标准规范下载简介
JR/T 0214-2021 金融网络安全 网络安全众测实施指南.pdf附件2 ICS35.240.40 CCS A 11
IR/T 0214=2021
cyber securitytesting
JR/T 0214—2021
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任JB/T 13533-2018 单动闭式多连杆四点伺服机械压力机 精度.pdf, 本文件由中国人民银行提出。 本文件由全国金融标准化技术委员会(SAC/TC180)归口。 本文件起草单位:中国人民银行科技司、中国工商银行股份有限公司、工银科技有限公司、北京中 金安服科技有限公司、中国银行股份有限公司、中国农业银行股份有限公司、中国建设银行股份有限公 司、中国民生银行股份有限公司、兴业银行股份有限公司、恒丰银行股份有限公司、中央国债登记结算 有限责任公司、华泰证券股份有限公司、海通证券股份有限公司、中国平安保险(集团)股份有限公司、 中国太平洋保险(集团)股份有限公司、普商银行股份有限公司、西安银行股份有限公司、江苏银行股 份有限公司、北京长亭未来科技有限公司、百度时代网络技术(北京)有限公司、北京奇虎科技有限公 同、上海艾芒信息科技有限公司、北京神州绿盟科技有限公司、奇安信科技集团股份有限公司、深信服 科技股份有限公司、亚信科技(成都)有限公司、杭州安恒信息技术股份有限公司、北京启明星辰信息 安全技术有限公司。 本文件主要起草人:李伟、陈立吾、沈筱彦、车珍、咎新、夏磊、王涛、敦宏程、苏建明、王贵智、 蒋家堂、王晓、王金希、郭铮铮、秦磊、俞学浩、何启翱、李远祥、刘红波、宋克亚、詹丹丹、李乐天、 翟海超、张爽、江旺、陆颂华、于惊涛、林利钦、张军、周扬、茹华、王楠、王心玉、马男、祁晓丹、 何源源、凌墨缘、张屹、张帆、赵波、高继明、潘立亚、罗伟、俞斌、孙林
本文件是在收集、分析评估金融机构实施网络安全众测流程以及面临的安全风险点的基础上,形 成的一套网络安全众测实施流程指南,内容涉及网络安全众测组织实施架构、网络安全众测实施流程、 网络安全众测实施流程中各参与方的职责。 本文件旨在规范金融机构网络安全众测的实施流程,指导金融机构在安全可控的前提下开展网络 安全众测。 本文件可作为金融机构网络安全众测实施方法的依据。
本文件是在收集、分析评估金融机构实施网络安全众测流程以及面临的安全风险点的基础上 的一套网络安全众测实施流程指南,内容涉及网络安全众测组织实施架构、网络安全众测实施江 络安全众测实施流程中各参与方的职责。 本文件旨在规范金融机构网络安全众测的实施流程,指导金融机构在安全可控的前提下开展 全众测。 本文件可作为金融机构网络安全众测实施方法的依据
网络安全网络安全众测实施指南
本文件提供了金融信息系统网络安全众测(以下简称安全众测)工作实施过程的指导,包括安全众 测准备、实施、分析与报告编制。 本文件适用于开展安全众测工作的境内金融机构。
下列缩略语适用于本文件。 OwASP:开放式web应用程序安全项目(OpenWebApplicationSecurityProject) SQL:结构化查询语言(StructuredQueryLanguage)
在金融信息系统上线前或生产运行过程中,金融信息系统的运营或使用单位、主管或监管单位委托 专业机构,对金融信息系统实施安全众测,发现并解决潜在的安全问题与隐患,并在此基础上,整改相 关安全问题,以提升安全防护能力,满足业务的安全平稳运行。
JR/T 0214—2021
JR/T 0214—2021
5.2.1测试人员身份背景信赖度
实施安全众测的测试人员来自社会大众或不同的组织机构,对于参与测试的技术人员身份缺少可靠 判断,信赖度偏低。
5.2.2测试人员行为
CJT481-2016标准下载5. 2. 3系统运行
5.2.4敏感信息泄漏
众测实施过程中,有可能造成被测系统的业务数据或状态敏感信息泄露。如针对核心数据库的SQ 注入等操作,造成如客户身份信息、客户账号信息、网络拓扑、IP地址、业务流程、安全漏洞信息、 置参数、运行日志、告警信息等的泄露。
众测需求方(以下简称需求方):是发起安全众测、授权安全众测行为的组织,一般为金融机构。
众测组织方(以下简称组织方):是在需求方的授权下,负责众测测试方的召集和管理,并提供测 试报告的组织。 组织方宜具备如下条件: 从事相关安全测试或检测评估工作两年以上,无违法记录。 b) 法定代表人及主要业务、技术人员无犯罪记录。 c 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度。 d)对国家安全、社会秩序、公共利益不构成威胁。 组织方宜履行如下义务: 遵守国家有关法律法规和技术标准,提供安全、客观、公正的安全众测服务,保证服务质量, b) 保护在众测活动中知悉的国家秘密、商业秘密和个人隐私。 ) 保障测试人员的身份与背景可靠。 d) 对测试人员进行安全保密教育,与其签订安全保密责任书,规定履行的安全保密义务和承担的 法律责任,并负责检查落实。
众测测试方(以下简称测试方):是通过自身技术在需求方授权的前提下对测试目标进行安全 助需求方查找计算机系统或网络系统的漏洞的安全测试人员。 测试方宜具备如下条件:
a)年满18周岁。 b)无违法及犯罪记录。 测试方宜履行如下义务: a)遵守国家有关法律法规和技术标准、需求方和组织方的相关要求,在授权的范围内开展安全众 测服务,提供准确、真实、客观的网络安全漏洞。 b 保护在众测活动中知悉的国家秘密、商业秘密和个人隐私JGJ 125-2016 危险房屋鉴定标准(完整正版、清晰无水印).pdf,履行安全保密义务和承担相应的法 律责任。