证监会发布实施《证券期货业软件测试指南软件安全测试》等三项金融行业标准

来源: 证监会 ?2020-07-17 19:08:43

证监会.jpg

        图片来源:微摄

  350vip葡亰350vip葡亰集团350vip葡亰集团350vip葡亰集团集团网讯   近日,证监会发布《证券期货业软件测试指南 软件安全测试》《证券期货业移动互联网运用程序安全规范》《证券期货业于银行间业务数据交换协议 第1部分:三方存管、银期转账和结售汇业务》等三项金融行业标准,自公布之日起实施。

  一、《证券期货业软件测试指南 软件安全测试》标准

  2019年,我会发布了JR/T 0175—2019《证券期货业软件测试规范》金融行业标准,经过规范证券期货业信息零碎建设过程中的总体要求、单元测试、集成测试、零碎测试、零碎集成测试、验收测试等测试活动的内容,有效进步了行业软件测试过程的标准化程度。《证券期货业软件测试指南 软件安全测试》金融行业标准,是以JR/T 0175—2019中的测试流程与内容为基。峁┤砑踩馐粤鞒、技术和参考文档,进一步明确行业软件安全测试工作指引,经过加强对软件产品的安全特性、潜在的漏洞与风险等内容的检测,进步行业全体安全防御才能。以降低行业信息零碎运转风险,促进行业信息零碎建设程度全体提升,推进行业健康可持续350vip葡亰集团。

  标准从测试目的与流程、测试技术选择、测试方法等角度对如何进行软件安全测试给出了指点性意见。将测试流程划分为零碎分析、要挟分析、设计、执行与报告环节,规范测试过程。阐述安全功能检查、代码安全测试、漏洞扫描、浸透测试、:馐晕逑畎踩馐约际醯亩ㄒ逵氩馐阅谌,并结合行业状况,阐明不同机构不同零碎所选用的安全测试技术。对软件安全测试常用的十七种测试方法以及移动运用中特有的六种测试方法进行逐一阐明,以指点行业机构进行软件安全测试执行工作。

  二、《证券期货业移动互联网运用程序安全规范》标准

  随着移动互联网新兴技术的蓬勃兴起,层出不穷的创新业务,在商业模式运用、技术风险控制等方面对金融业构成了新的应战。在当前互联网金融浪潮中,信息零碎建设与安全运转的压力越来越大,面临的信息安全情势日趋复杂,金融行业的移动互联网运用程序(简称APP)安全成绩尤为严峻。国家为加强对移动互联网运用程序信息服务的规范管理,鼓励有关行业协会等依法制定自律性管理制度,加强用户权益保护。《证券期货业移动互联网运用程序安全规范》标准对证券期货业市场主流移动终端运用开展安全检测与风险评价,完善监测渠道与预警机制,建立移动终端运用管理安全风险提示零碎,及时发现并通报移动终端运用的设计缺陷与安全漏洞,以及假冒、篡改的移动终端运用,督促运营机构加强对移动终端运用的安全管理,实在进步投资者风险防备看法。

  标准从移动终端安全、身份鉴别、网络通讯安全、数据安全、开发安全、安全审计等6个方面规范移动智能终端运用软件的全生命周期安全性。移动终端安全要求采取有效技术措施保障移动互联网运用程序的真实性、残缺性,APP在移动终端上处理客户信息的机密性,以及APP在安装、运转、晋级,卸载过程中的安全。身份鉴别是提供账号鉴别和认证功能,应对访问客户提供有效的身份认证机制,在客户访问运用业务前对用户身份进行鉴别。网络通讯安全应采用安全的通讯协议和健壮的加密算法,保障APP与服务器之间的一切连接与数据传输安全。数据安全应保障移动终端上的数据机密性、残缺性。开发安全是APP开发过程中需制定安全需求、设计安全功能,测试安全?,保障移动互联网运用程序的安全性。安全审计是APP在运用时需产生活动日志,服务器端应保存相应的日志记录,以备安全审计。

  三、《证券期货业于银行间业务数据交换协议 第1部分:三方存管、银期转账和结售汇业务》标准

  2009年,我会发布了JR/T 0046—2009《证券期货业与银行间业务数据交换音讯体结构和设计规则》金融行业标准,较好地满足了证券期货业与银行间业务数据交换的需求。随着近年来证券期货市场创新业务的350vip葡亰集团350vip葡亰集团,证券期货业与银行间交换的业务数据量和种类日益添加,各机构间拥有各自的平台或信息零碎,接口标准不尽相反,添加了全行业零碎建设的复杂度和维护成本,后续新业务扩展的难度和监管的难度添加。《证券期货业于银行间业务数据交换协议 第1部分:三方存管、银期转账和结售汇业务》标准在JR/T 0046—2009的基础上,进一步扩大标准适用范围,满足更多创新业务或衍生业务的350vip葡亰集团要求,降低了行业零碎复杂度、运维成本和潜在运营风险。

  此标准是证券期货业与银行间业务数据交换标准的第1部分,涵盖了三方存管、银期转账、融资融券、期货结售汇等相关业务,对证券期货业与银行间业务数据交换单方会话同步过程进行了商定,对证券期货端发起签到等30个流程给出了需求分析、业务分析和逻辑分析,并定义了业务数据交换所需的基本数据类型、业务元素类型、业务组件类型和音讯报文。

  下一步,我会将继续推进资本市场信息化建设,降低行业信息零碎运转风险,着力加强基础标准化建设,不断提升行业标准化程度。


更多精彩内容,点击下载 350vip葡亰350vip葡亰集团350vip葡亰集团350vip葡亰集团集团网APP 查看

相关旧事
友谊链接
----------------------- 底部结束 ----------------------------->