日本人妻中文人无码视频,哈昂~哈昂够了太多了好大,欧美vr专区日韩vr专区,成人免费观看高潮视频

ICS 03.060 CCS A11

JR

中 華 人 民 共 和 國 金 融 行 業(yè) 標 準 JR/T 0276—2023

證券期貨業(yè)信息系統(tǒng)滲透測試指南

Guidelines for penetration testing of information systems in the securities and futures industry

2023-02-07 發(fā)布                                    2023-02-07 實施

中 國證 券監(jiān) 督 管理 委 員會    發(fā) 布

JR/T 0276—2023

目    次

前言   I

引言   II

1  范圍   1

2  規(guī)范性引用文件   1

3  術語和定義   1

4  總則   3

5  滲透測試策劃   3

5.1  概述   3

5.2  滲透測試范圍   3

5.3  滲透測試對象   3

5.4  滲透測試時間   4

6  滲透測試設計   4

6.1  概述   4

6.2  信息收集   4

6.3  信息系統(tǒng)功能及技術弱點研判   4

6.4  滲透測試就緒準備   4

7  滲透測試執(zhí)行   4

7.1  概述   5

7.2  漏洞掃描   5

7.3  漏洞利用   5

7.4  深度滲透   5

7.5  成果記錄   5

7.6  恢復環(huán)境   5

8  滲透測試總結   6

8.1  概述   6

8.2  滲透測試過程整理   6

8.3  滲透測試成果風險定級   6

8.4  滲透測試結果文檔撰寫   6

8.5  滲透測試結果交付   6

9  滲透測試風險管理   7

9.1  風險分析   7

9.2  風險管理   7

附錄 A（資料性）  證券期貨業(yè)信息系統(tǒng)滲透測試漏洞風險定級參考  9

A.1  漏洞風險定級方法   9

A.2  被利用性   9

A.3  影響程度   9

JR/T 0276—2023

A.4  環(huán)境因素   10

A.5  業(yè)務重要性   10

A.6  漏洞技術分級   10

A.7  漏洞風險綜合定級   10

參考文獻   12

JR/T 0276—2023

前    言

本文件按照GB/T 1.1—2020《標準化工作導則  第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定

起草。

請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。 本文件由全國金融標準化技術委員會證券分技術委員會（SAC/TC1 80/SC4）提出。

本文件由全國金融標準化技術委員會（SAC/TC 180）歸 口。

本文件起草單位：中國證券監(jiān)督管理委員會科技監(jiān)管局、上交所技術有限責任公司、深圳證券交易 所、上海金融期貨信息技術有限公司、中證信息技術服務有限責任公司、國泰君安證券股份有限公司、 華泰證券股份有限公司、光大證券股份有限公司、華福證券有限責任公司、華安基金管理有限公司、杭 州安恒信息技術股份有限公司、三六零科技集團有限公司。

本文件主要起草人：姚前、蔣東興、周云暉、沙明、樊芳、房慧麗、李佶、張旭、張?zhí)煲狻ⅫS清華、 于釗、馮小根、苑立斌、路一、劉彬、陳凱暉、江旺、劉嵩、甘張生、徐正偉、袁明坤、周亞超、李磊、 楊志。

JR/T 0276—2023

引    言

近年來，證券期貨業(yè)面向互聯(lián)網的業(yè)務趨于多樣化，隨之而來承載各業(yè)務的信息系統(tǒng)所面臨的網絡 攻擊也愈發(fā)嚴峻，并且證券期貨業(yè)信息系統(tǒng)直接涉及證券賬戶、資金賬戶、資金、交易記錄等敏感信息， 證券期貨業(yè)信息系統(tǒng)已然成為國家經濟建設的重要基礎設施。因此，保障證券期貨業(yè)信息系統(tǒng)安全已成 為當前行業(yè)內緊迫的需求。

本文件為證券期貨業(yè)提供一套通用的信息系統(tǒng)滲透測試框架，深化滲透測試對于行業(yè)信息系統(tǒng)的作 用，更加規(guī)范、安全穩(wěn)定地開展?jié)B透測試工作，提升證券期貨行業(yè)信息系統(tǒng)的滲透測試能力，保障滲透 測試質量，控制滲透測試實施風險，進一步保障行業(yè)信息系統(tǒng)的安全性。

