1、zuo關(guān)于發(fā)布證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引的通知各證券公司會員：為促進(jìn)證券公司網(wǎng)上證券業(yè)務(wù)健康有序發(fā)展，保障網(wǎng)上證券業(yè)務(wù)系統(tǒng)的安全、可靠、高效運(yùn)行，提高行業(yè)信息化水平，保護(hù)投資者的合法權(quán)益，我會制定了證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引，并經(jīng)理事會表決通過，現(xiàn)予發(fā)布，請參照執(zhí)行。附：證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引 二九年六月二十三日證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引第一章總則第一條 為保障網(wǎng)上證券信息系統(tǒng)的安全、可靠、高效運(yùn)行，促進(jìn)證券公司在網(wǎng)上開展的證券業(yè)務(wù)健康有序發(fā)展，保護(hù)投資者的合法權(quán)益，依據(jù)中華人民共和國電子簽名法、中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保

2、護(hù)管理辦法等相關(guān)法律法規(guī)制定本指引。第二條 本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的證券公司。第三條 網(wǎng)上證券信息系統(tǒng)是證券公司在網(wǎng)上開展證券業(yè)務(wù)活動中所采用的由相關(guān)網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)設(shè)備、軟件及專用通訊線路等構(gòu)成的信息系統(tǒng)，包括網(wǎng)上證券服務(wù)端、客戶端和門戶網(wǎng)站。第四條 證券公司利用網(wǎng)上證券信息系統(tǒng)開展證券業(yè)務(wù)應(yīng)遵循如下基本原則： （一）安全性原則：網(wǎng)上證券信息系統(tǒng)的建設(shè)應(yīng)提高風(fēng)險防范意識，保證在網(wǎng)上開展證券業(yè)務(wù)的安全性。通過技術(shù)措施和管理手段，實(shí)現(xiàn)信息的保密性、完整性和服務(wù)可用性。（二）系統(tǒng)性原則：網(wǎng)上證券信息系統(tǒng)的安全建設(shè)應(yīng)覆蓋安全保障體系的各個方面，包括：安全體系建設(shè)、證券業(yè)務(wù)在網(wǎng)上的開

3、展、網(wǎng)絡(luò)和系統(tǒng)安全、應(yīng)用系統(tǒng)安全、運(yùn)維和安全保障、災(zāi)難恢復(fù)和應(yīng)急措施等。（三）可用性原則：網(wǎng)上證券信息系統(tǒng)的建設(shè)應(yīng)在保障安全的原則下，確保在網(wǎng)上開展的證券業(yè)務(wù)的連續(xù)性和可靠性。第五條 中國證券業(yè)協(xié)會對證券公司執(zhí)行本指引的情況進(jìn)行指導(dǎo)和督促。第二章基本要求第六條 證券公司對網(wǎng)上證券信息系統(tǒng)應(yīng)統(tǒng)一規(guī)劃、集中管理，保證在網(wǎng)上開展證券業(yè)務(wù)安全、有序發(fā)展。第七條 證券公司應(yīng)制定在網(wǎng)上開展證券業(yè)務(wù)的各項(xiàng)安全管理制度，對安全管理目標(biāo)、安全管理組織、安全人員配備、安全策略、安全措施、安全培訓(xùn)、安全檢查、系統(tǒng)建設(shè)、運(yùn)行管理、應(yīng)急措施、風(fēng)險控制、安全審計(jì)等方面作出規(guī)定。第八條 證券公司應(yīng)根據(jù)在網(wǎng)上開展證券業(yè)務(wù)特性

