作者|姚前「中国证监会科技监管局局长」
文章|《中国金融》2021年第15期
当前已有应用软件/系统的安全性标准主要是以等级保护标准(简称“等保标准”)为基础、面向系统安全性的评价。这类标准更多地关注运行时系统安全检测要求,是一种被动、滞后的安全保障方法,安全问题修复成本高,安全事件对生产系统/数据影响大。2020年7月发布的《证券期货业软件测试指南软件安全测试》金融行业标准,从测试的角度关注软件/系统产品在上线前的安全状态,是一种前置的、以较低成本进行问题修复的安全保障方式,对生产系统和数据不会造成影响,直接弥补了当前资本市场中安全标准对于应用软件安全性评测方面的不足。该标准以2019年10月发布的《证券期货业软件测试规范》(JR/T0175—2019)中的测试流程与内容为基础,提供软件安全测试流程、技术和参考文档,通过加强对软件产品的安全特性、潜在漏洞与风险等内容的检测,进一步明确了证券期货行业软件安全测试工作指引,旨在提高行业整体信息安全保障能力、降低行业信息系统运行风险、促进行业信息系统建设水平整体提升、推动行业健康可持续发展。
网络信息安全态势日益严峻
2020年新西兰证券交易所遭安全攻击,直接造成交易所连续五天发生多次交易中断,成为国际资本市场近年来由安全攻击造成的最严重的核心交易系统安全事件。同时,根据中国国家信息安全漏洞共享平台披露的信息,2020年度该平台收录安全漏洞达19964个,其中高危漏洞6906个(占34.6%)、中危漏洞10633个(占53.3%)、低危漏洞2425个(占12.1%),较2019年漏洞收录总数16050个环比增长24.39%。从黑客的攻击途径选择上,针对全球广域网类(WEB类)应用的攻击占到了71%(见图1)。由此可见,软件产品的安全漏洞已经成为导致系统安全事件、造成信息安全损失的最主要内因。
由于软件安全漏洞形成机理复杂,治理难度很大。尽管各种新型安全技术层出不穷,但应用系统安全问题却越来越严峻。已有网络安全等级保护标准和金融信息科技风险管理相关标准主要是面向系统安全,对于软件产品的安全性没有明确要求。这导致软件安全性和系统安全性保障相分离,应用系统上线后直面安全攻击,软件产品的安全缺陷在系统运行中会逐渐暴露,只能采取后天打补丁的方式进行修复,而这种事后修复方式又会带来新的安全问题,系统的运行一直处于一种危机四伏的状态。
健全资本市场软件安全测试标准
为应对日益严峻的网络信息安全问题,资本市场加强软件安全测试势在必行。在预防系统性安全风险方面,应用软件是架构上最后一层,也是未来上线后用户接触的表示层,因此软件安全测试既是守“底线”也是守“前线”。通过软件安全测试能够在上线前对软件遭受攻击的抵御能力进行前置测试,并进行相应修复,在应用层级做好安全的最后一层防护,使应用软件在未来上线面对真实攻击的情况下具备足够的防护能力。
在市场机构需求方面,目前资本市场中不同机构在软件安全测试方法、测试工具、测试技术水平上参差不齐,急需一套统一的技术规范和标准去指引软件安全测试的有效开展。在安全相关标准方面,《软件质量模型》(ISO/IEC9126)只关注保密安全性,以等保标准为基础的《信息安全技术应用软件系统通用安全技术要求》(GB/T28452—2012)和《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)更多地关注等保框架下信息系统的安全技术要求,对于一般性应用软件产品的安全性没有明确要求。
2019年,证监会发布《证券期货业软件测试规范》金融行业标准,通过规范证券期货业信息系统建设过程中的总体要求、单元测试、集成测试、系统测试、系统集成测试、验收测试等测试活动的内容,有效提高了行业软件测试过程的标准化程度,为资本市场相关机构解决了软件测试“做什么”的问题。为了增强该标准的可读性,以及完善测试类型的细节内容,解决各种测试类型“怎么做”的问题,2020年证监会组织编制并发布了《证券期货业软件测试指南软件安全测试》(JR/T0191-2020)金融行业标准。该标准为《证券期货业软件测试规范》下的指南性文件,为行业软件安全测试确定了标准化实施流程,为信息系统软件安全测试提供了参考依据,弥补了行业软件安全测试领域标准的缺失,满足了行业单位针对软件安全测试的指导要求。
软件安全测试标准化提升全行业风险防范能力
建立适用于证券期货行业的软件安全测试标准,可为资本市场提供软件安全测试流程、技术、内容和文档参考,提高行业软件安全测试过程认知水平,促进行业软件测试水平整体提升,从而降低行业信息系统运行风险。
《证券期货业软件测试指南软件安全测试》2016年立项,前后历经了4年的不断完善,于2020年正式发布。标准编写过程中,有关部门结合网络信息安全领域多年的经验沉淀以及目前资本市场对软件安全测试的现实需求,分别对资本市场核心机构、经营机构以及信息技术服务机构制定不同的测试策略。其中核心机构是指证券期货交易所、证券登记结算机构、期货市场监控中心等;经营机构指证券公司、期货公司、基金公司等;信息技术服务机构指为资本市场提供产品和服务的软件开发商、信息商、服务商等。同时,这套标准还结合不同的被测系统分别制定不同的标准化流程,被测系统类型涵盖了核心交易类(实时交易系统)、核心业务类(清算、监察、期货交割等)、业务交互类(交易行情终端、移动终端、会员服务、电子仓单、柜台系统、资管系统等)、网站查询类(数据查询、机构网站等)等。
《证券期货业软件测试指南软件安全测试》不仅仅解决了“做什么”的问题,而且通过完善的、具备指导意义的详细内容解决了“怎么做”的问题。在该标准推出之前,资本市场各机构软件安全测试的方法和力度存在片面性,无法有效保障软件的安全。新标准的推出实现了测试流程合理、测试内容齐备、测试输入及方法标准化、测试输出明确。同时为了兼顾软件测试标准的可读性和操作指导意义,该标准从流程和技术两个方面指导软件安全测试的开展。一方面,标准以软件安全测试流程为主线,明确了每个阶段的操作流程、方法和产出(见图2);另一方面,从测试技术的角度,详细指导每一种安全测试技术的具体实施方法,包含测试目标,测试方法和结果判定原则。
在测试技术方面,该标准详细描述了软件安全测试的各关注点,包含每一关注点的测试目的、测试要求和评价标准。具体包括身份认证安全、通信安全、业务逻辑安全、存储数据安全、算法安全、源代码安全等17个部分(见图2)。
同时,基于移动应用的特点,标准描述了移动应用特有的测试关注点,也包含每一关注点的测试目的、测试要求和评价标准,具体包括运行环境安全、安装卸载安全、组件安全、权限安全、第三方库安全、安装包安全六个部分。
《证券期货业软件测试指南软件安全测试》是证券期货行业内首个对软件安全测试具有实践性指导意义的标准,旨在提高全行业信息安全保障水平,切实提升软件的安全性,减少信息泄露、资金被盗、黑客攻击等非法行为损害行业机构的名誉及经济利益,从而保护投资者的个人信息不受非法侵害,保护投资者的资金不被非法窃取。标准梳理了从系统分析、测试完成到输出报告整个安全周期的测试流程,进一步规范了行业软件安全测试工作,有助于行业机构软件安全检测标准基线的建立和实施,为后续有效推动其他测试标准的应用奠定了良好基础。■
(责任编辑 张林)
本文首发于微信公众号:中国金融杂志。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
最新评论