JR-T 0276-2023 证券期货业信息系统渗透测试指南

ICS

03.060CCS

A11

JR

JR/T

0276—2023证券期货业信息系统渗透测试指南Guidelines

for

penetration

testing

of

information

systems

thesecurities

and

futures

industry 中国证券监督管理委员会 发

布JR/T

02762023

II

5.1

5.2

5.3

5.4

6.1

6.2

6.3

6.4

7.1

7.2

7.3

7.4

7.5

7.6

8.1

8.2

8.3

8.4

8.5

9.1

9.2

.......................... A.1

A.2

A.3

JR/T

0276—2023A.4

10A.5

10A.6

10A.7

10

12IIJR/T

02762023 本文件按照GB/T

1.1—2020《标准化工作导则

第1部分：标准化文件的结构和起草规则》的规定

JR/T

0276—2023 券期业信系统透测是指透测人员从内侧、联网等通模拟击者攻击IIJR/T

02762023

GB/T

15532—2008GB/T

25069—2010

GB/T

29246—2017

GB/T

30279—2020

JR/T

0158—2018

JR/T

0175—2019

GB/T

3.1

penetration

test[来源：GB/T

3.2

[来源：GB/T

3.3

threat

3.4JR/T

0276—2023

threat

analysis3.5

information[来源：GB/T

25069—2010，]3.6

[来源：GB/T

25069—2010，2.3.30，有修改]3.7

access

control[来源：GB/T

25069—2010，2]3.8

testing

environment3.9

escalating

privileges

root

3.10

site

clearing3.11

contingency

plan[来源：GB/T

25069—2010，]3.12

penetration

test

riskJR/T

027620233.13

confidentiality[来源：GB/T

29246—2017，2.12]3.14

integrity[来源：GB/T

29246—2017，2.40]3.15

availability[来源：GB/T

试以攻击者角度不限攻击手段成功渗透信息系统，以发现信息系统存在安全问题为目标。宜参考GB/T15532—2008中4.3规定的测试过程和JR/T

5.1

5.2

5.3

a)

客户端、H5

b)

c)

JR/T

0276—20235.4

6.1

6.2

a)

IP

b)

c)

d)

e)

6.3

a)

b)

c)

可尝试攻击手法，例如：Web

6.4

a)

析人员、系统内核研究人员等；b)

c)

d)

JR/T

027620237.1

7.2

7.3

a)

Web

b)

APP

c)

PC

d)

e)

f)

g)

7.4

a)

b)

c)

d)

e)

f)

7.5

a)

b)

c)

d)

e)

f)

7.6

JR/T

0276—2023a)

b)

c)

d)

8.1

8.2

8.3

根据本文件附录A《证券期货业信息系统渗透测试漏洞风险定级参考》评估渗透测试成果的风险危表1

表1

a)

b)

c)

渗透测试成果涉及的风险对信息系统的危害描述及针对性有效修复方案；d)

e)

8.5

JR/T

02762023a)

b)

c)

d)

9.1

a)

b)

c)

d)

e)

9.2

a)

b)

c)

d)

e)

IP

IP

IP

IP

JR/T

0276—2023c）渗透测试工具文件校验比对；d）渗透测试工具使用报备。

a)

b)

c)

d)

JR/T

02762023

A.1

按GB/T

30279—2020描述的网络安全漏洞分类分级方法和JR/T

0158—2018描述的证券期货业数据分类a)

对被利用性指标进行赋值，根据赋值结果，按照

GB/T

30279—2020

规定的被利用性b)

对影响程度指标进行赋值，根据赋值结果，按照

GB/T

30279—2020

规定的漏洞影响c)

对环境因素指标进行赋值，根据赋值结果，按照

GB/T

30279—2020

规定的环境因素d)

JR/T

0158—2018

e)

根据被利用性、影响程度和环境因素分级结果，按照

GB/T

30279—2020

f)

A.2

洞被用性标类映信系统洞触的技术可性。利用指标的组项包但不于：访问路径、触发要求、权限需求、交互条件，各项指标项的赋值按照GB/T

30279—2020中6.2.1规果见GB/T

A.3

30279—2020中6.2.2JR/T

0276—2023级结果见GB/T

30279—2020中附录B规定。A.4

—2020中6.2.3规定的要求执行。不同的环境因素级别用1至9的数字表示，数字越大环境因素导致的漏洞危害程度越高。环境因素分级结果见GB/T

A.5

根据行业机构信息系统运营或管理活动中产生的数据类型，按JR/T

0158—2018描述的证券期货业

A.6

按GB/T

30279—2020描述的附录D和E，计算得到漏洞在技术层面的分级结果，漏洞技术分级结果见GB/T

A.7

证券期货业信息系统漏洞风险综合定级按GB/T

统所属行业和业务特色。按JR/T

0158—2018描述的业务条线和数据分类分级方法，分析得到漏洞所在

A.1

101112JR/T

02762023

A.1

JR/T

0276—2023

[1]

GB/T

15532—2008

[2]

GB/T

25069—2010

[3]

GB/T

29246—2017

[4]

GB/T

30279—2020

[5]

GB/T

20984—2022

[6]

JR/T

0071—2012

[7]

JR/T

0158—2018

[8]

JR/T

01752019

[9]

JR/T

01912020

[10]

JR/T

0192—2020

[11]

JR/T

0199—2020

[12]

ISO/IEC

TR

20004:2015

Information

technology—Security

techniques

Refiningsoftware

ISO/IEC

and

ISO/IEC

[13]

ISO/IEC

18045:2008

Information

technology—Security

techniques—Methodology

forIT

evaluation[14]

丰K

博A

波A

等.南[J].800-115，

Scarfone

Orebaugh

et

al.

to

Information

Securit