《期货公司网上期货信息系统技术指引》详细解读(powerpoint 20页)

1、 第一页，共二十一页。 一一、出台期货公司网上期货信息系统技术指引（以下称指引）背出台期货公司网上期货信息系统技术指引（以下称指引）背景景 （一）、电子商务发展迅速(xn s)（阿里巴巴、淘宝网、网银、证券、期货）（二）、安全问题日趋严峻（银行、证券、期货网上安全问题） 年月，“网银大盗”。 年11月，“证券大盗” 。 期货方面：年， “期货精灵” 。第二页，共二十一页。 针对网上证券交易可能出现的安全风险（如：盗买盗卖）针对网上证券交易可能出现的安全风险（如：盗买盗卖） 证监会于证监会于2008年年底年年底(nind)发布发布关于加强对投资者网上交易安全保护的通知（证监办发2008136号）

2、 期货公司信息安全问题现状：期货公司信息安全问题现状： 在证券期货业中期货网上交易比例最高在证券期货业中期货网上交易比例最高(90%以上以上) 但安全却最为薄弱但安全却最为薄弱 问题原因：问题原因： 1.安全管理意识与制度建设问题；安全管理意识与制度建设问题； 2.投入问题投入问题(人员、资金人员、资金)； 3.技术人员知识结构问题；技术人员知识结构问题； 4.供应商问题供应商问题。第三页，共二十一页。 前期期货公司网站检查、复查情况：前期期货公司网站检查、复查情况： 主要存在八大安全问题（漏洞）：主要存在八大安全问题（漏洞）： 1. SQL注入；注入； 2. 弱口令弱口令(kulng)、口令

3、、口令(kulng)验证不足；验证不足； 3. 网站被注入木马；网站被注入木马； 4. 后台管理权限泄漏；后台管理权限泄漏； 5. 跨站脚本；跨站脚本； 6. 目录遍历；目录遍历； 7. HTTP协议追踪；协议追踪； 8. 敏感信息泄露。敏感信息泄露。 第四页，共二十一页。 （三）、技术监管和行业自律要求（三）、技术监管和行业自律要求 2008年5月，证监会成立了证券期货业信息化工作领导小组及其办公室和专家委员会。 中期协成立了信息技术部，同时由证监会、交易所、交易所技术公司、中国保证金监控中心、期货公司等单位相关人员(rnyun)组成信息技术委员会。 1.制定相关工作制度 2.制定年度重点工

4、作计划 关键要求：形成信息安全与业务资格审批联动机制（证监办发200863号）。 第五页，共二十一页。 二、二、指引指引框架体系设计思路框架体系设计思路 （一）、（一）、原来思路：总则后分网上交易服务端、网上交易客户端、门户网站总则后分网上交易服务端、网上交易客户端、门户网站、移动期货等、移动期货等（二）、（二）、修改思路：总则、基本要求、主要安全威胁及防范措施、运营管理、应急总则、基本要求、主要安全威胁及防范措施、运营管理、应急处置、附则共处置、附则共6章章（三）、（三）、成文过程(guchng)：中期协中期协IT委员会形成初稿委员会形成初稿反复讨论、认真修反复讨论、认真修改改形成统一文稿由

5、协会向期货公司征求意见形成统一文稿由协会向期货公司征求意见充分吸收充分吸收根据证根据证监会信息中心要求进一步完善监会信息中心要求进一步完善中期协理事会审议通过中期协理事会审议通过证监会核证监会核准准中期协中期协2009年年6月月23日正式发布（前后形成有十几稿之多）。日正式发布（前后形成有十几稿之多）。三、三、指引指引条款解读条款解读 （一）、第一章 总则（第（第1及及2条）：制定条）：制定指引指引的目的；适用范围。的目的；适用范围。 第六页，共二十一页。 （第第3条）描述期货公司对其网上期货信息系统采取技术和管理措施的保障目的要求条）描述期货公司对其网上期货信息系统采取技术和管理措施的保障目

