中國證監(jiān)會科技監(jiān)管局局長姚前在《中國金融》雜志撰文稱，建議重點發(fā)展基于AIGC技術(shù)的合成數(shù)據(jù)產(chǎn)業(yè)。以更高效率、更低成本、更高質(zhì)量為數(shù)據(jù)要素市場“增量擴容”，助力打造面向人工智能未來發(fā)展的數(shù)據(jù)優(yōu)勢。在強化數(shù)據(jù)要素優(yōu)質(zhì)供給方面，應(yīng)統(tǒng)籌兼顧自立自強和對外開放?？煽紤]對Wikipedia、Reddit等特定數(shù)據(jù)源建立過濾后的境內(nèi)鏡像站點，供國內(nèi)數(shù)據(jù)處理者使用。

(資料圖)

以下是全文

測試標準化確保資本市場信息安全

當前已有應(yīng)用軟件/系統(tǒng)的安全性標準主要是以等級保護標準(簡稱“等保標準”)為基礎(chǔ)、面向系統(tǒng)安全性的評價。這類標準更多地關(guān)注運行時系統(tǒng)安全檢測要求，是一種被動、滯后的安全保障方法，安全問題修復(fù)成本高，安全事件對生產(chǎn)系統(tǒng)/數(shù)據(jù)影響大。2020年7月發(fā)布的《證券期貨業(yè)軟件測試指南軟件安全測試》金融行業(yè)標準，從測試的角度關(guān)注軟件/系統(tǒng)產(chǎn)品在上線前的安全狀態(tài)，是一種前置的、以較低成本進行問題修復(fù)的安全保障方式，對生產(chǎn)系統(tǒng)和數(shù)據(jù)不會造成影響，直接彌補了當前資本市場中安全標準對于應(yīng)用軟件安全性評測方面的不足。該標準以2019年10月發(fā)布的《證券期貨業(yè)軟件測試規(guī)范》(JR/T0175—2019)中的測試流程與內(nèi)容為基礎(chǔ)，提供軟件安全測試流程、技術(shù)和參考文檔，通過加強對軟件產(chǎn)品的安全特性、潛在漏洞與風險等內(nèi)容的檢測，進一步明確了證券期貨行業(yè)軟件安全測試工作指引，旨在提高行業(yè)整體信息安全保障能力、降低行業(yè)信息系統(tǒng)運行風險、促進行業(yè)信息系統(tǒng)建設(shè)水平整體提升、推動行業(yè)健康可持續(xù)發(fā)展。

網(wǎng)絡(luò)信息安全態(tài)勢日益嚴峻

2020年新西蘭證券交易所遭安全攻擊，直接造成交易所連續(xù)五天發(fā)生多次交易中斷，成為國際資本市場近年來由安全攻擊造成的最嚴重的核心交易系統(tǒng)安全事件。同時，根據(jù)中國國家信息安全漏洞共享平臺披露的信息，2020年度該平臺收錄安全漏洞達19964個，其中高危漏洞6906個(占34.6%)、中危漏洞10633個(占53.3%)、低危漏洞2425個(占12.1%)，較2019年漏洞收錄總數(shù)16050個環(huán)比增長24.39%。從黑客的攻擊途徑選擇上，針對全球廣域網(wǎng)類(WEB類)應(yīng)用的攻擊占到了71%。由此可見，軟件產(chǎn)品的安全漏洞已經(jīng)成為導(dǎo)致系統(tǒng)安全事件、造成信息安全損失的最主要內(nèi)因。

由于軟件安全漏洞形成機理復(fù)雜，治理難度很大。盡管各種新型安全技術(shù)層出不窮，但應(yīng)用系統(tǒng)安全問題卻越來越嚴峻。已有網(wǎng)絡(luò)安全等級保護標準和金融信息科技風險管理相關(guān)標準主要是面向系統(tǒng)安全，對于軟件產(chǎn)品的安全性沒有明確要求。這導(dǎo)致軟件安全性和系統(tǒng)安全性保障相分離，應(yīng)用系統(tǒng)上線后直面安全攻擊，軟件產(chǎn)品的安全缺陷在系統(tǒng)運行中會逐漸暴露，只能采取后天打補丁的方式進行修復(fù)，而這種事后修復(fù)方式又會帶來新的安全問題，系統(tǒng)的運行一直處于一種危機四伏的狀態(tài)。

健全資本市場軟件安全測試標準

為應(yīng)對日益嚴峻的網(wǎng)絡(luò)信息安全問題，資本市場加強軟件安全測試勢在必行。在預(yù)防系統(tǒng)性安全風險方面，應(yīng)用軟件是架構(gòu)上最后一層，也是未來上線后用戶接觸的表示層，因此軟件安全測試既是守“底線”也是守“前線”。通過軟件安全測試能夠在上線前對軟件遭受攻擊的抵御能力進行前置測試，并進行相應(yīng)修復(fù)，在應(yīng)用層級做好安全的最后一層防護，使應(yīng)用軟件在未來上線面對真實攻擊的情況下具備足夠的防護能力。

在市場機構(gòu)需求方面，目前資本市場中不同機構(gòu)在軟件安全測試方法、測試工具、測試技術(shù)水平上參差不齊，急需一套統(tǒng)一的技術(shù)規(guī)范和標準去指引軟件安全測試的有效開展。在安全相關(guān)標準方面，《軟件質(zhì)量模型》(ISO/IEC9126)只關(guān)注保密安全性，以等保標準為基礎(chǔ)的《信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求》(GB/T28452—2012)和《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)更多地關(guān)注等保框架下信息系統(tǒng)的安全技術(shù)要求，對于一般性應(yīng)用軟件產(chǎn)品的安全性沒有明確要求。

