JR T 0232-2021 银行互联网渗透测试指南.pdf

资源描述

1、附件 9ICS 35.240.40CCS A 11 JR中华人民共和国金融行业标准JR/T 0232 2021银行互联网渗透测试指南 Guidelines for internet penetration test in bank 2021 -07- 22发布 2021- 07-22实施中国人民银行发布 JR/T 0232 2021 I 目次前言 .III引言 .IV1 范围 .12 规范性引用文件 .13 术语和定义 .14 概述 .35 渗透测试策划 .35.1 概述 .3 5.2 确

2、定测试范围 .35.3 确定测试引用文档 .35.4 确定测试项 .45.5 确定被测试特性和不被测试特性 .45.6 确定测试方法与测试通过准则 .45.7 确定暂停准则和恢复条件 .45.8 测试交付项 .45.9 确定测试活动、任务与进度 .45.10 明确环境需求 .55.11 分配职责、权限和各部门间的工作衔接 .55.12 明确人员配备和培训目标 .55.13 明确风险和应急措

3、施 .55.14 确定质量保证过程 .5 5.15 测试策划阶段文档 .56 渗透测试设计 .66.1 概述 .66.2 确定测试范围 .66.3 被测试特征、测试方法与通过准则 .66.4 测试用例 .66.5 测试环境 .76.6 测试过程描述 .96.7 测试就绪评审 .96.8 测试设计阶段文档 .107 渗透测试执行 .107.1 概述 .10 7.2 信息收集 .107.3 威胁建模 .11 JR/T 0232 2021 II 7.4

4、漏洞发现 .127.5 渗透攻击 .147.6 测试执行阶段文档 .158 渗透测试总结 .158.1 概述 .158.2 测试数据分析 .158.3 差异分析 .158.4 风险决策根据分析 .158.5 报告编写 .168.6 测试评审 .178.7 测试总结阶段文档 .17附录 A （资料性）银行互联网渗透测试过程要点清单 . 18 附录 B （资料性）银行互联网渗透测试漏洞风险定级参考 . 21参考文献

5、 .26 JR/T 0232 2021 III 前言本文件按照 GB/T 1.1 2020 标准化工作导则第 1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国银行业协会提出。本文件由全国金融标准化技术委员会（ SAC/TC 180）归口。本文件起草单位：中国银行业协会、中国工商

6、银行股份有限公司、中国农业银行股份有限公司、中信银行股份有限公司、兴业银行股份有限公司、北京银联金卡科技有限公司、中金金融认证中心有限公司、北京梆梆安全科技有限公司、北京长亭未来科技有限公司。本文件主要起草人：潘光伟、张芳、高峰、李宽、王阳、敦宏程、苏建明、刘涌、王贵智、蒋家堂、叶红、戴心齐、孟宪哲、

7、李亚敏、王金希、李沁蕾、赵成刚、陈嘉、江超、李乐天、高强裔、刘淑敏、刘一鸣、马男。 JR/T 0232 2021 IV 引言渗透测试（ Penetration Test）也叫穿透测试，是一种通过模拟真实世界中的攻击动作，发现并利用安全漏洞，进而检验、评估信息系统实际安全水平的测试方法。渗透测试具有深入、直接、客观的特点，是主动提升信息系统（

8、尤其是互联网信息系统）安全性的有力手段，已得到了广泛使用。互联网渗透测试主要模拟的是来自互联网的攻击行为，是当前最主要的一种渗透测试形式。银行信息系统是国家的重要基础设施，对互联网的依赖与日俱增，面临的互联网攻击也日趋严峻。因此通过互联网渗透测试这一技术手段主动发现安全漏洞也是当前银行普遍的现实需求。渗

