会员投资者教育 INVESTOR EDUCATION
证券期货业信息系统渗透测试指南
ICS 03.060 CCS A11
JR
中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0276—2023
证券期货业信息系统渗透测试指南
Guidelines for penetration testing of information systems in the securities and futures industry
2023-02-07 发布 2023-02-07 实施
中 国证 券监 督 管理 委 员会 发 布
JR/T 0276—2023
附录 A(资料性) 证券期货业信息系统渗透测试漏洞风险定级参考 9
JR/T 0276—2023
JR/T 0276—2023
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国金融标准化技术委员会证券分技术委员会(SAC/TC1 80/SC4)提出。
本文件由全国金融标准化技术委员会(SAC/TC 180)归 口。
本文件起草单位:中国证券监督管理委员会科技监管局、上交所技术有限责任公司、深圳证券交易 所、上海金融期货信息技术有限公司、中证信息技术服务有限责任公司、国泰君安证券股份有限公司、 华泰证券股份有限公司、光大证券股份有限公司、华福证券有限责任公司、华安基金管理有限公司、杭 州安恒信息技术股份有限公司、三六零科技集团有限公司。
本文件主要起草人:姚前、蒋东兴、周云晖、沙明、樊芳、房慧丽、李佶、张旭、张天意、黄清华、 于钊、冯小根、苑立斌、路一、刘彬、陈凯晖、江旺、刘嵩、甘张生、徐正伟、袁明坤、周亚超、李磊、 杨志。
JR/T 0276—2023
近年来,证券期货业面向互联网的业务趋于多样化,随之而来承载各业务的信息系统所面临的网络 攻击也愈发严峻,并且证券期货业信息系统直接涉及证券账户、资金账户、资金、交易记录等敏感信息, 证券期货业信息系统已然成为国家经济建设的重要基础设施。因此,保障证券期货业信息系统安全已成 为当前行业内紧迫的需求。
本文件为证券期货业提供一套通用的信息系统渗透测试框架,深化渗透测试对于行业信息系统的作 用,更加规范、安全稳定地开展渗透测试工作,提升证券期货行业信息系统的渗透测试能力,保障渗透 测试质量,控制渗透测试实施风险,进一步保障行业信息系统的安全性。
证券期货业信息系统渗透测试是指渗透测试人员从内网侧、互联网侧等通过模拟攻击者的攻击方 法,对信息系统的任何弱点、技术缺陷或漏洞加以分析和主动利用,以期发现和挖掘信息系统中存在的 漏洞,从而评估证券期货业信息系统安全的一种评估方法。本文件可供寻求以通用方法开展证券期货业 信息系统渗透测试的各机构使用,能更加规范、安全稳定地开展信息系统渗透测试工作。
JR/T 0276—2023
本文件提供了在证券期货业信息系统建设过程中开展渗透测试的整体流程,同时提供了在渗透测试 策划、渗透测试设计、渗透测试执行、渗透测试总结、渗透测试风险管理等环节如何保障测试质量、控 制安全风险的操作指南。
本文件适用于证券期货行业机构开展信息系统渗透测试过程中的渗透测试策划、渗透测试设计、渗 透测试执行、渗透测试总结及渗透测试风险管理等工作,可供其他金融机构参考。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。
GB/T 15532—2008 计算机软件测试规范
GB/T 25069—2010 信息安全技术 术语
GB/T 29246—2017 信息技术 安全技术 信息安全管理体系 概述和词汇
GB/T 30279—2020 信息安全技术 网络安全漏洞分类分级指南 JR/T 0158—2018 证券期货业数据分类分级指引
JR/T 0175—2019 证券期货业软件测试规范
GB/T 25069—2010和GB/T 29246—2017界定的以及下列术语和定义适用于本文件。 3.1
渗透测试 penetration test 渗透性测试
模拟真实攻击者的动作,检测发现信息系统存在的安全漏洞,并利用漏洞突破信息系统的安全控制 机制,进而评估信息系统面临的实际安全风险的一种测试手段。
