《期货公司网上期货信息系统技术指引》详解
证券公司网上证券信息系统技术指引
证券公司网上证券信息系统技术指引第一章总则第一条为保障网上证券信息系统的安全、可靠、高效运行,促进证券公司网上开展证券业务的健康有序发展,保护客户的合法权益,依据《中华人民共和国证券法》、《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等国家相关法律法规,以及《证券期货业信息安全保障管理办法》等行业相关制度规范,制定本指引。
第二条本指引所提出的各项要求,是证券公司网上证券信息系统应达到的基本要求。
证券公司在开展网上证券信息系统建设和运行过程中,应符合本指引规定的相关要求。
第三条证券公司网上证券信息系统是证券公司通过互联网、移动通信网络、其它开放性公众网络或开放性专用网络基础设施等开放性网络,向其客户提供金融业务和服务的信息系统,包括证券公司的网络设备、计算机设备、软件、数据、专用通讯线路,以及客户端软件等。
第四条证券公司利用网上证券信息系统开展证券业务应当遵循如下基本原则:(一)安全性原则:网上证券信息系统的建设应当建立风险防范意识,保证在网上开展证券业务的安全性。
通过技术措施和管理手段,实现信息的保密性、完整性和服务可用性。
(二)系统性原则:网上证券信息系统的建设应当覆盖安全保障体系的各个方面,包括但不限于:安全体系规划和建设、证券业务安全运行、运维和安全保障、灾难恢复和应急措施等。
(三)可用性原则:网上证券信息系统的建设应当在保障安全的原则下,确保在网上开展证券业务的连续性和可靠性。
第五条中国证券业协会对证券公司执行本指引的情况实施自律管理。
第二章基本要求第六条证券公司对网上证券信息系统应当统一规划、统一管理,保证在网上开展证券业务安全、有序发展。
第七条证券公司应当根据国家相关法律法规,信息系统安全等级保护要求、运维管理规范、信息系统备份能力标准、行业信息安全管理制度,以及监管机关的相关实施指导意见,做好网上证券信息系统的信息安全管理、运维管理和备份能力建设等工作。
证券公司网上证券信息系统技术指引
证券公司网上证券信息系统技术指引第一章总则第一条为保障网上证券信息系统的安全、可靠、高效运行,促进证券公司在网上开展的证券业务健康有序发展,保护投资者的合法权益,依据《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等相关法律法规制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的证券公司。
第三条网上证券信息系统是证券公司在网上开展证券业务活动中所采用的由相关网络设备、计算机设备、软件及专用通讯线路等构成的信息系统,包括网上证券服务端、客户端和门户网站。
第四条证券公司利用网上证券信息系统开展证券业务应遵循如下基本原则:(一)安全性原则:网上证券信息系统的建设应提高风险防范意识,保证在网上开展证券业务的安全性。
通过技术措施和管理手段,实现信息的保密性、完整性和服务可用性。
(二)系统性原则:网上证券信息系统的安全建设应覆盖安全保障体系的各个方面,包括:安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。
(三)可用性原则:网上证券信息系统的建设应在保障安全的原则下,确保在网上开展的证券业务的连续性和可靠性。
第五条中国证券业协会对证券公司执行本指引的情况进行指导和督促。
第二章基本要求第六条证券公司对网上证券信息系统应统一规划、集中管理,保证在网上开展证券业务安全、有序发展。
第七条证券公司应制定在网上开展证券业务的各项安全管理制度,对安全管理目标、安全管理组织、安全人员配备、安全策略、安全措施、安全培训、安全检查、系统建设、运行管理、应急措施、风险控制、安全审计等方面作出规定。
第八条证券公司应根据在网上开展证券业务特性,设立相应的管理职能岗位,明确在网上开展证券业务管理的责任,配备合格、足够的管理人员和技术人员,包括安全管理员、安全审计员等。
第九条证券公司应将在网上开展证券业务的风险管理纳入证券公司风险控制工作范围,建立健全网上证券风险控制管理体系。
《证券期货经营机构信息技术治理工作指引_试行》解读100分
《证券期货经营机构信息技术治理工作指引_试行》解读100分一、单项选择题1. 按照《证券期货经营机构信息技术治理工作指引(试行)》的规定,IT基础设施建设应遵循()的原则,能为多种IT应用提供支持和服务。
