《金融机构应用系统安全测试规程》（征求意见稿）标准编制说明.docx

1

金融机构应用系统安全测试

规范》（征求意见稿）编制说明

一、标准编制的背景

应用系统是金融机构运行和服务的基本保障，确保应用系统安全、稳定、可靠地研发、投产和运行是金融机构的基本能力要求，也是金融机构风险管理的重点。2009年，原中国银监会颁布了《商业银行信息科技风险管理指引》（银保监发〔2009〕19号）等银行业监管文件，要求银行业要对应用系统开发测试投产进行安全测试，确保有效控制信息系统应用风险。银监会和保监会合并为银保监会后，保险行业信息系统应用的安全性也逐渐纳入监管。同时，证券行业也要求交易所、各类券商、基金公司建立和完善应用系统安全测试机制，保障交易安全稳定。

随着新技术，特别是互联网应用的加快，金融机构应用系统风险面临呈现诸多新特点。一方面，互联网应用规模庞大、结构复杂，风险点数量增多、不可预见性增强的特点;另一方面，针对应用系统的网络安全攻击持续加剧，如Web应用程序攻击、API攻击、DdoS攻击、网络钓鱼、零日漏洞利用和僵尸网络活动。特别是Web应用程序和API攻击数量表现出惊人的激增势头，攻击持续高发，安全形势严峻。从2021年起，互联网应用攻击呈倍增态势，金融行业则成为攻击的重灾区。同时，Web攻击方式和攻击目标也趋于分散化、多样化和复杂化。如24小时内，利用新发现的零日漏洞针对金融服务业发起的攻击可能高达每小时数千次并且迅速达到高峰，频繁的互联网应用攻击可导致金融信息基础设施、通信系统、应用系统的故障、破坏，甚至严重损伤。

综合分析，上述风险主要集中在三个领域：一是应用系统与集成的安全风险，如应用系统与网络中的设备联动、设备互联互通、信息-物理系统的安全稳定控制、网络/设备存在的私有协议、跨设备的访问控制、网络流量过滤、网络数据的隐私保护等；二是“未知漏洞、未知后门”的安全风险，如设备可能存在的软硬件安全缺陷、预置后门、网络协议缺陷等；三是整体安全防护措施的风险，如系统安全防护策略/措施的配置错误、安全审计策略、身份口令的保护不到位、安全风险的识别与消除不到位等。因此，针对上述风险，急需从全局性、系统性

2

角度出发，构建金融行业特有的应用系统安全测试标准，特别是为互联网应用相关的金融服务提供安全测试规范。帮助金融机构构建完善的互联网应用安全测试体系，提升安全隐患识别、威胁防御、安全风险的处置能力，提高金融行业应用系统的总体风险控制水平。

基于此，该标准在充分调研和汲取信息科技审计分会行业最佳实践库相关案例的基础上，系统性地梳理了金融行业应用系统的业务特点，业务运行模式、风险点和有效措施，形成了金融行业互联网应用系统安全体系化的测试目标、原则和方法。规范和明确了现有互联网应用服务的安全测试范围。该标准将为金融行

业应用系统的业务创新、高可靠、稳定运行和风险防范提供有效保障。

二、任务来源

《金融机构应用系统安全测试规范》于2023年7月10日正式通过中国计算机用户协会的立项审核，立项计划号为：T/CCUALX001-2023。该标准由信息科技审计分会牵头，组织以中国农业银行股份有限公司和新华三技术有限公司作为主要编写单位，联合中国建设银行股份有限公司、华夏银行股份有限公司、上海浦东发展银行股份有限公司、中国光大银行股份有限公司、渤海银行股份有限公司、九江银行股份有限公司、深圳前海微众银行股份有限公司、开泰银行（中国）有限公司、浙江农商联合银行股份有限公司、山东重工集团财务有限公司、中国人寿保险集团股份有限公司等金融机构，北京安全共识科技有限公司、四维创智（北京）科技发展有限公司、奇安信网神信息技术（北京）股份有限公司、北京赛博昆仑科技有限公司、上海斗象信息科技有限公司、北京神州绿盟科技有限公司、北京奇虎科技有限公司、北京长亭科技有限公司、远江盛邦（北京）网络安全科技股份有限公司等提供金融级信息安全能力和测试服务的企业，南京审计大学、北京信息科技大学、中治研（北京）国际信息技术研究院等金融信息科技风险研究机构共同编制。

三、编制过程

1、2023年8月，团体标准《金融机构应用系统安全测试规程》编写组（以下简称“编写组”）成立。由分会副理事长单位中国农业银行股份有限公司担任组长单位，新华三技术有限公司担任副组长单位。编写组吸纳了金融机构、信息安全企业和研究机构共30多家会员单位参加。编写组发挥产学研协同优势，汇聚行业领先用户和企业经验，以行业最佳实践为基础（中国农业银行股份有限公

3

司提供），对金融机构应用系统的安全测试流程、测试范围、测试方法和测试要求进行规范，合力强化金融行业互联网应用系统的安全测试原则和体系架构。

2、2023年