[来源:GB/T 25069—2010,2.3.87,有修改] 3.2
授权 authorization
通过管理方式授予某一主体可实施某些动作的权力范围。
[来源:GB/T 25069—2010,2.1.33,有修改] 3.3
威胁代理 threat agent
有动机和能力破坏信息系统安全性的人或程序。 3.4
JR/T 0276—2023
威胁分析 threat analysis
对信息系统的资产、业务流程、攻击信息系统的主要动机、潜在威胁代理及其能力等进行分析,对 相关的主体和关系进行有效组织。
注:威胁分析的目的是构建信息系统面临的攻击场景。 3.5
敏感信息 sensitive information
由权威机构确定的必须受保护的信息,该信息的泄露、修改、破坏或丢失会对人或事产生可预知的 损害。
[来源:GB/T 25069—2010,2.2.4.7] 3.6
漏洞 vulnerability 脆弱性
弱点
信息系统中可能被攻击者利用的薄弱环节。
[来源:GB/T 25069—2010,2.3.30,有修改] 3.7
访问控制 access control
一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。
[来源:GB/T 25069—2010,2.2.1.42] 3.8
测试环境 testing environment
为避免直接在目标信息系统中实施测试所引入的实施风险,仿照目标信息系统搭建且具备测试所需 的各项条件的渗透测试实施环境。
业务系统及配置与生产一致的测试环境;生产环境中与生产服务器配置一致但不承载实际业务的模拟服务器;与生 产环境高度相似的网络靶场环境。
3.9
权限提升 escalating privileges
在低权限用户状态下,利用信息系统中存在的漏洞突破权限控制,获得该用户原本不具备的操作权 限的过程。
利用操作系统漏洞从普通用户权限提升为 root 权限。 3.10
现场清理 site clearing
渗透测试实施完毕后,清除攻击痕迹,将目标信息系统恢复到测试前状态的过程。 删除上传到目标系统中的渗透测试脚本。
3.11
应急预案 contingency p lan
一种关于备份、应急响应和灾后恢复的计划。
[来源:GB/T 25069—2010,2.2.3.4] 3.12
渗透测试风险 penetration test risk
渗透测试过程中可能对目标信息系统的保密性、完整性、可用性带来的影响。
JR/T 0276—2023
3.13
保密性 confidentiality
信息对未授权的个人、实体或过程不可用或不泄露的特性。 [来源:GB/T 29246—2017,2.12]
3.14
完整性 integrity 准确和完备的特性。
[来源:GB/T 29246—2017,2.40] 3.15
根据授权实体的要求可访问和可使用的特性。 [来源:GB/T 29246—2017,2.9]
相较于传统的应用安全测试以防护者角度按照测试清单逐项分析不同,证券期货业信息系统渗透测 试以攻击者角度不限攻击手段成功渗透信息系统, 以发现信息系统存在安全问题为目标。宜参考GB/T 15532—2008中4.3规定的测试过程和JR/T 0175—2019中4.2.1规定的测试阶段的工作要求,结合行业特 点,宜将证券期货业信息系统渗透测试指南工作流程划分为以下四个阶段:渗透测试策划、渗透测试设 计、渗透测试执行、渗透测试总结。
明确渗透测试需求,根据被测信息系统的安全目标定义渗透测试的深度与广度,包括但不限于明确 渗透测试范围、渗透测试对象、渗透测试时间等。
渗透测试范围即信息系统渗透测试的广度,包括被测信息系统的IP地址、端口、域名、所属网络环 境、业务功能等可能涉及到的关联资产或网络区域。
执行渗透测试前,既定的渗透测试需求如存在变化,宜及时再次明确。
渗透测试对象即信息系统渗透测试的深度,可从多个维度确定被测信息系统的渗透测试对象,具体 如下:
a) 组件作用维度,可分为通信网络、操作系统、中间件、数据库、安全防护设施、应用平台(含 客户端、H5 页面、小程序等)、应用系统;
b) 组件层级维度,可分为前台、中台、后台;
