《1.证券公司的集中交易安全系统管理系统技术指引》由会员分享,可在线阅读,更多相关《1.证券公司的集中交易安全系统管理系统技术指引(16页珍藏版)》请在金锄头文库上搜索。
1、word证券公司集中交易安全管理技术指引第一章 总如此第一条 为进一步指导证券公司集中交易系统的建设和管理,提高证券公司内控水平,有效控制风险,促进规X化与标准化建设,依据中华人民某某国证券法、证券公司管理方法、证券公司内部控制指引、证券公司信息技术管理规XJR/T 00232004和证券期货业信息安全保障管理暂行方法制定本技术指引。第二条 本技术指引所指证券公司集中交易是指以集中的网络与信息系统为技术支撑的、对证券公司各类需要通过委托、清算、交收才能完成的相关业务实行由证券公司总部直接收理的运营模式。第三条 集中交易系统应具备如下技术特征:1. 客户数据集中化:证券公司所有客户的客户资料数据
2、与交易数据全部保存在集中交易系统中,分支机构可不再保存客户资料数据与实时的交易数据; 2. 委托处理集中化:客户委托过程中,合法性校验身份认证、资金证券校验等、资金证券变动、订单申报、成交回报处理均由集中交易系统集中完成;根据业务量的需要,可采用多节点分布计算;根据业务属性的不同,业务处理可以由不同的主机完成;3. 清算、交收处理集中化:由证券公司集中统一实施盘后清算与交收的处理;4. 权限管理集中化:集中交易系统中的所有权限如经纪业务权限、清算权限、系统管理权限、日常操作权限和系统维护权限等均实行集中管理、统一授权;5. 运行管理集中化:对集中交易系统的运维工作实行集中统一管理,并配置相应的
3、集中监控处理工具;第四条 集中交易是一个完整的集中管理体系,应包含集中的授权管理、客户管理、业务管理、运营管理、技术管理以与风险管理等。第五条 对集中交易安全管理的评价,将纳入证券公司内控能力的评估,并作为证券公司相关业务资格评定的前置条件。第二章 管理组织体系第六条 证券公司应建立健全对集中交易统一管理的组织体系和配套的业务体系,业务与技术有机结合,相互支持。第七条 证券公司应设立总工程师岗位,总工程师负责集中交易系统建设项目的规划、论证、实施以与其它与集中交易相关的业务需求设计、系统开发、运营管理、技术审计、安全保障等工作的管理与组织协调。第八条 证券公司应实现技术开发与运营管理之间的相互
4、隔离。第九条 技术开发部门负责集中交易技术系统的开发和维护,其职责包括集中交易系统的设计、开发、集成并根据业务需求进展系统变更和技术支持。第十条 运营管理部门负责集中交易的具体操作,其职责包括:1.负责集中交易系统的测试、上线、操作、监控;2.负责操作岗位人员的操作权限的设定和变更;3.负责业务参数的设定和变更;4.负责对授权业务实施逐级审批;5.负责制定业务连续性计划BCP,以下简称应急预案和灾难恢复计划DRP,以下简称应急计划并组织演练,在发生突发事故时作为应急指挥中心实施应急预案和应急计划。 第十一条 证券公司内部稽核部门应对集中交易系统与其安全管理进展合规性审核、技术审计与定期风险评估
5、。第十二条 证券公司应实现集中交易业务运作与技术支持之间的相互隔离,电脑人员、会计人员之间与与其它业务人员之间职责不得相互交叉。第十三条 开展集中交易的证券公司应实现前台业务操作、中台业务管理以与后台业务支持三者之间的隔离。第十四条 对各重要岗位的人员上岗要有相应的资质要求和必要的上岗培训,对重要岗位人员建立轮岗制度和定期培训制度。第三章 机房和运行环境第十五条 实施集中交易的证券公司应建设相应的中心机房。对于将中心机房外包的证券公司,外包机房视为其中心机房。 第十六条 机房建设、机房环境、供电系统等应符合证券公司信息技术管理规XJR/T 00232004第五章“机房与设备管理的相关要求,机房
