当前位置:首页 > 电子/通信 > 数据通信与网络 > 《期货公司网上期货信息系统技术指引》解读
《期货公司网上期货信息系统技术指引》解读一、出台《期货公司网上期货信息系统技术指引》(以下称《指引》)背景(一)、电子商务发展迅速(阿里巴巴、淘宝网、网银、证券、期货)(二)、安全问题日趋严峻(银行、证券、期货网上安全问题)2004年4月,“网银大盗”。2004年11月,“证券大盗”。期货方面:2003年,“期货精灵”。针对网上证券交易可能出现的安全风险(如:盗买盗卖)证监会于2008年年底发布《关于加强对投资者网上交易安全保护的通知》(证监办发〔2008〕136号)期货公司信息安全问题现状:在证券期货业中期货网上交易比例最高(90%以上)但安全却最为薄弱问题原因:1.安全管理意识与制度建设问题;2.投入问题(人员、资金);3.技术人员知识结构问题;4.供应商问题。前期期货公司网站检查、复查情况:主要存在八大安全问题(漏洞):1.SQL注入;2.弱口令、口令验证不足;3.网站被注入木马;4.后台管理权限泄漏;5.跨站脚本;6.目录遍历;7.HTTP协议追踪;8.敏感信息泄露。(三)、技术监管和行业自律要求2008年5月,证监会成立了证券期货业信息化工作领导小组及其办公室和专家委员会。中期协成立了信息技术部,同时由证监会、交易所、交易所技术公司、中国保证金监控中心、期货公司等单位相关人员组成信息技术委员会。1.制定相关工作制度2.制定年度重点工作计划关键要求:形成信息安全与业务资格审批联动机制(证监办发[2008]63号)。二、《指引》框架体系设计思路(一)、原来思路:总则后分网上交易服务端、网上交易客户端、门户网站、移动期货等(二)、修改思路:总则、基本要求、主要安全威胁及防范措施、运营管理、应急处置、附则共6章(三)、成文过程:中期协IT委员会形成初稿→反复讨论、认真修改→形成统一文稿由协会向期货公司征求意见→充分吸收→根据证监会信息中心要求进一步完善→中期协理事会审议通过→证监会核准→中期协2009年6月23日正式发布(前后形成有十几稿之多)。三、《指引》条款解读(一)、第一章总则(第1及2条):制定《指引》的目的;适用范围。(第3条)描述期货公司对其网上期货信息系统采取技术和管理措施的保障目的要求:网上期货信息系统:安全、可用;网上期货业务:连续、可靠客户信息:保密、完整。(第4条)此条为指引中所用名词的释义:互联网(注意:指引中指广义的,不只是包括一般意义下的互联网);网上期货业务(主要指:网上交易、网上行情、数据查询、信息发布等);网上期货信息系统(主要指:网上期货服务端、客户端);网上期货客户端(客户使用的计算机设备、网络设备及其软件,一般用于获得交易、行情、资讯等服务。);网上期货服务端(期货公司用于提供交易、行情、资讯等业务接入的计算机设备、网络设备、软件及专用通讯线路等(包括网站))。第三方(是指除期货公司及其客户以外的其他方。)(二)、第二章基本要求(第5条)相关设备设置属地要求:核心服务器以及记录和存储客户信息和交易数据的设备,应设置在境内。(第6条)网站ICP许可证要求。(第7条)网上期货信息系统营运管理要求:自主运营、自主管理(托管方式怎么办?托管可以,但有管理上的要求)。(第8条)开展网上期货业务岗位设置要求:应设置技术和业务管理岗位(这里指专、兼均可)。(第9条)网上期货业务风险管理要求:纳入公司风险管理总体框架和内部控制体系中(作为其中的一部分)。(第10条)对期货合同风险揭示要求:有专门的条款充分揭示风险。(第11条)对系统的安全信息揭示要求:(一)在客户下载软件和登录系统时进行揭示;(二)系统提供预留验证信息,防仿冒的期货信息系统。(第12条)对网上交易软件的安全防护能力要求:(一)采取安全方式提供网上交易客户端软件。(二)对通过互联网传送的重要信息(如:客户信息、交易指令等)加密,且有足够的加密强度和抗攻击能力。(第13条)对网上期货用户身份认证要求:客户端应采用多种认证方式与服务端进行身份认证:(一)用户身份认证方式除账号、口令、验证码外,还应提供一种以上强度更高的身份认证方式(客户端电脑或手机特征码绑定、数字证书、动态口令等)供客户选择采用(注意是供选择而非强制);(二)用户身份认证信息应在服务器上加密存放,客户的账号、口令等身份信息不可明文存放在数据库表或配置文件中。警示案例:以前有一家供应商的软件系统就是明文存放方式的!