9、透测试虽然是一项基础的安全技术，但在不同的行业应用场景下又有各自的特殊性。银行信息系统直接涉及资金安全，且需要非常高的稳定性，不规范的渗透测试不仅无法全面覆盖与资金安全密切相关的核心安全风险，还可能给系统的安全稳定带来负面影响。因此，在国家层面尚未建立成熟的渗透测试实施相关标准的情况下，很有必要从行业

10、安全的角度，结合银行业务的特点，针对性地制定一套规范的银行互联网渗透测试方法，以保障测试质量、控制实施风险，确保银行机构能更加规范、系统、有效、方便地开展互联网渗透测试工作。基于以上行业需求，制定本文件。依照本文件开展渗透测试时，首先遵循国家的法律法规、监管制度及强制性标准的最新条款，如本文件与前述各项

11、条款矛盾，遵循前述各项条款。 JR/T 0232 2021 1 银行互联网渗透测试指南1 范围本文件提供了在银行信息系统中开展互联网渗透测试的整体流程以及流程各个环节中保障测试质量、控制测试风险的指南。本文件适用于银行互联网渗透测试的策划、设计、执行、总结，也供保险、证券等其他金融行业参考。2 规范性引用文件下列文件中的内容通过

12、文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 15532 2008 计算机软件测试规范GB/T 25069 2010 信息安全技术术语GB/T 29246 2017 信息技术安全技术信息安全管理体系概述和词汇JR/T 0101 2013 银

13、行业软件测试文档规范3 术语和定义GB/T 25069 2010和 GB/T 29246 2017界定的以及下列术语和定义适用于本文件。3.1 渗透测试 penetration test渗透性测试穿透性测试以模拟真实攻击的动作，检测发现信息系统存在的技术漏洞，并利用漏洞突破信息系统的安全控制机制，进而评估信息系统面临的实际安全风险的一种测试手段。来源： GB/T 250

14、69 2010, 2.3.87,有修改 3.2 授权 authorization通过技术手段界定渗透测试实施范围的过程。示例：通过防火墙策略仅允许渗透测试实施人员访问测试范围内的信息系统。来源： GB/T 25069 2010, 2.1.33,有修改 3.3 威胁代理 threat agent 有动机和能力破坏信息系统安全性的人或程序。示例：企图通过攻击信息系统非法获取资金的黑客团伙。

15、3.4 JR/T 0232 2021 2 威胁建模 threat modeling对信息系统的资产、流程、攻击信息系统的主要动机、潜在威胁代理及其能力等进行分析，对相关的主体和关系进行有效组织。注：威胁建模的目的是构建信息系统面临的最可能攻击场景。3.5 敏感信息 sensitive information由权威机构确定的必须受保护的信息，该信息的泄露、修改、破坏或

16、丢失会对人或事产生可预知的损害。注：敏感信息的具体分级标准宜参考 JR/T 0197 2020。来源： GB/T 25069 2010, 2.2.4.73.6 漏洞 vulnerability 脆弱性弱点信息系统中可能被攻击者利用的薄弱环节。来源： GB/T 25069 2010, 2.3.30,有修改 3.7 实施风险 implement risk渗透测试实施过程中可能对目标信息系统的保密性、完整性、可用性带来

17、的影响。3.8 访问控制 access control一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。来源： GB/T 25069 2010, 2.2.1.42 3.9 仿真环境 simulation environment为避免直接在目标信息系统中实施测试所引入的实施风险，仿照目标信息系统搭建且具备测试所需的各项条件的渗透测试实施环境。示例：业务系统及配置

18、与生产一致的测试环境；生产环境中与生产服务器配置一致但不承载实际业务的模拟服务器；与生产高度一致的网络靶场环境。3.10权限提升 privilege escalation在低权限用户状态下，利用信息系统中存在的漏洞突破权限控制，获得该用户原本不具备的操作权限的过程。示例：利用操作系统漏洞从普通用户权限提升为超级管理员用户权限。3.