6、等级应达到电子计算机机房设计规XGB50174B类以上含B类。第十七条 中心机房监控应达到以下要求:1. 机房进出口和重要通道应安装监视系统和门禁系统;监视资料应完备、清晰,妥善存放,便于检查且保存足够长的时间;2. 安装环境监控系统和设备监控系统,对环境和设备的异常情况与时报警。第十八条 中心机房管理应达到以下要求:1. 建立人员和设备的进出管理制度;2. 实施7x24小时安全保卫值班; 3. 建立机房设备管理制度,并根据设备的运行状况定期对其进展更新和保养,提高设备的可靠性,降低故障隐患;4. 机房供电系统由专人负责管理,定期进展检修和维护;5. 对机房的照明、空调、防火、门禁等机房环境系
7、统进展定期检查,确保其处于正常工作状态;6. 严禁易燃、易爆、强磁与其它与机房工作无关的物品进入机房。第四章 网络和通信第十九条 用于集中交易系统的核心网络是公司网络的重要组成局部,应做好统一规划。对于核心网络的建设应遵循高可靠性、高安全性、高性能、可扩展性、可管理性、标准化等原如此。第二十条 核心网络的建设应达到以下要求:1. 网络承建集成商应具有国家有关部门颁发的二级以上含二级计算机信息系统集成资质证书。2. 网络设备的性能和通信带宽应保证满足业务需求;3. 网络不应存在单点故障,其交换机、路由器和防火墙应有热备份;4. 针对不同业务或应用应采取适当技术手段如交易网段和非交易网段应实现物理
8、隔离,以提高网络安全性;5. 与互联网、外联单位的连接应采用可靠的技术隔离手段如防火墙、安全网关等,以确保网络的安全。第二十一条 核心网络的管理应达到以下要求:1. 建立健全网络管理制度,采用统一的网络管理策略;2. 设置专职、双岗网络管理员,实行网络分级管理;网络管理员应具备相应的素质和技能,持有相应的某某书;3. 配备网管系统,对网络进展监控、管理和维护,重要网络设备开启日志和审计功能;4. 建立完整的网络技术文档,定期对网络设备和线路进展巡检和维护,详细记录网络故障处理过程。第二十二条 核心网络的安全应达到以下要求:1. 建立健全网络安全体系,统一制定网络安全策略,网络安全策略遵循技术保
9、护和管理保护相结合的原如此;2. 应设置专门的安全管理岗位,配备专业的安全管理人员;3. 利用成熟的网络安全技术,防止非法访问、攻击和破坏计算机网络等活动;4. 所有可配置的网络设备按最小安全访问原如此设置访问控制权限,关闭不必要的端口与服务,妥善保管和定期更换网络设备的远程访问口令; 5. 对于来自互联网的访问采用可靠的身份认证、访问控制和安全审计措施,防止非法接入和非法访问;6. 建立完善的计算机病毒防X制度:1 设置专人负责计算机病毒防X工作,统一组织和实施网络的计算机病毒防X工作;2 建立计算机病毒预警机制,严格执行病毒检测与报告措施;3 应安装经国家安全部门认证的正版网络防病毒软件;
10、4 应与时更新防病毒软件版本、杀毒引擎和病毒库;5 建立病毒监控中心,对网络内计算机感染病毒的情况进展监控。7. 定期对网络进展安全检查,发现问题,与时解决, 并记录存档。第二十三条 集中交易通信系统应达到以下要求:1. 中心机房与交易所的通信连接应做到地面线路和卫星通信相互备份,与中国证券登记结算公司的通信连接应有备份线路;2. 公司中心机房和各分支机构之间应建立多条、不同运营商、不同介质的通信通道如DDN、帧中继、卫星等,保证业务的连续性;3. 网上委托系统应根据网上委托有关方法的规定接入互联网;4. 公司应与电信运营商和设备供给商签订服务协议,做到定期检修、发现故障与时响应。第五章 系统
