【发布部门】中国期货业协会【发布日期】2009.06.23【实施日期】2009.06.23【效力级别】行业规定
第一章 总则
第一条 为保障期货公司网上期货业务系统的安全运行,促进期货业务健康发展,保护投资者的合法权益,特制订本指引。
第二条 本指引适用于开展网上期货业务的期货公司。
第三条 期货公司应采取技术和管理措施,保证网上期货信息系统的安全性、可用性,确保网上期货业务的连续性、可靠性,保证客户信息的保密性、完整性。
第四条 本指引中所涉及的名词定义如下:
本指引中互联网是广义的互联网,不仅包括一般意义下的互联网,也包括可以与互联网进行IP报文交换的任意延伸网络,例如与互联网相连的私有网络,基于移动通讯的网络等。
网上期货业务是指期货公司通过互联网为客户提供的期货业务及其相关服务。主要包括网上交易、网上行情、数据查询、信息发布等。
网上期货信息系统是指期货公司为开展网上期货业务所采用的由计算机设备、网络设备、软件及专用通讯线路等构成的信息系统,包括网上期货客户端、网上期货服务端。
网上期货客户端是指网上期货信息系统中客户使用的计算机设备、网络设备及其软件,一般用于获得交易、行情、资讯等服务。
网上期货服务端是指网上期货信息系统中期货公司用于提供交易、行情、资讯等业务接入的计算机设备、网络设备、软件及专用通讯线路等(包括网站)。
第三方:是指除期货公司及其客户以外的其他方。
第二章 基本要求
第五条 期货公司网上期货信息系统的核心服务器以及记录和存储客户信息和交易数据的设备,应当设置在中华人民共和国境内。
第六条 期货公司网站应在当地通信管理局办理ICP许可证,在网站首页公布ICP许可证号,并提供客户查询网站备案信息的链接。
第七条 期货公司的网上期货信息系统应自主运营、自主管理。如涉及第三方的,必须与第三方签订保密协议和服务保障协议,并明确责任,采取措施防止通过第三方泄露客户信息。期货公司应负责管理与客户资金账户、身份识别、交易记录等有关的数据、程序和系统。
第八条 期货公司在开展网上期货业务时应设置适当的技术和业务管理岗位,明确岗位职责并配备合格的技术和业务管理人员。
第九条 期货公司应将网上期货业务风险管理纳入本机构风险管理的总体框架之中,并应根据网上期货业务的运营特点,建立健全网上期货业务风险管理和内部控制体系。
第十条 期货公司应当在与客户签订的服务合同(网上期货服务合同或期货经纪合同)中载明,客户使用网上期货业务可能面临的风险、期货公司采取的风险控制措施、客户应采取的风险控制措施以及相关风险对应的责任承担。
第十一条 加强安全信息提示
(一)期货公司应在客户下载网上交易软件和登录网上交易系统时,充分揭示使用网上交易方式可能面临的风险和客户应采取的风险防范措施。如防止用于网上交易的计算机或手机终端感染木马、病毒,以免被恶意程序窃取口令;加强账号、口令的保护,不使用简单口令、定期修改口令、输入口令时防止他人偷看、不对他人泄露口令等。
(二)期货公司应提供预留验证信息服务,在客户进行登录时向客户进行显示,帮助客户有效识别仿冒的网上期货信息系统,防范利用仿冒的网上期货信息系统进行诈骗活动。
第十二条 增强网上交易软件的安全防护能力
(一)期货公司应当采取安全的方式向客户提供网上期货客户端软件。通过网站提供给客户下载的软件应当采取校验、监控等防篡改、防木马和病毒的措施。
(二)网上期货信息系统通过互联网传送的客户信息、交易指令及其他重要信息必须采取加密措施进行数据传输,加密措施应具备足够的加密强度和抗攻击能力。
第十三条 期货公司应提供可靠的用户身份认证机制,支持网上期货客户端采用多种认证方式与服务端进行身份认证。
(一)网上期货客户端除采用输入账号、口令、验证码的身份认证方式之外,还应提供一种以上强度更高的身份认证方式供客户选择采用,如客户端电脑或手机特征码绑定、数字证书、动态口令等身份认证方式。