A. 安全、稳定和高效B. 可靠、安全、共享和可管理C. 稳定、快速和安全D. 可扩展、防灾和高性能您的答案:B题目分数:10此题得分:10.02. 按照《证券期货经营机构信息技术治理工作指引(试行)》的规定,公司应充分重视客户资料等()安全问题,制定相关制度、采取相应措施确保在开放的市场环境中公司的商业机密和投资者信息安全。
A. 公司商业机密B. 公司商业信息C. 安全措施D. 灾难备份系统和应急方案您的答案:B题目分数:10此题得分:10.03. 按照《证券期货经营机构信息技术治理工作指引(试行)》的规定,公司应制定()的策略和相关制度,对信息系统的合规性进行检查,对IT风险进行评估。
A. IT评估B. IT风险管理C. IT合规性D. IT安全性您的答案:B题目分数:10此题得分:10.04. 按照《证券期货经营机构信息技术治理工作指引(试行)》的规定,公司宜配备适当IT研发人员增强公司重要IT应用系统的()能力。
A. 维护管理B. 自主研发C. 运行维护D. 联合开发您的答案:B题目分数:10此题得分:10.05. 按照《证券期货经营机构信息技术治理工作指引(试行)》的规定,公司年度IT投入预算额度应不少于最近三个财政年度平均净利润的()或不少于最近三个财政年度平均营业收入的3%。
A. 10%B. 3%C. 6%D. 8%您的答案:C题目分数:10此题得分:10.06. 按照《证券期货经营机构信息技术治理工作指引(试行)》的规定,公司应建立有效的IT治理机制,保持()一致,合理利用IT 资源,有效管理IT风险,确保信息系统的建设和运行安全、高效、稳定。
A. IT与战略B. IT与管理目标C. IT与业务目标D. IT与市场发展您的答案:C题目分数:10此题得分:10.07. 按照《证券期货经营机构信息技术治理工作指引(试行)》的规定,IT应用需求应充分考虑()之间协同发展的互动性关系。
《证券期货经营机构信息技术治理工作指引(试行)》解读
《证券期货经营机构信息技术治理工作指引(试行)》解读主讲人:刘云清重要提示只有完成课程学习并通过课程测验后.才能获得相应培训学时。
请您回答题目描述为在今后的培训中确认您的身份.请认真回答以下问题。
开始测试1.在去年全年中.您参加的由单位举办的行业培训活动总计有多长时间?(B)A、10小时以内B、10-30小时C、30-80小时D、80-200小时E、200小时以上2.在繁忙的工作之余.您通常采用以下什么方法来放松身心?()A、运动B、读书.听音乐.看电影C、和朋友聚会D、参观.浏览E、其他方式目录第一部分指引的起草说明第二部分《证券期货经营机构信息技术治理工作指引(试行)》解读第一章总则第二章 IT原则和治理目标第三章 IT治理组织和工作机制第四章 IT架构与IT基础设施第五章 IT应用第六章 IT投入第七章 IT人力资源第八章 IT安全和风险控制第九章附则第三部分小结与案例第一部分指引的起草说明一、IT治理理论的产生背景和引入证券业的情况1.IT治理产生背景上世纪90年代末开始逐渐发展起来的一门管理科学.主要研究在高度信息化的时代.如何将企业的IT资产转化为企业的重要战略资产之一。
2.IT治理核心三个关键的问题:(1)需要制定哪些IT决策(2)应该由谁来制定这些IT决策(3)如何制定和监控这些IT决策3.IT治理引入证券业二、《指引》起草过程从2006年开始.中国证券业协会信息技术委员会着手起草该指引。
并与期货业协会共同研究.针对期货公司的情况.对指引内容错了相应的修改和增减。
2008年8月3人由中国证券业协会联合中国期货业协会共同发布了该指引。
第二部分《证券期货经营机构信息技术治理工作指引(试行)》解读第一章总则第一条为加强证券期货经营机构信息技术管理与规范.完善各机构的治理结构.提高证券期货经营机构信息技术治理水平.保障信息系统安全运行.特制定本指引。
解读:本条提出了制定本指引的目的1.加强经营机构信息技术管理与规范;2.完善各机构的治理结构;3.提高经营机构IT治理水平;4.保障信息系统安全运行。
期货公司信息技术管理指引修订检查细则二类
