2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告

（內(nèi)部資料注意保存）中國計(jì)算機(jī)用戶協(xié)會信息科技審計(jì)分會1 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿 1前言 31、金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全建設(shè)概述 51.1、金融行業(yè)應(yīng)用系統(tǒng)安全的概述 51.2、金融行業(yè)應(yīng)用系統(tǒng)安全面臨的挑戰(zhàn) 51.3、金融行業(yè)應(yīng)用系統(tǒng)安全的解決方案 61.4、金融行業(yè)應(yīng)用系統(tǒng)安全的未來展望 61.5、應(yīng)用系統(tǒng)安全測試體系建設(shè)對金融機(jī)構(gòu)的意義 82、金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試調(diào)研情況分析 82.1、調(diào)研目的 82.2、調(diào)研問卷設(shè)計(jì)及統(tǒng)計(jì)方法 92.3、問卷回收情況 93、調(diào)研數(shù)據(jù)分析 113.1、應(yīng)用系統(tǒng)安全測試組織架構(gòu) 3.1.1、負(fù)責(zé)應(yīng)用系統(tǒng)安全部門情況統(tǒng)計(jì) 3.1.2、自有應(yīng)用安全測試團(tuán)隊(duì)人員規(guī)模情況分析 3.1.3、各機(jī)構(gòu)外協(xié)應(yīng)用系統(tǒng)安全測試人員規(guī)模 3.1.4、應(yīng)用系統(tǒng)安全測試領(lǐng)域每年的資金投入量級 3.2、互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全測試需求 3.2.1、各機(jī)構(gòu)提供服務(wù)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)數(shù)量 3.2.2、C/S架構(gòu)應(yīng)用的安全測試需求 3.2.3、開展應(yīng)用系統(tǒng)安全測試的計(jì)劃 3.2.4、提供服務(wù)的互聯(lián)網(wǎng)應(yīng)用類型 3.2.5、互聯(lián)網(wǎng)應(yīng)用中APP和小程序占比 3.2.6、互聯(lián)網(wǎng)應(yīng)用服務(wù)涵蓋的業(yè)務(wù)范圍 3.2.7、互聯(lián)網(wǎng)應(yīng)用服務(wù)發(fā)布/更新頻次 3.2.8、互聯(lián)網(wǎng)應(yīng)用上線后的安全測試頻率 3.2.9、安全測試對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的覆蓋情況 3.3、非互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全測試需求 2 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.3.1、各機(jī)構(gòu)提供服務(wù)的非互聯(lián)網(wǎng)應(yīng)用系統(tǒng)數(shù)量 3.3.2、內(nèi)部應(yīng)用系統(tǒng)安全測試團(tuán)隊(duì)建設(shè)情況 203.3.3、內(nèi)部應(yīng)用上線后進(jìn)行安全測試的頻率 213.3.4、安全測試對內(nèi)部應(yīng)用系統(tǒng)的覆蓋情況 213.4、各機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試質(zhì)量管理情況 223.4.1、應(yīng)用安全測試質(zhì)量對安全管理需求的滿足情況 223.4.2、各單位當(dāng)前的應(yīng)用安全測試管理水平 233.4.3、軟件安全開發(fā)全流程（SDLC）建立情況 233.4.4、目前已經(jīng)采用的應(yīng)用安全測試方式 243.4.5、應(yīng)用安全測試過程中重點(diǎn)關(guān)注的內(nèi)容 243.4.6、以往開展的應(yīng)用安全測試過程中主要檢查的內(nèi)容 253.4.7、平均每人天檢測出的應(yīng)用服務(wù)上線前安全缺陷數(shù)量 263.4.8、平均每人天檢測出的應(yīng)用服務(wù)上線后漏洞數(shù)量 263.4.9、應(yīng)用安全測試工具及其主要來源 263.4.10、對應(yīng)用安全測試的審計(jì)情況 273.5、各機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試標(biāo)準(zhǔn)化程度 283.5.1、應(yīng)用安全測試標(biāo)準(zhǔn)或規(guī)范建立情況 283.5.2、測試人員實(shí)施或培訓(xùn)技術(shù)指南形成情況 283.5.3、應(yīng)用安全測試質(zhì)量衡量準(zhǔn)則建立情況 293.5.4、應(yīng)用系統(tǒng)安全測試中使用的標(biāo)準(zhǔn)和規(guī)范 303.6、各機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試待解決問題 303.6.1、應(yīng)用安全測試過程中經(jīng)常遇到的問題 303.6.2、應(yīng)用安全測試工作最大的難點(diǎn) 313.6.3、希望分會提供的應(yīng)用安全測試領(lǐng)域服務(wù) 324、對金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)的建議 324.1、金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全的發(fā)展趨勢 324.2、加強(qiáng)應(yīng)用系統(tǒng)安全測試規(guī)范性建設(shè) 334.3、建立科學(xué)、規(guī)范、安全的應(yīng)用系統(tǒng)開發(fā)上線流程 334.4、建立科學(xué)、高效的應(yīng)用系統(tǒng)安全測試標(biāo)準(zhǔn)并定期更新 344.5、加強(qiáng)組織建設(shè)和人員能力提升 344.6、建議并逐步完成軟件安全開發(fā)全生命周期流程 355、報告編寫團(tuán)隊(duì) 363 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿2023年2月3日至3月15日開展了會員走訪和調(diào)研，征詢會員單位對分會2023年工作計(jì)劃的建議，收集會員對團(tuán)體標(biāo)準(zhǔn)建設(shè)和應(yīng)用的意見.