4、，設(shè)立相應(yīng)的管理職能崗位，明確在網(wǎng)上開展證券業(yè)務(wù)管理的責(zé)任，配備合格、足夠的管理人員和技術(shù)人員，包括安全管理員、安全審計(jì)員等。第九條 證券公司應(yīng)將在網(wǎng)上開展證券業(yè)務(wù)的風(fēng)險管理納入證券公司風(fēng)險控制工作范圍，建立健全網(wǎng)上證券風(fēng)險控制管理體系。第十條 對在網(wǎng)上開展證券業(yè)務(wù)的審計(jì)應(yīng)納入證券公司的審計(jì)工作范圍。第十一條 證券公司網(wǎng)上證券信息系統(tǒng)應(yīng)部署在中華人民共和國境內(nèi)，滿足技術(shù)審計(jì)、監(jiān)管部門現(xiàn)場檢查及中國司法機(jī)構(gòu)調(diào)查取證等要求。部署網(wǎng)上證券信息系統(tǒng)的有形場所，應(yīng)符合國家安全標(biāo)準(zhǔn)的有關(guān)要求。第十二條 證券公司應(yīng)當(dāng)與投資者簽訂網(wǎng)上證券服務(wù)協(xié)議或合同，明確雙方的權(quán)利、義務(wù)和相關(guān)風(fēng)險的責(zé)任承擔(dān)，向投資者充分揭

5、示使用網(wǎng)上證券信息系統(tǒng)可能面臨的風(fēng)險、證券公司已采取的風(fēng)險控制措施和客戶應(yīng)采取的風(fēng)險防范措施。第十三條 證券公司應(yīng)通過多種方式揭示使用網(wǎng)上交易方式可能面臨的風(fēng)險和客戶應(yīng)采取的風(fēng)險防范措施，提醒投資者加強(qiáng)賬號、口令的保護(hù)工作，建議投資者定期修改口令、增強(qiáng)口令強(qiáng)度、防止口令泄露、防止用于網(wǎng)上交易的計(jì)算機(jī)或手機(jī)終端感染木馬、病毒等，并根據(jù)投資者需要開啟或關(guān)閉網(wǎng)上交易方式。第十四條 證券公司應(yīng)盡可能使用統(tǒng)一的網(wǎng)上證券服務(wù)電話、域名、短信號碼等，并應(yīng)在與投資者簽訂的協(xié)議或合同中明確告知客戶使用網(wǎng)上證券信息系統(tǒng)的合法途徑、意外事件的處理辦法，以及證券公司聯(lián)系方式等。第十五條 證券公司的網(wǎng)上證券信息系統(tǒng)應(yīng)自

6、主運(yùn)營、自主管理。如涉及第三方（指除證券公司及其客戶以外的任何一方），應(yīng)與第三方簽訂保密協(xié)議和服務(wù)級別協(xié)議，并明確責(zé)任，采取措施防止通過第三方泄露用戶信息。第十六條 證券公司通過網(wǎng)上證券信息系統(tǒng)向客戶提供證券交易的行情信息，應(yīng)提示行情源；如向客戶提供證券信息，應(yīng)說明信息來源，并提示投資者對行情信息及證券信息等進(jìn)行核實(shí)。第十七條 證券公司應(yīng)對網(wǎng)上證券信息系統(tǒng)的各個子系統(tǒng)合理劃分安全域，在不同安全域之間進(jìn)行有效的隔離，保障網(wǎng)上證券信息系統(tǒng)的接入系統(tǒng)與其后臺系統(tǒng)在技術(shù)上進(jìn)行有效隔離，后臺系統(tǒng)應(yīng)與行情、資訊處理系統(tǒng)進(jìn)行網(wǎng)絡(luò)隔離，并應(yīng)部署在證券公司可控的物理安全域內(nèi)。第十八條 證券公司應(yīng)在兩個以上的物理

7、地點(diǎn)建立網(wǎng)上證券信息系統(tǒng)，互為備份，并應(yīng)具備2個或2個以上不同運(yùn)營商的互聯(lián)網(wǎng)接入，避免在同一運(yùn)營商的線路接入上出現(xiàn)單點(diǎn)故障和瓶頸，同時應(yīng)充分考慮不同互聯(lián)網(wǎng)運(yùn)營商的互聯(lián)瓶頸問題，確保局部故障或?yàn)?zāi)難發(fā)生時，系統(tǒng)能繼續(xù)對用戶提供服務(wù)。第十九條 對于外包定制的網(wǎng)上證券信息系統(tǒng)，證券公司應(yīng)與軟件開發(fā)商簽署服務(wù)協(xié)議和保密協(xié)議，明確客戶端、服務(wù)端以及數(shù)據(jù)傳輸過程均無后門，明確軟件開發(fā)商應(yīng)用軟件中使用的插件具備合法版權(quán)，以確?？蛻魯?shù)據(jù)、交易資料不被泄漏，保障證券公司的權(quán)益。第三章門戶網(wǎng)站第二十條 證券公司門戶網(wǎng)站指證券公司建立的實(shí)現(xiàn)信息發(fā)布、業(yè)務(wù)咨詢、營銷推廣、客戶服務(wù)和投資者教育等功能的網(wǎng)站。第二十一條 證

