金融如何建立应用系统安全测试体系

        除了参考的优秀标准外，从国内外政府测评机构中还可以借鉴其组织架构模式，无论是国外还是国内，测评体系都应实现三权分立，国内的测评体系如下图所示。

图1 中国信息安全测评认证体系组织层次

        从上图中可以看出，认证机构与测评实验室(即测评机构)均需获CNAS的认证认可，同时测评实验室还需要得到认证中心的授权，测评实验室完成对某一系统的测评后，认证中心负责颁发相关认证证书。

建立机构内部的应用系统测试体系之道

        借鉴体系化的标准和组织架构，金融机构便可建立应用系统测试体系，主要从以下几方面建设：

        1、建立内部测试组织体系
        任何一项工作没有良好的组织保障就不能顺利开展，因为建立组织体系是第一要事。组织体系要将相关部门及相关岗位人员都纳入，这样才能将相关工作都深入到各自的岗位中，但大多机构由于行政管理的原因，直接纳入都会比较困难，因此通常情况下虚实结合更容易落实，如下图所示。当然有了组织必须配备如下图所示的相关技术工程师。

图2 测试组织体系架构

        2、明确内部应用系统安全测试的流程内容
        有了明确的组织人员后，就要制定具体的应用系统安全测试的流程内容，通常一个较完善的基于CC的应用系统测试体系流程主要分四个大部分，即：准备测试阶段、预测试阶段、执行测试阶段、结束测评阶段。详细流程及内容图如下所示。

图3 应用系统测评体系整体流程图

        3、建设过程中要注意的问题
        本体系建设不仅有很高的技术门槛，而且还需有很强的管理措施，因此过程中要注意如下问题：

        1) 必须领导重视。一个完善的体系建设不仅涉及财力而且涉及各部门的人力，需要领导将应用安全工作提升高度，要有推动贯彻该体系的决心，过程中长期关注，并保证资源，包括人力、物力、财力。

        2) 要有统一的组织体系并明确责任分工。内部应用系统测评体系建立工作的顺利展开，离不开各部门的明确责任分工，例如业务部门负责参与编写ST，提出安全策略等。

        3) 需要相应的技术环境。一个完整体系必须有相应的技术支撑，如白盒测试工具、扫描工具等整套支撑该体系的技术和相应产品。

        4) 建立内部应用系统测评体系应循序渐近，按计划分步实施。建立内部应用测评体系将会大大改变公司内部的管理及工作模式，所以不能急功近利，否则可能会出现很多问题，甚至导致前功尽弃，另外各金融机构可依据自己公司的规模、复杂度等具体设计实施计划。

长远意义

        虽然建立该体系前期投入较大，也需要足够的人员储备，但适合金融行业安全自主掌控的理念。鉴于目前各大金融机构均未建立此测试体系，所以一旦有机构建立，将会有如下长远意义：

        1、使安全工作从开发源头抓起，实现良性循环，提高应用系统安全性在企业内部的可见度。

        2、能够提升整个机构整体应用系统安全水平，在行业内树立标杆形象,为商业化运作提供条件。

        3、目前各大机构都在扩展海外业务，此测试体系的建立可为实施全球业务战略奠定基础。

（文章来源：中关村在线）
 

首页 上一页 1 2

扫码即可手机
阅读转发此文