《中国金融》｜姚前：测试标准化确保资本市场信息安全作者

【《中国金融》｜姚前：测试标准化确保资本市场信息安全】作者｜姚前「中国证监会科技监管局局长」
文章｜《中国金融》2021年第15期

文章图片

文章图片
当前已有应用软件/系统的安全性标准主要是以等级保护标准（简称“等保标准”）为基础、面向系统安全性的评价。这类标准更多地关注运行时系统安全检测要求，是一种被动、滞后的安全保障方法，安全问题修复成本高，安全事件对生产系统/数据影响大。2020年7月发布的《证券期货业软件测试指南软件安全测试》金融行业标准，从测试的角度关注软件/系统产品在上线前的安全状态，是一种前置的、以较低成本进行问题修复的安全保障方式，对生产系统和数据不会造成影响，直接弥补了当前资本市场中安全标准对于应用软件安全性评测方面的不足。该标准以2019年10月发布的《证券期货业软件测试规范》（JR/T0175—2019）中的测试流程与内容为基础，提供软件安全测试流程、技术和参考文档，通过加强对软件产品的安全特性、潜在漏洞与风险等内容的检测，进一步明确了证券期货行业软件安全测试工作指引，旨在提高行业整体信息安全保障能力、降低行业信息系统运行风险、促进行业信息系统建设水平整体提升、推动行业健康可持续发展。
网络信息安全态势日益严峻
2020年新西兰证券交易所遭安全攻击，直接造成交易所连续五天发生多次交易中断，成为国际资本市场近年来由安全攻击造成的最严重的核心交易系统安全事件。同时，根据中国国家信息安全漏洞共享平台披露的信息， 2020年度该平台收录安全漏洞达19964个，其中高危漏洞6906个（占34.6%）、中危漏洞10633个（占53.3%）、低危漏洞2425个（占12.1%），较2019年漏洞收录总数16050个环比增长24.39% 。从黑客的攻击途径选择上，针对全球广域网类（WEB类）应用的攻击占到了71%（见图1）。由此可见，软件产品的安全漏洞已经成为导致系统安全事件、造成信息安全损失的最主要内因。

文章图片

文章图片
由于软件安全漏洞形成机理复杂，治理难度很大。尽管各种新型安全技术层出不穷，但应用系统安全问题却越来越严峻。已有网络安全等级保护标准和金融信息科技风险管理相关标准主要是面向系统安全，对于软件产品的安全性没有明确要求。这导致软件安全性和系统安全性保障相分离，应用系统上线后直面安全攻击，软件产品的安全缺陷在系统运行中会逐渐暴露，只能采取后天打补丁的方式进行修复，而这种事后修复方式又会带来新的安全问题，系统的运行一直处于一种危机四伏的状态。
健全资本市场软件安全测试标准
为应对日益严峻的网络信息安全问题，资本市场加强软件安全测试势在必行。在预防系统性安全风险方面，应用软件是架构上最后一层，也是未来上线后用户接触的表示层，因此软件安全测试既是守“底线”也是守“前线” 。通过软件安全测试能够在上线前对软件遭受攻击的抵御能力进行前置测试，并进行相应修复，在应用层级做好安全的最后一层防护，使应用软件在未来上线面对真实攻击的情况下具备足够的防护能力。
在市场机构需求方面，目前资本市场中不同机构在软件安全测试方法、测试工具、测试技术水平上参差不齐，急需一套统一的技术规范和标准去指引软件安全测试的有效开展。在安全相关标准方面，《软件质量模型》（ISO/IEC9126）只关注保密安全性，以等保标准为基础的《信息安全技术应用软件系统通用安全技术要求》（GB/T28452—2012）和《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）更多地关注等保框架下信息系统的安全技术要求，对于一般性应用软件产品的安全性没有明确要求。