6、的要求: 网上期货信息系统：安全、可用；网上期货信息系统：安全、可用； 网上期货业务：连续、可靠网上期货业务：连续、可靠 客户信息：保密、完整。客户信息：保密、完整。 （第（第4条）此条为指引中所用名词的释义：条）此条为指引中所用名词的释义：o互联网（注意：指引中指广义的，不只是包括一般意义下的互联网）；互联网（注意：指引中指广义的，不只是包括一般意义下的互联网）；o网上期货业务（主要指：网上交易、网上行情、数据网上期货业务（主要指：网上交易、网上行情、数据(shj)查询、信息发布等查询、信息发布等 ）；o网上期货信息系统（主要指：网上期货服务端、客户端网上期货信息系统（主要指：网上期货服务端

7、、客户端 ）；）；o网上期货客户端（客户使用的计算机设备、网络设备及其软件，一般用于获得交易、行情、资讯网上期货客户端（客户使用的计算机设备、网络设备及其软件，一般用于获得交易、行情、资讯等服务。等服务。 ）；）；o网上期货服务端（期货公司用于提供交易、行情、资讯等业务接入的计算机设备、网络设备、软网上期货服务端（期货公司用于提供交易、行情、资讯等业务接入的计算机设备、网络设备、软件及专用通讯线路等（包括网站）件及专用通讯线路等（包括网站） ）。第七页，共二十一页。 第三方（是指除期货公司及其客户以外的其他方。）第三方（是指除期货公司及其客户以外的其他方。）(二)、第二章 基本要求（第（第5条

8、）相关设备设置条）相关设备设置属地要求：核心服务器以及记录和存储客户信：核心服务器以及记录和存储客户信息和交易数据的设备，应设置在境内。息和交易数据的设备，应设置在境内。（第（第6条）网站条）网站ICP许可证要求。许可证要求。 (第第7条）网上期货信息系统营运管理要求：自主运营、自主管理条）网上期货信息系统营运管理要求：自主运营、自主管理 （托管方式怎么办？托管可以托管方式怎么办？托管可以(ky)，但有管理上的要求，但有管理上的要求) 。（第（第8条）开展网上期货业务岗位设置要求：应设置技术和业务管理岗位条）开展网上期货业务岗位设置要求：应设置技术和业务管理岗位（这里指专（这里指专、兼均可）。

9、兼均可）。 第八页，共二十一页。 （第（第9条）网上期货业务风险管理要求：纳入公司风险管理总体条）网上期货业务风险管理要求：纳入公司风险管理总体框架框架(kun ji)和内部控制体系中（作为其中的和内部控制体系中（作为其中的一部分一部分）。）。 （第（第10条）对期货合同风险揭示要求：有专门的条款充分揭示风险条）对期货合同风险揭示要求：有专门的条款充分揭示风险。（第（第11条）对系统的安全信息揭示要求：条）对系统的安全信息揭示要求： （一）在客户下载软件和登录系统时进行揭示；（一）在客户下载软件和登录系统时进行揭示； （二）系统提供预留验证信息，防仿冒的期货信息系统。（二）系统提供预留验证信息

10、，防仿冒的期货信息系统。 (第第12条）对网上交易软件的安全防护能力要求：条）对网上交易软件的安全防护能力要求： （一）采取安全方式提供网上交易客户端软件。（一）采取安全方式提供网上交易客户端软件。 （二）对通过互联网传送的重要信息（如：客户信息、交易指令等（二）对通过互联网传送的重要信息（如：客户信息、交易指令等）加密，且有足够的加密强度和抗攻击能力。）加密，且有足够的加密强度和抗攻击能力。 第九页，共二十一页。 (第第13条）对网上期货用户身份认证要求：客户端应采用多种认条）对网上期货用户身份认证要求：客户端应采用多种认证方式与服务端进行身份认证：证方式与服务端进行身份认证： （一）用户身

