JR/T 0214-2021 金融网络安全 网络安全众测实施指南.pdf

  • JR/T 0214-2021  金融网络安全 网络安全众测实施指南.pdf为pdf格式
  • 文件大小:18.8 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2021-03-03
  • 发 布 人: 13648167612
  • 原始文件下载:
  • 立即下载

  • 文档部分内容预览:
  • 众测组织方(以下简称组织方):是在需求方的授权下,负责众测测试方的召集和管理,并提供测 试报告的组织。 组织方宜具备如下条件: 从事相关安全测试或检测评估工作两年以上,无违法记录。 b) 法定代表人及主要业务、技术人员无犯罪记录。 c 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度。 d)对国家安全、社会秩序、公共利益不构成威胁。 组织方宜履行如下义务: 遵守国家有关法律法规和技术标准,提供安全、客观、公正的安全众测服务,保证服务质量, b) 保护在众测活动中知悉的国家秘密、商业秘密和个人隐私。 ) 保障测试人员的身份与背景可靠。 d) 对测试人员进行安全保密教育,与其签订安全保密责任书,规定履行的安全保密义务和承担的 法律责任,并负责检查落实。

    众测测试方(以下简称测试方):是通过自身技术在需求方授权的前提下对测试目标进行安全 助需求方查找计算机系统或网络系统的漏洞的安全测试人员。 测试方宜具备如下条件:

    a)年满18周岁。 b)无违法及犯罪记录。 测试方宜履行如下义务: a)遵守国家有关法律法规和技术标准、需求方和组织方的相关要求,在授权的范围内开展安全众 测服务,提供准确、真实、客观的网络安全漏洞。 b 保护在众测活动中知悉的国家秘密、商业秘密和个人隐私,履行安全保密义务和承担相应的法 律责任。

    监控、申计利 价的组织。 审计方宜具备如下条件: a) 从事相关安全测试审计或评估工作两年以上形位公差标准,无违法记录。 b) 法定代表人及主要业务、技术人员无犯罪记录。 C) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度。 d) 对国家安全、社会秩序、公共利益不构成威胁。 e) 审计方与组织方、测试方宜相互权限隔离。 审计方宜履行如下义务: 遵守国家有关法律法规和技术标准,提供安全、客观、公正的安全众测审计服务,保证服务质 量。 b) 保护在众测活动中知悉的国家秘密、商业秘密和个人隐私。 履行安全保密义务和承担相应的法律责任。

    众测实施过程包括众测准备、众测实施和分析、

    众测准备工作是开展安全众测工作的前提和基础,是整个安全众测过程有效性的保证。众测准备工 作是否充分直接关系到后续工作能否顺利开展。其主要任务是确定安全测试对象、时间范围、众测实施 方案与安全管理方案,完成测试人员的召集和认证审核、准备安全管控平台等众测基础环境,为众测实 施做好准备。

    众测准备的基本工作流程见图1。

    6.3.3明确验收标准

    在明确验收标准任务中,需求方向组织方和审计方明确项目验收标准、漏洞评级标准、奖励计算方 式等安全众测工作的具体验收标准。 输入:网络安全众测协议书。 任务描述:根据需求方与组织方和审计方签订的网络安全众测协议书,需求方向组织方和审计方明 确项目验收标准、漏洞评级标准(见附录C)、奖励计算方式等安全众测工作的具体验收标准。 输出/产品:验收标准。

    6.3.4测试和审计授权

    在测试和审计授权任务中,需求方以书面的形式向组织方和审计方授权众测和众测审计。 输入:网络安全众测协议书。 任务描述:根据需求方与组织方和审计方签订的网络安全众测协议书,需求方向组织方和审计方以 书面的形式向组织方和审计方授权众测和众测审计。 输出/产品:网络安全众测授权委托书(见附录D)

    6.3.5测试人员组织

    在测试人员组织任务中,组织方在需求方的授权和委托下,招募和组织安全测试人员,对安全测试 人员进行实名认证和背景调查。 输入:网络安全众测授权委托书。 任务描述:根据需求方向组织方授予的网络安全众测授权委托书,组织方招募和组织安全测试人员, 对安全测试人员进行实名认证和背景调查。 输出/产品:安全测试人员清单。