本次調(diào)研共走訪28家會員單位，其中銀行16家，其中國有大型銀行3家，股份制銀行7家、城商行1家、農(nóng)商行2家、民營銀行1家、合資銀行1家、外資銀行1家，會員單位共提出17個研究課題，團(tuán)體標(biāo)準(zhǔn)類預(yù)研課題10項(xiàng)，其中“金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試規(guī)范”關(guān)注度較高。分會副理事長單位中國農(nóng)業(yè)銀行股份有限公司科技部門十分重視應(yīng)用系統(tǒng)安全測試管理體系建設(shè)，經(jīng)過多年實(shí)踐、積累和不斷優(yōu)化，測試管理體系日臻完善，并形成管理規(guī)范，得到了有關(guān)部門和同業(yè)的一致肯定。信息科技審計(jì)分會根據(jù)會員需求，組織中國農(nóng)業(yè)銀行股份有限公司、新華三集團(tuán)等會員單位組成研究小組對建立“金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試規(guī)范”團(tuán)體標(biāo)準(zhǔn)的必要性、可行性和效益性展開預(yù)研。2023年8月，《金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試規(guī)程》團(tuán)體標(biāo)準(zhǔn)起草組（以下簡稱“起草組”）成立。由分會副理事長單位中國農(nóng)業(yè)銀行股份有限公司擔(dān)任組長單位，中國建設(shè)銀行股份有限公司、華夏銀行股份有限公司、上海浦東發(fā)展銀行股份有限公司、中國光大銀行股份有限公司、渤海銀行股份有限公司、九江銀行股份有限公司、深圳前海微眾銀行股份有限公司、開泰銀行（中國）有限公司、浙江農(nóng)商聯(lián)合銀行股份有限公司、中國人壽保險集團(tuán)股份有限公司、山東重工集團(tuán)財務(wù)公司、南京審計(jì)大學(xué)、北京信息科技大學(xué)、中治研(北京)國際信息技術(shù)研究院等金融機(jī)構(gòu)用戶、大學(xué)及科研機(jī)構(gòu)，以及副組長單位新華三技術(shù)有限公司為代表的10多家信息安全企業(yè)共30多家會員單位參加起草組。4 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿該標(biāo)準(zhǔn)將發(fā)揮產(chǎn)學(xué)研協(xié)同優(yōu)勢，匯聚行業(yè)領(lǐng)先用戶和企業(yè)經(jīng)驗(yàn)，以行業(yè)最佳實(shí)踐為基礎(chǔ)，對金融機(jī)構(gòu)應(yīng)用系統(tǒng)的安全測試流程、測試范圍、測試方法和測試要求進(jìn)行規(guī)范，合力強(qiáng)化金融行業(yè)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的安全測試原則和體系架構(gòu)。為金融機(jī)構(gòu)應(yīng)用系統(tǒng)的安全和服務(wù)效能提升提供標(biāo)準(zhǔn)遵循，助力金融信息安全整體水平提升。根據(jù)計(jì)劃，起草組在標(biāo)準(zhǔn)編寫過程中，開展了金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全領(lǐng)域?qū)ｎ}調(diào)研。本次調(diào)研是為金融機(jī)構(gòu)、監(jiān)管部門、相關(guān)研究機(jī)構(gòu)、企業(yè)和行業(yè)組織了解金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全體系建設(shè)情況提供參考，同時，為團(tuán)體標(biāo)準(zhǔn)《金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試規(guī)程》的編寫和應(yīng)用提供行業(yè)依據(jù)。本次調(diào)研要感謝參與問卷設(shè)計(jì)和報告編寫的各會員單位，《金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試規(guī)程》團(tuán)體標(biāo)準(zhǔn)起草組成員。同時，也對參與本次問卷調(diào)研的單位表示最誠摯的謝意！特別感謝新華三技術(shù)有限公司、北京安全共識科技有限公司、四維創(chuàng)智（北京）科技發(fā)展有限公司、奇安信網(wǎng)神信息技術(shù)（北京）股份有限公司、北京賽博昆侖科技有限公司、上海斗象信息科技有限公司、北京神州綠盟科技有限公司、北京奇虎科技有限公司、北京長亭科技有限公司、遠(yuǎn)江盛邦（北京）網(wǎng)絡(luò)安全科技股份有限公司等單位對本次調(diào)研提供的贊助。由于受調(diào)研抽樣范圍、問卷設(shè)計(jì)、問卷理解和對相關(guān)信息解讀視角等因素制約，本調(diào)研報告內(nèi)容和觀點(diǎn)可能存在偏差或有待完善之處，不當(dāng)之處敬請各位領(lǐng)導(dǎo)、專家批評指正，提出建議和指導(dǎo)，以便于我們持續(xù)完善和改進(jìn)?！督鹑跈C(jī)構(gòu)應(yīng)用系統(tǒng)安全測試規(guī)程》團(tuán)體標(biāo)準(zhǔn)起草組2023年12月5 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿1、金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全建設(shè)概述1.1、金融行業(yè)應(yīng)用系統(tǒng)安全的概述應(yīng)用系統(tǒng)安全是指在金融機(jī)構(gòu)中保護(hù)應(yīng)用程序和相關(guān)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問、篡改、竊取或破壞的過程。它包括防止黑客入侵、惡意軟件感染、數(shù)據(jù)泄露和內(nèi)部威脅等惡意活動，同時確保應(yīng)用系統(tǒng)的機(jī)密性、完整性和可用性。應(yīng)用系統(tǒng)安全所涉及的范圍非常廣泛，包括各種應(yīng)用程序、數(shù)據(jù)庫、網(wǎng)絡(luò)通信、身份認(rèn)證和訪問控制等方面。它要求在應(yīng)用系統(tǒng)的設(shè)計(jì)、開發(fā)、部署和運(yùn)維各個環(huán)節(jié)都需要考慮安全問題，以保護(hù)金融機(jī)構(gòu)的信息資產(chǎn)和用戶的敏感數(shù)據(jù)。1.2、金融行業(yè)應(yīng)用系統(tǒng)安全面臨的挑戰(zhàn)金融行業(yè)應(yīng)用系統(tǒng)安全面臨著獨(dú)特的挑戰(zhàn)，包括但不限于以下幾個方面?！駭?shù)據(jù)安全與隱私保護(hù)：金融行業(yè)應(yīng)用涉及大量的個人隱私和財務(wù)數(shù)據(jù)，需要確保用戶數(shù)據(jù)在傳輸、存儲和處理過程中不受到未經(jīng)授權(quán)的訪問或泄露?！窠灰装踩c風(fēng)險控制：金融應(yīng)用需要確保交易過程的安全性和完整性，同時要對交易進(jìn)行有效的風(fēng)險控制，防范欺詐行為和交易風(fēng)險。