中國證券業協會 關于發布《證券公司網上證券信息系統技術指引》的通知 各證券公司會員： 為促進證券公司網上證券業務健康有序發展，保障網上證券業務系統的安全、可靠、高效運行，提高行業信息化水平，保護投資者的合法權益，我會制定了《證券公司網上證券信息系統技術指引》，并經理事會表決通過，現予發布，請參照執行。 　　　　　　　　　　　　　　　　　　　　　　　 中國證券業協會 二○○九年六月二十三日 證券公司網上證券信息系統技術指引 第一章 總則 第一條 為保障網上證券信息系統的安全、可靠、高效運行，促進證券公司在網上開展的證券業務健康有序發展，保護投資者的合法權益，依據《中華人民共和國電子簽名法》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》等相關法律法規制定本指引。 第二條 本指引適用于在中華人民共和國境內依法設立的證券公司。 第三條 網上證券信息系統是證券公司在網上開展證券業務活動中所采用的由相關網絡設備、計算機設備、軟件及專用通訊線路等構成的信息系統，包括網上證券服務端、客戶端和門戶網站。 第四條 證券公司利用網上證券信息系統開展證券業務應遵循如下基本原則： （一）安全性原則：網上證券信息系統的建設應提高風險防范意識，保證在網上開展證券業務的安全性。通過技術措施和管理手段，實現信息的保密性、完整性和服務可用性。 （二）系統性原則：網上證券信息系統的安全建設應覆蓋安全保障體系的各個方面，包括：安全體系建設、證券業務在網上的開展、網絡和系統安全、應用系統安全、運維和安全保障、災難恢復和應急措施等。 （三）可用性原則：網上證券信息系統的建設應在保障安全的原則下，確保在網上開展的證券業務的連續性和可靠性。 第五條 中國證券業協會對證券公司執行本指引的情況進行指導和督促。 第二章 基本要求 第六條 證券公司對網上證券信息系統應統一規劃、集中管理，保證在網上開展證券業務安全、有序發展。 第七條 證券公司應制定在網上開展證券業務的各項安全管理制度，對安全管理目標、安全管理組織、安全人員配備、安全策略、安全措施、安全培訓、安全檢查、系統建設、運行管理、應急措施、風險控制、安全審計等方面作出規定。 第八條 證券公司應根據在網上開展證券業務特性，設立相應的管理職能崗位，明確在網上開展證券業務管理的責任，配備合格、足夠的管理人員和技術人員，包括安全管理員、安全審計員等。 第九條 證券公司應將在網上開展證券業務的風險管理納入證券公司風險控制工作范圍，建立健全網上證券風險控制管理體系。 第十條 對在網上開展證券業務的審計應納入證券公司的審計工作范圍。 第十一條 證券公司網上證券信息系統應部署在中華人民共和國境內，滿足技術審計、監管部門現場檢查及中國司法機構調查取證等要求。部署網上證券信息系統的有形場所，應符合國家安全標準的有關要求。 第十二條 證券公司應當與投資者簽訂網上證券服務協議或合同，明確雙方的權利、義務和相關風險的責任承擔，向投資者充分揭示使用網上證券信息系統可能面臨的風險、證券公司已采取的風險控制措施和客戶應采取的風險防范措施。 第十三條 證券公司應通過多種方式揭示使用網上交易方式可能面臨的風險和客戶應采取的風險防范措施，提醒投資者加強賬號、口令的保護工作，建議投資者定期修改口令、增強口令強度、防止口令泄露、防止用于網上交易的計算機或手機終端感染木馬、病毒等，并根據投資者需要開啟或關閉網上交易方式。 