《证券营业部信息技术指引》严防黑客入侵

不久前，中国证券业协会正式发布了《证券营业部信息技术指引》，对证券信息系统建设进行统一规范。

自1998年3月证监会颁布《证券经营机构营业部信息系统技术管理规范（试行）》后，期间已经过了11年。而随着近年网络技术的高速发展，网上交易开始逐渐普及，由此引发的黑客、木马病毒等问题也层出不穷。从之前历史来看，证券公司系统遭遇黑客攻击并非个案。早在2002年，韩国就出现了黑客入侵证券公司安全系统，非法抛售客户500万股股票的事件。而近日又有媒体报道称，一位仅有小学文化的黑客先后入侵多家证券公司系统，恶意操作他人账户，以期抬高股价，让自己账户里的股票升值，涉嫌金额达到1000多万元。

为了从根源上防止黑客入侵，《指引》要求营业部采取诸如采用复合密码、建立应急体系、坚持应急操练等一系列措施来保障营业部的信息系统安全。同时《指引》重点强调交易业务网与非交易业务网要进行有效隔离，用于交易业务的设备和系统不能直接接入到互联网。

此外《指引》还特别提到，尽管十年来互联网迅速普及和发展，但是电话委托方式在短时间内还将继续存在，一是中老年投资者和上世纪90年代入市的投资者仍热衷于电话委托方式；二是在网上交易中断的情况下，电话委托还将是网上交易的必要补充。

延展阅读：历史上的曾经发生的信息安全事件

事件一：乌鲁木齐女“黑客”入侵银行系统盗走十余万元

朱玉今年３０出头。参加成人高考后，１９９９年，朱玉从新疆某大学财会专业毕业，在乌鲁木齐市开了一家书店，卖图书和电脑游戏软件。后来，朱玉结了婚，并有了一个儿子，一家３口很甜蜜。

但朱玉不满足这样的生活，她觉得收入太少。今年６月，朱玉上网时，无意中想起曾见过一种破解密码的软件。出于好奇，她想试试那种软件是不是真的有用。没想到三试两试，她竟破解了一个电子邮箱的密码。朱玉想，如果能破解别人的ＡＤＳＬ账户密码，不就可以盗取别人的ＡＤＳＬ地址，卖了挣钱吗？

她把想法给丈夫一说，她的丈夫也认为这是一条“来钱”的途径。

就这样，朱玉买了专门窃取密码的软件，做起了网络“黑客”。在很短的时间里，她疯狂盗窃ＡＤＳＬ地址８０多个，挣了８０００多元钱。

但朱玉仍不满足，她感到，这样挣钱太慢了。

朱玉打起了银行的主意。

６月上旬，朱玉先从银行的电脑系统上窃取了乌鲁木齐一家商户的密码，用该商户的账号和密码开通了网上银行，然后每次取１千元，分１１次通过欧飞网分别打到北京的一家数卡公司和南京的多家数卡公司的账户上，购得网上虚拟币，再销售给电脑游戏玩家，以此换取现金。

其间，朱玉用同样的手段，从一家种子公司的账户上窃取了三四万元（具体数额警方还在核实）。

同时，朱玉还把大河沿东湖监狱１８名民警工资卡上的７万多元据为己有。８月中旬的一天，东湖监狱民警们发现，自己的工资卡里刚刚打进去的钱，几分钟后再查询竟一分也没有了。一时间，“银行卡里的钱会被人盗走”的消息引起了当地居民的恐慌。８月１５日，大河沿一家银行３００万元现金就被客户提取一空。

让朱玉行迹败露的，正是她分１１次窃取的那１．１万元钱。

７月３０日，乌鲁木齐一家商户老板让会计到某银行取款，却发现账户上的钱少了１．１万元。商户老板立即报了案。

天山区刑警大队重案二队接案后，利用高科技手段，通过网上交易记录顺藤摸瓜。７月３１日晚上，朱玉和她的书店进入了警方的视线。

８月１日凌晨，民警在朱玉书店外守候，但朱玉迟迟没有出现。

原来，朱玉和丈夫因盗取和田街的一个ＡＤＳＬ地址，被拘留了。

直到８月６日，朱玉才回到书店。警方又守候观察了几天，确定朱玉的确就是这些案件的作案人员后，于８月１５日，抓住了朱玉和她的丈夫。

事件二：美国黑客入侵花旗银行ATM系统

美国黑客入侵花旗银行设在连锁便利店“7-11”内的自动提款机(ATM)的计算机网络，并盗取客户个人识别码，从去年10月至今年3月，盗走至少200万美元。这也为银行对客户个人识别码的保护拉响警报。

英国《泰晤士报》3日报道，花旗银行设在连锁便利店“7-11”内的自动提款机是这次黑客盗窃的主要目标。

纽约州南区联邦地方法院近期开始审理这一案件。案中3名被告涉嫌非法入侵自动提款机系统，通过盗取客户个人识别码窃取至少200万美元。3人分别被控两项阴谋诈骗罪。

案件主犯尤里·拉库史基奈特现年32岁，他经常光顾一个信用卡诈骗的秘密网上论坛。此前，拉库史基奈特因涉嫌另一起黑客入侵盗取信用卡密码的案件受到调查。

联邦调查局(FBI)抓获拉库史基奈特时，在他位于布鲁克林的家中发现80万美元现金，这些现金被分装在几个垃圾袋中。

花旗银行在美国各地“7-11”便利店内设有近5700台自动提款机。但这些提款机并非由花旗银行拥有或操作，机器的维护主要由位于得克萨斯州的Cardtronics公司和位于威斯康星州的Fiserve公司负责。

在银行交易过程中，客户的个人识别码是银行的重点保护对象，行业标准要求对其进行严格的加密保护。

近几年，随着技术日益进步，自动提款机的运行和维护主要基于电子计算机，并采用微软的“视窗”操作系统。银行可以通过网络远距离监测和操作这些自动提款机。由于一些操作人员没有严格执行行业标准，黑客乘虚而入。这些个人识别码在提款机与处理交易的计算机传输数据过程中泄露。

目前，警方尚未查明黑客侵入这些计算机系统的途径。可以确认的是，黑客通过第三方服务器入侵银行的自动提款机网络，通过系统安全漏洞盗取客户个人识别码，再使用空白卡从自动提款机提取现金。（lynn）

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。