《金融机构应用系统安全测试规程》（征求意见稿）标准编制说明.pdf

金融机构应用系统安全测试

规范》（征求意见稿）编制说明

一、标准编制的背景

应用系统是金融机构运行和服务的基本保障，确保应用系统安全、稳定、可

靠地研发、投产和运行是金融机构的基本能力要求，也是金融机构风险管理的重

点。2009年，原中国银监会颁布了《商业银行信息科技风险管理指引》（银保

监发〔2009〕19号）等银行业监管文件，要求银行业要对应用系统开发测试投

产进行安全测试，确保有效控制信息系统应用风险。银监会和保监会合并为银保

监会后，保险行业信息系统应用的安全性也逐渐纳入监管。同时，证券行业也要

求交易所、各类券商、基金公司建立和完善应用系统安全测试机制，保障交易安

全稳定。

随着新技术，特别是互联网应用的加快，金融机构应用系统风险面临呈现诸

多新特点。一方面，互联网应用规模庞大、结构复杂，风险点数量增多、不可预

见性增强的特点;另一方面，针对应用系统的网络安全攻击持续加剧，如Web应

用程序攻击、API攻击、DdoS攻击、网络钓鱼、零日漏洞利用和僵尸网络活动。

特别是Web应用程序和API攻击数量表现出惊人的激增势头，攻击持续高发，

安全形势严峻。从2021年起，互联网应用攻击呈倍增态势，金融行业则成为攻

击的重灾区。同时，Web攻击方式和攻击目标也趋于分散化、多样化和复杂化。

如24小时内，利用新发现的零日漏洞针对金融服务业发起的攻击可能高达每小

时数千次并且迅速达到高峰，频繁的互联网应用攻击可导致金融信息基础设施、

通信系统、应用系统的故障、破坏，甚至严重损伤。

综合分析，上述风险主要集中在三个领域：一是应用系统与集成的安全风险，

如应用系统与网络中的设备联动、设备互联互通、信息-物理系统的安全稳定控

制、网络/设备存在的私有协议、跨设备的访问控制、网络流量过滤、网络数据

的隐私保护等；二是“未知漏洞、未知后门”的安全风险，如设备可能存在的软

硬件安全缺陷、预置后门、网络协议缺陷等；三是整体安全防护措施的风险，如

系统安全防护策略/措施的配置错误、安全审计策略、身份口令的保护不到位、

安全风险的识别与消除不到位等。因此，针对上述风险，急需从全局性、系统性

1

角度出发，构建金融行业特有的应用系统安全测试标准，特别是为互联网应用相

关的金融服务提供安全测试规范。帮助金融机构构建完善的互联网应用安全测试

体系，提升安全隐患识别、威胁防御、安全风险的处置能力，提高金融行业应用

系统的总体风险控制水平。

基于此，该标准在充分调研和汲取信息科技审计分会行业最佳实践库相关案

例的基础上，系统性地梳理了金融行业应用系统的业务特点，业务运行模式、风

险点和有效措施，形成了金融行业互联网应用系统安全体系化的测试目标、原则

和方法。规范和明确了现有互联网应用服务的安全测试范围。该标准将为金融行

业应用系统的业务创新、高可靠、稳定运行和风险防范提供有效保障。

二、任务来源

《金融机构应用系统安全测试规范》于2023年7月10日正式通过中国计算

机用户协会的立项审核，立项计划号为：T/CCUALX001-2023。该标准由信息科

技审计分会牵头，组织以中国农业银行股份有限公司和新华三技术有限公司作为

主要编写单位，联合中国建设银行股份有限公司、华夏银行股份有限公司、上海

浦东发展银行股份有限公司、中国光大银行股份有限公司、渤海银行股份有限公

司、九江银行股份有限公司、深圳前海微众银行股份有限公司、开泰银行（中国）

有限公司、浙江农商联合银行股份有限公司、山东重工集团财务有限公司、中国

人寿保险集团股份有限公司等金融机构，北京安全共识科技有限公司、四维创智

（北京）科技发展有限公司、奇安信网神信息技术（北京）股份有限公司、北京

赛博昆仑科技有限公司、上海斗象信息科技有限公司、北京神州绿盟科技有限公

司、北京奇虎科技有限公司、北京长亭科技有限公司、远江盛邦（北京）网络安

全科技股份有限公司等提供金融级信息安全能力和测试服务的企业，南京审计大

学、北京信息科技大学、中治研（北京）国际信息技术研究院等金融信息科技风

险研究机构共同编制。

三、编制过程

1、2023年8月，团体标准《金融机构应用系统安全测试规程》编写组（以

下简称“编写组”）成立。由分会副理事长单位中国农业银行股份有限公司担任

组长单位，新华三技术有限公司担任副组长单位。编写