证监会发布实施《证券期货业软件测试指南 软件安全测试》等三项金融行业标准

　　近日，证监会发布《证券期货业软件测试指南 软件安全测试》《证券期货业移动互联网应用程序安全规范》《证券期货业于银行间业务数据交换协议 第1部分：三方存管、银期转账和结售汇业务》等三项金融行业标准，自公布之日起施行。

　　一、《证券期货业软件测试指南 软件安全测试》标准

　　2019年，我会发布了JR/T 0175―2019《证券期货业软件测试规范》金融行业标准，通过规范证券期货业信息系统建设过程中的总体要求、单元测试、集成测试、系统测试、系统集成测试、验收测试等测试活动的内容，有效提高了行业软件测试过程的标准化程度。《证券期货业软件测试指南 软件安全测试》金融行业标准，是以JR/T 0175―2019中的测试流程与内容为基础，提供软件安全测试流程、技术和参考文档，进一步明确行业软件安全测试工作指引，通过加强对软件产品的安全特性、潜在的漏洞与风险等内容的检测，提高行业整体安全防御能力。以降低行业信息系统运行风险，促进行业信息系统建设水平整体提升，推动行业健康可持续发展。

　　标准从测试目的与流程、测试技术选择、测试方法等角度对如何进行软件安全测试给出了指导性意见。将测试流程划分为系统分析、威胁分析、设计、执行与报告环节，规范测试过程。阐述安全功能检查、代码安全测试、漏洞扫描、渗透测试、模糊测试五项安全测试技术的定义与测试内容，并结合行业情况，说明不同机构不同系统所选用的安全测试技术。对软件安全测试常用的十七种测试方法以及移动应用中特有的六种测试方法进行逐一说明，以指导行业机构进行软件安全测试执行工作。

　　二、《证券期货业移动互联网应用程序安全规范》标准

　　随着移动互联网新兴技术的蓬勃兴起，层出不穷的创新业务，在商业模式应用、技术风险控制等方面对金融业构成了新的挑战。在当前互联网金融浪潮中，信息系统建设与安全运行的压力越来越大，面临的信息安全形势日趋复杂，金融行业的移动互联网应用程序（简称APP）安全问题尤为严峻。国家为加强对移动互联网应用程序信息服务的规范管理，鼓励有关行业协会等依法制定自律性管理制度，加强用户权益保护。《证券期货业移动互联网应用程序安全规范》标准对证券期货业市场主流移动终端应用开展安全检测与风险评估，完善监测渠道与预警机制，建立移动终端应用管理安全风险提示系统，及时发现并通报移动终端应用的设计缺陷与安全漏洞，以及假冒、篡改的移动终端应用，督促经营机构加强对移动终端应用的安全管理，切实提高投资者风险防范意识。

　　标准从移动终端安全、身份鉴别、网络通信安全、数据安全、开发安全、安全审计等6个方面规范移动智能终端应用软件的全生命周期安全性。移动终端安全要求采取有效技术措施保障移动互联网应用程序的真实性、完整性，APP在移动终端上处理客户信息的机密性，以及APP在安装、运行、升级，卸载过程中的安全。身份鉴别是提供账号鉴别和认证功能，应对访问客户提供有效的身份认证机制，在客户访问应用业务前对用户身份进行鉴别。网络通信安全应采用安全的通信协议和强壮的加密算法，保障APP与服务器之间的所有连接与数据传输安全。数据安全应保障移动终端上的数据机密性、完整性。开发安全是APP开发过程中需制定安全需求、设计安全功能，测试安全模块，保障移动互联网应用程序的安全性。安全审计是APP在使用时需产生活动日志，服务器端应保存相应的日志记录，以备安全审计。

　　三、《证券期货业于银行间业务数据交换协议 第1部分：三方存管、银期转账和结售汇业务》标准

　　2009年，我会发布了JR/T 0046―2009《证券期货业与银行间业务数据交换消息体结构和设计规则》金融行业标准，较好地满足了证券期货业与银行间业务数据交换的需求。随着近年来证券期货市场创新业务的高速发展，证券期货业与银行间交换的业务数据量和种类日益增加，各机构间拥有各自的平台或信息系统，接口标准不尽相同，增加了全行业系统建设的复杂度和维护成本，后续新业务扩展的难度和监管的难度增加。《证券期货业于银行间业务数据交换协议 第1部分：三方存管、银期转账和结售汇业务》标准在JR/T 0046―2009的基础上，进一步扩大标准适用范围，满足更多创新业务或衍生业务的发展要求，降低了行业系统复杂度、运维成本和潜在运营风险。

　　此标准是证券期货业与银行间业务数据交换标准的第1部分，涵盖了三方存管、银期转账、融资融券、期货结售汇等相关业务，对证券期货业与银行间业务数据交换双方会话同步过程进行了约定，对证券期货端发起签到等30个流程给出了需求分析、业务分析和逻辑分析，并定义了业务数据交换所需的基本数据类型、业务元素类型、业务组件类型和消息报文。

　　下一步，我会将继续推进资本市场信息化建设，降低行业信息系统运行风险，着力增强基础标准化建设，不断提升行业标准化水平。