目录1. 总则 (1)1.1 范围 (1)1.2 术语和定义 (1)1.2.1 检查方式 (1)1.2.2 检查对象 (1)1.2.3 检查措施 (1)1.2.4 检查结果 (1)1.3 检查原则 (1)1.3.1 客观公正原则 (1)1.3.2 检查结果二元原则 (1)1.3.3 证明材料验证原则 (2)1.3.4 进入机房原则 (2)1.3.5 测试被检查单位系统的原则 (2)1.3.6 保密原则 (2)1.4 检查技术等级判定 (2)1.4.1 完全达到某章要求的定义 (2)1.4.2 基本达到某章要求的定义 (2)1.4.3 达到等级类的定义 (2)1.5 其他检查说明 (2)2. 二类要求 (3)2.1 技术管理 (3)2.1.1 组织结构 (3)2.1.2 培训 (6)2.1.3 人员素质 (7)2.1.4 信息技术服务提供商管理 (8)2.1.5 IT投入 (9)2.2 机房建设 (10)2.2.1 基本 (10)2.2.2 供电 (12)2.2.3 空调 (13)2.2.4 布线 (13)2.2.5 维护 (14)2.3 核心系统 (14)2.3.1 功能 (14)2.3.2 性能和容量 (17)2.3.3 交易系统冗余 (20)2.3.4 行情冗余 (21)2.3.5 银期系统冗余 (22)2.4 安全 (22)2.4.1 网络隔离 (22)2.4.2 防病毒、补丁和安全加固 (24)2.4.3 网站安全 (26)2.4.4 网上交易安全 (28)2.4.5 账户与权限 (29)2.4.6 口令管理 (30)2.4.7 安全审计 (31)2.5 日常运行 (32)2.5.1 岗位 (32)2.5.2 制度与巡检 (33)2.5.3 机房进出 (36)2.6 备份 (37)2.6.1 数据备份 (37)2.7 系统维护 (39)2.7.1 变更管理 (39)2.7.2 配置管理 (41)2.7.3 容量管理 (42)2.7.4 应急演练 (43)2.7.5 技术事故管理 (44)2.8 营业部技术要求 (45)2.8.1 基本要求 (45)2.8.2 交易保障 (47)1.总则1.1范围为加强期货公司信息系统建设,提高运维保障水平,依据《期货公司信息技术管理指引》(以下简称指引),特制订针对期货公司信息系统和技术管理的检查细则。
2019313证券公司网上证券信息系统技术指引15页word文档
证券公司网上证券信息系统技术指引第一章总则第一条为保障网上证券信息系统的安全、可靠、高效运行,促进证券公司网上开展证券业务的健康有序发展,保护客户的合法权益,依据《中华人民共和国证券法》、《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等国家相关法律法规,以及《证券期货业信息安全保障管理办法》等行业相关制度规范,制定本指引。
第二条本指引所提出的各项要求,是证券公司网上证券信息系统应达到的基本要求。
证券公司在开展网上证券信息系统建设和运行过程中,应符合本指引规定的相关要求。
第三条证券公司网上证券信息系统是证券公司通过互联网、移动通信网络、其它开放性公众网络或开放性专用网络基础设施等开放性网络,向其客户提供金融业务和服务的信息系统,包括证券公司的网络设备、计算机设备、软件、数据、专用通讯线路,以及客户端软件等。
第四条证券公司利用网上证券信息系统开展证券业务应当遵循如下基本原则:(一)安全性原则:网上证券信息系统的建设应当建立风险防范意识,保证在网上开展证券业务的安全性。
通过技术措施和管理手段,实现信息的保密性、完整性和服务可用性。
(二)系统性原则:网上证券信息系统的建设应当覆盖安全保障体系的各个方面,包括但不限于:安全体系规划和建设、证券业务安全运行、运维和安全保障、灾难恢复和应急措施等。
(三)可用性原则:网上证券信息系统的建设应当在保障安全的原则下,确保在网上开展证券业务的连续性和可靠性。
第五条中国证券业协会对证券公司执行本指引的情况实施自律管理。
第二章基本要求第六条证券公司对网上证券信息系统应当统一规划、统一管理,保证在网上开展证券业务安全、有序发展。
第七条证券公司应当根据国家相关法律法规,信息系统安全等级保护要求、运维管理规范、信息系统备份能力标准、行业信息安全管理制度,以及监管机关的相关实施指导意见,做好网上证券信息系统的信息安全管理、运维管理和备份能力建设等工作。
C10015证券公司网上证券信息系统技术指引》解读100分
一、单项选择题1. 按照《证券公司网上证券信息系统技术指引》的规定,证券公司应对网上证券信息系统进行实时监控,并统一记录保存监控信息,保存期至少为()。