●合規(guī)和監(jiān)管要求：金融行業(yè)對用戶數(shù)據(jù)隱私保護(hù)、合規(guī)要求和信息安全等方面有著嚴(yán)格要求，金融機(jī)構(gòu)需要密切關(guān)注和應(yīng)對合規(guī)要求，確保應(yīng)用系統(tǒng)的安全性和合法性。新興技術(shù)與安全挑戰(zhàn)：金融行業(yè)不斷接受新技術(shù)的應(yīng)用，如區(qū)塊鏈、人工智能和物聯(lián)網(wǎng)，這些新技術(shù)也帶來了新的安全挑戰(zhàn)，需要及時應(yīng)對。此外，黑客及其他攻擊者不斷研發(fā)新的攻擊技術(shù)和工具，攻擊手段日趨復(fù)雜和隱蔽：例如，惡意軟件、零日漏洞攻擊、拒絕服務(wù)攻擊等，給應(yīng)用系統(tǒng)的安全性帶來了巨大威脅?！褚苿討?yīng)用的快速發(fā)展和云計(jì)算的廣泛應(yīng)用使得應(yīng)用系統(tǒng)的攻擊面更廣：許多6 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿金融機(jī)構(gòu)都提供移動應(yīng)用和在線服務(wù)，從而擴(kuò)大了攻擊者的入侵途徑。此外，移動設(shè)備的本身安全性薄弱，如手機(jī)丟失、越獄或Root等問題，也使得金融機(jī)構(gòu)的應(yīng)用系統(tǒng)安全面臨更多挑戰(zhàn)?！窠鹑跈C(jī)構(gòu)面臨內(nèi)部人員的惡意行為和錯誤操作帶來的風(fēng)險：員工的疏忽、不當(dāng)行為、以及內(nèi)部人員故意濫用權(quán)限等因素，都可能導(dǎo)致應(yīng)用系統(tǒng)的安全漏洞和數(shù)據(jù)泄露等問題。1.3、金融行業(yè)應(yīng)用系統(tǒng)安全的解決方案為保障金融行業(yè)的應(yīng)用系統(tǒng)安全，需要采取多種綜合的措施?！癜踩_發(fā)與編碼規(guī)范：金融應(yīng)用程序的開發(fā)過程需要嚴(yán)格遵守安全開發(fā)的最佳實(shí)踐和編碼規(guī)范，包括安全編碼指南、代碼審查、安全工具使用等，以降低應(yīng)用程序的安全風(fēng)險?！裆矸菡J(rèn)證與訪問控制：強(qiáng)化對用戶身份的認(rèn)證，采用雙因素認(rèn)證、生物特征識別等多種方式，同時對用戶的訪問權(quán)限進(jìn)行嚴(yán)格控制，確保用戶只能訪問其授權(quán)范圍內(nèi)的數(shù)據(jù)和功能?！駭?shù)據(jù)加密與安全傳輸：在數(shù)據(jù)傳輸和存儲過程中采用強(qiáng)大的加密算法，包括SSL/TLS協(xié)議的應(yīng)用、端到端加密等，以防止數(shù)據(jù)泄露和竊取?！癜踩O(jiān)控與響應(yīng)系統(tǒng)：建立完善的安全監(jiān)控系統(tǒng)，能夠?qū)崟r檢測和應(yīng)對各類安全威脅，及時采取應(yīng)對措施，保障金融應(yīng)用的穩(wěn)定性和安全性?！癜踩嘤?xùn)與意識普及：對金融從業(yè)人員進(jìn)行安全意識培訓(xùn)，提高其安全意識和應(yīng)急響應(yīng)能力，確保員工能夠積極參與應(yīng)用系統(tǒng)安全工作。1.4、金融行業(yè)應(yīng)用系統(tǒng)安全的未來展望面對飛速發(fā)展的技術(shù)和日益復(fù)雜的威脅，金融行業(yè)應(yīng)用系統(tǒng)安全也將不斷面臨7 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿挑戰(zhàn)。未來，金融行業(yè)應(yīng)用系統(tǒng)安全需要更加注重與新興技術(shù)的結(jié)合，如區(qū)塊鏈、人工智能、大數(shù)據(jù)分析等，以提高金融應(yīng)用的智能化和安全性。此外，金融行業(yè)應(yīng)加強(qiáng)與監(jiān)管機(jī)構(gòu)、行業(yè)組織的合作，共同制定更為嚴(yán)格的安全標(biāo)準(zhǔn)和規(guī)范，形成全行業(yè)共同維護(hù)應(yīng)用系統(tǒng)安全的良好氛圍。同時，金融行業(yè)應(yīng)用需要持續(xù)投入研發(fā)和技術(shù)更新，保持對最新安全威脅和攻擊方式的快速響應(yīng)能力，從而構(gòu)建更加安全可靠的金融應(yīng)用生態(tài)。為了應(yīng)對當(dāng)前面臨的風(fēng)險和挑戰(zhàn)，金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全需要在以下方面做出首先，金融機(jī)構(gòu)應(yīng)加強(qiáng)安全文化和意識的培養(yǎng)。安全意識教育和培訓(xùn)應(yīng)該貫穿金融機(jī)構(gòu)的每個部門和崗位。金融機(jī)構(gòu)應(yīng)該定期開展安全培訓(xùn)和演練，提高員工的安全意識，減少對惡意攻擊和釣魚郵件等的誤點(diǎn)率。其次，金融機(jī)構(gòu)應(yīng)實(shí)施完善的訪問控制和身份認(rèn)證措施。采用多因素身份認(rèn)證、另外，金融機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)安全存儲和安全傳輸。對于敏感數(shù)據(jù)的傳輸和存儲，采取加密技術(shù)來保護(hù)數(shù)據(jù)的機(jī)密性，包括SSL/TLS協(xié)議的應(yīng)用、端到端加密等。同時，要定期備份數(shù)據(jù)并測試還原能力，以應(yīng)對數(shù)據(jù)丟失和系統(tǒng)故障的情況。金融機(jī)構(gòu)還應(yīng)加強(qiáng)安全監(jiān)控和事件響應(yīng)能力。建立安全信息與事件管理系統(tǒng)（SIEM），實(shí)時監(jiān)測應(yīng)用系統(tǒng)的安全狀態(tài)，并能夠迅速響應(yīng)和處置安全事件。金融機(jī)構(gòu)應(yīng)建立靈敏的事件響應(yīng)機(jī)制，及時發(fā)現(xiàn)和應(yīng)對安全漏洞和威脅。此外，金融機(jī)構(gòu)應(yīng)加強(qiáng)合規(guī)和監(jiān)管要求的遵循。及時了解和跟蹤合規(guī)和監(jiān)管要求的變化，確保應(yīng)用系統(tǒng)的合規(guī)性。金融機(jī)構(gòu)應(yīng)建立健全的合規(guī)保密制度，加強(qiáng)對敏感數(shù)據(jù)的保護(hù)和審計(jì)?？偠灾?，金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全因其重要性對金融機(jī)構(gòu)的穩(wěn)定運(yùn)營、客戶資8 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿產(chǎn)安全及合規(guī)要求都具有重要意義。金融機(jī)構(gòu)應(yīng)適應(yīng)不斷變化的安全威脅，采取綜合的安全防御策略，并不斷更新安全技術(shù)和提升員工安全意識，以確保應(yīng)對風(fēng)險和挑戰(zhàn)的能力，并為客戶提供安全可靠的金融服務(wù)。