JR∕T 0214—2021 金融网络安全 网络安全众测实施指南(金融)

ID

98FFA60F85F044CE895F5865131C9FC2

文件大小(MB)

0.75

页数:

23

文件格式:

pdf

日期:

2021-12-24

购买:

购买或下载

文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):

附件2,ICS 35.240.40,CCS A 11 JR,中华人民共和国金融行业标准,JR/T 0214—2021,金融网络安全网络安全众测实施指南,Financial cyber security Guidelines of implementation for crowdsourced,cyber security testing,2021 - 02 - 10 发布2021 - 02 - 10 实施,中国人民银行发布,JR/T 0214—2021,I,目 次,前言. II,引言.. III,1 范围 1,2 规范性引用文件. 1,3 术语和定义 1,4 缩略语.. 1,5 众测通则. 1,6 众测准备. 3,7 众测实施. 6,8 分析与报告编制. 9,附录A(资料性) 网络安全众测协议书.12,附录B(资料性) 测试方行为准则参考.14,附录C(资料性) 金融行业漏洞评级参考15,附录D(资料性) 网络安全众测授权委托书..16,参考文献.. 17,JR/T 0214—2021,II,前 言,本文件按照GB/T 1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起,草,请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任,本文件由中国人民银行提出,本文件由全国金融标准化技术委员会(SAC/TC 180)归口,本文件起草单位:中国人民银行科技司、中国工商银行股份有限公司、工银科技有限公司、北京中,金安服科技有限公司、中国银行股份有限公司、中国农业银行股份有限公司、中国建设银行股份有限公,司、中国民生银行股份有限公司、兴业银行股份有限公司、恒丰银行股份有限公司、中央国债登记结算,有限责任公司、华泰证券股份有限公司、海通证券股份有限公司、中国平安保险(集团)股份有限公司、,中国太平洋保险(集团)股份有限公司、晋商银行股份有限公司、西安银行股份有限公司、江苏银行股,份有限公司、北京长亭未来科技有限公司、百度时代网络技术(北京)有限公司、北京奇虎科技有限公,司、上海艾芒信息科技有限公司、北京神州绿盟科技有限公司、奇安信科技集团股份有限公司、深信服,科技股份有限公司、亚信科技(成都)有限公司、杭州安恒信息技术股份有限公司、北京启明星辰信息,安全技术有限公司,本文件主要起草人:李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、王涛、敦宏程、苏建明、王贵智、,蒋家堂、王晓、王金希、郭铮铮、秦磊、俞学浩、何启翱、李远祥、刘红波、宋克亚、詹丹丹、李乐天、,翟海超、张爽、江旺、陆颂华、于惊涛、林利钦、张军、周扬、茹华、王楠、王心玉、马男、祁晓丹、,何源源、凌墨缘、张屹、张帆、赵波、高继明、潘立亚、罗伟、俞斌、孙林,JR/T 0214—2021,III,引 言,本文件是在收集、分析评估金融机构实施网络安全众测流程以及面临的安全风险点的基础上,形,成的一套网络安全众测实施流程指南,内容涉及网络安全众测组织实施架构、网络安全众测实施流程、,网络安全众测实施流程中各参与方的职责,本文件旨在规范金融机构网络安全众测的实施流程,指导金融机构在安全可控的前提下开展网络,安全众测,本文件可作为金融机构网络安全众测实施方法的依据,JR/T 0214—2021,1,金融网络安全网络安全众测实施指南,1 范围,本文件提供了金融信息系统网络安全众测(以下简称安全众测)工作实施过程的指导,包括安全众,测准备、实施、分析与报告编制,本文件适用于开展安全众测工作的境内金融机构,2 规范性引用文件,本文件没有规范性引用文件,3 术语和定义,下列术语和定义适用于本文件,3.1,金融信息系统financial information system,金融行业相关的应用、服务、信息技术资产或其他信息处理组件,[来源:GB/T 29246—2017,2.39],3.2,网络安全众测crowdsourced security testing,企业授权专业机构,召集多名安全测试人员,为企业提供漏洞发现服务,帮助其发现安全漏洞及安,全隐患,并参照服务质量与效果,支付服务费用,4 缩略语,下列缩略语适用于本文件,OWASP:开放式Web应用程序安全项目(Open Web Application Security Project),SQL:结构化查询语言(Structured Query Language),5 众测通则,5.1 众测作用,在金融信息系统上线前或生产运行过程中,金融信息系统的运营或使用单位、主管或监管单位委托,专业机构,对金融信息系统实施安全众测,发现并解决潜在的安全问题与隐患,并在此基础上,整改相,关安全问题,以提升安全防护能力,满足业务的安全平稳运行,JR/T 0214—2021,2,5.2 重点关注的风险项,5.2.1 测试人员身份背景信赖度,实施安全众测的测试人员来自社会大众或不同的组织机构,对于参与测试的技术人员身份缺少可靠,判断,信赖度偏低,5.2.2 测试人员行为,传统的安全测试模式下,测试人员的行为不可见、不可控、不可审计、不可溯源,一旦在安全众测,事中或事后发生安全事件,缺少对事件的定位和溯源条件,5.2.3 系统运行,在安全众测时,需要模拟黑客对设备和系统进行一定的攻击测试工作,可能对系统的运行造成一定,的影响,甚至会影响业务连续性,如OWASP排名前十的操作都具有一定的风险性,5.2.4 敏感信息泄漏,众测实施过程中,有可能造成被测系统的业务数据或状态敏感信息泄露。如针对核心数据库的SQL,注入等操作,造成如客户身份信息、客户账号信息、网络拓扑、IP地址、业务流程、……

……