标准规范下载简介和预览

JR／T 0214-2021 金融网络安全 网络安全众测实施指南.pdf简介：

JR/T 0214-2021 《金融网络安全 网络安全众测实施指南》是一份由中国金融行业标准化技术委员会（JR/T）发布的标准文件。这份指南主要针对金融网络安全领域，提供了网络安全众测（一种评估网络安全的方法，通过模拟真实攻击来测试系统的安全性能）的实施步骤、方法、技术和最佳实践。它详细规定了如何进行网络安全众测的策划、执行、评估和报告，以确保金融系统的网络安全防护能力得到充分测试和提升。

该指南适用于金融机构、网络安全服务机构、技术研发机构以及相关政府部门，旨在提升金融网络安全防护的系统性和有效性，防范和减少金融网络攻击事件，保护金融系统的稳定运行和客户信息安全。通过遵循这份指南，相关组织可以确保网络安全测试的科学性和规范性，增强网络安全防护体系。

JR／T 0214-2021 金融网络安全 网络安全众测实施指南.pdf部分内容预览：

网络安全网络安全众测实施指南

本文件提供了金融信息系统网络安全众测（以下简称安全众测）工作实施过程的指导，包括安全众 测准备、实施、分析与报告编制。 本文件适用于开展安全众测工作的境内金融机构。

下列缩略语适用于本文件。 OwASP：开放式web应用程序安全项目（OpenWebApplicationSecurityProject） SQL：结构化查询语言（StructuredQueryLanguage）

在金融信息系统上线前或生产运行过程中，金融信息系统的运营或使用单位、主管或监管单位委托 专业机构，对金融信息系统实施安全众测，发现并解决潜在的安全问题与隐患，并在此基础上JIS A4112-1995太阳能集热器，整改相 关安全问题，以提升安全防护能力，满足业务的安全平稳运行。

JR/T 0214—2021

JR/T 0214—2021

5.2.1测试人员身份背景信赖度

实施安全众测的测试人员来自社会大众或不同的组织机构，对于参与测试的技术人员身份缺少可靠 判断，信赖度偏低。

5.2.2测试人员行为

5. 2. 3系统运行

5.2.4敏感信息泄漏

众测实施过程中，有可能造成被测系统的业务数据或状态敏感信息泄露。如针对核心数据库的SQ 注入等操作，造成如客户身份信息、客户账号信息、网络拓扑、IP地址、业务流程、安全漏洞信息、 置参数、运行日志、告警信息等的泄露。

众测需求方（以下简称需求方）：是发起安全众测、授权安全众测行为的组织，一般为金融机构。

众测组织方（以下简称组织方）：是在需求方的授权下，负责众测测试方的召集和管理，并提供测 试报告的组织。 组织方宜具备如下条件： 从事相关安全测试或检测评估工作两年以上，无违法记录。 b) 法定代表人及主要业务、技术人员无犯罪记录。 c 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度。 d）对国家安全、社会秩序、公共利益不构成威胁。 组织方宜履行如下义务： 遵守国家有关法律法规和技术标准，提供安全、客观、公正的安全众测服务，保证服务质量， b) 保护在众测活动中知悉的国家秘密、商业秘密和个人隐私。 ) 保障测试人员的身份与背景可靠。 d) 对测试人员进行安全保密教育，与其签订安全保密责任书，规定履行的安全保密义务和承担的 法律责任，并负责检查落实。

众测测试方（以下简称测试方）：是通过自身技术在需求方授权的前提下对测试目标进行安全 助需求方查找计算机系统或网络系统的漏洞的安全测试人员。 测试方宜具备如下条件：

a）年满18周岁。 b）无违法及犯罪记录。 测试方宜履行如下义务： a）遵守国家有关法律法规和技术标准、需求方和组织方的相关要求，在授权的范围内开展安全众 测服务，提供准确、真实、客观的网络安全漏洞。 b 保护在众测活动中知悉的国家秘密、商业秘密和个人隐私，履行安全保密义务和承担相应的法 律责任。

