证券业网上证券技术标准Word格式.docx
《证券业网上证券技术标准Word格式.docx》由会员分享,可在线阅读,更多相关《证券业网上证券技术标准Word格式.docx(8页珍藏版)》请在冰豆网上搜索。
(三)可用性原那么:
网上证券信息系统的建设应当在保障平安的原那么下,确保在网上开展证券业务的持续性和靠得住性。
第一条中国证券业协会对证券公司执行本指引的情形实施自律治理。
第二章基本要求
第二条证券公司对网上证券信息系统应当统一计划、统一治理,保证在网上开展证券业务平安、有序进展。
第三条证券公司应当依照国家相关法律法规,信息系统平安品级爱惜要求、运维治理标准、信息系统备份能力标准、行业信息平安治理制度,和监管机关的相关实施指导意见,做好网上证券信息系统的信息平安治理、运维治理和备份能力建设等工作。
第四条证券公司应当将在网上开展证券业务的风险治理纳入证券公司风险操纵工作范围,成立健全网上证券风险操纵治理体系。
第五条证券公司应当将
网上开展证券业务的审计纳入公司的审计工作范围。
第六条证券公司应当依照国家主管部门的有关规定办理网上证券相关信息系统的备案,并提供备案信息的查询途径。
第七条证券公司通过网上证券信息系统向客户提供证券交易的行情信息,应当提示行情来源、行情站点名称等信息;
向客户提供资讯信息的,应当说明信息来源。
第八条证券公司网上证券信息系统分为网上证券客户端和效劳端。
网上证券客户端是指证券公司为客户提供人机交互功能的应用程序,和提供必需功能的组件,包括但不限于:
可执行文件、控件、静态链接库、动态链接库等。
除通用阅读器外,其它网上证券客户端称为网上证券专用客户端。
网上证券效劳端是指网上证券信息系统中提供客户接入和接入后业务和效劳处置的证券公司信息系统,包括但不限于:
开放性网络的接入和接入后的网络通信、身份认证、应用效劳、平安防护与监控、网络隔离等系统。
网上证券效劳端网络区域划分为隔离区(DMZ)、后台区。
证券公司应当采纳多种技术手腕增强网上证券信息系统灵敏数据的爱惜,技术手腕包括但不限于:
灵敏数据在开放性网络加密传输,加解密在客户与证券公司实际操纵的系统中进行,不得在任何中间环节对数据进行解密;
口令和密钥全程加密传输,且加密存储于后台区;
严格授权访问存储灵敏数据的数据库。
灵敏数据指阻碍网上证券信息系统平安和客户信息平安的数据,包括但不限于:
口令、密钥,和客户账号、身份信息、联系方式、交易数据、资产数据、支付或转账数据、包括以上数据的客户日记,和其它假设发生泄露可能损害客户合法权益的数据。
第九条证券公司应当保证网上证券灵敏数据传输的可用性、保密性、完整性、真实性和可稽核性。
网上证券信息系统未经证券公司授权不得与第三方进行任何形式的灵敏数据互换,并具有通过认证后仅向授权的第三方指定地址发送信息的功能,数据互换应当加密传输或利用专线、VPN等靠得住通道,并确保数据在传输进程中不在所通过的设备或系统上被复制或保留。
第十条证券公司应当依照国家相关法律法规和行业制度和标准要求、结合自身实际情形制定网上证券信息系统的数据备份打算并落实执行。
备份的数据包括但不限于:
系统程序、配置参数、系统日记、平安审计数据、门户网站信息(资讯类数据除外)、客户数据等。
第十一条证券公司网上证券信息系统灵敏数据复历时应当遵循最小化原那么。
第三章网上证券客户端
第十二条证券公司发布网上证券客户端应当
通过公司网站或授权的第三方渠道进行。
证券公司在客户端软件程序编译封装、形成下载文件后,应当安排专人对其进行严格的病毒扫描和木马检查,对运算机类专用客户端的发布应当提供MD5等方式的校验。
第十三条证券公司授权第三方发布网上证券灵敏数据信息系统的专用客户端时,应当对其发布的客户端软件进行确认。
第十四条网上证券客户端用户登录功能应当至少提供一种平安方式,包括但不限于:
图形验证码、强制随机排序图形键盘、口令输入平安控件等,防范非法分子利用木马等黑客程序窃取客户账号和口令信息。
第十五条网上证券客户端的客户身份认证信息和交易、支付数据等数据传输应当采纳国家信息平安机构认可的加密技术和加密强度,并最低达到等同SSL协议128位的加密强度。
