DB21T 3660—2022信息系统渗透测试技术规范.pdf

DB21/T3660-2022信息系统渗透测试技术规范1范围本文件规定了信息系统渗透测试的总则、技术要求和管理要求。本文件适用于信息系统渗透测试的实施。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20984信息安全技术信息安全风险评估方法GB/T22239信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T28448信息安全技术网络安全等级保护测评要求GB/T31509信息安全技术信息安全风险评估实施指南GB/T36627信息安全技术网络安全等级保护测试评估技术指南3术语和定义GB/T20984、GB/T25069、GB/T31509、GB/T22239、GB/T28448、GB/T36627界定的以及下列术语和定义适用于本文件。3.1网络安全cybersecurity通过采取必要措施，防花对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网学数据的完整性、保密性、可用性的能力。3.2渗透测试penetration test通过模拟恶意黑客的攻击方法，来评估计算机耐络系统安全的一种评估方法。3.3漏洞扫描vulnerability scanning基于漏洞数据库，通过扫描等手段对指定的远程或者本地计舁机系的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。3.4弱口令weak password容易被他人猜测到或被破解工具破解的口令。3.5测试方testing party为信息系统提供测试服务的机构或人员。