JR/T 0232-2021 银行互联网渗透测试指南
Guidelines for internet penetration test in bank
主要内容
术语和定义
1 渗透测试 penetrationtest;渗透性测试;穿透性测试
以模拟真实攻击的动作,检测发现信息系统存在的技术漏洞,并利用漏洞突破信息系统的安全控制机制,进而评估信息系统面临的实际安全风险的一种测试手段。
2 授权 authorization
通过技术手段界定渗透测试实施范围的过程。
示例:通过防火墙策略仅允许渗透测试实施人员访问测试范围内的信息系统。
3 威胁代理 threat agent
有动机和能力破坏信息系统安全性的人或程序。
示例:企图通过攻击信息系统非法获取资金的黑客团伙。
4 威胁建模 threat modeling
对信息系统的资产、流程、攻击信息系统的主要动机、潜在威胁代理及其能力等进行分析,对相关的主体和关系进行有效组织。
注:威胁建模的目的是构建信息系统面临的最可能攻击场景。
5 敏感信息 sensitive information
由权威机构确定的必须受保护的信息,该信息的泄露、修改、破坏或丢失会对人或事产生可预知的损害。
注:敏感信息的具体分级标准宜参考 JR/T0197—2020。
6 漏洞 vulnerability;脆弱性;弱点
信息系统中可能被攻击者利用的薄弱环节。
7 实施风险 implement risk
渗透测试实施过程中可能对目标信息系统的保密性、完整性、可用性带来的影响。
8 访问控制 access controI
一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。
9 仿真环境 simulation environment
为避免直接在目标信息系统中实施测试所引入的实施风险,仿照目标信息系统搭建且具备测试所需的各项条件的渗透测试实施环境。
示例:业务系统及配置与生产一致的测试环境;生产环境中与生产服务器配置一致但不承载实际业务的模拟服务器;与生产高度一致的网络靶场环境。
10 权限提升 privilege escaIation
在低权限用户状态下,利用信息系统中存在的漏洞突破权限控制,获得该用户原本不具备的操作权限的过程。
示例:利用操作系统漏洞从普通用户权限提升为超级管理员用户权限。
11 现场清理 site cIearing
渗透测试实施完毕后,将目标信息系统恢复到测试前状态的过程。
示例:删除上传到目标信息系统中的测试脚本。
12 应急预案 contingency plan
一种关于备份、应急响应和灾后恢复的计划。
13 保密性 confidentiality
信息对未授权的个人、实体或过程不可用或不泄露的特性。
14 完整性 integrity
准确和完备的特性。
15 可用性 availability
根据授权实体的要求可访问和可使用的特性。
16 遵从性 compliance
遵守指导活动的相关条款的程度。
暂无评论内容