作者｜姚前「中國(guó)證監(jiān)會(huì)科技監(jiān)管局局長(zhǎng)」

文章｜《中國(guó)金融》2021年第15期

當(dāng)前已有應(yīng)用軟件/系統(tǒng)的安全性標(biāo)準(zhǔn)主要是以等級(jí)保護(hù)標(biāo)準(zhǔn)（簡(jiǎn)稱“等保標(biāo)準(zhǔn)”）為基礎(chǔ)、面向系統(tǒng)安全性的評(píng)價(jià)。這類標(biāo)準(zhǔn)更多地關(guān)注運(yùn)行時(shí)系統(tǒng)安全檢測(cè)要求，是一種被動(dòng)、滯后的安全保障方法，安全問(wèn)題修復(fù)成本高，安全事件對(duì)生產(chǎn)系統(tǒng)/數(shù)據(jù)影響大。2020年7月發(fā)布的《證券期貨業(yè)軟件測(cè)試指南軟件安全測(cè)試》金融行業(yè)標(biāo)準(zhǔn)，從測(cè)試的角度關(guān)注軟件/系統(tǒng)產(chǎn)品在上線前的安全狀態(tài)，是一種前置的、以較低成本進(jìn)行問(wèn)題修復(fù)的安全保障方式，對(duì)生產(chǎn)系統(tǒng)和數(shù)據(jù)不會(huì)造成影響，直接彌補(bǔ)了當(dāng)前資本市場(chǎng)中安全標(biāo)準(zhǔn)對(duì)于應(yīng)用軟件安全性評(píng)測(cè)方面的不足。該標(biāo)準(zhǔn)以2019年10月發(fā)布的《證券期貨業(yè)軟件測(cè)試規(guī)范》（JR/T0175—2019）中的測(cè)試流程與內(nèi)容為基礎(chǔ)，提供軟件安全測(cè)試流程、技術(shù)和參考文檔，通過(guò)加強(qiáng)對(duì)軟件產(chǎn)品的安全特性、潛在漏洞與風(fēng)險(xiǎn)等內(nèi)容的檢測(cè)，進(jìn)一步明確了證券期貨行業(yè)軟件安全測(cè)試工作指引，旨在提高行業(yè)整體信息安全保障能力、降低行業(yè)信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)、促進(jìn)行業(yè)信息系統(tǒng)建設(shè)水平整體提升、推動(dòng)行業(yè)健康可持續(xù)發(fā)展。

網(wǎng)絡(luò)信息安全態(tài)勢(shì)日益嚴(yán)峻

2020年新西蘭證券交易所遭安全攻擊，直接造成交易所連續(xù)五天發(fā)生多次交易中斷，成為國(guó)際資本市場(chǎng)近年來(lái)由安全攻擊造成的最嚴(yán)重的核心交易系統(tǒng)安全事件。同時(shí)，根據(jù)中國(guó)國(guó)家信息安全漏洞共享平臺(tái)披露的信息，2020年度該平臺(tái)收錄安全漏洞達(dá)19964個(gè)，其中高危漏洞6906個(gè)（占34.6%）、中危漏洞10633個(gè)（占53.3%）、低危漏洞2425個(gè)（占12.1%），較2019年漏洞收錄總數(shù)16050個(gè)環(huán)比增長(zhǎng)24.39%。從黑客的攻擊途徑選擇上，針對(duì)全球廣域網(wǎng)類（WEB類）應(yīng)用的攻擊占到了71%（見(jiàn)圖1）。由此可見(jiàn)，軟件產(chǎn)品的安全漏洞已經(jīng)成為導(dǎo)致系統(tǒng)安全事件、造成信息安全損失的最主要內(nèi)因。

由于軟件安全漏洞形成機(jī)理復(fù)雜，治理難度很大。盡管各種新型安全技術(shù)層出不窮，但應(yīng)用系統(tǒng)安全問(wèn)題卻越來(lái)越嚴(yán)峻。已有網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)和金融信息科技風(fēng)險(xiǎn)管理相關(guān)標(biāo)準(zhǔn)主要是面向系統(tǒng)安全，對(duì)于軟件產(chǎn)品的安全性沒(méi)有明確要求。這導(dǎo)致軟件安全性和系統(tǒng)安全性保障相分離，應(yīng)用系統(tǒng)上線后直面安全攻擊，軟件產(chǎn)品的安全缺陷在系統(tǒng)運(yùn)行中會(huì)逐漸暴露，只能采取后天打補(bǔ)丁的方式進(jìn)行修復(fù)，而這種事后修復(fù)方式又會(huì)帶來(lái)新的安全問(wèn)題，系統(tǒng)的運(yùn)行一直處于一種危機(jī)四伏的狀態(tài)。

健全資本市場(chǎng)軟件安全測(cè)試標(biāo)準(zhǔn)