8、券公司門戶網(wǎng)站應(yīng)當(dāng)按照國家主管部門的有關(guān)規(guī)定辦理網(wǎng)站備案，并提供備案信息的鏈接。第二十二條 證券公司應(yīng)定期對網(wǎng)站程序代碼進(jìn)行全面檢查和評估，并及時修補(bǔ)，避免各種漏洞的存在。第二十三條 證券公司應(yīng)在門戶網(wǎng)站部署防篡改系統(tǒng)，當(dāng)網(wǎng)站上的頁面內(nèi)容、提供給投資者下載的客戶端軟件及其它文件被異常修改時，能自動告警或自動恢復(fù)，防止被捆綁木馬程序。第二十四條 與核心交易業(yè)務(wù)有關(guān)的客戶資料、交易數(shù)據(jù)等客戶敏感數(shù)據(jù)不得存放在門戶網(wǎng)站數(shù)據(jù)庫中。網(wǎng)上客戶業(yè)務(wù)處理的日志應(yīng)單獨(dú)存放。第二十五條 在證券公司門戶網(wǎng)站中客戶賬號及口令，應(yīng)采用加密方式傳輸，并最低達(dá)到SSL協(xié)議128位的加密強(qiáng)度。第二十六條 證券公司應(yīng)該建立對門

9、戶網(wǎng)站內(nèi)容發(fā)布的審核、管理和監(jiān)控機(jī)制，對網(wǎng)頁內(nèi)容進(jìn)行監(jiān)控，對有害信息進(jìn)行過濾，防止網(wǎng)站出現(xiàn)不良信息。第四章 網(wǎng)上證券客戶端第二十七條 網(wǎng)上證券客戶端是指證券公司通過互聯(lián)網(wǎng)向本公司開戶的客戶提供的用于查看行情、檢索資訊、交易委托等的應(yīng)用程序，包括基于計(jì)算機(jī)和手機(jī)等終端的前端軟件。第二十八條 網(wǎng)上證券客戶端應(yīng)提供技術(shù)手段協(xié)助用戶檢查、清除木馬等惡意程序，并提供驗(yàn)證碼、強(qiáng)制口令圖形鍵盤、安全的口令輸入安全控件、客戶端電腦或手機(jī)特征碼綁定、軟硬件證書、動態(tài)口令等多種用戶認(rèn)證方式，防范不法分子利用木馬等黑客程序竊取客戶賬號和口令信息，進(jìn)行證券盜買盜賣非法活動。第二十九條 網(wǎng)上證券客戶端應(yīng)具備反調(diào)試能力。

10、第三十條 網(wǎng)上證券客戶端的客戶身份信息和交易數(shù)據(jù)等重要數(shù)據(jù)傳輸應(yīng)采用國家信息安全機(jī)構(gòu)認(rèn)可的加密技術(shù)和加密強(qiáng)度，并最低達(dá)到SSL協(xié)議128位的加密強(qiáng)度。第三十一條 網(wǎng)上證券客戶端應(yīng)能向客戶提示最近一次登錄的日期、時間、地址等信息。第三十二條 網(wǎng)上證券客戶端應(yīng)能在指定的閑置時間間隔到期后，自動鎖定客戶端的使用。第三十三條 網(wǎng)上證券客戶端應(yīng)具有唯一連接到本證券公司網(wǎng)上證券接入系統(tǒng)的保障機(jī)制。網(wǎng)上證券客戶端應(yīng)提供足夠的識別信息，以保證網(wǎng)上證券服務(wù)端能夠?qū)Πl(fā)出連接請求的客戶端與證券公司所提供下載的程序進(jìn)行一致性驗(yàn)證。第三十四條 當(dāng)客戶訪問網(wǎng)上證券服務(wù)端時，未經(jīng)客戶許可，不得以任何方式在客戶端系統(tǒng)中安裝插

