張燕北 證券時(shí)報(bào)

　　深圳最大券商招商證券連續(xù)兩次出現(xiàn)交易系統(tǒng)故障，引起業(yè)內(nèi)外高度關(guān)注。而在近一年來(lái)，證券公司、基金公司發(fā)生多起信息系統(tǒng)安全事件。據(jù)了解，日前監(jiān)管部門(mén)下發(fā)一期《機(jī)構(gòu)監(jiān)管情況通報(bào)》，對(duì)相關(guān)信息系統(tǒng)安全事件案例專(zhuān)門(mén)進(jìn)行了通報(bào)。

　　通報(bào)中，監(jiān)管從公司內(nèi)控管理、系統(tǒng)架構(gòu)掌握、運(yùn)維人員、移動(dòng)App開(kāi)發(fā)管理等多個(gè)方面分析了證券基金機(jī)構(gòu)發(fā)生多起信息系統(tǒng)安全事件的原因。同時(shí)監(jiān)管明確五項(xiàng)要求，以持續(xù)保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。

　　業(yè)內(nèi)表示，為避免相關(guān)隱患，證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)該建立完善的監(jiān)控系統(tǒng)，同時(shí)最大限度避免人為操作風(fēng)險(xiǎn)，著重提升應(yīng)急能力，維護(hù)交易系統(tǒng)的安全和穩(wěn)定。

　　信息系統(tǒng)安全事件頻發(fā)

　　近期，有投資者在網(wǎng)絡(luò)上反映稱(chēng)，招商證券PC端與App端系統(tǒng)均無(wú)法登錄，造成無(wú)法正常交易。

　　無(wú)獨(dú)有偶，同一天，華西證券交易系統(tǒng)也在早盤(pán)期間出現(xiàn)故障，導(dǎo)致無(wú)法交易。盡管在早盤(pán)收盤(pán)前，相關(guān)情況已得到解決，但也有不少投資者直言因交易系統(tǒng)宕機(jī)而造成經(jīng)濟(jì)損失。

　　這已經(jīng)不是招商證券第一次系統(tǒng)異常了，而上一次出現(xiàn)問(wèn)題還是在今年3月14日，距離今天僅僅才剛過(guò)了兩個(gè)月。

　　此前，招商證券交易系統(tǒng)在3月14日出現(xiàn)了“交易頁(yè)面無(wú)法成交，無(wú)法撤回” 等系統(tǒng)故障，據(jù)投資者反映，故障時(shí)間長(zhǎng)達(dá)30分鐘之久。

　　招商證券對(duì)此回應(yīng)稱(chēng)“集中交易系統(tǒng)所有交易委托都已實(shí)時(shí)傳送至交易所系統(tǒng)，但是由于成交回報(bào)處理延遲，部分客戶在客戶端未及時(shí)收到成交回報(bào)信息，撤單交易受到影響?！?/p>

　　兩個(gè)月宕機(jī)兩次，對(duì)于招商證券這種千億級(jí)別的頭部券商來(lái)說(shuō)極其罕見(jiàn)。對(duì)此，4月2日，深圳證監(jiān)局發(fā)布公告稱(chēng)，招商證券在3月14日網(wǎng)絡(luò)安全事件中存在變更管理不完善，應(yīng)急處置不及時(shí)、不到位等問(wèn)題，因此決定對(duì)其采取責(zé)令改正措施。

　　深圳證監(jiān)局強(qiáng)調(diào)，上述整改工作應(yīng)于3個(gè)月內(nèi)完成，并向深圳證監(jiān)局報(bào)送整改報(bào)告。然而當(dāng)時(shí)未能料到的是，3個(gè)月的整改期限還沒(méi)到，招商證券系統(tǒng)再次出現(xiàn)異常。

　　此外，國(guó)信證券旗下交易系統(tǒng)也曾在3月15日出現(xiàn)故障。彼時(shí)，有投資者反映，國(guó)信證券交易軟件出現(xiàn)行情不能刷新，無(wú)法看盤(pán)和交易的情況。

　　值得一提的是，類(lèi)似的信息系統(tǒng)故障及安全事件并不僅僅發(fā)生在證券公司。2022 年 2 月 4 日、2 月 14日、2 月 28 日，3 家基金管理公司接連出現(xiàn)由于感染病毒或爬蟲(chóng)程序?qū)е鹿倬W(wǎng)無(wú)法訪問(wèn)的網(wǎng)絡(luò)安全事件。

　　劍指信息系統(tǒng)安全事件

　　監(jiān)管揭示五大原因

　　記者獲悉，針對(duì)頻頻發(fā)生的交易系統(tǒng)故障事件，證券基金機(jī)構(gòu)監(jiān)管部在新一期的《機(jī)構(gòu)監(jiān)管情況通報(bào)》中專(zhuān)門(mén)通報(bào)了相關(guān)信息系統(tǒng)安全事件案例，供全行業(yè)借鑒。

　　通報(bào)指出，近期，多家證券基金經(jīng)營(yíng)機(jī)構(gòu)發(fā)生信息系統(tǒng)安全事件，尤其是招商證券短時(shí)間連續(xù)發(fā)生同類(lèi)事件，影響投資者正常交易，給行業(yè)聲譽(yù)造成了負(fù)面影響。監(jiān)管部門(mén)將依法開(kāi)展調(diào)查工作，嚴(yán)肅處理相關(guān)機(jī)構(gòu)及責(zé)任人員。

　　對(duì)于事件主要類(lèi)型及反映出的問(wèn)題，監(jiān)管部門(mén)從五大方面進(jìn)行了具體分析。其一，個(gè)別公司合規(guī)內(nèi)控管理不到位，系統(tǒng)升級(jí)改造過(guò)程中存在薄弱環(huán)節(jié)。

