金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全發(fā)展趨勢及測試體系建設(shè)建議有哪些？

金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全的發(fā)展趨勢主要圍繞新技術(shù)的應(yīng)用、多層次的安全防御 體系以及合作共享方面。

1、金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全的發(fā)展趨勢

首先，新技術(shù)的應(yīng)用將為金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全帶來新的機(jī)遇和挑戰(zhàn)。例如， 人工智能（AI）、區(qū)塊鏈、云計算和物聯(lián)網(wǎng)等新興技術(shù)為構(gòu)建更安全、智能和靈活 的應(yīng)用系統(tǒng)提供了可能。金融機(jī)構(gòu)可以利用 AI 技術(shù)進(jìn)行異常檢測、威脅分析和自動化響應(yīng)，提高攻擊檢測和應(yīng)對的效率；區(qū)塊鏈技術(shù)可以提供去中心化的安全存儲 和驗證，增強(qiáng)數(shù)據(jù)的安全性和完整性。 其次，金融機(jī)構(gòu)應(yīng)逐步構(gòu)建多層次的安全防御體系。傳統(tǒng)的單一防護(hù)已不足以 應(yīng)對現(xiàn)代網(wǎng)絡(luò)威脅，需要采取更多層次的防御措施，包括網(wǎng)絡(luò)邊界防御、內(nèi)部網(wǎng)絡(luò) 安全、系統(tǒng)和應(yīng)用安全、數(shù)據(jù)加密和訪問控制等。金融機(jī)構(gòu)應(yīng)該采用防火墻、入侵 檢測和預(yù)防系統(tǒng)（IDS/IPS）、漏洞管理系統(tǒng)、安全信息與事件管理系統(tǒng)（SIEM） 等技術(shù)來建立綜合性的安全防護(hù)體系。

此外，金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)與各方的合作共享。金融行業(yè)應(yīng)建立起信息共享機(jī)制， 促進(jìn)金融機(jī)構(gòu)之間和與其他行業(yè)的合作，增強(qiáng)對網(wǎng)絡(luò)威脅的感知和應(yīng)對能力。同時， 金融機(jī)構(gòu)應(yīng)與安全研究機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)和供應(yīng)商等建立起長期穩(wěn)定的合作關(guān)系，共 同應(yīng)對安全挑戰(zhàn)，分享安全威脅情報和最佳實踐。

2、加強(qiáng)應(yīng)用系統(tǒng)安全測試規(guī)范性建設(shè)

應(yīng)用系統(tǒng)安全測試體系建設(shè)是金融機(jī)構(gòu)服務(wù)安全的重要保障。在信息安全風(fēng)險 日益嚴(yán)峻的情況下，必須不斷加強(qiáng)。調(diào)研情況可以看出，大部分金融機(jī)構(gòu)都開始了 相關(guān)工作，并取得了較好的效果。但同時也可看出，安全測試的規(guī)范性還需要進(jìn)一 步加強(qiáng)。例如，應(yīng)用系統(tǒng)安全測試的流程、職責(zé)分工、測試環(huán)境、應(yīng)用場景、結(jié)果 評判、整體應(yīng)用系統(tǒng)安全評估、安全測試能力的評估等，都需要進(jìn)一步規(guī)范化，建 立起相應(yīng)的管理、評價、改進(jìn)機(jī)制，并參考同業(yè)先進(jìn)經(jīng)驗，取長補(bǔ)短，不斷提升自 身的能力，保證應(yīng)用系統(tǒng)安全性在投入應(yīng)用前受到嚴(yán)格的檢驗，從而得到最大程度 的保障。 

3、建立科學(xué)、規(guī)范、安全的應(yīng)用系統(tǒng)開發(fā)上線流程

應(yīng)用系統(tǒng)的安全關(guān)系到軟件投產(chǎn)后能否提供安全的服務(wù)、避免重大的信息安全 風(fēng)險。因此，在應(yīng)用系統(tǒng)設(shè)計、開發(fā)及投產(chǎn)上線需要充分考慮安全性要求，仔細(xì)分 析、仔細(xì)設(shè)計、嚴(yán)格測試，保證交付一個合格的應(yīng)用系統(tǒng)。因此，金融機(jī)構(gòu)應(yīng)該在 應(yīng)用系統(tǒng)的開發(fā)中，對涉及安全性的各個環(huán)節(jié)進(jìn)行整體分析、設(shè)計，并把這些安全 性要求融入系統(tǒng)的需求、設(shè)計、測試、交付等環(huán)節(jié)，從而系統(tǒng)性地防范安全風(fēng)險。 為了做到上述要求，系統(tǒng)開發(fā)部門還需要有相應(yīng)的考核機(jī)制以及改進(jìn)機(jī)制，以促進(jìn) 安全開發(fā)能力的持續(xù)提升。

