文 / 大连商品交易所 于力 庞彦广 贾露翔
随着国际形势的复杂多变以及数字化技术的快速演进发展,证券期货业(以下简称行业)信息安全面临严峻挑战,安全自主可控迫在眉睫。2020年,在证监会科技司(以下简称科技司)和大连商品交易所(以下简称大商所)党委的支持和指导下,正式在大商所行业测试中心下挂牌成立证券期货业信创测评实验室(以下简称实验室)。实验室作为行业重要信创基础设施,紧紧围绕国家“十四五”数字经济发展规划的战略目标,依据《证券期货业科技发展“十四五”规划》,落实科技监管要求、积极推动行业信息技术应用创新。根据批复文件,确定三大职责:一是为行业提供信创测试、检测基础设施;二是输出完整的信创软件产品和应用的测试解决方案;三是建设行业信创检测标准,提供专业信创检测服务。
实验室先期参与科技司牵头组织的《证券期货业信创标准系统纲要》起草工作,后被指定为检测认证类标准工作组的牵头单位。检测认证是把关信创工作质量,形成信创工作闭环不可或缺的环节。统一规范化的检测认证模式,有助于促进行业信创的可持续性健康发展,提升行业信创工作规范化程度,促进行业信创检测水平的整体提升。为更好地推进行业信创标准建设,制定符合行业需要的检测认证类标准,实验室组织开展了相关的研究和建设工作。
标准建设必要性和可行性
1.行业信创检测现状分析
一是行业缺少信创软件产品是否满足行业需要的准确评估依据。目前信创软件产品的检测主要由行业外部相关机构执行,其检测内容和依据多为普适的通用性标准,对行业技术应用场景的针对性不强。鉴于行业业务具有高连续性、高复杂度、多系统同时运行等特殊性,对信创软件产品提出了承载业务运行的特殊应用场景要求,因此,需要依据行业自身的检测标准来准确评估信创软件产品是否满足行业业务应用需求。例如,中间件的差量升级以及数据库的大批量数据处理等操作对信创软件产品提出的其他必备要求,并未包含在当前检测要求内,或不是其关注的重点。
二是缺乏行业层面对信创软件产品和应用软件检测标准的统一指导。信创为全新的系统产业链,信创软件产品多,相关经验较少,云平台、分布式等新技术与信创结合的案例较少;信创应用软件涉及多个业务主线、涉及多个主体机构,数量繁多,同类业务系统处于不同节点时其运行要求也不尽相同,不同系统与产品的适配问题凸显。目前行业中的信创检测标准制定,依据各家对问题的解析和处理自行建设实验室标准,各自为战,检测要求、质量要求不统一。
2.行业信创检测标准的必要性
一是安全可控目标对行业信创改造的需要。作为关系国民经济命脉的重要行业和关键领域,行业信创工作是实现安全可控的重点关注对象。检测认证作为信创工作中重要的核验环节,需要行业制定相关的检测要求标准为行业信创工作健康有序发展提供必要条件和保障。
二是行业开展信创检测工作的需要。行业信创软件产品及应用软件的检测整体要求和工作模式的标准能够规范行业信创检测工作,为行业检测工作开展提供有力支撑。由专业的检测机构负责信创检测,并出具统一标准的检测评估、评价报告,可有效解决信创适配问题,缓解因缺少信创工作经验及相关标准作为指导和依据阻碍证券期货业信创检测工作开展的问题。
三是信创检测目标不同于常规检测的需要。信创检测跟非信创检测在检测目标、检测范围、检测重点上均存在差别,需要建立符合其需要的检测标准。信创检测的目标在信创技术路线上的适配结果,并非质量本身;信创检测范围集中于核心关键功能,并非全面覆盖;信创检测重点关注性能效率、可靠性、兼容性、信息安全性等非功能指标,并非功能性指标。
3.行业信创检测标准的可行性
工信系统已有信创软件产品的通用检测标准。该系统的信创软件产品检测工作开展较早,已建设完成信创软件产品的实验室检测标准,并以其为依据成功开展了多个信创软件产品的检测工作。行业可在上述系统对信创软件产品的基础要求之上完善行业属性部分,建设适合行业特点的信创软件产品检测标准。
行业已有检测测试类的标准建设经验。行业在检测测试领域均发布过相关的标准,已有丰富的标准建设经验,比如《JR/T 0175—2019证券期货业软件测试规范》《JR/T 0191—2020证券期货业软件测试指南软件安全测试》《JR/T 0240—2021证券期货业移动互联网应用程序安全检测规范》均是行业发布且在行业中运行良好的检测测试类标准。
行业信创软硬件资源和技术人员方面储备足够。行业已设立三家信创基础设施,从2020年筹建到今,积累了标准建设的信创工作经验和技术人员。2019年以来,行业厂商和经营机构的信创工作也在大规模持续推进,进一步丰富了行业的信创工作经验、增加了在技术和业务方面的信创人员储备。
标准建设方案
实验室结合国内信创检测情况,期望建设符合行业特性的信创检测标准体系架构,并确定体系内的各项标准以及各标准的建设思路和主要内容,以达到统一信创检测工作相关标准、规范信创检测工作流程的目标,为行业信创检测工作开展提供基础支持,缓解因缺少信创工作经验及相关标准作为指导和依据阻碍证券期货业信创工作开展的问题。