為應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)信息安全問(wèn)題，資本市場(chǎng)加強(qiáng)軟件安全測(cè)試勢(shì)在必行。在預(yù)防系統(tǒng)性安全風(fēng)險(xiǎn)方面，應(yīng)用軟件是架構(gòu)上最后一層，也是未來(lái)上線后用戶接觸的表示層，因此軟件安全測(cè)試既是守“底線”也是守“前線”。通過(guò)軟件安全測(cè)試能夠在上線前對(duì)軟件遭受攻擊的抵御能力進(jìn)行前置測(cè)試，并進(jìn)行相應(yīng)修復(fù)，在應(yīng)用層級(jí)做好安全的最后一層防護(hù)，使應(yīng)用軟件在未來(lái)上線面對(duì)真實(shí)攻擊的情況下具備足夠的防護(hù)能力。

在市場(chǎng)機(jī)構(gòu)需求方面，目前資本市場(chǎng)中不同機(jī)構(gòu)在軟件安全測(cè)試方法、測(cè)試工具、測(cè)試技術(shù)水平上參差不齊，急需一套統(tǒng)一的技術(shù)規(guī)范和標(biāo)準(zhǔn)去指引軟件安全測(cè)試的有效開(kāi)展。在安全相關(guān)標(biāo)準(zhǔn)方面，《軟件質(zhì)量模型》（ISO/IEC9126）只關(guān)注保密安全性，以等保標(biāo)準(zhǔn)為基礎(chǔ)的《信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求》（GB/T28452—2012）和《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）更多地關(guān)注等�？蚣芟滦畔⑾到y(tǒng)的安全技術(shù)要求，對(duì)于一般性應(yīng)用軟件產(chǎn)品的安全性沒(méi)有明確要求。

2019年，證監(jiān)會(huì)發(fā)布《證券期貨業(yè)軟件測(cè)試規(guī)范》金融行業(yè)標(biāo)準(zhǔn)，通過(guò)規(guī)范證券期貨業(yè)信息系統(tǒng)建設(shè)過(guò)程中的總體要求、單元測(cè)試、集成測(cè)試、系統(tǒng)測(cè)試、系統(tǒng)集成測(cè)試、驗(yàn)收測(cè)試等測(cè)試活動(dòng)的內(nèi)容，有效提高了行業(yè)軟件測(cè)試過(guò)程的標(biāo)準(zhǔn)化程度，為資本市場(chǎng)相關(guān)機(jī)構(gòu)解決了軟件測(cè)試“做什么”的問(wèn)題。為了增強(qiáng)該標(biāo)準(zhǔn)的可讀性，以及完善測(cè)試類型的細(xì)節(jié)內(nèi)容，解決各種測(cè)試類型“怎么做”的問(wèn)題，2020年證監(jiān)會(huì)組織編制并發(fā)布了《證券期貨業(yè)軟件測(cè)試指南軟件安全測(cè)試》（JR/T0191-2020）金融行業(yè)標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為《證券期貨業(yè)軟件測(cè)試規(guī)范》下的指南性文件，為行業(yè)軟件安全測(cè)試確定了標(biāo)準(zhǔn)化實(shí)施流程，為信息系統(tǒng)軟件安全測(cè)試提供了參考依據(jù)，彌補(bǔ)了行業(yè)軟件安全測(cè)試領(lǐng)域標(biāo)準(zhǔn)的缺失，滿足了行業(yè)單位針對(duì)軟件安全測(cè)試的指導(dǎo)要求。

軟件安全測(cè)試標(biāo)準(zhǔn)化提升全行業(yè)風(fēng)險(xiǎn)防范能力

建立適用于證券期貨行業(yè)的軟件安全測(cè)試標(biāo)準(zhǔn)，可為資本市場(chǎng)提供軟件安全測(cè)試流程、技術(shù)、內(nèi)容和文檔參考，提高行業(yè)軟件安全測(cè)試過(guò)程認(rèn)知水平，促進(jìn)行業(yè)軟件測(cè)試水平整體提升，從而降低行業(yè)信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)。

《證券期貨業(yè)軟件測(cè)試指南軟件安全測(cè)試》2016年立項(xiàng)，前后歷經(jīng)了4年的不斷完善，于2020年正式發(fā)布。標(biāo)準(zhǔn)編寫過(guò)程中，有關(guān)部門結(jié)合網(wǎng)絡(luò)信息安全領(lǐng)域多年的經(jīng)驗(yàn)沉淀以及目前資本市場(chǎng)對(duì)軟件安全測(cè)試的現(xiàn)實(shí)需求，分別對(duì)資本市場(chǎng)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)以及信息技術(shù)服務(wù)機(jī)構(gòu)制定不同的測(cè)試策略。其中核心機(jī)構(gòu)是指證券期貨交易所、證券登記結(jié)算機(jī)構(gòu)、期貨市場(chǎng)監(jiān)控中心等；經(jīng)營(yíng)機(jī)構(gòu)指證券公司、期貨公司、基金公司等；信息技術(shù)服務(wù)機(jī)構(gòu)指為資本市場(chǎng)提供產(chǎn)品和服務(wù)的軟件開(kāi)發(fā)商、信息商、服務(wù)商等。同時(shí)，這套標(biāo)準(zhǔn)還結(jié)合不同的被測(cè)系統(tǒng)分別制定不同的標(biāo)準(zhǔn)化流程，被測(cè)系統(tǒng)類型涵蓋了核心交易類（實(shí)時(shí)交易系統(tǒng)）、核心業(yè)務(wù)類（清算、監(jiān)察、期貨交割等）、業(yè)務(wù)交互類（交易行情終端、移動(dòng)終端、會(huì)員服務(wù)、電子倉(cāng)單、柜臺(tái)系統(tǒng)、資管系統(tǒng)等）、網(wǎng)站查詢類（數(shù)據(jù)查詢、機(jī)構(gòu)網(wǎng)站等）等。