c) 业务功能维度,可分为涉及投资者撮合交易的交易系统、涉及上市公司业务管理的业务系统、 存储大量敏感数据的大数据系统、面向投资者服务的互联网信息系统(如上市服务系统)、面 向内部的办公系统。
渗透测试时间即证券期货业信息系统的渗透时间窗口,包括被测信息系统的授权渗透时间段、渗透 测试开始及截止时间等。
开展渗透测试设计工作,基于已明确的渗透测试需求,根据证券期货业被测信息系统的特征,开展 被测信息系统的信息收集。
根据信息收集结果,分析被测信息系统功能,对信息系统的技术弱点与价值进行评估,判断开展渗 透测试的攻击手法,准备渗透测试工作需要的授权、工具和人员资源。
被测信息系统的信息收集可根据已明确的渗透测试需求,在需求方知晓并认同的情况下,尽可能收 集被测信息系统的各种信息,包括但不限于:
a) IP 地址、域名、接口、应用平台(含客户端、H5 页面、小程序等)等前端信息;
b) 操作系统、系统组件、开放端口等服务器信息;
c) 相关人员基本信息、 日常社交网络等社会工程信息;
d) 已知安全漏洞、配置不当等常见网络安全弱点;
e) 入侵检测设备、访问控制策略等网络安全防御措施。
研判信息系统功能是指研究信息系统承载的业务功能与流程,分析被测信息系统的功能框架与潜在 的技术弱点,包括但不限于:
a) 信息系统功能,例如:身份认证、提供服务、信息展示等;
b) 攻击动机,例如:获取敏感信息、获取系统权限、篡改重要数据等;
c) 可尝试攻击手法,例如:Web 应用入侵、已知漏洞利用、认证绕过等。
通过对被测信息系统技术弱点的判断,确定信息系统渗透测试就绪的准备工作,协调渗透测试资源, 以进一步挖掘被测信息系统的弱点、技术缺陷或漏洞等。渗透测试就绪准备工作宜包括:
a) 渗透测试团队:根据渗透测试需求与对被测信息系统潜在弱点的分析,针对性地配置具有相关 渗透测试经验的人员组成渗透测试团队,例如:Web 安全人员、漏洞挖掘人员、二进制逆向分 析人员、系统内核研究人员等;
b) 渗透测试工具:针对被测信息系统的技术弱点准备相应渗透测试工具,并按需求调整配置文件, 例如: 口令字典、 自动化脚本、漏洞特征库等;
c) 访问控制:按照渗透测试需求验证渗透测试工具与被测信息系统间的网络连通性;
d) 授权与保密:根据渗透测试需求方规定,渗透测试团队签订渗透测试委托书、保密协议等书面 文件,确保行业信息系统被渗透测试时的合规与保密。
JR/T 0276—2023
证券期货业信息系统渗透测试主要以漏洞扫描、人工探测等方式发现安全漏洞,通过人工验证对发 现的安全漏洞进行主动利用,并通过多漏洞联动对被测信息系统实施深度渗透。
根据前期研判的被测信息系统的弱点、技术缺陷或漏洞,利用渗透测试工具,对被测信息系统发起 基于应用层、网络层、系统层等多维度的漏洞扫描,快速探测被测信息系统、组件、服务等相关弱点。
基于漏洞扫描的结果,结合前期对信息系统功能和弱点分析,尝试利用部分重点漏洞对系统进行渗 透,突破信息系统安全防护,从而达到渗透被测信息系统的目的,对信息系统的危害宜包括但不限于:
a) 危害 Web 应用程序提供服务;
b) 危害移动 APP 提供服务;
c) 危害 PC 端应用程序提供服务;
d) 危害访问信息系统的用户主机运行;
e) 危害微信公众号、小程序运行;
f) 泄露涉及证券期货市场稳定的业务数据;
g) 泄露投资者个人隐私信息。
利用已知漏洞对被测信息系统的危害,通过多漏洞联动对信息系统进行深度突破,多级联动扩大单 一漏洞对系统的危害,进一步渗透被测信息系统,并尝试手工挖掘业务逻辑漏洞,获取信息系统关键敏 感信息或业务数据,宜包括但不限于:
a) 获取证券期货业内未披露信息;
b) 获取投资者个人隐私信息;
c) 获取信息系统任意用户或管理权限;
d) 获取信息系统服务器用户权限;
e) 获取信息系统服务器管理员权限;
f) 获取信息系统数据库管理员权限。
根据渗透测试进展,宜及时对取得的渗透成果进行记录或截图,渗透成果包括但不限于:
a) 利用漏洞成功突破信息系统;
b) 利用不当配置成功突破信息系统;
c) 成功获取信息系统权限;
d) 成功获取信息系统服务器权限;
e) 成功植入后门或木马等恶意应用程序;
f) 成功获取敏感信息。
将被测信息系统环境恢复至渗透测试前的初始环境,清理渗透测试过程中生成的文件,还原渗透测 试过程中变更的配置等,包括但不限于:
