首 页 开云网页版-开云(中国)官方在线登录 图片 发展观察 开云网页版-开云(中国)官方在线登录跟踪 经济发展 减贫救灾 社会发展 全球招标投标 商务资讯 观察思考 发展报告 数字报告 白皮书 中国之窗 世行在中国
专家专栏 政策解读 宏观经济 区域发展
行业动向
行业规划 金融证券
金融法规
贸易发展 工程项目/ 数据库/周刊 企业发展
国情公报 经济数据 经济名词 采购商
发展开云网页版-开云(中国)官方在线登录  -医改方向:提诊费降药价 2011年药价趋合理 实行上限控制 意见 -中国医疗个人支付比例过高致看病贵 甲流患者医疗费用纳入医保 -钢铁业过剩产能达2亿多吨 国内钢价连涨5周 中国成煤炭净进口国 -大范围降雪致菜价飙升 大雪过后仍未降 多种资源价格相继上调 -热钱押注人民币升值 美《福布斯》:要求人民币升值是错误主张 -12月解禁股2820亿 大盘股为主力 流动性充裕 50年期国债首发行 -国土部推农地入市调控房价 明年浙江试点 专家:危及18亿亩耕地 -全国拉响天然气荒警报 渝缺口10亿方 中石油否认逼宫涨价 原因 -中国籍枪手在塞班岛向游客扫射造成4死6伤 可能因经济问题行凶 -鹤岗矿难遇难者增至104人 仍有4人被困
首页>>金融政策
证券协发布网上基金销售信息系统技术指引(全文)
中国发展门户网 www.chinagate.cn  2009 年 11 月 23 日 
字号:    打印本文章 写信给编辑



    第四章  网上基金销售信息系统客户端

    第二十六条网上基金销售信息系统客户端是指基金销售机构提供的,由基金投资人通过互联网、移动通信等非现场方式独自完成业务操作的应用系统。

    第二十七条网上基金销售信息系统客户端应能向客户提示最近一次登录的日期、时间等信息。

    第二十八条网上基金销售信息系统客户端应能在指定的闲置时间间隔到期后,自动锁定客户端的使用或退出。

    第二十九条网上基金销售信息系统客户端的数据传输应采用国家信息安全机构认可的加密技术和加密强度,并最低达到SSL协议128位的加密强度。

    第三十条网上基金销售信息系统客户端如需与银行等支付系统进行数据通信时,应使用数字加密技术(如数字证书方式)进行严格的数据加密处理防止数据被篡改。

    第三十一条当客户访问网上基金销售信息系统时,未经客户许可,除提高安全性的控件之外,不得以任何方式在客户系统中安装插件。

    第三十二条网上基金销售信息系统应提供可靠的身份验证机制,除采用账号名、口令、验证码的身份认证方式外,还应向客户提供一种以上强度更高的身份认证方式供客户选择使用,如,客户端电脑或手机特征码绑定、软硬件证书、动态口令等认证方式,确认客户的身份和登录的合法性,防止不法分子利用木马等黑客程序窃取客户账号和口令。

    第三十三条基金销售机构为基金客户网上开立基金交易账户时,应当要求基金客户提供身份证明信息,并采取等效实名制的方式核实基金客户身份。

    第三十四条基金销售机构应采取有效技术措施,识别与验证使用网上基金销售业务服务的投资者的真实、有效身份,并应依照与投资者签订的协议对投资者操作权限、资金转移或交易限额等实施有效管理。

    第三十五条网上基金销售信息系统客户端不得在客户本地计算机储存客户账户、口令等重要信息。存储其它信息应当提示客户,本地数据存储只是参考数据,应当以基金销售机构记录数据为最终准确数据。

    第三十六条网上基金销售信息系统客户端应当具有基金客户交易口令复杂度控制和提醒机制,提醒客户定期修改口令;系统自动生成的初始口令,必须有最小生存期限制或强制客户修改,禁止系统自动生成相同口令或弱口令;基金客户口令的修改和取回操作要有日志记录。