1.5、應(yīng)用系統(tǒng)安全測試體系建設(shè)對金融機(jī)構(gòu)的意義應(yīng)用系統(tǒng)安全建設(shè)對金融機(jī)構(gòu)具有重要意義，同時也是提高應(yīng)用系統(tǒng)安全的重要手段。首先，隨著數(shù)字化轉(zhuǎn)型的深入推進(jìn)，金融機(jī)構(gòu)的業(yè)務(wù)開展越來越依賴于應(yīng)用系統(tǒng)，這些應(yīng)用系統(tǒng)承載著金融交易、支付系統(tǒng)、個人賬戶信息等極為敏感的數(shù)據(jù)和業(yè)務(wù)流程，因此這些應(yīng)用系統(tǒng)的安全性尤為關(guān)鍵。正確認(rèn)識和處理金融行業(yè)應(yīng)用系統(tǒng)安全問題，對金融系統(tǒng)的穩(wěn)定和用戶個人資產(chǎn)的保障至關(guān)重要。金融機(jī)構(gòu)處理著大量的敏感金融數(shù)據(jù)和客戶信息，如賬戶密碼、交易記錄、身份證號碼等，保護(hù)這些數(shù)據(jù)的安全對于金融機(jī)構(gòu)和客戶來說至關(guān)重要。應(yīng)用系統(tǒng)安全可以防止黑客入侵，避免數(shù)據(jù)泄露和身份盜竊，保護(hù)用戶的財產(chǎn)安全和隱私權(quán)。其次，金融機(jī)構(gòu)的應(yīng)用系統(tǒng)安全對于業(yè)務(wù)連續(xù)性和穩(wěn)定運(yùn)行也至關(guān)重要。應(yīng)用系統(tǒng)受到惡意攻擊、病毒感染或漏洞利用等攻擊事件的影響可能會導(dǎo)致業(yè)務(wù)中斷、服務(wù)質(zhì)量下降和聲譽(yù)受損等問題。保護(hù)應(yīng)用系統(tǒng)的安全性，可以確保金融機(jī)構(gòu)的正常運(yùn)營和客戶滿意度。另外，金融機(jī)構(gòu)需要滿足合規(guī)和監(jiān)管機(jī)構(gòu)的要求，如實(shí)名認(rèn)證（KYC）、反洗錢（AML）等規(guī)定。應(yīng)用系統(tǒng)安全的保護(hù)是金融機(jī)構(gòu)履行合規(guī)要求的基礎(chǔ)，也是保護(hù)機(jī)構(gòu)聲譽(yù)和信任的重要保證。2、金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試調(diào)研情況分析2.1、調(diào)研目的9 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿本次調(diào)研是針對金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)情況的一個全面調(diào)研，調(diào)研內(nèi)容涉及到金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)的各方面內(nèi)容，同時收集了金融機(jī)構(gòu)對應(yīng)用系統(tǒng)安全測試方面的訴求，以期更好的指導(dǎo)金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試標(biāo)準(zhǔn)的編寫。金融機(jī)構(gòu)的工作性質(zhì)決定了網(wǎng)絡(luò)安全在其整體的工作部署中占據(jù)重要位置，因此，金融機(jī)構(gòu)的網(wǎng)絡(luò)安全工作在所有行業(yè)中都是相對超前的，通過對國內(nèi)金融機(jī)構(gòu)的應(yīng)用系統(tǒng)安全測試情況進(jìn)行摸底和調(diào)研，除了可以更好地指導(dǎo)國內(nèi)金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試的開展，也可以將相關(guān)建議和標(biāo)準(zhǔn)推廣到更多行業(yè)，進(jìn)而提升全行業(yè)的應(yīng)用系統(tǒng)安全測試水平。2.2、調(diào)研問卷設(shè)計(jì)及統(tǒng)計(jì)方法調(diào)研問卷包括調(diào)研各機(jī)構(gòu)安全測試組織架構(gòu)、互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全測試需求、非互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全測試需求、應(yīng)用系統(tǒng)安全測試質(zhì)量管理情況、應(yīng)用系統(tǒng)安全測試標(biāo)準(zhǔn)化程度、應(yīng)用系統(tǒng)安全測試待解決問題等6個大類38個問題。本次問卷發(fā)放采用定向和非定向相結(jié)合的方式，定向方式是通過分會向會員單位郵箱發(fā)送，非定向方式采用分會公眾號和會員微信群發(fā)布。對回收的問卷進(jìn)行一定的整理，包括填報單位的行業(yè)機(jī)構(gòu)的劃分、單位重復(fù)問卷的剔除等。對回收的問卷數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，數(shù)據(jù)分布情況進(jìn)行分析。問卷分析。根據(jù)問卷統(tǒng)計(jì)結(jié)果，組織專家進(jìn)行分析。2.3、問卷回收情況行2份、股份制商業(yè)銀行4份、城市商業(yè)銀行4份、農(nóng)村商業(yè)銀行3份、農(nóng)村信 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿用社2份、保險機(jī)構(gòu)1份、金融科技企業(yè)2份，具體分布如圖1所示：從本次調(diào)研問卷回收情況來看，參與機(jī)構(gòu)分類全面，樣本分布均衡，調(diào)研采樣具有較全面的代表性。本次問卷填寫人員中，總共有9種類型的人員，其中安全管理人員數(shù)量最多，占比達(dá)到38%，同時注意到很多機(jī)構(gòu)存在兼職的情況，即未設(shè)置專門的安全管理人員或者一個人員身兼數(shù)職；同時出現(xiàn)有高級管理人員親自負(fù)責(zé)安全管理的情 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3、調(diào)研數(shù)據(jù)分析3.1、應(yīng)用系統(tǒng)安全測試組織架構(gòu)通過本次調(diào)研，可以了解到參與本次調(diào)研的全部機(jī)構(gòu)，用來對應(yīng)用安全測試進(jìn)行管理，這說明應(yīng)用系統(tǒng)安全測試的在這些機(jī)構(gòu)中的到了一定程度的重視。3.1.1、負(fù)責(zé)應(yīng)用系統(tǒng)安全部門情況統(tǒng)計(jì)通過調(diào)研情況可以看出，負(fù)責(zé)應(yīng)用系統(tǒng)安全測試的部門主要為科技部，占比達(dá)到41%，同時多個機(jī)構(gòu)存在多個部門并行管理應(yīng)用安全測試的情況，對于此類管理架構(gòu)，是否存在因職能沖突導(dǎo)致責(zé)任分配不均，從而出現(xiàn)效率不足的情況，尚待進(jìn)一步調(diào)研分析。