监控、申计利 价的组织。 审计方宜具备如下条件： a) 从事相关安全测试审计或评估工作两年以上，无违法记录。 b) 法定代表人及主要业务、技术人员无犯罪记录。 C) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度。 d) 对国家安全、社会秩序、公共利益不构成威胁。 e) 审计方与组织方、测试方宜相互权限隔离。 审计方宜履行如下义务： 遵守国家有关法律法规和技术标准，提供安全、客观、公正的安全众测审计服务，保证服务质 量。 b) 保护在众测活动中知悉的国家秘密、商业秘密和个人隐私。 履行安全保密义务和承担相应的法律责任。

众测实施过程包括众测准备、众测实施和分析、

众测准备工作是开展安全众测工作的前提和基础，是整个安全众测过程有效性的保证。众测准备工 作是否充分直接关系到后续工作能否顺利开展。其主要任务是确定安全测试对象、时间范围、众测实施 方案与安全管理方案，完成测试人员的召集和认证审核、准备安全管控平台等众测基础环境，为众测实 施做好准备。

众测准备的基本工作流程见图1。

6.3.3明确验收标准

在明确验收标准任务中，需求方向组织方和审计方明确项目验收标准、漏洞评级标准、奖励计算方 式等安全众测工作的具体验收标准。 输入：网络安全众测协议书。 任务描述：根据需求方与组织方和审计方签订的网络安全众测协议书，需求方向组织方和审计方明 确项目验收标准、漏洞评级标准（见附录C）、奖励计算方式等安全众测工作的具体验收标准。 输出/产品：验收标准。

6.3.4测试和审计授权

在测试和审计授权任务中，需求方以书面的形式向组织方和审计方授权众测和众测审计。 输入：网络安全众测协议书。 任务描述：根据需求方与组织方和审计方签订的网络安全众测协议书，需求方向组织方和审计方以 书面的形式向组织方和审计方授权众测和众测审计。 输出/产品：网络安全众测授权委托书（见附录D）

6.3.5测试人员组织

在测试人员组织任务中，组织方在需求方的授权和委托下，招募和组织安全测试人员，对安全测试 人员进行实名认证和背景调查。 输入：网络安全众测授权委托书。 任务描述：根据需求方向组织方授予的网络安全众测授权委托书，组织方招募和组织安全测试人员， 对安全测试人员进行实名认证和背景调查。 输出/产品：安全测试人员清单。

6.3.6保密教育与保密协议

在保密教育与保密协议任务中，组织方根据需求方对于安全众测项目的要求，对测试人员进行安全 保密宣传和教育培训工作，包括项目测试范围、项目测试时间、项目测试行为准则、安全保密要求等， 与测试人员签署安全保密协议。 输入：网络安全众测授权委托书/安全测试人员清单。 任务描述：组织方根据需求方要求向测试人员进行安全保密宣宜传和教育培训工作，与测试人员签署 安全保密协议， 输出/产品：培训记录，安全保密协议

6.3.7审计平台准备

在审计平台准备任务中，审计方按照需求方对于安全众测项目的要求，准备管控与审计平台环境， 以及测试方安全接入所需的账号口令等信息。 输入：网络安全众测授权委托书。 任务描述：根据需求方向审计方授予的网络安全众测授权委托书，审计方准备管控与审计平台环境 以及测试方安全接入所需的账号口令等信息。 输出/产品：审计平台及认证信息

