中国基金报记者王元业
昨日,当投资者股票账户被盗、第三方软件Flush被推到风口浪尖时,多家券商紧急发出风险警示,也为金融业的系统安全敲响了警钟。在同花顺占据舆论“C位”的同时,又有一款交易软件被交易所点名,指出该软件已被破解,并提醒期权操作人员注意系统安全风险。
存在被破解的漏洞
汇点客户端软件被上交所点名
近日,上交所在监测期权市场过程中发现,多家期权运营商使用的汇点客户端软件被破解。
据了解,汇点客户端由上海鹏博金融信息有限公司开发,投资者通过汇点客户端使用内存注入、调用接口等方式发送程序生成的订单。在调查是否存在疑似程序交易时,期权运营商往往会利用IP和MAC信息来判断是否存在异常,但上述破解汇点客户端的手段可以有效避免这种判断。
根据上交所要求,未来检查相关问题时,期权操作人员应避免使用传统的判断策略,应联系客户端软件供应商对异常网关日志等信息进行综合判断,从而准确判断类似违规行为。
上交所认为,期权管理机构是负责管理客户交易行为的主体,有义务监督和维护客户的正常交易秩序。在之前多次升级汇点客户端软件的基础上,这次依然存在漏洞,提醒各期权运营商注意系统安全风险,及时升级供应商提供的安全补丁,谨慎合规开展各项业务。
股民账户被盗
同花顺受质疑
说到系统安全,最近对投资者账户的盗窃一直在肆虐。最近有投资者反映证券账户被盗,不仅被恶意清空,还在整个仓库买了姬敏制药,都是用第三方平台Flush交易。据公开报道,目前参与此次事件的投资者有30余家,涉及券商十余家,从头部券商到中小券商不等。
虽然案件还在调查中,因为这些投资者都用同花顺进行交易,有一段时间,同花顺被推到了风口浪尖,公司不得不做出回应。4月13日,Flush表示,与事件相关的内容与事实完全不符,因为部分投资者没有意识到安全防范措施,导致资金账户和密码被泄露,从而导致盗窃、买卖的发生。直同花顺也否认存在安全漏洞,称平台拥有科学、规范、完整的安全体系,并持续采取高投入强化证券IT系统安全机制,呼吁用户加强防范意识,保护好个人账户。
“账户被盗”事件发生后,很多与Flush合作的经纪人立即发出风险警告,建议客户定期更换账户密码,保护个人信息,最好使用经纪人自己的app进行交易。
5px;">信息系统安全成金融机构必争之地
不论是金融机构还是第三方平台,信息系统的安全一直是重金投入之地,也是必争之地。
就券商而言,中国证券业协会披露的数据显示,2018年,券商信息系统投入金额上,98家券商中有35家投入额超1亿元,占比达到36%,超过4亿元的有7家,其中,国泰君安、中信证券、广发证券、华泰证券和平安证券排名前五,分别投入7.04亿元、5.8亿元、4.85亿元、4.81亿元和4.6亿元。此外,投入金额在5000万~1亿元之间的有30余家。
事实上,依靠以信息技术为代表的高新技术,券商大大提升了企业的运营效率与核心竞争力。公司的投资业务、资产管理业务和经纪业务等多项业务以及中后台管理均高度依赖于信息系统的支撑,信息技术发挥了对公司业务关键的推动作用。
不过,在促进证券业发展的同时,信息技术也带来了相当大的风险。电子设备及系统软件质量、系统运维能力、应用软件业务处理性能、行业服务商水平、病毒和黑客攻击、数据丢失与泄露、操作权限非正常获取、基础保障、自然灾害等都会对系统建设和运行产生重大影响。所以,多数券商在风险管理体系的建设上做了大量的准备和功课,实现信息技术风险事前、事中、事后闭环有效管理,进一步提高信息系统建设与运维的安全管理水平。
在外部接入管理上,业内也一直处于“磨合”状态。从2015年以来,证监会先后发布《关于加强证券公司信息系统外部接入管理的通知》《关于清理整顿违法从事证券业务活动的意见》等相关文件,督促证券公司加强信息系统外部接入管理。去年初,证监会也就《证券公司交易信息系统外部接入管理暂行规定》向社会公开征求意见,要求券商应当在严格控制风险的前提下审慎开展相关业务活动,严格控制风险,确保外部接入始终保持合规、安全、稳定的状态。
编辑:舰长