第十六条网上证券客户端在本地终端存储客户账户、交易数据、支付数据等数据时,应当提示客户,经客户确认后以加密方式存储。
第十七条当客户访问网上证券效劳端时,未经客户许可不得以任何方式在客户端系统中安装插件,安装后应当许诺客户卸载。
第十八条证券公司应当采取效劳端身份或证书验证等手腕校验网上证券专用客户端。
网上证券专用客户端具有唯连续接到证券公司网上证券效劳端的保障机制。
网上证券专用客户端应当
提供足够的识别信息,以使网上证券效劳端能够对发出连接请求的客户端与证券公司所提供的程序进行一致性验证。
第十九条网上证券专用客户端应用程序的新版本升级策略应当具有提示升级、强制升级等功能,并由证券公司在效劳端进行升级策略的操纵。
第二十条网上证券灵敏数据信息系统客户端应当向客户提示最近一次登录的日期、时刻、地址等信息,并对异样登录及时提示。
网上证券灵敏数据信息系统指在信息交互或信息存储中涉及灵敏数据的网上证券信息系统。
第二十一条网上证券灵敏数据信息系统客户端应当提供在指定的闲置时刻距离到期后,自动锁定或退出客户端的功能利用。
第二十二条网上证券灵敏数据信息系统和实时行情系统的专用客户端应当具有反调试和反逆向机制。
第四章网上证券效劳端
第二十三条证券公司应当对网上证券效劳端的各个子系统合理划分平安域,不同平安域之间应当有效隔离,包括但不限于:
网上证券信息系统隔离区(DMZ)系统与后台区系统隔离;
后台区系统与行情资讯处置系统隔离。
后台区系统应当部署在证券公司可控的物理平安域内。
第二十四条证券公司应当提供靠得住的客户身份认证机制,支持网上证券客户端采纳多种认证方式与效劳端进行身份认证。
关于提供证券交易、第三方支付、灵敏数据修改等效劳功能的网上证券信息系统,除输入账户名、口令、图形验证码外,还应当向客户提供一种或一种以上强度更高的身份认证方式,包括但不限于:
客户端设备特点码绑定、软硬件证书、动态口令等认证方式,确保客户身份认证的合法性,避免非法接入。
第二十五条网上证券效劳端应当避免客户利用简单口令,应当能够抵御持续猜想等歹意解决行为。
客户遗忘网上证券信息系统登录口令时,证券公司应当采纳平安靠得住的方式进行口令重置,禁止将原口令发送给客户。
第二十六条网上证券效劳端应当监控解决者通过群体大规模对合法证券账户进行非法登录的请求,成立相应的应急处置机制,防范大量客户账户被异样锁定、正常客户无法登录。
第二十七条网上证券效劳端应当具有防范SQL注入式解决、跨站脚本解决、缓冲区溢出等解决的能力。
第二十八条网上证券效劳端应当向客户提供可证明效劳端合法性的信息,帮忙客户查验所利用效劳的真实性。
查验手腕包括但不限于:
提供预留信息效劳并在客户登录时向客户显示预留信息等。
网上证券效劳端应当向客户有效屏蔽信息系统的异样信息,幸免将信息系统的运行环境、开发环境等信息反馈给客户。
第二十九条网上证券效劳端应当向证券公司技术人员提供系统运行状况信息(如活动状态、并发在线客户数、并发会话数、线程数、队列长度等)、错误信息、平安警告等。
第三十条证券公司应当制定并及时更新网上证券效劳端范围内的效劳器、中间件、操作系统、数据库等平安配置基线。
网上证券信息系统在符合平安基线后方可上线,运行进程中应当监控违背平安基线的异样情形,并及时处置。
第三十一条证券公司应当对网上证券效劳端的软件资产进行治理,并通过合法渠道及时获知相关软件的漏洞信息,采取方法加以改良。
软件资产包括但不限于:
商用或开源的操作系统、中间件、数据库、WEB框架等。
第三十二条证券公司涉及交易效劳、实时行情的网上证券效劳端应当在两个或两个以上的物理地址部署,并具有两个或两个以上不同运营商的网络接入,互为备份,幸免单点故障和性能瓶颈,确保网上证券信息系统的业务持续性。
第三十三条网上证券灵敏数据信息系统效劳端应当部署在中华人民共和国境内,知足技术审计、监管部门现场检查及司法机构调查取证等要求。
部署网上证券灵敏数据信息系统效劳端的有形场所,应当符合国家平安标准的有关要求。
