本報記者 吳曉璐
近日���,證監(jiān)會發(fā)布《證券期貨業(yè)軟件測試指南軟件安全測試》《證券期貨業(yè)移動互聯(lián)網(wǎng)應(yīng)用程序安全規(guī)范》《證券期貨業(yè)于銀行間業(yè)務(wù)數(shù)據(jù)交換協(xié)議第1部分:三方存管、銀期轉(zhuǎn)賬和結(jié)售匯業(yè)務(wù)》等三項金融行業(yè)標準���,自公布之日起施行�����。
一���、《證券期貨業(yè)軟件測試指南軟件安全測試》標準
2019年�,證監(jiān)會發(fā)布了JR/T0175—2019《證券期貨業(yè)軟件測試規(guī)范》金融行業(yè)標準�����,通過規(guī)范證券期貨業(yè)信息系統(tǒng)建設(shè)過程中的總體要求��、單元測試�����、集成測試��、系統(tǒng)測試�����、系統(tǒng)集成測試���、驗收測試等測試活動的內(nèi)容,有效提高了行業(yè)軟件測試過程的標準化程度���?�!蹲C券期貨業(yè)軟件測試指南軟件安全測試》金融行業(yè)標準���,是以JR/T0175—2019中的測試流程與內(nèi)容為基礎(chǔ)�,提供軟件安全測試流程����、技術(shù)和參考文檔,進一步明確行業(yè)軟件安全測試工作指引���,通過加強對軟件產(chǎn)品的安全特性�����、潛在的漏洞與風(fēng)險等內(nèi)容的檢測��,提高行業(yè)整體安全防御能力�。以降低行業(yè)信息系統(tǒng)運行風(fēng)險��,促進行業(yè)信息系統(tǒng)建設(shè)水平整體提升��,推動行業(yè)健康可持續(xù)發(fā)展��。
標準從測試目的與流程、測試技術(shù)選擇���、測試方法等角度對如何進行軟件安全測試給出了指導(dǎo)性意見�。將測試流程劃分為系統(tǒng)分析�����、威脅分析�、設(shè)計、執(zhí)行與報告環(huán)節(jié)����,規(guī)范測試過程����。闡述安全功能檢查、代碼安全測試��、漏洞掃描�、滲透測試、模糊測試五項安全測試技術(shù)的定義與測試內(nèi)容��,并結(jié)合行業(yè)情況�,說明不同機構(gòu)不同系統(tǒng)所選用的安全測試技術(shù)��。對軟件安全測試常用的十七種測試方法以及移動應(yīng)用中特有的六種測試方法進行逐一說明�,以指導(dǎo)行業(yè)機構(gòu)進行軟件安全測試執(zhí)行工作��。
二�、《證券期貨業(yè)移動互聯(lián)網(wǎng)應(yīng)用程序安全規(guī)范》標準
隨著移動互聯(lián)網(wǎng)新興技術(shù)的蓬勃興起,層出不窮的創(chuàng)新業(yè)務(wù)�����,在商業(yè)模式應(yīng)用���、技術(shù)風(fēng)險控制等方面對金融業(yè)構(gòu)成了新的挑戰(zhàn)���。在當(dāng)前互聯(lián)網(wǎng)金融浪潮中,信息系統(tǒng)建設(shè)與安全運行的壓力越來越大�����,面臨的信息安全形勢日趨復(fù)雜����,金融行業(yè)的移動互聯(lián)網(wǎng)應(yīng)用程序(簡稱APP)安全問題尤為嚴峻。國家為加強對移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)的規(guī)范管理�����,鼓勵有關(guān)行業(yè)協(xié)會等依法制定自律性管理制度,加強用戶權(quán)益保護��?��!蹲C券期貨業(yè)移動互聯(lián)網(wǎng)應(yīng)用程序安全規(guī)范》標準對證券期貨業(yè)市場主流移動終端應(yīng)用開展安全檢測與風(fēng)險評估�,完善監(jiān)測渠道與預(yù)警機制����,建立移動終端應(yīng)用管理安全風(fēng)險提示系統(tǒng),及時發(fā)現(xiàn)并通報移動終端應(yīng)用的設(shè)計缺陷與安全漏洞�����,以及假冒��、篡改的移動終端應(yīng)用�����,督促經(jīng)營機構(gòu)加強對移動終端應(yīng)用的安全管理���,切實提高投資者風(fēng)險防范意識���。
