证券公司网上交易信息系统安全建设从此有了统一的行业标准。中国证券业协会昨日发布实施《证券公司网上证券信息系统技术指引》(下称《指引》),详细提出了技术安全要求,内容不仅涵盖了网上证券信息系统的各个技术性环节,还包括对网上证券安全管理时的人员设置、业务连续性和应急预案、运行维护、监控等提出了具体要求。
专家介绍,证券公司网上交易信息系统兴起于上世纪90年代末,目前网上证券交易系统包括基于PC机的互联网交易系统和基于手机等电子终端的无线移动交易系统。截至目前,投资者通过网上进行的交易量占比超过70%,部分证券公司甚至达到90%以上,网上交易已成为当下最主要的交易方式。
“与传统交易方式相比,网上交易也存在很多缺点和不足,如易受电子设备、通信线路和电力等影响而产生‘堵单’、断线、甚至中断交易等,最大的缺点是有安全隐患,交易信息容易在网上泄露,甚至遭受木马病毒的攻击。”业内人士指出,近期网上交易系统被侵入、盗买盗卖现象时有发生,起草发布统一的行业标准已是当务之急。
昨日发布实施的《指引》对网上证券客户端和服务端进行了重新界定,提出了具体安全技术要求,其中特别强调了身份认证问题,要求证券公司除账户名、口令、验证码等身份认证方式外,还向客户提供一种以上强度更高的身份认证方式。
《指引》同时明确了“手机炒股”的安全要求,要求证券公司使用安全、可靠的移动证券系统,实现数据从用户终端到网上证券服务端之间的加密传送和控制。
对于门户网站这一网上证券系统的重要组成部分,《指引》要求证券公司在门户网站部署防篡改系统,同时与核心交易业务有关的客户资料、交易数据等客户敏感数据将不得存放在门户网站数据库中。
由于网络隔离已成为网上证券安全的重要手段,根据《指引》要求,证券公司将对网上证券信息系统的各个子系统合理划分安全域,并在不同安全域之间进行有效隔离。
针对网上盗买盗卖证券和盗取用户账号、口令的犯罪行为,《指引》还特别要求网上证券服务端进行监控和跟踪,及时提示投资者,必要时进行用户临时锁定。
业内人士认为,《指引》的及时推出,为整个证券行业建立了安全技术标准,促进了证券公司网上证券安全建设,并将进一步提高整个行业的安全技术水平,对证券公司网上证券信息系统的安全、可靠、高效运行提供保障,促进证券公司在网上开展的证券业务健康有序发展,保护投资者的合法权益。