2023年金融机构应用系统安全测试体系建设调研报告

（内部资料注意保存）中国计算机用户协会信息科技审计分会1 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿 1前言 31、金融机构应用系统安全建设概述 51.1、金融行业应用系统安全的概述 51.2、金融行业应用系统安全面临的挑战 51.3、金融行业应用系统安全的解决方案 61.4、金融行业应用系统安全的未来展望 61.5、应用系统安全测试体系建设对金融机构的意义 82、金融机构应用系统安全测试调研情况分析 82.1、调研目的 82.2、调研问卷设计及统计方法 92.3、问卷回收情况 93、调研数据分析 113.1、应用系统安全测试组织架构 3.1.1、负责应用系统安全部门情况统计 3.1.2、自有应用安全测试团队人员规模情况分析 3.1.3、各机构外协应用系统安全测试人员规模 3.1.4、应用系统安全测试领域每年的资金投入量级 3.2、互联网应用系统安全测试需求 3.2.1、各机构提供服务的互联网应用系统数量 3.2.2、C/S架构应用的安全测试需求 3.2.3、开展应用系统安全测试的计划 3.2.4、提供服务的互联网应用类型 3.2.5、互联网应用中APP和小程序占比 3.2.6、互联网应用服务涵盖的业务范围 3.2.7、互联网应用服务发布/更新频次 3.2.8、互联网应用上线后的安全测试频率 3.2.9、安全测试对互联网应用系统的覆盖情况 3.3、非互联网应用系统安全测试需求 2 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.3.1、各机构提供服务的非互联网应用系统数量 3.3.2、内部应用系统安全测试团队建设情况 203.3.3、内部应用上线后进行安全测试的频率 213.3.4、安全测试对内部应用系统的覆盖情况 213.4、各机构应用系统安全测试质量管理情况 223.4.1、应用安全测试质量对安全管理需求的满足情况 223.4.2、各单位当前的应用安全测试管理水平 233.4.3、软件安全开发全流程（SDLC）建立情况 233.4.4、目前已经采用的应用安全测试方式 243.4.5、应用安全测试过程中重点关注的内容 243.4.6、以往开展的应用安全测试过程中主要检查的内容 253.4.7、平均每人天检测出的应用服务上线前安全缺陷数量 263.4.8、平均每人天检测出的应用服务上线后漏洞数量 263.4.9、应用安全测试工具及其主要来源 263.4.10、对应用安全测试的审计情况 273.5、各机构应用系统安全测试标准化程度 283.5.1、应用安全测试标准或规范建立情况 283.5.2、测试人员实施或培训技术指南形成情况 283.5.3、应用安全测试质量衡量准则建立情况 293.5.4、应用系统安全测试中使用的标准和规范 303.6、各机构应用系统安全测试待解决问题 303.6.1、应用安全测试过程中经常遇到的问题 303.6.2、应用安全测试工作最大的难点 313.6.3、希望分会提供的应用安全测试领域服务 324、对金融机构应用系统安全测试体系建设的建议 324.1、金融机构应用系统安全的发展趋势 324.2、加强应用系统安全测试规范性建设 334.3、建立科学、规范、安全的应用系统开发上线流程 334.4、建立科学、高效的应用系统安全测试标准并定期更新 344.5、加强组织建设和人员能力提升 344.6、建议并逐步完成软件安全开发全生命周期流程 355、报告编写团队 363 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿2023年2月3日至3月15日开展了会员走访和调研，征询会员单位对分会2023年工作计划的建议，收集会员对团体标准建设和应用的意见.本次调研共走访28家会员单位，其中银行16家，其中国有大型银行3家，股份制银行7家、城商行1家、农商行2家、民营银行1家、合资银行1家、外资银行1家，会员单位共提出17个研究课题，团体标准类预研课题10项，其中“金融机构应用系统安全测试规范”关注度较高。