JR/T 0214—2021

宜考虑以下工作： 成立项目实施小组和应急小组，明确项目负责人。 与需求方签署网络安全众测授权委托书及安全保密协议。 对需求方进行认证以及对测试对象进行所有权校验，确保需求方测试对象范围合法，所有权校 验需包括但不限于Web应用服务、移动APP。 对测试方进行个人/企业实名认证，并签署安全保密协议。 通过技能考核设置测试方的准入门槛，同时建立测试方的信誉体系及优胜劣汰机制，对不符合 相关法律法规及不按需求方要求进行测试的测试方进行处罚及清退，确保身份可信、技能可行。 对测试人员进行安全保密宣传和教育培训工作，包括项目测试范围、项目测试时间、测试行为 准则、安全保密要求等，并签署测试协议和安全保密协议。 协助需求方和审计方，完成测试管控平台的账号申请、接入认证账号发放、培训教育等工作

宜考虑以下工作： a）认真学习项目的相关要求，包括项目测试范围、项目测试时间、项目测试行为准则、安全保密 要求。 b）与组织方签署测试协议和安全保密协议。 C）配合组织方完成身份、技能认证

宜考虑以下工作： 成立项目实施小组和应急小组，确定项目负责人。 b) 制定安全审计计划，协调审计人员，进行测试前的项目启动会和宣传教育工作。 C 负责众测审计使用的技术平台的准备工作，包括系统环境搭建、稳定性测试、安全性测试、安 全接入账号的创建与配置等。

JR/T 0214—2021

输出/产品：已审核安全缺陷/安全漏洞

DB23／T 2372-2019标准下载7.3.4漏洞修复与复检

在漏洞整改与复检任务中，需求方对众测过程中发现的有效安全缺陷/安全漏洞，安排相关人员进 行漏洞修复，修复完成后，安排测试人员对漏洞修复情况进行验证。 输入：已审核安全缺陷/安全漏洞。 任务描述：在漏洞整改与复检任务中，需求方对众测过程中发现的有效安全缺陷/安全漏洞，安排 相关人员进行漏洞修复，修复完成后，安排测试人员对漏洞修复情况进行验证，复检完成后送至需求方 进行最终审核，直至彻底消除隐惠。 输出/产品：安全缺陷/安全漏洞复检结果。

7. 4. 2众测组织方

a）严格按照项目要求，在授权的时间范围内，对授权范围内的测试对象，遵守测试行为规范，使 用授权范围内的测试方法开展测试工作，包括但不限于： 1） 未经许可不允许超出项目测试范围对内部网络使用扫描器等自动化工具， 2） 未经许可不允许使用高并发测试手段及工具。 未经许可不充许上传具有远程控制功能的恶意程序。 4 未经许可不允许私自进入内网越界访问/算改数据信息。 未经许可不允许进行高风险操作，包括但不仅限于服务器提权操作等。 6) 未经许可不允许对业务造成稳定性、可用性受损的操作行为。 7） 未经许可不允许对交易数据、用户信息等敏感信息进行下载/拖取，收到流量审计系统对 数据拖取行为的报警时应立即停止，并配合组织方和审计方等进行责任追溯。 8 发现的漏洞应立即上报，禁止私自隐藏漏洞。 b） 测试方实施有可能导致系统机密性、完整性、可用性受到重大影响的操作时，向组织方和需求 方报备，在征得需求方的同意后再进行此类操作。 C 严格按照项目的保密要求，对渗透测试中可能获取的少量网络拓扑信息、应用代码、数据、漏 洞等应严格保密，不得用于其他途径，并在项目验收后及时删除。 d) 提交真实且描述清晰的澜洞信息

分析与报告编制是给出安全众测工作结果的活动，是安全众测工作的综合评价活动。其主要任 据安全众测和众测审计结果，提交测试报告和审计报告，分析安全众测工作的质量和效果以及安 过程中测试人员行为的合规性

分析与报告编制的基本工作流程见图3。

JR/T 02142021

在项目验收任务中，需求方根据项目前期确认的验收标准和交付物GB∕T 29470-2012 自限温电热片，组织项目验收工作。 输入：项目验收标准/项目交付物 任务描述：需求方根据项目前期确认的验收标准和交付物，组织项目验收工作。 输出/产品：验收报告。