第十四條 證券公司應盡可能使用統一的網上證券服務電話、域名、短信號碼等，并應在與投資者簽訂的協議或合同中明確告知客戶使用網上證券信息系統的合法途徑、意外事件的處理辦法，以及證券公司聯系方式等。 第十五條 證券公司的網上證券信息系統應自主運營、自主管理。如涉及第三方（指除證券公司及其客戶以外的任何一方），應與第三方簽訂保密協議和服務級別協議，并明確責任，采取措施防止通過第三方泄露用戶信息。 第十六條 證券公司通過網上證券信息系統向客戶提供證券交易的行情信息，應提示行情源；如向客戶提供證券信息，應說明信息來源，并提示投資者對行情信息及證券信息等進行核實。 第十七條 證券公司應對網上證券信息系統的各個子系統合理劃分安全域，在不同安全域之間進行有效的隔離，保障網上證券信息系統的接入系統與其后臺系統在技術上進行有效隔離，后臺系統應與行情、資訊處理系統進行網絡隔離，并應部署在證券公司可控的物理安全域內。 第十八條 證券公司應在兩個以上的物理地點建立網上證券信息系統，互為備份，并應具備2個或2個以上不同運營商的互聯網接入，避免在同一運營商的線路接入上出現單點故障和瓶頸，同時應充分考慮不同互聯網運營商的互聯瓶頸問題，確保局部故障或災難發生時，系統能繼續對用戶提供服務。 第十九條 對于外包定制的網上證券信息系統，證券公司應與軟件開發商簽署服務協議和保密協議，明確客戶端、服務端以及數據傳輸過程均無后門，明確軟件開發商應用軟件中使用的插件具備合法版權，以確保客戶數據、交易資料不被泄漏，保障證券公司的權益。 第三章 門戶網站 第二十條 證券公司門戶網站指證券公司建立的實現信息發布、業務咨詢、營銷推廣、客戶服務和投資者教育等功能的網站。 第二十一條 證券公司門戶網站應當按照國家主管部門的有關規定辦理網站備案，并提供備案信息的鏈接。 第二十二條 證券公司應定期對網站程序代碼進行全面檢查和評估，并及時修補，避免各種漏洞的存在。 第二十三條 證券公司應在門戶網站部署防篡改系統，當網站上的頁面內容、提供給投資者下載的客戶端軟件及其它文件被異常修改時，能自動告警或自動恢復，防止被捆綁木馬程序。 第二十四條 與核心交易業務有關的客戶資料、交易數據等客戶敏感數據不得存放在門戶網站數據庫中。網上客戶業務處理的日志應單獨存放。 第二十五條 在證券公司門戶網站中客戶賬號及口令，應采用加密方式傳輸，并最低達到SSL協議128位的加密強度。 第二十六條 證券公司應該建立對門戶網站內容發布的審核、管理和監控機制，對網頁內容進行監控，對有害信息進行過濾，防止網站出現不良信息。 第四章 網上證券客戶端 第二十七條 網上證券客戶端是指證券公司通過互聯網向本公司開戶的客戶提供的用于查看行情、檢索資訊、交易委托等的應用程序，包括基于計算機和手機等終端的前端軟件。 第二十八條 網上證券客戶端應提供技術手段協助用戶檢查、清除木馬等惡意程序，并提供驗證碼、強制口令圖形鍵盤、安全的口令輸入安全控件、客戶端電腦或手機特征碼綁定、軟硬件證書、動態口令等多種用戶認證方式，防范不法分子利用木馬等黑客程序竊取客戶賬號和口令信息，進行證券盜買盜賣非法活動。 第二十九條 網上證券客戶端應具備反調試能力。 第三十條 網上證券客戶端的客戶身份信息和交易數據等重要數據傳輸應采用國家信息安全機構認可的加密技術和加密強度，并最低達到SSL協議128位的加密強度。 第三十一條 網上證券客戶端應能向客戶提示最近一次登錄的日期、時間、地址等信息。 第三十二條 網上證券客戶端應能在指定的閑置時間間隔到期后，自動鎖定客戶端的使用。 