分会副理事长单位中国农业银行股份有限公司科技部门十分重视应用系统安全测试管理体系建设，经过多年实践、积累和不断优化，测试管理体系日臻完善，并形成管理规范，得到了有关部门和同业的一致肯定。信息科技审计分会根据会员需求，组织中国农业银行股份有限公司、新华三集团等会员单位组成研究小组对建立“金融机构应用系统安全测试规范”团体标准的必要性、可行性和效益性展开预研。2023年8月，《金融机构应用系统安全测试规程》团体标准起草组（以下简称“起草组”）成立。由分会副理事长单位中国农业银行股份有限公司担任组长单位，中国建设银行股份有限公司、华夏银行股份有限公司、上海浦东发展银行股份有限公司、中国光大银行股份有限公司、渤海银行股份有限公司、九江银行股份有限公司、深圳前海微众银行股份有限公司、开泰银行（中国）有限公司、浙江农商联合银行股份有限公司、中国人寿保险集团股份有限公司、山东重工集团财务公司、南京审计大学、北京信息科技大学、中治研(北京)国际信息技术研究院等金融机构用户、大学及科研机构，以及副组长单位新华三技术有限公司为代表的10多家信息安全企业共30多家会员单位参加起草组。4 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿该标准将发挥产学研协同优势，汇聚行业领先用户和企业经验，以行业最佳实践为基础，对金融机构应用系统的安全测试流程、测试范围、测试方法和测试要求进行规范，合力强化金融行业互联网应用系统的安全测试原则和体系架构。为金融机构应用系统的安全和服务效能提升提供标准遵循，助力金融信息安全整体水平提升。根据计划，起草组在标准编写过程中，开展了金融机构应用系统安全领域专题调研。本次调研是为金融机构、监管部门、相关研究机构、企业和行业组织了解金融机构应用系统安全体系建设情况提供参考，同时，为团体标准《金融机构应用系统安全测试规程》的编写和应用提供行业依据。本次调研要感谢参与问卷设计和报告编写的各会员单位，《金融机构应用系统安全测试规程》团体标准起草组成员。同时，也对参与本次问卷调研的单位表示最诚挚的谢意！特别感谢新华三技术有限公司、北京安全共识科技有限公司、四维创智（北京）科技发展有限公司、奇安信网神信息技术（北京）股份有限公司、北京赛博昆仑科技有限公司、上海斗象信息科技有限公司、北京神州绿盟科技有限公司、北京奇虎科技有限公司、北京长亭科技有限公司、远江盛邦（北京）网络安全科技股份有限公司等单位对本次调研提供的赞助。由于受调研抽样范围、问卷设计、问卷理解和对相关信息解读视角等因素制约，本调研报告内容和观点可能存在偏差或有待完善之处，不当之处敬请各位领导、专家批评指正，提出建议和指导，以便于我们持续完善和改进。《金融机构应用系统安全测试规程》团体标准起草组2023年12月5 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿1、金融机构应用系统安全建设概述1.1、金融行业应用系统安全的概述应用系统安全是指在金融机构中保护应用程序和相关数据免受未经授权的访问、篡改、窃取或破坏的过程。它包括防止黑客入侵、恶意软件感染、数据泄露和内部威胁等恶意活动，同时确保应用系统的机密性、完整性和可用性。应用系统安全所涉及的范围非常广泛，包括各种应用程序、数据库、网络通信、身份认证和访问控制等方面。它要求在应用系统的设计、开发、部署和运维各个环节都需要考虑安全问题，以保护金融机构的信息资产和用户的敏感数据。1.2、金融行业应用系统安全面临的挑战金融行业应用系统安全面临着独特的挑战，包括但不限于以下几个方面。●数据安全与隐私保护：金融行业应用涉及大量的个人隐私和财务数据，需要确保用户数据在传输、存储和处理过程中不受到未经授权的访问或泄露。●交易安全与风险控制：金融应用需要确保交易过程的安全性和完整性，同时要对交易进行有效的风险控制，防范欺诈行为和交易风险。●合规和监管要求：金融行业对用户数据隐私保护、合规要求和信息安全等方面有着严格要求，金融机构需要密切关注和应对合规要求，确保应用系统的安全性和合法性。