T/ZFIDA 0005-2024 基于模糊测试技术的金融云未知漏洞检测框架

范围:本文件适用于金融机构、检测认证机构等对金融云平台和云上应用系统进行未知漏洞检测工作; 主要技术内容:随着金融行业的数字化转型加速，云平台成为金融业机构经营管理的IT基础设施，基于云平台的大数据、区块链、人工智能等技术快速发展、广泛应用，推动金融行业与前沿科技科技的深度融合。然而，在享受技术红利的同时，针对金融云平台及云上应用的安全威胁也不断升级，因漏洞引发的攻击和信息泄露等安全隐患，成为金融云当前发展亟需正面的问题。鉴于此，本标准旨在针对云平台和云上应用提出一套未知漏洞检测方法，引入模糊测试技术作为检测方法。通过向目标系统提供非预期的输入数据，揭示潜在的安全弱点和未预见的错误状态，以期尽量提前发现内存漏洞、虚机逃逸、容器逃逸等高危漏洞。本标准将为金融及其他行业中开展云上未知漏洞检测提供指导，帮助相关机构有效地实施云上应用和云基础设施的安全检测认证等工作，并结合有效的漏洞管理策略，形成高效应对各种已知与未知安全威胁的能力