【干货】JR/T 0232-2021 银行互联网渗透测试指南

admin 2024年2月24日15:34:50评论12 views字数 1449阅读4分49秒阅读模式

少年,我看你骨骼惊奇,必是练武奇才,将来维护宇宙正义……

我这有失传已久的武林秘籍,看在咱们有缘传授给你,其中包含了各种网络安全专用词汇和术语。这部秘笈共126式,关注公众号练习起来吧!

【干货】JR/T 0232-2021 银行互联网渗透测试指南
【干货】JR/T 0232-2021 银行互联网渗透测试指南
【干货】JR/T 0232-2021 银行互联网渗透测试指南
渗透测试 penetrationtest;
渗透性测试;穿透性测试

以模拟真实攻击的动作,检测发现信息系统存在的技术漏洞,并利用漏洞突破信息系统的安全控制机制,进而评估信息系统面临的实际安全风险的一种测试手段。

[来源:GB/T 250692010,2.3.87,有修改]

【干货】JR/T 0232-2021 银行互联网渗透测试指南
授权 authorization

通过技术手段界定渗透测试实施范围的过程。

示例:通过防火墙策略仅允许渗透测试实施人员访问测试范围内的信息系统。

[来源:GB/T 250692010,2.1.33,有修改]

【干货】JR/T 0232-2021 银行互联网渗透测试指南

威胁代理 threat agent

有动机和能力破坏信息系统安全性的人或程序。

示例:企图通过攻击信息系统非法获取资金的黑客团伙。

【干货】JR/T 0232-2021 银行互联网渗透测试指南

威胁建模 threat modeling

对信息系统的资产、流程、攻击信息系统的主要动机、潜在威胁代理及其能力等进行分析,对相关的主体和关系进行有效组织。

注:威胁建模的目的是构建信息系统面临的最可能攻击场景

【干货】JR/T 0232-2021 银行互联网渗透测试指南

敏感信息 sensitive information

由权威机构确定的必须受保护的信息,该信息的泄露、修改、破坏或丢失会对人或事产生可预知的损害。

注:敏感信息的具体分级标准宜参考 JR/T0197—2020。

[来源:GB/T 25069—2010,2.2.4.7]

【干货】JR/T 0232-2021 银行互联网渗透测试指南

漏洞 vulnerability;脆弱性;弱点

信息系统中可能被攻击者利用的薄弱环节。

[来源:GB/T 250692010,2.3.30,有修改]

【干货】JR/T 0232-2021 银行互联网渗透测试指南
实施风险 implement risk

渗透测试实施过程中可能对目标信息系统的保密性、完整性、可用性带来的影响。

【干货】JR/T 0232-2021 银行互联网渗透测试指南

访问控制 access controI

一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。

[来源:GB/T 250692010,2.2.1.42

【干货】JR/T 0232-2021 银行互联网渗透测试指南
仿真环境 simulation environment

为避免直接在目标信息系统中实施测试所引入的实施风险,仿照目标信息系统搭建且具备测试所需的各项条件的渗透测试实施环境。

示例:业务系统及配置与生产一致的测试环境;生产环境中与生产服务器配置一致但不承载实际业务的模拟服务器;与生产高度一致的网络靶场环境。

【干货】JR/T 0232-2021 银行互联网渗透测试指南

权限提升 privilege escaIation

在低权限用户状态下,利用信息系统中存在的漏洞突破权限控制,获得该用户原本不具备的操作权限的过程。

示例:利用操作系统漏洞从普通用户权限提升为超级管理员用户权限。

【干货】JR/T 0232-2021 银行互联网渗透测试指南

现场清理 site cIearing

渗透测试实施完毕后,将目标信息系统恢复到测试前状态的过程。

示例:删除上传到目标信息系统中的测试脚本。

【干货】JR/T 0232-2021 银行互联网渗透测试指南
应急预案 contingency plan

一种关于备份、应急响应和灾后恢复的计划。

[来源:GB/T 250692010,2.2.3.4]

【干货】JR/T 0232-2021 银行互联网渗透测试指南

保密性 confidentiality

信息对未授权的个人、实体或过程不可用或不泄露的特性。

[来源:GB/T 29246—2017,2.12]

【干货】JR/T 0232-2021 银行互联网渗透测试指南

完整性 integrity

准确和完备的特性。

[来源:GB/T 292462017,2.40]

【干货】JR/T 0232-2021 银行互联网渗透测试指南

可用性 availability

根据授权实体的要求可访问和可使用的特性。

[来源:GB/T 29246—2017,2.9]

【干货】JR/T 0232-2021 银行互联网渗透测试指南

遵从性 compliance

遵守指导活动的相关条款的程度。

【干货】JR/T 0232-2021 银行互联网渗透测试指南

原文始发于微信公众号(大学生网络安全尖锋训练营):【干货】JR/T 0232-2021 银行互联网渗透测试指南

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月24日15:34:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【干货】JR/T 0232-2021 银行互联网渗透测试指南https://cn-sec.com/archives/2115982.html

发表评论

匿名网友 填写信息