版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
ICS
03.060CCS
A11
JR
JR/T
0276—2023证券期货业信息系统渗透测试指南Guidelines
for
penetration
testing
of
information
systems
thesecurities
and
futures
industry 中国证券监督管理委员会 发
布JR/T
02762023
II
5.1
5.2
5.3
5.4
6.1
6.2
6.3
6.4
7.1
7.2
7.3
7.4
7.5
7.6
8.1
8.2
8.3
8.4
8.5
9.1
9.2
.......................... A.1
A.2
A.3
JR/T
0276—2023A.4
10A.5
10A.6
10A.7
10
12IIJR/T
02762023 本文件按照GB/T
1.1—2020《标准化工作导则
第1部分:标准化文件的结构和起草规则》的规定
JR/T
0276—2023 券期业信系统透测是指透测人员从内侧、联网等通模拟击者攻击IIJR/T
02762023
GB/T
15532—2008GB/T
25069—2010
GB/T
29246—2017
GB/T
30279—2020
JR/T
0158—2018
JR/T
0175—2019
GB/T
3.1
penetration
test[来源:GB/T
3.2
[来源:GB/T
3.3
threat
3.4JR/T
0276—2023
threat
analysis3.5
information[来源:GB/T
25069—2010,]3.6
[来源:GB/T
25069—2010,2.3.30,有修改]3.7
access
control[来源:GB/T
25069—2010,2]3.8
testing
environment3.9
escalating
privileges
root
3.10
site
clearing3.11
contingency
plan[来源:GB/T
25069—2010,]3.12
penetration
test
riskJR/T
027620233.13
confidentiality[来源:GB/T
29246—2017,2.12]3.14
integrity[来源:GB/T
29246—2017,2.40]3.15
availability[来源:GB/T
试以攻击者角度不限攻击手段成功渗透信息系统,以发现信息系统存在安全问题为目标。宜参考GB/T15532—2008中4.3规定的测试过程和JR/T
5.1
5.2
5.3
a)
客户端、H5
b)
c)
JR/T
0276—20235.4
6.1
6.2
a)
IP
b)
c)
d)
e)
6.3
a)
b)
c)
可尝试攻击手法,例如:Web
6.4
a)
析人员、系统内核研究人员等;b)
c)
d)
JR/T
027620237.1
7.2
7.3
a)
Web
b)
APP
c)
PC
d)
e)
f)
g)
7.4
a)
b)
c)
d)
e)
f)
7.5
a)
b)
c)
d)
e)
f)
7.6
JR/T
0276—2023a)
b)
c)
d)
8.1
8.2
8.3
根据本文件附录A《证券期货业信息系统渗透测试漏洞风险定级参考》评估渗透测试成果的风险危表1
表1
a)
b)
c)
渗透测试成果涉及的风险对信息系统的危害描述及针对性有效修复方案;d)
e)
8.5
JR/T
02762023a)
b)
c)
d)
9.1
a)
b)
c)
d)
e)
9.2
a)
b)
c)
d)
e)
IP
IP
IP
IP
JR/T
0276—2023c)渗透测试工具文件校验比对;d)渗透测试工具使用报备。
a)
b)
c)
d)
JR/T
02762023
A.1
按GB/T
30279—2020描述的网络安全漏洞分类分级方法和JR/T
0158—2018描述的证券期货业数据分类a)
对被利用性指标进行赋值,根据赋值结果,按照
GB/T
30279—2020
规定的被利用性b)
对影响程度指标进行赋值,根据赋值结果,按照
GB/T
30279—2020
规定的漏洞影响c)
对环境因素指标进行赋值,根据赋值结果,按照
GB/T
30279—2020
规定的环境因素d)
JR/T
0158—2018
e)
根据被利用性、影响程度和环境因素分级结果,按照
GB/T
30279—2020
f)
A.2
洞被用性标类映信系统洞触的技术可性。利用指标的组项包但不于:访问路径、触发要求、权限需求、交互条件,各项指标项的赋值按照GB/T
30279—2020中6.2.1规果见GB/T
A.3
30279—2020中6.2.2JR/T
0276—2023级结果见GB/T
30279—2020中附录B规定。A.4
—2020中6.2.3规定的要求执行。不同的环境因素级别用1至9的数字表示,数字越大环境因素导致的漏洞危害程度越高。环境因素分级结果见GB/T
A.5
根据行业机构信息系统运营或管理活动中产生的数据类型,按JR/T
0158—2018描述的证券期货业
A.6
按GB/T
30279—2020描述的附录D和E,计算得到漏洞在技术层面的分级结果,漏洞技术分级结果见GB/T
A.7
证券期货业信息系统漏洞风险综合定级按GB/T
统所属行业和业务特色。按JR/T
0158—2018描述的业务条线和数据分类分级方法,分析得到漏洞所在
A.1
101112JR/T
02762023
A.1
JR/T
0276—2023
[1]
GB/T
15532—2008
[2]
GB/T
25069—2010
[3]
GB/T
29246—2017
[4]
GB/T
30279—2020
[5]
GB/T
20984—2022
[6]
JR/T
0071—2012
[7]
JR/T
0158—2018
[8]
JR/T
01752019
[9]
JR/T
01912020
[10]
JR/T
0192—2020
[11]
JR/T
0199—2020
[12]
ISO/IEC
TR
20004:2015
Information
technology—Security
techniques
Refiningsoftware
ISO/IEC
and
ISO/IEC
[13]
ISO/IEC
18045:2008
Information
technology—Security
techniques—Methodology
forIT
evaluation[14]
丰K
博A
波A
等.南[J].800-115,
Scarfone
Orebaugh
et
al.
to
Information
Securit
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 《2024年 阴山北麓荒漠草原群落特征研究》范文
- 《2024年 特色中小城市体检与更新联动工作探索-以景德镇市为例》范文
- DB32-T 4831-2024 拖拉机牵引性能综合测试系统通.用技术条件
- 制冷行业节能环保与资源利用方案
- 农产品追溯体系在物流行业的构建方案
- 农业资源环境监测中心建设规划
- 第二单元 位置(单元测试)-2024-2025学年五年级上册数学人教版
- 《安培力的应用》参考课件
- 中国氟塑料制品产业市场深度剖析与投资风险评估报告2024-2030年
- 2017年新版人教版七年级下册英语导学案(全册)
- 跨学科融合视角下的高考数学学科教学创新研究
- 国际标准PANTONE号颜色对照表
- 《文明礼仪主题班会》课件
- 办公室常见职业病课件
- 中国急性缺血性脑卒中诊治指南
- 润滑油油罐泄漏应急预案
- 第14课 明清时期的经济、科技与文化
- 智慧城市解决方案专题培训课件
- 《信贷合规讲义》课件
- 政府机关保洁服务投标方案
- 干部人事档案转递单表样
评论
0/150
提交评论