3.1.2、自有應(yīng)用安全測試團(tuán)隊(duì)人員規(guī)模情況分析通過對被調(diào)研機(jī)構(gòu)的自有測試團(tuán)隊(duì)人員規(guī)模進(jìn)行分析，可以發(fā)現(xiàn)絕大部分機(jī)構(gòu) 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿的測試團(tuán)隊(duì)人員規(guī)模小于10人（占比在78%僅有3家參加調(diào)研的單位測試團(tuán)隊(duì)人員數(shù)量超過40人，均為國有商業(yè)銀行或者股份制商業(yè)銀行，另有個別規(guī)模較小單位無專門測試團(tuán)隊(duì)；可以看出，國有商業(yè)銀行和股份制銀行對于應(yīng)用系統(tǒng)安全測試的工作投入較大，但對部分地方性銀行機(jī)構(gòu)，由于預(yù)算等各種原因，這一塊的投入明顯不足。3.1.3、各機(jī)構(gòu)外協(xié)應(yīng)用系統(tǒng)安全測試人員規(guī)模從調(diào)研結(jié)果分析，有1/3的被調(diào)研單位沒有使用外協(xié)來開展應(yīng)用安全測試，使用外協(xié)的大部分都不超過30人，僅一家股份制商業(yè)銀行使用了超過40人規(guī)模的外協(xié)應(yīng)用系統(tǒng)安全測試團(tuán)隊(duì)；值得注意的是，有個別規(guī)模較小單位，既無自有專職測試人員，也未使用外協(xié)人員進(jìn)行日常測試，該機(jī)構(gòu)的應(yīng)用系統(tǒng)安全性尚需進(jìn)行進(jìn)一步評估。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.1.4、應(yīng)用系統(tǒng)安全測試領(lǐng)域每年的資金投入量級調(diào)研結(jié)果顯示，一半以上的金融機(jī)構(gòu)每年投入到應(yīng)用系統(tǒng)安全測試領(lǐng)域的資金超過100萬，包括但不限于相關(guān)的工具和服務(wù)采購，其中17%的金融機(jī)構(gòu)年投入超過1000萬，僅有不到11%的金融機(jī)構(gòu)年投入在100萬以下；另有22%的被調(diào)研單位未對該類型資金投入作專門的統(tǒng)計(jì)。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.2、互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全測試需求3.2.1、各機(jī)構(gòu)提供服務(wù)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)數(shù)量與非互聯(lián)網(wǎng)應(yīng)用系統(tǒng)相比，互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的數(shù)量明顯減少，超一半以上都少于50個，僅2個單位的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)數(shù)量超過200個，分別為國有商業(yè)銀行和股份制商業(yè)銀行，互聯(lián)網(wǎng)應(yīng)用系統(tǒng)數(shù)量呈現(xiàn)出與非互聯(lián)網(wǎng)應(yīng)用系統(tǒng)數(shù)量相同的規(guī)律3.2.2、C/S架構(gòu)應(yīng)用的安全測試需求在所有參與調(diào)研的單位中，有近89%的單位有C/S架構(gòu)應(yīng)用的測試需求，可以看出，在當(dāng)前的金融機(jī)構(gòu)中，C/S架構(gòu)的應(yīng)用依然在大范圍的使用，僅11%的單位沒有C/S架構(gòu)應(yīng)用的測試需求。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.2.3、開展應(yīng)用系統(tǒng)安全測試的計(jì)劃根據(jù)調(diào)研結(jié)果可以看出，本次參與調(diào)研的全部金融機(jī)構(gòu)中，絕大多數(shù)（94%）在以往已經(jīng)開展了應(yīng)用系統(tǒng)安全測試，僅有個別機(jī)構(gòu)目前暫未開展但也已制定相關(guān)測試計(jì)劃，預(yù)計(jì)后續(xù)開展應(yīng)用系統(tǒng)安全測試工作，此處也可以看出不同規(guī)模和地區(qū)的金融機(jī)構(gòu)對于應(yīng)用系統(tǒng)安全測試的重視程度也存在一定的差異。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.2.4、提供服務(wù)的互聯(lián)網(wǎng)應(yīng)用類型從調(diào)研結(jié)果可以看出，幾乎所有的機(jī)構(gòu)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)都涵蓋了幾個大類：WEB類應(yīng)用、APP類應(yīng)用、微信、支付寶公眾號、微信、支付寶小程序3.2.5、互聯(lián)網(wǎng)應(yīng)用中APP和小程序占比從調(diào)研結(jié)果可以看出，多數(shù)機(jī)構(gòu)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)中，APP和小程序的占比相對較低，其中接近39%的機(jī)構(gòu)，占比低于25%，超過83%的機(jī)構(gòu)APP和小程序應(yīng)用的占比低于應(yīng)用系統(tǒng)的一半；表明當(dāng)前環(huán)境下，互聯(lián)網(wǎng)應(yīng)用依然以Web、H5應(yīng)用為主，同時，APP和小程序由于其能更好的的適配移動端業(yè)務(wù)需求，也在逐步的發(fā)展。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.2.6、互聯(lián)網(wǎng)應(yīng)用服務(wù)涵蓋的業(yè)務(wù)范圍從調(diào)研結(jié)果可以看出，參與本地調(diào)研的絕大部分金融機(jī)構(gòu)互聯(lián)網(wǎng)應(yīng)用的業(yè)務(wù)范圍集中在在線銀行、辦公、個人財務(wù)管理和金融交易平臺等金融機(jī)構(gòu)對外服務(wù)的業(yè)務(wù)上，本次參與調(diào)研的金融機(jī)構(gòu)大多數(shù)為銀行，所以保險服務(wù)和證券交易相對較少，另有39%左右參與調(diào)研的金融機(jī)構(gòu)會在互聯(lián)網(wǎng)上部署內(nèi)部管理業(yè)務(wù)。