中国计算机用户协会发布ICS35.240.40 CCSL67T/CCUA 中国计算机用户协会团体标准 T/CCUA053-2025 金融机构应用系统安全测试规程 Financialinstitution- Applicationsystemsecuritytestingprocedures 2025-09-01发布 2025-10-01实施 全国团体标准信息平台 全国团体标准信息平台 T/CCUA053-2025 I目  次 前  言..............................................................................II 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4缩略语...............................................................................4 5测试原则.............................................................................5 6测试规程.............................................................................5 附录A（规范性）.....................................................................10 附录B（资料性）.....................................................................19 参考文献.............................................................................166 全国团体标准信息平台 T/CCUA053-2025 II前  言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件由中国计算机用户协会提出并归口管理。 本文件起草单位：中国计算机用户协会信息科技审计分会、中国农业银行股份有限公司、新华三技 术有限公司、中国建设银行股份有限公司、华夏银行股份有限公司、上海浦东发展银行股份有限公司、 中国光大银行股份有限公司、渤海银行股份有限公司、九江银行股份有限公司、深圳前海微众银行股份 有限公司、开泰银行（中国）有限公司、浙江农商联合银行股份有限公司、山东重工集团财务有限公司、 中国人寿保险集团股份有限公司、北京安全共识科技有限公司、四维创智（北京）科技发展有限公司、 奇安信网神信息技术（北京）股份有限公司、北京赛博昆仑科技有限公司、上海斗象信息科技有限公司 北京神州绿盟科技有限公司、北京奇虎科技有限公司、北京长亭科技有限公司、远江盛邦（北京）网络 安全科技股份有限公司、南京审计大学、北京信息科技大学、中治研（北京）国际信息技术研究院。 本文件主要起草人：李树尉、何启翱、刘述忠、孟磊、王杰、王明月、张之则、张博森、陈昱瑾、 李之森、王旭东、周旭东、许川、陈德锋、蒋斌、袁庶轶、张璐、卢宏旺、郑长春、朱佳宾、万丹丹、 李城漳、窦春坦、丁伟、陈功昊、方笠、高晋龙、李海龙、贾斌、邬迪、卢中阳、吴竞宇、司红星、颜 诗羚、刘新强、郑文彬、徐钟豪、范晓玥、邵子扬、魏日锐、刘红涛、李者龙、杨坤、郝龙、何文杰、 郭红建、崔国玺、戴明、孙卫东、杨晓平、魏东。 全国团体标准信息平台 T/CCUA053-2025 1金融机构应用系统安全测试规程 1范围 本文件规定了金融行业应用系统安全测试的原则、流程、测试项和方法。适用于B/S架构的应用系 统开展安全测试。 本文件适用于： a)金融机构及其分支机构通过自有团队开展应用系统安全测试的管理工作。 b)金融机构及其分支机构通过外部团队开展应用系统安全测试的管理工作。 注：金融机构包括：银行、保险、证券、基金等金融机构。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅该日期对应的版本适用于本 文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T15843.1-2008信息技术安全技术实体鉴别第1部分：概述 GB/T25069-2020信息安全技术术语 GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇 GB/T30273-2013信息安全技术信息系统安全管理要求 GB/T31509-2015信息安全技术信息安全风险评估实施指南 GB/T36322-2018信息安全技术密码设备应用接口规范 JR/T0171-2020个人金融信息保护技术规范 JR/T0185-2020金融科技创新安全通用规范 3术语和定义 GB/T25069-2022、GB/T30273-2013、GB/T29246-2017界定的以及下列术语和定义适用于本文件。 3.1 应用软件系统applicationsoftwaresystem 对特定业务进行处理的软件系统。 [来源：GB/T25069-2022，3.731] 3.2 应用程序接口applicationprogramminginterface 通过预定义功能访问服务而不关注其设计与实现的接口。 [来源：JR/T0185-2020，3.1] 全国团体标准信息平台 T/CCUA053-2025 23.3 B/S架构（Browser/Serverarchitecture） 一种软件体系结构模式，客户端通过浏览器访问，主要业务逻辑在服务器端运行。 [来源：GB/T25069-2020，3.2.14；GB/T5271.15-2010，3.1.5] 3.4 中间件middleware 分布式系统中实现应用程序或组件间通信与数据交换的软件层。 注：提供消息传递、事务管理等通用服务。 [来源：GB/T30273-2013，2.2] 3.5 应用服务器applicationserver 提供应用程序运行环境的中间件。 注：支持应用程序的开发、部署和运行。 [来源：GB/T30273-2013，2.3] 3.6 应用系统安全测试applicationsecuritytesting 通过技术方法验证应用系统及其运行环境安全质量的过程。 [来源：GB/T29246-2017，4.2.1，有修改] 3.7 安全缺陷securityvulnerability 违背信息安全原则导致可能被恶意利用的系统缺陷。 [来源：GB/T30273-2013，2.1.5] 3.8 泄露disclosure 违反安全策略导致数据被未授权使用的行为。 [来源：GB/T25069-2022，3.670] 3.9 加密encipherment;encryption 对数据进行密码变换产生密文的过程。 [来源：GB/T36322-2018，3.5] 3.10 明文plaintext 全国团体标准信息平台 T/CCUA053-2025 3未加密的信息。 [来源：GB/T15843.1-2008，3.19] 3.11 敏感信息sensitiveinformation 泄露后可能造成用户或机构损失的数据。 [来源：JR/T0171-2020，3.2] 3.12 个人金融信息personalfinancialinformation 金融业机构在业务活动中获取、加工和保存的个人信息。 注：包括账户信息、身份信息、交易信息等。 [来源：JR/T0171-2020，3.1] 3.13 字典攻击dictionaryattack 通过遍历预定义密钥或口令集合猜测凭证的攻击方法。 [来源：GB/T25069-2022，3.813] 3.14 备份文件backupfiles 用于数据恢复的文件副本。 [来源：GB/T25069-2022，3.44] 3.15 命令注入commandinjection 未过滤用户输入导致执行非预期系统命令的漏洞。 [来源：GB/T30273-2013，2.6.5] 3.16 代码注入codeinjection 未严格过滤输入导致执行非预期程序代码的漏洞。 [来源：GB/T30273-2013，2.6.4] 3.17 目录遍历directorytraversal 未校验用户输入导致访问授权范围外文件的漏洞。 [来源：GB/T30273-2013，2.6.8] 3.18 文件包含fileinclusion 全国团体标准信息平台 T/CCUA053-2025 4未过滤参数导致执行非预期代码的文件加载漏洞。 [来源：GB/T30273-2013，2.6.7] 3.19 暴力破解攻击bruteforceattack 通过遍历可能凭证组合获取信息的攻击方法。 [来源：GB/T25069-2022，3.94] 3.20 保密性confidentiality 信息不被未授权访问或泄露的特性。 [来源：GB/T25069-2022，3