)試過(guò)程中的滲透測(cè)試策劃、滲透測(cè)試設(shè)計(jì)、滲 透測(cè)試執(zhí)行、滲透測(cè)試總結(jié)及滲透測(cè)試風(fēng)險(xiǎn)管理等工作，可供其他金融機(jī)構(gòu)參考。

2  規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件， 僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本 文件。

GB/T 15532—2008  計(jì)算機(jī)軟件測(cè)試規(guī)范

GB/T 25069—2010  信息安全技術(shù)  術(shù)語(yǔ)

GB/T 29246—2017  信息技術(shù)  安全技術(shù)  信息安全管理體系  概述和詞匯

GB/T 30279—2020  信息安全技術(shù)  網(wǎng)絡(luò)安全漏洞分類分級(jí)指南 JR/T 0158—2018  證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引

JR/T 0175—2019  證券期貨業(yè)軟件測(cè)試規(guī)范

3  術(shù)語(yǔ)和定義

GB/T 25069—2010和GB/T 29246—2017界定的以及下列術(shù)語(yǔ)和定義適用于本文件。 3.1

滲透測(cè)試  penetration test 滲透性測(cè)試

模擬真實(shí)攻擊者的動(dòng)作，檢測(cè)發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞，并利用漏洞突破信息系統(tǒng)的安全控制 機(jī)制，進(jìn)而評(píng)估信息系統(tǒng)面臨的實(shí)際安全風(fēng)險(xiǎn)的一種測(cè)試手段。

[來(lái)源：GB/T 25069—2010，2.3.87，有修改] 3.2

授權(quán) authorization

通過(guò)管理方式授予某一主體可實(shí)施某些動(dòng)作的權(quán)力范圍。

[來(lái)源：GB/T 25069—2010，2.1.33，有修改] 3.3

威脅代理 threat agent

有動(dòng)機(jī)和能力破壞信息系統(tǒng)安全性的人或程序。 3.4

JR/T 0276—2023

威脅分析 threat analysis

對(duì)信息系統(tǒng)的資產(chǎn)、業(yè)務(wù)流程、攻擊信息系統(tǒng)的主要動(dòng)機(jī)、潛在威脅代理及其能力等進(jìn)行分析，對(duì) 相關(guān)的主體和關(guān)系進(jìn)行有效組織。

注：威脅分析的目的是構(gòu)建信息系統(tǒng)面臨的攻擊場(chǎng)景。 3.5

敏感信息 sensitive information

由權(quán)威機(jī)構(gòu)確定的必須受保護(hù)的信息，該信息的泄露、修改、破壞或丟失會(huì)對(duì)人或事產(chǎn)生可預(yù)知的 損害。

[來(lái)源：GB/T 25069—2010，2.2.4.7] 3.6

漏洞 vulnerability 脆弱性

弱點(diǎn)

信息系統(tǒng)中可能被攻擊者利用的薄弱環(huán)節(jié)。

[來(lái)源：GB/T 25069—2010，2.3.30，有修改] 3.7

訪問(wèn)控制 access control

一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進(jìn)行訪問(wèn)的手段。

[來(lái)源：GB/T 25069—2010，2.2.1.42] 3.8

測(cè)試環(huán)境 testing environment

為避免直接在目標(biāo)信息系統(tǒng)中實(shí)施測(cè)試所引入的實(shí)施風(fēng)險(xiǎn)，仿照目標(biāo)信息系統(tǒng)搭建且具備測(cè)試所需 的各項(xiàng)條件的滲透測(cè)試實(shí)施環(huán)境。

業(yè)務(wù)系統(tǒng)及配置與生產(chǎn)一致的測(cè)試環(huán)境；生產(chǎn)環(huán)境中與生產(chǎn)服務(wù)器配置一致但不承載實(shí)際業(yè)務(wù)的模擬服務(wù)器；與生 產(chǎn)環(huán)境高度相似的網(wǎng)絡(luò)靶場(chǎng)環(huán)境。

3.9

權(quán)限提升 escalating privileges

在低權(quán)限用戶狀態(tài)下，利用信息系統(tǒng)中存在的漏洞突破權(quán)限控制，獲得該用戶原本不具備的操作權(quán) 限的過(guò)程。

利用操作系統(tǒng)漏洞從普通用戶權(quán)限提升為 root 權(quán)限。 3.10

現(xiàn)場(chǎng)清理 site clearing

滲透測(cè)試實(shí)施完畢后，清除攻擊痕跡，將目標(biāo)信息系統(tǒng)恢復(fù)到測(cè)試前狀態(tài)的過(guò)程。 刪除上傳到目標(biāo)系統(tǒng)中的滲透測(cè)試腳本。

