DB21/T 3660-2022 信息系统渗透测试技术规范
DB21/T 3660-2022 Information system penetration testing technical specification
基本信息
发布历史
-
2022年11月
文前页预览
研制信息
- 起草单位:
- 起草人:
- 出版信息:
- 页数:18页 | 字数:- | 开本: -
内容描述
ICS91.120.25
CCSL70
21
辽宁省地方标准
DB21/T3660—2022
信息系统渗透测试技术规范
Specificationforpenetrationtesttechnologyofinformationsystem
2022-11-30发布2022-12-30实施
辽宁省市场监督管理局发布
DB21/T3660—2022
目次
前言.................................................................................II
1范围...............................................................................1
2规范性引用文件.....................................................................1
3术语和定义.........................................................................1
4总则...............................................................................2
4.1测试目的.......................................................................2
4.2测试原则.......................................................................2
4.3测试形式.......................................................................3
5技术要求...........................................................................3
5.1测试环境及准备要求.............................................................3
5.2测试工具及准备要求.............................................................3
5.3测试对象.......................................................................4
5.4测试内容和方法.................................................................4
5.5测试流程.......................................................................7
6管理要求...........................................................................9
6.1渗透测试授权...................................................................9
6.2渗透测试过程管理...............................................................9
6.3创新机制......................................................................10
附录A(资料性)渗透测试授权委托书模板..............................................11
附录B(资料性)渗透测试报告样例....................................................13
I
DB21/T3660—2022
前言
本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由辽宁省工业和信息化厅提出并归口。
本文件起草单位:北方实验室(沈阳)股份有限公司、辽宁省检验检测认证中心。
本文件主要起草人:张健楠、李海涛、袁洪朋、刘文志、鲁宁、段晓祥、王海涛、刘兴华、李琳、
张建宇、石绍群、王明俊、牛晓雷、何永建、李开、曹明、张东志、邱学思、叶松、韩燕妮。
本文件发布实施后,任何单位和个人如有问题和意见建议,均可以通过来电和来函等方式进行反馈,
我们将及时答复并认真处理,根据实际情况依法进行评估及复审。
归口管理部门通讯地址:辽宁省工业和信息化厅(沈阳市皇姑区北陵大街45-2号),联系电话:
024-86893258。
标准起草单位通讯地址:北方实验室(沈阳)股份有限公司(沈阳市浑南新区三义街6-1号21层),
联系电话:024-83785841/83785849。
II
DB21/T3660—2022
信息系统渗透测试技术规范
1范围
本文件规定了信息系统渗透测试的总则、技术要求和管理要求。
本文件适用于信息系统渗透测试的实施。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T20984信息安全技术信息安全风险评估方法
GB/T22239信息安全技术网络安全等级保护基本要求
GB/T25069信息安全技术术语
GB/T28448信息安全技术网络安全等级保护测评要求
GB/T31509信息安全技术信息安全风险评估实施指南
GB/T36627信息安全技术网络安全等级保护测试评估技术指南
3术语和定义
GB/T20984、GB/T25069、GB/T31509、GB/T22239、GB/T28448、GB/T36627界定的以及下列术
语和定义适用于本文件。
3.1
网络安全cybersecurity
通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于
稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
3.2
渗透测试penetrationtest
通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。
3.3
漏洞扫描vulnerabilityscanning
基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现
可利用漏洞的一种安全检测(渗透攻击)行为。
3.4
弱口令weakpassword
容易被他人猜测到或被破解工具破解的口令。
3.5
测试方testingparty
为信息系统提供测试服务的机构或人员。
1
DB21/T3660—2022
3.6
委托方clientparty
信息系统所属的机构或人员。
3.7
SQL注入SQLinjection
web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义
好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗
数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
3.8
安全配置错误securityconfigurationerror
由不安全的默认配置、不完整的临时配置、开源云存储、错误的HTTP标头配置以及包含敏感信息的
详细错误信息所造成的配置错误。
注:包括网络服务、平台、web服务器、应用服务器、数据库、框架、自定义的代码、预安装的虚拟机、容器、存
储等。
4总则
4.1测试目的
利用各种安全测试工具对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击,侵入系统并
获取系统信息并将入侵的过程和细节总结编写成渗透测试报告,由此确定存在的安全威胁,并及时提醒
安全管理员完善安全策略,降低安全风险。
4.2测试原则
4.2.1标准性原则
应按照GB/T31509和GB/T36627的流程进行实施,包括实施阶段和运维阶段的测试工作。
4.2.2全面性原则
在规定的测试范围内,应覆盖指定目标信息系统中的全部服务及每个服务中的全部功能。
4.2.3分级原则
测试过程应对信息系统各项服务及漏洞进行分级管理,以保证信息系统重要应用服务的资源投入。
4.2.4可控性原则
测试过程应按照GB/T31509中的项目管理办法对过程、人员、工具等进行控制,以保证渗透测试安
全可控。
4.2.5最小影响原则
针对处于运维阶段的信息系统,应提前确定合适的测试时间窗口,避开业务高峰期,同时做好被测
目标系统的应急预案。
4.2.6保密性原则
2
DB21/T3660—2022
未经委托方允许,测试方不应向第三方及社会公众泄露与被测信息系统相关的一切信息,包括但不
限于开发及运维人员个人信息以及因测试活动所获取的敏感信息,如网络架构、业务数据、安全漏洞等。
4.2.7及时性原则
测试方应保证漏洞提交的及时性,检测出漏洞与提交漏洞的时间间隔不应超出规定时间,不应出现
漏洞积压的情况。
4.3测试形式
4.3.1渗透测试应按照GB/T28448、GB/T36627以及GB/T20984相关规定,以人工渗透测试为主,
工具漏洞扫描和自评估测试为辅,互为补充。
4.3.2渗透测试实施的组织形式包括但不限于个人测试、团队测试、众测等。
5技术要求
5.1测试环境及准备要求
测试环境及准备要求包括以下内容:
a)渗透测试应提供与生产环境相似的仿真环境,以便进行部分可能影响数据完整
推荐标准
- DB13/T 2338.2-2016 谷子抗病虫性鉴定技术规程 第2部分:谷瘟病 2016-05-23
- DB13/T 2338.5-2016 谷子抗病虫性鉴定技术规程 第5部分:线虫病 2016-05-23
- DB13/T 2356-2016 黄秋葵露地栽培技术规程 2016-05-23
- DB13/T 2338.4-2016 谷子抗病虫性鉴定技术规程 第4部分:粒黑穗病 2016-05-23
- DB13/T 2328-2016 钢铁企业通用质量要求 2016-06-02
- DB13/ 2322-2016 工业企业挥发性有机物排放控制标准 2016-02-24
- DB13/T 2338.3-2016 谷子抗病虫性鉴定技术规程 第3部分:白发病 2016-05-23
- DB13/T 2344.1-2016 公共资源交易服务规范第1部分:总则 2016-05-23
- DB13/T 2338.1-2016 谷子抗病虫性鉴定技术规程 第1部分:谷锈病 2016-05-23
- DB13/T 2329-2016 钢铁企业通用技术要求 2016-06-02