JR/T 0276—2023
a) 后门或木马等恶意应用程序;
b) 各类渗透测试工具及配置文件;
c) 账户、权限等访问控制配置;
d) 系统文件、数据库等核心节点操作。
整理渗透测试过程和测试结果,对渗透测试全程进行书面记录,对渗透测试成果进行风险定级并提 供修复方案,形成证券期货业信息系统渗透测试报告,交付渗透测试结果。
基于渗透测试的进展,整理证券期货业信息系统渗透测试的实施全过程,包括渗透测试策划、渗透 测试设计、渗透测试执行等阶段涉及的各类操作及使用的技术工具,宜整理汇总并在渗透测试结果文档 中予以体现。
根据本文件附录A《证券期货业信息系统渗透测试漏洞风险定级参考》评估渗透测试成果的风险危 害程度,风险等级划分为超危、高危、中危、低危四个级别,风险等级描述见表 1 。
表 1 风险等级描述
风险等级 | 危害程度 |
超危 | 对信息系统的正常运行造成严重影响,并可获取敏感信息,影响我国金融市场稳定, 造成投资者隐私信息泄露等,且风险可被单一利用,易利用。 |
高危 | 对信息系统的正常运行造成较严重影响,获取信息系统敏感信息,且风险可通过多 种手段被联合利用,易利用。 |
中危 | 对信息系统的正常运行造成中等影响,获取信息系统敏感信息,风险可通过多种手 段被联合利用,但难以利用。 |
低危 | 对信息系统的正常运行影响轻微,仅获取信息系统信息,且无进一步利用价值。 |
完整记录证券期货业信息系统渗透测试的全过程,形成渗透测试结果文档。文档记录内容包括渗透 测试策划、渗透测试设计、渗透测试执行、渗透测试总结等各阶段涉及的各类操作及使用的技术工具等。 其中渗透测试成果作为渗透测试结果文档的主体部分宜予以重点详细描述,主要包括如下内容:
a) 渗透测试成果涉及的风险信息描述及利用截图;
b) 渗透测试成果涉及的风险成因分析;
c) 渗透测试成果涉及的风险对信息系统的危害描述及针对性有效修复方案;
d) 渗透测试成果涉及的风险总体分析及分类统计;
e) 被测信息系统渗透测试情况总体摘要及信息系统加固建议。
JR/T 0276—2023
渗透测试结果文档为开展渗透测试活动后的关键交付物,记录着证券期货业信息系统渗透测试的敏 感数据。因此存储、交付过程中必须确保渗透测试结果的机密性,包括:
a) 通过加密存储介质储存渗透测试结果;
b) 条件允许时尽可能当面交付渗透测试结果;
c) 明确交付人员,不随意群发、转发渗透测试结果;
d) 通过互联网交付时,压缩并加密渗透测试结果,若条件允许,进一步限制渗透测试结果读写权 限并清理交付痕迹。
鉴于证券期货业信息系统渗透测试的特殊性与专业性,实施过程中会不可避免地引入可预见或不可 预见的技术风险,技术风险包括但不限于:
a) 被测信息系统逃逸,渗透测试活动超出授权范围;
b) 渗透测试活动导致被测信息系统运行异常或宕机;
c) 渗透测试工具导致被测信息系统所处的网络环境异常;
d) 渗透测试活动导致被测信息系统数据异常或丢失;
e) 渗透测试人员管理不当,渗透测试成果外泄。
9.2.1 渗透测试人员管理
为缓解证券期货业信息系统渗透测试过程中的风险,可在渗透测试准备工作就绪后通过人员管理、 环境管理、工具管理等管控措施,最大化可控、安全地开展信息系统渗透测试。对参与被测信息系统渗 透测试的个人及团队行为予以约束,包括但不限于:
a) 团队全员个人信息备案及职业背景调查;
b) 渗透测试执行前宣贯职业操守,严禁利用职务之便泄露敏感信息;
c) 团队全员及所属机构签署承诺书、保密协议等;
d) 明确团队全员宜协助配合渗透测试期间的应急处置等;
e) 渗透测试活动结束后宜销毁生成的过程性文件和资料。
9.2.2 渗透测试环境管理
为防止渗透测试执行过程中,因被测信息系统逃逸而引发渗透测试脱离授权范围,可通过限制访问 网络区域等访问控制措施,界定可渗透测试区域,包括:
a) 设定参与渗透测试的专用 IP 地址,并于渗透测试结束后回收;
b) 限制渗透测试专用 IP 地址访问被测信息系统边界以外的网络区域;
c) 针对渗透测试专用 IP 地址部署专用数据防泄漏措施;
d) 对渗透测试专用 IP 地址的网络访问行为实施全程监控与审计。
9.2.3 渗透测试工具管理