11、份认证方式除账号、口令、验证码外，还应提供一种（一）用户身份认证方式除账号、口令、验证码外，还应提供一种以上强度更高的身份认证方式（客户端电脑或手机特征码绑定、以上强度更高的身份认证方式（客户端电脑或手机特征码绑定、数字证书、动态口令等）供客户选择采用（注意是供选择而非强数字证书、动态口令等）供客户选择采用（注意是供选择而非强制）；制）； （二）用户身份认证信息应在服务器上加密存放，客户的账号、（二）用户身份认证信息应在服务器上加密存放，客户的账号、口令等身份信息不可口令等身份信息不可(bk)明文存放在数据库表或配置文件中。明文存放在数据库表或配置文件中。 警示案例：警示案例： 以前有一家供应

12、商的软件系统就是明文存放方式的！以前有一家供应商的软件系统就是明文存放方式的！ （第（第14条）网上期货服务端日志信息保存要求：条）网上期货服务端日志信息保存要求：第十页，共二十一页。 能产生、记录并集中存储必要的日志信息（如客户信息、交易信息和IP地址等）。 （第15条）服务端安全域划分、安全隔离要求：对服务端各个子系统合理划分安全域；有效隔离；对安全措施的持续调整优化。（第16条）对实时监控和防范非法访问的要求：具备相关功能或有相关设施； 对相关日志文件保存要求：能保存关键软件(run jin)（如操作系统、数据库系统、网络监控系统）的日志文件和审计记录。 （第17条）对开展移动期货业务的

13、要求：第十一页，共二十一页。 评估供应商的资质，检查移动期货技术安全方案并留档备查。 （第18条）网上行情和资讯信息要求：来源合法； 至少两套不同的网上行情系统，且行情服务器置于至少两个不同的机房。（第19条）对采取外包网上期货信息系统方式的要求: 尽职调查；签署服务协议 （第20条）开发、测试与运营要求：开发人员、开发环境应与运营人员、生产环境分离；开发人员访问(fngwn)、修改须先获授权。（第21条）对不同互联网运营商的互联瓶颈要求：保证系统在局部灾难或灾害发生时的对外服务质量和能力（具体做法自定）。 （第22条）培训要求:安全知识更新，管理能力提高。 第十二页，共二十一页。 (三）、第

14、三章 主要安全威胁及防范措施（第（第23到到36条）目前主要安全问题：条）目前主要安全问题： 包括但不限于：包括但不限于：（一）端口漏洞攻击（一）端口漏洞攻击; （二）口令攻击（二）口令攻击;（三）注入式攻击（三）注入式攻击; （四）溢出攻击（四）溢出攻击; （五）木马程序（五）木马程序; （六）拒绝服务攻击（六）拒绝服务攻击; （七）病毒攻击（七）病毒攻击; （八）垃圾邮件攻击（八）垃圾邮件攻击; （九）非授权访问攻击（九）非授权访问攻击; （十）内容篡改攻击（十）内容篡改攻击;（十一）信息偷窃（十一）信息偷窃; （十二）业务行为（十二）业务行为(xngwi)抵赖；抵赖；（十三）跨站脚本和协

15、议追踪攻击等。（十三）跨站脚本和协议追踪攻击等。 逐条释义并给出目前应对该攻击的一些技术方法。逐条释义并给出目前应对该攻击的一些技术方法。 （道高一尺魔高一丈；永无止境的角力！）（道高一尺魔高一丈；永无止境的角力！）第十三页，共二十一页。 （第（第37条）此条表明除应防范第条）此条表明除应防范第23到到36条列出的安全威胁外，还应条列出的安全威胁外，还应及时根据安全防范新技术的应用以及出现的新的安全威胁情况及及时根据安全防范新技术的应用以及出现的新的安全威胁情况及时调整、加强安全策略和安全管理。时调整、加强安全策略和安全管理。 （与时俱进！）（与时俱进！）（四）、第四章 运营管理（第38条）实