第三十三條 網上證券客戶端應具有唯一連接到本證券公司網上證券接入系統的保障機制。網上證券客戶端應提供足夠的識別信息，以保證網上證券服務端能夠對發出連接請求的客戶端與證券公司所提供下載的程序進行一致性驗證。 第三十四條 當客戶訪問網上證券服務端時，未經客戶許可，不得以任何方式在客戶端系統中安裝插件。 第三十五條 網上證券客戶端在本地計算機儲存客戶賬戶、交易數據等重要信息，應提示客戶，經客戶確認后以加密方式存儲。 第五章 網上證券服務端 第三十六條 網上證券服務端是指證券公司通過互聯網向客戶提供網上交易、網上行情、數據查詢等服務的信息系統，包括互聯網接入子系統、安全防護與監控子系統、應用服務子系統、身份認證子系統和后臺隔離子系統。 第三十七條 證券公司應提供預留驗證信息服務，在客戶登錄時向客戶顯示預留的驗證信息，幫助客戶識別仿冒的網上證券信息系統，防范不法分子利用仿冒的網上證券信息系統進行詐騙活動或盜取用戶賬號、口令等信息。 第三十八條 證券公司應提供可靠的用戶身份認證機制，支持網上證券客戶端采用多種認證方式與服務端進行身份認證。除輸入賬戶名、口令、驗證碼的身份認證方式之外，還應向客戶提供一種以上強度更高的身份認證方式，如，客戶端電腦或手機特征碼綁定、軟硬件證書、動態口令等認證方式，確認網上交易客戶的身份和登錄的合法性，防止非法接入。用戶身份認證信息應當在服務器上加密存放。 第三十九條 證券公司應提供可靠的訪問控制和權限管理機制，防止客戶的授權被惡意提升或轉授，防止客戶使用未經授權的功能，防止客戶進行訪問未經授權的數據等非法訪問活動。 第四十條 網上證券信息系統采用的認證授權和加密體系應通過國家信息安全機構的安全性測評，具備足夠的強度和抗攻擊能力，并根據在網上開展證券業務的安全性需要和信息技術的發展，定期檢查、評估和及時調整。 第四十一條 網上證券信息系統未經證券公司授權不得與第三方進行任何形式的數據交換，并具備經過認證后僅向授權的第三方指定地址發送信息的功能。 第四十二條 證券公司應保證網上證券數據傳輸的保密性、完整性、真實性和可稽核性，對網上交易委托的客戶信息、交易指令及其他敏感信息進行可靠的加密，加解密應在投資者與證券公司實際控制的設備中進行，不得存在任何中間環節對數據進行加解密。 第四十三條 網上證券服務端應防止用戶使用簡單口令，應能夠抵御連續猜測等對客戶賬戶惡意攻擊行為。 第四十四條 網上證券服務端應對不完整、被篡改、重發的數據包進行監控，對登錄、委托方式、品種、價格、數量、操作頻率、轉賬等異常行為進行跟蹤、監控和限制，記錄其賬號、IP地址等相關信息，并通過短信、電話等方式及時提示客戶，必要時進行用戶臨時鎖定。監控和處置情況應形成記錄備查。 第四十五條 網上證券服務端應能監控并避免攻擊者通過群體大規模對合法證券賬戶進行非法用戶登陸的請求，導致大量用戶賬戶被異常鎖定，正常用戶無法登陸。 第四十六條 網上證券服務端應能在指定的時間間隔到期后，自動中止用戶對系統的訪問權。 第四十七條 網上交易服務端應能產生、記錄并集中存儲必要的日志信息，其中應包含能識別服務請求方身份的內容、登錄終端的IP地址、MAC地址、手機號碼和終端特征碼等，并確保數據的可審計性，滿足監管部門現場檢查要求及司法機構調查取證的要求。 第四十八條 網上證券服務端應能向客戶提供可證明服務端自身身份的信息，以確保客戶能查驗所使用服務的真實性。 