第三十四条网上证券灵敏数据信息系统效劳端应当具有靠得住的访问操纵、会话治理
和权限治理机制,避免客户的授权被歹意提升或转授,避免客户利用XX的功能、访问XX的数据,确保数据交互的合法性。
第三十五条网上证券灵敏数据信息系统效劳端应当采纳通过国家信息平安机构平安测评的认证授权和加密体系,具有足够的强度和抗解决能力,并依照在网上开展证券业务的平安性需要和信息技术的进展,按期检查、评估和及时调整。
第三十六条网上证券灵敏数据信息系统效劳端应当对不完整、被窜改、重发的数据包进行监控,对暴力破解、异样登录等异样行为进行跟踪、监控,记录其账号、IP地址等相关信息,并通过有效的即时通信方式及时提示客户,必要时对异样接入进行限制或对客户账户进行临时锁定。
监控和处置情形应当形成记录备查。
第三十七条网上证券灵敏数据信息系统效劳端应当在指定的闲置时刻距离到期后,自动中止客户对系统的访问权。
第三十八条网上证券灵敏数据信息系统效劳端应当产生、记录并集中存储必要的日记信息,知足信息技术审计、监管部门现场检查及司法机构调查取证的要求。
日记信息包括但不限于:
网上证券应用软件信息,及效劳请求方的身份信息。
在可行的技术条件下,效劳请求方的身份信息包括但不限于:
登录终端的IP地址、运算机终端信息(如MAC地址、硬盘序列号、CPU序列号等)、电话号码、移动终端信息(如电话IMEI
码、平板电脑序列号等)等。
第三十九条证券公司应当在门户网站及其它涉及灵敏数据的页面部署防篡改系统。
相关页面内容、提供下载的客户端软件被异样修改时,防篡改系统应当自动告警或自动恢复、并记录日记。
第四十条证券公司应当成立对通过开放性网络向客户发布信息的审核、治理和监控机制,并对公司网站等平台的内容进行监控,对有害信息进行过滤,避免显现不良信息。
第五章开发和实施治理
第四十一条证券公司网上证券信息系统的应用开发,应当从需求分析、设计、代码编写、测试、上线运行等全生命周期角度开展应用平安设计和实施。
第四十二条证券公司在需求分析与设计时期,应当充分分析相关业务功能所面临的平安要挟和必需的平安功能,使平安功能设计成为整体功能设计的组成部份。
第四十三条证券公司应当制定应用开发平安标准,开发人员在开发进程中应当严格遵循应用开发平安标准。
第四十四条证券公司应当在网上证券信息系统上线或重大变更前进行平安测试和检查。
测试和检查手腕包括但不限于:
渗透测试、模糊测试和代码审计等。
平安测试和检查团队应当独立于开发团队和实施团队。
第六章第三方效劳治理
第一条网上证券信息系统开发商、效劳商等第三方机构提供技术产品和技术效劳时,证券公司应当对其提供的技术产品和技术效劳进行评估,并约束其符合本指引规定的相关要求。
第二条网上证券信息系统采纳外包方式建设时,证券公司应当与第三方机构签署效劳协议和保密协议,协议内容包括但不限于:
同意证券监管部门的延伸检查,明确客户端、效劳端和数据传输进程中均无后门,明确软件开发商应用软件中利用的插件具有合法版权,保证客户数据、交易资料不被泄漏等相关内容。
第三条证券公司应当做立第三方效劳质量的评估机制,不得选择在证券监管部门诚信档案中存在不良记录的第三方机构。
第四条证券公司不得向第三方运营的客户端提供网上证券效劳端与证券交易相关的接口。
证券交易指令必需在证券公司自主操纵的系统内全程处置。
第七章平安和运维治理
第五条证券公司应当按以下标准确信网上证券信息系统的平安品级,并依照行业信息平安品级爱惜要求和规定,开展相应
的信息平安品级爱惜工作:
(一)具有证券交易、第三方支付、或对灵敏数据进行修改等业务功能,且用户规模在50万或50万以上的信息系统定为三级;
用户规模在50万以下的定为二级;
(二)其它网上证券灵敏数据信息系统,和实时行情系统、门户网站系统定为二级。
第四十五条证券公司应当制定网上证券信息系统的平安方法,按期检查和测试,并依如实际情形及时调整,保证平安方法的持续有效。
第四十六条证券公司应当做立网上证券信息系统按期平安风险评估机制和整改工作制度,及时发觉SQL注入漏洞、弱口令账户、绕过验证、目录遍历、文件上传、跨站脚本等系统存在的平安隐患和漏洞,并进行改良和完善。