3.11

應(yīng)急預(yù)案 contingency p lan

一種關(guān)于備份、應(yīng)急響應(yīng)和災(zāi)后恢復(fù)的計(jì)劃。

[來(lái)源：GB/T 25069—2010，2.2.3.4] 3.12

滲透測(cè)試風(fēng)險(xiǎn) penetration test risk

滲透測(cè)試過(guò)程中可能對(duì)目標(biāo)信息系統(tǒng)的保密性、完整性、可用性帶來(lái)的影響。

JR/T 0276—2023

3.13

保密性 confidentiality

信息對(duì)未授權(quán)的個(gè)人、實(shí)體或過(guò)程不可用或不泄露的特性。 [來(lái)源：GB/T 29246—2017，2.12]

3.14

完整性 integrity  準(zhǔn)確和完備的特性。

[來(lái)源：GB/T 29246—2017，2.40] 3.15

可用性 availability

根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和可使用的特性。 [來(lái)源：GB/T 29246—2017，2.9]

4  總則

相較于傳統(tǒng)的應(yīng)用安全測(cè)試以防護(hù)者角度按照測(cè)試清單逐項(xiàng)分析不同，證券期貨業(yè)信息系統(tǒng)滲透測(cè) 試以攻擊者角度不限攻擊手段成功滲透信息系統(tǒng)， 以發(fā)現(xiàn)信息系統(tǒng)存在安全問(wèn)題為目標(biāo)。宜參考GB/T 15532—2008中4.3規(guī)定的測(cè)試過(guò)程和JR/T 0175—2019中4.2.1規(guī)定的測(cè)試階段的工作要求，結(jié)合行業(yè)特 點(diǎn)，宜將證券期貨業(yè)信息系統(tǒng)滲透測(cè)試指南工作流程劃分為以下四個(gè)階段：滲透測(cè)試策劃、滲透測(cè)試設(shè) 計(jì)、滲透測(cè)試執(zhí)行、滲透測(cè)試總結(jié)。

5  滲透測(cè)試策劃

5.1  概述

明確滲透測(cè)試需求，根據(jù)被測(cè)信息系統(tǒng)的安全目標(biāo)定義滲透測(cè)試的深度與廣度，包括但不限于明確 滲透測(cè)試范圍、滲透測(cè)試對(duì)象、滲透測(cè)試時(shí)間等。

5.2  滲透測(cè)試范圍

滲透測(cè)試范圍即信息系統(tǒng)滲透測(cè)試的廣度，包括被測(cè)信息系統(tǒng)的IP地址、端口、域名、所屬網(wǎng)絡(luò)環(huán) 境、業(yè)務(wù)功能等可能涉及到的關(guān)聯(lián)資產(chǎn)或網(wǎng)絡(luò)區(qū)域。

執(zhí)行滲透測(cè)試前，既定的滲透測(cè)試需求如存在變化，宜及時(shí)再次明確。

5.3  滲透測(cè)試對(duì)象

滲透測(cè)試對(duì)象即信息系統(tǒng)滲透測(cè)試的深度，可從多個(gè)維度確定被測(cè)信息系統(tǒng)的滲透測(cè)試對(duì)象，具體 如下：

a)  組件作用維度，可分為通信網(wǎng)絡(luò)、操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)、安全防護(hù)設(shè)施、應(yīng)用平臺(tái)（含 客戶端、H5 頁(yè)面、小程序等）、應(yīng)用系統(tǒng)；

b)  組件層級(jí)維度，可分為前臺(tái)、中臺(tái)、后臺(tái)；

c)  業(yè)務(wù)功能維度，可分為涉及投資者撮合交易的交易系統(tǒng)、涉及上市公司業(yè)務(wù)管理的業(yè)務(wù)系統(tǒng)、 存儲(chǔ)大量敏感數(shù)據(jù)的大數(shù)據(jù)系統(tǒng)、面向投資者服務(wù)的互聯(lián)網(wǎng)信息系統(tǒng)（如上市服務(wù)系統(tǒng)）、面 向內(nèi)部的辦公系統(tǒng)。

JR/T 0276—2023

5.4  滲透測(cè)試時(shí)間

滲透測(cè)試時(shí)間即證券期貨業(yè)信息系統(tǒng)的滲透時(shí)間窗口，包括被測(cè)信息系統(tǒng)的授權(quán)滲透時(shí)間段、滲透 測(cè)試開(kāi)始及截止時(shí)間等。

6  滲透測(cè)試設(shè)計(jì)

6.1  概述

開(kāi)展?jié)B透測(cè)試設(shè)計(jì)工作，基于已明確的滲透測(cè)試需求，根據(jù)證券期貨業(yè)被測(cè)信息系統(tǒng)的特征，開(kāi)展 被測(cè)信息系統(tǒng)的信息收集。