    6.3.6保密教育与保密协议

    在保密教育与保密协议任务中,组织方根据需求方对于安全众测项目的要求,对测试人员进行安全 保密宣传和教育培训工作,包括项目测试范围、项目测试时间、项目测试行为准则、安全保密要求等, 与测试人员签署安全保密协议。 输入:网络安全众测授权委托书/安全测试人员清单。 任务描述:组织方根据需求方要求向测试人员进行安全保密宣宜传和教育培训工作,与测试人员签署 安全保密协议, 输出/产品:培训记录,安全保密协议

    6.3.7审计平台准备

    在审计平台准备任务中,审计方按照需求方对于安全众测项目的要求,准备管控与审计平台环境, 以及测试方安全接入所需的账号口令等信息。 输入:网络安全众测授权委托书。 任务描述:根据需求方向审计方授予的网络安全众测授权委托书,审计方准备管控与审计平台环境 以及测试方安全接入所需的账号口令等信息。 输出/产品:审计平台及认证信息

    JR/T 0214—2021

    宜考虑以下工作: a)成立众测项目管理团队,包括项目负责人、漏洞审核处理负责人、安全监测负责人。 与组织方、审计方签订网络安全众测授权委托书及安全保密协议。 ) 明确测试对象、测试时间、测试人员数量、测试人员行为准则、漏洞评级标准、漏洞发现奖励 方式与标准等众测项目实施参数。 d) 建立测试过程中安全监控机制及突发事件应急预案,协调各部门人员做好测试期间的安全监控 和应急响应。 组织开展项目启动会,宜讲项目实施方案,动员内外部做好测试准备工作和测试期间的安全保 障工作。

    宜考虑以下工作: 成立项目实施小组和应急小组,明确项目负责人。 与需求方签署网络安全众测授权委托书及安全保密协议。 对需求方进行认证以及对测试对象进行所有权校验,确保需求方测试对象范围合法,所有权校 验需包括但不限于Web应用服务、移动APP。 对测试方进行个人/企业实名认证,并签署安全保密协议。 通过技能考核设置测试方的准入门槛,同时建立测试方的信誉体系及优胜劣汰机制,对不符合 相关法律法规及不按需求方要求进行测试的测试方进行处罚及清退,确保身份可信、技能可行。 对测试人员进行安全保密宣传和教育培训工作,包括项目测试范围、项目测试时间、测试行为 准则、安全保密要求等,并签署测试协议和安全保密协议。 协助需求方和审计方,完成测试管控平台的账号申请、接入认证账号发放、培训教育等工作

    宜考虑以下工作: a)认真学习项目的相关要求,包括项目测试范围、项目测试时间、项目测试行为准则、安全保密 要求。 b)与组织方签署测试协议和安全保密协议。 C)配合组织方完成身份、技能认证

    宜考虑以下工作: 成立项目实施小组和应急小组,确定项目负责人。 b) 制定安全审计计划,协调审计人员,进行测试前的项目启动会和宣传教育工作。 C 负责众测审计使用的技术平台的准备工作,包括系统环境搭建、稳定性测试、安全性测试、安 全接入账号的创建与配置等。

    JR/T 0214—2021

    输出/产品:已审核安全缺陷/安全漏洞

    7.3.4漏洞修复与复检

    在漏洞整改与复检任务中,需求方对众测过程中发现的有效安全缺陷/安全漏洞,安排相关人员进 行漏洞修复,修复完成后,安排测试人员对漏洞修复情况进行验证。 输入:已审核安全缺陷/安全漏洞。 任务描述:在漏洞整改与复检任务中,需求方对众测过程中发现的有效安全缺陷/安全漏洞,安排 相关人员进行漏洞修复,修复完成后,安排测试人员对漏洞修复情况进行验证,复检完成后送至需求方 进行最终审核,直至彻底消除隐惠。 输出/产品:安全缺陷/安全漏洞复检结果。