渗透测试通常会尝试使用各类渗透测试工具,但渗透测试工具因其特殊性,自身可能捆绑有其他恶 意程序,随意使用渗透工具可能对被测信息系统造成间接不可控的风险。
JR/T 0276—2023
因此在执行信息系统渗透测试时,有必要在渗透测试准备工作就绪后,对拟使用的各类渗透测试工 具开展合规性检查及使用报备,包括但不限于:
a)渗透测试工具的用途说明;
b)渗透测试工具的获取途径;
c)渗透测试工具文件校验比对;
d)渗透测试工具使用报备。
9.2.4 被测信息系统数据备份
渗透测试执行过程中可能引起信息系统不可预知的运行异常,为确保被测信息系统的完整性与可用 性,开展渗透测试前宜对被测信息系统的重要数据进行备份,备份内容包括但不限于:
a) 操作系统;
b) 数据库;
c) 信息系统配置文件;
d) 信息系统数据文件。
JR/T 0276—2023
为体现证券期货业交易、监管、披露、其他业务特色,证券期货业信息系统渗透测试漏洞风险定级 按GB/T 30279—2020描述的网络安全漏洞分类分级方法和JR/T 0158—2018描述的证券期货业数据分类 分级方法,通过被利用性、影响程度、环境因素、业务重要性四个指标类来定性评估漏洞风险综合等级。
证券期货业信息系统渗透测试漏洞风险综合等级分为:超危、高危、中危、低危四个级别。漏洞风 险综合等级由被利用性、影响程度、环境因素、业务重要性四个指标类决定。漏洞被利用可能性越高(被 利用性分级越高),影响程度越严重(影响程度分级越高),环境对漏洞影响越敏感(环境因素分级越 高),业务数据重要程度越高(业务数据级别标识越高),漏洞风险综合等级的级别越高(漏洞的危害 程度越大)。漏洞风险综合定级方法如下:
a) 对被利用性指标进行赋值,根据赋值结果,按照GB/T 30279—2020 中附录 A 规定的被利用性 分级表,计算得到漏洞被利用性分级;
b) 对影响程度指标进行赋值,根据赋值结果,按照GB/T 30279—2020 中附录 B 规定的漏洞影响 程度分级表,计算得到漏洞影响程度分级;
c) 对环境因素指标进行赋值,根据赋值结果,按照GB/T 30279—2020 中附录 C 规定的环境因素 分级表,计算得到漏洞环境因素分级;
d) 对业务重要性指标进行赋值,根据行业机构单位性质,按 JR/T 0158—2018 描述的证券期货业 数据分类分级方法和附录 A,计算得到业务重要性级别标识;
e) 根据被利用性、影响程度和环境因素分级结果,按照GB/T 30279—2020 中附录 D 规定的技术 分级表和附录 E 综合分级表,计算得到漏洞技术分级;
f) 根据漏洞技术分级和业务重要性级别,计算得到证券期货业信息系统渗透测试漏洞风险综合定 级。
漏洞被利用性指标类反映信息系统漏洞触发的技术可能性。被利用性指标类的组成项包括但不限 于:访问路径、触发要求、权限需求、交互条件,各项指标项的赋值按照GB/T 30279—2020中6.2.1规 定的要求执行。被利用性级别用1至9的数字表示,数字越大表示被利用的可能性越高。被利用性分级结 果见GB/T 30279—2020中附录A规定。
影响程度指标类反映触发漏洞对信息系统造成的损害程度。影响程度根据受漏洞影响的信息系统所 承载信息的保密性、完整性、可用性等三个指标决定。各项指标项的赋值按照GB/T 30279—2020中6.2.2
JR/T 0276—2023
规定的要求执行。不同的影响程度级别用1至9的数字表示,数字越大导致的危害程度越高。影响程度分 级结果见GB/T 30279—2020中附录B规定。
环境因素指标类是综合考虑信息系统所处的网络环境、当前漏洞被利用的技术程度等外部环境。环 境因素根据漏洞被利用成本、修复难度、影响范围等三个指标决定。各项指标项的赋值按照GB/T 30279 —2020中6.2.3规定的要求执行。不同的环境因素级别用1至9的数字表示,数字越大环境因素导致的漏 洞危害程度越高。环境因素分级结果见GB/T 30279—2020中附录C规定。
根据行业机构信息系统运营或管理活动中产生的数据类型,按JR/T 0158—2018描述的证券期货业 数据分类分级方法,从信息系统业务条线出发,首先对业务划分,再对数据细分,最后对分类后的数据 确定级别。同时,考虑明确数据的具体“数据形态 ”,即所处的信息系统、存储的媒介等。业务数据级 别标识从高到低划分为:4、3、2、1,与数据重要程度标识相对应,从高到低划分为:极高、高、中、 低。根据行业机构单位性质,按照JR/T 0158—2018中附录A规定的证券期货行业典型数据分类分级模板, 计算得到漏洞所处信息系统业务数据的重要级别。