證券期貨業(yè)信息系統(tǒng)滲透測試是指滲透測試人員從內網側、互聯(lián)網側等通過模擬攻擊者的攻擊方 法，對信息系統(tǒng)的任何弱點、技術缺陷或漏洞加以分析和主動利用，以期發(fā)現(xiàn)和挖掘信息系統(tǒng)中存在的 漏洞，從而評估證券期貨業(yè)信息系統(tǒng)安全的一種評估方法。本文件可供尋求以通用方法開展證券期貨業(yè) 信息系統(tǒng)滲透測試的各機構使用，能更加規(guī)范、安全穩(wěn)定地開展信息系統(tǒng)滲透測試工作。

JR/T 0276—2023

證券期貨業(yè)信息系統(tǒng)滲透測試指南

1  范圍

本文件提供了在證券期貨業(yè)信息系統(tǒng)建設過程中開展?jié)B透測試的整體流程，同時提供了在滲透測試 策劃、滲透測試設計、滲透測試執(zhí)行、滲透測試總結、滲透測試風險管理等環(huán)節(jié)如何保障測試質量、控 制安全風險的操作指南。

本文件適用于證券期貨行業(yè)機構開展信息系統(tǒng)滲透測試過程中的滲透測試策劃、滲透測試設計、滲 透測試執(zhí)行、滲透測試總結及滲透測試風險管理等工作，可供其他金融機構參考。

2  規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件， 僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本 文件。

GB/T 15532—2008  計算機軟件測試規(guī)范

GB/T 25069—2010  信息安全技術  術語

GB/T 29246—2017  信息技術  安全技術  信息安全管理體系  概述和詞匯

GB/T 30279—2020  信息安全技術  網絡安全漏洞分類分級指南 JR/T 0158—2018  證券期貨業(yè)數(shù)據分類分級指引

JR/T 0175—2019  證券期貨業(yè)軟件測試規(guī)范

3  術語和定義

GB/T 25069—2010和GB/T 29246—2017界定的以及下列術語和定義適用于本文件。 3.1

滲透測試  penetration test 滲透性測試

模擬真實攻擊者的動作，檢測發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞，并利用漏洞突破信息系統(tǒng)的安全控制 機制，進而評估信息系統(tǒng)面臨的實際安全風險的一種測試手段。

[來源：GB/T 25069—2010，2.3.87，有修改] 3.2

授權 authorization

通過管理方式授予某一主體可實施某些動作的權力范圍。

[來源：GB/T 25069—2010，2.1.33，有修改] 3.3

威脅代理 threat agent

有動機和能力破壞信息系統(tǒng)安全性的人或程序。 3.4

JR/T 0276—2023

威脅分析 threat analysis

對信息系統(tǒng)的資產、業(yè)務流程、攻擊信息系統(tǒng)的主要動機、潛在威脅代理及其能力等進行分析，對 相關的主體和關系進行有效組織。

注：威脅分析的目的是構建信息系統(tǒng)面臨的攻擊場景。 3.5

敏感信息 sensitive information

由權威機構確定的必須受保護的信息，該信息的泄露、修改、破壞或丟失會對人或事產生可預知的 損害。

[來源：GB/T 25069—2010，2.2.4.7] 3.6

漏洞 vulnerability 脆弱性

弱點

信息系統(tǒng)中可能被攻擊者利用的薄弱環(huán)節(jié)。

[來源：GB/T 25069—2010，2.3.30，有修改] 3.7

訪問控制 access control

一種保證數(shù)據處理系統(tǒng)的資源只能由被授權主體按授權方式進行訪問的手段。

[來源：GB/T 25069—2010，2.2.1.42] 3.8

測試環(huán)境 testing environment

為避免直接在目標信息系統(tǒng)中實施測試所引入的實施風險，仿照目標信息系統(tǒng)搭建且具備測試所需 的各項條件的滲透測試實施環(huán)境。

業(yè)務系統(tǒng)及配置與生產一致的測試環(huán)境；生產環(huán)境中與生產服務器配置一致但不承載實際業(yè)務的模擬服務器；與生 產環(huán)境高度相似的網絡靶場環(huán)境。