4、建立科學(xué)、高效的應(yīng)用系統(tǒng)安全測試標(biāo)準(zhǔn)并定期更新

對于應(yīng)用系統(tǒng)的安全性，很多機(jī)構(gòu)進(jìn)行了深入研究，也提出了許多可供參考的 標(biāo)準(zhǔn)。金融機(jī)構(gòu)自身也進(jìn)行了深入探討。如何構(gòu)建更加嚴(yán)密的風(fēng)險防控機(jī)制，最大 限度提高應(yīng)用系統(tǒng)的安全性，使之可以規(guī)范化并不斷改進(jìn)提升，是各機(jī)構(gòu)需要仔細(xì) 探討的問題。為此，金融機(jī)構(gòu)應(yīng)該在自身實踐的基礎(chǔ)上，吸收業(yè)界先進(jìn)實踐經(jīng)驗并 與相關(guān)標(biāo)準(zhǔn)規(guī)范對標(biāo)，制定自己的應(yīng)用系統(tǒng)安全測試標(biāo)準(zhǔn)，以此指導(dǎo)自身開展規(guī)范 性的安全測試，并在系統(tǒng)投產(chǎn)后進(jìn)行測試結(jié)果的評估及反饋，對測試標(biāo)準(zhǔn)及相關(guān)機(jī) 制進(jìn)行持續(xù)改進(jìn)。由于業(yè)務(wù)場景的變化、技術(shù)進(jìn)步的推動，應(yīng)用系統(tǒng)的安全性也會 隨之變化，因此對測試標(biāo)準(zhǔn)還需要進(jìn)行定期的檢查和更新，以保證安全性的不斷提 升。

5、加強(qiáng)組織建設(shè)和人員能力提升

應(yīng)用系統(tǒng)安全測試能力的提升，不僅在于技術(shù)手段，更重要的是安全測試和管 理的人才隊伍建設(shè)。從調(diào)研情況看，各金融機(jī)構(gòu)對此十分重視，進(jìn)行了人才培養(yǎng)相 應(yīng)的制度建設(shè)、實踐訓(xùn)練，從體制、機(jī)制上推進(jìn)人才培養(yǎng)工作。但是也看到，有些機(jī)構(gòu)由于資金投入、重視程度等多方面原因，導(dǎo)致應(yīng)用系統(tǒng)安全測試隊伍建設(shè)存在 諸多問題，如缺乏專門的安全測試人員或安全測試人員不足難以開展較為全面的安 全測試等。這些問題都需要努力克服，機(jī)構(gòu)要為安全測試隊伍的建設(shè)下大力氣，給 測試人員創(chuàng)造條件提升能力，從體制機(jī)制上提升應(yīng)用系統(tǒng)安全測試的能力，從而保 證應(yīng)用系統(tǒng)的安全性。

6、建議并逐步完成軟件安全開發(fā)全生命周期流程

應(yīng)用系統(tǒng)的安全是一個貫穿整個軟件生命周期（Software Development Life Cycle，SDLC）的要求，任何一個環(huán)節(jié)的疏漏都可能帶來不可挽回的損失。充分 重視應(yīng)用系統(tǒng)的安全，建立覆蓋整個軟件生命周期的科學(xué)規(guī)范的設(shè)計、開發(fā)、測試、 投產(chǎn)、維護(hù)流程，是保證應(yīng)用系統(tǒng)整體安全性必不可少的體制、機(jī)制保障。金融機(jī) 構(gòu)由于其經(jīng)營服務(wù)的特點，對應(yīng)用系統(tǒng)安全性的要求應(yīng)更加嚴(yán)格，更加規(guī)范。為此， 金融機(jī)構(gòu)應(yīng)從應(yīng)用系統(tǒng)的整體視角出發(fā)，對上述提到的應(yīng)用系統(tǒng)生命周期全過程， 結(jié)合業(yè)務(wù)應(yīng)用場景、技術(shù)發(fā)展背景、自身機(jī)構(gòu)特點，仔細(xì)研究，建立充分考慮安全 要求、降低信息科技風(fēng)險的應(yīng)用系統(tǒng)全生命周期的開發(fā)投產(chǎn)維護(hù)等管理流程，從生 產(chǎn)、維護(hù)全過程保證應(yīng)用系統(tǒng)的安全性。