3、应用系统安全测试工作范围局限。应用系统安全测试目前在大多机构仅仅是在安全部门进行，整个测试方法与理念未贯穿于系统开发全过程，需求和设计过程仍未涉及较体系化的安全措施和控制点。

4、外包开发和外购模块的风险控制不足。多数机构外购的产品缺乏可信赖的第三方评估机构，另外第三方开发商不可能遵循金融机构自身的开发规范，因此无法控制相关风险。

针对上述问题，虽然有些金融机构采取了一些相应的措施应对，如对网页敏感信息加固，对新版本进行安全测试，系统等保测评或外购模块安全测试等。但这些措施都仅是“头痛医头、脚痛医脚”，未解决根本问题。启明星辰分析存在上述问题的根源如下：

1、效率和安全性矛盾。所有机构在开发时优先关注功能，只能牺牲一定的安全。

2、制约机制不足。大多机构中，相关的安全规范由开发人员自行制订、颁布、执行、检查，安全测试未成为应用系统能否上线的关键环节。

3、 分散管理的问题。机构各部门分散管理应用系统及其各自的安全，未形成统一管理。

因此，要根本解决上述出现的问题，必须将目前分散的测试工作整合成一个整体，并建立起一个内部应用系统安全测试体系，这样就能将安全测评整合于整个开发和操作流程中，过程完全掌握，也能够更好的把控开发质量；同时也能够使更多的部门融入到测评工作来，各业务部门对自身业务系统更加熟悉，能从不同角度为安全测评提供更全面的支持。

借鉴国内外优秀经验

目前国内及西方大多数发达国家在国家层面的第三方测评机构方面都建立了比较完善的应用系统安全测试体系，我国金融机构在内部建设自身的应用系统安全测试可以借鉴其组织架构的做法和参考的标准。

无论国际还是国内，目前在应用系统测试方面主要是以国际通用评估准则（CC）为主，此标准是在多个国家的测评标准基础之上，由六国七方统一提出的全球35个国家互认的针对产品及应用系统的信息安全测评标准，在1999年已成为了国际标准ISO15408，且美国欧洲很多政府机构采购里面都要求必须通过CC，此外很多电信、金融的招标要求里面也提及了CC认证的要求。此标准目前已是针对应用系统及产品安全测试的应用最广的标准，2011年国内已等同采用为GB/T18336，当然除此标准外，在应用系统中涉及密码模块和密码算法还会参考FIPS 140标准，或者涉及具体某一类应用系统时也会参考相关的系统标准，如国内针对网银系统安全有人行下发的网上银行系统信息安全通用规范（121号文）、银监会下发的《网上银行安全风险管理指引》和国家测评中心发布的《GBT 20983-2007 信息安全技术 网上银行系统信息安全保障评估准则》。

除了参考的优秀标准外，从国内外政府测评机构中还可以借鉴其组织架构模式，无论是国外还是国内，测评体系都应实现三权分立，国内的测评体系如下图所示。

图1 中国信息安全测评认证体系组织层次

从上图中可以看出，认证机构与测评实验室（即测评机构）均需获CNAS的认证认可，同时测评实验室还需要得到认证中心的授权，测评实验室完成对某一系统的测评后，认证中心负责颁发相关认证证书。