根據(jù)信息收集結(jié)果，分析被測(cè)信息系統(tǒng)功能，對(duì)信息系統(tǒng)的技術(shù)弱點(diǎn)與價(jià)值進(jìn)行評(píng)估，判斷開(kāi)展?jié)B 透測(cè)試的攻擊手法，準(zhǔn)備滲透測(cè)試工作需要的授權(quán)、工具和人員資源。

6.2  信息收集

被測(cè)信息系統(tǒng)的信息收集可根據(jù)已明確的滲透測(cè)試需求，在需求方知曉并認(rèn)同的情況下，盡可能收 集被測(cè)信息系統(tǒng)的各種信息，包括但不限于：

a)  IP 地址、域名、接口、應(yīng)用平臺(tái)（含客戶端、H5 頁(yè)面、小程序等）等前端信息；

b)  操作系統(tǒng)、系統(tǒng)組件、開(kāi)放端口等服務(wù)器信息；

c)  相關(guān)人員基本信息、 日常社交網(wǎng)絡(luò)等社會(huì)工程信息；

d)  已知安全漏洞、配置不當(dāng)?shù)瘸Ｒ?jiàn)網(wǎng)絡(luò)安全弱點(diǎn)；

e)  入侵檢測(cè)設(shè)備、訪問(wèn)控制策略等網(wǎng)絡(luò)安全防御措施。

6.3  信息系統(tǒng)功能及技術(shù)弱點(diǎn)研判

研判信息系統(tǒng)功能是指研究信息系統(tǒng)承載的業(yè)務(wù)功能與流程，分析被測(cè)信息系統(tǒng)的功能框架與潛在 的技術(shù)弱點(diǎn)，包括但不限于：

a)  信息系統(tǒng)功能，例如：身份認(rèn)證、提供服務(wù)、信息展示等；

b)  攻擊動(dòng)機(jī)，例如：獲取敏感信息、獲取系統(tǒng)權(quán)限、篡改重要數(shù)據(jù)等；

c)  可嘗試攻擊手法，例如：Web 應(yīng)用入侵、已知漏洞利用、認(rèn)證繞過(guò)等。

6.4  滲透測(cè)試就緒準(zhǔn)備

通過(guò)對(duì)被測(cè)信息系統(tǒng)技術(shù)弱點(diǎn)的判斷，確定信息系統(tǒng)滲透測(cè)試就緒的準(zhǔn)備工作，協(xié)調(diào)滲透測(cè)試資源， 以進(jìn)一步挖掘被測(cè)信息系統(tǒng)的弱點(diǎn)、技術(shù)缺陷或漏洞等。滲透測(cè)試就緒準(zhǔn)備工作宜包括：

a)  滲透測(cè)試團(tuán)隊(duì)：根據(jù)滲透測(cè)試需求與對(duì)被測(cè)信息系統(tǒng)潛在弱點(diǎn)的分析，針對(duì)性地配置具有相關(guān) 滲透測(cè)試經(jīng)驗(yàn)的人員組成滲透測(cè)試團(tuán)隊(duì)，例如：Web 安全人員、漏洞挖掘人員、二進(jìn)制逆向分 析人員、系統(tǒng)內(nèi)核研究人員等；

b)  滲透測(cè)試工具：針對(duì)被測(cè)信息系統(tǒng)的技術(shù)弱點(diǎn)準(zhǔn)備相應(yīng)滲透測(cè)試工具，并按需求調(diào)整配置文件， 例如： 口令字典、 自動(dòng)化腳本、漏洞特征庫(kù)等；

c)  訪問(wèn)控制：按照滲透測(cè)試需求驗(yàn)證滲透測(cè)試工具與被測(cè)信息系統(tǒng)間的網(wǎng)絡(luò)連通性；

d)  授權(quán)與保密：根據(jù)滲透測(cè)試需求方規(guī)定，滲透測(cè)試團(tuán)隊(duì)簽訂滲透測(cè)試委托書(shū)、保密協(xié)議等書(shū)面 文件，確保行業(yè)信息系統(tǒng)被滲透測(cè)試時(shí)的合規(guī)與保密。

7  滲透測(cè)試執(zhí)行

JR/T 0276—2023

7.1  概述

證券期貨業(yè)信息系統(tǒng)滲透測(cè)試主要以漏洞掃描、人工探測(cè)等方式發(fā)現(xiàn)安全漏洞，通過(guò)人工驗(yàn)證對(duì)發(fā) 現(xiàn)的安全漏洞進(jìn)行主動(dòng)利用，并通過(guò)多漏洞聯(lián)動(dòng)對(duì)被測(cè)信息系統(tǒng)實(shí)施深度滲透。

