金融业源代码泄漏风险防范指南.docxVIP

附件1

ICS03.060CCSA11

团体标准

T/TJSFB009-2025

金融业源代码泄漏风险防范指南

GuidelinesforPreventingSourceCodeLeakageRisksinfinancialIndustry

2025-12-10发布2025-12-10实施

天津市金融学会发布

I

T/TJSFB009-2025

目次

目次 I

前言 II

引言 III

金融业源代码泄漏风险防范指南 1

1范围 1

2规范性引用文件 1

3术语和定义 1

4管理流程 1

5源代码开发 1

6源代码传输与共享 2

7源代码存储与备份 3

8源代码销毁 3

9安全审计及监督检查 3

参考文献 4

T/TJSFB009-2025

II

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由中国人民银行天津市分行、天津银行提出。

本文件由天津市金融学会归口。

本文件起草单位：中国人民银行天津市分行、渤海银行、天津银行、天津农商银行、天津滨海农商银行。

本文件主要起草人：高宁、曹帷、刘众奇、李艳楠、魏来、费志强、刘贵良、杨红宾、史琳、王雪娇、郑雅迪、班俊峰、仝宗强。

T/TJSFB009-2025

III

引言

随着数字化时代的到来，信息技术迅猛发展，信息系统已成为企业的重要资产。源代码作为信息系统的基础，安全性至关重要。然而，随着云计算、大数据、人工智能等技术的广泛应用，信息泄露的风险显著增加。本文件旨在针对金融机构源代码泄露风险防范工作，提供通用方法指南，提高金融行业对源代码安全的防护能力。

T/TJSFB009-2025

1

金融业源代码泄漏风险防范指南

1范围

本文件提供了金融机构在源代码管理活动中防范泄漏方面的相关指南。

本文件适用于金融行业源代码泄露风险的识别、界定和有效防范。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T11457—2006信息技术软件工程术语

3术语和定义

源代码Sourcecode

以适合于作为汇编程序、编译程序或其他转换程序输入的形式表示的计算机指令和数据定义。

[GB/T11457—2006，定义2.1541]

4管理流程

源代码管理是防止代码泄露过程中的管理环节，主要包括源代码开发、源代码传输与共享、源代码存储与备份、源代码销毁、源代码审计与安全检查等几个环节。

5源代码开发

5.1开发测试环境

有条件的金融机构可建立可信开发测试环境进行统一的管理，供技术人员使用。可信开发测试环境宜单独组网实现物理隔离，技术人员通过可信开发测试环境提供的开发终端（包括虚拟桌面、开发专用电脑等）进行统一的代码开发、上传、测试、联调等活动。

5.2开发终端管理与权限控制

为有效控制源代码在开发终端操作环节的泄露风险，有条件的金融机构宜在开发终端管理与权限控制中遵循以下要求：

a)制定开发终端管理机制，明确申请、使用、注销、文件上传、下载流程。

T/TJSFB009-2025

2

b)开发终端具备用户认证管理和访问控制管理的能力。

c)开发终端使用者宜通过开发终端资源申请审批后方可使用。

d)技术人员宜统一使用开发终端进行开发，开发终端环境内属于网络隔离区域，不与生产、办公区联通，所有存储资料均在该环境内进行，实现代码等数据的可控，避免源代码泄露。

e)开发终端上传、下载权限宜由管理员统一管理。申请人如需导入导出数据，宜由申请人填写审批表，备注有无敏感信息，经管理员审核后，由管理员进行导入导出数据。

f)开发终端宜具备网络访问权限管理流程，访问网络隔离区域以外的地址，宜由管理员审批通过后访问。经审批后的访问宜限定时间，且支持数据泄露防护，防止代码外发。

g)开发终端宜支持代码显示水印，防止拍照、截屏等泄露源代码。

h)开发终端宜支持关键操作记录、支持安全管理及审计。

i)开发终端宜限制外部设备的使用，通过审批机制确保设备的安全性和可控性。

5.3源代码管理软件

有条件的金融机构宜采用源代码管理软件对源代码进行配置管理、版本管理及源代码仓库管