新兴技术与安全挑战：金融行业不断接受新技术的应用，如区块链、人工智能和物联网，这些新技术也带来了新的安全挑战，需要及时应对。此外，黑客及其他攻击者不断研发新的攻击技术和工具，攻击手段日趋复杂和隐蔽：例如，恶意软件、零日漏洞攻击、拒绝服务攻击等，给应用系统的安全性带来了巨大威胁。●移动应用的快速发展和云计算的广泛应用使得应用系统的攻击面更广：许多6 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿金融机构都提供移动应用和在线服务，从而扩大了攻击者的入侵途径。此外，移动设备的本身安全性薄弱，如手机丢失、越狱或Root等问题，也使得金融机构的应用系统安全面临更多挑战。●金融机构面临内部人员的恶意行为和错误操作带来的风险：员工的疏忽、不当行为、以及内部人员故意滥用权限等因素，都可能导致应用系统的安全漏洞和数据泄露等问题。1.3、金融行业应用系统安全的解决方案为保障金融行业的应用系统安全，需要采取多种综合的措施。●安全开发与编码规范：金融应用程序的开发过程需要严格遵守安全开发的最佳实践和编码规范，包括安全编码指南、代码审查、安全工具使用等，以降低应用程序的安全风险。●身份认证与访问控制：强化对用户身份的认证，采用双因素认证、生物特征识别等多种方式，同时对用户的访问权限进行严格控制，确保用户只能访问其授权范围内的数据和功能。●数据加密与安全传输：在数据传输和存储过程中采用强大的加密算法，包括SSL/TLS协议的应用、端到端加密等，以防止数据泄露和窃取。●安全监控与响应系统：建立完善的安全监控系统，能够实时检测和应对各类安全威胁，及时采取应对措施，保障金融应用的稳定性和安全性。●安全培训与意识普及：对金融从业人员进行安全意识培训，提高其安全意识和应急响应能力，确保员工能够积极参与应用系统安全工作。1.4、金融行业应用系统安全的未来展望面对飞速发展的技术和日益复杂的威胁，金融行业应用系统安全也将不断面临7 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿挑战。未来，金融行业应用系统安全需要更加注重与新兴技术的结合，如区块链、人工智能、大数据分析等，以提高金融应用的智能化和安全性。此外，金融行业应加强与监管机构、行业组织的合作，共同制定更为严格的安全标准和规范，形成全行业共同维护应用系统安全的良好氛围。同时，金融行业应用需要持续投入研发和技术更新，保持对最新安全威胁和攻击方式的快速响应能力，从而构建更加安全可靠的金融应用生态。为了应对当前面临的风险和挑战，金融机构应用系统安全需要在以下方面做出首先，金融机构应加强安全文化和意识的培养。安全意识教育和培训应该贯穿金融机构的每个部门和岗位。金融机构应该定期开展安全培训和演练，提高员工的安全意识，减少对恶意攻击和钓鱼邮件等的误点率。其次，金融机构应实施完善的访问控制和身份认证措施。采用多因素身份认证、另外，金融机构应加强数据安全存储和安全传输。对于敏感数据的传输和存储，采取加密技术来保护数据的机密性，包括SSL/TLS协议的应用、端到端加密等。同时，要定期备份数据并测试还原能力，以应对数据丢失和系统故障的情况。金融机构还应加强安全监控和事件响应能力。建立安全信息与事件管理系统（SIEM），实时监测应用系统的安全状态，并能够迅速响应和处置安全事件。金融机构应建立灵敏的事件响应机制，及时发现和应对安全漏洞和威胁。此外，金融机构应加强合规和监管要求的遵循。及时了解和跟踪合规和监管要求的变化，确保应用系统的合规性。金融机构应建立健全的合规保密制度，加强对敏感数据的保护和审计。总而言之，金融机构应用系统安全因其重要性对金融机构的稳定运营、客户资8 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿产安全及合规要求都具有重要意义。金融机构应适应不断变化的安全威胁，采取综合的安全防御策略，并不断更新安全技术和提升员工安全意识，以确保应对风险和挑战的能力，并为客户提供安全可靠的金融服务。1.5、应用系统安全测试体系建设对金融机构的意义应用系统安全建设对金融机构具有重要意义，同时也是提高应用系统安全的重要手段。