16、时监控客户账号异常情况要求：采取技术、人工相结合方式，发现异常情况及时提醒客户并留存记录备查）。 问题：问题：“异常情况异常情况”如何如何(rh)定义？定义？ （第（第3939条）条）安全访问控制要求：建立业务服务及端口明细表；关闭与业务无关的服务及端口；端口开放需要审核和批准。 第十四页，共二十一页。 （第40条）对网络流量和应用系统实时监控要求：对网络流量和应用系统健康状况进行实时监控和事后安全审计；每日检查分析相关日志信息，检查分析报告应留档备查。 （第41条）对网站内容发布管理要求：对网页内容监控；对有害信息过滤。（第42条）客户服务要求：尽可能统一的客服电话、域名、短信号码；明确正确

17、途径、故障处理办法、联系方式等。 （第43条）管理与操作权限要求：有管理和操作权限规定、责任划分和操作流程；对操作记录妥善保管。 （第44条）系统备份和容量要求：有可靠的热备或冷备措施；互联网接入带宽、网络设备、系统设备，应用软件处理能力等应有足够的余量；对服务能力及时评估(pn )并扩容。第十五页，共二十一页。 （第45条）数据备份和故障恢复要求(yoqi)：应纳入公司整体业务数据备份和故障恢复措施中；对配置参数、系统日志等重要数据进行备份，并记录操作日志。（第46条）变更管理要求：上线或重大版本升级，应先制定详细方案；测试、维护和升级应选择非交易时间，需暂停业务服务的应至少提前三天公告，因

18、非期货公司自身原因无法做到提前三天公告的应至少提前一天公告。（第47条）安全事故报告要求：及时向中期协报告，必要时还应向公安部门报案。 （第48条）发现假冒非法活动时处置要求：及时向公安部门报案；同时通过网站、电话语音提示或短信平台等多种渠道提醒客户；书面报中期协。 第十六页，共二十一页。 （五）、第五章 应急处理（第49条到52条）应急处理预案及演练要求： 纳入公司总体应急处理预案体系中；应急处理预案原则：统一领导、快速响应、协调配合、最小损失。 针对不同情况（设备故障、通信中断、电力中断、应用软件故障、误操作、病毒攻击、网络攻击、自然灾害等）制定对应的应急恢复操作流程或步骤；至少每半年演练

19、一次，演练记录留存。 应急预案的演练应纳入公司整体性应急预案演练中，实际演练时既可作为整体应急演练的一部分，也可进行单独的局部性应急演练。 若启动应急预案将对客户产生较大影响(yngxing)，则应及时公告。第十七页，共二十一页。 （六）、第六章 附则（第53条）指引的解释权：中国(zhn u)期货业协会（第54条）指引开始施行日期：发布之日起第十八页，共二十一页。中国期货业协会：中国期货业协会：第十九页，共二十一页。1、有时候读书是一种巧妙地避开思考的方法。2022-2-172022-2-17Thursday, February 17, 20222、阅读一切好

20、书如同和过去最杰出的人谈话。2022-2-172022-2-172022-2-172/17/2022 8:02:03 PM3、越是没有本领的就越加自命不凡。2022-2-172022-2-172022-2-17Feb-2217-Feb-224、越是无能的人，越喜欢挑剔别人的错儿。2022-2-172022-2-172022-2-17Thursday, February 17, 20225、知人者智，自知者明。胜人者有力，自胜者强。2022-2-172022-2-172022-2-172022-2-172/17/20226、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年2月17日星期四2022-2-172022-2-172022-2-177、最具挑战性的挑战莫过于提升自我。2022年2月2022-2-172022-2-172022-2-172/17/20228、业余生活要有意义，不要越轨。2022-2-172022-2-17