11、件。第三十五條 網(wǎng)上證券客戶端在本地計(jì)算機(jī)儲存客戶賬戶、交易數(shù)據(jù)等重要信息，應(yīng)提示客戶，經(jīng)客戶確認(rèn)后以加密方式存儲。第五章 網(wǎng)上證券服務(wù)端第三十六條 網(wǎng)上證券服務(wù)端是指證券公司通過互聯(lián)網(wǎng)向客戶提供網(wǎng)上交易、網(wǎng)上行情、數(shù)據(jù)查詢等服務(wù)的信息系統(tǒng)，包括互聯(lián)網(wǎng)接入子系統(tǒng)、安全防護(hù)與監(jiān)控子系統(tǒng)、應(yīng)用服務(wù)子系統(tǒng)、身份認(rèn)證子系統(tǒng)和后臺隔離子系統(tǒng)。第三十七條 證券公司應(yīng)提供預(yù)留驗(yàn)證信息服務(wù)，在客戶登錄時向客戶顯示預(yù)留的驗(yàn)證信息，幫助客戶識別仿冒的網(wǎng)上證券信息系統(tǒng)，防范不法分子利用仿冒的網(wǎng)上證券信息系統(tǒng)進(jìn)行詐騙活動或盜取用戶賬號、口令等信息。第三十八條 證券公司應(yīng)提供可靠的用戶身份認(rèn)證機(jī)制，支持網(wǎng)上證券客戶端采

12、用多種認(rèn)證方式與服務(wù)端進(jìn)行身份認(rèn)證。除輸入賬戶名、口令、驗(yàn)證碼的身份認(rèn)證方式之外，還應(yīng)向客戶提供一種以上強(qiáng)度更高的身份認(rèn)證方式，如，客戶端電腦或手機(jī)特征碼綁定、軟硬件證書、動態(tài)口令等認(rèn)證方式，確認(rèn)網(wǎng)上交易客戶的身份和登錄的合法性，防止非法接入。用戶身份認(rèn)證信息應(yīng)當(dāng)在服務(wù)器上加密存放。第三十九條 證券公司應(yīng)提供可靠的訪問控制和權(quán)限管理機(jī)制，防止客戶的授權(quán)被惡意提升或轉(zhuǎn)授，防止客戶使用未經(jīng)授權(quán)的功能，防止客戶進(jìn)行訪問未經(jīng)授權(quán)的數(shù)據(jù)等非法訪問活動。第四十條 網(wǎng)上證券信息系統(tǒng)采用的認(rèn)證授權(quán)和加密體系應(yīng)通過國家信息安全機(jī)構(gòu)的安全性測評，具備足夠的強(qiáng)度和抗攻擊能力，并根據(jù)在網(wǎng)上開展證券業(yè)務(wù)的安全性需要和信

13、息技術(shù)的發(fā)展，定期檢查、評估和及時調(diào)整。第四十一條 網(wǎng)上證券信息系統(tǒng)未經(jīng)證券公司授權(quán)不得與第三方進(jìn)行任何形式的數(shù)據(jù)交換，并具備經(jīng)過認(rèn)證后僅向授權(quán)的第三方指定地址發(fā)送信息的功能。第四十二條 證券公司應(yīng)保證網(wǎng)上證券數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性、真?shí)性和可稽核性，對網(wǎng)上交易委托的客戶信息、交易指令及其他敏感信息進(jìn)行可靠的加密，加解密應(yīng)在投資者與證券公司實(shí)際控制的設(shè)備中進(jìn)行，不得存在任何中間環(huán)節(jié)對數(shù)據(jù)進(jìn)行加解密。第四十三條 網(wǎng)上證券服務(wù)端應(yīng)防止用戶使用簡單口令，應(yīng)能夠抵御連續(xù)猜測等對客戶賬戶惡意攻擊行為。第四十四條 網(wǎng)上證券服務(wù)端應(yīng)對不完整、被篡改、重發(fā)的數(shù)據(jù)包進(jìn)行監(jiān)控，對登錄、委托方式、品種、價格、數(shù)量

