网上基金销售安全带来的挑战与商机

中国证券业协会23日在其官方网站上全文刊发了《网上基金销售信息系统技术指引》，该指引从基本要求、门户网站、客户端、服务端、安全管理五个方面对网上基金销售信息系统建设和管理提出了明确要求，要做到防止不法分子利用木马等黑客程序窃取客户账号和口令。

业内人士分析，这是中国证券业协会今年继网上证券技术指引、证券营业部技术指引之后第三个信息技术方面的自律规则，也是第一个专门针对基金业的技术指引。它标志着网上基金销售信息系统建设和管理已有明确的行业规范，包括基金公司、证券公司、基金代销机构的网上基金系统建设和运行管理都将参照该指引的要求。《指引》的发布将在提高基金行业信息系统安全保障能力，维护资本市场的稳定，保障投资者利益方面发挥积极的作用。

毫无疑问的是，指引的出台在给基金销售信息系统运营带来了挑战，但IT供应商特别是安全供应商，可以从中找到很多的商机。中国信息主管网综合了业内人士意见，对影响比较大的条款的挑战和商机分析如下：

第二章 基本要求

第十二条 网上基金销售信息系统应由基金销售机构自主运营、自主管理。如涉及第三方（指除基金销售机构及其客户以外的任何一方），必须与第三方签订保密协议和服务协议，明确责任，采取措施防止通过第三方泄露用户信息。

关键要求：防止用户信息泄露

关键挑战：基金销售机构、第三方软件开发商

第十三条 基金销售机构委托或定制开发网上基金销售业务系统，应与软件开发商签订详细的商业合同及保密协议，明确软件开发商应用软件中使用的第三方产品具备合法版权。应要求开发商提供源代码或对源代码实行第三方托管。

关键要求：源代码实行第三方托管

关键挑战：软件开发商

第十八条 网上基金销售信息系统应具备2个或2个以上不同运营商的互联网接入，避免在同一运营商的线路接入上出现单点故障和瓶颈。

关键要求：2个线路互联网接入

关键挑战：投入增加

商机：电信运营商

第十九条 网上基金销售信息系统应部署防火墙、入侵检测系统或入侵防护系统，并定期对安全日志进行检查，以提高网上基金销售信息系统的防护能力。

关键要求：安全防护

商机：防火墙、入侵检测及入侵防护等安全供应商

第三章　门户网站

第二十二条 基金销售机构应采取有效措施监控门户网站防止被篡改。当网站上的页面内容、提供给投资者下载的客户端软件及其他文件被异常修改时，能及时发现并恢复。

关键要求：网站防篡改

商机：网站安全产品供应商

第二十三条 门户网站中不得存放与基金交易业务有关的客户资料、交易数据等客户敏感数据。

第二十四条 门户网站中的客户账号及口令，应采用加密方式传输，并最低达到SSL协议128位的加密强度。

关键要求：数据加密

关键挑战：改造现有系统

商机：安全供应商

第四章　网上基金销售信息系统客户端

第三十一条 当客户访问网上基金销售信息系统时，未经客户许可，除提高安全性的控件之外，不得以任何方式在客户系统中安装插件。

关键要求：不得安装非安全控件

关键挑战：部分基金销售机构需改造现有系统

第三十二条 网上基金销售信息系统应提供可靠的身份验证机制，除采用账号名、口令、验证码的身份认证方式外，还应向客户提供一种以上强度更高的身份认证方式供客户选择使用，如，客户端电脑或手机特征码绑定、软硬件证书、动态口令等认证方式，确认客户的身份和登录的合法性，防止不法分子利用木马等黑客程序窃取客户账号和口令。

关键要求：高强度身份认证

关键挑战：部分基金销售机构需改造现有系统

商机：安全加密产品供应商

第三十四条 基金销售机构应采取有效技术措施，识别与验证使用网上基金销售业务服务的投资者的真实、有效身份，并应依照与投资者签订的协议对投资者操作权限、资金转移或交易限额等实施有效管理。

关键要求：基金销售机构应识别投资者身份

第五章 网上基金销售信息系统服务端

第三十九条 网上基金销售信息系统应保障对客户的授权不被恶意提升或转授，防止客户访问未经过授权的数据,使用未经授权的功能。

关键要求：授权

关键挑战：改造系统

第四十二条 网上基金销售机构应保证网上基金数据传输的保密性、完整性、真实性和可稽核性，对网上基金交易的客户信息、交易信息及其他敏感信息进行可靠的加密，不得存在任何中间环节对数据进行加解密处理。

关键要求：数据加密

关键挑战：改造现有系统

商机：安全供应商

第六章 安全管理

第五十六条 原则上不允许通过互联网对网上基金销售信息系统（如防火墙、网络设备、服务器等）进行远程管理和日常维护等操作。

关键要求：不允许远程操作

关键挑战：运维团队要改变工作习惯

第五十九条 基金销售机构应对网上基金销售信息系统进行实时监控，建立异常事件的甄别、报警、处理和报告机制。网上基金销售信息系统实时监控范围应包括各种安全设备、网络设备、服务器设备及操作系统、通讯线路状态、数据库、应用软件等。监控内容包括其运行状况、日志内容、安全警告等，应统一记录保存监控信息，保存期至少为6个月。

关键要求：日志保存

关键挑战：改造现有系统

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。