A. 2个月B. 3个月C. 5个月D. 6个月您的答案:D题目分数:6此题得分:6.02. 按照《证券公司网上证券信息系统技术指引》的规定,证券公司应在门户网站部署(),当网站上的页面内容、提供给投资者下载的客户端软件及其它文件被异常修改时,能自动告警或自动恢复,防止被捆绑木马程序。
A. 防篡改系统B. 认证授权和加密体系C. 有效屏蔽系统D. 访问控制和权限管理机制您的答案:A题目分数:7此题得分:7.03. 按照《证券公司网上证券信息系统技术指引》的规定,证券公司应在两个以上的物理地点建立网上证券信息系统,互为备份,并应具备至少()以上不同运营商的互联网接入,避免在同一运营商的线路接入上出现单点故障和瓶颈。
A. 2个B. 3个C. 4个D. 5个您的答案:A题目分数:6此题得分:6.04. 按照《证券公司网上证券信息系统技术指引》的规定,证券公司应提供可靠的()机制,防止客户的授权被恶意提升或转授,防止客户使用未经授权的功能,防止客户进行访问未经授权的数据等非法访问活动。
A. 审核、管理和监控B. 系统安全风险评估C. 访问控制和权限管理D. 异常事件的甄别、报警、处理和报告您的答案:C题目分数:6此题得分:6.0二、多项选择题5. 按照《证券公司网上证券信息系统技术指引》的规定,证券公司应对网上证券信息系统的各个子系统合理划分安全域,在不同安全域之间保障(),并应部署在证券公司可控的物理安全域内。
(本题有超过一个的正确选项)A. 网上证券信息系统的接入系统与其后台系统在技术上进行有效连接B. 网上证券信息系统的接入系统与其后台系统在技术上进行有效隔离C. 后台系统应与行情、资讯处理系统进行网络链接D. 后台系统应与行情、资讯处理系统进行网络隔离您的答案:D,B题目分数:7此题得分:7.06. 按照《证券公司网上证券信息系统技术指引》的规定,证券公司应保证网上证券数据传输的()。
中国证券业协会关于发布《证券公司网上证券信息系统技术指引》的通知
中国证券业协会关于发布《证券公司网上证券信息系统技术指引》的通知文章属性•【制定机关】中国证券业协会•【公布日期】2009.06.23•【文号】•【施行日期】2009.06.23•【效力等级】行业规定•【时效性】已被修改•【主题分类】证券正文中国证券业协会关于发布《证券公司网上证券信息系统技术指引》的通知各证券公司会员:为促进证券公司网上证券业务健康有序发展,保障网上证券业务系统的安全、可靠、高效运行,提高行业信息化水平,保护投资者的合法权益,我会制定了《证券公司网上证券信息系统技术指引》,并经理事会表决通过,现予发布,请参照执行。
二○○九年六月二十三日中国证券业协会证券公司网上证券信息系统技术指引第一章总则第一条为保障网上证券信息系统的安全、可靠、高效运行,促进证券公司在网上开展的证券业务健康有序发展,保护投资者的合法权益,依据《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等相关法律法规制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的证券公司。
第三条网上证券信息系统是证券公司在网上开展证券业务活动中所采用的由相关网络设备、计算机设备、软件及专用通讯线路等构成的信息系统,包括网上证券服务端、客户端和门户网站。
第四条证券公司利用网上证券信息系统开展证券业务应遵循如下基本原则:(一)安全性原则:网上证券信息系统的建设应提高风险防范意识,保证在网上开展证券业务的安全性。
通过技术措施和管理手段,实现信息的保密性、完整性和服务可用性。
(二)系统性原则:网上证券信息系统的安全建设应覆盖安全保障体系的各个方面,包括:安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。
(三)可用性原则:网上证券信息系统的建设应在保障安全的原则下,确保在网上开展的证券业务的连续性和可靠性。
第五条中国证券业协会对证券公司执行本指引的情况进行指导和督促。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(六)、第六章 附则
(第53条)《指引》的解释权:中国期货业协会 (第54条)《指引》开始施行日期:发布之日起
谢ห้องสมุดไป่ตู้谢 大 家!