1.行业信创软件产品标准建设方案
行业信创软件产品检测标准的主要目标是从信创特性出发规定信创软件产品的应检需检项范围、制定每一个检测项的检测目的、检测过程、通过标准。可作为行业检测机构进行标准符合性测试的依据;可用以规范行业信创软件产品检测工作流程和质量要求标准;可解决行业信创软件产品检测缺乏指引、质量标准不统一的问题;可促进行业信创软件产品检测水平的整体提升。
行业信创软件产品检测标准包括了Web中间件检测指南、消息中间件检测指南、交易中间件检测指南、分布式数据库检测指南、云管理软件检测指南5个部分。适用于行业机构针对信创软件产品中的Web中间件、消息中间件、交易中间件、分布式数据库、云管理软件的检测工作。
根据对行业内外信创软件产品的检测调研结果,建设思路如图1所示。
图1 信创软件产品标准建设思路
行业信创软件产品检测标准继承工信部的通用要求,并在此基础上结合行业需要进行三方面调整:一是增加行业重点关注检测项的检测力度;二是并入行业普遍需要但是不在基本要求范围内的检测项;三是调整行业对某些检测项的检测级别。最终制定出符合行业特色的信创软件产品检测标准。
信创软件产品检测标准的内容主要包括总体要求、检测项说明、检测列表大纲三部分。其中总体要求包括检测基本要求、检测框架等内容,是检测工作开展的基础。检测项说明是从功能性、性能效率、可靠性、信息安全、兼容性、可扩展性、可移植性、易用性检测方面阐明信创软件产品需检应检项的检测目的、检测过程、通过标准,达到统一检测质量标准要求的目标。检测列表大纲是所有检测项的汇总说明,可在检测实施过程中用于确定检测大纲。
2.行业信创应用软件标准建设方案
行业信创应用软件检测标准的主要目的是从信创特性出发规定应用软件的应检需检指标和业务场景,发掘不同类型的应用软件的检测重点。可作为检测机构进行信创应用软件检测的依据;可用以规范行业信创应用软件检测工作流程;可解决行业信创应用软件检测缺乏指引、质量标准不统一的问题;可促进行业信创检测水平的整体提升。
行业信创应用软件检测标准以系统所承载的业务的重要度、系统的主要作用为分类依据,指导行业机构及检测机构操作实施,为检测机构对信创应用软件检测结果评价提供重点指标。
根据对行业内外信创应用软件的检测调研结果,建设思路如图2所示。
图2 信创应用软件标准建设思路
信创应用软件检测标准建设思路主要是从信创应用软件在新的技术路线上适配的技术表现是否能满足行业要求为主,功能性的表现为辅,发掘不同类型的信创应用软件的检测重点倾向,规定行业信创应用软件的应检需检指标和业务场景。
标准主要由指标主体和辅助资料两大部分组成。由功能性和非功能性应检需检指标组成指标主体,由应用软件系统分类说明、应用软件典型场景、应用软件检测指标重要度说明组成辅助资料。指标主体和辅助资料相辅相成,共同为待检测信创应用软件确定其检测场景。
指标主体主要是应检需检指标的合集,包括功能性、性能效率、可靠性、信息安全、兼容性、可移植性、可维护性7个方面,重点描述的是各项检测指标的说明和各项检测指标的检测指引。
应用软件系统分类说明,主要是说明行业信创应用软件的分类原则和分类结果,主要应用于统一行业应用软件分类,建立信创应用软件应检需检指标范围索引。
典型应用场景从应用软件的基本通用功能以及关键核心业务功能两个维度进行归纳整理。主要用于检测功能性方面是否满足信创要求及行业应用需要,同时可为性能检测需结合的业务场景提供选择参考。
应用软件检测指标重要度说明,主要是说明指标主体中各项指标在每一类应用软件系统中的重要度,由于不同的主体机构、不同类型的业务系统对同一检测指标的重要度认定是不同。所以需以主体机构和业务系统为主线,区别呈现全部检测指标的重要度值。
下一步工作
推进符合行业特性的信创适配验证标准体系的建设和落地,为后续标准建设工作提供充分的理论支持和方向指导,进一步结合专业机构的优秀实践,将标准真正用于行业机构的检测工作。同时随着行业信创工作的持续开展,对标准内容做持续改进,使其更加贴合行业应用的实际需要。
实验室根据本方案的思路尝试在行业主流信创技术路线上组织开展适配验证测试。首批已完成东方通消息中间件、京东StarDB分布式数据库2个具有强行业属性的信创软件产品,以及金证极速交易系统、股票期权交易系统2个核心业务系统的适配验证测试,并出具实验室测试报告。通过测试实践有效验证、优化完善方案的同时,实验室不断积累经验、提升能力,为行业后续开展信创检测工作做好准备。
(此文刊发于《金融电子化》2024年4月下半月刊)
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。