(二)用户身份认证信息应当在服务器上加密存放。客户的账号、口令等身份信息不可明文存放在数据库表或配置文件中。
第十四条 网上期货服务端应能产生、记录并集中存储必要的日志信息,如客户的身份信息、交易信息和IP地址等。
第十五条 期货公司应对网上期货服务端的各个子系统合理划分安全域,在不同安全域之间进行有效的隔离,在网上期货客户端与服务端系统之间必须进行严格有效的隔离。期货公司还应根据网上期货信息系统实际部署及技术发展情况及时对安全控制措施进行检查、测试和调整优化,以保证安全措施的持续有效和及时更新。
第十六条 期货公司应具备对网上期货信息系统进行实时监控和防范非授权访问的功能或设施,建立有效的外部攻击侦测机制和防范策略,并能妥善保存网上期货信息系统的关键软件(如网络操作系统、数据库管理系统、网络监控系统)的日志文件和审计记录。
第十七条 期货公司通过移动通信网络开展网上期货业务时应认真评估系统供应商的资质,检查其技术安全方案并留档备查。
第十八条 期货公司提供给客户使用的网上行情和资讯信息应有合法的来源。应至少提供两套不同的网上行情系统,且行情服务器应放置于至少两个不同的机房内,以供客户选择使用或互为备份。
第十九条 对采取外包定制网上期货信息系统方式的,期货公司在选择确定外包商前应进行尽职调查。期货公司应与外包商签署服务协议,以保障外包的网上期货信息系统的安全运行和数据安全。
第二十条 期货公司网上期货信息系统的开发人员、开发环境应与运营人员、生产环境分离。开发人员未经运营人员授权不得访问、修改网上期货信息系统。
第二十一条 网上期货信息系统应充分考虑不同互联网运营商的互联瓶颈,确保局部灾难或灾害发生时,系统对外服务质量和能力不受影响。
第二十二条 期货公司应加强与网上期货信息系统相关的安全技术培训,保持技术人员安全技术知识的持续更新和安全管理水平的不断提高。
第三章 主要安全威胁及防范措施
第二十三条 目前网上期货信息系统所受到的主要安全威胁包括但不限于:
(一)端口漏洞攻击;
(二)口令攻击;
(三)注入式攻击;
(四)溢出攻击;
(五)木马程序;
(六)拒绝服务攻击;
(七)病毒攻击;
(八)垃圾邮件攻击;
(九)非授权访问攻击;
(十)内容篡改攻击;
(十一)信息偷窃;
(十二)业务行为抵赖;
(十三)跨站脚本和协议追踪攻击等。
第二十四条 端口漏洞攻击是指利用系统软件或者应用软件通讯程序的漏洞,控制、影响服务端的进程或者窃取服务端的数据。应对端口漏洞攻击的办法主要有:
(1)在服务端,关闭非业务所必需的网络端口,包括停止这些端口上的服务程序。
(2)服务端应避免在业务运行中使用可能存在安全漏洞的系统服务。尽量关闭telnet、ftp、smtp、pop3、snmp、rpc、windows terminal等服务。内部的远程管理可以使用ssh这类安全的工具。尽量关闭外部的远程管理端口。
(3)应当及时了解操作系统、数据库系统、中间件系统和应用系统程序的补丁程序,及时评估并进行必要的更新。
(4)应当在服务器外侧安装防火墙设备,并设定恰当的安全策略,对外关闭所有业务不需要的端口。特别是对外关闭数据库的服务端口。
(5)采用自行开发和外包开发的软件,在可能的情况下,请非原开发人员对代码进行走查和扫描,发现并清除可能隐藏的漏洞。
(6)尽量避免在服务器上安装或者开放新的服务功能,以防止新服务可能存在的漏洞影响现有服务的安全运行。
(7)在每次系统安装、升级、重新配置或者运行一定时间后,应采用扫描工具对系统进行全面端口漏洞扫描。
第二十五条 口令攻击通过在正常的口令验证过程中,采用猜测口令,或者通过程序反复尝试口令,以骗取进入系统的权力。应对口令攻击的办法主要有:
(1)严禁使用空口令、与用户名相同的口令。
(2)不允许用户使用弱口令登录,在可能的情况下,可根据用户的输入自动生成高强度口令。
(3)对于操作系统、数据库系统等,打开口令复杂度检查机制,保证口令的复杂度。
