提升系统安全防护能力 保障投资者的合法权益

提升系统安全防护能力提升系统安全防护能力 保障投资者保障投资者 的合法权益的合法权益 中国期货业协会日前颁布了 期货公司网上期货信息系统 技术指引 以下简称 指引 就期货公司网上期货信息 系统的建设 运行 安全和应急处理等环节提出了一系列要求 期货公司一旦落实了 指引 中的要求 其网上期货信息技术 系统的安全防护能力将得到较大提升 期货投资者的账户安全 和资金安全会得到有效保障 因此 指引 的颁布无论对期 货公司还是对广大期货投资者而言 都是一件好事 那么 指引 到底提出了哪些主要要求 为什么要提出这些要求 下面让我们来逐一分析解读 一 充分揭示网上期货交易安全风险 由于网上期货业务是通过互联网进行数据传输 客户的账 户 口令等私密信息有可能泄露 简单的口令和身份认证方式 有可能被解密 导致账户被盗买盗卖 因此 指引 第十条 规定期货公司应当在与客户签订的服务合同 网上期货服务合 同或期货经纪合同 中载明 客户使用网上期货业务可能面临 的风险 客户应采取的风险控制措施以及相关风险对应的责任 承担 第十一条中规定了期货公司应在客户下载网上交易软件 和登录网上交易系统时 充分揭示使用网上交易方式可能面临 的风险和客户应采取的风险防范措施 如防止用于网上交易的 计算机或手机终端感染木马 病毒 以免被恶意程序窃取口令 加强账号 口令的保护 不使用简单口令 定期修改口令 输 入口令时防止他人偷看 不对他人泄露口令等 让客户事先了解可能面临的风险 便于客户在选择服务时 更多地考虑安全因素 防患于未然 既可降低法律隐患 又能 让客户认识到安全的重要性 二 加强客户信息管理和身份验证 客户是行业生存发展的基础 客户的信息属于私密信息 涉及到其账户安全和资金安全 近几年证券行业发生的几起证 券账户被盗买盗卖事件 就是因为账户口令设置简单 身份认 证方式单一或根本无身份认证方式 因此 采取切实措施防止 客户信息泄露和加强身份认证 是目前各期货公司迫切需要解 决的问题 指引 的相关条款也体现了这一精神 指引 第七条要求期货公司的网上期货信息系统应自主 运营 自主管理 如涉及第三方的 必须与第三方签订保密协 议和服务保障协议 并明确责任 采取措施防止通过第三方泄 露客户信息 指引 第十一条要求期货公司应提供预留验证信息服务 在客户进行登录时向客户进行显示 帮助客户有效识别仿冒的 网上期货信息系统 防范利用仿冒的网上期货信息系统进行诈 骗活动 指引 第十三条要求期货公司应提供可靠的用户身份认 证机制 支持网上期货客户端采用多种认证方式与服务端进行 身份认证 网上期货客户端除采用输入账号 口令 验证码的 身份认证方式之外 还应提供一种以上强度更高的身份认证方 式供客户选择采用 如客户端电脑或手机特征码绑定 数字证 书 动态口令等身份认证方式 要实现多种身份认证和高强度的身份认证 需对期货交易 系统进行改进 这就需要提供交易系统的软件供应商积极配合 以前 由于没有相关规定 一些期货公司想加强交易系统的安 全防护 却得不到软件商的支持 指引 的颁布 解决了这 一问题 三 增强网上交易软件的安全防护能力 在网络时代 计算机已经成为了每个人不可或缺的工具 而网络黑客 木马和病毒也像是孪生兄弟一样形影不离 且技 术越来越高超 手段越来越多样化 令人防不胜防 每年全世 界都会有几百 上千万台电脑被攻击和感染病毒 现在经常有 钓鱼网站冒充合法网站以非法骗取用户的账户和口令 有些黑 客则通过拦截非加密数据以获取机密信息 因此 加强网上交 易软件的安全防护能力势在必行 而以往很多期货公司只追求 软件的速度 却忽视了安全 导致安全隐患长期存在 为了解 决上述问题 指引 第十二条要求期货公司应当采取安全的 方式向客户提供网上期货客户端软件 通过网站提供给客户下 载的软件应当采取校验 监控等防篡改 防木马和病毒的措施 同时 要求网上期货信息系统通过互联网传送的客户信息 交 易指令及其他重要信息必须采取加密措施进行数据传输 加密 措施应具备足够的加密强度和抗攻击能力 四 把网站纳入到网上期货信息系统范畴中 目前 90 以上的期货交易委托都是通过网上期货交易系 统来进行的 而网站是期货公司与客户交流的门户 客户下载 交易软件 取得交易结算数据都要经过期货公司网站 有些交 易软件是通过网站登录进去的 因此 网站的安全极为重要 2008 