《證券期貨業(yè)軟件測(cè)試指南軟件安全測(cè)試》不僅僅解決了“做什么”的問(wèn)題，而且通過(guò)完善的、具備指導(dǎo)意義的詳細(xì)內(nèi)容解決了“怎么做”的問(wèn)題。在該標(biāo)準(zhǔn)推出之前，資本市場(chǎng)各機(jī)構(gòu)軟件安全測(cè)試的方法和力度存在片面性，無(wú)法有效保障軟件的安全。新標(biāo)準(zhǔn)的推出實(shí)現(xiàn)了測(cè)試流程合理、測(cè)試內(nèi)容齊備、測(cè)試輸入及方法標(biāo)準(zhǔn)化、測(cè)試輸出明確。同時(shí)為了兼顧軟件測(cè)試標(biāo)準(zhǔn)的可讀性和操作指導(dǎo)意義，該標(biāo)準(zhǔn)從流程和技術(shù)兩個(gè)方面指導(dǎo)軟件安全測(cè)試的開(kāi)展。一方面，標(biāo)準(zhǔn)以軟件安全測(cè)試流程為主線，明確了每個(gè)階段的操作流程、方法和產(chǎn)出（見(jiàn)圖2）；另一方面，從測(cè)試技術(shù)的角度，詳細(xì)指導(dǎo)每一種安全測(cè)試技術(shù)的具體實(shí)施方法，包含測(cè)試目標(biāo)，測(cè)試方法和結(jié)果判定原則。

在測(cè)試技術(shù)方面，該標(biāo)準(zhǔn)詳細(xì)描述了軟件安全測(cè)試的各關(guān)注點(diǎn)，包含每一關(guān)注點(diǎn)的測(cè)試目的、測(cè)試要求和評(píng)價(jià)標(biāo)準(zhǔn)。具體包括身份認(rèn)證安全、通信安全、業(yè)務(wù)邏輯安全、存儲(chǔ)數(shù)據(jù)安全、算法安全、源代碼安全等17個(gè)部分（見(jiàn)圖2）。

同時(shí)，基于移動(dòng)應(yīng)用的特點(diǎn)，標(biāo)準(zhǔn)描述了移動(dòng)應(yīng)用特有的測(cè)試關(guān)注點(diǎn)，也包含每一關(guān)注點(diǎn)的測(cè)試目的、測(cè)試要求和評(píng)價(jià)標(biāo)準(zhǔn)，具體包括運(yùn)行環(huán)境安全、安裝卸載安全、組件安全、權(quán)限安全、第三方庫(kù)安全、安裝包安全六個(gè)部分。

《證券期貨業(yè)軟件測(cè)試指南軟件安全測(cè)試》是證券期貨行業(yè)內(nèi)首個(gè)對(duì)軟件安全測(cè)試具有實(shí)踐性指導(dǎo)意義的標(biāo)準(zhǔn)，旨在提高全行業(yè)信息安全保障水平，切實(shí)提升軟件的安全性，減少信息泄露、資金被盜、黑客攻擊等非法行為損害行業(yè)機(jī)構(gòu)的名譽(yù)及經(jīng)濟(jì)利益，從而保護(hù)投資者的個(gè)人信息不受非法侵害，保護(hù)投資者的資金不被非法竊取。標(biāo)準(zhǔn)梳理了從系統(tǒng)分析、測(cè)試完成到輸出報(bào)告整個(gè)安全周期的測(cè)試流程，進(jìn)一步規(guī)范了行業(yè)軟件安全測(cè)試工作，有助于行業(yè)機(jī)構(gòu)軟件安全檢測(cè)標(biāo)準(zhǔn)基線的建立和實(shí)施，為后續(xù)有效推動(dòng)其他測(cè)試標(biāo)準(zhǔn)的應(yīng)用奠定了良好基礎(chǔ)�！�

（責(zé)任編輯  張林）

本文首發(fā)于微信公眾號(hào)：中國(guó)金融雜志。文章內(nèi)容屬作者個(gè)人觀點(diǎn)，不代表和訊網(wǎng)立場(chǎng)。投資者據(jù)此操作，風(fēng)險(xiǎn)請(qǐng)自擔(dān)。