风险评估应当通过内部评估与外部评估相结合的方式进行。
第四十七条平安风险评估方式包括但不限于:
漏洞扫描、解决测试、病毒扫描、木马检测等,并针对不同的要挟设置相应的检查频率。
第四十八条证券公司应当严格限制人工对数据库操作的账户权限,并别离利用不同权限的账户执行查询和修改等操作,记录操作日记,并纳入信息平安审计范围。
第四十九条证券公司应当保障网上证券信息系统运营设施、设备和平安操纵设施、设备的平安。
对重要设施、设备的接触、检查、维修和
应急处置,应当有明确的权限规定、责任划分和操作流程,并成立日记文件治理制度,如实记录并妥帖保管相关记录。
第五十条证券公司应当按期评估可供客户利用的网上证券信息系统的资源状况,并依如实时监控信息、可预见的业务进展需求进行容量的需求预测,确保有充沛的处置能力、存储容量和通信带宽,知足业务增加的需要,保证网上证券效劳的可用性,并能抵御必然程度的拒绝效劳解决缓和冲区溢出解决。
第五十一条网上证券信息系统的网络系统、平安系统、应用系统等重要系统应当具有足够的冗余,以应付网站及网上交易可能显现的突发峰值。
网上证券信息系统的网络系统、平安系统、应用系统等重要系统应当具有良好的可扩充性,以应对业务增加和市场的转变。
第五十二条证券公司应当依照行业运维治理标准、信息平安品级爱惜、证券期货业信息平安保障治理方法等相关要求,开展网上证券信息系统应急预案成立、修订、演练、培训等工作。
网上证券信息系统应急预案应当纳入证券公司和行业的应急预案体系内。
第五十三条证券公司网上证券信息系统应急预案应当针对以下场景制定对应的应急操作流程或步骤:
(一)电力、通信等基础设施故障;
(二)运算机硬件或网络设备故障;
(三)操作系统或应用系统故障;
(四)操作系统或应用系统漏洞;
(五)病毒入侵、歹意解决、客户账户蒙受非法入侵和操作等运算机犯法事件;
(六)冒充证券公司网上证券信息系统和效劳平台;
(七)误操作、不可抗力等。
第五十四条证券公司应当制定网上证券业务持续性打算,保证网上证券业务的持续正常运营。
制定网上证券业务持续性打算时,应当充分评估效劳供应商对业务持续性的阻碍,并采取适当的预防方法。
第五十五条证券公司应当依照行业信息平安事件报告与调查处置的有关规定,做好网上证券信息系统故障和信息平安事件的应急处置、事件报告、总结改良等相关工作。
第八章客户服务和保护
第五十六条证券公司向客户发布公告、通知、风险揭露等效劳信息时,应当利用信息技术手腕提高信息发布的及时性。
第五十七条证券公司应当与客户签定网上证券效劳协议或合同、风险揭露书,明确两边的权利、义务和相关风险的责任承担,向客户充分揭露利用网上证券信息系统可能面临的风险、证券公司已采取的风险操纵方法和客户应当采取的风险防范方法。
揭露内容包括但不限于:
建议客户按期修改口令、增强口令强度,避免口令泄露、避免网上证券客户端感染木马、病毒等,并提示客户可依照需要开启或关闭网上证券交易方式。
第五十八条当网上证券效劳范围、方式或内容发生转变时,证券公司应当评估原有协议、合同和风险揭露书的适用性,并对内容的变更进行公告,或与客户签署补充协议、风险揭露书。
第五十九条证券公司应当在与客户签定的协议或合同中明确告知客户利用网上证券信息系统的合法途径、意外事件的处置方法,和证券公司联系方式等。
第六十条证券公司应当依照网上证券业务的网络延迟时刻、链路稳固状况、信号衰减程度等风险因素,对行情或交易数据可能显现明显滞后或产生数据丢失的情形,事前对客户进行风险提示。
第六十一条证券公司应当对与网上证券业务效劳相关的域名、效劳、短信号码、公共平台账号、客户端发布渠道等进行统一治理,并通过量种渠道正式向客户发布。
第六十二条证券公司应当对冒充证券公司网上证券信息系统的非法活动及时处置,并通过证券公司网站、网上证券客户端、语音系统、短信平台、公众平台等提示客户注意。
第九章附那么
第六十三条本指引由中国证券业协会负责说明。
第六十四条本指引自发布之日起实施。
升级会员 