本報記者 吳曉璐

    近日，證監會發布《證券期貨業軟件測試指南軟件安全測試》《證券期貨業移動互聯網應用程序安全規范》《證券期貨業于銀行間業務數據交換協議第1部分：三方存管、銀期轉賬和結售匯業務》等三項金融行業標準，自公布之日起施行。

    一、《證券期貨業軟件測試指南軟件安全測試》標準

    2019年，證監會發布了JR/T0175—2019《證券期貨業軟件測試規范》金融行業標準，通過規范證券期貨業信息系統建設過程中的總體要求、單元測試、集成測試、系統測試、系統集成測試、驗收測試等測試活動的內容，有效提高了行業軟件測試過程的標準化程度。《證券期貨業軟件測試指南軟件安全測試》金融行業標準，是以JR/T0175—2019中的測試流程與內容為基礎，提供軟件安全測試流程、技術和參考文檔，進一步明確行業軟件安全測試工作指引，通過加強對軟件產品的安全特性、潛在的漏洞與風險等內容的檢測，提高行業整體安全防御能力。以降低行業信息系統運行風險，促進行業信息系統建設水平整體提升，推動行業健康可持續發展。

    標準從測試目的與流程、測試技術選擇、測試方法等角度對如何進行軟件安全測試給出了指導性意見。將測試流程劃分為系統分析、威脅分析、設計、執行與報告環節，規范測試過程。闡述安全功能檢查、代碼安全測試、漏洞掃描、滲透測試、模糊測試五項安全測試技術的定義與測試內容，并結合行業情況，說明不同機構不同系統所選用的安全測試技術。對軟件安全測試常用的十七種測試方法以及移動應用中特有的六種測試方法進行逐一說明，以指導行業機構進行軟件安全測試執行工作。

    二、《證券期貨業移動互聯網應用程序安全規范》標準

    隨著移動互聯網新興技術的蓬勃興起，層出不窮的創新業務，在商業模式應用、技術風險控制等方面對金融業構成了新的挑戰。在當前互聯網金融浪潮中，信息系統建設與安全運行的壓力越來越大，面臨的信息安全形勢日趨復雜，金融行業的移動互聯網應用程序（簡稱APP）安全問題尤為嚴峻。國家為加強對移動互聯網應用程序信息服務的規范管理，鼓勵有關行業協會等依法制定自律性管理制度，加強用戶權益保護。《證券期貨業移動互聯網應用程序安全規范》標準對證券期貨業市場主流移動終端應用開展安全檢測與風險評估，完善監測渠道與預警機制，建立移動終端應用管理安全風險提示系統，及時發現并通報移動終端應用的設計缺陷與安全漏洞，以及假冒、篡改的移動終端應用，督促經營機構加強對移動終端應用的安全管理，切實提高投資者風險防范意識。

    標準從移動終端安全、身份鑒別、網絡通信安全、數據安全、開發安全、安全審計等6個方面規范移動智能終端應用軟件的全生命周期安全性。移動終端安全要求采取有效技術措施保障移動互聯網應用程序的真實性、完整性，APP在移動終端上處理客戶信息的機密性，以及APP在安裝、運行、升級，卸載過程中的安全。身份鑒別是提供賬號鑒別和認證功能，應對訪問客戶提供有效的身份認證機制，在客戶訪問應用業務前對用戶身份進行鑒別。網絡通信安全應采用安全的通信協議和強壯的加密算法，保障APP與服務器之間的所有連接與數據傳輸安全。數據安全應保障移動終端上的數據機密性、完整性。開發安全是APP開發過程中需制定安全需求、設計安全功能，測試安全模塊，保障移動互聯網應用程序的安全性。安全審計是APP在使用時需產生活動日志，服務器端應保存相應的日志記錄，以備安全審計。

    三、《證券期貨業于銀行間業務數據交換協議第1部分：三方存管、銀期轉賬和結售匯業務》標準

    2009年，證監會發布了JR/T0046—2009《證券期貨業與銀行間業務數據交換消息體結構和設計規則》金融行業標準，較好地滿足了證券期貨業與銀行間業務數據交換的需求。隨著近年來證券期貨市場創新業務的高速發展，證券期貨業與銀行間交換的業務數據量和種類日益增加，各機構間擁有各自的平臺或信息系統，接口標準不盡相同，增加了全行業系統建設的復雜度和維護成本，后續新業務擴展的難度和監管的難度增加。《證券期貨業于銀行間業務數據交換協議第1部分：三方存管、銀期轉賬和結售匯業務》標準在JR/T0046—2009的基礎上，進一步擴大標準適用范圍，滿足更多創新業務或衍生業務的發展要求，降低了行業系統復雜度、運維成本和潛在運營風險。

    此標準是證券期貨業與銀行間業務數據交換標準的第1部分，涵蓋了三方存管、銀期轉賬、融資融券、期貨結售匯等相關業務，對證券期貨業與銀行間業務數據交換雙方會話同步過程進行了約定，對證券期貨端發起簽到等30個流程給出了需求分析、業務分析和邏輯分析，并定義了業務數據交換所需的基本數據類型、業務元素類型、業務組件類型和消息報文。

    證監會表示，下一步將繼續推進資本市場信息化建設，降低行業信息系統運行風險，著力增強基礎標準化建設，不斷提升行業標準化水平。

（編輯 喬川川）