第四十九條 網上證券服務端應能夠有效屏蔽系統技術錯誤信息，不將系統產生的錯誤信息直接反饋給客戶。 第五十條 網上證券服務端應能夠提供系統運行健康狀況信息(如活動狀態、并發在線客戶數目、并發會話數目、線程數目、隊列長度等)、錯誤信息、安全警告等。 第五十一條 基于瀏覽器的網上證券下單網頁應當使用HTTPS等加密方式與服務端交互，服務端應具備防范SQL注入式攻擊、跨站腳本攻擊等網頁攻擊的能力，同時關閉HTTP服務器的Web遠程維護功能。 第六章 移動證券 第五十二條 移動證券指客戶通過手機或其他具備無線數據通訊能力的移動設備，經無線公眾網絡獲取證券公司提供的行情信息、資訊信息服務或進行交易、轉賬、查詢等證券自助業務。 第五十三條 證券公司應使用安全、可靠的移動證券系統。移動證券系統宜自主運營，實現數據從用戶終端到網上證券服務端之間的加密傳送和控制，并隨著技術的發展，不斷提高加密強度，完善認證算法。 第五十四條 證券公司應建立確認機制以保證客戶獲得正確的移動證券客戶端軟件。 第五十五條 移動證券客戶端應具備一定加密強度的用戶認證功能，保護客戶賬號和口令信息。 第五十六條 證券公司應在門戶網站或固定營業場所公告短信服務號碼、移動證券門戶網站地址等信息，提醒客戶防范他人利用移動通訊設備進行欺詐。 第五十七條 證券公司應根據移動證券業務的網絡延遲時間、鏈路穩定狀況、信號衰減程度等風險因素，對行情或交易數據可能出現明顯滯后或產生數據丟失的情況，事先對客戶進行風險提示。 第七章 安全管理 第五十八條 證券公司網上證券信息系統的管理、開發、測試應與運營人員及生產環境分離。開發、測試和運營人員未經授權不得訪問、修改非職責范圍內的網上證券信息系統。 第五十九條 證券公司應制定在網上開展證券業務連續性計劃，保證在網上開展證券業務的連續正常運營。在網上開展證券業務連續性計劃應充分評估第三方服務供應商對業務連續性的影響，并應采取適當的預防措施。 第六十條 客戶使用的網上證券委托軟件應由證券公司管理和授權發布，證券公司應對其授權第三方發布的證券委托軟件進行審核、監管。 第六十一條 證券公司應采取有效措施對門戶網站上提供下載的網上證券客戶端軟件程序進行保護，客戶端軟件程序編譯封裝、形成下載文件后，應安排專人對其進行嚴格的病毒掃描和木馬檢查，并通過專用安全手段傳輸至網站文件下載服務器。 第六十二條 證券公司網上證券應用系統上線或重大版本升級，應進行安全測試和評估。 第六十三條 原則上不允許通過互聯網對網上證券信息系統（如防火墻、網絡設備、服務器等）進行遠程管理和日常維護等操作，對網上證券信息系統的訪問控制應做到： （一）關閉網上證券信息系統所有與業務和維護無關的服務及端口，嚴格控制防火墻中的權限設置，確保按“最小權限原則”進行設置； （二）對于網上證券信息系統的內部訪問，應嚴格限制訪問源。 （三）特殊緊急情況下需要通過互聯網進行遠程操作時，應通過限制登錄IP、使用數字證書或動態口令、全程監控等措施確保安全，并在操作完成后，及時關閉相關端口。 第六十四條 證券公司應部署有效的網上證券信息系統安全防護與監控子系統，包括防火墻，防病毒、防木馬系統，入侵檢測系統或入侵防護系統，并正確配置。應及時更新病毒庫，定期對系統進行全面的病毒掃描，加強相關系統的日志審查工作，提高網上證券信息系統的防護能力。 第六十五條 證券公司制定的安全措施，應定期檢查、測試，并根據實際情況及時調整，保證安全措施的持續有效。 