倪志全:期货业如何强化行业信息安全
http://msn.finance.sina.com.cn 2012-05-19 17:15 来源: 新浪财经新浪财经讯 5月19日,由中国证监会研究中心、北京证监局举办的“第7届中国(北京)期货暨衍生品市场论坛”在北京国宾酒店召开,新浪财经作为独家门户网络合作伙伴全程图文直播本次论坛。以下为北京证监局期货处副处长倪志全发言实录。
倪志全:我很高兴今天在这里和大家见面。其实这个分论坛我们已经整整做了7年了,这是目前全中国惟一的一个期货技术的论坛,这也是北京期货商会搞的一个比较有特色的活动。我也是连续7年参加咱们这个活动,希望将来我们有更多的人关注这块。
我今天讲的题目是强化行业信息安全,夯实行业发展基础。首先中国证监会高度重视资本市场信息安全的工作,党中央国务院高度重视信息系统的安全。
第二,受欧债市场的影响,投资者很多的情绪很敏感。
第三,行业信息安全事故出现新的变化,一会儿我再讲这部分的内容。
中国证监会开展了系列检查督导,切实保障行业信息系统安全运行。银监会和证监会联合开展了一次为期6个月的检查,规模和力度相当大,分为自查和现场检查两部分。一个是系统安全,一个就是数据安全,一个是运维管理,一个是应急管理,其中银行的检查项目包括三大类,10大项,52小项,期货公司27小项。最终有21家银行,103家证券公司,163家期货公司都开展了复查,现场检查当中,证监会组成的8个检查组和一个巡查组,对36家单位进行了检查,应该说是一次规模相当大的检查。
第二,完成了市场核心机构的专项检查,重点检查了交易所核心机构重要信息系统的安全保障情况。大概是73个细节的检查项,有效的提升了市场核心机构。
第三,完成的期货公司技术升级检查。共有50家期货公司申请升级,39家公司通过。
第四,对交易所会员托管机房安全状况开展的评估检查,根据期货一部编制的期货交易所托管及风险评估工作项目表,对三家交易所,托管机房,进行了安全评估的检查。
第五,根据连续两年开展的行业技术资源调查,切实督导机构消除薄弱环节。
中国证监会为了全面提升我们行业的保障能力,推动了几项重大的工作,第一,全面启动了信息系统备份能力建设。目前我们期货市场相关的几个核心机构都取得了相当的工作进展。郑商所稳步推进了新大楼技术中心与异地在被中心的建设,期货保证金监控中心完成的北京养桥技术中心的建设。
第二,完成全行业信息系统安全等级保护工作的部署。我们国家已经把资本市场的信息安全的系统列为国家8大重要信息系统之一,开展等级保护工作意义非常大。证监会下发了两个行业标准,目前我们全行业三级系统有159个,二级系统1179个,417个系统进行了等级测评。
第三,积极推广网上交易强身份认证工作,有9个公司现在已经开始试点工作。
今天我讲一下,这一年以来,我们行业技术风险故障的一个分析。行业总体安全形势稳定,但是热点有所变化,2010年总共安全事件56件,2011年是62起,2009年有121起,比这两年加起来还多3起,但是它的变化是因为行业机构设备设施故障,人为失误等自身原因造成的失误只有23起,占比36%,比10年减少了12起,但是由于外部因素的影响产生的事故39起,比10年有大幅度的增加,增长了18起。
从事件的分布来看,涉及市场核心机构,交易所等主要机构是5起,涉及证券公司的有25起是总部的,有9起是证券营业部的,涉及期货公司的是23起,基金公司没有发生安全事件。