7.2  漏洞掃描

根據(jù)前期研判的被測(cè)信息系統(tǒng)的弱點(diǎn)、技術(shù)缺陷或漏洞，利用滲透測(cè)試工具，對(duì)被測(cè)信息系統(tǒng)發(fā)起 基于應(yīng)用層、網(wǎng)絡(luò)層、系統(tǒng)層等多維度的漏洞掃描，快速探測(cè)被測(cè)信息系統(tǒng)、組件、服務(wù)等相關(guān)弱點(diǎn)。

7.3  漏洞利用

基于漏洞掃描的結(jié)果，結(jié)合前期對(duì)信息系統(tǒng)功能和弱點(diǎn)分析，嘗試?yán)貌糠种攸c(diǎn)漏洞對(duì)系統(tǒng)進(jìn)行滲 透，突破信息系統(tǒng)安全防護(hù)，從而達(dá)到滲透被測(cè)信息系統(tǒng)的目的，對(duì)信息系統(tǒng)的危害宜包括但不限于：

a)  危害 Web 應(yīng)用程序提供服務(wù)；

b)  危害移動(dòng) APP 提供服務(wù)；

c)  危害 PC 端應(yīng)用程序提供服務(wù)；

d)  危害訪問(wèn)信息系統(tǒng)的用戶主機(jī)運(yùn)行；

e)  危害微信公眾號(hào)、小程序運(yùn)行；

f)  泄露涉及證券期貨市場(chǎng)穩(wěn)定的業(yè)務(wù)數(shù)據(jù)；

g)  泄露投資者個(gè)人隱私信息。

7.4  深度滲透

利用已知漏洞對(duì)被測(cè)信息系統(tǒng)的危害，通過(guò)多漏洞聯(lián)動(dòng)對(duì)信息系統(tǒng)進(jìn)行深度突破，多級(jí)聯(lián)動(dòng)擴(kuò)大單 一漏洞對(duì)系統(tǒng)的危害，進(jìn)一步滲透被測(cè)信息系統(tǒng)，并嘗試手工挖掘業(yè)務(wù)邏輯漏洞，獲取信息系統(tǒng)關(guān)鍵敏 感信息或業(yè)務(wù)數(shù)據(jù)，宜包括但不限于：

a)  獲取證券期貨業(yè)內(nèi)未披露信息；

b)  獲取投資者個(gè)人隱私信息；

c)  獲取信息系統(tǒng)任意用戶或管理權(quán)限；

d)  獲取信息系統(tǒng)服務(wù)器用戶權(quán)限；

e)  獲取信息系統(tǒng)服務(wù)器管理員權(quán)限；

f)  獲取信息系統(tǒng)數(shù)據(jù)庫(kù)管理員權(quán)限。

7.5  成果記錄

根據(jù)滲透測(cè)試進(jìn)展，宜及時(shí)對(duì)取得的滲透成果進(jìn)行記錄或截圖，滲透成果包括但不限于：

a)  利用漏洞成功突破信息系統(tǒng)；

b)  利用不當(dāng)配置成功突破信息系統(tǒng)；

c)  成功獲取信息系統(tǒng)權(quán)限；

d)  成功獲取信息系統(tǒng)服務(wù)器權(quán)限；

e)  成功植入后門(mén)或木馬等惡意應(yīng)用程序；

f)  成功獲取敏感信息。

7.6  恢復(fù)環(huán)境

將被測(cè)信息系統(tǒng)環(huán)境恢復(fù)至滲透測(cè)試前的初始環(huán)境，清理滲透測(cè)試過(guò)程中生成的文件，還原滲透測(cè) 試過(guò)程中變更的配置等，包括但不限于：

JR/T 0276—2023

a)  后門(mén)或木馬等惡意應(yīng)用程序；

b)  各類滲透測(cè)試工具及配置文件；

c)  賬戶、權(quán)限等訪問(wèn)控制配置；

d)  系統(tǒng)文件、數(shù)據(jù)庫(kù)等核心節(jié)點(diǎn)操作。

8  滲透測(cè)試總結(jié)

8.1  概述

整理滲透測(cè)試過(guò)程和測(cè)試結(jié)果，對(duì)滲透測(cè)試全程進(jìn)行書(shū)面記錄，對(duì)滲透測(cè)試成果進(jìn)行風(fēng)險(xiǎn)定級(jí)并提 供修復(fù)方案，形成證券期貨業(yè)信息系統(tǒng)滲透測(cè)試報(bào)告，交付滲透測(cè)試結(jié)果。

8.2  滲透測(cè)試過(guò)程整理

基于滲透測(cè)試的進(jìn)展，整理證券期貨業(yè)信息系統(tǒng)滲透測(cè)試的實(shí)施全過(guò)程，包括滲透測(cè)試策劃、滲透 測(cè)試設(shè)計(jì)、滲透測(cè)試執(zhí)行等階段涉及的各類操作及使用的技術(shù)工具，宜整理匯總并在滲透測(cè)試結(jié)果文檔 中予以體現(xiàn)。

