??????? 2008年7月份,證監(jiān)會和中期協(xié)對所有期貨公司的網(wǎng)站進行了安全檢測,發(fā)現(xiàn)很多期貨公司的網(wǎng)站或多或少地存在SQL注入漏洞、跨站腳本漏洞、HTTP協(xié)議追蹤漏洞、目錄遍歷漏洞、信息泄露、弱口令、口令驗證不足、后臺管理權(quán)限泄露和被木馬注入等問題,后經(jīng)過半年的整改工作,期貨公司網(wǎng)站的安全隱患基本得到了根除。
??????? 因此,在網(wǎng)上期貨服務(wù)端的定義中加入了網(wǎng)站,并要求期貨公司通過網(wǎng)站提供給客戶下載的軟件應(yīng)當采取校驗、監(jiān)控等防篡改、防木馬和病毒的措施,以增強網(wǎng)上交易軟件的安全防護能力;在第四十一條要求期貨公司應(yīng)建立對網(wǎng)站內(nèi)容發(fā)布的審核、管理和監(jiān)控機制等。
??????? (五)把通過移動通訊網(wǎng)絡(luò)開展期貨業(yè)務(wù)納入到網(wǎng)上交易業(yè)務(wù)范疇中
??????? 通過移動通訊網(wǎng)絡(luò)開展期貨業(yè)務(wù)又稱手機炒期貨。以前用手機看行情比較廣泛,而手機下單是近來開始發(fā)展的一種期貨交易委托方式,處于起步階段,其系統(tǒng)結(jié)構(gòu)和實現(xiàn)模式與基于PC機的互聯(lián)網(wǎng)網(wǎng)上交易系統(tǒng)基本一樣,但是安全防護能力差。所以,《指引》把其納入網(wǎng)上期貨交易業(yè)務(wù)范疇中,并要求期貨公司通過移動通信網(wǎng)絡(luò)開展網(wǎng)上期貨業(yè)務(wù)時應(yīng)認真評估系統(tǒng)供應(yīng)商的資質(zhì),檢查其技術(shù)安全方案并留檔備查,也是為了讓這種交易形式能更好地發(fā)展。
??????? (六)列舉了目前網(wǎng)上期貨業(yè)務(wù)所受到的主要安全威脅、攻擊方式和解決方法
??????? “指引”顧名思義,是指導(dǎo)和引導(dǎo)的意思,不能只有原則性的要求,而缺乏具體的指導(dǎo)性措施。本《指引》列舉了目前網(wǎng)上期貨業(yè)務(wù)所受到的端口漏洞攻擊、口令攻擊、注入式攻擊、溢出攻擊、木馬程序、拒絕服務(wù)攻擊、病毒攻擊、垃圾郵件攻擊、非授權(quán)訪問攻擊、內(nèi)容篡改攻擊、信息偷竊、業(yè)務(wù)行為抵賴、跨站腳本和協(xié)議追蹤攻擊等主要13類安全威脅,描述了他們的攻擊方式,更重要的是給出了解決方法。期貨公司只要按照《指引》提供的方法進行操作,就可以基本消除網(wǎng)上期貨業(yè)務(wù)的安全隱患。這部分內(nèi)容是《指引》精華部分。
??????? (七)網(wǎng)絡(luò)隔離成為有效手段
??????? 網(wǎng)上期貨服務(wù)端和期貨核心交易系統(tǒng)之間的范圍界定本來就有很多種情形,如何界定并不是最重要的,關(guān)鍵的是網(wǎng)上期貨服務(wù)端的各個子系統(tǒng)要合理劃分安全域,在不同安全域之間要進行有效的隔離,而且網(wǎng)上期貨客戶端與服務(wù)端系統(tǒng)之間必須進行嚴格有效的隔離。這有這樣才能更加有效地提高系統(tǒng)整體的安全防護能力。《指引》在這方面的要求可謂恰如其分。
??????? (八)提高實時監(jiān)控和審計能力
