10月20日-22日,2021金融街论坛在北京举办。记者在论坛上了解到,2021年以来,已发布金融国家标准19项,行业标准28项,其中包含1项强制性国家标准。

发布金融标准范围上,涵盖多个重点领域,包括金融产品与服务、绿色金融、金融科技、金融数据、金融安全、金融监管、支付清算等领域。其中,《银行互联网渗透测试指南》的发布有力加强了国内银行互联网渗透测试领域的标准供给。

互联网渗透测试在银行场景下的特殊性
据介绍,渗透测试(Penetration Test)也叫穿透测试,是一种通过模拟真实世界中的攻击动作,发现并利用安全漏洞,进而检验、评估信息系统实际安全水平的测试方法。渗透测试具有深入、直接、客观的特点,是主动提升信息系统(尤其是互联网信息系统)安全性的有力手段,已得到了广泛使用。互联网渗透测试主要模拟的是来自互联网的攻击行为,是当前最主要的一种渗透测试形式。

随着互联网金融的快速发展,银行信息系统面临的互联网攻击形势也日趋严峻,通过互联网渗透测试这一技术手段主动发现安全漏洞是当前银行机构普遍的现实需求。渗透测试虽然是一项基础的安全技术,但运用在不同的行业应用场景下又呈现出一定的特殊性。

互联网渗透测试在银行场景下具有哪些特殊性?对此,金标委秘书处专家介绍,金融是现代经济的核心,而金融中最底层的是银行业务,支付是基础。在当前数据化转型的背景下,银行业务尤其是支付业务对互联网高度依赖,可以说网上业务的连续性、可靠性、安全性已经超过了实体网点。因此,应用系统的支撑环境的漏洞、应用系统自身的Bug,都会成为犯罪分子恶意攻击的首要目标。

金标委秘书处专家认为,“攻击和防范的过程是一个‘道高一尺魔高一丈’的过程,因此,这个标准的定位是指南而不是规范,我们不能说按照这个标准做了就一定高枕无忧,但通过标准制定过程的集思广益,对当前最佳实践进行总结,为如何做好渗透测试提供一套可行的方案。”

对评估银行信息系统安全性具有参考意义
该标准提供了在银行信息系统中开展互联网渗透测试的整体流程以及流程各个环节中保障测试质量、控制测试风险的指南。标准将银行互联网渗透测试整体流程分为策划、设计、执行、总结四个阶段,将主要技术要点集中在执行阶段中的信息收集、威胁建模、漏洞发现、渗透攻击四个环节中,并以附录形式列举了银行互联网渗透测试过程要点清单以及漏洞风险定级参考。标准既适用于银行互联网渗透测试,也可供保险、证券等其他金融行业参考。

该标准的发布有力加强了国内银行互联网渗透测试领域的标准供给,不仅满足一般渗透测试的深度和广度要求,而且突出了银行业务逻辑测试、实施风险控制等方面的要求。标准的技术要求和测试方法经过了充分的实践和验证,可帮助银行机构更加规范、系统、有效、便捷地开展互联网渗透测试工作,实现保证测试质量与控制实施风险的双重目标。同时对监管机构、审计机构以及其他希望与银行机构建立合作关系的组织或机构了解、评估银行信息系统安全性,也具有参考和指导意义。

金标委秘书处专家表示,渗透测试总体也是软件测试,对此,已经发布的一系列有关软件测试的国家标准、金融行业标准和国际标准形成了对本标准良好的支撑,同时本标准也是这些标准应用在渗透方面的实例。在测试阶段的划分上,本标准依从了GB/T 15532—2008《计算机软件测试规范》给出的阶段划分,在软件测试文档的组织上,明确了按照JR/T0101—2013《银行业软件测试文档规范》中给出的三级规范进行组织。同时,本标准的核心技术内容与GB/T 38634—2020(4部分)《系统与软件工程软件测试》保持了高度协调。