3.9

權限提升 escalating privileges

在低權限用戶狀態(tài)下，利用信息系統(tǒng)中存在的漏洞突破權限控制，獲得該用戶原本不具備的操作權 限的過程。

利用操作系統(tǒng)漏洞從普通用戶權限提升為 root 權限。 3.10

現(xiàn)場清理 site clearing

滲透測試實施完畢后，清除攻擊痕跡，將目標信息系統(tǒng)恢復到測試前狀態(tài)的過程。 刪除上傳到目標系統(tǒng)中的滲透測試腳本。

3.11

應急預案 contingency p lan

一種關于備份、應急響應和災后恢復的計劃。

[來源：GB/T 25069—2010，2.2.3.4] 3.12

滲透測試風險 penetration test risk

滲透測試過程中可能對目標信息系統(tǒng)的保密性、完整性、可用性帶來的影響。

JR/T 0276—2023

3.13

保密性 confidentiality

信息對未授權的個人、實體或過程不可用或不泄露的特性。 [來源：GB/T 29246—2017，2.12]

3.14

完整性 integrity  準確和完備的特性。

[來源：GB/T 29246—2017，2.40] 3.15

可用性 availability

根據授權實體的要求可訪問和可使用的特性。 [來源：GB/T 29246—2017，2.9]

4  總則

相較于傳統(tǒng)的應用安全測試以防護者角度按照測試清單逐項分析不同，證券期貨業(yè)信息系統(tǒng)滲透測 試以攻擊者角度不限攻擊手段成功滲透信息系統(tǒng)， 以發(fā)現(xiàn)信息系統(tǒng)存在安全問題為目標。宜參考GB/T 15532—2008中4.3規(guī)定的測試過程和JR/T 0175—2019中4.2.1規(guī)定的測試階段的工作要求，結合行業(yè)特 點，宜將證券期貨業(yè)信息系統(tǒng)滲透測試指南工作流程劃分為以下四個階段：滲透測試策劃、滲透測試設 計、滲透測試執(zhí)行、滲透測試總結。

5  滲透測試策劃

5.1  概述

明確滲透測試需求，根據被測信息系統(tǒng)的安全目標定義滲透測試的深度與廣度，包括但不限于明確 滲透測試范圍、滲透測試對象、滲透測試時間等。

5.2  滲透測試范圍

滲透測試范圍即信息系統(tǒng)滲透測試的廣度，包括被測信息系統(tǒng)的IP地址、端口、域名、所屬網絡環(huán) 境、業(yè)務功能等可能涉及到的關聯(lián)資產或網絡區(qū)域。

執(zhí)行滲透測試前，既定的滲透測試需求如存在變化，宜及時再次明確。

5.3  滲透測試對象

滲透測試對象即信息系統(tǒng)滲透測試的深度，可從多個維度確定被測信息系統(tǒng)的滲透測試對象，具體 如下：

a)  組件作用維度，可分為通信網絡、操作系統(tǒng)、中間件、數(shù)據庫、安全防護設施、應用平臺（含 客戶端、H5 頁面、小程序等）、應用系統(tǒng)；

b)  組件層級維度，可分為前臺、中臺、后臺；

c)  業(yè)務功能維度，可分為涉及投資者撮合交易的交易系統(tǒng)、涉及上市公司業(yè)務管理的業(yè)務系統(tǒng)、 存儲大量敏感數(shù)據的大數(shù)據系統(tǒng)、面向投資者服務的互聯(lián)網信息系統(tǒng)（如上市服務系統(tǒng)）、面 向內部的辦公系統(tǒng)。

JR/T 0276—2023

5.4  滲透測試時間

滲透測試時間即證券期貨業(yè)信息系統(tǒng)的滲透時間窗口，包括被測信息系統(tǒng)的授權滲透時間段、滲透 測試開始及截止時間等。

6  滲透測試設計

6.1  概述

開展?jié)B透測試設計工作，基于已明確的滲透測試需求，根據證券期貨業(yè)被測信息系統(tǒng)的特征，開展 被測信息系統(tǒng)的信息收集。

根據信息收集結果，分析被測信息系統(tǒng)功能，對信息系統(tǒng)的技術弱點與價值進行評估，判斷開展?jié)B 透測試的攻擊手法，準備滲透測試工作需要的授權、工具和人員資源。