14、、操作頻率、轉(zhuǎn)賬等異常行為進(jìn)行跟蹤、監(jiān)控和限制，記錄其賬號、IP地址等相關(guān)信息，并通過短信、電話等方式及時提示客戶，必要時進(jìn)行用戶臨時鎖定。監(jiān)控和處置情況應(yīng)形成記錄備查。第四十五條 網(wǎng)上證券服務(wù)端應(yīng)能監(jiān)控并避免攻擊者通過群體大規(guī)模對合法證券賬戶進(jìn)行非法用戶登陸的請求，導(dǎo)致大量用戶賬戶被異常鎖定，正常用戶無法登陸。第四十六條 網(wǎng)上證券服務(wù)端應(yīng)能在指定的時間間隔到期后，自動中止用戶對系統(tǒng)的訪問權(quán)。第四十七條 網(wǎng)上交易服務(wù)端應(yīng)能產(chǎn)生、記錄并集中存儲必要的日志信息，其中應(yīng)包含能識別服務(wù)請求方身份的內(nèi)容、登錄終端的IP地址、MAC地址、手機(jī)號碼和終端特征碼等，并確保數(shù)據(jù)的可審計(jì)性，滿足監(jiān)管部門現(xiàn)場檢查要

15、求及司法機(jī)構(gòu)調(diào)查取證的要求。第四十八條 網(wǎng)上證券服務(wù)端應(yīng)能向客戶提供可證明服務(wù)端自身身份的信息，以確?？蛻裟懿轵?yàn)所使用服務(wù)的真實(shí)性。第四十九條 網(wǎng)上證券服務(wù)端應(yīng)能夠有效屏蔽系統(tǒng)技術(shù)錯誤信息，不將系統(tǒng)產(chǎn)生的錯誤信息直接反饋給客戶。第五十條 網(wǎng)上證券服務(wù)端應(yīng)能夠提供系統(tǒng)運(yùn)行健康狀況信息(如活動狀態(tài)、并發(fā)在線客戶數(shù)目、并發(fā)會話數(shù)目、線程數(shù)目、隊(duì)列長度等)、錯誤信息、安全警告等。第五十一條 基于瀏覽器的網(wǎng)上證券下單網(wǎng)頁應(yīng)當(dāng)使用HTTPS等加密方式與服務(wù)端交互，服務(wù)端應(yīng)具備防范SQL注入式攻擊、跨站腳本攻擊等網(wǎng)頁攻擊的能力，同時關(guān)閉HTTP服務(wù)器的Web遠(yuǎn)程維護(hù)功能。第六章 移動證券第五十二條 移動證券

16、指客戶通過手機(jī)或其他具備無線數(shù)據(jù)通訊能力的移動設(shè)備，經(jīng)無線公眾網(wǎng)絡(luò)獲取證券公司提供的行情信息、資訊信息服務(wù)或進(jìn)行交易、轉(zhuǎn)賬、查詢等證券自助業(yè)務(wù)。第五十三條 證券公司應(yīng)使用安全、可靠的移動證券系統(tǒng)。移動證券系統(tǒng)宜自主運(yùn)營，實(shí)現(xiàn)數(shù)據(jù)從用戶終端到網(wǎng)上證券服務(wù)端之間的加密傳送和控制，并隨著技術(shù)的發(fā)展，不斷提高加密強(qiáng)度，完善認(rèn)證算法。第五十四條 證券公司應(yīng)建立確認(rèn)機(jī)制以保證客戶獲得正確的移動證券客戶端軟件。第五十五條 移動證券客戶端應(yīng)具備一定加密強(qiáng)度的用戶認(rèn)證功能，保護(hù)客戶賬號和口令信息。第五十六條 證券公司應(yīng)在門戶網(wǎng)站或固定營業(yè)場所公告短信服務(wù)號碼、移動證券門戶網(wǎng)站地址等信息，提醒客戶防范他人利用移動