    宜考虑以下工作: a)组织系统、网络、安全运维团队做好测试期间的系统、网络、安全的监控工作,发现重大安全 攻击事件或系统服务中断等突发事件,及时启动相应的应急流程。 b 做好众测过程突发事件的应急响应工作,包括事件报告、事件分析、事件处置、评估总结等工 作。 c 委派或委托平台指派项目负责人对项目进行实时跟踪,对提交的漏洞及时进行审核和确认,对 发现的漏洞进行处理及应急响应,严格管理漏洞的生命周期。 d 进行漏洞审核时,宜严格按照协议验收,评定漏洞风险。 组织专项工作人员负责跟踪漏洞的处置修复,对于危害较高的漏洞,组织相关人员对漏洞进行 快速整改修复,并协调漏洞复检工作

    7. 4. 2众测组织方

    宜考虑以下工作: 负责项目实施阶段测试人员的协调、安全管理和项目漏洞的管理工作,包括组织具体测试工作 漏洞的审核处置、突发事件的应急响应和处置工作。 提供有效可靠的沟通平台或工具,供组织方、需求方、测试方、审计方能够进行及时沟通、 C 对需求方提供项目的管理权限。 d)平台存储的漏洞信息,宜对漏洞信息进行加密存储,且宜仅对参与项目人员提供相应的权限, e)确保自身众测平台的安全性,防止因众测平台存在漏洞导致需求方的敏感数据被泄露。 建立测试人员的信誉或积分体系,对不符合相关法律法规及不按需求方要求进行测试的测试方 进行处罚及清退。对违反相关法律法规等损害需求方利益的行为,组织方有责任协助需求方及 执法机关,对测试方的非法测试行为及其造成的后果进行取证。 g 在服务过程中,当需求方和测试方对漏洞的判定不一致时,组织方承担纠纷处理职责。 配合需求方和审计方完成众测安全管理和行为审计工作,突发事件时,应配合需求方和审计方 完成事件的潮源和外置

    a)严格按照项目要求,在授权的时间范围内,对授权范围内的测试对象,遵守测试行为规范,使 用授权范围内的测试方法开展测试工作,包括但不限于: 1) 未经许可不允许超出项目测试范围对内部网络使用扫描器等自动化工具, 2) 未经许可不允许使用高并发测试手段及工具。 未经许可不充许上传具有远程控制功能的恶意程序。 4 未经许可不允许私自进入内网越界访问/算改数据信息。 未经许可不允许进行高风险操作,包括但不仅限于服务器提权操作等。 6) 未经许可不允许对业务造成稳定性、可用性受损的操作行为。 7) 未经许可不允许对交易数据、用户信息等敏感信息进行下载/拖取,收到流量审计系统对 数据拖取行为的报警时应立即停止,并配合组织方和审计方等进行责任追溯。 8 发现的漏洞应立即上报,禁止私自隐藏漏洞。 b) 测试方实施有可能导致系统机密性、完整性、可用性受到重大影响的操作时,向组织方和需求 方报备,在征得需求方的同意后再进行此类操作。 C 严格按照项目的保密要求,对渗透测试中可能获取的少量网络拓扑信息、应用代码、数据、漏 洞等应严格保密,不得用于其他途径,并在项目验收后及时删除。 d) 提交真实且描述清晰的澜洞信息

    宜考虑以下工作: a)配合组织方和需求方对测试方未授权行为进行审计,审计方保存原始流量日志以满足追溯要 求。 6 负责众测安全接入和管控系统的运行维护工作,保证系统的稳定平稳运行。 负责解决测试人员在测试过程中遇到众测安全接入和管控系统相关的问题。 d 记录测试人员访问信息,包括众测环境系统/账号的登录、登出等关键时间,以及众测项目测 试时对众测系统所做的行为,包括用户ID、时间、事件类型、操作的资源、操作的结果、访 问发起端的地址或标识。 e 审计方的审计系统向需求方开放,即需求方有权对测试人员的行为进行实时审计、检查。 f)负责测试过程中测试人员的安全监控工作,发现异常及时通知需求方和组织方。 g 负责测试过程中,测试人员安全接入账号的管理工作,包括账号暂停、账号恢复、项目暂停、 项目恢复等。 发生突发事件时,协助需求方进行突发事件的溯源分析和应急响应工作