首先，随着数字化转型的深入推进，金融机构的业务开展越来越依赖于应用系统，这些应用系统承载着金融交易、支付系统、个人账户信息等极为敏感的数据和业务流程，因此这些应用系统的安全性尤为关键。正确认识和处理金融行业应用系统安全问题，对金融系统的稳定和用户个人资产的保障至关重要。金融机构处理着大量的敏感金融数据和客户信息，如账户密码、交易记录、身份证号码等，保护这些数据的安全对于金融机构和客户来说至关重要。应用系统安全可以防止黑客入侵，避免数据泄露和身份盗窃，保护用户的财产安全和隐私权。其次，金融机构的应用系统安全对于业务连续性和稳定运行也至关重要。应用系统受到恶意攻击、病毒感染或漏洞利用等攻击事件的影响可能会导致业务中断、服务质量下降和声誉受损等问题。保护应用系统的安全性，可以确保金融机构的正常运营和客户满意度。另外，金融机构需要满足合规和监管机构的要求，如实名认证（KYC）、反洗钱（AML）等规定。应用系统安全的保护是金融机构履行合规要求的基础，也是保护机构声誉和信任的重要保证。2、金融机构应用系统安全测试调研情况分析2.1、调研目的9 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿本次调研是针对金融机构应用系统安全测试体系建设情况的一个全面调研，调研内容涉及到金融机构应用系统安全测试体系建设的各方面内容，同时收集了金融机构对应用系统安全测试方面的诉求，以期更好的指导金融机构应用系统安全测试标准的编写。金融机构的工作性质决定了网络安全在其整体的工作部署中占据重要位置，因此，金融机构的网络安全工作在所有行业中都是相对超前的，通过对国内金融机构的应用系统安全测试情况进行摸底和调研，除了可以更好地指导国内金融机构应用系统安全测试的开展，也可以将相关建议和标准推广到更多行业，进而提升全行业的应用系统安全测试水平。2.2、调研问卷设计及统计方法调研问卷包括调研各机构安全测试组织架构、互联网应用系统安全测试需求、非互联网应用系统安全测试需求、应用系统安全测试质量管理情况、应用系统安全测试标准化程度、应用系统安全测试待解决问题等6个大类38个问题。本次问卷发放采用定向和非定向相结合的方式，定向方式是通过分会向会员单位邮箱发送，非定向方式采用分会公众号和会员微信群发布。对回收的问卷进行一定的整理，包括填报单位的行业机构的划分、单位重复问卷的剔除等。对回收的问卷数据进行统计，数据分布情况进行分析。问卷分析。根据问卷统计结果，组织专家进行分析。2.3、问卷回收情况行2份、股份制商业银行4份、城市商业银行4份、农村商业银行3份、农村信 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿用社2份、保险机构1份、金融科技企业2份，具体分布如图1所示：从本次调研问卷回收情况来看，参与机构分类全面，样本分布均衡，调研采样具有较全面的代表性。本次问卷填写人员中，总共有9种类型的人员，其中安全管理人员数量最多，占比达到38%，同时注意到很多机构存在兼职的情况，即未设置专门的安全管理人员或者一个人员身兼数职；同时出现有高级管理人员亲自负责安全管理的情 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3、调研数据分析3.1、应用系统安全测试组织架构通过本次调研，可以了解到参与本次调研的全部机构，用来对应用安全测试进行管理，这说明应用系统安全测试的在这些机构中的到了一定程度的重视。3.1.1、负责应用系统安全部门情况统计通过调研情况可以看出，负责应用系统安全测试的部门主要为科技部，占比达到41%，同时多个机构存在多个部门并行管理应用安全测试的情况，对于此类管理架构，是否存在因职能冲突导致责任分配不均，从而出现效率不足的情况，尚待进一步调研分析。