??????? 2008年7月份��,證監會和中期協對所有期貨公司的網站進行了安全檢測��,發現很多期貨公司的網站或多或少地存在SQL注入漏洞、跨站腳本漏洞、HTTP協議追蹤漏洞、目錄遍歷漏洞����、信息泄露����、弱口令��、口令驗證不足��、后臺管理權限泄露和被木馬注入等問題,后經過半年的整改工作���,期貨公司網站的安全隱患基本得到了根除。
??????? 因此���,在網上期貨服務端的定義中加入了網站,并要求期貨公司通過網站提供給客戶下載的軟件應當采取校驗��、監控等防篡改����、防木馬和病毒的措施,以增強網上交易軟件的安全防護能力��;在第四十一條要求期貨公司應建立對網站內容發布的審核���、管理和監控機制等�。
??????? (五)把通過移動通訊網絡開展期貨業務納入到網上交易業務范疇中
??????? 通過移動通訊網絡開展期貨業務又稱手機炒期貨。以前用手機看行情比較廣泛���,而手機下單是近來開始發展的一種期貨交易委托方式���,處于起步階段���,其系統結構和實現模式與基于PC機的互聯網網上交易系統基本一樣�����,但是安全防護能力差���。所以���,《指引》把其納入網上期貨交易業務范疇中�,并要求期貨公司通過移動通信網絡開展網上期貨業務時應認真評估系統供應商的資質,檢查其技術安全方案并留檔備查��,也是為了讓這種交易形式能更好地發展�。
??????? (六)列舉了目前網上期貨業務所受到的主要安全威脅、攻擊方式和解決方法
??????? “指引”顧名思義��,是指導和引導的意思��,不能只有原則性的要求�����,而缺乏具體的指導性措施。本《指引》列舉了目前網上期貨業務所受到的端口漏洞攻擊��、口令攻擊���、注入式攻擊�����、溢出攻擊、木馬程序���、拒絕服務攻擊、病毒攻擊�����、垃圾郵件攻擊��、非授權訪問攻擊�����、內容篡改攻擊、信息偷竊��、業務行為抵賴��、跨站腳本和協議追蹤攻擊等主要13類安全威脅���,描述了他們的攻擊方式��,更重要的是給出了解決方法。期貨公司只要按照《指引》提供的方法進行操作,就可以基本消除網上期貨業務的安全隱患��。這部分內容是《指引》精華部分���。
??????? (七)網絡隔離成為有效手段
??????? 網上期貨服務端和期貨核心交易系統之間的范圍界定本來就有很多種情形�,如何界定并不是最重要的,關鍵的是網上期貨服務端的各個子系統要合理劃分安全域,在不同安全域之間要進行有效的隔離����,而且網上期貨客戶端與服務端系統之間必須進行嚴格有效的隔離�。這有這樣才能更加有效地提高系統整體的安全防護能力��。《指引》在這方面的要求可謂恰如其分。
??????? (八)提高實時監控和審計能力
???????? 期貨公司不但應具有處理問題的能力,還應具有快速發現問題的反應能力����;不但有正規軍�����,還要有特種部隊。因此,《指引》要求期貨公司應具備對網上期貨信息系統進行實時監控和防范非授權訪問的功能或設施���,建立有效的外部攻擊偵測機制和防范策略,并能妥善保存網上期貨信息系統的關鍵軟件(如網絡操作系統、數據庫管理系統、網絡監控系統)的日志文件和審計記錄�。有些安全隱患可以通過查看日志文件和審計記錄來發現����,通過實時監控和設置關卡�����,可以拒敵于千里之外�,防患于未然。
??????? (九)注重對供應商和服務商的要求
???????? 網上期貨信息系統的安全防護不只是期貨公司的事情,與軟件、系統供應商和服務商也有密不可分的關系��,很多措施的實現需要他們的協助�����。目前采取外包方式的期貨公司很多��,運行保障和數據安全也延伸到外包方,應予以重視。因此《指引》第十七條要求期貨公司通過移動通信網絡開展網上期貨業務時應認真評估系統供應商的資質�,檢查其技術安全方案并留檔備查�����。第十九條要求期貨公司對采取外包定制網上期貨信息系統方式的,應在選擇確定外包商前應進行盡職調查�����。期貨公司應與外包商簽署服務協議��,以保障外包的網上期貨信息系統的安全運行和數據安全。
??????? (十)重視運營管理
??????? 《指引》第四章就期貨公司網上期貨系統的運行維護和運行管理提出了一些基本要求��,在網絡全面實時監控��、客戶服務����、軟/硬件設施的檢查維護�、系統升級、監控系統容量��、網上期貨業務數據備份和故障恢復等方面進行了規范�。運營管理是信息技術系統正常運作的保障,加強這方面的規范有助于減少事故發生的頻率�����。
??????? (十一)完善應急處置機制
??????? 具備完善的應急處置機制����,才可能在出現安全事故時能夠及時、快速���、正確地排除事故,把損失降到最低,因此《指引》規定期貨公司應制定切實可行的網上期貨信息系統應急處置預案���。該預案應納入公司總體應急處置預案體系中。應急處置預案應遵循統一領導�、快速響應��、協調配合、最小損失的原則���,應包含針對設備故障�、通信中斷、電力中斷�����、應用軟件故障��、誤操作���、病毒攻擊�、網絡攻擊�����、自然災害等情況的應急操作流程或步驟�����,至少每半年進行一次演練,并留存演練記錄備查��。
??????? 總的來說��,《指引》的內容和要求是符合期貨業務的發展方向和安全防護理念的�����,期貨公司不通過努力是不容易全面達到《指引》的要求的����,因此��,如何更好地落實《指引》應是期貨公司近期技術工作的要務����。只有市場參與各方積極配合���,不懈努力����,才能使網上期貨信息系統的安全運行得到保障�����,才能使投資者放心�����,才能不斷推進期貨市場的健康發展。
???????
??????? 二〇〇九年六月二十三日
???????