    第五章网上基金销售信息系统服务端

    第三十七条网上基金销售信息系统服务端是指基金销售机构通过互联网向客户提供网上基金交易、基金账户信息查询等服务的信息系统,包括互联网接入、安全防护与监控、应用服务、身份认证等相关子系统。

    第三十八条网上基金销售信息系统服务端应能向客户提供可证明服务端自身身份的信息,如提供预留验证信息服务,在客户登录时向客户显示预留的验证信息,以帮助客户识别仿冒的网上基金信息系统,防止不法分子利用仿冒的网上基金信息系统进行诈骗活动或盗取用户账号、口令等信息。

    第三十九条网上基金销售信息系统应保障对客户的授权不被恶意提升或转授,防止客户访问未经过授权的数据,使用未经授权的功能。

    第四十条基金销售机构开展网上基金销售业务,需要对客户信息和交易信息等使用电子签名或电子认证时,应遵照国家有关法律法规的规定。

    网上基金销售信息系统采用的认证授权和加密体系应具备足够的强度和抗攻击能力,并根据网上基金销售业务的安全性需要和信息技术的发展,定期检查,适时调整。

    第四十一条网上基金销售信息系统未经基金销售机构授权不得与第三方进行任何形式的数据交换,并具备经过认证后仅向指定地址发送信息的功能。

    第四十二条网上基金销售机构应保证网上基金数据传输的保密性、完整性、真实性和可稽核性,对网上基金交易的客户信息、交易信息及其他敏感信息进行可靠的加密,不得存在任何中间环节对数据进行加解密处理。

    第四十三条网上基金销售信息系统服务端应能够抵御连续猜测,防止攻击者通过对合法账户进行大规模非法登录请求,导致大量用户账户被异常锁定,正常用户无法登录。

    第四十四条网上基金销售信息系统服务端应对异常情况进行监控,并具有相应报警功能。

    第四十五条网上基金销售信息系统服务端对数据包被篡改、异常重发等情况需具有应对能力。

    第四十六条网上基金销售信息系统服务端应能在指定的闲置操作时间限制到期后,自动终止用户对系统的访问权。

    第四十七条网上基金销售信息系统服务端应能产生、记录并集中存储必要的日志信息,日志信息应至少包含能识别服务请求方身份的内容,如,登录终端的IP地址、MAC地址、手机号码和终端特征码等,并确保数据的可审计性,满足监管部门现场检查要求及司法机构调查取证的要求。

    第四十八条网上基金销售信息系统服务端应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户端。

    第四十九条网上基金销售信息系统服务端应能够提供系统运行状况信息(如活动状态、并发在线客户数目、并发会话数目、线程数目、队列长度等)、错误信息、安全警告等。

    第五十条网上基金销售信息系统应具备防范SQL注入、跨站脚本、Session欺骗、拒绝式服务攻击和缓冲区溢出等攻击的能力。

    第五十一条网上基金销售信息系统服务端对于客户口令等数据应当以密文形式存储。

    第六章安全管理

    第五十二条网上基金销售信息系统的开发、测试人员及环境应与运营人员及生产环境分离。开发、测试人员未经授权不得访问、修改非职责范围内的网上基金销售信息系统。

    第五十三条基金销售机构应对网上基金销售信息系统中包括网络安全设备、服务器以及应用系统在内的账户进行严格管理,账户权限应按最小权限原则设置,清除所有冗余、与应用无关的账户,并严格限制各管理员账户的使用,禁止用最高权限账户执行一般操作,尽量避免以最高权限账户运行网上基金销售信息系统服务端应用软件。

    第五十四条系统各级管理用户和口令应由专人负责,在系统允许的情况下,口令长度应在12位(含12位)以上,且含有字符和数字,区分大小写,并定期更改。

    第五十五条基金销售机构应定期进行网上基金销售系统的漏洞扫描和渗透测试工作,及时发现系统中存在的各种安全问题并及时修补。

    第五十六条原则上不允许通过互联网对网上基金销售信息系统(如防火墙、网络设备、服务器等)进行远程管理和日常维护等操作,对网上基金销售信息系统的访问控制应做到:

    (一)关闭网上基金销售信息系统所有与业务和维护无关的服务及端口,严格控制防火墙中的权限设置,确保按“最小权限原则”进行设置;

    (二)对于网上基金销售信息系统的内部访问,应严格限制访问源;

    (三)特殊紧急情况下需要通过互联网进行远程操作时,应通过限制登录IP、使用数字证书或动态口令、全程监控等措施确保安全,并在操作完成后,及时关闭相关端口。

    第五十七条基金销售机构应当确保网上基金销售信息系统服务器采取技术手段防止恶意代码(病毒等)运行、传播。对于防病毒软件,要保证病毒库的及时更新,定期对系统进行全面的病毒扫描。

    第五十八条基金销售机构应采取有效措施对门户网站上提供下载的网上基金客户端软件程序进行保护,客户端软件程序编译封装、形成下载文件后,对其进行严格的病毒扫描和木马检查,并通过专用安全手段传输至网站文件下载服务器。

    第五十九条基金销售机构应对网上基金销售信息系统进行实时监控,建立异常事件的甄别、报警、处理和报告机制。网上基金销售信息系统实时监控范围应包括各种安全设备、网络设备、服务器设备及操作系统、通讯线路状态、数据库、应用软件等。监控内容包括其运行状况、日志内容、安全警告等,应统一记录保存监控信息,保存期至少为6个月。

    第六十条基金销售机构应当妥善保存网上基金销售信息系统关键软件的日志文件,并定期检查、审核记录。

    第六十一条基金销售机构网上销售系统开发、测试中不应当存放来自于生产系统的客户真实数据。

    第六十二条基金销售机构网上基金销售信息系统上线或重大版本升级,应进行安全测试或技术评估。

    第六十三条基金销售机构应建立严格的变更管理流程,对包括网络安全设备、服务器、应用系统等软硬件系统变更实行规范化的变更管理。因系统变更而导致的网上基金销售服务暂停,需提前向投资者公告。

    第六十四条基金销售机构应建立针对网上基金销售信息系统的配置管理制度,完整、真实地记录和反映系统所涉及的软硬件配置及相互影响关系,并保持与实际生产环境同步更新。

    第六十五条基金销售机构应制定网上基金销售信息系统的数据备份计划并落实执行,数据备份应有严格的保管、使用、检查制度。备份数据应包括:系统程序、客户数据、配置参数、系统日志、安全审计数据等信息。

    第六十六条基金销售机构在公司灾备系统和业务连续性计划中应当包括网上基金销售系统。

    第六十七条基金销售机构应建立网上基金销售信息系统应急处置组织体系,并有针对性地制定应急预案,应急预案应纳入基金销售机构的整体应急预案体系内,并按照有关规定进行演练。

    第六十八条基金销售机构应根据网上基金销售信息系统故障的影响和损失情况对应急组织体系和应急预案进行分级管理,并遵循统一领导、快速响应、协调配合、最小损失的原则。

    第六十九条基金销售机构网上基金应急预案应针对电力、通信等基础设施故障、计算机硬件或网络设备故障、操作系统或应用系统故障、操作系统或应用系统漏洞、病毒入侵、恶意攻击、误操作、不可抗力等可能的故障原因制定对应的应急恢复操作流程。

    第七十条基金销售机构销售机构在网上基金销售信息系统发生影响业务正常业务的技术故障时,应立即启动应急预案、尽快恢复交易业务运行,并按有关要求及时上报监管部门。

    第七章附则

    第七十一条本指引自发布之日起施行。

来源: 上海证券交易所
   上一页   1   2  



相关文章:
基金销售费用新规:机构头疼 散户得利
开放式证券投资基金销售费用管理规定(征求意见稿)
证监会改革基金销售收费模式 短线炒"基"成本增加
4月新基金销售继续回暖 5只新基金平均募资31.2亿
低风险基金销售火 节后基金将密集发行
5月基金销售三大怪现状
基金销售转攻企业和机构
图片开云网页版-开云(中国)官方在线登录:
专家称长江水能开发利用已达警戒线 民间环保关注
2010年高校毕业生将达630余万人 就业不佳专业将被调整
更多 >>