6.2  信息收集

被測信息系統(tǒng)的信息收集可根據已明確的滲透測試需求，在需求方知曉并認同的情況下，盡可能收 集被測信息系統(tǒng)的各種信息，包括但不限于：

a)  IP 地址、域名、接口、應用平臺（含客戶端、H5 頁面、小程序等）等前端信息；

b)  操作系統(tǒng)、系統(tǒng)組件、開放端口等服務器信息；

c)  相關人員基本信息、 日常社交網絡等社會工程信息；

d)  已知安全漏洞、配置不當?shù)瘸Ｒ娋W絡安全弱點；

e)  入侵檢測設備、訪問控制策略等網絡安全防御措施。

6.3  信息系統(tǒng)功能及技術弱點研判

研判信息系統(tǒng)功能是指研究信息系統(tǒng)承載的業(yè)務功能與流程，分析被測信息系統(tǒng)的功能框架與潛在 的技術弱點，包括但不限于：

a)  信息系統(tǒng)功能，例如：身份認證、提供服務、信息展示等；

b)  攻擊動機，例如：獲取敏感信息、獲取系統(tǒng)權限、篡改重要數(shù)據等；

c)  可嘗試攻擊手法，例如：Web 應用入侵、已知漏洞利用、認證繞過等。

6.4  滲透測試就緒準備

通過對被測信息系統(tǒng)技術弱點的判斷，確定信息系統(tǒng)滲透測試就緒的準備工作，協(xié)調滲透測試資源， 以進一步挖掘被測信息系統(tǒng)的弱點、技術缺陷或漏洞等。滲透測試就緒準備工作宜包括：

a)  滲透測試團隊：根據滲透測試需求與對被測信息系統(tǒng)潛在弱點的分析，針對性地配置具有相關 滲透測試經驗的人員組成滲透測試團隊，例如：Web 安全人員、漏洞挖掘人員、二進制逆向分 析人員、系統(tǒng)內核研究人員等；

b)  滲透測試工具：針對被測信息系統(tǒng)的技術弱點準備相應滲透測試工具，并按需求調整配置文件， 例如： 口令字典、 自動化腳本、漏洞特征庫等；

c)  訪問控制：按照滲透測試需求驗證滲透測試工具與被測信息系統(tǒng)間的網絡連通性；

d)  授權與保密：根據滲透測試需求方規(guī)定，滲透測試團隊簽訂滲透測試委托書、保密協(xié)議等書面 文件，確保行業(yè)信息系統(tǒng)被滲透測試時的合規(guī)與保密。

7  滲透測試執(zhí)行

JR/T 0276—2023

7.1  概述

證券期貨業(yè)信息系統(tǒng)滲透測試主要以漏洞掃描、人工探測等方式發(fā)現(xiàn)安全漏洞，通過人工驗證對發(fā) 現(xiàn)的安全漏洞進行主動利用，并通過多漏洞聯(lián)動對被測信息系統(tǒng)實施深度滲透。

7.2  漏洞掃描

根據前期研判的被測信息系統(tǒng)的弱點、技術缺陷或漏洞，利用滲透測試工具，對被測信息系統(tǒng)發(fā)起 基于應用層、網絡層、系統(tǒng)層等多維度的漏洞掃描，快速探測被測信息系統(tǒng)、組件、服務等相關弱點。

