附件9 ICS35.240.40 CCS A 11 JIR 中华人民共和国金融行业标准 JR/T02322021 银行互联网渗透测试指南 Guidelines for internet penetration test in bank 2021-07-22发布 2021-07-22实施 中国人民银行发布 JR/T0232—2021 目 次 前言 III 引言 .IV 1范围 2规范性引用文件 3术语和定义 4概述, 3 5渗透测试策划 3 5.1概述. 3 5.2确定测试范围 .3 5.3确定测试引用文档 3 5.4确定测试项 .4 5.5确定被测试特性和不被测试特性 .........4 5.6确定测试方法与测试通过准则 4 5.7确定暂停准则和恢复条件 .4 5.8测试交付项 5.9确定测试活动、任务与进度 4 5.10明确环境需求 .5 5.11分配职责、权限和各部门间的工作衔接 5.12明确人员配备和培训目标 .5 5.13明确风险和应急措施. .5 5.14确定质量保证过程 5.15测试策划阶段文档 .5 6渗透测试设计. 6.1概述 6 6.2确定测试范围 .6 6.3被测试特征、测试方法与通过准则 .6 6.4测试用例 6.5测试环境 7 6.6测试过程描述.. ...9 6.7测试就绪评审 6.8测试设计阶段文档 .10 7渗透测试执行10 7.1概述 .10 7.2信息收集 .10 7.3威胁建模 11 I JR/T0232—2021 7.4漏洞发现 12 7.5渗透攻击 .....14 7.6测试执行阶段文档 .15 8渗透测试总结 8.1概述.. .....15 8.2测试数据分析 .15 8.3差异分析 ..15 8.4风险决策根据分析.15 8.5报告编写 .16 8.6测试评审 17 8.7测试总结阶段文档......17 附录A(资料性)银行互联网渗透测试过程要点清单 18 附录B(资料性)银行互联网渗透测试漏洞风险定级参考.21 参考文献 26 II ...
JR/T 0232-2021 银行互联网渗透测试指南.pdf