8.3  滲透測(cè)試成果風(fēng)險(xiǎn)定級(jí)

根據(jù)本文件附錄A《證券期貨業(yè)信息系統(tǒng)滲透測(cè)試漏洞風(fēng)險(xiǎn)定級(jí)參考》評(píng)估滲透測(cè)試成果的風(fēng)險(xiǎn)危 害程度，風(fēng)險(xiǎn)等級(jí)劃分為超危、高危、中危、低危四個(gè)級(jí)別，風(fēng)險(xiǎn)等級(jí)描述見(jiàn)表 1 。

表 1  風(fēng)險(xiǎn)等級(jí)描述

8.4  滲透測(cè)試結(jié)果文檔撰寫(xiě)

完整記錄證券期貨業(yè)信息系統(tǒng)滲透測(cè)試的全過(guò)程，形成滲透測(cè)試結(jié)果文檔。文檔記錄內(nèi)容包括滲透 測(cè)試策劃、滲透測(cè)試設(shè)計(jì)、滲透測(cè)試執(zhí)行、滲透測(cè)試總結(jié)等各階段涉及的各類操作及使用的技術(shù)工具等。 其中滲透測(cè)試成果作為滲透測(cè)試結(jié)果文檔的主體部分宜予以重點(diǎn)詳細(xì)描述，主要包括如下內(nèi)容：

a)  滲透測(cè)試成果涉及的風(fēng)險(xiǎn)信息描述及利用截圖；

b)  滲透測(cè)試成果涉及的風(fēng)險(xiǎn)成因分析；

c)  滲透測(cè)試成果涉及的風(fēng)險(xiǎn)對(duì)信息系統(tǒng)的危害描述及針對(duì)性有效修復(fù)方案；

d)  滲透測(cè)試成果涉及的風(fēng)險(xiǎn)總體分析及分類統(tǒng)計(jì)；

e)  被測(cè)信息系統(tǒng)滲透測(cè)試情況總體摘要及信息系統(tǒng)加固建議。

8.5  滲透測(cè)試結(jié)果交付

JR/T 0276—2023

滲透測(cè)試結(jié)果文檔為開(kāi)展?jié)B透測(cè)試活動(dòng)后的關(guān)鍵交付物，記錄著證券期貨業(yè)信息系統(tǒng)滲透測(cè)試的敏 感數(shù)據(jù)。因此存儲(chǔ)、交付過(guò)程中必須確保滲透測(cè)試結(jié)果的機(jī)密性，包括：

a)  通過(guò)加密存儲(chǔ)介質(zhì)儲(chǔ)存滲透測(cè)試結(jié)果；

b)  條件允許時(shí)盡可能當(dāng)面交付滲透測(cè)試結(jié)果；

c)  明確交付人員，不隨意群發(fā)、轉(zhuǎn)發(fā)滲透測(cè)試結(jié)果；

d)  通過(guò)互聯(lián)網(wǎng)交付時(shí)，壓縮并加密滲透測(cè)試結(jié)果，若條件允許，進(jìn)一步限制滲透測(cè)試結(jié)果讀寫(xiě)權(quán) 限并清理交付痕跡。

9  滲透測(cè)試風(fēng)險(xiǎn)管理

9.1  風(fēng)險(xiǎn)分析

鑒于證券期貨業(yè)信息系統(tǒng)滲透測(cè)試的特殊性與專業(yè)性，實(shí)施過(guò)程中會(huì)不可避免地引入可預(yù)見(jiàn)或不可 預(yù)見(jiàn)的技術(shù)風(fēng)險(xiǎn)，技術(shù)風(fēng)險(xiǎn)包括但不限于：

a)  被測(cè)信息系統(tǒng)逃逸，滲透測(cè)試活動(dòng)超出授權(quán)范圍；

b)  滲透測(cè)試活動(dòng)導(dǎo)致被測(cè)信息系統(tǒng)運(yùn)行異常或宕機(jī)；

c)  滲透測(cè)試工具導(dǎo)致被測(cè)信息系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境異常；

d)  滲透測(cè)試活動(dòng)導(dǎo)致被測(cè)信息系統(tǒng)數(shù)據(jù)異?；騺G失；

e)  滲透測(cè)試人員管理不當(dāng)，滲透測(cè)試成果外泄。

9.2  風(fēng)險(xiǎn)管理

9.2.1  滲透測(cè)試人員管理

為緩解證券期貨業(yè)信息系統(tǒng)滲透測(cè)試過(guò)程中的風(fēng)險(xiǎn)，可在滲透測(cè)試準(zhǔn)備工作就緒后通過(guò)人員管理、 環(huán)境管理、工具管理等管控措施，最大化可控、安全地開(kāi)展信息系統(tǒng)滲透測(cè)試。對(duì)參與被測(cè)信息系統(tǒng)滲 透測(cè)試的個(gè)人及團(tuán)隊(duì)行為予以約束，包括但不限于：