3.1.2、自有应用安全测试团队人员规模情况分析通过对被调研机构的自有测试团队人员规模进行分析，可以发现绝大部分机构 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿的测试团队人员规模小于10人（占比在78%仅有3家参加调研的单位测试团队人员数量超过40人，均为国有商业银行或者股份制商业银行，另有个别规模较小单位无专门测试团队；可以看出，国有商业银行和股份制银行对于应用系统安全测试的工作投入较大，但对部分地方性银行机构，由于预算等各种原因，这一块的投入明显不足。3.1.3、各机构外协应用系统安全测试人员规模从调研结果分析，有1/3的被调研单位没有使用外协来开展应用安全测试，使用外协的大部分都不超过30人，仅一家股份制商业银行使用了超过40人规模的外协应用系统安全测试团队；值得注意的是，有个别规模较小单位，既无自有专职测试人员，也未使用外协人员进行日常测试，该机构的应用系统安全性尚需进行进一步评估。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.1.4、应用系统安全测试领域每年的资金投入量级调研结果显示，一半以上的金融机构每年投入到应用系统安全测试领域的资金超过100万，包括但不限于相关的工具和服务采购，其中17%的金融机构年投入超过1000万，仅有不到11%的金融机构年投入在100万以下；另有22%的被调研单位未对该类型资金投入作专门的统计。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.2、互联网应用系统安全测试需求3.2.1、各机构提供服务的互联网应用系统数量与非互联网应用系统相比，互联网应用系统的数量明显减少，超一半以上都少于50个，仅2个单位的互联网应用系统数量超过200个，分别为国有商业银行和股份制商业银行，互联网应用系统数量呈现出与非互联网应用系统数量相同的规律3.2.2、C/S架构应用的安全测试需求在所有参与调研的单位中，有近89%的单位有C/S架构应用的测试需求，可以看出，在当前的金融机构中，C/S架构的应用依然在大范围的使用，仅11%的单位没有C/S架构应用的测试需求。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.2.3、开展应用系统安全测试的计划根据调研结果可以看出，本次参与调研的全部金融机构中，绝大多数（94%）在以往已经开展了应用系统安全测试，仅有个别机构目前暂未开展但也已制定相关测试计划，预计后续开展应用系统安全测试工作，此处也可以看出不同规模和地区的金融机构对于应用系统安全测试的重视程度也存在一定的差异。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.2.4、提供服务的互联网应用类型从调研结果可以看出，几乎所有的机构互联网应用系统都涵盖了几个大类：WEB类应用、APP类应用、微信、支付宝公众号、微信、支付宝小程序3.2.5、互联网应用中APP和小程序占比从调研结果可以看出，多数机构的互联网应用系统中，APP和小程序的占比相对较低，其中接近39%的机构，占比低于25%，超过83%的机构APP和小程序应用的占比低于应用系统的一半；表明当前环境下，互联网应用依然以Web、H5应用为主，同时，APP和小程序由于其能更好的的适配移动端业务需求，也在逐步的发展。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.2.6、互联网应用服务涵盖的业务范围从调研结果可以看出，参与本地调研的绝大部分金融机构互联网应用的业务范围集中在在线银行、办公、个人财务管理和金融交易平台等金融机构对外服务的业务上，本次参与调研的金融机构大多数为银行，所以保险服务和证券交易相对较少，另有39%左右参与调研的金融机构会在互联网上部署内部管理业务。3.2.7、互联网应用服务发布/更新频次根据调研结果可知，金融机构互联网应用服务变更多为按需变更或双周变更，两者占比高达89%，每周单次或多次变更的金融机构均只有1家，分别为国有制银行和股份制银行，可以看出大的金融机构对于互联网应用服务的迭代更新要求更高，需要频繁的进行功能迭代或者补丁更新，进行安全性或功能性更新。