《云計算平臺滲透測試實施指南》編制說明一、工作概況目的意義自《中華人民共和國網(wǎng)絡安全法》出臺以來，國家陸續(xù)出臺了一法律法規(guī)來強調(diào)網(wǎng)絡安全的重要性，包括《關鍵信息基礎設施安全保護條例》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等，尤其是黨的二十大報告提出，要構建新一代信息技術等一批新的增長引擎，打造具有國際競爭力的數(shù)字產(chǎn)業(yè)集群。隨著數(shù)字化轉型的加速，云計算平臺已成為國家關鍵信息基礎設施的重要組成部分，確保云計算平臺的安全性對于維護國家網(wǎng)絡安全至關重要。隨著云計算技術的廣泛應用，云計算平臺的安全問題日益突出。滲透測試是評估和提升云計算平臺安全性的重要手段。通過對云計算平臺進行滲透測試，以模擬黑客的攻擊方法，主動分析云計算平臺的任何弱點、技術缺陷或漏洞。這有助于發(fā)現(xiàn)系統(tǒng)中存在的安全隱患和問題，從而及時進行修復，提高系統(tǒng)的安全性。滲透測試其主要目的在于驗證整個云計算平臺的技術安全性。通過滲透測試，可以在技術層面定性地分析系統(tǒng)的安全性，從而確保平臺在復雜的應用環(huán)境中能正常運行而不至于導致安全問題。同時可以及時發(fā)現(xiàn)并解決安全問題，確保平臺在遭受攻擊時能夠保持業(yè)務連續(xù)性，避免因安全問題導致的業(yè)務中斷和數(shù)據(jù)泄露。目前，在國家層面尚未建立成熟的滲透測試相關標準的情況下，需要結合云計算平臺的特點，針對性地制定《云計算平臺滲透測試實施指南》，對云計算平臺滲透測試的具體實施提出指導性建議，填補云計算平臺滲透測試標準化領域的空白，明確云計算平臺滲透測試實施的過程和方法，提高各類滲透測試機構或被測單位對云計算平臺滲透測試項目的監(jiān)控與管理水平，推動云計算平臺滲透測試項目組織、實施、驗收等工作的順利開展，使云計算平臺滲透測試工作系統(tǒng)化、規(guī)范化、標準化，最終有效提升云計算平臺的安全水平，促進云計算產(chǎn)業(yè)持續(xù)健康發(fā)展。任務來源目前，云計算相關指南類標準主要為國家標準，研究方向主要集中在云計算服務安全、云服務采購、云平臺間應用和數(shù)據(jù)遷移、服務測試、性能測試、能力評估、質(zhì)量評價等方面，以支撐云服務監(jiān)管部門、規(guī)范云防護服務市場。滲透測試相關標準主要為地方標準和行業(yè)標準，研究方向主要側重于一般信息系統(tǒng)和銀行信息系統(tǒng)等方面，國家層面亦尚未建立成熟的滲透測試相關標準。因此，按照陜西省市場監(jiān)督管理局《關于下達2023年度陜西省地方標準制修訂項目計劃的通知》（陜市監(jiān)函〔2023〕410號）要求，成立編制組開展陜西省地方標準《云計算平臺滲透測試實施指南》編制工作（項目編號：SDBXM011-2023），為云計算平臺運營機構或第三方服務機構提供提供操作指導，保障云計算平臺滲透測試實施質(zhì)量，規(guī)范滲透測試項目的組織、實施和驗收等。承擔單位陜西省網(wǎng)絡與信息安全測評中心陜西正觀政務信息技術研究院有限公司陜西中認信安技術服務有限公司陜西省信息化工程研究院主要工作過程自本標準編制任務下達后，陜西省網(wǎng)絡與信息安全測評中心、陜西正觀政務信息技術研究院有限公司、陜西中認信安技術服務有限公司、陜西省信息化工程研究院聯(lián)合成立標準起草組，明確了工作指導思想，制定了工作原則，確定了起草組成員和任務分工。起草組先后組織成員對國家標準化管理委員會發(fā)布的GB/T31168-2023《信息安全技術云計算服務安全能力要求》、GB/T25069-2022《信息安全技術術語》、GB/T28448-2019《信息安全技術網(wǎng)絡安全等級保護測評要求》等相關標準進行了研究學習，并對收集的相關資料進行分析整理。同時，采取專家咨詢，召開座談會等形式，對擬制定標準的內(nèi)容、范圍、適用性等進行了充分研討，明確了《云計算平臺滲透測試實施指南》的具體內(nèi)容。起草組成員及任務分工姓名性別工作單位任務分工趙少飛男陜西省網(wǎng)絡與信息安全測評中心負責人、組織協(xié)調(diào)、標準文稿初稿撰寫楊帆男陜西省網(wǎng)絡與信息安全測評中心標準文稿初稿撰寫趙首花女陜西正觀政務信息技術研究院有限公司標準文稿初稿撰寫楊向東男陜西省網(wǎng)絡與信息安全測評中心標準文稿初稿撰寫馬卓元女陜西省網(wǎng)絡與信息安全測評中心標準文稿初稿撰寫胡吉祥男陜西省網(wǎng)絡與信息安全測評中心標準文稿初稿撰寫張勇男陜西省信息化工程研究院標準文稿初稿撰寫二、標準編制原則和標準主要內(nèi)容標準編制所遵循的原則本標準編制依據(jù)《中華人民共和國標準化法》和《地方標準制定規(guī)范》的相關規(guī)定。本標準編制遵循適用性、合理性、統(tǒng)一性的原則，系統(tǒng)、全面、科學地提出了云計算平臺滲透測試實施指南。本標準編制遵循面向市場、服務社會，保護環(huán)境，自主制定、及時修訂、不斷完善的原則，可為云計算平臺運營機構或第三方服務機構提供操作指導，規(guī)范滲透測試項目的組織、實施和驗收等。本標準編制遵循公正、公開、透明的原則，廣泛征求意見，并不斷修正、完善標準內(nèi)容。2.標準的結構、要素、技術要求、關鍵指標的確定依據(jù)和主要內(nèi)容為保證標準的科學性、公正性、實用性，除了廣泛征集省內(nèi)外企業(yè)、高校、研究機構的技術專家和學者的意見外，起草組成員連同合作單位形成了產(chǎn)、學、研的權威陣容，在標準制訂過程中做了非常充分的調(diào)查、研究、討論，最終形成了范圍、規(guī)范性引用文件、術語和定義、滲透測試實施概述、準備階段、方案編制階段、現(xiàn)場實施階段、報告編制階段等主要內(nèi)容。三、實證研究標準內(nèi)容是基于起草組成員的學術理論知識和產(chǎn)業(yè)界遇到的實際情況而編制，且有來自省內(nèi)外高校、企業(yè)、研究機構專家的意見和指導，不斷進行修正和完善，并計劃組織開展標準相關應用及效果實施評價，以確保達到預期目標。四、知識產(chǎn)權說明本標準知識產(chǎn)權歸編制單位所有，沒有知識產(chǎn)權爭議。五、采標情況目前，云計算相關指南類標準主要為國家標準，研究方向主要集中在云計算服務安全、云服務采購、云平臺間應用和數(shù)據(jù)遷移、服務測試、性能測試、能力評估、質(zhì)量評價等方面，以支撐云服務監(jiān)管部門、規(guī)范云防護服務市場。滲透測試相關標準主要為地方標準和行業(yè)標準，研究方向主要側重于一般信息系統(tǒng)和銀行信息