《云計算平臺滲透測試實施指南》編制說明

陜西省地方標(biāo)準(zhǔn)

《云計算平臺滲透測試實施指南》

（征求意見稿）

編制說明

陜西省網(wǎng)絡(luò)與信息安全測評中心

2024年03月05日

陜西省地方標(biāo)準(zhǔn)

《云計算平臺滲透測試實施指南》

編制說明

一、工作概況

1.目的意義

自《中華人民共和國網(wǎng)絡(luò)安全法》出臺以來，國家陪續(xù)

出臺了一法律法規(guī)來強調(diào)網(wǎng)絡(luò)安全的重要性，包括《關(guān)鍵信

息基礎(chǔ)設(shè)施安全保護條例》、《中華人民共和國數(shù)據(jù)安全法

》、《中華人民共和國個人信息保護法》等，尤其是黨的

二十大報告提出，要構(gòu)建新一代信息技術(shù)等一批新的增長引

擎，打造具有國際競爭力的數(shù)字產(chǎn)業(yè)集群。隨著數(shù)字化轉(zhuǎn)型

的加速，云計算平臺已成為國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組

成部分，確保云計算平臺的安全性對于維護國家網(wǎng)絡(luò)安全至

關(guān)重要。

隨著云計算技術(shù)的廣泛應(yīng)用，云計算平臺的安全問題日

益突出。滲透測試是評估和提升云計算平臺安全性的重要手

段。通過對云計算平臺進行滲透測試，以模擬黑客的攻擊方

法，主動分析云計算平臺的任何弱點、技術(shù)缺陷或漏洞。這

有助于發(fā)現(xiàn)系統(tǒng)中存在的安全隱患和問題，從而及時進行修

復(fù)，提高系統(tǒng)的安全性。

滲透測試其主要目的在于驗證整個云計算平臺的技術(shù)

安全性。通過滲透測試，可以在技術(shù)層面定性地分析系統(tǒng)的

安全性，從而確保平臺在復(fù)雜的應(yīng)用環(huán)境中能正常運行而不

至于導(dǎo)致安全問題。同時可以及時發(fā)現(xiàn)并解決安全問題，確

保平臺在遭受攻擊時能夠保持業(yè)務(wù)連續(xù)性，避免因安全問題

導(dǎo)致的業(yè)務(wù)中斷和數(shù)據(jù)泄露。

目前，在國家層面尚未建立成熟的滲透測試相關(guān)標(biāo)準(zhǔn)的

情況下，需要結(jié)合云計算平臺的特點，針對性地制定《云計

算平臺滲透測試實施指南》，對云計算平臺滲透測試的具體

實施提出指導(dǎo)性建議，填補云計算平臺滲透測試標(biāo)準(zhǔn)化領(lǐng)域

的空白，明確云計算平臺滲透測試實施的過程和方法，提高

各類滲透測試機構(gòu)或被測單位對云計算平臺滲透測試項目

的監(jiān)控與管理水平，推動云計算平臺滲透測試項目組織、實

施、驗收等工作的順利開展，使云計算平臺滲透測試工作系

統(tǒng)化、規(guī)范化、標(biāo)準(zhǔn)化，最終有效提升云計算平臺的安全水

平，促進云計算產(chǎn)業(yè)持續(xù)健康發(fā)展。

2.任務(wù)來源

目前，云計算相關(guān)指南類標(biāo)準(zhǔn)主要為國家標(biāo)準(zhǔn)，研究方

向主要集中在云計算服務(wù)安全、云服務(wù)采購、云平臺間應(yīng)用

和數(shù)據(jù)遷移、服務(wù)測試、性能測試、能力評估、質(zhì)量評價等

方面，以支撐云服務(wù)監(jiān)管部門、規(guī)范云防護服務(wù)市場。滲透

測試相關(guān)標(biāo)準(zhǔn)主要為地方標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，研究方向主要側(cè)

2

重于一般信息系統(tǒng)和銀行信息系統(tǒng)等方面，國家層面亦尚未

建立成熟的滲透測試相關(guān)標(biāo)準(zhǔn)。

因此，按照陜西省市場監(jiān)督管理局《關(guān)于下達2023年

度陜西省地方標(biāo)準(zhǔn)制修訂項目計劃的通知》（陜市監(jiān)函

〔2023〕410號）要求，成立編制組開展陜西省地方標(biāo)準(zhǔn)《云

計算平臺滲透測試實施指南》編制工作（項目編號：

SDBXM011-2023）,為云計算平臺運營機構(gòu)或第三方服務(wù)機

構(gòu)提供提供操作指導(dǎo)，保障云計算平臺滲透測試實施質(zhì)量，

規(guī)范滲透測試項目的組織、實施和驗收等。

3.承擔(dān)單位

陜西省網(wǎng)絡(luò)與信息安全測評中心

陜西正觀政務(wù)信息技術(shù)研究院有限公司

陜西中認(rèn)信安技術(shù)服務(wù)有限公司

陜西省信息化工程研究院

4.主要工作過程

自本標(biāo)準(zhǔn)編制任務(wù)下達后，陜西省網(wǎng)絡(luò)與信息安全測評

中心、陜西正觀政務(wù)信息技術(shù)研究院有限公司、陜西中認(rèn)信

安技術(shù)服務(wù)有限公司、陜西省信息化工程研究院聯(lián)合成立標(biāo)