17、通訊設(shè)備進(jìn)行欺詐。第五十七條 證券公司應(yīng)根據(jù)移動證券業(yè)務(wù)的網(wǎng)絡(luò)延遲時間、鏈路穩(wěn)定狀況、信號衰減程度等風(fēng)險因素，對行情或交易數(shù)據(jù)可能出現(xiàn)明顯滯后或產(chǎn)生數(shù)據(jù)丟失的情況，事先對客戶進(jìn)行風(fēng)險提示。第七章安全管理第五十八條 證券公司網(wǎng)上證券信息系統(tǒng)的管理、開發(fā)、測試應(yīng)與運(yùn)營人員及生產(chǎn)環(huán)境分離。開發(fā)、測試和運(yùn)營人員未經(jīng)授權(quán)不得訪問、修改非職責(zé)范圍內(nèi)的網(wǎng)上證券信息系統(tǒng)。第五十九條 證券公司應(yīng)制定在網(wǎng)上開展證券業(yè)務(wù)連續(xù)性計(jì)劃，保證在網(wǎng)上開展證券業(yè)務(wù)的連續(xù)正常運(yùn)營。在網(wǎng)上開展證券業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)充分評估第三方服務(wù)供應(yīng)商對業(yè)務(wù)連續(xù)性的影響，并應(yīng)采取適當(dāng)?shù)念A(yù)防措施。第六十條 客戶使用的網(wǎng)上證券委托軟件應(yīng)由證券公司管

18、理和授權(quán)發(fā)布，證券公司應(yīng)對其授權(quán)第三方發(fā)布的證券委托軟件進(jìn)行審核、監(jiān)管。第六十一條 證券公司應(yīng)采取有效措施對門戶網(wǎng)站上提供下載的網(wǎng)上證券客戶端軟件程序進(jìn)行保護(hù)，客戶端軟件程序編譯封裝、形成下載文件后，應(yīng)安排專人對其進(jìn)行嚴(yán)格的病毒掃描和木馬檢查，并通過專用安全手段傳輸至網(wǎng)站文件下載服務(wù)器。第六十二條 證券公司網(wǎng)上證券應(yīng)用系統(tǒng)上線或重大版本升級，應(yīng)進(jìn)行安全測試和評估。第六十三條 原則上不允許通過互聯(lián)網(wǎng)對網(wǎng)上證券信息系統(tǒng)（如防火墻、網(wǎng)絡(luò)設(shè)備、服務(wù)器等）進(jìn)行遠(yuǎn)程管理和日常維護(hù)等操作，對網(wǎng)上證券信息系統(tǒng)的訪問控制應(yīng)做到： （一）關(guān)閉網(wǎng)上證券信息系統(tǒng)所有與業(yè)務(wù)和維護(hù)無關(guān)的服務(wù)及端口，嚴(yán)格控制防火墻中的權(quán)限

19、設(shè)置，確保按“最小權(quán)限原則”進(jìn)行設(shè)置；（二）對于網(wǎng)上證券信息系統(tǒng)的內(nèi)部訪問，應(yīng)嚴(yán)格限制訪問源。（三）特殊緊急情況下需要通過互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程操作時，應(yīng)通過限制登錄IP、使用數(shù)字證書或動態(tài)口令、全程監(jiān)控等措施確保安全，并在操作完成后，及時關(guān)閉相關(guān)端口。 第六十四條 證券公司應(yīng)部署有效的網(wǎng)上證券信息系統(tǒng)安全防護(hù)與監(jiān)控子系統(tǒng)，包括防火墻，防病毒、防木馬系統(tǒng)，入侵檢測系統(tǒng)或入侵防護(hù)系統(tǒng)，并正確配置。應(yīng)及時更新病毒庫，定期對系統(tǒng)進(jìn)行全面的病毒掃描，加強(qiáng)相關(guān)系統(tǒng)的日志審查工作，提高網(wǎng)上證券信息系統(tǒng)的防護(hù)能力。第六十五條 證券公司制定的安全措施，應(yīng)定期檢查、測試，并根據(jù)實(shí)際情況及時調(diào)整，保證安全措施的持續(xù)有效。

