DB21/T 3660-2022 信息系统渗透测试技术规范

DB21/T 3660-2022 Information system penetration testing technical specification

辽宁省地方标准 简体中文 现行 页数:18页 | 格式:PDF

基本信息

标准号
DB21/T 3660-2022
标准类型
辽宁省地方标准
标准状态
现行
中国标准分类号(CCS)
国际标准分类号(ICS)
发布日期
2022-11-30
实施日期
2022-12-30
发布单位/组织
辽宁省市场监督管理局
归口单位
-
适用范围
-

发布历史

文前页预览

研制信息

起草单位:
起草人:
出版信息:
页数:18页 | 字数:- | 开本: -

内容描述

ICS91.120.25

CCSL70

21

辽宁省地方标准

DB21/T3660—2022

信息系统渗透测试技术规范

Specificationforpenetrationtesttechnologyofinformationsystem

2022-11-30发布2022-12-30实施

辽宁省市场监督管理局发布

DB21/T3660—2022

目次

前言.................................................................................II

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4总则...............................................................................2

4.1测试目的.......................................................................2

4.2测试原则.......................................................................2

4.3测试形式.......................................................................3

5技术要求...........................................................................3

5.1测试环境及准备要求.............................................................3

5.2测试工具及准备要求.............................................................3

5.3测试对象.......................................................................4

5.4测试内容和方法.................................................................4

5.5测试流程.......................................................................7

6管理要求...........................................................................9

6.1渗透测试授权...................................................................9

6.2渗透测试过程管理...............................................................9

6.3创新机制......................................................................10

附录A(资料性)渗透测试授权委托书模板..............................................11

附录B(资料性)渗透测试报告样例....................................................13

I

DB21/T3660—2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由辽宁省工业和信息化厅提出并归口。

本文件起草单位:北方实验室(沈阳)股份有限公司、辽宁省检验检测认证中心。

本文件主要起草人:张健楠、李海涛、袁洪朋、刘文志、鲁宁、段晓祥、王海涛、刘兴华、李琳、

张建宇、石绍群、王明俊、牛晓雷、何永建、李开、曹明、张东志、邱学思、叶松、韩燕妮。

本文件发布实施后,任何单位和个人如有问题和意见建议,均可以通过来电和来函等方式进行反馈,

我们将及时答复并认真处理,根据实际情况依法进行评估及复审。

归口管理部门通讯地址:辽宁省工业和信息化厅(沈阳市皇姑区北陵大街45-2号),联系电话:

024-86893258。

标准起草单位通讯地址:北方实验室(沈阳)股份有限公司(沈阳市浑南新区三义街6-1号21层),

联系电话:024-83785841/83785849。

II

DB21/T3660—2022

信息系统渗透测试技术规范

1范围

本文件规定了信息系统渗透测试的总则、技术要求和管理要求。

本文件适用于信息系统渗透测试的实施。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,

仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本

文件。

GB/T20984信息安全技术信息安全风险评估方法

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25069信息安全技术术语

GB/T28448信息安全技术网络安全等级保护测评要求

GB/T31509信息安全技术信息安全风险评估实施指南

GB/T36627信息安全技术网络安全等级保护测试评估技术指南

3术语和定义

GB/T20984、GB/T25069、GB/T31509、GB/T22239、GB/T28448、GB/T36627界定的以及下列术

语和定义适用于本文件。

3.1

网络安全cybersecurity

通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于

稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。

3.2

渗透测试penetrationtest

通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。

3.3

漏洞扫描vulnerabilityscanning

基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现

可利用漏洞的一种安全检测(渗透攻击)行为。

3.4

弱口令weakpassword

容易被他人猜测到或被破解工具破解的口令。

3.5

测试方testingparty

为信息系统提供测试服务的机构或人员。

1

DB21/T3660—2022

3.6

委托方clientparty

信息系统所属的机构或人员。

3.7

SQL注入SQLinjection

web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义

好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗

数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

3.8

安全配置错误securityconfigurationerror

由不安全的默认配置、不完整的临时配置、开源云存储、错误的HTTP标头配置以及包含敏感信息的

详细错误信息所造成的配置错误。

注:包括网络服务、平台、web服务器、应用服务器、数据库、框架、自定义的代码、预安装的虚拟机、容器、存

储等。

4总则

4.1测试目的

利用各种安全测试工具对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击,侵入系统并

获取系统信息并将入侵的过程和细节总结编写成渗透测试报告,由此确定存在的安全威胁,并及时提醒

安全管理员完善安全策略,降低安全风险。

4.2测试原则

4.2.1标准性原则

应按照GB/T31509和GB/T36627的流程进行实施,包括实施阶段和运维阶段的测试工作。

4.2.2全面性原则

在规定的测试范围内,应覆盖指定目标信息系统中的全部服务及每个服务中的全部功能。

4.2.3分级原则

测试过程应对信息系统各项服务及漏洞进行分级管理,以保证信息系统重要应用服务的资源投入。

4.2.4可控性原则

测试过程应按照GB/T31509中的项目管理办法对过程、人员、工具等进行控制,以保证渗透测试安

全可控。

4.2.5最小影响原则

针对处于运维阶段的信息系统,应提前确定合适的测试时间窗口,避开业务高峰期,同时做好被测

目标系统的应急预案。

4.2.6保密性原则

2

DB21/T3660—2022

未经委托方允许,测试方不应向第三方及社会公众泄露与被测信息系统相关的一切信息,包括但不

限于开发及运维人员个人信息以及因测试活动所获取的敏感信息,如网络架构、业务数据、安全漏洞等。

4.2.7及时性原则

测试方应保证漏洞提交的及时性,检测出漏洞与提交漏洞的时间间隔不应超出规定时间,不应出现

漏洞积压的情况。

4.3测试形式

4.3.1渗透测试应按照GB/T28448、GB/T36627以及GB/T20984相关规定,以人工渗透测试为主,

工具漏洞扫描和自评估测试为辅,互为补充。

4.3.2渗透测试实施的组织形式包括但不限于个人测试、团队测试、众测等。

5技术要求

5.1测试环境及准备要求

测试环境及准备要求包括以下内容:

a)渗透测试应提供与生产环境相似的仿真环境,以便进行部分可能影响数据完整

相似标准推荐

更多>