(4)对于应用系统,尽量提供口令复杂度检查功能。
(5)对于应用系统,错误登录后进行延时控制,多次错误登录后锁定用户。
(6)对于基于Web的应用系统的登录页面,使用图像识别码。
(7)在可能的情况下,要求定期更改口令。
第二十六条 注入式攻击是指在用户提交业务请求时,通过输入特定的内容,改变原程序设计时的意愿,以获取其不应当得到的数据库或者文件内容。这种攻击一般都是利用程序中使用拼字符串的方式产生数据库或者操作系统指令。应对注入式攻击的办法主要有:
(1)对所有提交的业务输入数据,采用过滤器予以过滤。过滤内容应当包括所有业务不需要,又容易被利用来注入的字符串,例如单引号、双引号、SQL关键字等。
(2)服务端软件在访问数据库时,尽量避免采用动态SQL,而是使用固定的SQL,再将输入的参数绑定入SQL的方式。
(3)服务端软件尽量避免外部调用程序,特别是避免调用的参数是基于用户输入的动态字符串,应尽量使用基本的系统调用完成各项功能。
(4)定期检查WEB服务器访问日志,及时排查可疑的数据库访问记录。
(5)服务端软件在操作系统上运行时,尽量使用得到最小授权的普通用户,避免使用超级用户;服务器端软件连接数据库时,尽量使用按照业务需要得到最小授权的普通数据库用户,不要使用数据库管理员账户(DBA)。
第二十七条 溢出攻击是指通过在提交业务请求时,通过输入超过设计长度的请求,造成服务端的溢出,进而改变服务器软件的运行效果,以破坏服务器的运行,或者获得服务器的控制权。应对溢出攻击的办法主要有:
(1)对于各项业务输入的数据都进行长度限制检查。此种检查除需在客户端进行外,还应尽可能在服务端进行。
(2)对于各项业务输入数据中的枚举项,都进行合法性检查。此种检查除需在客户端进行外,还应尽可能在服务端进行。
(3)尽可能安装使用入侵检测系统,检测缓冲区溢出攻击,阻止可能存在的缓冲区溢出漏洞被攻击者利用。
第二十八条 木马程序是指被植入代码的,以截取或者骗取用户的关键性信息为目的的用户端程序。应对木马程序的办法主要有:
(1)对于下载的客户端程序,采用监控工具,定时地自动下载,检查是否遭到破坏。
(2)对于下载客户端程序的Web服务器,注意关闭其目录浏览功能,关闭put功能。
(3)对于提供下载客户端程序功能的页面,不要将下载地址直接作为该页面URL的参数,以避免网页的欺骗。
(4)客户端程序可以考虑采用自校验功能,例如对自身程序使用单向算法处理后,提交给服务端验证。
第二十九条 拒绝服务攻击是指对服务端发出大量的无意义的服务请求、畸形访问或半连接,使服务器缺乏足够的计算能力或者网络带宽以响应正常服务请求。应对服务失效攻击的办法主要有:
(1)各项重要服务要有足够的性能和带宽,可以应付小规模的服务失效攻击。
(2)适当增强操作系统TCP/IP协议栈性能,以提升服务器网络性能。
(3)尽量采用多个独立的服务器,使用多个独立的互联网接入端口同时提供服务,以减少被同时攻击的可能性。
(4)各项重要的服务都应有前端的通讯服务器接受请求,而不应由业务服务器直接接受请求。通讯服务器应当实现流量控制,防止单个连接或者单个IP的过大访问量,对于明显不合理的请求应当立即予以中断。
(5)在服务器之前安装防火墙设备,启用流量攻击检测功能。
(6)对于网站,对外尽量使用静态页面。
(7)必要时可以考虑关闭ping功能,防止ping攻击(但采用此措施将丧失一定的监控能力)。
第三十条 病毒攻击是指通过病毒的传播,破坏服务端的操作系统的正常运行。应对病毒攻击的办法主要有:
(1)在可能的情况下,尽量使用基于unix/linux操作系统的服务器。
(2)所有的服务器全部专用化,不使用服务器进行收取邮件、浏览互联网等客户端操作。
(3)所有的windows服务器应当全部安装防病毒软件并及时更新病毒库。应定期进行完整的病毒扫描。应注意在每次病毒库的更新时进行系统测试以避免新的病毒库与应用系统产生冲突。
