您现在的位置是:首页 > 头条新闻 >

[独家]三道指引构筑网上交易的安全防线

2009-07-23 16:00:00作者:郝峥嵘来源:

摘要对于层出不穷的网上交易安全隐患,来自监管机构的三个网上交易技术指引指引能还广大投资者一个安全的交易环境吗?...

时不时爆出的盗买盗卖新闻,让广大投资者在享受网上交易便捷的同时,对看不见摸不着的黑客总是提心吊胆。现在,来自监管方的一个好消息是,2009年6月下旬,《网上基金销售信息系统技术指引(征求意见稿)》、《证券公司网上证券信息系统技术指引》、《期货公司网上期货信息系统技术指引》三个网上交易技术指引密集发布。

对于层出不穷的网上交易安全隐患,这三个网上交易技术指引指引能还广大投资者一个安全的交易环境吗?相关的公司落实指引规定存在哪些方面的困难?带着这些问题,中国信息主管网记者采访了多家公司的IT负责人。

促进券商增加安全投入

在很多行业,行业规范出台总会引起行业内一些从业者的抵触和反感。然而,在中国信息主管网记者的采访调查却发现,网上交易指引受到了业界的高度评价,得到了IT负责人的欢迎。航空证券信息技术部总经理李正欣认为,安全是证券行业的命根子,指引的出台对证券行业信息安全建设大有益处。从小处说,指引可以引导证券公司IT部门进行网上交易系统的安全建设,从大处说,它可以规范行业发展。

同样,一位业内专家指出,指引的出台对于为证券公司开展网上交易信息技术系统建设,能起到规范行业发展的作用。指引中大部分条款的要求是必须做到的,这可以促进券商增加安全投入。原来可有可无或不是很紧急的安全措施,证券公司管理层可能就舍不得花钱投入。现在有了指引的明确规定为依据,证券公司管理层在接到IT部门的安全投入申请时,就不能再单从成本节约的角度决定安全投入。

指引能得到业界人士欢迎的一个原因是,它有着深厚的群众基础,成为了券商进行信息安全建设的标准。对于指引持欢迎态度的还有IT供应商。很多券商老板把IT当做工具,认为IT就是花钱的,抱着能省就省的心态,在安全上的不愿意过多投入。现在为了满足指引的要求,进行一定的安全投入是必须的。看到券商增加投入,IT供应商自是乐开了花。

 

调系统在所难免

欢迎指引的态度不能掩盖一个事实,为满足指引的要求要进行调系统的工作。对于大多数IT工作者来说,调系统是一个痛苦的过程。指引考虑的是整个行业发展要求,是有一定门槛的。为满足指引的要求,券商肯定要调整IT系统。只是对于不同的券商,要调整的幅度和范围不一样。与小券商相比,某些大券商由于自己开发建设了自己的系统,需要调系统的地方可能更多一些。

有效的身份认证是防止账号密码被盗的关键。按照指引规定,证券公司有责任提供技术手段协助用户检查、清除木马等恶意程序,防范不法分子利用木马等黑客程序窃取客户账号和口令信息,进行证券盗买盗卖非法活动。指引要求证券公司应提供可靠的用户身份认证机制,除输入账户名、口令、验证码的身份认证方式之外,还应向客户提供一种以上强度更高的身份认证方式,如,客户端电脑或手机特征码绑定、软硬件证书、动态口令等认证方式,确认网上交易客户的身份和登录的合法性,防止非法接入。如果证券公司当前的客户端或服务端不支持多种认证方式,必然需要增加人力物力对系统进行升级。

安全与便捷总是有冲突。券商在改进系统的同时,不可忘记对客户的说服和教育工作。李正欣提醒说:“安全上去了,操作便捷性会受到影响。股价时刻在变,客户可能着急下单,希望操作越快越好。客户的需求可以理解,但要考虑到安全的需要,必要的安全措施也是必须的。在系统升级前,加强对客户的说服教育,相信客户也会理解这点。再者,对于某些安全措施,可以设置为必选和可选,给客户一个选择权。”

除了对现有系统进行调整外,券商还需要扩充IT队伍。特别是对于小券商,IT部门人员比较少,岗位职责不明晰,没有配置专业的网上交易管理人员。而指引要求,证券公司应根据在网上开展证券业务特性,设立相应的管理职能岗位,明确在网上开展证券业务管理的责任,配备合格、足够的管理人员和技术人员,包括安全管理员、安全审计员等。

在制度上,指引要求证券公司应建立网上证券信息系统应急处理组织体系,并制定相应的应急预案,应急预案应纳入证券公司和行业的应急预案体系内,并按照有关规定进行演练;指引还要求证券公司应根据网上证券信息系统故障的影响和损失情况对应急组织体系和应急预案进行分级管理和执行。

 

规范供应商行为

“指引对网上交易安全提出了更高的要求,系统开发商能否跟上很关键。这不是口头上说说就行的,要看其行动。”在谈到落实指引要求对IT供应商的挑战时李正欣这样表示。的确,在社会化分工的今天,券商作为网上证券交易的经营方,大多数不具备应用系统的技术开发能力,要借助IT供应商提供的交易软件来打造一个网上交易系统。因而,IT供应商提供的软件和服务是否满足指引的要求,直接影响了券商能否通过监管机构的检查。

首先,就券商对IT供应商的管理,指引提出了明确的要求。指引要求,对于外包定制的网上证券信息系统,证券公司应与软件开发商签署服务协议和保密协议,明确客户端、服务端以及数据传输过程均无后门,明确软件开发商应用软件中使用的插件具备合法版权,以确保客户数据、交易资料不被泄漏,保障证券公司的权益。

其次,对于某些因为IT供应商提供的软件造成的安全隐患,需要IT供应商的配合。与证券网上交易指引要求类似,《期货公司网上期货信息系统技术指引》也要求,网上期货客户端除采用输入账号、口令、验证码的身份认证方式之外,还应提供一种以上强度更高的身份认证方式供客户选择采用,如客户端电脑或手机特征码绑定、数字证书、动态口令等身份认证方式。期货公司的交易系统基本都是由金仕达、恒生电子等公司提供的。如果交易系统上有不满足指引要求的地方,那很可能就是整个行业都存在的问题,这就不能依靠单个期货公司的改动,需要有供应商的配合。

再者,除了对IT供应商的直接规定外,还有一些条款职责的履行涉及到IT供应商。指引要求,证券公司应定期对网站程序代码进行全面检查和评估,并及时修补,避免各种漏洞的存在。对于券商IT部门来说,全面检查网站程序的源代码几乎是一件不可能的事情。靠网站程序供应商自己检查,用户又难以放心。Fortify公司中国区首席代表冷虹表示,借助第三方的代码分析工具,证券公司可以轻松地检查出网站程序代码里存在的安全漏洞。

到今天为止,证券、期货、基金这三个领域的网上交易指引已经快一个月了,距离行业大检查的时间也日益临近,相关公司也正在进行紧张的调整和测试。相信在未来,投资者一定能享受到网上交易安全便捷的双重乐趣。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们