本頁位置: 首頁 → 新聞中心 → 經(jīng)濟新聞 |
證券業(yè)協(xié)會六方面規(guī)范網(wǎng)上證券信息安全
首次明確“手機炒股”安全要求,即證券公司應使用安全、可靠的移動證券系統(tǒng)
為保障證券公司網(wǎng)上證券信息系統(tǒng)的安全、可靠、高效運行,中國證券業(yè)協(xié)會23日發(fā)布了《證券公司網(wǎng)上證券信息系統(tǒng)技術指引》(以下簡稱《指引》)!吨敢肥状蚊鞔_了“手機炒股”的安全要求,即證券公司應使用安全、可靠的移動證券系統(tǒng)。移動證券系統(tǒng)宜自主運營,實現(xiàn)數(shù)據(jù)從用戶終端到網(wǎng)上證券服務端之間的加密傳送和控制,并隨著技術的發(fā)展,不斷提高加密強度,完善認證算法。
據(jù)了解,網(wǎng)上交易系統(tǒng)發(fā)展速度很快。到2006年,通過網(wǎng)上進行的交易量達到40%以上,目前這一比例平均已經(jīng)達到了70%以上,比較高的證券公司達到了90%以上,成為現(xiàn)在最主要的交易方式。
《指引》作為行業(yè)技術標準有重要的指導作用,不僅強調(diào)網(wǎng)上證券信息系統(tǒng)安全的重要性,使證券公司對網(wǎng)上證券信息系統(tǒng)進行統(tǒng)一規(guī)劃、建設、管理和運行,提升行業(yè)網(wǎng)上證券信息系統(tǒng)安全的整體水平,而且還提出了確保網(wǎng)上證券信息系統(tǒng)安全的一些基本要求。
《指引》就網(wǎng)上證券系統(tǒng)進行了具體規(guī)范,特別在六個方面提出了更加明確的要求:
(一)重新界定了網(wǎng)上證券客戶端和服務端的問題!吨敢芬(guī)定:證券公司應提供可靠的用戶身份認證機制,支持網(wǎng)上證券客戶端采用多種認證方式與服務端進行身份認證。除輸入賬戶名、口令、驗證碼的身份認證方式之外,還應向客戶提供一種以上強度更高的身份認證方式,如,客戶端與電腦或手機特征碼綁定、軟硬件證書、動態(tài)口令等認證方式,確認網(wǎng)上交易客戶的身份和登錄的合法性,防止非法接入。用戶身份認證信息應當在服務器上加密存放。
(二)明確了移動證券的安全要求。移動證券俗稱“手機炒股”,其采用的硬件還包括掌上電腦等具有與手機相似的移動通信功能的電子設備。隨著技術的發(fā)展和進步,移動證券與一般的網(wǎng)上交易將越來越接近甚至可能完全融合為一體。因此指引對移動證券系統(tǒng)提出了一些技術要求,“證券公司應使用安全、可靠的移動證券系統(tǒng)。移動證券系統(tǒng)宜自主運營,實現(xiàn)數(shù)據(jù)從用戶終端到網(wǎng)上證券服務端之間的加密傳送和控制,并隨著技術的發(fā)展,不斷提高加密強度,完善認證算法!
(三)網(wǎng)絡隔離成為網(wǎng)上證券安全的重要手段。 《指引》要求:證券公司應對網(wǎng)上證券信息系統(tǒng)的各個子系統(tǒng)合理劃分安全域,在不同安全域之間進行有效的隔離,保障網(wǎng)上證券信息系統(tǒng)的接入系統(tǒng)與其后臺系統(tǒng)在技術上進行有效隔離,后臺系統(tǒng)應與行情、資訊處理系統(tǒng)進行網(wǎng)絡隔離,并應部署在證券公司可控的物理安全域內(nèi)。
(四)門戶網(wǎng)站成為網(wǎng)上證券系統(tǒng)的組成部分。門戶網(wǎng)站不僅是公司對外的窗口,代表著公司的品牌,而且是向投資者發(fā)放網(wǎng)上交易軟件(即客戶端)的主要渠道。所以門戶網(wǎng)站對網(wǎng)上證券信息系統(tǒng)的安全有著很大的影響,所以指引對此提出了一些技術安全要求。如,“證券公司應在門戶網(wǎng)站部署防篡改系統(tǒng),當網(wǎng)站上的頁面內(nèi)容、提供給投資者下載的客戶端軟件及其它文件被異常修改時,能自動告警或自動恢復,防止被捆綁木馬程序!
(五)提出了網(wǎng)絡安全的具體措施。 《指引》要求證券公司應在兩個以上的物理地點建立網(wǎng)上證券信息系統(tǒng),互為備份,并應具備2個或2個以上不同運營商的互聯(lián)網(wǎng)接入,避免在同一運營商的線路接入上出現(xiàn)單點故障和瓶頸,同時應充分考慮不同互聯(lián)網(wǎng)運營商的互聯(lián)瓶頸問題,確保局部故障或災難發(fā)生時,系統(tǒng)能繼續(xù)對用戶提供服務。
(六)強調(diào)網(wǎng)上證券系統(tǒng)的安全管理!吨敢穼Π踩芾碇械娜藛T設置、業(yè)務連續(xù)性和應急預案、系統(tǒng)訪問控制、防病毒防木馬、運行維護、監(jiān)控等方面提出了一些具體要求。
據(jù)了解,《指引》發(fā)布實施后,協(xié)會將依據(jù)自律管理的職能,加強對會員公司落實《指引》的指導和督促,組織行業(yè)技術交流和培訓,將指引落到實處,使《指引》真正成為行業(yè)信息技術安全的又一基礎性保障。(記者 侯捷寧)
Copyright ©1999-2024 chinanews.com. All Rights Reserved