11、建设第二十四条 集中交易系统建设总体上至少应达到如下要求:1.项目管理过程应符合国家有关法规规定;2.系统功能应符合国家颁布的法律法规、证券市场的业务规如此和证券公司的内控要求; 3.核心局部与外围系统之间的接口定义应清晰明确、整体技术架构与数据库结构设计应便于维护;4.应按照99.99可用性和7x24小时连续性指标对集中交易系统进展整体设计;5.系统最大处理能力应达到日常实际处理量的5倍以上;6.应建立灾难备份系统,主备系统实际切换时间应少于60分钟,灾备系统处理能力应不低于主用系统处理能力的50,通信线路应分别接入主备系统。有条件时可采用主、备系统处理能力一样、轮换交替使用的双系统模式;7
12、.应配备独立的测试系统,并与交易所测试系统联网,实现完整的交易测试环境。测试系统应具有与主用系统一样的技术架构,物理上应具有与主用系统完全独立的通讯、主机与操控系统;8.安全等级应达到计算机信息系统安全保护等级划分准如此GB17859-1999三级以上含三级。第二十五条 集中交易系统系统软件的选用和管理应符合证券公司信息技术管理规X JR/T 00232004第七章7.1的要求。 第二十六条 集中交易系统应用软件的开发应符合证券公司信息技术管理规XJR/T 00232004第七章7.3的要求,并达到:1. 在系统总体设计时同步进展安全某某设计,利用成熟的安全技术确保数据的某某性、完整性、可用性
13、和可控性,对重要数据在采集、传输、使用和存储过程中进展加密,使用经国家密码管理机构认可的加密产品和加密算法; 2. 重要环节应采取冗余备份措施,如报盘系统、重要的数据库服务器和中间件服务器等。第二十七条 集中交易系统的性能和功能应达到以下要求:1. 在系统构架和功能上,保证客户端操作与数据库服务端的物理无关性;2. 具有完备的操作日志和错误报告;3. 业务数据在通信网络上以加密方式传输;4、客户口令等关键数据不得以明码存放;5. 防止异常中断后非法进入系统;6. 能防止强力试探口令,并具有超时自动锁定功能;7. 具有防止数据的重发攻击、篡改和伪造等功能;8. 建立工作站点与功能操作相关联的全面
14、安全控制机制;9. 保证系统的可扩展性与可维护性;10. 具有动态加载、卸载功能,具有实现系统不停机维护的能力;11. 提供系统运行状态监控模块;12. 提供数据接口,满足稽核、审计与技术监控等的要求。第二十八条 证券公司集中交易系统建设过程中,应实行第三方项目监理和项目审计。在系统交付使用前,应组织公司相关部门进展项目验收。第二十九条 集中交易系统的功能设计与技术实现要最大限度地符合规X化业务开展的实际需求,禁止对违规业务功能的设计与实现。对集中交易系统中的前瞻性功能,假如确需做技术模拟和前期准备的,证券公司应建立和实施严格的内部审批程序,技术上须具备禁止启用手段,并由内部稽核部门实行严密监
15、控。第六章 运行管理第三十条 应建立集中交易运营管理组织,负责集中交易系统的运行和管理。 第三十一条 设置专职的应用管理员、系统管理员、网络管理员、数据管理员和安全专员,分别负责集中交易系统的应用管理、系统管理、网络管理、数据管理和安全管理。第三十二条 集中交易系统安全管理应达到以下要求:1在系统构架上支持前台操作与后台数据的别离; 2在系统管理和业务操作的各层面建立相应的操作权限制约机制:1 实行权限集中管理,统一授权;2在权限体系中支持前台业务操作、中台业务管理与后台业务支持的别离;3某某和口令专人专用,加强对缺省某某和口令的管理;4禁止为客户设置统一的、有规律的、易猜想的初始口令;5所设置的管理员口令应具有足够的强度,由字母、数字、特殊字符等混合组成,并定期更换; 6数据安全管理应符