3.2.7、互聯(lián)網(wǎng)應(yīng)用服務(wù)發(fā)布/更新頻次根據(jù)調(diào)研結(jié)果可知，金融機(jī)構(gòu)互聯(lián)網(wǎng)應(yīng)用服務(wù)變更多為按需變更或雙周變更，兩者占比高達(dá)89%，每周單次或多次變更的金融機(jī)構(gòu)均只有1家，分別為國有制銀行和股份制銀行，可以看出大的金融機(jī)構(gòu)對于互聯(lián)網(wǎng)應(yīng)用服務(wù)的迭代更新要求更高，需要頻繁的進(jìn)行功能迭代或者補(bǔ)丁更新，進(jìn)行安全性或功能性更新。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.2.8、互聯(lián)網(wǎng)應(yīng)用上線后的安全測試頻率對調(diào)研數(shù)據(jù)進(jìn)行分析，可以看出各金額機(jī)構(gòu)對于互聯(lián)網(wǎng)應(yīng)用系統(tǒng)定期開展測試從不到4成提升到了超過5.5成，可以看出各金融機(jī)構(gòu)對于互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的安全性更加看重，這也與互聯(lián)網(wǎng)應(yīng)用系統(tǒng)直接面對最終用戶以及復(fù)雜多變的互聯(lián)網(wǎng)環(huán)境有關(guān)。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.2.9、安全測試對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的覆蓋情況與內(nèi)部應(yīng)用系統(tǒng)的測試情況截然相反，各金融機(jī)構(gòu)對于互聯(lián)網(wǎng)系統(tǒng)的安全測試工作表現(xiàn)出了相當(dāng)程度的重視，絕大多數(shù)的金融機(jī)構(gòu)（78%）會選擇對全部的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行安全測試，僅極少數(shù)單位只對部分重點(diǎn)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行安全測試，這與之前的互聯(lián)網(wǎng)系統(tǒng)測試頻率高于內(nèi)網(wǎng)系統(tǒng)測試頻率也相匹配。3.3、非互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全測試需求3.3.1、各機(jī)構(gòu)提供服務(wù)的非互聯(lián)網(wǎng)應(yīng)用系統(tǒng)數(shù)量可以看出，大部分被參與調(diào)研的機(jī)構(gòu)非互聯(lián)網(wǎng)應(yīng)用系統(tǒng)數(shù)量少于200個，占比達(dá)到將近79%，僅2個機(jī)構(gòu)的應(yīng)用系統(tǒng)數(shù)量超過600個，分別為1個國有商業(yè)銀行和1個股份制商業(yè)銀行，可以看出應(yīng)用系統(tǒng)的數(shù)量與本身的業(yè)務(wù)規(guī)模呈現(xiàn)明顯的相關(guān)關(guān)系。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.3.2、內(nèi)部應(yīng)用系統(tǒng)安全測試團(tuán)隊(duì)建設(shè)情況根據(jù)調(diào)研結(jié)果顯示，約78%的金融機(jī)構(gòu)設(shè)立有專門的安全測試團(tuán)隊(duì)，開展日常的應(yīng)用系統(tǒng)安全測試工作，另有5%左右的金融機(jī)構(gòu)由具備安全測試能力的開發(fā)和軟件測試團(tuán)隊(duì)兼顧這一部分工作；除此之外，仍有16%左右的金融機(jī)構(gòu)不具備應(yīng)用安全測試能力，需要部分外包給第三方的安全測試團(tuán)隊(duì)，這些單位全部為規(guī)模較小單位。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.3.3、內(nèi)部應(yīng)用上線后進(jìn)行安全測試的頻率有調(diào)研結(jié)果可知，有超過60%的金融機(jī)構(gòu)的內(nèi)部應(yīng)用安全測試是不定期或根據(jù)需要來開展的，只有不到40%的金融機(jī)構(gòu)會定期開展應(yīng)用安全測試，其中最多的是選擇每季度開展一次應(yīng)用安全測試工作；以上結(jié)果表明大部分金融機(jī)構(gòu)的內(nèi)部應(yīng)用安全測試開展是與業(yè)務(wù)緊密結(jié)合的。3.3.4、安全測試對內(nèi)部應(yīng)用系統(tǒng)的覆蓋情況分析調(diào)研結(jié)果可以看出，目前各金融機(jī)構(gòu)對于內(nèi)部應(yīng)用系統(tǒng)安全測試分為3種類型：測試全部內(nèi)部系統(tǒng)，測試全部重要內(nèi)部系統(tǒng)和測試部分重要內(nèi)部系統(tǒng)，且這3種類型所占的比例均為1/3；其中測試全部內(nèi)部系統(tǒng)的機(jī)構(gòu)中，國有商業(yè)銀行和股份制銀行占大多數(shù)，測試部分重要系統(tǒng)的機(jī)構(gòu)中，規(guī)模較小單位占大多數(shù)，這除了表明各機(jī)構(gòu)對內(nèi)部系統(tǒng)安全性的重視程度不同外，也在一定程度上體現(xiàn)出了應(yīng)用系統(tǒng)安全測試體系建設(shè)的差異性。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.4、各機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試質(zhì)量管理情況3.4.1、應(yīng)用安全測試質(zhì)量對安全管理需求的滿足情況根據(jù)調(diào)研情況，當(dāng)前超過94%的機(jī)構(gòu)的應(yīng)用安全測試質(zhì)量能基本滿足其單位當(dāng)前的安全管理需求。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.4.2、各單位當(dāng)前的應(yīng)用安全測試管理水平通過對各金融機(jī)構(gòu)當(dāng)前應(yīng)用系統(tǒng)安全測試管理水平進(jìn)行調(diào)研，可以看到大部分機(jī)構(gòu)目前都處于發(fā)展階段和成熟階段，僅5%的單位認(rèn)為本單位目前的管理水平已經(jīng)處于領(lǐng)先階段，僅有11%的單位目前認(rèn)為自己仍處于初級階段，為規(guī)模較小單位，這與前面的調(diào)研情況相匹配。3.4.3、軟件安全開發(fā)全流程（SDLC）建立情況根據(jù)調(diào)研結(jié)果可以看出，本次參與調(diào)研的全部金融機(jī)構(gòu)中，已建立或已初步建立SDLC的金融機(jī)構(gòu)占比達(dá)到94%，其中28%的被調(diào)研單位具備成熟的SDLC全流程并已經(jīng)應(yīng)用到該單位全部的Web應(yīng)用服務(wù)項(xiàng)目中，僅有個別被調(diào)研單位尚未建立SDLC流程，可以看出部分金融機(jī)構(gòu)在應(yīng)用安全上的投入和重視程度與國有商業(yè)銀行和股份制商業(yè)銀行相比存在著較大的差距。