中国期货业协会:
前期期货公司网站检查、复查情况: 主要存在八大安全问题(漏洞): 1. SQL注入; 2. 弱口令、口令验证不足; 3. 网站被注入木马; 4. 后台管理权限泄漏; 5. 跨站脚本; 6. 目录遍历; 7. HTTP协议追踪; 8. 敏感信息泄露。
(三)、技术监管和行业自律要求
2008年5月,证监会成立了证券期货业信息化工作领导小组及其办
(第45条)数据备份和故障恢复要求:应纳入公司整体业务 数据备份和故障恢复措施中;对配置参数、系统日志等 重要数据进行备份,并记录操作日志。 (第46条)变更管理要求:上线或重大版本升级,应先制定 详细方案;测试、维护和升级应选择非交易时间,需暂 停业务服务的应至少提前三天公告,因非期货公司自身 原因无法做到提前三天公告的应至少提前一天公告。 (第47条)安全事故报告要求:及时向中期协报告,必要时 还应向公安部门报案。 (第48条)发现假冒非法活动时处置要求:及时向公安部门 报案;同时通过网站、电话语音提示或短信平台等多种 渠道提醒客户;书面报中期协。
(三)、第三章 主要安全威胁及防范措施 (第23到36条)目前主要安全问题: 包括但不限于: (一)端口漏洞攻击; (二)口令攻击; (三)注入式攻击; (四)溢出攻击; (五)木马程序; (六)拒绝服务攻击; (七)病毒攻击; (八)垃圾邮件攻击; (九)非授权访问攻击; (十)内容篡改攻击; (十一)信息偷窃; (十二)业务行为抵赖; (十三)跨站脚本和协议追踪攻击等。 逐条释义并给出目前应对该攻击的一些技术方法。 (道高一尺魔高一丈;永无止境的角力!)
(五)、第五章 应急处理
(第49条到52条)应急处理预案及演练要求: 纳入公司总体应急处理预案体系中;应急处理预案原则:统一 领导、快速响应、协调配合、最小损失。 针对不同情况(设备故障、通信中断、电力中断、应用软件故 障、误操作、病毒攻击、网络攻击、自然灾害等)制定对应的 应急恢复操作流程或步骤;至少每半年演练一次,演练记录留 存。 应急预案的演练应纳入公司整体性应急预案演练中,实际演练 时既可作为整体应急演练的一部分,也可进行单独的局部性应 急演练。 若启动应急预案将对客户产生较大影响,则应及时公告。
公室和专家委员会。 中期协成立了信息技术部,同时由证监会、交易所、交易所技术公 司、中国保证金监控中心、期货公司等单位相关人员组成信息技术委员 会。 1.制定相关工作制度 2.制定年度重点工作计划 关键要求:形成信息安全与业务资格审批联动机制(证监办发 [2008]63号)。
二、《指引》框架体系设计思路 (一)、原来思路:总则后分网上交易服务端、网上交易客户端、门 户网站、移动期货等 (二)、修改思路:总则、基本要求、主要安全威胁及防范措施、运 营管理、应急处置、附则共6章 (三)、成文过程:中期协IT委员会形成初稿→反复讨论、认真修 改→形成统一文稿由协会向期货公司征求意见→充分吸收→根据 证监会信息中心要求进一步完善→中期协理事会审议通过→证监 会核准→中期协2009年6月23日正式发布(前后形成有十几稿之 多)。 三、《指引》条款解读 (一)、第一章 总则 (第1及2条):制定《指引》的目的;适用范围。
(第13条)对网上期货用户身份认证要求:客户端应采用多 种认证方式与服务端进行身份认证: (一)用户身份认证方式除账号、口令、验证码外,还应 提供一种以上强度更高的身份认证方式(客户端电脑或 手机特征码绑定、数字证书、动态口令等)供客户选择 采用(注意是供选择而非强制); (二)用户身份认证信息应在服务器上加密存放,客户的 账号、口令等身份信息不可明文存放在数据库表或配置 文件中。 警示案例: 以前有一家供应商的软件系统就是明文存放方式的! (第14条)网上期货服务端日志信息保存要求:
第三方(是指除期货公司及其客户以外的其他方。) (二)、第二章 基本要求 (第5条)相关设备设置属地要求:核心服务器以及记录和 存储客户信息和交易数据的设备,应设置在境内。 (第6条)网站ICP许可证要求。 (第7条)网上期货信息系统营运管理要求:自主运营、自 主管理 (托管方式怎么办?托管可以,但有管理上的要 求) 。 (第8条)开展网上期货业务岗位设置要求:应设置技术和 业务管理岗位(这里指专、兼均可)。