(第14条)网上期货服务端日志信息保存要求:能产生、记录并集中存储必要的日志信息(如客户信息、交易信息和IP地址等)。(第15条)服务端安全域划分、安全隔离要求:对服务端各个子系统合理划分安全域;有效隔离;对安全措施的持续调整优化。(第16条)对实时监控和防范非法访问的要求:具备相关功能或有相关设施;对相关日志文件保存要求:能保存关键软件(如操作系统、数据库系统、网络监控系统)的日志文件和审计记录。(第17条)对开展移动期货业务的要求:评估供应商的资质,检查移动期货技术安全方案并留档备查。(第18条)网上行情和资讯信息要求:来源合法;至少两套不同的网上行情系统,且行情服务器置于至少两个不同的机房。(第19条)对采取外包网上期货信息系统方式的要求:尽职调查;签署服务协议(第20条)开发、测试与运营要求:开发人员、开发环境应与运营人员、生产环境分离;开发人员访问、修改须先获授权。(第21条)对不同互联网运营商的互联瓶颈要求:保证系统在局部灾难或灾害发生时的对外服务质量和能力(具体做法自定)。(第22条)培训要求:安全知识更新,管理能力提高。(三)、第三章主要安全威胁及防范措施(第23到36条)目前主要安全问题:包括但不限于:(一)端口漏洞攻击;(二)口令攻击;(三)注入式攻击;(四)溢出攻击;(五)木马程序;(六)拒绝服务攻击;(七)病毒攻击;(八)垃圾邮件攻击;(九)非授权访问攻击;(十)内容篡改攻击;(十一)信息偷窃;(十二)业务行为抵赖;(十三)跨站脚本和协议追踪攻击等。逐条释义并给出目前应对该攻击的一些技术方法。(道高一尺魔高一丈;永无止境的角力!)(第37条)此条表明除应防范第23到36条列出的安全威胁外,还应及时根据安全防范新技术的应用以及出现的新的安全威胁情况及时调整、加强安全策略和安全管理。(与时俱进!)(四)、第四章运营管理(第38条)实时监控客户账号异常情况要求:采取技术、人工相结合方式,发现异常情况及时提醒客户并留存记录备查)。问题:“异常情况”如何定义?(第39条)安全访问控制要求:建立业务服务及端口明细表;关闭与业务无关的服务及端口;端口开放需要审核和批准。(第40条)对网络流量和应用系统实时监控要求:对网络流量和应用系统健康状况进行实时监控和事后安全审计;每日检查分析相关日志信息,检查分析报告应留档备查。(第41条)对网站内容发布管理要求:对网页内容监控;对有害信息过滤。(第42条)客户服务要求:尽可能统一的客服电话、域名、短信号码;明确正确途径、故障处理办法、联系方式等。(第43条)管理与操作权限要求:有管理和操作权限规定、责任划分和操作流程;对操作记录妥善保管。(第44条)系统备份和容量要求:有可靠的热备或冷备措施;互联网接入带宽、网络设备、系统设备,应用软件处理能力等应有足够的余量;对服务能力及时评估并扩容。(第45条)数据备份和故障恢复要求:应纳入公司整体业务数据备份和故障恢复措施中;对配置参数、系统日志等重要数据进行备份,并记录操作日志。(第46条)变更管理要求:上线或重大版本升级,应先制定详细方案;测试、维护和升级应选择非交易时间,需暂停业务服务的应至少提前三天公告,因非期货公司自身原因无法做到提前三天公告的应至少提前一天公告。(第47条)安全事故报告要求:及时向中期协报告,必要时还应向公安部门报案。(第48条)发现假冒非法活动时处置要求:及时向公安部门报案;同时通过网站、电话语音提示或短信平台等多种渠道提醒客户;书面报中期协。(五)、第五章应急处理(第49条到52条)应急处理预案及演练要求:纳入公司总体应急处理预案体系中;应急处理预案原则:统一领导、快速响应、协调配合、最小损失。针对不同情况(设备故障、通信中断、电力中断、应用软件故障、误操作、病毒攻击、网络攻击、自然灾害等)制定对应的应急恢复操作流程或步骤;至少每半年演练一次,演练记录留存。应急预案的演练应纳入公司整体性应急预案演练中,实际演练时既可作为整体应急演练的一部分,也可进行单独的局部性应急演练。若启动应急预案将对客户产生较大影响,则应及时公告。(六)、第六章附则(第53条)《指引》的解释权:中国期货业协会(第54条)《指引》开始施行日期:发布之日起中国期货业协会:www.cfachina.org谢谢大家!
本文标题:《期货公司网上期货信息系统技术指引》解读
链接地址:https://www.777doc.com/doc-44090 .html