第一章 第二章 第三章 第四章 第五章 第六章 第七章 第八章证券营业部信息技术指引
(送审稿) 2009年4月10日
总则 基础设施 网络通讯 应用系统 管理制度 系统运维 安全保障 附则
第一章 总则
第一条 为加强证券营业部信息系统建设和安全管理,防范技术风险,保障证券市场平稳运行,依据中国证监会《证券营业部信息技术监管规定(正在起草中)》和中国证券业协会《证券公司集中交易安全管理技术指引》等有关规定制定本指引。
第二条 证券公司应按照信息系统安全性、实用性、可操作性原则,统一规划和建设证券营业部信息技术系统,全面负责营业部信息技术的安全管理。
第三条 证券营业部应在所属证券公司的集中统一管理下,制定相应的信息技术工作流程和操作规范,确保信息技术系统对业务的有效支撑。
第四条 在中华人民共和国境内依法设立的证券公司所属证券营业部(以下简称营业部)适用于本指引。
第二章 基础环境
第五条 营业部机房应位于营业部场地内部,营业部场地选址应满足以下技术要求:
(一)尽可能选择具有市电双路供电的场所;
(二)远离强震源、强磁场源和强噪声源,无无线电电磁干扰;
(三)远离产生粉尘、油烟、有害气体以及具有腐蚀性、易燃、易爆物品的工厂、仓库等场所;
(四)机房空调应具有室外机组安装条件,并方便排水; (五)应符合当地抗震强度要求;
(六)应尽量避免低洼地带。
第六条 营业部机房应按照GB9361-88《计算站场地安全要求》和GB2887-89《计算站场地技术条件》的有关规定做到:
(一)尽量避让建筑物顶层、地下室、用水设备的下层或隔壁以及易漏雨、易渗水和易遭雷击的区域,避开易发生火灾危险程度高的区域;
(二)选择通讯设施健全,相对安全、易于管理的区域;
(三)避让主干电力电缆穿越场所,避让供水和消防管网经过;
(四)应当设置设备区域、辅助设备区域,设备区域用于安放服务器、网络通信设备、工作站等设备,辅助设备区域用于安放UPS等供电设备;
(五)设备放置地应考虑地面承重,应尽量选择有主干墙、承重墙的位置放置,必要时进行地面加固;
(六)应配备应急照明装置。
第七条
营业部应采用结构化布线系统,综合布线应符合《建筑与建筑群综合布线工程系统设计规范》(GBT/T 50311)要求。各配线机柜内应配备理线架,做到跳线整齐,跳线与配线架统一编号,标记清晰。
第八条 机房应采用综合接地系统或独立接地系统。采用综合接地系统接地的营业部,直流接地、交流工作地和防雷保护地,直接连接大楼的综合接地,接地电阻应不大于4欧姆。采用独立接地系统的营业部,直流地和防雷保护地之间的距离应大于10米,直流地的接地电阻应小于2欧姆,交流工作地的接地电阻应小于4欧姆,防雷保护地的接地电阻应小于10欧姆。
第九条 机房须安装独立空调,采用一用一备、多用一备或多用多备的方式,主用空调单独运行时应能保证机房温度保持在21℃±3℃规定范围内。
第十条 机房机柜或机架宜配置双回路供电,相关电器设备、电线应与机柜用电负载相适应,并留有余量。机柜应与机房可靠连接
第十一条 机房应具有独立于一般照明电的专用供电线路,设有独立的配电柜或配电箱。供电容量应满足营业部配电规划需求,并留有一定余量。营业部应建立供配电管理规定。
第十二条 营业部应配备UPS电源且还应具备其它至少一种持续供电方式(自备发电机、租用发电机、租用发电车等),保证机房业务设备和不低于25%的现场交易客户用机。具有自备发电机的营业部,UPS电源持续供电不低于2小时。具有其它持续供电方式的营业部,UPS电持续供电不低于4小时。
第十三条 严禁将与业务无关设备接入UPS。市电插座和UPS插座要严格区分、插座面板应有明确的颜色标识或标签。
第十四条 营业部配备或租用发电机,应远离易燃易爆的物品,有通风良好的独立使用场地。
第十五条 消防系统建设应依据《火灾自动报警系统设计规范》GB50116-98,并通过当地消防主管部门的消防安全验收。
第十六条 营业部应在机房出入口部署监控系统探头,录像保留时间不少于30天。
第十七条 机房应安装防火防盗门,有条件的可在机房安装防盗报警系统,机房入口处宜安装门禁系统。
第三章
网络通信