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.2.8、互联网应用上线后的安全测试频率对调研数据进行分析，可以看出各金额机构对于互联网应用系统定期开展测试从不到4成提升到了超过5.5成，可以看出各金融机构对于互联网应用系统的安全性更加看重，这也与互联网应用系统直接面对最终用户以及复杂多变的互联网环境有关。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.2.9、安全测试对互联网应用系统的覆盖情况与内部应用系统的测试情况截然相反，各金融机构对于互联网系统的安全测试工作表现出了相当程度的重视，绝大多数的金融机构（78%）会选择对全部的互联网应用系统进行安全测试，仅极少数单位只对部分重点互联网应用系统进行安全测试，这与之前的互联网系统测试频率高于内网系统测试频率也相匹配。3.3、非互联网应用系统安全测试需求3.3.1、各机构提供服务的非互联网应用系统数量可以看出，大部分被参与调研的机构非互联网应用系统数量少于200个，占比达到将近79%，仅2个机构的应用系统数量超过600个，分别为1个国有商业银行和1个股份制商业银行，可以看出应用系统的数量与本身的业务规模呈现明显的相关关系。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.3.2、内部应用系统安全测试团队建设情况根据调研结果显示，约78%的金融机构设立有专门的安全测试团队，开展日常的应用系统安全测试工作，另有5%左右的金融机构由具备安全测试能力的开发和软件测试团队兼顾这一部分工作；除此之外，仍有16%左右的金融机构不具备应用安全测试能力，需要部分外包给第三方的安全测试团队，这些单位全部为规模较小单位。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.3.3、内部应用上线后进行安全测试的频率有调研结果可知，有超过60%的金融机构的内部应用安全测试是不定期或根据需要来开展的，只有不到40%的金融机构会定期开展应用安全测试，其中最多的是选择每季度开展一次应用安全测试工作；以上结果表明大部分金融机构的内部应用安全测试开展是与业务紧密结合的。3.3.4、安全测试对内部应用系统的覆盖情况分析调研结果可以看出，目前各金融机构对于内部应用系统安全测试分为3种类型：测试全部内部系统，测试全部重要内部系统和测试部分重要内部系统，且这3种类型所占的比例均为1/3；其中测试全部内部系统的机构中，国有商业银行和股份制银行占大多数，测试部分重要系统的机构中，规模较小单位占大多数，这除了表明各机构对内部系统安全性的重视程度不同外，也在一定程度上体现出了应用系统安全测试体系建设的差异性。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.4、各机构应用系统安全测试质量管理情况3.4.1、应用安全测试质量对安全管理需求的满足情况根据调研情况，当前超过94%的机构的应用安全测试质量能基本满足其单位当前的安全管理需求。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.4.2、各单位当前的应用安全测试管理水平通过对各金融机构当前应用系统安全测试管理水平进行调研，可以看到大部分机构目前都处于发展阶段和成熟阶段，仅5%的单位认为本单位目前的管理水平已经处于领先阶段，仅有11%的单位目前认为自己仍处于初级阶段，为规模较小单位，这与前面的调研情况相匹配。3.4.3、软件安全开发全流程（SDLC）建立情况根据调研结果可以看出，本次参与调研的全部金融机构中，已建立或已初步建立SDLC的金融机构占比达到94%，其中28%的被调研单位具备成熟的SDLC全流程并已经应用到该单位全部的Web应用服务项目中，仅有个别被调研单位尚未建立SDLC流程，可以看出部分金融机构在应用安全上的投入和重视程度与国有商业银行和股份制商业银行相比存在着较大的差距。