网上交易Ok.docx
《网上交易Ok.docx》由会员分享,可在线阅读,更多相关《网上交易Ok.docx(68页珍藏版)》请在冰豆网上搜索。
网上交易Ok
网上交易系统
检查项目
检查内容
情况
检查结果
索引号
检查方法
基本
要求
1.是否制订了网上开展证券业务的各项安全管理制度
已经制定《华林证券网站及网上交易管理规范》
1.访谈询问;
2.取得各项安全管理制度
3.要点:
对安全管理目标、安全管理组织、安全人员配备、安全策略、安全措施、安全培训、安全检查、系统建设、运行管理、应急措施、风险控制、安全审计等方面作出规定。
2.公司是否设立相应的管理职能岗位,明确在网上开展证券业务管理的责任,配备合格、足够的管理人员和技术人员,包括安全管理员、安全审计员等。
公司配置了专职的安全管理员,并有安全管理员的备岗人员。
安全管理员为陈颖文,安全管理员备岗人员为吴红兵
1.访谈询问;
2.取得岗位说明书;
3.确认安全管理员、安全审计员设置
3.公司是否将在网上开展证券业务的风险管理纳入证券公司风险控制工作范围,建立健全网上证券风险控制管理体系。
对在网上开展证券业务的审计应纳入证券公司的审计工作范围。
是。
根据《华林证券网站及网上交易管理规范》的规定,已经纳入公司风险管理和审计工作范围
4.证券公司网上证券信息系统是否部署在中华人民共和国境内,满足技术审计、监管部门现场检查及中国司法机构调查取证等要求。
部署网上证券信息系统的有形场所,是否符合国家安全标准的有关要求。
是。
我公司网站及网上交易机房分别为深圳机房、江门机房、合肥机房、北京机房,全部属于中华人民共和国境内。
5.证券公司是否与投资者签订网上证券服务协议或合同,明确双方的权利、义务和相关风险的责任承担,向投资者充分揭示使用网上证券信息系统可能面临的风险、证券公司已采取的风险控制措施和客户应采取的风险防范措施。
是。
客户开通网上交易权限需要《证券交易委托代理协议》
6.是否通过多种方式揭示使用网上交易方式可能面临的风险和客户应采取的风险防范措施,提醒投资者加强账号、口令的保护工作,建议投资者定期修改口令、增强口令强度、防止口令泄露、防止用于网上交易的计算机或手机终端感染木马、病毒等,并根据投资者需要开启或关闭网上交易方式。
是。
客户修改密码以及每次登陆时,公司网上交易系统对弱口令进行提示。
7.是否用统一的网上证券服务电话、域名、短信号码等,并在与投资者签订的协议或合同中明确告知客户使用网上证券信息系统的合法途径、意外事件的处理办法,以及证券公司联系方式等。
是。
公司客服电话统一向客户公布,公司域名为WWW.CHINALIONS.COM,短信号码为10690009263
8.网上证券信息系统是否自主运营、自主管理。
如涉及第三方(指除证券公司及其客户以外的任何一方),与第三方签订保密协议和服务级别协议,并明确责任,采取措施防止通过第三方泄露用户信息。
是自主运营和自主管理。
9.证券公司是否在两个以上的物理地点建立网上证券信息系统,互为备份,并应具备2个或2个以上不同运营商的互联网接入,避免在同一运营商的线路接入上出现单点故障和瓶颈,同时应充分考虑不同互联网运营商的互联瓶颈问题,确保局部故障或灾难发生时,系统能继续对用户提供服务。
我公司网站及网上交易机房分别为深圳机房、江门机房、合肥机房、北京机房。
江门、合肥机房有电信、联通、移动线路,深圳机房有电信、网通线路,北京机房有网通线路。
当出现单点故障时,其他线路或机房能继续为客户提供服务。
