ICS03.060 CCSA11JR 中华人民共和国金融行业标准 JR/T0276—2023 证券期货业信息系统渗透测试指南 Guidelinesforpenetrationtestingofinformationsystemsinthe securitiesandfuturesindustry 2023-02-07发布 2023-02-07实施 中国证券监督管理委员会 发布JR/T0276—2023 I目次 前言..................................................................................I 引言.................................................................................II 1范围...............................................................................1 2规范性引用文件.....................................................................1 3术语和定义.........................................................................1 4总则...............................................................................3 5渗透测试策划.......................................................................3 5.1概述...........................................................................3 5.2渗透测试范围...................................................................3 5.3渗透测试对象...................................................................3 5.4渗透测试时间...................................................................4 6渗透测试设计.......................................................................4 6.1概述...........................................................................4 6.2信息收集.......................................................................4 6.3信息系统功能及技术弱点研判.....................................................4 6.4渗透测试就绪准备...............................................................4 7渗透测试执行.......................................................................4 7.1概述...........................................................................5 7.2漏洞扫描.......................................................................5 7.3漏洞利用.......................................................................5 7.4深度渗透.......................................................................5 7.5成果记录.......................................................................5 7.6恢复环境.......................................................................5 8渗透测试总结.......................................................................6 8.1概述...........................................................................6 8.2渗透测试过程整理...............................................................6 8.3渗透测试成果风险定级...........................................................6 8.4渗透测试结果文档撰写...........................................................6 8.5渗透测试结果交付...............................................................6 9渗透测试风险管理...................................................................7 9.1风险分析.......................................................................7 9.2风险管理.......................................................................7 附录A（资料性）证券期货业信息系统渗透测试漏洞风险定级参考...........................9 A.1漏洞风险定级方法...............................................................9 A.2被利用性.......................................................................9 A.3影响程度.......................................................................9JR/T0276—2023 IIA.4环境因素......................................................................10 A.5业务重要性....................................................................10 A.6漏洞技术分级..................................................................10 A.7漏洞风险综合定级..............................................................10 参考文献.............................................................................12JR/T0276—2023 I前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国金融标准化技术委员会证券分技术委员会（SAC/TC180/SC4）提出。 本文件由全国金融标准化技术委员会（SAC/TC180）归口。 本文件起草单位：中国证券监督管理委员会科技监管局、上交所技术有限责任公司、深圳证券交易 所、上海金融期货信息技术有限公司、中证信息技术服务有限责任公司、国泰君安证券股份有限公司、 华泰证券股份有限公司、光大证券股份有限公司、华福证券有限责任公司、华安基金管理有限公司、杭 州安恒信息技术股份有限公司、三六零科技集团有限公司。 本文件主要起草人：姚前、蒋东兴、周云晖、沙明、樊芳、房慧丽、李佶、张旭、张天意、黄清华、 于钊、冯小根、苑立斌、路一、刘彬、陈凯晖、江旺、刘嵩、甘张生、徐正伟、袁明坤、周亚超、李磊、 杨志。JR/T0276—2023 II引言 近年来，证券期货业面向互联网的业务趋于多样化，随之而来承载各业务的信息系统所面临的网络 攻击也愈发严峻，并且证券期货业信息系统直接涉及证券账户、资金账户、资金、交易