第十八条 营业部与所属证券公司之间应使用不同运营商或不同介质的2条以上通信线路,建立可靠的通信联接,且线路带宽能够满足业务需要并留有冗余。网络通信设备应有冗余备份,且没有单设备故障,并能保证发生故障时实现自动切换。
第十九条 营业部与其他外联单位、互联网的通信线路,可根据业务需要,选择合适的通信线路、线路带宽和线路备份方式。
第二十条 营业部网络规范应符合所属证券公司有关的营业部局域网、广域网、互联网接入以及安全防护的网络建设规范。
第二十一条 营业部局域网应采用多层网络架构,用于交易业务的核心层应部署至少两台交换机互为备份,网络接入层设备应避免使用HUB。
第二十二条 营业部网络配置参数和IP地址段应由所属证券公司统一规划管理,营业部的IP地址、路由规则等网络配置按所属证券公司要求设定。
第二十三条 营业部局域网应合理划分安全域,并明确规定局域网内各安全域的功能。
(一)营业部网络与证券公司网络之间进行安全隔离;
(二)将用于交易业务的网络与用于非交易业务的网络进行安全隔离;
(三)交易业务网络应保证客户用机网段与交易行情服务网段安全隔离;
(四)将用于上互联网的网络(含网上交易客户端)与营业部其他网络进行严格隔离;
(五)严格禁止交易业务网直接访问互联网
第二十四条 处理交易业务的计算机终端和移动存储应专网专用,严禁接入互联网。
第二十五条 证券营业部应按照所属证券公司的要求,部署正版防病毒、防木马、防恶意代码在内的系统安全防护软件,以适应安全防护系统化的发展趋势。
第四章 应用系统
第二十六条 营业部应用系统是指提供行情、开户、交易、资讯等客户服务的信息技术系统。
第二十七条 营业部应用系统应具备足够的健壮性,系统处理能力具有一定的冗余度,行情、交易、资讯系统等关键硬件设备应通过热备、冷备等手段,避免单点故障,提高系统可用性。
第二十八条 营业部服务器应具有充分的可靠性和充足的容量,采用双电源、双网卡冗余。
第二十九条 营业部未经所属证券公司批准,不得擅自安装使用与业务及技术维护无关的应用软件。
第三十条 营业部行情揭示与分析系统应按交易所有关规定采用2种以上途径获取的行情源,且应为客户提供除现场交易方式外的其它交易方式,以确保发生突发事件时能够提供持续的行情和交易服务。
第三十一条 营业部电话委托、自助终端应能记录证券买卖、撤单、银证转账、密码修改等操作的终端信息,其中电话委托应记录主叫电话号码,热自助应记录网卡物理地址,相关记录保存五年。
第五章 管理制度
第三十二条 营业部应执行所属证券公司的人员管理、机房管理、网络管理、设备管理、数据管理、技术文档管理、系统运维管理、应急处理等制度。每年将信息系统运行及制度执行情况报告所属证券公司并同时按监管部门的要求抄报有关单位。
第三十三条 证券公司应在确保营业部信息系统稳定运营的前提下,至少配备一名专职和一名兼职技术人员,技术人员应具有计算机相关专业及1年以上技术岗位从业经验。
第三十四条 机房管理应包括机房人员、设备出入和安全管理等环节。机房内严禁放置易燃易爆物品及强磁物品。外来人员未经允许严禁进出机房。未经许可不得挪动机房内设备、更改网络线路、私自安装软件。
第三十五条 网络管理包括配置管理、访问控制、安全审计等环节。网络设备应按最小安全访问原则设置访问控制权限。路由器、交换机和防火墙等设备应根据子网安全隔离的需要限制允许登录的IP地址,严禁从公司网络以外登录。应于每一次变更后更新备份网络设备的配置信息。
第三十六条 设备管理包括选型、购置、登记、保养、维修、报废等环节。关键设备应建立维护档案。
第三十七条 未实现集中管理的数据,应指定专人负责管理,并至少每半年备份在可靠介质上,数据调阅应经审批,不得随意对外泄露。
第三十八条 技术文档管理包括文档的收集、更新、保管、借阅等环节。营业部技术文档涵盖机房平面图、供配电图、网络拓扑图、信息点对照表、UPS电源点分布表、系统维护手册、系统使用手册、应急预案、运维日志、设备维护档案、信息技术管理制度等资料。营业部应根据信息技术系统的变更情况及时更新技术文档。
第六章 系统运维
第三十九条 用户权限管理
(一) 营业部用于交易业务的信息系统权限变更应执行 相关审批流程,并有完整的变更记录。