第三十一条 垃圾邮件攻击是指利用邮件服务器转发垃圾邮件,造成服务器性能大大降低以及邮件地址被列入黑名单等影响。应对垃圾邮件攻击的办法主要有:
(1)将所有不需要使用的邮件服务器全部关掉。
(2)在需要使用的邮件服务器上,启用一定的安全控制策略,例如从外网只能发送指定目的地址或者源地址的邮件。
(3)在邮件服务器外部安装防火墙,启用垃圾邮件拦截功能。
第三十二条 非授权访问攻击是指非授权用户访问了系统服务,或者用户使用了非授权的业务功能。应对非授权攻击的办法主要有:
(1)对于所有需要授权使用的业务系统,都至少采用静态口令方式进行身份验证。对于重要的业务系统,例如交易、结算数据发布等,尽量采用更高级别的认证方式,例如数字证书、动态口令等,也可将上述方式组合为双因素认证方式。发放静态口令、证书、动态口令等识别信息时,应采取管理机制,防止被中间截取。
(2)在可能的情况下,对基于互联网的客户端进行IP地址认证,基于移动通讯的客户端进行电话号码认证。
(3)主要业务系统应当建立用户授权体系,并严格管理每个用户的权限。应当建立权限的台帐并定期予以检查,确保最小授权原则。
(4)对于特别重要的业务服务(如期货出入金等业务)应进行复核,既可防范错误,也可防止攻击。
(5)各个服务系统应当详细地记录所有用户的登录信息以及用户进行的重要操作,以便日后进行审计。
(6)对于重要的业务系统,可以在每次用户登录时提供用户上一次成功登录的日期、时间、方法、位置、错误登录等信息,以便用户及时发现可能的问题。
(7)重要的客户端程序应当具备自动锁屏功能。
(8)重要的基于Web的应用应当设置会话超时断线功能。
第三十三条 跨站脚本和协议追踪攻击是指攻击者通过在URL中加入特定的指令,构造恶意html代码,当用户浏览该页面时,嵌入的html代码会被执行,从而达到恶意用户的特殊目的,应对这种攻击的办法主要有:
(1)关闭web服务器的trace方法
(2)对用户的输入进行严格验证,替换或者过滤掉可能引起跨站攻击的字符串(如:<、>、(、)、’、%等)。
第三十四条 内容篡改攻击是指通过修改服务端文件或者数据库内容的方式,篡改发布给用户的信息以产生误导。尤以网站受到此种攻击为甚。应对内容篡改攻击的办法主要有:
(1)在服务端安装篡改侦测系统,定期检查对于内容发布起主要作用的文件和数据库内容,当发生修改时予以报警、停止或者内容退回。此种检查可以通过对上述文件和数据库内容使用摘要算法予以处理,然后与内部存储的摘要值进行核对。
(2)在客户端安装篡改侦测系统,定期访问系统,当内容发生修改时,立即予以报警。
第三十五条 信息偷窃是指利用网络通讯的过程,或者利用客户端程序,窃取重要的认证或者业务数据。应对信息偷窃的办法主要有:
(1)对于重要的业务系统采用加密的方式实现服务端和客户端的通讯。
(2)可以采用服务端数字证书等方式向客户端证明服务端的真实性,防止服务欺骗。
(3)网上期货客户端在本地计算机存储客户账号、口令、交易数据等重要信息时,应提示客户,经客户确认后以加密方式存储。
第三十六条 业务行为抵赖是指用户在通过互联网络完成某项业务操作后,事后予以否认意图规避可能的损失。应对业务行为抵赖的办法主要有:
(1)应当与用户签订相关协议,规定认定用户操作的方法。
(2)对于用户的各项操作建立详细的操作日志,以便查询和审计。
(3)对于关键性的操作,可以考虑采用数字签名等手段,并将签名信息予以保存,以便用于以后的审计。
第三十七条 在应对上述安全威胁的基础上,期货公司还应根据安全防范新技术的应用以及新的安全威胁情况及时调整更新和不断加强网上期货信息系统安全策略和安全管理。
第四章 运营管理
