本報(bào)記者 吳曉璐
近日�����,證監(jiān)會(huì)發(fā)布《證券期貨業(yè)軟件測(cè)試指南軟件安全測(cè)試》《證券期貨業(yè)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序安全規(guī)范》《證券期貨業(yè)于銀行間業(yè)務(wù)數(shù)據(jù)交換協(xié)議第1部分:三方存管����、銀期轉(zhuǎn)賬和結(jié)售匯業(yè)務(wù)》等三項(xiàng)金融行業(yè)標(biāo)準(zhǔn)�,自公布之日起施行����。
一���、《證券期貨業(yè)軟件測(cè)試指南軟件安全測(cè)試》標(biāo)準(zhǔn)
2019年��,證監(jiān)會(huì)發(fā)布了JR/T0175—2019《證券期貨業(yè)軟件測(cè)試規(guī)范》金融行業(yè)標(biāo)準(zhǔn)����,通過(guò)規(guī)范證券期貨業(yè)信息系統(tǒng)建設(shè)過(guò)程中的總體要求����、單元測(cè)試、集成測(cè)試����、系統(tǒng)測(cè)試、系統(tǒng)集成測(cè)試���、驗(yàn)收測(cè)試等測(cè)試活動(dòng)的內(nèi)容�����,有效提高了行業(yè)軟件測(cè)試過(guò)程的標(biāo)準(zhǔn)化程度���?�!蹲C券期貨業(yè)軟件測(cè)試指南軟件安全測(cè)試》金融行業(yè)標(biāo)準(zhǔn)�����,是以JR/T0175—2019中的測(cè)試流程與內(nèi)容為基礎(chǔ)�,提供軟件安全測(cè)試流程��、技術(shù)和參考文檔�����,進(jìn)一步明確行業(yè)軟件安全測(cè)試工作指引�����,通過(guò)加強(qiáng)對(duì)軟件產(chǎn)品的安全特性��、潛在的漏洞與風(fēng)險(xiǎn)等內(nèi)容的檢測(cè)�,提高行業(yè)整體安全防御能力。以降低行業(yè)信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)�,促進(jìn)行業(yè)信息系統(tǒng)建設(shè)水平整體提升��,推動(dòng)行業(yè)健康可持續(xù)發(fā)展。
標(biāo)準(zhǔn)從測(cè)試目的與流程����、測(cè)試技術(shù)選擇、測(cè)試方法等角度對(duì)如何進(jìn)行軟件安全測(cè)試給出了指導(dǎo)性意見(jiàn)�。將測(cè)試流程劃分為系統(tǒng)分析、威脅分析��、設(shè)計(jì)�����、執(zhí)行與報(bào)告環(huán)節(jié)�����,規(guī)范測(cè)試過(guò)程��。闡述安全功能檢查���、代碼安全測(cè)試�、漏洞掃描����、滲透測(cè)試��、模糊測(cè)試五項(xiàng)安全測(cè)試技術(shù)的定義與測(cè)試內(nèi)容����,并結(jié)合行業(yè)情況���,說(shuō)明不同機(jī)構(gòu)不同系統(tǒng)所選用的安全測(cè)試技術(shù)���。對(duì)軟件安全測(cè)試常用的十七種測(cè)試方法以及移動(dòng)應(yīng)用中特有的六種測(cè)試方法進(jìn)行逐一說(shuō)明,以指導(dǎo)行業(yè)機(jī)構(gòu)進(jìn)行軟件安全測(cè)試執(zhí)行工作����。
二、《證券期貨業(yè)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序安全規(guī)范》標(biāo)準(zhǔn)
隨著移動(dòng)互聯(lián)網(wǎng)新興技術(shù)的蓬勃興起�����,層出不窮的創(chuàng)新業(yè)務(wù)����,在商業(yè)模式應(yīng)用、技術(shù)風(fēng)險(xiǎn)控制等方面對(duì)金融業(yè)構(gòu)成了新的挑戰(zhàn)����。在當(dāng)前互聯(lián)網(wǎng)金融浪潮中��,信息系統(tǒng)建設(shè)與安全運(yùn)行的壓力越來(lái)越大���,面臨的信息安全形勢(shì)日趨復(fù)雜���,金融行業(yè)的移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(簡(jiǎn)稱APP)安全問(wèn)題尤為嚴(yán)峻���。國(guó)家為加強(qiáng)對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)的規(guī)范管理,鼓勵(lì)有關(guān)行業(yè)協(xié)會(huì)等依法制定自律性管理制度����,加強(qiáng)用戶權(quán)益保護(hù)?�!蹲C券期貨業(yè)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序安全規(guī)范》標(biāo)準(zhǔn)對(duì)證券期貨業(yè)市場(chǎng)主流移動(dòng)終端應(yīng)用開(kāi)展安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估���,完善監(jiān)測(cè)渠道與預(yù)警機(jī)制����,建立移動(dòng)終端應(yīng)用管理安全風(fēng)險(xiǎn)提示系統(tǒng)�����,及時(shí)發(fā)現(xiàn)并通報(bào)移動(dòng)終端應(yīng)用的設(shè)計(jì)缺陷與安全漏洞,以及假冒���、篡改的移動(dòng)終端應(yīng)用����,督促經(jīng)營(yíng)機(jī)構(gòu)加強(qiáng)對(duì)移動(dòng)終端應(yīng)用的安全管理�,切實(shí)提高投資者風(fēng)險(xiǎn)防范意識(shí)。