(二) 员工应被授予完成所承担任务所需的最小权限,重 要岗位的员工之间应形成相互制约的关系。信息技术人员不应具有任何应用系统的业务操作类权限。
(三) 对与客户交易相关的系统应采取必要的措施,限 制重要岗位用户的登录,如错误登录次数限制、登录时间限制、网络地址限制等。
(四) 营业部应建立系统用户及权限清单,定期对员工权 限进行检查核对,发现越权用户要查明原因并及时调整,同时清理过期用户权限,做好记录归档。
第四十条 与交易业务相关系统和关键设备的管理员用户密码应专人管理,采用不低于12位的复合密码,每季度至少更换一次。发生人员变动时应及时更新密码。
第四十一条 营业部在生产环境下的测试工作应在所属证券公司信息技术部门的统一管理和指导下进行,不得擅自安装测试软件。
第四十二条 严禁开市交易期间在生产环境进行任何测试工作。
第四十三条 测试前应制定详细的测试方案和测试计划,同时做好系统、数据和应用程序测试前的备份工作。测试计划应包括测试目的、测试时间、参测人员、测试用例、测试步骤等内容。
第四十四条 测试过程中要做好详细的测试记录。 第四十五条 测试结束后应有明确的测试结果,保证系统、数据和应用程序的恢复并进行恢复后的测试验证,同时总结测试经验、分析测试结果、形成测试报告。
第四十六条 营业部应用系统变更前须制定详细的变更方案和变更应急预案,变更前做好系统和数据的备份。
第四十七条 对于供电、通信、服务器、核心交换机、核心交易业务系统等关键性设备或系统的变更,营业部应经过严格的测试。
第四十八条 除故障应急外,开市交易期间不得进行任何与交易业务相关的信息系统变更操作。
第四十九条 营业部应建立完善的监控体系,以对信息系统的运行环境、运行状况等进行定时监控和事后分析。
第五十条 营业部的运行监控应落实到人,责任明确,并做好运行监控记录。
第五十一条 营业部应规范管理系统运行日志。日常操作及异常事件处理均应有详细的系统运行日志,日志内容应包括系统机房值班记录、巡视记录、故障处理记录、变更记录、测试记录、监控记录、重要设备维护记录等。
第五十二条 营业部每个交易日应检查日志数据备份的及时性和完整性。
第五十三条 营业部信息技术人员应每月对系统运维日志进行总结、分析,并形成文字材料。
第五十四条 营业部系统运维日志可采用电子文档或纸质件记录,并妥善保管,日志保留期限不少于2年。
第五十五条 营业部应定期检查电力、空调、消防等设施,每季度选择非交易时间进行UPS电池的充放电测试,并详细记录。
第七章 安全保障
第五十六条 营业部应加强网络安全管理,未经所属证券公司批准不得擅自对外互联或设立网站,如确有必要,应在公司统一指导下设立。网上交易客户端应通过所属证券公司网站下载。
第五十七条 营业部应加强工作站的管理,记录网卡地址,防止非法使用,禁止客户擅自带电脑接入营业部网络。应能够对非授权设备私自接入交易业务网络进行预警和检查,并进行有效切断。
第五十八条 营业部应加强客户访问互联网的管理,防止客户利用营业部网络访问非法网站,出现异常应及时配合公安机关进行处理。
第五十九条 营业部应按所属证券公司要求及时更新系统补丁、升级防病毒软件。
第六十条 营业部应定期进行病毒检测,发现病毒立即处理并报告。外来电子文档、软件系统使用前应进行病毒或木马查杀。
第六十一条 营业部应按照所属证券公司的统一要求建立相应的信息系统应急预案,对系统故障、通讯和网络故障、供电系统故障、自然灾害及其他突发事件制订明确的应急处理流程。
证券公司对应用系统重大升级或改造时,应根据实际情况要求营业部制定专项预案或修订应急预案。必要时应当以适当的方式告知投资者并提醒防范可能出现的风险。
第六十二条 营业部应每年至少进行两次应急演练,并留存演练记录。
第六十三条 营业部发生影响正常业务技术故障,应立即启动应急预案、尽快恢复交易业务,并按有关要求及时上报所属证券公司和当地监管部门。
第六十四条 应急事件处理完成后,应以书面形成上报所属证券公司和当地监管部门。
第八章 附则
第六十五条 本指引自发布之日起施行。
C13024《证券公司证券营业部信息技术指引》课后测验(100分)