7.3  漏洞利用

基于漏洞掃描的結果，結合前期對信息系統(tǒng)功能和弱點分析，嘗試利用部分重點漏洞對系統(tǒng)進行滲 透，突破信息系統(tǒng)安全防護，從而達到滲透被測信息系統(tǒng)的目的，對信息系統(tǒng)的危害宜包括但不限于：

a)  危害 Web 應用程序提供服務；

b)  危害移動 APP 提供服務；

c)  危害 PC 端應用程序提供服務；

d)  危害訪問信息系統(tǒng)的用戶主機運行；

e)  危害微信公眾號、小程序運行；

f)  泄露涉及證券期貨市場穩(wěn)定的業(yè)務數(shù)據；

g)  泄露投資者個人隱私信息。

7.4  深度滲透

利用已知漏洞對被測信息系統(tǒng)的危害，通過多漏洞聯(lián)動對信息系統(tǒng)進行深度突破，多級聯(lián)動擴大單 一漏洞對系統(tǒng)的危害，進一步滲透被測信息系統(tǒng)，并嘗試手工挖掘業(yè)務邏輯漏洞，獲取信息系統(tǒng)關鍵敏 感信息或業(yè)務數(shù)據，宜包括但不限于：

a)  獲取證券期貨業(yè)內未披露信息；

b)  獲取投資者個人隱私信息；

c)  獲取信息系統(tǒng)任意用戶或管理權限；

d)  獲取信息系統(tǒng)服務器用戶權限；

e)  獲取信息系統(tǒng)服務器管理員權限；

f)  獲取信息系統(tǒng)數(shù)據庫管理員權限。

7.5  成果記錄

根據滲透測試進展，宜及時對取得的滲透成果進行記錄或截圖，滲透成果包括但不限于：

a)  利用漏洞成功突破信息系統(tǒng)；

b)  利用不當配置成功突破信息系統(tǒng)；

c)  成功獲取信息系統(tǒng)權限；

d)  成功獲取信息系統(tǒng)服務器權限；

e)  成功植入后門或木馬等惡意應用程序；

f)  成功獲取敏感信息。

7.6  恢復環(huán)境

將被測信息系統(tǒng)環(huán)境恢復至滲透測試前的初始環(huán)境，清理滲透測試過程中生成的文件，還原滲透測 試過程中變更的配置等，包括但不限于：

JR/T 0276—2023

a)  后門或木馬等惡意應用程序；

b)  各類滲透測試工具及配置文件；

c)  賬戶、權限等訪問控制配置；

d)  系統(tǒng)文件、數(shù)據庫等核心節(jié)點操作。

8  滲透測試總結

8.1  概述

整理滲透測試過程和測試結果，對滲透測試全程進行書面記錄，對滲透測試成果進行風險定級并提 供修復方案，形成證券期貨業(yè)信息系統(tǒng)滲透測試報告，交付滲透測試結果。

8.2  滲透測試過程整理

基于滲透測試的進展，整理證券期貨業(yè)信息系統(tǒng)滲透測試的實施全過程，包括滲透測試策劃、滲透 測試設計、滲透測試執(zhí)行等階段涉及的各類操作及使用的技術工具，宜整理匯總并在滲透測試結果文檔 中予以體現(xiàn)。

8.3  滲透測試成果風險定級

根據本文件附錄A《證券期貨業(yè)信息系統(tǒng)滲透測試漏洞風險定級參考》評估滲透測試成果的風險危 害程度，風險等級劃分為超危、高危、中危、低危四個級別，風險等級描述見表 1 。

表 1  風險等級描述

8.4  滲透測試結果文檔撰寫

完整記錄證券期貨業(yè)信息系統(tǒng)滲透測試的全過程，形成滲透測試結果文檔。文檔記錄內容包括滲透 測試策劃、滲透測試設計、滲透測試執(zhí)行、滲透測試總結等各階段涉及的各類操作及使用的技術工具等。 其中滲透測試成果作為滲透測試結果文檔的主體部分宜予以重點詳細描述，主要包括如下內容：

a)  滲透測試成果涉及的風險信息描述及利用截圖；

b)  滲透測試成果涉及的風險成因分析；

c)  滲透測試成果涉及的風險對信息系統(tǒng)的危害描述及針對性有效修復方案；

d)  滲透測試成果涉及的風險總體分析及分類統(tǒng)計；

e)  被測信息系統(tǒng)滲透測試情況總體摘要及信息系統(tǒng)加固建議。

8.5  滲透測試結果交付

JR/T 0276—2023

滲透測試結果文檔為開展?jié)B透測試活動后的關鍵交付物，記錄著證券期貨業(yè)信息系統(tǒng)滲透測試的敏 感數(shù)據。因此存儲、交付過程中必須確保滲透測試結果的機密性，包括：

