近日，全国信息安全标准化技术委员会（以下简称“信安标委”）2023年第一次“标准周”活动在云南昆明顺利举办，旨在促进网络安全技术与标准化的交流。活动期间，国泰君安联合杭州默安科技有限公司（以下简称“默安科技”），携获奖案例亮相“网络安全国家标准优秀实践案例展览”。

本次“标准周”特设的“网络安全国家标准优秀实践案例展览”，选取了重要行业领域和典型应用场景下的20个标准优秀实践案例进行展示。国泰君安与默安科技联合实施的案例《网络安全国家标准在证券应用开发安全过程中的实践应用》在展会上精彩亮相，该案例在信安标委20周年网络安全国家标准优秀实践案例评选中荣获三等奖，成为唯一入选的金融机构案例。

该案例基于GB/T 35273-2020《信息安全技术 个人信息安全规范》和GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》两项国家安全标准，开展应用开发安全流程建设，构建应用内生安全防线。作为大型头部证券公司，国泰君安为上千万投资者提供高效、便捷、智能的在线科技服务，相关业务信息系统存在高 强度、高质量的安全防护和个人信息保护需求，随着金融供给侧结构性改革和数字化转型的深入推进，互联网应用高速迭代，为系统安全和个人信息保护带来了巨大的挑战。国泰君安以全面的开发安全体系建设作为防范软件供应链攻击的有力之举，将两项国家安全标准应用于所有核心业务系统的自主开发和外包开发过程，探索证券行业在软件供应链领域的治理路径和标准化路线。

在实践过程中，国泰君安依据标准相关内容确定不同软件开发模式下应用开发生命周期中的安全控制要求，实现应用开发各阶段的安全流程闭环。同时，结合自身应用开发安全流程系统特点，与默安科技合作逐步构建由威胁建模、软件成分分析、代码白盒测试、灰盒安全测试、黑盒安全测试五大开发安全引擎组成的应用开发安全技术支撑平台，全面提升应用开发各阶段安全能力。

从实践效果来看，国泰君安实现了核心系统安全运行率连续多年保持99.99%以上的高水准目标；制定了《证券APP个人信息保护技术》企业标准，并参与2021年金融行业企业标准“领跑者”计划，发挥了行业标准引领作用；获得了上海市网信办颁发的2021年度上海市网络安全工作先进单位称号；君弘APP在历年个人信息保护检查中取得了“0违规通报”的成绩，并率先通过了证券期货业移动互联网应用程序安全认证。

通过对两项国家安全标准的深入实践，国泰君安逐步构建了适应于证券公司的全流程、多方位的立体安全体系，有效提升了包括网上交易系统、移动应用、集中交易系统在内的核心业务系统的内生安全，为公司业务的快速发展、安全能力的全面提升打下坚实基础，也为证券行业的数字化转型提供了安全最佳实践和示范标准。

未来，国泰君安将主动参与国家软件供应链安全和开发安全相关国标试点工作，积极牵头和推进证券行业相关标准的立项、编制，促进行业示范、交流与推广，为证券行业落实网络安全国家标准、促进行业网络安全生态作出新的贡献。

延伸阅读：作为一家云计算时代的新兴网络安全公司，默安科技提供的方案、产品与服务贯穿左移开发安全、智慧运营安全、云与云原生安全三大领域，帮助客户构建基于多种IT环境的下一代安全防护体系，实现安全风险的全生命周期管控。经过多年发展，默安科技的产品与服务已成功应用于政府、金融、能源、运营商、交通、教育、制造、IT以及互联网等众多领域，累计为数千家政企单位提供网络安全保障。