证券行业信息安全事件简析及合规建议_信息机介绍

当前位置： 信息机 >> 信息机介绍 >> 证券行业信息安全事件简析及合规建议

证券行业信息安全事件简析及合规建议

发布时间:2023/5/2 20:36:50

一、证券行业信息技术风险现状分析

（一）风险事件频发

证券行业信息技术风险事件高发频发。年“光大证券乌龙指事件”已经过去7年。今年4月沪深指数出现罕见报价错误，上交所两次致歉。同花顺交易软件客户被盗号接盘，多家券商卷入其中。信息技术风险事件往往可能会引发不可预估的黑天鹅事件。从历年监管处罚案例数据可以看到，证券行业信息技术风险事件不断。

（二）法规要求健全

1.法律层级：《证券法》、《基金法》、《网络安全法》、《反洗钱法》、个人信息保护的相关规定等。

2.行政法规：《证券公司监督管理条例》。

3.部门规章：《证券期货业信息安全保障管理办法》（证监会令第28号）、《证券基金经营机构信息技术管理办法》（证监会令第号）。

4.规范性文件：《证券公司分类监管规定》、《证券期货业信息安全事件报告与调查处理办法》（[]46号公告）等。

5.自律规则及行业标准：《证券期货业经营机构信息技术治理工作指引》、《证券公司网上证券信息系统技术指引》等自律规则，《证券期货经营机构信息系统备份能力标准》、《证券期货业数据分级分类指引》、信息技术网络安全等级保护系列要求等行业标准。

（三）执法主体众多

时光荏苒，随着金融科技飞速发展，执法主体呈现众多的趋势。曾几何时，证券公司涉及安全事件，结果就是证监会或者属地证监局来调查一下，严重的下发监管函。现在更多的执法单位会对证券行业进行处罚：由于信息安全事件违反《网络安全法》受到公安部门行政处罚，违反《反洗钱法》受到人民银行处罚，涉及《App违法违规收集使用个人信息行为认定方法》受到工业和信息化部通报机处罚，受到网信部门处罚等等。

二、风险事件场景及经验教训

（一）场景1：系统冗余不足，交易拥堵

年2月，某证券公司APP出现客户请求响应缓慢的情况，影响时间20分钟。主要原因：

1.后台硬件性能不足，APP除提供交易外，还有很多增值服务，如：投顾直播。

2应用架构复杂，优化速度缓慢。公司此前出现过负载均衡设备F5的CPU使用率高达90%需要升级，但是替代产品经过测试效果不理想，进而转成对APP应用进行优化，但优化改进情况并未赶上客户请求的快速增长。

经验教训

1.加强对APP架构优化调整，降低增值服务对单点硬件资源的依赖程度。

2.加强压力测试和系统监控状态监控。

3.转变“重前端，轻后台”思路，加大对网络设备，处理器，数据库的资源投入。

（二）场景2：数据库“积劳成疾”

年7月23日11:19分，某证券公司发现业务堵塞情况，中间件日志异常报警，大量业务堆积，主数据库响应缓慢11:23分运维人员重启主交易数据库服务后系统依然缓慢。11:27分强制重启主交易数据库设备，11:29分系统恢复正常。造成客户投诉，索赔近60万元。事件影响11分钟，按照《证券基金经营机构信息安全事件报告与调查处理工作指引第1号--信息安全事件分级》规定属于部分中断。（较大事件，警示函）

经验教训

1.强化应急事件的处理能力。

2.加强测试资源投入，建立数据回放测试环境，提高故障原因的排查效率。

3.加强IT项目运行及安全的全面审计评估。

4.强化信息技术服务商的安全管理。

（三）场景3：违反《网络安全法》遭受处罚

A、B两家公司由于APP存在超范围申请系统权限的行为（鉴定机构安全监测结果：超范围接受短信、发送短信、录音和检索当前运行程序列表），违反《网络安全法》第二十五条（网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发声危害网络安全事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告）受到行政处罚。

C公司由于系统用户名口令被暴力破解而受到行政处罚。

经验教训

1.严格落实《网络安全法》关于金融行业应用软件的相关要求，完善应急预案。

2.建立完善手机APP软件安全自评估机制。

（四）场景4：银证转账故障

年11月，某证券公司发现部分客户证券转某银行业务失败，银行提示“银证转账余额超限”，经排查原因为双方客户资金账户余额不一致。事后推测原因：该银行将结算数据从临时表导入正式表时执行异常，导致部分客户余额在银行端未能更新，银行未及时发现并采取相应措施。

经验教训

1.完善三方存管系统及应急管理，加强对合作银行的统筹管理，明晰权利义务，加强过程留痕，减少责任纠纷。

2.对于存管银行明显存在技术隐患或风险管理漏洞的，及时向监管部门报告。

3.严格落实安全事件报告要求。

（五）场景5：外部接入技术边界不清

今年，多家媒体报道，使用同花顺平台的部分投资者账号被盗后买入济民制药股票。经查，个别证券公司存在客户更换设备后交易认证手段不完善，风险提示不足，与第三方合作平台信息安全边界不清，权责不明等问题。