a)  團(tuán)隊(duì)全員個(gè)人信息備案及職業(yè)背景調(diào)查；

b)  滲透測(cè)試執(zhí)行前宣貫職業(yè)操守，嚴(yán)禁利用職務(wù)之便泄露敏感信息；

c)  團(tuán)隊(duì)全員及所屬機(jī)構(gòu)簽署承諾書(shū)、保密協(xié)議等；

d)  明確團(tuán)隊(duì)全員宜協(xié)助配合滲透測(cè)試期間的應(yīng)急處置等；

e)  滲透測(cè)試活動(dòng)結(jié)束后宜銷毀生成的過(guò)程性文件和資料。

9.2.2  滲透測(cè)試環(huán)境管理

為防止?jié)B透測(cè)試執(zhí)行過(guò)程中，因被測(cè)信息系統(tǒng)逃逸而引發(fā)滲透測(cè)試脫離授權(quán)范圍，可通過(guò)限制訪問(wèn) 網(wǎng)絡(luò)區(qū)域等訪問(wèn)控制措施，界定可滲透測(cè)試區(qū)域，包括：

a） 設(shè)定參與滲透測(cè)試的專用 IP 地址，并于滲透測(cè)試結(jié)束后回收；

b） 限制滲透測(cè)試專用 IP 地址訪問(wèn)被測(cè)信息系統(tǒng)邊界以外的網(wǎng)絡(luò)區(qū)域；

c） 針對(duì)滲透測(cè)試專用 IP 地址部署專用數(shù)據(jù)防泄漏措施；

d） 對(duì)滲透測(cè)試專用 IP 地址的網(wǎng)絡(luò)訪問(wèn)行為實(shí)施全程監(jiān)控與審計(jì)。

9.2.3  滲透測(cè)試工具管理

滲透測(cè)試通常會(huì)嘗試使用各類滲透測(cè)試工具，但滲透測(cè)試工具因其特殊性，自身可能捆綁有其他惡 意程序，隨意使用滲透工具可能對(duì)被測(cè)信息系統(tǒng)造成間接不可控的風(fēng)險(xiǎn)。

JR/T 0276—2023

因此在執(zhí)行信息系統(tǒng)滲透測(cè)試時(shí)，有必要在滲透測(cè)試準(zhǔn)備工作就緒后，對(duì)擬使用的各類滲透測(cè)試工 具開(kāi)展合規(guī)性檢查及使用報(bào)備，包括但不限于：

a）滲透測(cè)試工具的用途說(shuō)明；

b）滲透測(cè)試工具的獲取途徑；

c）滲透測(cè)試工具文件校驗(yàn)比對(duì)；

d）滲透測(cè)試工具使用報(bào)備。

9.2.4  被測(cè)信息系統(tǒng)數(shù)據(jù)備份

滲透測(cè)試執(zhí)行過(guò)程中可能引起信息系統(tǒng)不可預(yù)知的運(yùn)行異常，為確保被測(cè)信息系統(tǒng)的完整性與可用 性，開(kāi)展?jié)B透測(cè)試前宜對(duì)被測(cè)信息系統(tǒng)的重要數(shù)據(jù)進(jìn)行備份，備份內(nèi)容包括但不限于：

a)  操作系統(tǒng)；

b)  數(shù)據(jù)庫(kù)；

c)  信息系統(tǒng)配置文件；

d)  信息系統(tǒng)數(shù)據(jù)文件。

JR/T 0276—2023

附  錄  A

（資料性）

證券期貨業(yè)信息系統(tǒng)滲透測(cè)試漏洞風(fēng)險(xiǎn)定級(jí)參考

A.1  漏洞風(fēng)險(xiǎn)定級(jí)方法

為體現(xiàn)證券期貨業(yè)交易、監(jiān)管、披露、其他業(yè)務(wù)特色，證券期貨業(yè)信息系統(tǒng)滲透測(cè)試漏洞風(fēng)險(xiǎn)定級(jí) 按GB/T 30279—2020描述的網(wǎng)絡(luò)安全漏洞分類分級(jí)方法和JR/T 0158—2018描述的證券期貨業(yè)數(shù)據(jù)分類 分級(jí)方法，通過(guò)被利用性、影響程度、環(huán)境因素、業(yè)務(wù)重要性四個(gè)指標(biāo)類來(lái)定性評(píng)估漏洞風(fēng)險(xiǎn)綜合等級(jí)。

