中國電子銀行網訊 7月28-29日，由中國金融認證中心（CFCA）、數字金融聯合宣傳年主辦的“轉型加速2022”——CFCA數字生態大會在遵義舉行。大會邀請百余家銀行、行業協會、研究機構、高等院校、非銀金融機構出席活動，就數字安全與生態建設、科技創新與數字化轉型等議題展開深入討論。

中金金融認證中心有限公司（CFCA）信息安全服務部創新團隊負責人宋鑫磊出席大會，并作了“為金融測評發展注入新動能”的主題分享。

中金金融認證中心有限公司（CFCA）信息安全服務部創新團隊負責人 宋鑫磊

2021年底，央行印發《金融科技發展規劃(2022-2025年)》，“點名”多類前沿技術，如隱私計算、人工智能、開源技術、應用程序接口等,敦促行業加強研發創新與應用落地。同時也布置了信息安全方面的重點任務：全面加強數據能力建設，在保障安全和隱私前提下推動數據有序共享與綜合應用，充分激活數據要素潛能，有力提升金融服務質效。

金融業開展數據安全治理工作需要合規、專業、高效的金融測評服務。宋鑫磊結合CFCA實際業務，針對金融測評新熱點領域——開放銀行應用程序接口安全檢測與開源技術治理作了經驗分享。

OpenAPI檢測：保障開放銀行業務安全

目前，各個機構對開放銀行的定義不盡相同，但其中都有提及“API”——應用程序接口。API是連接銀行業務系統和外部用戶的關鍵紐帶，也是開放銀行建設的主要載體，安全保障尤為重要。在此背景下，國家有關部門陸續發布了規范API安全管理的標準和要求，為開放銀行信息安全建設帶來有力保障。

目前，API的檢測難點主要體現在“檢測難度大”和“檢測效率低”兩方面。為解決這兩個難點，CFCA自主研發構建了能夠兼容各項標準要求的檢測服務平臺。平臺包括Web平臺、測試平臺中間件、測試引擎三大組件，遵循模塊化設計原則，采用分布式架構設計方案，并引入容器技術，支持批量測試請求，具有高可用性、易部署、易擴展的特點。

開源技術治理：護航金融創新應用工作開展

當今大多數主流IT技術均采用了大量的開源技術以及開源生態產品。金融行業也在廣泛使用開源技術，其攜帶的數字安全風險也愈發顯著。對于金融行業來講，應用開源技術還額外帶來專利許可、網絡安全、監管合規、用戶隱私、落地應用等方面的業務風險。

最近兩年，開源技術治理金融監管政策與行業標準相繼落地。為幫助金融機構更好地滿足監管要求與客戶需求，CFCA推出了一體化開源技術安全治理方案。

方案分為管理和技術兩個方向，具體包括：開源軟件管理制度/組織架構建設咨詢、開源軟件引入標準管理、開源軟件治理工程化培訓、開源軟件合規性檢測等服務。其核心為CFCA開源軟件自動化檢測平臺，該平臺可以為客戶提供許可證分析、漏洞分析、代碼溯源檢測等核心服務。

目前該方案各項業務適用于數字化和信息化應用各個領域，包括金融和非金融領域。同時，開源軟件治理還是金融創新應用工作開展的重點，所有涉及金融創新應用改造的機構也適用該方案。

責任編輯：韓希宇