附件1 ICS35.240.40 CCSA11JR 中华人民共和国金融行业标准 JR/T0213—2021 金融网络安全Web应用服务安全测试通用 规范 FinancialcybersecurityGeneralspecificationforsecuritytestingofWebapplication services 2021-02-10发布 2021-02-10实施 中国人民银行发布JR/T0213—2021 I目  次 前言.....................................................................................................................................................................II 引言...................................................................................................................................................................III 1范围...................................................................................................................................................................1 2规范性引用文件...............................................................................................................................................1 3术语、定义和缩略语.......................................................................................................................................1 4原则...................................................................................................................................................................3 5技术要求...........................................................................................................................................................4 6管理要求.........................................................................................................................................................17 附录A（资料性）安全测试报告样例..............................................................................................................19 附录B（资料性）漏洞报告样例......................................................................................................................20 参考文献.............................................................................................................................................................21JR/T0213—2021 II前  言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国人民银行提出。 本文件由全国金融标准化技术委员会（SAC/TC180）归口。 本文件起草单位：中国人民银行科技司、公安部第一研究所、中国金融电子化公司、北京长亭未来 科技有限公司、中国银联股份有限公司、农信银资金清算中心有限责任公司、中国工商银行股份有限公 司、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、交通银行股份 有限公司、广发银行股份有限公司、招商银行股份有限公司、兴业银行股份有限公司、华夏银行股份有 限公司、渤海银行股份有限公司、中国光大银行股份有限公司、中国民生银行股份有限公司、平安银行 股份有限公司、中信银行股份有限公司、上海浦东发展银行股份有限公司、晋商银行股份有限公司、四 川新网银行股份有限公司、江苏银行股份有限公司、重庆银行股份有限公司、盛京银行股份有限公司、 广东华兴银行股份有限公司、广东省农村信用社联合社、长春农村商业银行股份有限公司、中国人民财 产保险股份有限公司、中国平安保险（集团）股份有限公司、新华人寿保险股份有限公司、阳光保险集 团股份有限公司、幸福人寿保险股份有限公司、华泰人寿保险股份有限公司、天安人寿保险股份有限公 司、大童保险销售服务有限公司、国信证券股份有限公司、华泰证券股份有限公司、中国银行保险信息 技术管理有限公司、杭州安恒信息技术股份有限公司、北京神州绿盟科技有限公司、奇安信科技集团股 份有限公司、北京奇虎科技有限公司、深信服科技股份有限公司、北京百度网讯科技有限公司、北京启 明星辰信息安全技术有限公司、亚信科技（成都）有限公司、北京中金安服科技有限公司、上海艾芒信 息科技有限公司。 本文件主要起草人：李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、王涛、胡光俊、唐辉、马男、王 陶然、尹振玺、曹岳、张耀峰、李海威、侯漫丽、曾立环、张晏、陈芳、李强、宋歌、张鹏飞、杨坤、 雷涛、李燕、李钢、代留虎、金建新、刘远欢、李吉慧、张念东、赵乔伟、何启翱、郭斌、徐鹏志、肖 飞、姚仁毅、冯悦扬、宋克亚、尉洪敏、王福舟、李乐天、金驰、王飞、高滢、刘云、邓振江、姚俊先、 边继宗、邵安、崔勤、倪春娟、常明政、于惊涛、丁明明、顾方方、罗英凯、时建军、王心玉、杨韶宁、 刘奕明、张建、刘安蒙、李继斌、张庆华、罗逸枫、周扬、白智勇、秦磊、李翌雯、刘占明、龚杰、江 超、李一萌、李昱希、张鸿宇、杨国栋、黄剑刚、王晓刚、梁露、侯峻、朱毅、江旺、郭显杰、马东辰、 张帆、殷昊南、王勇、张中华、叶猛、毛敏其、邓园园、杜悦艺、马永生、李蕊。JR/T0213—2021 III引  言 Web应用服务是金融信息系统的重要组成部分，是金融机构网络安全的重要保护对象。本文件是在 收集分析、评估检查所发现的金融信息系统Web应用服务安全问题的基础上，针对性提出的安全测试通 用要求，内容涉及金融信息系统Web应用服务安全测试的原则、方法和过程三个方面。 本文件旨在规范和强化现有金融信息系统Web应用服务安全测试内容和方法。本文件既可作为各金 融机构进行Web应用服务安全测试的参考标准，也可以作为行业主管部门、专业测试机构进行检查、检 测的参考依据，用以指导测试人员对金融信息系统Web应用服务进行安全测试。JR/T0213—2021 1金融网络安全Web应用服务安全测试通用规范 1范围 本文件规定了金融信息系统Web应用服务安全测试的通用规范。 本文件适用于指导金融机构进行Web应用服务的安全测试与评估工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文 件。 GB/T20984—2007信息安全技术信息安全风险评估规范 GB/T25069—2010信息安全技术术语 GB/T31509—2015信息安全技术信息安全风险评估实施指南 JR/T0072—2020金融行业网络安全等级保护测评指南 JR/T0168—2020网上银行系统信息安全通用规范 3术语、定义和缩略语 3.1术语和定义 GB/T25069—2010界定的术语和定义以及下列术语和定义适用于本文件。 3.1.1 金融信息系统financialinformationsystem 金融行业相关的应用、服务、信息技术资产或其他信息处理组件。 [来源：GB/T29246—2017，2.39] 3.1.2 网上银行internetbanking 商业银行等银行业金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施 向其客户提供的网上金融服务。 [来源：JR/T0168—2020，3