10.对于外包定制的网上证券信息系统,证券公司是否与软件开发商签署服务协议和保密协议,明确客户端、服务端以及数据传输过程均无后门,明确软件开发商应用软件中使用的插件具备合法版权,以确保客户数据、交易资料不被泄漏,保障证券公司及客户的权益。
是。
请见合同第五条。
网上证券客户端
1.网上证券客户端是否提供技术手段协助用户检查、清除木马等恶意程序,并提供验证码、强制口令图形键盘、安全的口令输入安全控件、客户端电脑或手机特征码绑定、软硬件证书、动态口令等多种用户认证方式,防范不法分子利用木马等黑客程序窃取客户账号和口令信息,进行证券盗买盗卖非法活动。
1、网上交易客户端上线时候经过多种不同杀毒软件进行杀毒和MD5码校验。
在运行中,也定期下载网站内的客户端软件进行不同杀毒软件杀毒和MD5码校验。
2、公司网上交易安全项目正在实施中。
3、公司聘请深圳网盾公司对网站进行7*24小时监控服务。
2.网上证券客户端是否具备反调试能力。
1、是,具有反调试能力。
2、公司网上交易安全项目正在实施中,该项目包括客户端保护模块。
3.网上证券客户端的客户身份信息和交易数据等重要数据传输应采用国家信息安全机构认可的加密技术和加密强度,并最低达到SSL协议128位的加密强度。
是,采用SSL协议128位的加密强度。
4.网上证券客户端是否向客户提示最近一次登录的日期、时间、地址等信息。
1、公司网上交易安全项目正在实施中,该项目包括客户登陆信息回显模块。
5.网上证券客户端是否在指定的闲置时间间隔到期后,自动锁定客户端的使用。
是
6.网上证券客户端是否具有唯一连接到本证券公司网上证券接入系统的保障机制。
网上证券客户端是否提供足够的识别信息,以保证网上证券服务端能够对发出连接请求的客户端与证券公司所提供下载的程序进行一致性验证。
通过通达信加密协议进行客户端与服务器端之间的合法性校验,具有唯一连接到本证券公司网上证券接入系统的保障机制。
网上证券客户端采用MD5码自动检验,有疑问报警方式对发出连接请求的客户端与证券公司所提供下载的程序进行一致性验证。
(项目建设中)
7.当客户访问网上证券服务端时,未经客户许可,不得以任何方式在客户端系统中安装插件。
是。
8.网上证券客户端在本地计算机储存客户账户、交易数据等重要信息,是否提示客户,经客户确认后以加密方式存储。
是。
不保存交易数据,本地存储客户账户功能有明显提示。
9.证券公司是否提供预留验证信息服务,在客户登录时向客户显示预留的验证信息,帮助客户识别仿冒的网上证券信息系统,防范不法分子利用仿冒的网上证券信息系统进行诈骗活动或盗取用户账号、口令等信息。
是
网上交易安全项目中有客户预留信息模块
10.证券公司是否提供可靠的用户身份认证机制,支持网上证券客户端采用多种认证方式与服务端进行身份认证。
除输入账户名、口令、验证码的身份认证方式之外,还应向客户提供一种以上强度更高的身份认证方式,如,客户端电脑或手机特征码绑定、软硬件证书、动态口令等认证方式,确认网上交易客户的身份和登录的合法性,防止非法接入。
用户身份认证信息是否当在服务器上加密存放。
1、公司网上交易安全项目正在实施中,该项目采用账号和交易密码,再加上动态密码方式对登录进行多重身份认证。
2、用户身份信息不在网上交易系统中存放。
11.证券公司是否提供可靠的访问控制和权限管理机制,防止客户的授权被恶意提升或转授,防止客户使用XX的功能,防止客户进行访问XX的数据等非法访问活动。
是。
通过聘请外部安全公司对网站等进行漏洞扫描,防止客户的授权被恶意提升或转授,防止客户使用XX的功能,防止客户进行访问XX的数据等非法访问活动。
