《期货公司网上期货信息系统技术指引》详细解读(ppt 20页)-精.pptVIP

《期货公司网上期货信息系统技术指引》解 读 一、出台《期货公司网上期货信息系统技术指引》（以下称《指引》）背景 （一）、电子商务发展迅速（阿里巴巴、淘宝网、网银、证券、期货） （二）、安全问题日趋严峻（银行、证券、期货网上安全问题） ２００４年４月，“网银大盗”。 ２００４年11月，“证券大盗” 。 期货方面：２００３年， “期货精灵” 。 针对网上证券交易可能出现的安全风险（如：盗买盗卖） 证监会于2008年年底发布《关于加强对投资者网上交易安全保护的通知》（证监办发〔2008〕136号） 期货公司信息安全问题现状： 在证券期货业中期货网上交易比例最高(90%以上) 但安全却最为薄弱 问题原因： 1.安全管理意识与制度建设问题； 2.投入问题(人员、资金)； 3.技术人员知识结构问题； 4.供应商问题。 前期期货公司网站检查、复查情况： 主要存在八大安全问题（漏洞）： 1. SQL注入； 2. 弱口令、口令验证不足； 3. 网站被注入木马； 4. 后台管理权限泄漏； 5. 跨站脚本； 6. 目录遍历； 7. HTTP协议追踪； 8. 敏感信息泄露。 （三）、技术监管和行业自律要求 2008年5月，证监会成立了证券期货业信息化工作领导小组及其办 公室和专家委员会。 中期协成立了信息技术部，同时由证监会、交易所、交易所技术公 司、中国保证金监控中心、期货公司等单位相关人员组成信息技术委员 会。 1.制定相关工作制度 2.制定年度重点工作计划 关键要求：形成信息安全与业务资格审批联动机制（证监办发 [2008]63号）。 二、《指引》框架体系设计思路 （一）、原来思路：总则后分网上交易服务端、网上交易客户端、门户网站、移动期货等 （二）、修改思路：总则、基本要求、主要安全威胁及防范措施、运营管理、应急处置、附则共6章 （三）、成文过程：中期协IT委员会形成初稿→反复讨论、认真修改→形成统一文稿由协会向期货公司征求意见→充分吸收→根据证监会信息中心要求进一步完善→中期协理事会审议通过→证监会核准→中期协2009年6月23日正式发布（前后形成有十几稿之多）。 三、《指引》条款解读 （一）、第一章 总则 （第1及2条）：制定《指引》的目的；适用范围。 （第3条）描述期货公司对其网上期货信息系统采取技术和管理措施的保障目的要求: 网上期货信息系统：安全、可用； 网上期货业务：连续、可靠 客户信息：保密、完整。 （第4条）此条为指引中所用名词的释义： 互联网（注意：指引中指广义的，不只是包括一般意义下的互联网）； 网上期货业务（主要指：网上交易、网上行情、数据查询、信息发布等 ）； 网上期货信息系统（主要指：网上期货服务端、客户端 ）； 网上期货客户端（客户使用的计算机设备、网络设备及其软件，一般用于获得交易、行情、资讯等服务。 ）； 网上期货服务端（期货公司用于提供交易、行情、资讯等业务接入的计算机设备、网络设备、软件及专用通讯线路等（包括网站） ）。 第三方（是指除期货公司及其客户以外的其他方。） (二)、第二章 基本要求 （第5条）相关设备设置属地要求：核心服务器以及记录和存储客户信息和交易数据的设备，应设置在境内。 （第6条）网站ICP许可证要求。 (第7条）网上期货信息系统营运管理要求：自主运营、自主管理 （托管方式怎么办？托管可以，但有管理上的要求) 。 （第8条）开展网上期货业务岗位设置要求：应设置技术和业务管理岗位（这里指专、兼均可）。 （第9条）网上期货业务风险管理要求：纳入公司风险管理总体框架和内部控制体系中（作为其中的一部分）。 （第10条）对期货合同风险揭示要求：有专门的条款充分揭示风险。 （第11条）对系统的安全信息揭示要求： （一）在客户下载软件和登录系统时进行揭示； （二）系统提供预留验证信息，防仿冒的期货信息系统。 (第12条）对网上交易软件的安全防护能力要求： （一）采取安全方式提供网上交易客户端软件。 （二）对通过互联网传送的重要信息（如：客户信息、交易指令等）加密，且有足够的加密强度和抗攻击能力。 (第13条）对网上期货用户身份认证要求：客户端应采用多种认证方式与服务端进行身份认证： （一）用户身份认证方