证监会发布实施《证券期货业软件测试指南 软件安全测试》等三项金融行业标

本篇文章1924字，读完约5分钟

我们的记者吴晓彤

近日，中国证监会发布了《证券期货业软件测试指南》、《软件安全测试》、《证券期货业移动互联网应用安全规范》、《银行间业务证券期货业数据交换协议第一部分:三方存管、银行转账结算和外汇买卖》等三项金融行业标准，自发布之日起实施。

一、证券期货行业软件安全测试软件测试指南标准

2019年，中国证监会发布JR/T 0175-2019《证券期货行业软件测试规范》，通过规范证券期货行业信息系统建设过程中的一般要求、单元测试、集成测试、系统测试、系统集成测试、验收测试等测试活动，有效提高了行业软件测试流程的规范性。金融行业标准《证券期货行业软件安全测试指南》以JR/T 0175-2019中的测试流程和内容为基础，提供了软件安全测试流程、技术和参考文件，进一步明确了行业软件安全测试工作指南，通过加强对软件产品安全特性、潜在漏洞和风险的检测，提高了行业整体安全防御能力。为了降低行业信息系统的运行风险，促进行业信息系统建设水平的全面提高，促进行业健康可持续发展。

该标准从测试目的和过程、测试技术选择和测试方法等方面对如何进行软件安全测试给出了指导。测试过程分为系统分析、威胁分析、设计、执行和报告，以规范测试过程。摘要:阐述了安全功能检查、代码安全测试、漏洞扫描、渗透测试和模糊测试五种安全测试技术的定义和测试内容，并结合行业情况说明了不同机构和系统选择的安全测试技术。对软件安全测试中常用的17种测试方法和移动应用中特有的6种测试方法逐一进行说明，以指导行业组织开展软件安全测试。

二.证券期货行业移动互联网应用安全规范标准

随着移动互联网新兴技术的蓬勃发展，创新业务层出不穷，在业务模式应用和技术风险控制方面对金融业提出了新的挑战。在当前的互联网金融浪潮中，信息系统建设和安全运行的压力越来越大，信息安全形势越来越复杂。金融业中的移动互联网应用的安全问题尤为严重。为加强移动互联网应用信息服务的规范管理，国家鼓励相关行业协会依法制定自律管理制度，加强对用户权益的保护。《证券期货行业移动互联网应用安全规范》对证券期货市场主流移动终端应用进行安全检测和风险评估，完善监控渠道和预警机制，建立移动终端应用管理的安全风险预警系统，及时发现和报告移动终端应用的设计缺陷和安全漏洞，以及假冒伪劣移动终端应用，督促运营机构加强移动终端应用的安全管理，有效提高投资者的风险防范意识。

该标准从移动终端安全、身份认证、网络通信安全、数据安全、开发安全和安全审计六个方面规定了移动智能终端应用软件的生命周期安全。移动终端的安全需要采取有效的技术措施来保证移动互联网应用的真实性和完整性，移动终端上应用处理的客户信息的保密性，以及应用在安装、运行、升级和卸载过程中的安全性。身份认证是提供账户认证和身份认证功能，为来访客户提供有效的身份认证机制，从而在客户访问应用服务之前对用户的身份进行认证。网络通信安全应采用安全通信协议和强加密算法，以确保应用程序和服务器之间的所有连接和数据传输。数据安全应该保证移动终端数据的保密性和完整性。开发安全是制定安全要求、设计安全功能、测试安全模块和保证移动互联网应用安全的需要。安全审计是指应用程序使用时生成的活动日志，服务器应该为安全审计保留相应的日志记录。

三.证券期货行业同业业务数据交换协议标准第一部分:三方存管、银行转账、结汇和售汇

2009年，中国证监会发布jr/t0046—2009《证券期货业与银行间业务数据交换的报文结构和设计规则》，较好地满足了证券期货业与银行间业务数据交换的需求。随着近年来证券期货市场创新业务的快速发展，证券期货行业与银行之间交换的业务数据的数量和种类日益增多。每个机构都有自己不同接口标准的平台或信息系统，增加了整个行业系统建设的复杂性和维护成本，增加了后续新业务拓展和监管的难度。在JR/T 0046-2009《证券期货行业同业业务数据交换协议第一部分:三方存管、银行转账、结汇和售汇》标准的基础上，进一步扩大了该标准的适用范围，满足了更多创新业务或衍生业务的发展要求，降低了行业系统的复杂性、运营维护成本和潜在操作风险。

本标准是证券期货行业与银行之间业务数据交换标准的第一部分，涵盖三方存管、银行转账、融资融券、期货结算和外汇买卖等相关业务。规定了证券期货行业与银行之间的会话同步流程，对证券期货端登录等30个流程进行了需求分析、业务分析和逻辑分析，定义了业务数据交换所需的基本数据类型、业务元素类型、业务组件类型和消息。

中国证监会表示，下一步将继续推进资本市场信息化建设，降低行业信息系统运行风险，重点加强基础标准化建设，不断提高行业标准化水平。

(编辑乔传川)

来源：BBC新闻网