网上证券数据传输
1.网上证券信息系统采用的认证授权和加密体系是否通过国家信息安全机构的安全性测评,具备足够的强度和抗攻击能力,并根据在网上开展证券业务的安全性需要和信息技术的发展,定期检查、评估和及时调整。
公司网上营业大厅使用天威诚信公司证书进行认证和加密。
公司网上交易系统采用飞天诚信公司的动态口令密码方式进行多重身份认证(项目建设中)
以上2种加密和认证均通过国家有关机关评估。
2.网上证券信息系统未经证券公司授权不得与第三方进行任何形式的数据交换,并具备经过认证后仅向授权的第三方指定地址发送信息的功能。
我公司网上证券系统均为自建方式,不与第三方进行数据交换。
3.证券公司是否保证网上证券数据传输的保密性、完整性、真实性和可稽核性,对网上交易委托的客户信息、交易指令及其他敏感信息进行可靠的加密,加解密应在投资者与证券公司实际控制的设备中进行,不得存在任何中间环节对数据进行加解密。
是。
我公司网上证券系统均为自建方式,不与第三方进行数据交换和加解密。
加解密均在投资者与证券公司实际控制的设备中进行,不存在任何中间环节对数据进行加解密。
网上证券服务端
1.网上证券服务端是否能防止用户使用简单口令,是否够抵御连续猜测等对客户账户恶意攻击行为。
1、网上交易系统对客户登陆游安全阀值控制,对可疑登陆达到阀值时,关闭可疑IP地址的登录权限。
2、公司网上交易安全项目正在实施中,其中包括统一安全管理模块。
该模块可对所有服务器进行统一安全管理,统一发布可疑IP地址目录,统一限制可疑IP登录等功能
2.网上证券服务端是否能对不完整、被篡改、重发的数据包进行监控,对登录、委托方式、品种、价格、数量、操作频率、转账等异常行为进行跟踪、监控和限制,记录其账号、IP地址等相关信息,并通过短信、电话等方式及时提示客户,必要时进行用户临时锁定。
监控和处置情况是否形成记录备查。
1、网上交易系统对客户登陆游安全阀值控制,对可疑登陆达到阀值时,关闭可疑IP地址的登录权限。
2、公司网上交易安全项目正在实施中,其中包括统一安全管理模块。
该模块可对所有服务器进行统一安全管理,统一发布可疑IP地址目录,统一限制可疑IP登录等功能
3.网上证券服务端是否监控并避免攻击者通过群体大规模对合法证券账户进行非法用户登陆的请求,导致大量用户账户被异常锁定,正常用户无法登陆。
1、网上交易系统对客户登陆有安全阀值控制,对可疑登陆达到预定阀值时,自动自动关闭可疑IP地址的登录权限。
这样就可以实现抵御大规模连续猜测等恶意攻击行为。
2、公司网上交易安全项目正在实施中,其中包括统一安全管理模块。
该模块可对所有服务器进行统一安全管理,统一发布可疑IP地址目录,统一限制可疑IP登录等功能
4.网上证券服务端是否在指定的时间间隔到期后,自动中止用户对系统的访问权。
是。
有空闲时间间隔控制功能。
当空闲时间达到后,自动中止客户端连接。
5.网上交易服务端是否产生、记录并集中存储必要的日志信息,其中是否包含能识别服务请求方身份的内容、登录终端的IP地址、MAC地址、手机号码和终端特征码等,并确保数据的可审计性,满足监管部门现场检查要求及司法机构调查取证的要求。
公司网上交易安全项目正在实施中,其中包括统一日志管理模块,该模块可实现产生、记录并集中存储必要的日志信息,能识别服务请求方身份的内容、登录终端的IP地址、MAC地址和终端特征码等,并确保数据的可审计性,满足监管部门现场检查要求及司法机构调查取证的要求。