證券期貨業(yè)信息系統(tǒng)滲透測(cè)試漏洞風(fēng)險(xiǎn)綜合等級(jí)分為：超危、高危、中危、低危四個(gè)級(jí)別。漏洞風(fēng) 險(xiǎn)綜合等級(jí)由被利用性、影響程度、環(huán)境因素、業(yè)務(wù)重要性四個(gè)指標(biāo)類決定。漏洞被利用可能性越高（被 利用性分級(jí)越高），影響程度越嚴(yán)重（影響程度分級(jí)越高），環(huán)境對(duì)漏洞影響越敏感（環(huán)境因素分級(jí)越 高），業(yè)務(wù)數(shù)據(jù)重要程度越高（業(yè)務(wù)數(shù)據(jù)級(jí)別標(biāo)識(shí)越高），漏洞風(fēng)險(xiǎn)綜合等級(jí)的級(jí)別越高（漏洞的危害 程度越大）。漏洞風(fēng)險(xiǎn)綜合定級(jí)方法如下：

a)  對(duì)被利用性指標(biāo)進(jìn)行賦值，根據(jù)賦值結(jié)果，按照GB/T 30279—2020 中附錄 A 規(guī)定的被利用性 分級(jí)表，計(jì)算得到漏洞被利用性分級(jí)；

b)  對(duì)影響程度指標(biāo)進(jìn)行賦值，根據(jù)賦值結(jié)果，按照GB/T 30279—2020 中附錄 B 規(guī)定的漏洞影響 程度分級(jí)表，計(jì)算得到漏洞影響程度分級(jí)；

c)  對(duì)環(huán)境因素指標(biāo)進(jìn)行賦值，根據(jù)賦值結(jié)果，按照GB/T 30279—2020 中附錄 C 規(guī)定的環(huán)境因素 分級(jí)表，計(jì)算得到漏洞環(huán)境因素分級(jí)；

d)  對(duì)業(yè)務(wù)重要性指標(biāo)進(jìn)行賦值，根據(jù)行業(yè)機(jī)構(gòu)單位性質(zhì)，按 JR/T 0158—2018 描述的證券期貨業(yè) 數(shù)據(jù)分類分級(jí)方法和附錄 A，計(jì)算得到業(yè)務(wù)重要性級(jí)別標(biāo)識(shí)；

e)  根據(jù)被利用性、影響程度和環(huán)境因素分級(jí)結(jié)果，按照GB/T 30279—2020 中附錄 D 規(guī)定的技術(shù) 分級(jí)表和附錄 E 綜合分級(jí)表，計(jì)算得到漏洞技術(shù)分級(jí)；

f)  根據(jù)漏洞技術(shù)分級(jí)和業(yè)務(wù)重要性級(jí)別，計(jì)算得到證券期貨業(yè)信息系統(tǒng)滲透測(cè)試漏洞風(fēng)險(xiǎn)綜合定 級(jí)。

A.2  被利用性

漏洞被利用性指標(biāo)類反映信息系統(tǒng)漏洞觸發(fā)的技術(shù)可能性。被利用性指標(biāo)類的組成項(xiàng)包括但不限 于：訪問(wèn)路徑、觸發(fā)要求、權(quán)限需求、交互條件，各項(xiàng)指標(biāo)項(xiàng)的賦值按照GB/T 30279—2020中6.2.1規(guī) 定的要求執(zhí)行。被利用性級(jí)別用1至9的數(shù)字表示，數(shù)字越大表示被利用的可能性越高。被利用性分級(jí)結(jié) 果見(jiàn)GB/T 30279—2020中附錄A規(guī)定。

A.3  影響程度

影響程度指標(biāo)類反映觸發(fā)漏洞對(duì)信息系統(tǒng)造成的損害程度。影響程度根據(jù)受漏洞影響的信息系統(tǒng)所 承載信息的保密性、完整性、可用性等三個(gè)指標(biāo)決定。各項(xiàng)指標(biāo)項(xiàng)的賦值按照GB/T 30279—2020中6.2.2

JR/T 0276—2023

規(guī)定的要求執(zhí)行。不同的影響程度級(jí)別用1至9的數(shù)字表示，數(shù)字越大導(dǎo)致的危害程度越高。影響程度分 級(jí)結(jié)果見(jiàn)GB/T 30279—2020中附錄B規(guī)定。

A.4  環(huán)境因素

環(huán)境因素指標(biāo)類是綜合考慮信息系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境、當(dāng)前漏洞被利用的技術(shù)程度等外部環(huán)境。環(huán) 境因素根據(jù)漏洞被利用成本、修復(fù)難度、影響范圍等三個(gè)指標(biāo)決定。各項(xiàng)指標(biāo)項(xiàng)的賦值按照GB/T 30279 —2020中6.2.3規(guī)定的要求執(zhí)行。不同的環(huán)境因素級(jí)別用1至9的數(shù)字表示，數(shù)字越大環(huán)境因素導(dǎo)致的漏 洞危害程度越高。環(huán)境因素分級(jí)結(jié)果見(jiàn)GB/T 30279—2020中附錄C規(guī)定。