按GB/T 30279—2020描述的漏洞分级方法,根据被利用性、影响程度、环境因素赋值结果,按GB/T 30279—2020描述的附录D和E,计算得到漏洞在技术层面的分级结果,漏洞技术分级结果见GB/T 30279 —2020中附录E规定。
证券期货业信息系统漏洞风险综合定级按GB/T 30279—2020描述的漏洞分级方法,综合考虑信息系 统所属行业和业务特色。按JR/T 0158—2018描述的业务条线和数据分类分级方法,分析得到漏洞所在 的信息系统业务数据重要程度,再根据漏洞技术分级和业务重要程度,计算得到证券期货业信息系统渗 透测试漏洞风险综合定级见表A.1。
表 A.1 漏洞风险综合定级
序号 | 漏洞技术分级 | 业务重要性 | 综合定级 |
1 | 超危 | 极高 | 超危 |
2 | 超危 | 高 | 超危 |
3 | 超危 | 中 | 高危 |
4 | 超危 | 低 | 中危 |
5 | 高危 | 极高 | 超危 |
6 | 高危 | 高 | 高危 |
7 | 高危 | 中 | 中危 |
8 | 高危 | 低 | 中危 |
JR/T 0276—2023
表 A.1 漏洞风险综合定级(续)
序号 | 漏洞技术分级 | 业务重要性 | 综合定级 |
9 | 中危 | 极高 | 高危 |
10 | 中危 | 高 | 中危 |
11 | 中危 | 中 | 中危 |
12 | 中危 | 低 | 低危 |
JR/T 0276—2023
[1] GB/T 15532—2008 计算机软件测试规范
[2] GB/T 25069—2010 信息安全技术
[3] GB/T 29246—2017 信息技术 安全技术 信息安全管理体系 概述和词汇
[4] GB/T 30279—2020 信息安全技术 网络安全漏洞分类分级指南
[5] GB/T 20984—2022 信息技术安全 信息安全风险评估规范
[6] JR/T 0071—2012 金融行业信息系统信息安全等级保护实施指引
[7] JR/T 0158—2018 证券期货业数据分类分级指引
[8] JR/T 0175—2019 证券期货业软件测试规范
[9] JR/T 0191—2020 证券期货业软件测试指南 软件安全测试
[10] JR/T 0192—2020 证券期货业移动互联网应用程序安全规范
[11] JR/T 0199—2020 金融科技创新安全通用规范
[12] ISO/IEC TR 20004:2015 Information technology—Security techniques Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045
[13] ISO/IEC 18045:2008 Information technology—Security techniques—Methodology for IT security evaluation
[14] 斯卡丰K A,奥雷博A D,奥雷波A D 等.信息安全测试与评估技术指南[J].特别出版物 800-115, 国家标准与技术研究所,2008年. Scarfone K A , Orebaugh A D , Orebaugh A D , et al. Technical Guide to Information Security Testing and Assessment[J]. Special Publication 800-115, National Institute of Standards and Technology, 2008
[15] PCI DSS 3.2.1 Payment Card Industry (PCI) Data Security Standard
[16] PTES Penetration Testing Execution Standard
___________________________________