6.网上证券服务端是否向客户提供可证明服务端自身身份的信息,以确保客户能查验所使用服务的真实性。
是
正在建设正版网站鉴定项目
类似附件功能
7.网上证券服务端是否够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户。
公司网上交易安全项目正在实施中,其中包括错误信息回显管理模块。
该模块功能能将重要的系统错误信息以其他方式提供给客户。
比如客户密码错误,系统反馈信息为“您的账户或密码错误”等。
8.网上证券服务端是否够提供系统运行健康状况信息(如活动状态、并发在线客户数目、并发会话数目、线程数目、队列长度等)、错误信息、安全警告等。
是。
公司网上证券系统日志包括如活动状态、并发在线客户数目、并发会话数目、线程数目、队列长度等信息,并有错误信息和安全警告。
1、我公司每日实行监控报告,对系统的活动状态、并发在线客户数目、并发会话数目、线程数目、队列长度、错误信息、安全警告进行实施监控
2、我公司坚持每日对网上交易日志进行分析和总结
9.中心机房日常运行维护保存了系统最大支持投资者数、每秒最大处理委托笔数、每日最大可处理查询笔数等各指标相关原始数据
是
目前客户数40万,今年每秒最大委托58笔/秒,每日最大可处理查询笔数1062万(7月29日)。
□是□否
ITC2-08-00-01
10.基于浏览器的网上证券下单网页是否当使用HTTPS等加密方式与服务端交互,服务端是否具备防范SQL注入式攻击、跨站脚本攻击等网页攻击的能力,同时关闭HTTP服务器的Web远程维护功能。
是。
1、采用HTTPS加密方式,并可防范SQL注入、跨站脚本攻击等攻击
2、聘请外部公司对公司网上证券业务系统进行扫描和授权模拟攻击。
3、公司聘请网盾公司对网上证券系统进行7*24小时监控要求自事故发生半小时内通知我公司人员。
报告分为紧急报告、日报、月报。
紧急报告采用电话方式联系,日报采用邮件、短信形式,月度报告采用书面报告形式。
移动证券
1.证券公司是否建立确认机制以保证客户获得正确的移动证券客户端软件。
公司网站上有详细的获得正确的移动证券客户端软件的方式,包括网站下载、WAP下载、短信下载等方式。
2.移动证券客户端是否具备一定加密强度的用户认证功能,保护客户账号和口令信息。
是。
1、通讯采用R44加密算法加密
2、客户登陆需要输入验证码
3、华林安全项目中包括移动动态口令模块,该模块可实现在移动证券客户端中使用动态口令对客户进行多重身份认证。
3.证券公司是否在门户网站或固定营业场所公告短信服务号码、移动证券门户网站地址等信息,提醒客户防范他人利用移动通讯设备进行欺诈。
是。
在门户网站或固定营业场所公告短信服务号码、移动证券门户网站地址等信息公司移动证券门户网站为WAP.HLZQZX.COM
4.证券公司是否根据移动证券业务的网络延迟时间、链路稳定状况、信号衰减程度等风险因素,对行情或交易数据可能出现明显滞后或产生数据丢失的情况,事先对客户进行风险提示。
是。
公司移动证券客户端首页即显示以上内容。
Iq机也进行提示
详见附件。
4.数据在移动运营商中间环节传输的安全保密措施.
通过rc4/RSA+3DES加密方式加密
□是□否
ITC2-10-00-04
6.交易记录行为的不可否认性:
网关日志记录客户的操作信息,关键的登陆手机号码有记录.
1、网关日志记录客户的操作信息。
2、因移动商不提供获取手机号码的接口,客户手机号码为客户自行输入。
□是□否
ITC2-10-00-06
8.存在的主要问题.