A.5  業(yè)務(wù)重要性

根據(jù)行業(yè)機(jī)構(gòu)信息系統(tǒng)運(yùn)營(yíng)或管理活動(dòng)中產(chǎn)生的數(shù)據(jù)類型，按JR/T 0158—2018描述的證券期貨業(yè) 數(shù)據(jù)分類分級(jí)方法，從信息系統(tǒng)業(yè)務(wù)條線出發(fā)，首先對(duì)業(yè)務(wù)劃分，再對(duì)數(shù)據(jù)細(xì)分，最后對(duì)分類后的數(shù)據(jù) 確定級(jí)別。同時(shí)，考慮明確數(shù)據(jù)的具體“數(shù)據(jù)形態(tài) ”，即所處的信息系統(tǒng)、存儲(chǔ)的媒介等。業(yè)務(wù)數(shù)據(jù)級(jí) 別標(biāo)識(shí)從高到低劃分為：4、3、2、1，與數(shù)據(jù)重要程度標(biāo)識(shí)相對(duì)應(yīng)，從高到低劃分為：極高、高、中、 低。根據(jù)行業(yè)機(jī)構(gòu)單位性質(zhì)，按照JR/T 0158—2018中附錄A規(guī)定的證券期貨行業(yè)典型數(shù)據(jù)分類分級(jí)模板， 計(jì)算得到漏洞所處信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)的重要級(jí)別。

A.6  漏洞技術(shù)分級(jí)

按GB/T 30279—2020描述的漏洞分級(jí)方法，根據(jù)被利用性、影響程度、環(huán)境因素賦值結(jié)果，按GB/T 30279—2020描述的附錄D和E，計(jì)算得到漏洞在技術(shù)層面的分級(jí)結(jié)果，漏洞技術(shù)分級(jí)結(jié)果見(jiàn)GB/T 30279 —2020中附錄E規(guī)定。

A.7  漏洞風(fēng)險(xiǎn)綜合定級(jí)

證券期貨業(yè)信息系統(tǒng)漏洞風(fēng)險(xiǎn)綜合定級(jí)按GB/T 30279—2020描述的漏洞分級(jí)方法，綜合考慮信息系 統(tǒng)所屬行業(yè)和業(yè)務(wù)特色。按JR/T 0158—2018描述的業(yè)務(wù)條線和數(shù)據(jù)分類分級(jí)方法，分析得到漏洞所在 的信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)重要程度，再根據(jù)漏洞技術(shù)分級(jí)和業(yè)務(wù)重要程度，計(jì)算得到證券期貨業(yè)信息系統(tǒng)滲 透測(cè)試漏洞風(fēng)險(xiǎn)綜合定級(jí)見(jiàn)表A.1。

表 A.1  漏洞風(fēng)險(xiǎn)綜合定級(jí)

JR/T 0276—2023

表 A.1  漏洞風(fēng)險(xiǎn)綜合定級(jí)（續(xù)）

JR/T 0276—2023

參 考 文 獻(xiàn)

[1]  GB/T 15532—2008  計(jì)算機(jī)軟件測(cè)試規(guī)范

[2]  GB/T 25069—2010  信息安全技術(shù)

[3]  GB/T 29246—2017  信息技術(shù)  安全技術(shù)  信息安全管理體系  概述和詞匯

[4]  GB/T 30279—2020  信息安全技術(shù)  網(wǎng)絡(luò)安全漏洞分類分級(jí)指南

[5]  GB/T 20984—2022  信息技術(shù)安全  信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

[6]  JR/T 0071—2012  金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引

[7]  JR/T 0158—2018  證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引

[8]  JR/T 0175—2019  證券期貨業(yè)軟件測(cè)試規(guī)范

[9]  JR/T 0191—2020  證券期貨業(yè)軟件測(cè)試指南  軟件安全測(cè)試

[10]  JR/T 0192—2020  證券期貨業(yè)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序安全規(guī)范

[11]  JR/T 0199—2020  金融科技創(chuàng)新安全通用規(guī)范

[12]  ISO/IEC TR 20004:2015  Information technology—Security techniques Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045

[13]  ISO/IEC 18045:2008  Information technology—Security techniques—Methodology for IT security evaluation

[14]  斯卡豐K A，奧雷博A D，奧雷波A D 等.信息安全測(cè)試與評(píng)估技術(shù)指南[J].特別出版物  800-115， 國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所，2008年. Scarfone K A , Orebaugh A D , Orebaugh A D , et al.  Technical Guide to Information Security Testing and Assessment[J]. Special Publication 800-115, National Institute of Standards and Technology, 2008

[15]  PCI DSS 3.2.1 Payment Card Industry (PCI) Data Security Standard

[16]  PTES Penetration Testing Execution Standard

___________________________________