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.4.4、目前已经采用的应用安全测试方式通过分析调研结果可以发现，在各金融机构目前已经采用的三种应用安全测试方法为漏洞扫描工具扫描、人工渗透测试和静态与动态代码分析，其中漏扫的使用率为100%。自动化安全测试和安全标准与规范遵循紧随其后，分别都有2/3的金融机构使用这两个类型的应用安全测试方法；另有一半的金融机构采用第三方审计的方法来进行应用系统安全测试。3.4.5、应用安全测试过程中重点关注的内容在各类型的应用安全漏洞中，下图中所列出的10类最受关注的内容，其中， 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿身份认证与授权，敏感数据保护受到了100%的关注，可以看出这两项内容在金融相关业务系统中是至关重要的；另外，关注度在90%以上的还有输入验证和上传文件的安全性，这一类交互强相关的问题，体现出了金融行业对业务交互安全性的重视。3.4.6、以往开展的应用安全测试过程中主要检查的内容根据调研结果，下图所示的9种内容在各金融机构以往开展的检查中为主要检查，且占比都非常高。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.4.7、平均每人天检测出的应用服务上线前安全缺陷数量根据调研结果，仅44%的金融机构对应用上线前的漏洞检出数量进行了精确的统计，且每人天检出的安全缺陷数量均小于20个。3.4.8、平均每人天检测出的应用服务上线后漏洞数量应用系统上线后检出漏洞的统计情况与上线后相同。3.4.9、应用安全测试工具及其主要来源从调研结果可以看出，约55%的被调研单位会自主研发安全测试工具，6成以上的金融机构会采用开源的安全测试工具或采购国产的安全测试工具，仅1/3 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿的金融机构未对安全测试工具进行统一，由测试人员自行准备；另有1/3的金融机构会采购国外的知名安全测试工具来进行本单位的安全测试工作。3.4.10、对应用安全测试的审计情况分析调研数据可以得知，超过72%的金融机构已经通过内部或外部机构，开展了对应用系统安全测试情况的审计工作，同时出具和报送专业的审计报告；另外28%的机构暂时未开展相关工作，但有5%的单位正在制定相关计划，并计划在后续的测试工作中开始实施，这一结果与前面测试相关调研项目相吻合。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.5、各机构应用系统安全测试标准化程度3.5.1、应用安全测试标准或规范建立情况从调研结果可以看出，有超过72%的单位已经定义了安全测试标准，并在实际生产中得到了执行，其中，39%的单位将应用安全测试标准应用到了全部系统的安全测试工作中；未制定测试标准的单位中，有5%的单位已经制定了相关计划，会在未来的工作中逐步建立并完善测试标准，但仍有22%的单位无相关计划，均为规模较小单位。。3.5.2、测试人员实施或培训技术指南形成情况根据调研结果可知，超过94%的机构已经建立了应用安全测试人员实施会培训技术指南，处于不同的发展阶段，仅不到6%的单位没有形成指南，全部为部分规模较小单位。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.5.3、应用安全测试质量衡量准则建立情况根据调研结果可以看出，已经有超过72%的单位定义了衡量安全测试质量的准则，并且在实际生产中投入了使用，仅有17%的金融机构没有定义衡量准则且短期内没有相关计划，这些单位主要集中在整体规模较小的金融机构，可以判断是由于各方面的预算、技术实力等原因导致了这种情况的发生。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.5.4、应用系统安全测试中使用的标准和规范在应用系统安全测试过程中，为了规范性和标准化，都会参照对应的标准规范去执行，通过对各机构参照的标准和规范进行调研，可以了解到目前大部分机构都会参照应用系统安全相关国标和金融行业的相关标准去执行；这也表明一个完善和全面的标准对于应用系统安全测试工作的重要性。