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.4.4、目前已經(jīng)采用的應(yīng)用安全測試方式通過分析調(diào)研結(jié)果可以發(fā)現(xiàn)，在各金融機(jī)構(gòu)目前已經(jīng)采用的三種應(yīng)用安全測試方法為漏洞掃描工具掃描、人工滲透測試和靜態(tài)與動態(tài)代碼分析，其中漏掃的使用率為100%。自動化安全測試和安全標(biāo)準(zhǔn)與規(guī)范遵循緊隨其后，分別都有2/3的金融機(jī)構(gòu)使用這兩個類型的應(yīng)用安全測試方法；另有一半的金融機(jī)構(gòu)采用第三方審計(jì)的方法來進(jìn)行應(yīng)用系統(tǒng)安全測試。3.4.5、應(yīng)用安全測試過程中重點(diǎn)關(guān)注的內(nèi)容在各類型的應(yīng)用安全漏洞中，下圖中所列出的10類最受關(guān)注的內(nèi)容，其中， 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿身份認(rèn)證與授權(quán)，敏感數(shù)據(jù)保護(hù)受到了100%的關(guān)注，可以看出這兩項(xiàng)內(nèi)容在金融相關(guān)業(yè)務(wù)系統(tǒng)中是至關(guān)重要的；另外，關(guān)注度在90%以上的還有輸入驗(yàn)證和上傳文件的安全性，這一類交互強(qiáng)相關(guān)的問題，體現(xiàn)出了金融行業(yè)對業(yè)務(wù)交互安全性的重視。3.4.6、以往開展的應(yīng)用安全測試過程中主要檢查的內(nèi)容根據(jù)調(diào)研結(jié)果，下圖所示的9種內(nèi)容在各金融機(jī)構(gòu)以往開展的檢查中為主要檢查，且占比都非常高。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.4.7、平均每人天檢測出的應(yīng)用服務(wù)上線前安全缺陷數(shù)量根據(jù)調(diào)研結(jié)果，僅44%的金融機(jī)構(gòu)對應(yīng)用上線前的漏洞檢出數(shù)量進(jìn)行了精確的統(tǒng)計(jì)，且每人天檢出的安全缺陷數(shù)量均小于20個。3.4.8、平均每人天檢測出的應(yīng)用服務(wù)上線后漏洞數(shù)量應(yīng)用系統(tǒng)上線后檢出漏洞的統(tǒng)計(jì)情況與上線后相同。3.4.9、應(yīng)用安全測試工具及其主要來源從調(diào)研結(jié)果可以看出，約55%的被調(diào)研單位會自主研發(fā)安全測試工具，6成以上的金融機(jī)構(gòu)會采用開源的安全測試工具或采購國產(chǎn)的安全測試工具，僅1/3 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿的金融機(jī)構(gòu)未對安全測試工具進(jìn)行統(tǒng)一，由測試人員自行準(zhǔn)備；另有1/3的金融機(jī)構(gòu)會采購國外的知名安全測試工具來進(jìn)行本單位的安全測試工作。3.4.10、對應(yīng)用安全測試的審計(jì)情況分析調(diào)研數(shù)據(jù)可以得知，超過72%的金融機(jī)構(gòu)已經(jīng)通過內(nèi)部或外部機(jī)構(gòu)，開展了對應(yīng)用系統(tǒng)安全測試情況的審計(jì)工作，同時出具和報送專業(yè)的審計(jì)報告；另外28%的機(jī)構(gòu)暫時未開展相關(guān)工作，但有5%的單位正在制定相關(guān)計(jì)劃，并計(jì)劃在后續(xù)的測試工作中開始實(shí)施，這一結(jié)果與前面測試相關(guān)調(diào)研項(xiàng)目相吻合。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.5、各機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試標(biāo)準(zhǔn)化程度3.5.1、應(yīng)用安全測試標(biāo)準(zhǔn)或規(guī)范建立情況從調(diào)研結(jié)果可以看出，有超過72%的單位已經(jīng)定義了安全測試標(biāo)準(zhǔn)，并在實(shí)際生產(chǎn)中得到了執(zhí)行，其中，39%的單位將應(yīng)用安全測試標(biāo)準(zhǔn)應(yīng)用到了全部系統(tǒng)的安全測試工作中；未制定測試標(biāo)準(zhǔn)的單位中，有5%的單位已經(jīng)制定了相關(guān)計(jì)劃，會在未來的工作中逐步建立并完善測試標(biāo)準(zhǔn)，但仍有22%的單位無相關(guān)計(jì)劃，均為規(guī)模較小單位。。3.5.2、測試人員實(shí)施或培訓(xùn)技術(shù)指南形成情況根據(jù)調(diào)研結(jié)果可知，超過94%的機(jī)構(gòu)已經(jīng)建立了應(yīng)用安全測試人員實(shí)施會培訓(xùn)技術(shù)指南，處于不同的發(fā)展階段，僅不到6%的單位沒有形成指南，全部為部分規(guī)模較小單位。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.5.3、應(yīng)用安全測試質(zhì)量衡量準(zhǔn)則建立情況根據(jù)調(diào)研結(jié)果可以看出，已經(jīng)有超過72%的單位定義了衡量安全測試質(zhì)量的準(zhǔn)則，并且在實(shí)際生產(chǎn)中投入了使用，僅有17%的金融機(jī)構(gòu)沒有定義衡量準(zhǔn)則且短期內(nèi)沒有相關(guān)計(jì)劃，這些單位主要集中在整體規(guī)模較小的金融機(jī)構(gòu)，可以判斷是由于各方面的預(yù)算、技術(shù)實(shí)力等原因?qū)е铝诉@種情況的發(fā)生。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.5.4、應(yīng)用系統(tǒng)安全測試中使用的標(biāo)準(zhǔn)和規(guī)范在應(yīng)用系統(tǒng)安全測試過程中，為了規(guī)范性和標(biāo)準(zhǔn)化，都會參照對應(yīng)的標(biāo)準(zhǔn)規(guī)范去執(zhí)行，通過對各機(jī)構(gòu)參照的標(biāo)準(zhǔn)和規(guī)范進(jìn)行調(diào)研，可以了解到目前大部分機(jī)構(gòu)都會參照應(yīng)用系統(tǒng)安全相關(guān)國標(biāo)和金融行業(yè)的相關(guān)標(biāo)準(zhǔn)去執(zhí)行；這也表明一個完善和全面的標(biāo)準(zhǔn)對于應(yīng)用系統(tǒng)安全測試工作的重要性。