事件应急恢复的速度,11年有一个突然性的重大的变化,25的事件在30分钟以内恢复了正常,这是我们预警的一个上报的标准,特别是具有通信备份线路,或者备份系统的故障的单位恢复起来相对比较快,而75%的事件时间超过了30分钟,特别超过2小时的比2010年有显著的增加。30分钟以内处理,是我们应急预案一个报备的标准,通过这个数据大家可以看到,09年和10年30分钟以内,2小时以内,2小时以上处理的概率基本相当,这个数据说明我们针对09年发生的问题,我们全行业做的针对性的工作是卓有成效的,既降低了风险发生的数量,比例保持不变,也就是说发生问题的点仍然是差不多的,但是到了11年30分钟以内处理的故障比例大幅度下降,只到了25%,2小时以上的故障一下增加了将近50%,这个现象我希望大家一定要注意。
在11年有两家证券公司,3家证券营业部,还有两家期货公司,7家机构没有按照规定报告信息安全事件。我希望大家注意,这个情况还发生得比较少。
我介绍一下发生故障的细节。首先设备设施故障总共发生了16起,比10年25起减少了9起,其中计算机营长故障是2起,一起是期货公司的,一起是证券公司的,全都是服务器使用年限较长,设备老化造成的,两家机构是在25分钟和34分钟就本故障恢复了。计算机软件故障发生8起,比10年有所下降,10年行业软件开发商总共发生了9起事故,11年降到4起,说明他们的服务水平还是有所提升的。
电子设备的故障发生了两起,其中有一起是期货公司的。通讯设备故障11年一下发生了4起,增加是比较明显的,其中有一家期货公司,一家证券营业部是设备老化所致,还有一家期货公司服务器网卡接触不良导致的问题。还有一个行业软件开发上,他自己因为防火墙设备的故障导致事故的发生。这四起设备故障,平均恢复时间是将近3个小时,已经是半天以上的交易时间了。
人为事故造成的,10年10起,11年下降到7起。7起事故暴露了三个方面的问题,一个是运维管理不严格,运维操作不规范,有一家期货公司应急演练以后没有将生产系统完全恢复到正常状态,他好像有一台演习用的服务器没有关闭,导致了第二天开机的时候产生了冲突,结果影响了他的交易。
第二是操作流程不明确,操作符合不严格。
第三,人员操作失误。一家期货公司技术人员修改其中交易主机输入时间错误的导致了系统故障。
外部影响的事件,11年是比较突出的,比上一年增加了18起,银行系统的故障发生了17起,比10年增加了7起,幅度非常大。这些事故只有两起在30分钟能解决,最终导致了6500名客户13万笔转账交易失败,影响面非常广,影响的时间非常长。
通讯线路的故障也是大幅度增加,发生了12起,原因全都是电信运营商设备故障和通讯线路被施工挖断所致。供电是一起,是一个期货公司的托管机房发生了电力的故障,8分钟以内恢复了正常。其他的因素有一家林业部隔壁的机构的机房跑水,把他的设备给淹了,造成了现场中断有几分钟。
外部攻击11年还比较好,没有接到外部攻击的报告,但是国家相关安全部门通报了6起的报告,这个证监会都通报了这些机构,没有产生不良的结果。
灾难灾害事件发生两起,全都是因为第三季度的暴雨,雷电天气的影响,主要是对证券公司这块的。
下面我们再从发生故障的信息系统的类型上看一下哪些系统最脆弱。银期系统37%,集中交易系统24%,网上行情交易系统16%,证券期货营业部现场交易系统8%,行业各机构基础设施5%,市场核心机构核心交易3%,差别还是比较明显的。市场核心机构发生了两起,大家都比较清楚,都是期货交易所发生的问题,其中交易系统发生了15起故障,虽然是逐步减少的,有5起是人为失误,软件故障4起,硬件故障一起,网上交易系统发生10起,银监部现场交易发生4起,其他的发生率都比较低了,我们不做一一介绍。
如何进一步强化我们的信息系统安全的工作,要根据市场的热点不同进行我们必要的及时的关注。