a)  通過加密存儲介質儲存滲透測試結果；

b)  條件允許時盡可能當面交付滲透測試結果；

c)  明確交付人員，不隨意群發(fā)、轉發(fā)滲透測試結果；

d)  通過互聯(lián)網交付時，壓縮并加密滲透測試結果，若條件允許，進一步限制滲透測試結果讀寫權 限并清理交付痕跡。

9  滲透測試風險管理

9.1  風險分析

鑒于證券期貨業(yè)信息系統(tǒng)滲透測試的特殊性與專業(yè)性，實施過程中會不可避免地引入可預見或不可 預見的技術風險，技術風險包括但不限于：

a)  被測信息系統(tǒng)逃逸，滲透測試活動超出授權范圍；

b)  滲透測試活動導致被測信息系統(tǒng)運行異?；蝈礄C；

c)  滲透測試工具導致被測信息系統(tǒng)所處的網絡環(huán)境異常；

d)  滲透測試活動導致被測信息系統(tǒng)數(shù)據異?；騺G失；

e)  滲透測試人員管理不當，滲透測試成果外泄。

9.2  風險管理

9.2.1  滲透測試人員管理

為緩解證券期貨業(yè)信息系統(tǒng)滲透測試過程中的風險，可在滲透測試準備工作就緒后通過人員管理、 環(huán)境管理、工具管理等管控措施，最大化可控、安全地開展信息系統(tǒng)滲透測試。對參與被測信息系統(tǒng)滲 透測試的個人及團隊行為予以約束，包括但不限于：

a)  團隊全員個人信息備案及職業(yè)背景調查；

b)  滲透測試執(zhí)行前宣貫職業(yè)操守，嚴禁利用職務之便泄露敏感信息；

c)  團隊全員及所屬機構簽署承諾書、保密協(xié)議等；

d)  明確團隊全員宜協(xié)助配合滲透測試期間的應急處置等；

e)  滲透測試活動結束后宜銷毀生成的過程性文件和資料。

9.2.2  滲透測試環(huán)境管理

為防止?jié)B透測試執(zhí)行過程中，因被測信息系統(tǒng)逃逸而引發(fā)滲透測試脫離授權范圍，可通過限制訪問 網絡區(qū)域等訪問控制措施，界定可滲透測試區(qū)域，包括：

a） 設定參與滲透測試的專用 IP 地址，并于滲透測試結束后回收；

b） 限制滲透測試專用 IP 地址訪問被測信息系統(tǒng)邊界以外的網絡區(qū)域；

c） 針對滲透測試專用 IP 地址部署專用數(shù)據防泄漏措施；

d） 對滲透測試專用 IP 地址的網絡訪問行為實施全程監(jiān)控與審計。

9.2.3  滲透測試工具管理

滲透測試通常會嘗試使用各類滲透測試工具，但滲透測試工具因其特殊性，自身可能捆綁有其他惡 意程序，隨意使用滲透工具可能對被測信息系統(tǒng)造成間接不可控的風險。

JR/T 0276—2023

因此在執(zhí)行信息系統(tǒng)滲透測試時，有必要在滲透測試準備工作就緒后，對擬使用的各類滲透測試工 具開展合規(guī)性檢查及使用報備，包括但不限于：

a）滲透測試工具的用途說明；

b）滲透測試工具的獲取途徑；

c）滲透測試工具文件校驗比對；

d）滲透測試工具使用報備。

9.2.4  被測信息系統(tǒng)數(shù)據備份

滲透測試執(zhí)行過程中可能引起信息系統(tǒng)不可預知的運行異常，為確保被測信息系統(tǒng)的完整性與可用 性，開展?jié)B透測試前宜對被測信息系統(tǒng)的重要數(shù)據進行備份，備份內容包括但不限于：