3.6、各機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試待解決問題3.6.1、應(yīng)用安全測試過程中經(jīng)常遇到的問題根據(jù)調(diào)研結(jié)果，可以了解到當(dāng)前應(yīng)用系統(tǒng)安全測試過程中，主要遇到的問題包含以下7個大類，其中的大部分為測試規(guī)范和測試流程標(biāo)準(zhǔn)化問題，這也在很大程度上反映了當(dāng)前很多單位對于完善的標(biāo)準(zhǔn)化測試指南的需求。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.6.2、應(yīng)用安全測試工作最大的難點(diǎn)經(jīng)過前面的調(diào)研，可以發(fā)現(xiàn)在不同的單位中，應(yīng)用安全測試這一塊都或多或少存在一些困難，針對這些工作難點(diǎn)進(jìn)行了專門的統(tǒng)計(jì)，可以看到，最大的兩個難點(diǎn)分別是時間和資金的缺乏以及技術(shù)革新太快無法迅速跟進(jìn)，這也就導(dǎo)致了部分單位的應(yīng)用安全測試工作無法及時有效的開展；除了以上兩個主要的難點(diǎn)之外，還存在如專業(yè)知識和技能不足等問題，在應(yīng)用安全越來越重要的當(dāng)下，這也成為金融機(jī)構(gòu)需要去不斷思考和解決的問題。 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿3.6.3、希望分會提供的應(yīng)用安全測試領(lǐng)域服務(wù)根據(jù)調(diào)研結(jié)果，各金融機(jī)構(gòu)希望審計(jì)分會在后續(xù)的工作中，能夠多其應(yīng)用安全測試工作提供更多的專家、技術(shù)支持，并希望分會可以協(xié)助各單位快速建立起完善的、可用的應(yīng)用安全測試指南和體系。4、對金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)的建議4.1、金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全的發(fā)展趨勢金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全的發(fā)展趨勢主要圍繞新技術(shù)的應(yīng)用、多層次的安全防御體系以及合作共享方面。首先，新技術(shù)的應(yīng)用將為金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全帶來新的機(jī)遇和挑戰(zhàn)。例如，人工智能（AI）、區(qū)塊鏈、云計(jì)算和物聯(lián)網(wǎng)等新興技術(shù)為構(gòu)建更安全、智能和靈活的應(yīng)用系統(tǒng)提供了可能。金融機(jī)構(gòu)可以利用AI技術(shù)進(jìn)行異常檢測、威脅分析和自 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿動化響應(yīng)，提高攻擊檢測和應(yīng)對的效率；區(qū)塊鏈技術(shù)可以提供去中心化的安全存儲和驗(yàn)證，增強(qiáng)數(shù)據(jù)的安全性和完整性。其次，金融機(jī)構(gòu)應(yīng)逐步構(gòu)建多層次的安全防御體系。傳統(tǒng)的單一防護(hù)已不足以應(yīng)對現(xiàn)代網(wǎng)絡(luò)威脅，需要采取更多層次的防御措施，包括網(wǎng)絡(luò)邊界防御、內(nèi)部網(wǎng)絡(luò)安全、系統(tǒng)和應(yīng)用安全、數(shù)據(jù)加密和訪問控制等。金融機(jī)構(gòu)應(yīng)該采用防火墻、入侵檢測和預(yù)防系統(tǒng)（IDS/IPS）、漏洞管理系統(tǒng)、安全信息與事件管理系統(tǒng)（SIEM）等技術(shù)來建立綜合性的安全防護(hù)體系。此外，金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)與各方的合作共享。金融行業(yè)應(yīng)建立起信息共享機(jī)制，促進(jìn)金融機(jī)構(gòu)之間和與其他行業(yè)的合作，增強(qiáng)對網(wǎng)絡(luò)威脅的感知和應(yīng)對能力。同時，金融機(jī)構(gòu)應(yīng)與安全研究機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)和供應(yīng)商等建立起長期穩(wěn)定的合作關(guān)系，共同應(yīng)對安全挑戰(zhàn)，分享安全威脅情報和最佳實(shí)踐。4.2、加強(qiáng)應(yīng)用系統(tǒng)安全測試規(guī)范性建設(shè)應(yīng)用系統(tǒng)安全測試體系建設(shè)是金融機(jī)構(gòu)服務(wù)安全的重要保障。在信息安全風(fēng)險日益嚴(yán)峻的情況下，必須不斷加強(qiáng)。調(diào)研情況可以看出，大部分金融機(jī)構(gòu)都開始了相關(guān)工作，并取得了較好的效果。但同時也可看出，安全測試的規(guī)范性還需要進(jìn)一步加強(qiáng)。例如，應(yīng)用系統(tǒng)安全測試的流程、職責(zé)分工、測試環(huán)境、應(yīng)用場景、結(jié)果評判、整體應(yīng)用系統(tǒng)安全評估、安全測試能力的評估等，都需要進(jìn)一步規(guī)范化，建立起相應(yīng)的管理、評價、改進(jìn)機(jī)制，并參考同業(yè)先進(jìn)經(jīng)驗(yàn)，取長補(bǔ)短，不斷提升自身的能力，保證應(yīng)用系統(tǒng)安全性在投入應(yīng)用前受到嚴(yán)格的檢驗(yàn)，從而得到最大程度4.3、建立科學(xué)、規(guī)范、安全的應(yīng)用系統(tǒng)開發(fā)上線流程 2023年金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測試體系建設(shè)調(diào)研報告征求意見稿應(yīng)用系統(tǒng)的安全關(guān)系到軟件投產(chǎn)后能否提供安全的服務(wù)、避免重大的信息安全風(fēng)險。因此，在應(yīng)用系統(tǒng)設(shè)計(jì)、開發(fā)及投產(chǎn)上線需要充分考慮安全性要求，仔細(xì)分析、仔細(xì)設(shè)計(jì)、嚴(yán)格測試，保證交付一個合格的應(yīng)用系統(tǒng)。因此，金融機(jī)構(gòu)應(yīng)該在應(yīng)用系統(tǒng)的開發(fā)中，對涉及安全性的各個環(huán)節(jié)進(jìn)行整體分析、設(shè)計(jì)，并把這些安全性要求融入系統(tǒng)的需求、設(shè)計(jì)、測試、交付等環(huán)節(jié)，從而系統(tǒng)性地防范安全風(fēng)險。為了做到上述要求，系統(tǒng)開發(fā)部門還需要有相應(yīng)的考核機(jī)制以及改進(jìn)機(jī)制，以促進(jìn)安全開發(fā)能力的持續(xù)提升。4.4、