2019年，證監(jiān)會發(fā)布《證券期貨業(yè)軟件測試規(guī)范》金融行業(yè)標準，通過規(guī)范證券期貨業(yè)信息系統(tǒng)建設(shè)過程中的總體要求、單元測試、集成測試、系統(tǒng)測試、系統(tǒng)集成測試、驗收測試等測試活動的內(nèi)容，有效提高了行業(yè)軟件測試過程的標準化程度，為資本市場相關(guān)機構(gòu)解決了軟件測試“做什么”的問題。為了增強該標準的可讀性，以及完善測試類型的細節(jié)內(nèi)容，解決各種測試類型“怎么做”的問題，2020年證監(jiān)會組織編制并發(fā)布了《證券期貨業(yè)軟件測試指南軟件安全測試》(JR/T0191-2020)金融行業(yè)標準。該標準為《證券期貨業(yè)軟件測試規(guī)范》下的指南性文件，為行業(yè)軟件安全測試確定了標準化實施流程，為信息系統(tǒng)軟件安全測試提供了參考依據(jù)，彌補了行業(yè)軟件安全測試領(lǐng)域標準的缺失，滿足了行業(yè)單位針對軟件安全測試的指導(dǎo)要求。

軟件安全測試標準化提升全行業(yè)風險防范能力

建立適用于證券期貨行業(yè)的軟件安全測試標準，可為資本市場提供軟件安全測試流程、技術(shù)、內(nèi)容和文檔參考，提高行業(yè)軟件安全測試過程認知水平，促進行業(yè)軟件測試水平整體提升，從而降低行業(yè)信息系統(tǒng)運行風險。

《證券期貨業(yè)軟件測試指南軟件安全測試》2016年立項，前后歷經(jīng)了4年的不斷完善，于2020年正式發(fā)布。標準編寫過程中，有關(guān)部門結(jié)合網(wǎng)絡(luò)信息安全領(lǐng)域多年的經(jīng)驗沉淀以及目前資本市場對軟件安全測試的現(xiàn)實需求，分別對資本市場核心機構(gòu)、經(jīng)營機構(gòu)以及信息技術(shù)服務(wù)機構(gòu)制定不同的測試策略。其中核心機構(gòu)是指證券期貨交易所、證券登記結(jié)算機構(gòu)、期貨市場監(jiān)控中心等；經(jīng)營機構(gòu)指證券公司、期貨公司、基金公司等；信息技術(shù)服務(wù)機構(gòu)指為資本市場提供產(chǎn)品和服務(wù)的軟件開發(fā)商、信息商、服務(wù)商等。同時，這套標準還結(jié)合不同的被測系統(tǒng)分別制定不同的標準化流程，被測系統(tǒng)類型涵蓋了核心交易類(實時交易系統(tǒng))、核心業(yè)務(wù)類(清算、監(jiān)察、期貨交割等)、業(yè)務(wù)交互類(交易行情終端、移動終端、會員服務(wù)、電子倉單、柜臺系統(tǒng)、資管系統(tǒng)等)、網(wǎng)站查詢類(數(shù)據(jù)查詢、機構(gòu)網(wǎng)站等)等。

《證券期貨業(yè)軟件測試指南軟件安全測試》不僅僅解決了“做什么”的問題，而且通過完善的、具備指導(dǎo)意義的詳細內(nèi)容解決了“怎么做”的問題。在該標準推出之前，資本市場各機構(gòu)軟件安全測試的方法和力度存在片面性，無法有效保障軟件的安全。新標準的推出實現(xiàn)了測試流程合理、測試內(nèi)容齊備、測試輸入及方法標準化、測試輸出明確。同時為了兼顧軟件測試標準的可讀性和操作指導(dǎo)意義，該標準從流程和技術(shù)兩個方面指導(dǎo)軟件安全測試的開展。一方面，標準以軟件安全測試流程為主線，明確了每個階段的操作流程、方法和產(chǎn)出；另一方面，從測試技術(shù)的角度，詳細指導(dǎo)每一種安全測試技術(shù)的具體實施方法，包含測試目標，測試方法和結(jié)果判定原則。

在測試技術(shù)方面，該標準詳細描述了軟件安全測試的各關(guān)注點，包含每一關(guān)注點的測試目的、測試要求和評價標準。具體包括身份認證安全、通信安全、業(yè)務(wù)邏輯安全、存儲數(shù)據(jù)安全、算法安全、源代碼安全等17個部分。

同時，基于移動應(yīng)用的特點，標準描述了移動應(yīng)用特有的測試關(guān)注點，也包含每一關(guān)注點的測試目的、測試要求和評價標準，具體包括運行環(huán)境安全、安裝卸載安全、組件安全、權(quán)限安全、第三方庫安全、安裝包安全六個部分。

《證券期貨業(yè)軟件測試指南軟件安全測試》是證券期貨行業(yè)內(nèi)首個對軟件安全測試具有實踐性指導(dǎo)意義的標準，旨在提高全行業(yè)信息安全保障水平，切實提升軟件的安全性，減少信息泄露、資金被盜、黑客攻擊等非法行為損害行業(yè)機構(gòu)的名譽及經(jīng)濟利益，從而保護投資者的個人信息不受非法侵害，保護投資者的資金不被非法竊取。標準梳理了從系統(tǒng)分析、測試完成到輸出報告整個安全周期的測試流程，進一步規(guī)范了行業(yè)軟件安全測試工作，有助于行業(yè)機構(gòu)軟件安全檢測標準基線的建立和實施，為后續(xù)有效推動其他測試標準的應(yīng)用奠定了良好基礎(chǔ)。

標簽： 軟件安全 資本市場 軟件測試