a)  操作系統(tǒng)；

b)  數(shù)據庫；

c)  信息系統(tǒng)配置文件；

d)  信息系統(tǒng)數(shù)據文件。

JR/T 0276—2023

附  錄  A

（資料性）

證券期貨業(yè)信息系統(tǒng)滲透測試漏洞風險定級參考

A.1  漏洞風險定級方法

為體現(xiàn)證券期貨業(yè)交易、監(jiān)管、披露、其他業(yè)務特色，證券期貨業(yè)信息系統(tǒng)滲透測試漏洞風險定級 按GB/T 30279—2020描述的網絡安全漏洞分類分級方法和JR/T 0158—2018描述的證券期貨業(yè)數(shù)據分類 分級方法，通過被利用性、影響程度、環(huán)境因素、業(yè)務重要性四個指標類來定性評估漏洞風險綜合等級。

證券期貨業(yè)信息系統(tǒng)滲透測試漏洞風險綜合等級分為：超危、高危、中危、低危四個級別。漏洞風 險綜合等級由被利用性、影響程度、環(huán)境因素、業(yè)務重要性四個指標類決定。漏洞被利用可能性越高（被 利用性分級越高），影響程度越嚴重（影響程度分級越高），環(huán)境對漏洞影響越敏感（環(huán)境因素分級越 高），業(yè)務數(shù)據重要程度越高（業(yè)務數(shù)據級別標識越高），漏洞風險綜合等級的級別越高（漏洞的危害 程度越大）。漏洞風險綜合定級方法如下：

a)  對被利用性指標進行賦值，根據賦值結果，按照GB/T 30279—2020 中附錄 A 規(guī)定的被利用性 分級表，計算得到漏洞被利用性分級；

b)  對影響程度指標進行賦值，根據賦值結果，按照GB/T 30279—2020 中附錄 B 規(guī)定的漏洞影響 程度分級表，計算得到漏洞影響程度分級；

c)  對環(huán)境因素指標進行賦值，根據賦值結果，按照GB/T 30279—2020 中附錄 C 規(guī)定的環(huán)境因素 分級表，計算得到漏洞環(huán)境因素分級；

d)  對業(yè)務重要性指標進行賦值，根據行業(yè)機構單位性質，按 JR/T 0158—2018 描述的證券期貨業(yè) 數(shù)據分類分級方法和附錄 A，計算得到業(yè)務重要性級別標識；

e)  根據被利用性、影響程度和環(huán)境因素分級結果，按照GB/T 30279—2020 中附錄 D 規(guī)定的技術 分級表和附錄 E 綜合分級表，計算得到漏洞技術分級；

f)  根據漏洞技術分級和業(yè)務重要性級別，計算得到證券期貨業(yè)信息系統(tǒng)滲透測試漏洞風險綜合定 級。

A.2  被利用性

漏洞被利用性指標類反映信息系統(tǒng)漏洞觸發(fā)的技術可能性。被利用性指標類的組成項包括但不限 于：訪問路徑、觸發(fā)要求、權限需求、交互條件，各項指標項的賦值按照GB/T 30279—2020中6.2.1規(guī) 定的要求執(zhí)行。被利用性級別用1至9的數(shù)字表示，數(shù)字越大表示被利用的可能性越高。被利用性分級結 果見GB/T 30279—2020中附錄A規(guī)定。

A.3  影響程度

影響程度指標類反映觸發(fā)漏洞對信息系統(tǒng)造成的損害程度。影響程度根據受漏洞影響的信息系統(tǒng)所 承載信息的保密性、完整性、可用性等三個指標決定。各項指標項的賦值按照GB/T 30279—2020中6.2.2

JR/T 0276—2023

規(guī)定的要求執(zhí)行。不同的影響程度級別用1至9的數(shù)字表示，數(shù)字越大導致的危害程度越高。影響程度分 級結果見GB/T 30279—2020中附錄B規(guī)定。

A.4  環(huán)境因素

環(huán)境因素指標類是綜合考慮信息系統(tǒng)所處的網絡環(huán)境、當前漏洞被利用的技術程度等外部環(huán)境。環(huán) 境因素根據漏洞被利用成本、修復難度、影響范圍等三個指標決定。各項指標項的賦值按照GB/T 30279 —2020中6.2.3規(guī)定的要求執(zhí)行。不同的環(huán)境因素級別用1至9的數(shù)字表示，數(shù)字越大環(huán)境因素導致的漏 洞危害程度越高。環(huán)境因素分級結果見GB/T 30279—2020中附錄C規(guī)定。