手机种类繁多,应用兼容性差
□是□否
ITC2-10-00-08
安全管理
1.证券公司网上证券信息系统的管理、开发、测试是否与运营人员及生产环境分离。
开发、测试和运营人员XX不得访问、修改非职责范围内的网上证券信息系统。
是。
公司信息技术部分为开发组和运维组。
管理、开发、测试与运营人员及生产环境分离。
开发、测试和运营人员XX不得访问、修改非职责范围内的网上证券信息系统。
2.证券公司是否制定在网上开展证券业务连续性计划,保证在网上开展证券业务的连续正常运营。
在网上开展证券业务连续性计划是否充分评估第三方服务供是否商对业务连续性的影响,并是否采取适当的预防措施。
我公司网站及网上交易机房分别为深圳机房、江门机房、合肥机房、北京机房。
江门、合肥机房有电信、联通、移动线路,深圳机房有电信、网通线路,北京机房有网通线路。
当出现单点故障时,其他线路或机房能继续为客户提供服务。
4.证券公司是否采取有效措施对门户网站上提供下载的网上证券客户端软件程序进行保护,客户端软件程序编译封装、形成下载文件后,是否安排专人对其进行严格的病毒扫描和木马检查,并通过专用安全手段传输至网站文件下载服务器。
1、网上交易客户端上线时候经过多种不同杀毒软件进行杀毒和MD5码校验。
在运行中,也定期下载网站内的客户端软件进行不同杀毒软件杀毒和MD5码校验。
2、公司网上交易安全项目正在实施中。
3、公司聘请深圳网盾公司对网站进行7*24小时监控服务。
5.证券公司网上证券应用系统上线或重大版本升级,是否进行安全测试和评估。
是。
所有升级必须经过安全测试和评估。
安全测试和评估报告见附件
6.是否原则上不允许通过互联网对网上证券信息系统(如防火墙、网络设备、服务器等)进行远程管理和日常维护等操作,对网上证券信息系统的访问控制是否做到:
(一)关闭网上证券信息系统所有与业务和维护无关的服务及端口,严格控制防火墙中的权限设置,确保按“最小权限原则”进行设置;
(二)对于网上证券信息系统的内部访问,应严格限制访问源。
(三)特殊紧急情况下需要通过互联网进行远程操作时,应通过限制登录IP、使用数字证书或动态口令、全程监控等措施确保安全,并在操作完成后,及时关闭相关端口。
是。
原则上不允许通过互联网对网上证券信息系统进行远程管理和日常维护等操作。
如出现交易故障等应急情况,采用VPN方式定时、定点、定人进行维护,维护完毕第一时间关闭远程维护端口
7.证券公司是否部署有效的网上证券信息系统安全防护与监控子系统,包括防火墙,防病毒、防木马系统,入侵检测系统或入侵防护系统,并正确配置。
是否及时更新病毒库,定期对系统进行全面的病毒扫描,加强相关系统的日志审查工作,提高网上证券信息系统的防护能力。
8、证券公司是否建立定期的进行网上证券信息系统安全风险评估机制和整改的工作制度,及时发现SQL注入漏洞、弱口令账户、绕过验证、目录遍历、文件上传、跨站脚本等系统存在的安全隐患和漏洞,并进行改进和完善。
风险评估是否通过内部评估与外部评估相结合的方式进行。
安全风险评估是否包括漏洞扫描、攻击测试、病毒扫描、木马检测等,针对不同的威胁设置相应的检查频率。
是。
公司部署了防火墙和入侵检测系统,安装防病毒软件和360等安全软件。
经检测后,防病毒软件分步更新。
公司聘请网盾公司对网上证券系统进行7*24小时监控要求自事故发生半小时内通知我公司人员。
报告分为紧急报告、日报、月报。
紧急报告采用电话方式联系,日报采用邮件、短信形式,月度报告采用书面报告形式。
公司聘请外部安全公司对网上证券系统进行授权扫描和授权模拟攻击。
9.证券公司是否对网上证券信息系统进行实时监控,建立异常事件的甄别、报警、处理和报告机制。
网上证券信息系统实时监控范围是否包括各种安全设备、网络设备、服务器设备及操作系统、通讯线路状态及应用软件等。
监控内容包括其运行状况、日志内容、安全警告等,并统一记录保存监控信息,保存期至少为6个月。
是。
公司运维小组在每个交易日均对网上证券系统进行监控,并在RTX上进行及时沟通。
公司安装鹰眼、北塔等监控系统对网络、服务器、线路、防火墙等进行实时监控。
10.证券公司是否通过多种技术手段加强对投资者账户异动情况的监控,如委托的方式、品种、价格、数量异常等,并及时提醒客户,以保护客户资产安全。
是。
公司网上交易安全项目正在实施中,该项目包括异常情况提醒功能。