第六十六條 證券公司應建立定期的網上證券信息系統安全風險評估機制和整改的工作制度，及時發現SQL注入漏洞、弱口令賬戶、繞過驗證、目錄遍歷、文件上傳、跨站腳本等系統存在的安全隱患和漏洞，并進行改進和完善。風險評估應通過內部評估與外部評估相結合的方式進行。 第六十七條 安全風險評估應包括漏洞掃描、攻擊測試、病毒掃描、木馬檢測等，針對不同的威脅設置相應的檢查頻率。 第六十八條 證券公司應對網上證券信息系統進行實時監控，建立異常事件的甄別、報警、處理和報告機制。網上證券信息系統實時監控范圍應包括各種安全設備、網絡設備、服務器設備及操作系統、通訊線路狀態及應用軟件等。監控內容包括其運行狀況、日志內容、安全警告等，并統一記錄保存監控信息，保存期至少為6個月。 第六十九條 證券公司應通過多種技術手段加強對投資者賬戶異動情況的監控，如委托的方式、品種、價格、數量異常等，并及時提醒客戶，以保護客戶資產安全。 第七十條 證券公司應對網上證券信息系統中包括網絡安全設備、服務器以及應用系統在內的賬戶進行嚴格管理，賬戶權限應按最小權限原則設置，清除所有冗余、與應用無關的賬戶，并嚴格限制各管理員賬戶的使用，禁止用最高權限賬戶執行一般操作,盡量避免以最高權限賬戶運行網上信息系統服務端應用軟件。 第七十一條 管理員賬戶和口令應由專人負責，口令長度應在12位以上，且含有字符和數字，區分大小寫，并定期更改。 第七十二條 證券公司應嚴格限制人工對數據庫操作的賬戶權限，并應分別使用不同權限的賬戶執行查詢、插入、更新、刪除等操作。 第七十三條 網上證券信息系統各環節應有可靠的熱備或冷備措施，保證整個系統的高可用性。 第七十四條 證券公司應根據自身實際情況制訂網上證券信息系統的數據備份計劃并落實執行。備份的數據應包括：系統程序、配置參數、系統日志、安全審計數據、門戶網站信息、客戶數據等。 第七十五條 證券公司應保證備份數據的準確性、完整性、可用性。備份數據的管理應符合相關技術管理規定，有嚴格的保管、使用、檢查管理制度。 第七十六條 證券公司應當保障網上證券信息系統運營設施、設備以及安全控制設施、設備的安全。對重要設施、設備的接觸、檢查、維修和應急處理，應有明確的權限規定、責任劃分和操作流程，并建立日志文件管理制度，如實記錄并妥善保管相關記錄。 第七十七條 證券公司應定期評估可供客戶使用的網上證券信息系統的資源狀況，并根據實時監控信息、可預見的業務發展需求進行容量的需求預測，確保有充足的處理能力、存儲容量和通訊帶寬，滿足業務增長的需要，保證網上證券服務的可用性，并能抵御一定程度的拒絕服務攻擊和緩沖區溢出攻擊。 第七十八條 在網上開展證券業務的網絡系統、安全系統、應用系統等重要環節應具備足夠的冗余，以應對網站及網上交易可能出現的突發峰值；在網上開展證券業務的網絡系統、安全系統、應用系統等重要環節應具備良好的可擴充性，以應對業務增長和市場的變化。 第七十九條 證券公司應建立嚴格的變更管理流程，對包括網絡安全設備、服務器、應用系統等軟硬件系統和配置變更實行規范化的變更管理，完整、真實地記錄和反映系統所涉及的軟硬件配置及相互影響關系，并保持與實際生產環境同步更新。 第八十條 證券公司應建立網上證券信息系統應急處理組織體系，并制定相應的應急預案，應急預案應納入證券公司和行業的應急預案體系內，并按照有關規定進行演練。 第八十一條 證券公司應根據網上證券信息系統故障的影響和損失情況對應急組織體系和應急預案進行分級管理和執行，并遵循統一領導、快速響應、協調配合、最小損失的原則。