证券业协会六方面规范网上证券信息安全

　　首次明确“手机炒股”安全要求，即证券公司应使用安全、可靠的移动证券系统

　　为保障证券公司网上证券信息系统的安全、可靠、高效运行，中国证券业协会23日发布了《证券公司网上证券信息系统技术指引》(以下简称《指引》)。《指引》首次明确了“手机炒股”的安全要求，即证券公司应使用安全、可靠的移动证券系统。移动证券系统宜自主运营，实现数据从用户终端到网上证券服务端之间的加密传送和控制，并随着技术的发展，不断提高加密强度，完善认证算法。

　　据了解，网上交易系统发展速度很快。到2006年，通过网上进行的交易量达到40%以上，目前这一比例平均已经达到了70%以上，比较高的证券公司达到了90%以上，成为现在最主要的交易方式。

　　《指引》作为行业技术标准有重要的指导作用，不仅强调网上证券信息系统安全的重要性，使证券公司对网上证券信息系统进行统一规划、建设、管理和运行，提升行业网上证券信息系统安全的整体水平，而且还提出了确保网上证券信息系统安全的一些基本要求。

　　《指引》就网上证券系统进行了具体规范，特别在六个方面提出了更加明确的要求：

　　(一)重新界定了网上证券客户端和服务端的问题。《指引》规定：证券公司应提供可靠的用户身份认证机制，支持网上证券客户端采用多种认证方式与服务端进行身份认证。除输入账户名、口令、验证码的身份认证方式之外，还应向客户提供一种以上强度更高的身份认证方式，如，客户端与电脑或手机特征码绑定、软硬件证书、动态口令等认证方式，确认网上交易客户的身份和登录的合法性，防止非法接入。用户身份认证信息应当在服务器上加密存放。

　　(二)明确了移动证券的安全要求。移动证券俗称“手机炒股”，其采用的硬件还包括掌上电脑等具有与手机相似的移动通信功能的电子设备。随着技术的发展和进步，移动证券与一般的网上交易将越来越接近甚至可能完全融合为一体。因此指引对移动证券系统提出了一些技术要求，“证券公司应使用安全、可靠的移动证券系统。移动证券系统宜自主运营，实现数据从用户终端到网上证券服务端之间的加密传送和控制，并随着技术的发展，不断提高加密强度，完善认证算法。”

　　(三)网络隔离成为网上证券安全的重要手段。 《指引》要求：证券公司应对网上证券信息系统的各个子系统合理划分安全域，在不同安全域之间进行有效的隔离，保障网上证券信息系统的接入系统与其后台系统在技术上进行有效隔离，后台系统应与行情、资讯处理系统进行网络隔离，并应部署在证券公司可控的物理安全域内。

　　(四)门户网站成为网上证券系统的组成部分。门户网站不仅是公司对外的窗口，代表着公司的品牌，而且是向投资者发放网上交易软件(即客户端)的主要渠道。所以门户网站对网上证券信息系统的安全有着很大的影响，所以指引对此提出了一些技术安全要求。如，“证券公司应在门户网站部署防篡改系统，当网站上的页面内容、提供给投资者下载的客户端软件及其它文件被异常修改时，能自动告警或自动恢复，防止被捆绑木马程序。”

　　(五)提出了网络安全的具体措施。 《指引》要求证券公司应在两个以上的物理地点建立网上证券信息系统，互为备份，并应具备2个或2个以上不同运营商的互联网接入，避免在同一运营商的线路接入上出现单点故障和瓶颈，同时应充分考虑不同互联网运营商的互联瓶颈问题，确保局部故障或灾难发生时，系统能继续对用户提供服务。

　　(六)强调网上证券系统的安全管理。《指引》对安全管理中的人员设置、业务连续性和应急预案、系统访问控制、防病毒防木马、运行维护、监控等方面提出了一些具体要求。

　　据了解，《指引》发布实施后，协会将依据自律管理的职能，加强对会员公司落实《指引》的指导和督促，组织行业技术交流和培训，将指引落到实处，使《指引》真正成为行业信息技术安全的又一基础性保障。(记者 侯捷宁)