11.证券公司是否对网上证券信息系统中包括网络安全设备、服务器以及应用系统在内的账户进行严格管理,账户权限是否按最小权限原则设置,清除所有冗余、与应用无关的账户,并严格限制各管理员账户的使用,禁止用最高权限账户执行一般操作,尽量避免以最高权限账户运行网上信息系统服务端应用软件。
是。
网上证券系统的维护工作由网上交易维护小组负责,网络及安全设备维护工作由网络小组负责。
各系统用户均严格管理,按最小权限原则设置。
12.管理员账户和口令是否由专人负责,口令长度是否在12位以上,且含有字符和数字,区分大小写,并定期更改。
证券公司是否严格限制人工对数据库操作的账户权限,并是否分别使用不同权限的账户执行查询、插入、更新、删除等操作。
是。
密码为12位混排密码
13.证券公司是否根据自身实际情况制订网上证券信息系统的数据备份计划并落实执行。
备份的数据是否包括:
系统程序、配置参数、系统日志、安全审计数据、门户网站信息、客户数据等。
证券公司是否保证备份数据的准确性、完整性、可用性。
备份数据的管理是否符合相关技术管理规定,有严格的保管、使用、检查管理制度。
公司已建设同城数据备份系统和远程数据灾备系统。
14.证券公司是否当保障网上证券信息系统运营设施、设备以及安全控制设施、设备的安全。
对重要设施、设备的接触、检查、维修和应急处理,是否有明确的权限规定、责任划分和操作流程,并建立日志文件管理制度,如实记录并妥善保管相关记录。
是。
网上证券系统的维护工作由网上交易维护小组负责,网络及安全设备维护工作由网络小组负责。
日志文件均刻盘保存。
系统能力
1.证券公司是否定期评估可供客户使用的网上证券信息系统的资源状况,并根据实时监控信息、可预见的业务发展需求进行容量的需求预测,确保有充足的处理能力、存储容量和通讯带宽,满足业务增长的需要,保证网上证券服务的可用性,并能抵御一定程度的拒绝服务攻击和缓冲区溢出攻击。
在网上开展证券业务的网络系统、安全系统、应用系统等重要环节是否具备足够的冗余,以应对网站及网上交易可能出现的突发峰值;在网上开展证券业务的网络系统、安全系统、应用系统等重要环节是否具备良好的可扩充性,以应对业务增长和市场的变化。
公司网站及网上交易机房分别为深圳机房、江门机房、合肥机房、北京机房。
江门、合肥机房有电信、联通、移动线路,深圳机房有电信、网通线路,北京机房有网通线路。
当出现单点故障时,其他线路或机房能继续为客户提供服务。
网络、硬件、线路、软件均有冗余备份。
和有关电信机关签署防DDOS攻击服务。
2.是否满足公司10%投资者同时登陆在线证券交易系统的要求,且能支持公司1%投资者同时发起交易委托请求
1、公司共有客户数约42万,网上交易行情主站系统容量最低14万,现有并发量峰值为4.5万左右,交易系统容量最低12.5万,现有并发量峰值为3.5万左右。
2、满足公司10%投资者同时登陆在线证券交易系统的要求,且能支持公司1%投资者同时发起交易委托请求
□是□否
ITC2-08-00-03
公司共有客户数约?
万,网上交易行情主站并发量峰值为?
万,交易并发量峰值为?
万。
应急保障
1.证券公司是否建立网上证券信息系统应急处理组织体系,并制定相应的应急预案,应急预案应纳入证券公司和行业的应急预案体系内,并按照有关规定进行演练。
是。
1、系统部署即考虑应急情况。
网站及网上交易机房分别为深圳机房、江门机房、合肥机房、北京机房。
江门、合肥机房有电信、联通、移动线路,深圳机房有电信、网通线路,北京机房有网通线路。
当出现单点故障时,其他线路或机房能继续为客户提供服务。
2、每季度进行演练。
2.证券公司是否根据网上证券信息系统故障的影响和损失情况对应急组织体系和应急预案进行分级管理和执行,并遵循统一领导、快速响应、协调配合、最小损失的原则。
1、系统部署即考虑应急情况。
网站及网上交易机房分别为深圳机房、江门机房、合肥机房、北京机房。
江门、合肥机房有电信、联通、移动线路,深圳机房有电信、网通线路,北京机房有网通线路。
当出现单点故障时,其他线路或机房能继续为客户提供服务。
2、每季度进行演练。
?
3.证券公司网上证券信息系统应急预案是否针对电力、通信等基础设施故障、计算机硬件或网络设备故障、操作系统或应用系统故障、操作系统或应用系统漏洞、病毒入侵、恶意攻
升级会员 