標(biāo)準(zhǔn)從移動(dòng)終端安全����、身份鑒別、網(wǎng)絡(luò)通信安全���、數(shù)據(jù)安全��、開(kāi)發(fā)安全��、安全審計(jì)等6個(gè)方面規(guī)范移動(dòng)智能終端應(yīng)用軟件的全生命周期安全性�����。移動(dòng)終端安全要求采取有效技術(shù)措施保障移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序的真實(shí)性���、完整性����,APP在移動(dòng)終端上處理客戶信息的機(jī)密性��,以及APP在安裝�、運(yùn)行、升級(jí)�,卸載過(guò)程中的安全����。身份鑒別是提供賬號(hào)鑒別和認(rèn)證功能,應(yīng)對(duì)訪問(wèn)客戶提供有效的身份認(rèn)證機(jī)制����,在客戶訪問(wèn)應(yīng)用業(yè)務(wù)前對(duì)用戶身份進(jìn)行鑒別。網(wǎng)絡(luò)通信安全應(yīng)采用安全的通信協(xié)議和強(qiáng)壯的加密算法����,保障APP與服務(wù)器之間的所有連接與數(shù)據(jù)傳輸安全。數(shù)據(jù)安全應(yīng)保障移動(dòng)終端上的數(shù)據(jù)機(jī)密性��、完整性�。開(kāi)發(fā)安全是APP開(kāi)發(fā)過(guò)程中需制定安全需求�����、設(shè)計(jì)安全功能���,測(cè)試安全模塊,保障移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序的安全性�。安全審計(jì)是APP在使用時(shí)需產(chǎn)生活動(dòng)日志,服務(wù)器端應(yīng)保存相應(yīng)的日志記錄����,以備安全審計(jì)。
三���、《證券期貨業(yè)于銀行間業(yè)務(wù)數(shù)據(jù)交換協(xié)議第1部分:三方存管�、銀期轉(zhuǎn)賬和結(jié)售匯業(yè)務(wù)》標(biāo)準(zhǔn)
2009年�,證監(jiān)會(huì)發(fā)布了JR/T0046—2009《證券期貨業(yè)與銀行間業(yè)務(wù)數(shù)據(jù)交換消息體結(jié)構(gòu)和設(shè)計(jì)規(guī)則》金融行業(yè)標(biāo)準(zhǔn),較好地滿足了證券期貨業(yè)與銀行間業(yè)務(wù)數(shù)據(jù)交換的需求����。隨著近年來(lái)證券期貨市場(chǎng)創(chuàng)新業(yè)務(wù)的高速發(fā)展,證券期貨業(yè)與銀行間交換的業(yè)務(wù)數(shù)據(jù)量和種類日益增加���,各機(jī)構(gòu)間擁有各自的平臺(tái)或信息系統(tǒng)�,接口標(biāo)準(zhǔn)不盡相同,增加了全行業(yè)系統(tǒng)建設(shè)的復(fù)雜度和維護(hù)成本�����,后續(xù)新業(yè)務(wù)擴(kuò)展的難度和監(jiān)管的難度增加�����?�!蹲C券期貨業(yè)于銀行間業(yè)務(wù)數(shù)據(jù)交換協(xié)議第1部分:三方存管����、銀期轉(zhuǎn)賬和結(jié)售匯業(yè)務(wù)》標(biāo)準(zhǔn)在JR/T0046—2009的基礎(chǔ)上���,進(jìn)一步擴(kuò)大標(biāo)準(zhǔn)適用范圍�,滿足更多創(chuàng)新業(yè)務(wù)或衍生業(yè)務(wù)的發(fā)展要求�,降低了行業(yè)系統(tǒng)復(fù)雜度、運(yùn)維成本和潛在運(yùn)營(yíng)風(fēng)險(xiǎn)�。
此標(biāo)準(zhǔn)是證券期貨業(yè)與銀行間業(yè)務(wù)數(shù)據(jù)交換標(biāo)準(zhǔn)的第1部分,涵蓋了三方存管���、銀期轉(zhuǎn)賬���、融資融券��、期貨結(jié)售匯等相關(guān)業(yè)務(wù)��,對(duì)證券期貨業(yè)與銀行間業(yè)務(wù)數(shù)據(jù)交換雙方會(huì)話同步過(guò)程進(jìn)行了約定�����,對(duì)證券期貨端發(fā)起簽到等30個(gè)流程給出了需求分析�����、業(yè)務(wù)分析和邏輯分析���,并定義了業(yè)務(wù)數(shù)據(jù)交換所需的基本數(shù)據(jù)類型、業(yè)務(wù)元素類型��、業(yè)務(wù)組件類型和消息報(bào)文����。
證監(jiān)會(huì)表示,下一步將繼續(xù)推進(jìn)資本市場(chǎng)信息化建設(shè)�,降低行業(yè)信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn),著力增強(qiáng)基礎(chǔ)標(biāo)準(zhǔn)化建設(shè),不斷提升行業(yè)標(biāo)準(zhǔn)化水平����。
(編輯 喬川川)
京公網(wǎng)安備 11010202007567號(hào)京ICP備17054264號(hào)
