证券公司网上证券信息系统技术指引(征求意见稿)

证券公司网上证券信息系统技术指引

（征求意见稿）

第一章总则

第一条为保障网上证券信息系统的安全、可靠、高效运行，促进证券公司网上开展的证券业务健康有序发展，保护投资者的合法权益，依据《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等国家相关法律法规，以及《证券期货业信息安全保障管理办法》等行业相关制度规范，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的证券公司，以及为证券公司提供网上证券服务的第三方机构。

第三条证券公司网上证券信息系统是证券公司通过开放性网络，如互联网、移动通信网络、其它开放性公众网络或开放性专用网络基础设施等，向其客户提供金融业务和服务的信息系统，包括服务端和客户端的相关网络设备、计算机设备、软件、数据以及专用通讯线路等。

第四条证券公司利用网上证券信息系统开展证券业务应当

遵循如下基本原则：

（一）安全性原则：网上证券信息系统的建设应当建立风险防范意识，保证在网上开展证券业务的安全性。通过技术措施和管理手段，实现信息的保密性、完整性和服务可用性。

（二）系统性原则：网上证券信息系统的安全建设应当覆盖安全保障体系的各个方面，包括：安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。

（三）可用性原则：网上证券信息系统的建设应当在保障安全的原则下，确保在网上开展的证券业务的连续性和可靠性。

第五条中国证券业协会对证券公司执行本指引的情况实施自律管理。

第二章基本要求

第六条证券公司对网上证券信息系统应当统一规划、集中管理，保证在网上开展证券业务安全、有序发展。

第七条证券公司应当根据国家相关法律法规，行业信息安

全各项管理制度、信息系统安全等级保护要求和规定、运维管理规范、信息系统备份能力标准、以及监管机关的相关实施指导意见，做好网上证券信息系统的信息安全管理、运维管理和备份能力建设等工作。

第八条证券公司应当将在网上开展证券业务的风险管理纳入证券公司风险控制工作范围，建立健全网上证券风险控制管理体系。

第九条证券公司应当将网上开展证券业务的审计纳入公司的审计工作范围。

第十条证券公司对网上证券开发商、服务商等合作方，应当评估并约束其提供的技术产品和技术服务符合本指引规定的相关要求。

第十一条证券公司应当按照国家主管部门的有关规定办理网上证券相关系统的备案，并提供备案信息的查询途径。

第十二条证券公司应当使用统一的与互联网业务服务相关的服务电话、域名、短信号码、其它互联网公共平台等，并通过多种渠道正式向投资者发布。

第十三条证券公司通过网上证券信息系统向客户提供证

券交易的行情信息，应当提示行情来源、行情站点名称等信息；如向客户提供资讯信息，应当说明信息来源。

第十四条证券公司应当采用多种技术手段加强网上证券信息系统敏感数据的保护，保障相关信息资产不被泄漏，包括但不限于：敏感数据在开放性网络应当加密传输、敏感数据不应当储存于互联网接入域或外联接入域；防止存储敏感数据的数据库被非授权访问；对口令和密钥等敏感数据进行加密传输；用户身份认证信息应当在后台服务器上加密存放，其中用户口令应当尽量使用不可逆加密算法进行处理等。

“敏感数据”指影响网上证券信息系统安全和客户信息安全的数据，包括但不限于：口令、密钥，以及客户身份信息、联系方式、交易数据、资产数据、支付或转账数据、包含以上数据的客户日志，以及其它若发生泄露可能损害客户合法权益的数据。

第十五条证券公司涉及交易服务、实时行情的网上证券信息系统应当在两个以上的物理地点部署，并具备2个或2个以上不同运营商的互联网接入，互为备份，避免单点故障和性能瓶颈，确保网上证券信息系统的业务连续性。

第三章网上证券客户端

第十六条网上证券客户端是指为网上证券客户提供人机交互功能的应用程序，以及提供必需功能的组件，包括但不限于：可执行文件、控件、静态链接库、动态链接库等。客户端包括：专用客户端、通用浏览器等。

第十七条网上证券信息系统客户端用户登录功能应当提供图形验证码、强制随机排序图形键盘、安全的口令输入安全控件等两种或两种以上安全方式，防范不法分子利用木马等黑客程序窃取客户账号和口令信息，进行损害投资者利益的非法活动。

第十八条网上证券信息系统客户端的客户身份认证信息和交易、支付数据等数据传输应当采用国家信息安全机构认可的加密技术和加密强度，并最低达到等同SSL协议128位的加密强度。

第十九条网上证券敏感数据信息系统客户端应当能向客户提示最近一次登录的日期、时间、地址等信息；并建议制定提醒策略，对在一个以上客户端同时登录、以及其它符合提醒策略的客户登录情况进行实时提醒。

第二十条网上证券敏感数据信息系统的客户端应当能提

供在指定的闲置时间间隔到期后、自动锁定或退出客户端的功能使用。

“网上证券敏感数据信息系统”指在信息交互或信息储存中涉及敏感数据的网上证券信息系统。

第二十一条网上证券专用客户端应当采取对服务端的身份或证书进行校验等手段，具有唯一连接到本证券公司网上证券接入系统的保障机制；网上证券专用客户端应当提供足够的识别信息，以使网上证券服务端能够对发出连接请求的客户端与证券公司所提供下载的程序进行一致性验证。

第二十二条网上证券专用客户端应用程序的新版本升级策略应当具备提醒升级、强制升级等功能，并可由证券公司在服务端进行升级策略的控制。

第二十三条网上证券敏感数据信息系统、以及实时行情系统的专用客户端应当具备反调试和反逆向机制。

第二十四条当客户访问网上证券服务端时，未经客户许可，不得以任何方式在客户端系统中安装插件，安装后同时须允许客户卸载。

第二十五条网上证券客户端在本地终端储存客户账户、