20、第六十六條 證券公司應(yīng)建立定期的網(wǎng)上證券信息系統(tǒng)安全風(fēng)險評估機(jī)制和整改的工作制度，及時發(fā)現(xiàn)SQL注入漏洞、弱口令賬戶、繞過驗(yàn)證、目錄遍歷、文件上傳、跨站腳本等系統(tǒng)存在的安全隱患和漏洞，并進(jìn)行改進(jìn)和完善。風(fēng)險評估應(yīng)通過內(nèi)部評估與外部評估相結(jié)合的方式進(jìn)行。第六十七條 安全風(fēng)險評估應(yīng)包括漏洞掃描、攻擊測試、病毒掃描、木馬檢測等，針對不同的威脅設(shè)置相應(yīng)的檢查頻率。第六十八條 證券公司應(yīng)對網(wǎng)上證券信息系統(tǒng)進(jìn)行實(shí)時監(jiān)控，建立異常事件的甄別、報(bào)警、處理和報(bào)告機(jī)制。網(wǎng)上證券信息系統(tǒng)實(shí)時監(jiān)控范圍應(yīng)包括各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備及操作系統(tǒng)、通訊線路狀態(tài)及應(yīng)用軟件等。監(jiān)控內(nèi)容包括其運(yùn)行狀況、日志內(nèi)容、安全警

21、告等，并統(tǒng)一記錄保存監(jiān)控信息，保存期至少為6個月。第六十九條 證券公司應(yīng)通過多種技術(shù)手段加強(qiáng)對投資者賬戶異動情況的監(jiān)控，如委托的方式、品種、價格、數(shù)量異常等，并及時提醒客戶，以保護(hù)客戶資產(chǎn)安全。第七十條 證券公司應(yīng)對網(wǎng)上證券信息系統(tǒng)中包括網(wǎng)絡(luò)安全設(shè)備、服務(wù)器以及應(yīng)用系統(tǒng)在內(nèi)的賬戶進(jìn)行嚴(yán)格管理，賬戶權(quán)限應(yīng)按最小權(quán)限原則設(shè)置，清除所有冗余、與應(yīng)用無關(guān)的賬戶，并嚴(yán)格限制各管理員賬戶的使用，禁止用最高權(quán)限賬戶執(zhí)行一般操作,盡量避免以最高權(quán)限賬戶運(yùn)行網(wǎng)上信息系統(tǒng)服務(wù)端應(yīng)用軟件。第七十一條 管理員賬戶和口令應(yīng)由專人負(fù)責(zé)，口令長度應(yīng)在12位以上，且含有字符和數(shù)字，區(qū)分大小寫，并定期更改。第七十二條 證券公司

22、應(yīng)嚴(yán)格限制人工對數(shù)據(jù)庫操作的賬戶權(quán)限，并應(yīng)分別使用不同權(quán)限的賬戶執(zhí)行查詢、插入、更新、刪除等操作。第七十三條 網(wǎng)上證券信息系統(tǒng)各環(huán)節(jié)應(yīng)有可靠的熱備或冷備措施，保證整個系統(tǒng)的高可用性。第七十四條 證券公司應(yīng)根據(jù)自身實(shí)際情況制訂網(wǎng)上證券信息系統(tǒng)的數(shù)據(jù)備份計(jì)劃并落實(shí)執(zhí)行。備份的數(shù)據(jù)應(yīng)包括：系統(tǒng)程序、配置參數(shù)、系統(tǒng)日志、安全審計(jì)數(shù)據(jù)、門戶網(wǎng)站信息、客戶數(shù)據(jù)等。第七十五條 證券公司應(yīng)保證備份數(shù)據(jù)的準(zhǔn)確性、完整性、可用性。備份數(shù)據(jù)的管理應(yīng)符合相關(guān)技術(shù)管理規(guī)定，有嚴(yán)格的保管、使用、檢查管理制度。第七十六條 證券公司應(yīng)當(dāng)保障網(wǎng)上證券信息系統(tǒng)運(yùn)營設(shè)施、設(shè)備以及安全控制設(shè)施、設(shè)備的安全。對重要設(shè)施、設(shè)備的接觸、檢查、維修和應(yīng)急處理，應(yīng)有明確的權(quán)限規(guī)定、責(zé)任劃分和操作流程，并建立日志文件管理制度，如實(shí)記錄并妥善保管相關(guān)記錄。第七十七條 證券公司應(yīng)定期評估可供客戶使用的網(wǎng)上證券信息系統(tǒng)的資源狀況，并根據(jù)實(shí)時監(jiān)控信息、可預(yù)見的業(yè)務(wù)發(fā)展需求進(jìn)行容量的需求預(yù)測，確保有充足的處理能力