???????? 期貨公司不但應(yīng)具有處理問題的能力,還應(yīng)具有快速發(fā)現(xiàn)問題的反應(yīng)能力;不但有正規(guī)軍,還要有特種部隊。因此,《指引》要求期貨公司應(yīng)具備對網(wǎng)上期貨信息系統(tǒng)進行實時監(jiān)控和防范非授權(quán)訪問的功能或設(shè)施,建立有效的外部攻擊偵測機制和防范策略,并能妥善保存網(wǎng)上期貨信息系統(tǒng)的關(guān)鍵軟件(如網(wǎng)絡(luò)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)監(jiān)控系統(tǒng))的日志文件和審計記錄。有些安全隱患可以通過查看日志文件和審計記錄來發(fā)現(xiàn),通過實時監(jiān)控和設(shè)置關(guān)卡,可以拒敵于千里之外,防患于未然。
??????? (九)注重對供應(yīng)商和服務(wù)商的要求
???????? 網(wǎng)上期貨信息系統(tǒng)的安全防護不只是期貨公司的事情,與軟件、系統(tǒng)供應(yīng)商和服務(wù)商也有密不可分的關(guān)系,很多措施的實現(xiàn)需要他們的協(xié)助。目前采取外包方式的期貨公司很多,運行保障和數(shù)據(jù)安全也延伸到外包方,應(yīng)予以重視。因此《指引》第十七條要求期貨公司通過移動通信網(wǎng)絡(luò)開展網(wǎng)上期貨業(yè)務(wù)時應(yīng)認真評估系統(tǒng)供應(yīng)商的資質(zhì),檢查其技術(shù)安全方案并留檔備查。第十九條要求期貨公司對采取外包定制網(wǎng)上期貨信息系統(tǒng)方式的,應(yīng)在選擇確定外包商前應(yīng)進行盡職調(diào)查。期貨公司應(yīng)與外包商簽署服務(wù)協(xié)議,以保障外包的網(wǎng)上期貨信息系統(tǒng)的安全運行和數(shù)據(jù)安全。
??????? (十)重視運營管理
??????? 《指引》第四章就期貨公司網(wǎng)上期貨系統(tǒng)的運行維護和運行管理提出了一些基本要求,在網(wǎng)絡(luò)全面實時監(jiān)控、客戶服務(wù)、軟/硬件設(shè)施的檢查維護、系統(tǒng)升級、監(jiān)控系統(tǒng)容量、網(wǎng)上期貨業(yè)務(wù)數(shù)據(jù)備份和故障恢復(fù)等方面進行了規(guī)范。運營管理是信息技術(shù)系統(tǒng)正常運作的保障,加強這方面的規(guī)范有助于減少事故發(fā)生的頻率。
??????? (十一)完善應(yīng)急處置機制
??????? 具備完善的應(yīng)急處置機制,才可能在出現(xiàn)安全事故時能夠及時、快速、正確地排除事故,把損失降到最低,因此《指引》規(guī)定期貨公司應(yīng)制定切實可行的網(wǎng)上期貨信息系統(tǒng)應(yīng)急處置預(yù)案。該預(yù)案應(yīng)納入公司總體應(yīng)急處置預(yù)案體系中。應(yīng)急處置預(yù)案應(yīng)遵循統(tǒng)一領(lǐng)導(dǎo)、快速響應(yīng)、協(xié)調(diào)配合、最小損失的原則,應(yīng)包含針對設(shè)備故障、通信中斷、電力中斷、應(yīng)用軟件故障、誤操作、病毒攻擊、網(wǎng)絡(luò)攻擊、自然災(zāi)害等情況的應(yīng)急操作流程或步驟,至少每半年進行一次演練,并留存演練記錄備查。
??????? 總的來說,《指引》的內(nèi)容和要求是符合期貨業(yè)務(wù)的發(fā)展方向和安全防護理念的,期貨公司不通過努力是不容易全面達到《指引》的要求的,因此,如何更好地落實《指引》應(yīng)是期貨公司近期技術(shù)工作的要務(wù)。只有市場參與各方積極配合,不懈努力,才能使網(wǎng)上期貨信息系統(tǒng)的安全運行得到保障,才能使投資者放心,才能不斷推進期貨市場的健康發(fā)展。
???????
??????? 二〇〇九年六月二十三日
???????