第三十八条 期货公司应建立监控系统,采取自动和人工相结合的方式加强对网上期货信息系统的监控,并对客户的登录、交易和转账活动进行监控和限制,发现登录行为异常,委托方式、品种、价格、数量、频率异常和转账行为异常时,应通过短信、电话等方式及时提示客户。监控和处置情况应形成记录备查。
第三十九条 加强安全访问控制,在防火墙、应用服务器等设备上关闭与业务无关的服务及端口,建立业务服务及端口明细表,并及时更新,作为重要文档保存。对新上线的服务器的服务和端口以及需在防火墙上开放的端口应根据业务实行审核和批准制度,并留档备查。
第四十条 期货公司应对网络流量和应用系统健康状况进行实时监控和事后安全审计,每天对防火墙、入侵检测系统或入侵防护系统、应用服务器日志进行检查和分析,及时发现不法分子对网上信息系统的攻击行为。检查分析报告应留档备查。
第四十一条 期货公司应建立对网站内容发布的审核、管理和监控机制,对网页内容进行监控,对有害信息进行过滤,防止网站出现不良信息。
第四十二条 期货公司应尽可能使用统一的网上期货服务电话、域名、短信号码等,并应在与客户签订的协议中明确客户使用网上期货业务的正确途径、故障处理办法、联系方式。
第四十三条 期货公司应落实安全责任,对网上期货信息系统的管理和操作应有明确的权限规定、责任划分和操作流程。应对网上期货信息系统中的账户进行严格管理,账户权限应按最小权限原则设置,清除所有冗余账户,严格限制管理员账户的使用,禁止用最高权限账户执行一般操作。应对操作记录如实记录并妥善保管。
第四十四条 网上期货信息系统各环节必须有可靠的热备或冷备措施,保证整个系统的高可用性。网上期货信息系统的互联网接入带宽、网络设备、系统设备、应用软件处理能力等应有足够的余量,能应对可能出现的突发峰值,防止一定程度的拒绝服务攻击。期货公司应对其网上期货信息系统服务能力进行及时评估并能及时扩容。评估报告和扩容方案应留档备查。
第四十五条 期货公司应建立网上期货业务数据备份和恢复机制,该机制应纳入公司整体业务数据备份和恢复机制中。期货公司应及时对网上期货信息系统中变化的配置参数、系统日志等重要数据进行备份,并记录操作日志。
第四十六条 期货公司应建立严格的变更管理流程,在对网上期货信息系统的上线或重大版本升级时,应事先制定详细的升级方案,并进行相应的安全测试和评估。升级方案和测试报告应留档备查。
期货公司对网上期货信息系统进行测试、维护和升级应选择在非交易时间进行,需要暂时停止提供网上期货业务服务时,应至少提前三天对客户进行公告,如因非期货公司自身原因无法做到提前三天公告的应至少提前一天进行公告,公告中应明确说明暂停的开始时间和恢复时间。
第四十七条 当期货公司网上期货信息系统出现安全事故时应及时向中国期货业协会报告,必要时还应向公安部门报案。
第四十八条 期货公司发现假冒网上期货信息系统的非法活动后,应及时向公安部门报案。同时应通过公司网站、电话语音提示系统或短信平台等多种渠道提醒客户注意。有关情况应及时书面报告中国期货业协会。
第五章 应急处置
第四十九条 期货公司应制定切实可行的网上期货信息系统应急处置预案。该预案应纳入公司总体应急处置预案体系中。应急处置预案应遵循统一领导、快速响应、协调配合、最小损失的原则。
第五十条 网上期货信息系统应急处置预案应包含针对设备故障、通信中断、电力中断、应用软件故障、误操作、病毒攻击、网络攻击、自然灾害等情况的应急操作流程或步骤,至少每半年进行一次演练,并留存演练记录备查。
第五十一条 期货公司网上期货信息系统应急处置预案的演练应纳入公司整体性应急处置预案演练中,公司整体性应急处置预案演练必须包含网上期货信息系统应急处置预案部分。期货公司还可根据实际需要对网上期货信息系统及其各子系统进行局部性应急演练。
第五十二条 若启动应急处置预案将对客户接受网上期货业务服务产生较大影响,期货公司应及时向客户公告。
第六章 附则
第五十三条 本指引由中国期货业协会负责解释。
第五十四条 本指引自发布之日起施行。 | 