    分析与报告编制是给出安全众测工作结果的活动,是安全众测工作的综合评价活动。其主要任 据安全众测和众测审计结果,提交测试报告和审计报告,分析安全众测工作的质量和效果以及安 过程中测试人员行为的合规性

    分析与报告编制的基本工作流程见图3。

    JR/T 02142021

    在项目验收任务中,需求方根据项目前期确认的验收标准和交付物,组织项目验收工作。 输入:项目验收标准/项目交付物 任务描述:需求方根据项目前期确认的验收标准和交付物,组织项目验收工作。 输出/产品:验收报告。

    宜考虑以下工作: a)对审计方提供的审计报告进行分析总结和研判,识别违规行为和操作。 b) 根据组织方提供的测试报告和审计方提供的安全审计报告,对生产系统进行复检,检查测试留 存的相关木马后门是否清理。 C)根据项目前期确认的验收标准和交付物,组织项目验收工作

    宜考虑以下工作: a)以测试报告的形式交付测试成果。 b)配合需求方完成项目验收工作

    宜考虑以下工作: a)以测试报告的形式交付测试成果 b)配合需求方完成项目验收工作。

    宜考虑以下工作: a)协助组织方完成测试报告编制。 b)清除上传的木马、后门、工具等,并将添加或修改的测试账号恢复原状

    宜考虑以下工作: a)对测试过程中留存的日志等记录进行审计。 编写安全审计报告,安全审计报告的内容包括但不限于: 1)审计测试人员是否按照要求使用授权的测试接入途径进行安全测试。 2 审计整体的测试过程,量化测试人员测试工作量、测试目标范围。 3)审计测试人员使用的攻击手法。 c)审计测试人员的高风险行为操作,溯源攻击过程。 向需求方交付审计报告,说明安全测试审计情况,帮助需求方提升对测试方的管控能力。 配合需求方完成项目验收工作。 审计测试方是否清除测试过程中上传的木马、后门、工具等以及添加或修改的测试账号是否恢 复。 备份测试流量和行为等审计信息,建议保存6个月以上,以满足安全众测后期事件溯源的需要

    JR/T 0214—2021

    附录A (资料性) 网络安全众测协议书

    相关方的权利和义务宜包括但不仅限于以下内容 1)需求方授权组织方及审计方开展安全众测工作,并授权组织方组织测试方进行测试的权 利,授权审计方对测试方进行审计的权利。 2 需求方对需要测试、审计的服务范围内的域名/IP/系统拥有合法、正当、适当的权利或已 获得必要的授权,需求方有权授权或委托组织方、测试方、审计方对服务范围内的域名/IP 系统进行测试、审计。 3) 每次测试服务周期内,组织方对漏洞及漏洞评级结果进行初步确认,需求方对漏洞及漏洞 评级结果进行最终确认,测试方对结果存在异议的,可以再次审核、评级,如未在约定期 限内提出异议的,均视为对本次漏洞及漏洞评级结果的确认。 4) 每次测试服务结束后,测试方协助组织方编写漏洞详情报告、组织方向需求方提供漏洞详 情报告,审计方向需求方提供审计报告,漏洞详情报告、审计报告不合格的,需求方有权 要求修订。 信息安全宜包括但不仅限于以下内容: 1 为满足需求方实际需求,加强对需求方金融信息系统的安全保护,组织方、审计方接受需 求方的委托和授权,按照法律规定、本协议书约定、需求方的指令对待测系统进行组织漏 洞测试和审计。 2 组织方宜对测试方进行保密教育培训。 3 测试方不宜进行破坏性操作,如删除目标系统文件、修改和下载数据库数据、损坏引导扇 区、主动扩散、感染文件、造成服务器岩机等操作,不宜使用具有破坏性和感染性的病毒、 瑞虫和木马。 4) 测试方按要求接收审计方审计,审计方如果发现异常,有权通知组织方,叫停测试的攻击 行为。 知识产权宜包括但不仅限于以下内容: 1) 需求方、组织方、测试方、审计方均应保护其他方的知识产权,未经对方书面同意,任何 一方不得将对方的资料及文件擅自修改、复制、向第三方转让或用于本协议书之外的其他 目的。 2) 需求方、组织方、测试方、审计方各自拥有本协议书生效前已经存在并合法拥有或控制的 所有知识产权。 3)合作中产生的知识产权归属及使用,需求方、组织方、测试方、审计方宜通过具体合作协 议补充规定。 1 保密条款包括但不仅限于以下内容: 1) 需求方、组织方、审计方、测试方对缔结和履行本协议书过程中获知的其他方的专有信息 承担保密义务。未经书面许可,任何一方不得以明示或暗示的任何方式,或以任何媒体、 宣传渠道包括但不限于官方网站、报纸、宣传材料、广播、电视、杂志等,发布与相关方 的任何合作信息。合作信息包括但不限于各方的合作关系、合作领域、合作金额、当前合

