本頁(yè)位置: 首頁(yè) → 新聞中心 → 經(jīng)濟(jì)新聞 |
證券業(yè)協(xié)會(huì)六方面規(guī)范網(wǎng)上證券信息安全
首次明確“手機(jī)炒股”安全要求,即證券公司應(yīng)使用安全、可靠的移動(dòng)證券系統(tǒng)
為保障證券公司網(wǎng)上證券信息系統(tǒng)的安全、可靠、高效運(yùn)行,中國(guó)證券業(yè)協(xié)會(huì)23日發(fā)布了《證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引》(以下簡(jiǎn)稱(chēng)《指引》)。《指引》首次明確了“手機(jī)炒股”的安全要求,即證券公司應(yīng)使用安全、可靠的移動(dòng)證券系統(tǒng)。移動(dòng)證券系統(tǒng)宜自主運(yùn)營(yíng),實(shí)現(xiàn)數(shù)據(jù)從用戶終端到網(wǎng)上證券服務(wù)端之間的加密傳送和控制,并隨著技術(shù)的發(fā)展,不斷提高加密強(qiáng)度,完善認(rèn)證算法。
據(jù)了解,網(wǎng)上交易系統(tǒng)發(fā)展速度很快。到2006年,通過(guò)網(wǎng)上進(jìn)行的交易量達(dá)到40%以上,目前這一比例平均已經(jīng)達(dá)到了70%以上,比較高的證券公司達(dá)到了90%以上,成為現(xiàn)在最主要的交易方式。
《指引》作為行業(yè)技術(shù)標(biāo)準(zhǔn)有重要的指導(dǎo)作用,不僅強(qiáng)調(diào)網(wǎng)上證券信息系統(tǒng)安全的重要性,使證券公司對(duì)網(wǎng)上證券信息系統(tǒng)進(jìn)行統(tǒng)一規(guī)劃、建設(shè)、管理和運(yùn)行,提升行業(yè)網(wǎng)上證券信息系統(tǒng)安全的整體水平,而且還提出了確保網(wǎng)上證券信息系統(tǒng)安全的一些基本要求。
《指引》就網(wǎng)上證券系統(tǒng)進(jìn)行了具體規(guī)范,特別在六個(gè)方面提出了更加明確的要求:
(一)重新界定了網(wǎng)上證券客戶端和服務(wù)端的問(wèn)題。《指引》規(guī)定:證券公司應(yīng)提供可靠的用戶身份認(rèn)證機(jī)制,支持網(wǎng)上證券客戶端采用多種認(rèn)證方式與服務(wù)端進(jìn)行身份認(rèn)證。除輸入賬戶名、口令、驗(yàn)證碼的身份認(rèn)證方式之外,還應(yīng)向客戶提供一種以上強(qiáng)度更高的身份認(rèn)證方式,如,客戶端與電腦或手機(jī)特征碼綁定、軟硬件證書(shū)、動(dòng)態(tài)口令等認(rèn)證方式,確認(rèn)網(wǎng)上交易客戶的身份和登錄的合法性,防止非法接入。用戶身份認(rèn)證信息應(yīng)當(dāng)在服務(wù)器上加密存放。
(二)明確了移動(dòng)證券的安全要求。移動(dòng)證券俗稱(chēng)“手機(jī)炒股”,其采用的硬件還包括掌上電腦等具有與手機(jī)相似的移動(dòng)通信功能的電子設(shè)備。隨著技術(shù)的發(fā)展和進(jìn)步,移動(dòng)證券與一般的網(wǎng)上交易將越來(lái)越接近甚至可能完全融合為一體。因此指引對(duì)移動(dòng)證券系統(tǒng)提出了一些技術(shù)要求,“證券公司應(yīng)使用安全、可靠的移動(dòng)證券系統(tǒng)。移動(dòng)證券系統(tǒng)宜自主運(yùn)營(yíng),實(shí)現(xiàn)數(shù)據(jù)從用戶終端到網(wǎng)上證券服務(wù)端之間的加密傳送和控制,并隨著技術(shù)的發(fā)展,不斷提高加密強(qiáng)度,完善認(rèn)證算法。”
(三)網(wǎng)絡(luò)隔離成為網(wǎng)上證券安全的重要手段。 《指引》要求:證券公司應(yīng)對(duì)網(wǎng)上證券信息系統(tǒng)的各個(gè)子系統(tǒng)合理劃分安全域,在不同安全域之間進(jìn)行有效的隔離,保障網(wǎng)上證券信息系統(tǒng)的接入系統(tǒng)與其后臺(tái)系統(tǒng)在技術(shù)上進(jìn)行有效隔離,后臺(tái)系統(tǒng)應(yīng)與行情、資訊處理系統(tǒng)進(jìn)行網(wǎng)絡(luò)隔離,并應(yīng)部署在證券公司可控的物理安全域內(nèi)。
(四)門(mén)戶網(wǎng)站成為網(wǎng)上證券系統(tǒng)的組成部分。門(mén)戶網(wǎng)站不僅是公司對(duì)外的窗口,代表著公司的品牌,而且是向投資者發(fā)放網(wǎng)上交易軟件(即客戶端)的主要渠道。所以門(mén)戶網(wǎng)站對(duì)網(wǎng)上證券信息系統(tǒng)的安全有著很大的影響,所以指引對(duì)此提出了一些技術(shù)安全要求。如,“證券公司應(yīng)在門(mén)戶網(wǎng)站部署防篡改系統(tǒng),當(dāng)網(wǎng)站上的頁(yè)面內(nèi)容、提供給投資者下載的客戶端軟件及其它文件被異常修改時(shí),能自動(dòng)告警或自動(dòng)恢復(fù),防止被捆綁木馬程序。”
(五)提出了網(wǎng)絡(luò)安全的具體措施。 《指引》要求證券公司應(yīng)在兩個(gè)以上的物理地點(diǎn)建立網(wǎng)上證券信息系統(tǒng),互為備份,并應(yīng)具備2個(gè)或2個(gè)以上不同運(yùn)營(yíng)商的互聯(lián)網(wǎng)接入,避免在同一運(yùn)營(yíng)商的線路接入上出現(xiàn)單點(diǎn)故障和瓶頸,同時(shí)應(yīng)充分考慮不同互聯(lián)網(wǎng)運(yùn)營(yíng)商的互聯(lián)瓶頸問(wèn)題,確保局部故障或?yàn)?zāi)難發(fā)生時(shí),系統(tǒng)能繼續(xù)對(duì)用戶提供服務(wù)。
(六)強(qiáng)調(diào)網(wǎng)上證券系統(tǒng)的安全管理!吨敢穼(duì)安全管理中的人員設(shè)置、業(yè)務(wù)連續(xù)性和應(yīng)急預(yù)案、系統(tǒng)訪問(wèn)控制、防病毒防木馬、運(yùn)行維護(hù)、監(jiān)控等方面提出了一些具體要求。
據(jù)了解,《指引》發(fā)布實(shí)施后,協(xié)會(huì)將依據(jù)自律管理的職能,加強(qiáng)對(duì)會(huì)員公司落實(shí)《指引》的指導(dǎo)和督促,組織行業(yè)技術(shù)交流和培訓(xùn),將指引落到實(shí)處,使《指引》真正成為行業(yè)信息技術(shù)安全的又一基礎(chǔ)性保障。(記者 侯捷寧)
Copyright ©1999-2024 chinanews.com. All Rights Reserved