1、ICS 03.060CCS A11JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 02762023证券期货业信息系统渗透测试指南Guidelines for penetration testing of information systems in thesecurities and futures industry2023-02-07 发布2023-02-07 实施中国证券监督管理委员会发 布JR/T 02762023I目次前言.I引言.II1范围.12规范性引用文件.13术语和定义.14总则.35渗透测试策划.35.1概述.35.2渗透测试范围.35.3渗透测试对象.35.
2、4渗透测试时间.46渗透测试设计.46.1概述.46.2信息收集.46.3信息系统功能及技术弱点研判.46.4渗透测试就绪准备.47渗透测试执行.47.1概述.57.2漏洞扫描.57.3漏洞利用.57.4深度渗透.57.5成果记录.57.6恢复环境.58渗透测试总结.68.1概述.68.2渗透测试过程整理.68.3渗透测试成果风险定级.68.4渗透测试结果文档撰写.68.5渗透测试结果交付.69渗透测试风险管理.79.1风险分析.79.2风险管理.7附录 A(资料性)证券期货业信息系统渗透测试漏洞风险定级参考.9A.1漏洞风险定级方法.9A.2被利用性.9A.3影响程度.9JR/T 02762
3、023IIA.4环境因素.10A.5业务重要性.10A.6漏洞技术分级.10A.7漏洞风险综合定级.10参考文献.12JR/T 02762023I前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国金融标准化技术委员会证券分技术委员会(SAC/TC1 80/SC4)提出。本文件由全国金融标准化技术委员会(SAC/TC 180)归口。本文件起草单位:中国证券监督管理委员会科技监管局、上交所技术有限责任公司、深圳证券交易所、上海金融期货信息技术有限公司、中证信息技术
4、服务有限责任公司、国泰君安证券股份有限公司、华泰证券股份有限公司、光大证券股份有限公司、华福证券有限责任公司、华安基金管理有限公司、杭州安恒信息技术股份有限公司、三六零科技集团有限公司。本文件主要起草人:姚前、蒋东兴、周云晖、沙明、樊芳、房慧丽、李佶、张旭、张天意、黄清华、于钊、冯小根、苑立斌、路一、刘彬、陈凯晖、江旺、刘嵩、甘张生、徐正伟、袁明坤、周亚超、李磊、杨志。JR/T 02762023II引言近年来,证券期货业面向互联网的业务趋于多样化,随之而来承载各业务的信息系统所面临的网络攻击也愈发严峻,并且证券期货业信息系统直接涉及证券账户、资金账户、资金、交易记录等敏感信息,证券期货业信息系
5、统已然成为国家经济建设的重要基础设施。因此,保障证券期货业信息系统安全已成为当前行业内紧迫的需求。本文件为证券期货业提供一套通用的信息系统渗透测试框架,深化渗透测试对于行业信息系统的作用,更加规范、安全稳定地开展渗透测试工作,提升证券期货行业信息系统的渗透测试能力,保障渗透测试质量,控制渗透测试实施风险,进一步保障行业信息系统的安全性。证券期货业信息系统渗透测试是指渗透测试人员从内网侧、互联网侧等通过模拟攻击者的攻击方法,对信息系统的任何弱点、技术缺陷或漏洞加以分析和主动利用,以期发现和挖掘信息系统中存在的漏洞,从而评估证券期货业信息系统安全的一种评估方法。本文件可供寻求以通用方法开展证券期货
6、业信息系统渗透测试的各机构使用,能更加规范、安全稳定地开展信息系统渗透测试工作。JR/T 027620231证券期货业信息系统渗透测试指南1范围本文件提供了在证券期货业信息系统建设过程中开展渗透测试的整体流程,同时提供了在渗透测试策划、渗透测试设计、渗透测试执行、渗透测试总结、渗透测试风险管理等环节如何保障测试质量、控制安全风险的操作指南。本文件适用于证券期货行业机构开展信息系统渗透测试过程中的渗透测试策划、渗透测试设计、渗透测试执行、渗透测试总结及渗透测试风险管理等工作,可供其他金融机构参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 155322008计算机软件测试规范GB/T 250692010信息安全技术术语GB/T 292462017信息技术安全技术信息安全管理体系概述和词汇GB/T 302792020信息安全技术网络安全漏洞分类分级指南JR/T 01582018证券期货业数据分类分级指引JR/T 0175201