A.5  業(yè)務重要性

根據行業(yè)機構信息系統(tǒng)運營或管理活動中產生的數(shù)據類型，按JR/T 0158—2018描述的證券期貨業(yè) 數(shù)據分類分級方法，從信息系統(tǒng)業(yè)務條線出發(fā)，首先對業(yè)務劃分，再對數(shù)據細分，最后對分類后的數(shù)據 確定級別。同時，考慮明確數(shù)據的具體“數(shù)據形態(tài) ”，即所處的信息系統(tǒng)、存儲的媒介等。業(yè)務數(shù)據級 別標識從高到低劃分為：4、3、2、1，與數(shù)據重要程度標識相對應，從高到低劃分為：極高、高、中、 低。根據行業(yè)機構單位性質，按照JR/T 0158—2018中附錄A規(guī)定的證券期貨行業(yè)典型數(shù)據分類分級模板， 計算得到漏洞所處信息系統(tǒng)業(yè)務數(shù)據的重要級別。

A.6  漏洞技術分級

按GB/T 30279—2020描述的漏洞分級方法，根據被利用性、影響程度、環(huán)境因素賦值結果，按GB/T 30279—2020描述的附錄D和E，計算得到漏洞在技術層面的分級結果，漏洞技術分級結果見GB/T 30279 —2020中附錄E規(guī)定。

A.7  漏洞風險綜合定級

證券期貨業(yè)信息系統(tǒng)漏洞風險綜合定級按GB/T 30279—2020描述的漏洞分級方法，綜合考慮信息系 統(tǒng)所屬行業(yè)和業(yè)務特色。按JR/T 0158—2018描述的業(yè)務條線和數(shù)據分類分級方法，分析得到漏洞所在 的信息系統(tǒng)業(yè)務數(shù)據重要程度，再根據漏洞技術分級和業(yè)務重要程度，計算得到證券期貨業(yè)信息系統(tǒng)滲 透測試漏洞風險綜合定級見表A.1。

表 A.1  漏洞風險綜合定級

JR/T 0276—2023

表 A.1  漏洞風險綜合定級（續(xù)）

JR/T 0276—2023

參 考 文 獻

[1]  GB/T 15532—2008  計算機軟件測試規(guī)范

[2]  GB/T 25069—2010  信息安全技術

[3]  GB/T 29246—2017  信息技術  安全技術  信息安全管理體系  概述和詞匯

[4]  GB/T 30279—2020  信息安全技術  網絡安全漏洞分類分級指南

[5]  GB/T 20984—2022  信息技術安全  信息安全風險評估規(guī)范

[6]  JR/T 0071—2012  金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引

[7]  JR/T 0158—2018  證券期貨業(yè)數(shù)據分類分級指引

[8]  JR/T 0175—2019  證券期貨業(yè)軟件測試規(guī)范

[9]  JR/T 0191—2020  證券期貨業(yè)軟件測試指南  軟件安全測試

[10]  JR/T 0192—2020  證券期貨業(yè)移動互聯(lián)網應用程序安全規(guī)范

[11]  JR/T 0199—2020  金融科技創(chuàng)新安全通用規(guī)范

[12]  ISO/IEC TR 20004:2015  Information technology—Security techniques Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045

[13]  ISO/IEC 18045:2008  Information technology—Security techniques—Methodology for IT security evaluation

[14]  斯卡豐K A，奧雷博A D，奧雷波A D 等.信息安全測試與評估技術指南[J].特別出版物  800-115， 國家標準與技術研究所，2008年. Scarfone K A , Orebaugh A D , Orebaugh A D , et al.  Technical Guide to Information Security Testing and Assessment[J]. Special Publication 800-115, National Institute of Standards and Technology, 2008

[15]  PCI DSS 3.2.1 Payment Card Industry (PCI) Data Security Standard

[16]  PTES Penetration Testing Execution Standard

___________________________________