年 7 月份 证监会和中期协对所有期货公司的网站进 行了安全检测 发现很多期货公司的网站或多或少地存在 sql 注入漏洞 跨站脚本漏洞 http 协议追踪漏洞 目录遍历漏洞 信息泄露 弱口令 口令验证不足 后台管理权限泄露和被木 马注入等问题 后经过半年的整改工作 期货公司网站的安全 隐患基本得到了根除 因此 在网上期货服务端的定义中加入了网站 并要求期 货公司通过网站提供给客户下载的软件应当采取校验 监控等 防篡改 防木马和病毒的措施 以增强网上交易软件的安全防 护能力 在第四十一条要求期货公司应建立对网站内容发布的 审核 管理和监控机制等 五 把通过移动通讯网络开展期货业务纳入到网上交易 业务范畴中 通过移动通讯网络开展期货业务又称手机炒期货 以前用 手机看行情比较广泛 而手机下单是近来开始发展的一种期货 交易委托方式 处于起步阶段 其系统结构和实现模式与基于 pc 机的互联网网上交易系统基本一样 但是安全防护能力差 所以 指引 把其纳入网上期货交易业务范畴中 并要求期 货公司通过移动通信网络开展网上期货业务时应认真评估系统 供应商的资质 检查其技术安全方案并留档备查 也是为了让 这种交易形式能更好地发展 六 列举了目前网上期货业务所受到的主要安全威胁 攻击方式和解决方法 指引 顾名思义 是指导和引导的意思 不能只有原则性 的要求 而缺乏具体的指导性措施 本 指引 列举了目前网 上期货业务所受到的端口漏洞攻击 口令攻击 注入式攻击 溢出攻击 木马程序 拒绝服务攻击 病毒攻击 垃圾邮件攻 击 非授权访问攻击 内容篡改攻击 信息偷窃 业务行为抵 赖 跨站脚本和协议追踪攻击等主要 13 类安全威胁 描述了他 们的攻击方式 更重要的是给出了解决方法 期货公司只要按 照 指引 提供的方法进行操作 就可以基本消除网上期货业 务的安全隐患 这部分内容是 指引 精华部分 七 网络隔离成为有效手段 网上期货服务端和期货核心交易系统之间的范围界定本来 就有很多种情形 如何界定并不是最重要的 关键的是网上期 货服务端的各个子系统要合理划分安全域 在不同安全域之间 要进行有效的隔离 而且网上期货客户端与服务端系统之间必 须进行严格有效的隔离 这有这样才能更加有效地提高系统整 体的安全防护能力 指引 在这方面的要求可谓恰如其分 八 提高实时监控和审计能力 期货公司不但应具有处理问题的能力 还应具有快速发现 问题的反应能力 不但有正规军 还要有特种部队 因此 指引 要求期货公司应具备对网上期货信息系统进行实时监 控和防范非授权访问的功能或设施 建立有效的外部攻击侦测 机制和防范策略 并能妥善保存网上期货信息系统的关键软件 如网络操作系统 数据库管理系统 网络监控系统 的日志 文件和审计记录 有些安全隐患可以通过查看日志文件和审计 记录来发现 通过实时监控和设置关卡 可以拒敌于千里之外 防患于未然 九 注重对供应商和服务商的要求 网上期货信息系统的安全防护不只是期货公司的事情 与 软件 系统供应商和服务商也有密不可分的关系 很多措施的 实现需要他们的协助 目前采取外包方式的期货公司很多 运 行保障和数据安全也延伸到外包方 应予以重视 因此 指引 第十七条要求期货公司通过移动通信网络开展网上期货业务时 应认真评估系统供应商的资质 检查其技术安全方案并留档备 查 第十九条要求期货公司对采取外包定制网上期货信息系统 方式的 应在选择确定外包商前应进行尽职调查 期货公司应 与外包商签署服务协议 以保障外包的网上期货信息系统的安 全运行和数据安全 十 重视运营管理 指引 第四章就期货公司网上期货系统的运行维护和运 行管理提出了一些基本要求 在网络全面实时监控 客户服务 软 硬件设施的检查维护 系统升级 监控系统容量 网上期货 业务数据备份和故障恢复等方面进行了规范 运营管理是信息 技术系统正常运作的保障 加强这方面的规范有助于减少事故 发生的频率 十一 完善应急处置机制 具备完善的应急处置机制 才可能在出现安全事故时能够 及时 快速 正确地排除事故 把损失降到最低 因此 指引 规定期货公司应制定切实可行的网上期货信息系统应急处置预 案 该预案应纳入公司总体应急处置预案体系中 应急处置预 案应遵循统一领导 快速响应 协调配合 最小损失的原则 应包含针对设备故障 通信中断 电力中断 应用软件故障 误操作 病毒攻击 网络攻击 自然灾害等情况的应急操作流 程或步骤