收集:中国股票市场经济分析网
为保障证券公司网上证券信息系统的安全、可靠、高效运行,中国证券业协会组织制定了《证券公司网上证券信息系统技术指引》,就网上证券系统进行了具体规范,特别在六个方面提出了更加明确的要求。
一是重新界定了网上证券客户端和服务端的问题,提出了一些具体安全技术要求,其中特别强调了身份认证问题。
二是明确了移动证券即“手机炒股”的安全要求,对移动证券系统提出了一些技术要求。
三是网络隔离成为网上证券安全的重要手段。2008年年7月份证券公司IT系统安全大检查中发现,一些公司的门户网站、办公网、核心业务网等几大网络未有效隔离甚至是互相直连的,针对此类问题,指引要求,证券公司应对网上证券信息系统的各个子系统合理划分安全域,在不同安全域之间进行有效的隔离,保障网上证券信息系统的接入系统与其后台系统在技术上进行有效隔离。
四是门户网站成为网上证券系统的组成部分。门户网站不仅是公司对外的窗口,而且是向投资者发放网上交易软件(即客户端)的主要渠道,为此《指引》要求,证券公司应在门户网站部署防篡改系统,当网站上的页面内容、提供给投资者下载的客户端软件及其它文件被异常修改时,能自动告警或自动恢复,防止被捆绑木马程序。
五是提出了网络安全的具体措施,涵盖了网上证券信息系统的各个环节。如要求证券公司应在两个以上的物理地点建立网上证券信息系统,互为备份,并应具备2个或2个以上不同运营商的互联网接入,避免在同一运营商的线路接入上出现单点故障和瓶颈,同时应充分考虑不同互联网运营商的互联瓶颈问题,确保局部故障或灾难发生时,系统能继续对用户提供服务等。
六是强调网上证券系统的安全管理。指引的第七章对安全管理中的人员设置、业务连续性和应急预案、系统访问控制、防病毒防木马、运行维护、监控等方面提出了一些具体要求,原则上不允许通过互联网对网上证券信息系统进行远程管理和日常维护等操作,同时也对网上证券信息系统的访问控制提出了三点具体要求。
据了解,目前通过网上进行的交易量例平均已经达到了70%以上,比较高的证券公司达到了90%以上,成为现在最主要的交易方式。在指引发布实施后,协会将依据自律管理的职能,加强对会员公司落实指引的指导和督促,组织行业技术交流和培训,使指引真正成为行业信息技术安全的又一基础性保障。