能产生、记录并集中存储必要的日志信息(如客户信息 、交易信息和IP地址等)。 (第15条)服务端安全域划分、安全隔离要求:对服务端各 个子系统合理划分安全域;有效隔离;对安全措施的持 续调整优化。 (第16条)对实时监控和防范非法访问的要求:具备相关功 能或有相关设施; 对相关日志文件保存要求:能保存关键软件(如操作系 统、数据库系统、网络监控系统)的日志文件和审计记 录。 (第17条)对开展移动期货业务的要求:
评估供应商的资质,检查移动期货技术安全方案并留档备查。 (第18条)网上行情和资讯信息要求:来源合法; 至少两套不同的网上行情系统,且行情服务器置于至少两个不 同的机房。 (第19条)对采取外包网上期货信息系统方式的要求: 尽职调查 ;签署服务协议 (第20条)开发、测试与运营要求:开发人员、开发环境应与运 营人员、生产环境分离;开发人员访问、修改须先获授权。 (第21条)对不同互联网运营商的互联瓶颈要求:保证系统在局 部灾难或灾害发生时的对外服务质量和能力(具体做法自定) 。 (第22条)培训要求:安全知识更新,管理能力提高。
针对网上证券交易可能出现的安全风险(如:盗买盗卖) 证监会于2008年年底发布《关于加强对投资者网上交易安 全保护的通知》(证监办发〔2008〕136号) 期货公司信息安全问题现状: 在证券期货业中期货网上交易比例最高(90%以上) 但安全却最为薄弱 问题原因: 1.安全管理意识与制度建设问题; 2.投入问题(人员、资金); 3.技术人员知识结构问题; 4.供应商问题。
(第3条)描述期货公司对其网上期货信息系统采取技术和管理措施的保障目的要
求: 网上期货信息系统:安全、可用; 网上期货业务:连续、可靠 客户信息:保密、完整。 (第4条)此条为指引中所用名词的释义: 互联网(注意:指引中指广义的,不只是包括一般意义下的互联网); 网上期货业务(主要指:网上交易、网上行情、数据查询、信息发布等 ); 网上期货信息系统(主要指:网上期货服务端、客户端 ); 网上期货客户端(客户使用的计算机设备、网络设备及其软件,一般用于获 得交易、行情、资讯等服务。 ); 网上期货服务端(期货公司用于提供交易、行情、资讯等业务接入的计算机 设备、网络设备、软件及专用通讯线路等(包括网站) )。
《期货公司网上期货信息系统技术指引》
解读
一、出台《期货公司网上期货信息系统技术指引》(以下称《指引
》)背景
(一)、电子商务发展迅速(阿里巴巴、淘宝网、网银、证券 、期货)
(二)、安全问题日趋严峻(银行、证券、期货网上安全问题 ) 2004年4月,“网银大盗”。 2004年11月,“证券大盗” 。 期货方面:2003年, “期货精灵” 。
(第37条)此条表明除应防范第23到36条列出的安全威胁外 ,还应及时根据安全防范新技术的应用以及出现的新的 安全威胁情况及时调整、加强安全策略和安全管理。 (与时俱进!) (四)、第四章 运营管理 (第38条)实时监控客户账号异常情况要求:采取技术、人 工相结合方式,发现异常情况及时提醒客户并留存记录 备查)。 问题:“异常情况”如何定义? (第39条)安全访问控制要求:建立业务服务及端口明细表 ;关闭与业务无关的服务及端口;端口开放需要审核和 批准。
(第40条)对网络流量和应用系统实时监控要求:对网络流量和 应用系统健康状况进行实时监控和事后安全审计;每日检查分 析相关日志信息,检查分析报告应留档备查。 (第41条)对网站内容发布管理要求:对网页内容监控;对有害 信息过滤。 (第42条)客户服务要求:尽可能统一的客服电话、域名、短信 号码;明确正确途径、故障处理办法、联系方式等。 (第43条)管理与操作权限要求:有管理和操作权限规定、责任 划分和操作流程;对操作记录妥善保管。 (第44条)系统备份和容量要求:有可靠的热备或冷备措施;互 联网接入带宽、网络设备、系统设备,应用软件处理能力等应 有足够的余量;对服务能力及时评估并扩容。
(第9条)网上期货业务风险管理要求:纳入公司风险管理 总体框架和内部控制体系中(作为其中的一部分)。 (第10条)对期货合同风险揭示要求:有专门的条款充分揭 示风险。 (第11条)对系统的安全信息揭示要求: (一)在客户下载软件和登录系统时进行揭示; (二)系统提供预留验证信息,防仿冒的期货信息系统。 (第12条)对网上交易软件的安全防护能力要求: (一)采取安全方式提供网上交易客户端软件。 (二)对通过互联网传送的重要信息(如:客户信息、交 易指令等)加密,且有足够的加密强度和抗攻击能力。