第一,银行系统的故障率比较高,希望大家重点关注。银行系统虽然一个系统的开发都在两三千万的投入,但是他们整个行业对系统的及时性和持续处理业务的要求要比我们这个行业低很多。他们认为断一天也不是太大的行业,但是和我们行业时时性服务能力的要求严重不匹配,这两个行业之间产生的问题,就是两边的要求不匹配,别看他们的投入很大,但不是我们关注的点上。
大型的跨行的联合检查,取得了比较明显的成效,提高了两个行业对信息系统安全保障的重视程度,为信息系统安全隐患进行了全面的整理,督促了各机构落实两会联合下发的有关规定,强调的应急协作机制,特别是通过这次检查,主要是银监会的信息中心和证监会之间进一步加强了沟通和协作,为以后的发展打下了一个比较良好的基础。
存在的主要问题,银行主要是部分银行的处理能力和可靠性的原因造成的,运维管理的水平有待提高,应急管理水平也有待于提高。我们公司机构主要是存在通信线路,比如说单线路连接,备份系统不完善,有的公司还没有备份。
第三,为实现业务的隔离,不同银行间的数据往往是在同一个机器上跑,数据之间会产生干扰。
另外部分机构应急管理还不太规范,主要是和银行之间的沟通问题,导致发生问题以后无计可施。双方升级改造的时候互相通知不太到位,应急机制不完善,通讯线路缺乏统一的规划,基本上目前这个问题现在还不是特别明显,但是我有预感,我感觉这个问题可能以后会比较大的干扰公司的进展。这种方式本身就是一个管理上比较复杂的方式,不利于以后的发展。
另外一个,数据接口没有采用统一的行业标准,本来深圳证券通讯技术公司有一个证券期货业与银行交换消费体结构设计规划,但是他仍然用自己的数据接口,这可能以后会给我们行业发展带来不利的影响。
总之通过监管部门持续的督导,基本上目前通过了整改能够满足行业的发展,但是仍然需要大家非常关注这方面的风险。
第二,加强运维管理,杜绝人为责任事故。从行业自身导致的23起事件当中,三分之二的事件与当时机构运维管理不够规范有关系的。
第一,加强系统监控和日至分析。
第二,落实设备退役制度。很多都是由于设备老化产生的。
第三,加强新系统上线前的全面测试。现在有很多的客户都在用一些小软件下单,软件的冲突和运维上的问题将来会越来越冲突。
第四,严格运维管理。没有明确的操作流程和符合机制的事故,一定要尽量把它降到零。
第三,严格按照行业应急预案的要求报告信息安全事件。
第一,熟练掌握应急预案,并利用应急演练加以强化。
第二,熟悉需要上报报告的时间点。
第三,专门保管应急上报的上报等资料。
既然发生事故的几率并不高,还是把应急用的资料统一的保管存放,避免发生问题。
最后是加强技术队伍建设。一个是从事故原因多方面分析,管理的问题是比较突出的。我们的技术人员由于管理型的技术人员比较缺乏,我建议大家一定要转变观念,适应行业发展的需求,近期的事故当中多家机构都处分了自己的技术人员,很多是非技术原因的,大家一定要引以为戒,就是要有这个意识,要从维护型向管理型转变。
第二,要从技术型向技术业务复合型转变。期货行业已经紧密的和技术相连,技术人员要发挥企业发展蓝图设计师的职能,由于我们不能主动把这个工作做在前面,就会产生一种比较被动的结果,可能大家在公司里都有这种体会,往往业务部门有什么新动向,就会写一个报告给技术部门,这样技术部门就很被动,由于缺乏事先的规划,可能往往达不到业务部门的要求,还会认为是拖后腿,必须要转型才能赢得工作的主动。
期货商会已经给我们建立了很好的平台,随着行业信息安全的发展,最近商会在建立专业委员会,好像也有技术委员会的想法,我想应该很好的利用这个平台,以后我们可以把一些信息安全事故的通报的工作,可以通过这个平台给我们机构通报一下,共同做好行业的安全工作。我今天的演讲就到这里,谢谢大家。