準(zhǔn)起草組，明確了工作指導(dǎo)思想，制定了工作原則，確定了

起草組成員和任務(wù)分工。起草組先后組織成員對國家標(biāo)準(zhǔn)化

管理委員會發(fā)布的GB/T31168-2023《信息安全技術(shù)云計

算服務(wù)安全能力要求》、GB/T25069-2022《信息安全技術(shù)術(shù)

3

語》、GB/T28448-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級俁護

測評要求》等相關(guān)標(biāo)準(zhǔn)進行了研究學(xué)習(xí)，并對收集的相關(guān)資

料進行分析整理。同時，采取專家咨詢，召開座談會等形式,

對擬制定標(biāo)準(zhǔn)的內(nèi)容、范圍、適用性等進行了充分研討，明

確了《云計算平臺滲透測試實施指南》的具體內(nèi)容。

5.起草組成員及任務(wù)分工

姓名性別工作單位任務(wù)分工

負(fù)責(zé)人、組織協(xié)調(diào)、

趙少飛男陜西省網(wǎng)絡(luò)與信息安全測評中心

標(biāo)準(zhǔn)文稿初稿撰寫

楊帆男陜西省網(wǎng)絡(luò)與信息安全測評中心標(biāo)準(zhǔn)文稿初稿撰寫

陜西正觀政務(wù)信息技術(shù)研究院有

趙首花女標(biāo)準(zhǔn)文稿初稿撰寫

限公司

楊向東男陜西省網(wǎng)絡(luò)與信息安全測評中心標(biāo)準(zhǔn)文稿初稿撰寫

馬卓元女陜西省網(wǎng)絡(luò)與信息安全測評中心標(biāo)準(zhǔn)文稿初稿撰寫

胡吉祥男陜西省網(wǎng)絡(luò)與信息安全測評中心標(biāo)準(zhǔn)文稿初稿撰寫

張勇男陜西省信息化工程研究院標(biāo)準(zhǔn)文稿初稿撰寫

—\標(biāo)準(zhǔn)編制原則和標(biāo)準(zhǔn)主要內(nèi)容

1.標(biāo)準(zhǔn)編制所遵循的原則

本標(biāo)準(zhǔn)編制依據(jù)《中華人民共和國標(biāo)準(zhǔn)化法》和《地方

標(biāo)準(zhǔn)制定規(guī)范》的相關(guān)規(guī)定。

本標(biāo)準(zhǔn)編制遵循適用性、合理性、統(tǒng)一性的原則，系統(tǒng)、

全面、科學(xué)地提出了云計算平臺滲透測試實施指南。

本標(biāo)準(zhǔn)編制遵循面向市場、服務(wù)社會，保護環(huán)境，自主

制定、及時修訂、不斷完善的原則，可為云計算平臺運營機

4

構(gòu)或第三方服務(wù)機構(gòu)提供操作指導(dǎo)，規(guī)范滲透測試項目的組

織、實施和驗收等。

本標(biāo)準(zhǔn)編制遵循公正、公開、透明的原則，廣泛征求意

見，并不斷修正、完善標(biāo)準(zhǔn)內(nèi)容。

2.標(biāo)準(zhǔn)的結(jié)構(gòu)、要素、技術(shù)要求、關(guān)鍵指標(biāo)的確定依據(jù)

和主要內(nèi)容

為保證標(biāo)準(zhǔn)的科學(xué)性、公正性、實用性，除了廣泛征集

省內(nèi)外企業(yè)、高校、研究機構(gòu)的技術(shù)專家和學(xué)者的意見外，

起草組成員連同合作單位形成了產(chǎn)、學(xué)、研的權(quán)威陣容，在

標(biāo)準(zhǔn)制訂過程中做了非常充分的調(diào)查、研究、討論，最終形

成了范圍、規(guī)范性引用文件、術(shù)語和定義、滲透測試實施概

述、準(zhǔn)備階段、方案編制階段、現(xiàn)場實施階段、報告編制階

段等主要內(nèi)容。

三、實證研究

標(biāo)準(zhǔn)內(nèi)容是基于起草組成員的學(xué)術(shù)理論知識和產(chǎn)業(yè)界

遇到的實際情況而編制，且有來自省內(nèi)外高校、企業(yè)、研究

機構(gòu)專家的意見和指導(dǎo)，不斷進行修正和完善，并計劃組織

開展標(biāo)準(zhǔn)相關(guān)應(yīng)用及效果實施評價，以確保達到預(yù)期目標(biāo)。

四、知識產(chǎn)權(quán)說明

本標(biāo)準(zhǔn)知識產(chǎn)權(quán)歸編制單位所有，沒有知識產(chǎn)權(quán)爭議。

五、采標(biāo)情況

5

目前，云計算相關(guān)指南類標(biāo)準(zhǔn)主要為國家標(biāo)準(zhǔn)，研究方

向主要集中在云計算服務(wù)安全、云服務(wù)采購、云平臺間應(yīng)用

和數(shù)據(jù)遷移、服務(wù)測試、性能測試、能力評估、質(zhì)量評價等

方面，以支撐云服務(wù)監(jiān)管部門、規(guī)范云防護服務(wù)市場。滲透

測試相關(guān)標(biāo)準(zhǔn)主要為地方標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，研究方向主要側(cè)

重于一般信息系統(tǒng)和銀行信息系