3.6、各机构应用系统安全测试待解决问题3.6.1、应用安全测试过程中经常遇到的问题根据调研结果，可以了解到当前应用系统安全测试过程中，主要遇到的问题包含以下7个大类，其中的大部分为测试规范和测试流程标准化问题，这也在很大程度上反映了当前很多单位对于完善的标准化测试指南的需求。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.6.2、应用安全测试工作最大的难点经过前面的调研，可以发现在不同的单位中，应用安全测试这一块都或多或少存在一些困难，针对这些工作难点进行了专门的统计，可以看到，最大的两个难点分别是时间和资金的缺乏以及技术革新太快无法迅速跟进，这也就导致了部分单位的应用安全测试工作无法及时有效的开展；除了以上两个主要的难点之外，还存在如专业知识和技能不足等问题，在应用安全越来越重要的当下，这也成为金融机构需要去不断思考和解决的问题。 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿3.6.3、希望分会提供的应用安全测试领域服务根据调研结果，各金融机构希望审计分会在后续的工作中，能够多其应用安全测试工作提供更多的专家、技术支持，并希望分会可以协助各单位快速建立起完善的、可用的应用安全测试指南和体系。4、对金融机构应用系统安全测试体系建设的建议4.1、金融机构应用系统安全的发展趋势金融机构应用系统安全的发展趋势主要围绕新技术的应用、多层次的安全防御体系以及合作共享方面。首先，新技术的应用将为金融机构应用系统安全带来新的机遇和挑战。例如，人工智能（AI）、区块链、云计算和物联网等新兴技术为构建更安全、智能和灵活的应用系统提供了可能。金融机构可以利用AI技术进行异常检测、威胁分析和自 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿动化响应，提高攻击检测和应对的效率；区块链技术可以提供去中心化的安全存储和验证，增强数据的安全性和完整性。其次，金融机构应逐步构建多层次的安全防御体系。传统的单一防护已不足以应对现代网络威胁，需要采取更多层次的防御措施，包括网络边界防御、内部网络安全、系统和应用安全、数据加密和访问控制等。金融机构应该采用防火墙、入侵检测和预防系统（IDS/IPS）、漏洞管理系统、安全信息与事件管理系统（SIEM）等技术来建立综合性的安全防护体系。此外，金融机构应当加强与各方的合作共享。金融行业应建立起信息共享机制，促进金融机构之间和与其他行业的合作，增强对网络威胁的感知和应对能力。同时，金融机构应与安全研究机构、监管机构和供应商等建立起长期稳定的合作关系，共同应对安全挑战，分享安全威胁情报和最佳实践。4.2、加强应用系统安全测试规范性建设应用系统安全测试体系建设是金融机构服务安全的重要保障。在信息安全风险日益严峻的情况下，必须不断加强。调研情况可以看出，大部分金融机构都开始了相关工作，并取得了较好的效果。但同时也可看出，安全测试的规范性还需要进一步加强。例如，应用系统安全测试的流程、职责分工、测试环境、应用场景、结果评判、整体应用系统安全评估、安全测试能力的评估等，都需要进一步规范化，建立起相应的管理、评价、改进机制，并参考同业先进经验，取长补短，不断提升自身的能力，保证应用系统安全性在投入应用前受到严格的检验，从而得到最大程度4.3、建立科学、规范、安全的应用系统开发上线流程 2023年金融机构应用系统安全测试体系建设调研报告征求意见稿应用系统的安全关系到软件投产后能否提供安全的服务、避免重大的信息安全风险。因此，在应用系统设计、开发及投产上线需要充分考虑安全性要求，仔细分析、仔细设计、严格测试，保证交付一个合格的应用系统。因此，金融机构应该在应用系统的开发中，对涉及安全性的各个环节进行整体分析、设计，并把这些安全性要求融入系统的需求、设计、测试、交付等环节，从而系统性地防范安全风险。为了做到上述要求，系统开发部门还需要有相应的考核机制以及改进机制，以促进安全开发能力的持续提升。4.4、