19、11现场清理 site clearing渗透测试实施完毕后，将目标信息系统恢复到测试前状态的过程。示例：删除上传到目标信息系统中的测试脚本。 JR/T 0232 2021 3 3.12应急预案 contingency plan一种关于备份、应急响应和灾后恢复的计划。来源： GB/T 25069 2010, 2.2.3.43.13保密性 confidentiality信息对未授权的个人、实体或过程不可用或不

20、泄露的特性。来源： GB/T 29246 2017, 2.123.14完整性 integrity准确和完备的特性。来源： GB/T 29246 2017, 2.403.15可用性 availability根据授权实体的要求可访问和可使用的特性。来源： GB/T 29246 2017, 2.93.16遵从性 compliance遵守指导活动的相关条款的程度。4 概述银行互联网渗透测试是指从互联网渠道发起的针对银行信息系统

21、的渗透测试，宜按照 GB/T 15532 2008中 4.3规定的要求，将测试流程划分为策划、设计、执行、总结四个阶段，并根据整体测试情况编制总结文档。渗透测试过程中的相关文档，宜按照 JR/T 0101 2013中 4.4.3规定的要求，给出的单项测试三级规范编制。5 渗透测试策划5.1 概述渗透测试策划（以下简称测试策划）主要进行渗透测试需求分析，包

22、括确定测试范围，确定测试引用文档，确定测试项以及被测试特性和不被测试特性，确定测试方法与测试通过准则，确定暂停准则和恢复条件，规定测试活动、任务与进度，明确环境需求，分配职责、权限和各部门间的工作衔接，明确人员配备和培训目标，明确风险和应急措施，确定质量保证过程。在测试过程中，如发现在测试规划阶段确定的

23、内容有变化，宜及时变更测试策划，并妥善管理测试策划的版本。应用程序编程接口（ API， Application Programming Interface）方式接入前，需要进行接入方系统改造和接口开发，并与接口平台开展联调测试，其中功能测试和业务场景测试是必做项。 5.2 确定测试范围概述本渗透测试涉及到的范围及其特征。示例：本渗透测试在因特网中国

24、境内网段，针对实际生产环境进行。5.3 确定测试引用文档 JR/T 0232 2021 4 确定开展渗透测试所考虑的需求因素，每个文档宜明确具体的标识（包括版本）和条款，典型的引用文档包括：a) 国家监管制度。b) 金融行业监管制度。c) 组织自身安全管理策略规范。d) 团体组织准入规范。示例：支付卡行业安全标准委员会（ PCI SSC， Payment Car

25、d Industry Security Standards Council）、环球银行金融电信协会（ SWIFT， Society Worldwide Interbank Financial Telecommunication）等团体组织均有定期对特定信息系统进行渗透测试的相关规范。e) 业务需求以及非功能需求。示例：某些重要业务系统需要很高的安全性，上线前和（或）上线后可能会提出专项的渗透测试需求。5.4 确

26、定测试项根据界定的测试范围，确定具体的渗透测试对象。测试项宜能够进行明确的标识和界定。示例：测试项通过具有唯一性的属性予以标识的例子包括互联网协议（ IP， Internet Protocol）地址、域名、域名 +统一资源定位符（ URL， Uniform Resource Locators）、客户端程序版本、客户端程序文件哈希值。当测试范围为因特网中国境内

27、网段实际生产环境时，测试项为银行的整个信息与通信（ ICT， Information andCommunications Technology）系统。5.5 确定被测试特性和不被测试特性确定具体的渗透测试特性，即渗透测试针对测试项的哪些方面和不针对哪些方面。示例：当测试范围为因特网中国境内网段，测试项为银行的整个 ICT 系统时，被测试特性为针对通用信息技术产品的通过互联网的攻击和利用应用系统业务需求逻辑漏洞进行的攻击。不被测试特性包括高级可持续威胁（ APT， Advanced Persistent Threat）攻击和分布式拒绝服务（ DDOS， Distributed Deny Of Serv

展开阅读全文