    JR/T0214—2021 作项目、客户信息,各方正在或即将进行某种商、缔结某种合作关系的可能性,或各方 即将缔结、已缔结,或已终止某种合作关系的事实等, 2 双方所承担的保密义务不因本协议书的无效、履行完毕、终止或解除而免除,保密期限为 无限期的,直至相关信息实际已经合法公开为止。

    给排水图纸JR/T 0214—2021

    安全测试人员参与众测项目需严格按照项目规则进行测试,遵 上业务、不泄路任何 信息的准则开展测试。具体如下: a)提供本人真实有效的身份信息并配合组织方完成身份认证。 b)未经测试需求方许可,不泄露任何项目相关的敏感信息 严格按照项目规定的测试时间,仅通过获得授权的安全接入方式,并仅针对获得明确授权的测 试对象开展测试。 d) 经许可在众测实施过程中可实现非授权访问或用户权限越权,在完成非授权逻辑、越权逻辑验 证时,不再批量获取和留存用户信息和金融信息系统文件信息。 e) 经许可在众测实施过程中可执行数据库查询条件,在获得数据库实例、库表名称等信息证明时, 不再批量查询涉及个人信息、业务信息的详细数据。 f 经许可在众测实施过程中可获得系统主机、设备高权限,在获得当前用户系统环境信息证明时, 不再获取其他用户数据和业务数据信息, g 不利用当前主机或设备作为跳板,对测试对象以外区域进行扫描测试。 h) 应充分估计目标网络、系统的安全余,不进行有可能导致目标网络、主机、设备瘫痪的大流 量、大规模扫描。 未获得需求方的明确授权不执行可导致本地、远程拒绝服务危害的技术验证用例。 J 不执行有可能导致整体业务逻辑扰动、有可能产生用户经济财产损失的技术验证用例 k) 经许可可获得金融信息系统后台功能操作权限,在获得当前用户角色属性证明时,不再利用系 统功能实施编辑、增删、篡改等操作。 经许可可获得系统主机、设备、数据库高权限,在获得当前系统环境信息证明时,不再执行文 件、程序、数据的编辑、增删、算改等操作。 m 经许可可在金融信息系统上传可解析、可执行文件,在获得解析和执行权限逻辑证明时,不驻 留带有控制性目的程序、代码。 n) 及时提交真实完整的漏洞信息,不将同一漏洞拆分提交。 未经需求方许可,不将发现的漏洞信息透漏给任何组织或个人。 D)众测项目完成后,及时删除所获取、留存的项且相关敏感信息

    附录C (资料性) 金融行业漏洞评级参考

    附录C (资料性) 金融行业漏洞评级参考

    JR/T 0214—2021

    络安全众测测试授权委托书样例见下表!

    体育标准附录D (资料性) 网络安全众测授权委托书

    表网络安全众测授权委托书示例

    [1]GB/T29246信息技术安全技术信息安全管理体系概述和词汇 [2】GB/T15532一2008计算机软件测试规范 [3]GB/T28458一2012信息安全技术安全漏洞标识与描述规范 4]GB/T30276一2013信息安全技术信息安全漏洞管理规范 [5]GB/T30279一2013信息安全技术安全漏洞等级划分指南 [6】GB/T32421一2015软件工程软件评审与审核 7】GB/T33561一2017信息安全技术安全漏洞分类 8]JR/T0101一2013银行业软件测试文档规范 [9]JR/T0171一2020个人金融信息保护技术规范

    ....
  • 金融标准
  • 相关专题: 网络安全  

相关下载

常用软件