標準從移動終端安全、身份鑒別�、網(wǎng)絡(luò)通信安全、數(shù)據(jù)安全����、開發(fā)安全、安全審計等6個方面規(guī)范移動智能終端應(yīng)用軟件的全生命周期安全性��。移動終端安全要求采取有效技術(shù)措施保障移動互聯(lián)網(wǎng)應(yīng)用程序的真實性���、完整性��,APP在移動終端上處理客戶信息的機密性�����,以及APP在安裝��、運行��、升級�,卸載過程中的安全。身份鑒別是提供賬號鑒別和認證功能�,應(yīng)對訪問客戶提供有效的身份認證機制,在客戶訪問應(yīng)用業(yè)務(wù)前對用戶身份進行鑒別�。網(wǎng)絡(luò)通信安全應(yīng)采用安全的通信協(xié)議和強壯的加密算法,保障APP與服務(wù)器之間的所有連接與數(shù)據(jù)傳輸安全��。數(shù)據(jù)安全應(yīng)保障移動終端上的數(shù)據(jù)機密性��、完整性�����。開發(fā)安全是APP開發(fā)過程中需制定安全需求�、設(shè)計安全功能,測試安全模塊��,保障移動互聯(lián)網(wǎng)應(yīng)用程序的安全性�����。安全審計是APP在使用時需產(chǎn)生活動日志�����,服務(wù)器端應(yīng)保存相應(yīng)的日志記錄����,以備安全審計。
三����、《證券期貨業(yè)于銀行間業(yè)務(wù)數(shù)據(jù)交換協(xié)議第1部分:三方存管、銀期轉(zhuǎn)賬和結(jié)售匯業(yè)務(wù)》標準
2009年�,證監(jiān)會發(fā)布了JR/T0046—2009《證券期貨業(yè)與銀行間業(yè)務(wù)數(shù)據(jù)交換消息體結(jié)構(gòu)和設(shè)計規(guī)則》金融行業(yè)標準,較好地滿足了證券期貨業(yè)與銀行間業(yè)務(wù)數(shù)據(jù)交換的需求��。隨著近年來證券期貨市場創(chuàng)新業(yè)務(wù)的高速發(fā)展�����,證券期貨業(yè)與銀行間交換的業(yè)務(wù)數(shù)據(jù)量和種類日益增加����,各機構(gòu)間擁有各自的平臺或信息系統(tǒng),接口標準不盡相同�����,增加了全行業(yè)系統(tǒng)建設(shè)的復(fù)雜度和維護成本���,后續(xù)新業(yè)務(wù)擴展的難度和監(jiān)管的難度增加�����?���!蹲C券期貨業(yè)于銀行間業(yè)務(wù)數(shù)據(jù)交換協(xié)議第1部分:三方存管、銀期轉(zhuǎn)賬和結(jié)售匯業(yè)務(wù)》標準在JR/T0046—2009的基礎(chǔ)上����,進一步擴大標準適用范圍,滿足更多創(chuàng)新業(yè)務(wù)或衍生業(yè)務(wù)的發(fā)展要求��,降低了行業(yè)系統(tǒng)復(fù)雜度�、運維成本和潛在運營風(fēng)險。
此標準是證券期貨業(yè)與銀行間業(yè)務(wù)數(shù)據(jù)交換標準的第1部分�����,涵蓋了三方存管�����、銀期轉(zhuǎn)賬�����、融資融券、期貨結(jié)售匯等相關(guān)業(yè)務(wù)��,對證券期貨業(yè)與銀行間業(yè)務(wù)數(shù)據(jù)交換雙方會話同步過程進行了約定�����,對證券期貨端發(fā)起簽到等30個流程給出了需求分析�、業(yè)務(wù)分析和邏輯分析���,并定義了業(yè)務(wù)數(shù)據(jù)交換所需的基本數(shù)據(jù)類型����、業(yè)務(wù)元素類型��、業(yè)務(wù)組件類型和消息報文�。
證監(jiān)會表示,下一步將繼續(xù)推進資本市場信息化建設(shè)�����,降低行業(yè)信息系統(tǒng)運行風(fēng)險�,著力增強基礎(chǔ)標準化建設(shè),不斷提升行業(yè)標準化水平�。
(編輯 喬川川)
京公網(wǎng)安備 11010202007567號京ICP備17054264號