　　通報(bào)以招商證券為例指出，2022 年 3 月 14 日、5 月 16 日，招商證券在周末系統(tǒng)升級(jí)過(guò)程中，測(cè)試場(chǎng)景尤其是壓力測(cè)試不夠充分，導(dǎo)致交易系統(tǒng)接連發(fā)生兩次信息系統(tǒng)安全事件。反映出當(dāng)事機(jī)構(gòu)合規(guī)與內(nèi)控制度不健全或執(zhí)行不到位。

　　其二，主體責(zé)任意識(shí)不強(qiáng)、履行不力，未清晰、準(zhǔn)確、完整掌握外部供應(yīng)商提供軟件的系統(tǒng)架構(gòu)。

　　例如，首創(chuàng)證券的上交所報(bào)盤(pán)程序于去年5月18日發(fā)生故障，經(jīng)排查，事故原因?yàn)檐浖?wù)商工程師對(duì)部署在同一服務(wù)器上的資管系統(tǒng)升級(jí)時(shí)，升級(jí)包存在邏輯錯(cuò)誤，反映出當(dāng)事機(jī)構(gòu)未有效落實(shí)相關(guān)辦法要求。

　　其三，運(yùn)維人員操作規(guī)范性不足，未能建立有效的權(quán)限管理及復(fù)核機(jī)制。經(jīng)梳理，有 6 起信息系統(tǒng)安全事件因運(yùn)維人員操作不規(guī)范引發(fā)。反映出當(dāng)事機(jī)構(gòu)在運(yùn)維工作的流程設(shè)計(jì)與監(jiān)督檢查等方面存在疏漏。

　　其四，移動(dòng) APP 開(kāi)發(fā)管理存在短板，已成為信息系統(tǒng)安全事件易發(fā)領(lǐng)域。2022 年 4 月 25 日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通報(bào)了 13 款證券公司移動(dòng) APP 存在隱私不合規(guī)行為，涉嫌超范圍采集個(gè)人隱私信息。反映出部分行業(yè)機(jī)構(gòu)在開(kāi)展數(shù)字化轉(zhuǎn)型、加大移動(dòng) APP 開(kāi)發(fā)投入的同時(shí)，未能同步做好相應(yīng)的安全管理工作。

　　其五，安全管理存在漏洞，應(yīng)對(duì)外部網(wǎng)絡(luò)攻擊或爬蟲(chóng)程序訪問(wèn)等網(wǎng)絡(luò)防護(hù)能力仍需提升。

　　監(jiān)管舉例稱(chēng)，去年3 家基金公司接連出現(xiàn)網(wǎng)絡(luò)安全事件，反映出當(dāng)事機(jī)構(gòu)網(wǎng)絡(luò)安全防護(hù)能力不足，未能在訪問(wèn)控制、入侵監(jiān)測(cè)及防護(hù)、病毒防護(hù)、網(wǎng)絡(luò)安全等方面建立起全面有效的安全防護(hù)體系。

　　監(jiān)管列明五大要求

　　持續(xù)加大信息技術(shù)管理監(jiān)察力度

　　在通報(bào)中，監(jiān)管部門(mén)同樣列明要求。通報(bào)指出，2022 年是黨的二十大勝利召開(kāi)之年，也是資本市場(chǎng)全面深化改革的關(guān)鍵之年。請(qǐng)各證券基金經(jīng)營(yíng)機(jī)構(gòu)對(duì)照上述問(wèn)題，舉一反三，認(rèn)真自查整改，維護(hù)好投資者合法權(quán)益，持續(xù)保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。

　　其一，高度重視、加強(qiáng)管理，切實(shí)提升系統(tǒng)運(yùn)維保障能力。一是壓實(shí)主體責(zé)任。健全信息技術(shù)管理體系和處罰問(wèn)責(zé)機(jī)制，督促公司“一把手”、首席信息官和關(guān)鍵技術(shù)崗位人員時(shí)刻繃緊信息系統(tǒng)安全這根弦，切實(shí)履職盡責(zé)，抓好機(jī)構(gòu)安全運(yùn)營(yíng)。

　　二是強(qiáng)化安全管理。三是加大技術(shù)保障。結(jié)合當(dāng)前疫情防控形勢(shì)，加大信息技術(shù)投入，提升技術(shù)人員業(yè)務(wù)能力，保持核心技術(shù)人員穩(wěn)定，做好應(yīng)急值守安排。

　　其二，強(qiáng)化內(nèi)部控制和合規(guī)管理，穩(wěn)妥推進(jìn)系統(tǒng)升級(jí)改造。一是明確內(nèi)部責(zé)任分工。二是制定專(zhuān)項(xiàng)實(shí)施方案，充分驗(yàn)證流程設(shè)計(jì)、功能設(shè)置、參數(shù)配置等相關(guān)內(nèi)容，審慎開(kāi)展涉及交易等核心業(yè)務(wù)環(huán)節(jié)的重要信息系統(tǒng)升級(jí)工作。三是完善系統(tǒng)測(cè)試工作，加強(qiáng)壓力測(cè)試。

　　其三，定期開(kāi)展系統(tǒng)健壯性評(píng)估，及時(shí)消除風(fēng)險(xiǎn)隱患。一是全面、準(zhǔn)確識(shí)別數(shù)字化轉(zhuǎn)型過(guò)程中的各類(lèi)技術(shù)風(fēng)險(xiǎn)，確保合規(guī)與風(fēng)險(xiǎn)管理覆蓋信息技術(shù)運(yùn)用的各個(gè)環(huán)節(jié)。

　　二是建立健全信息系統(tǒng)安全監(jiān)測(cè)機(jī)制。三是定期開(kāi)展信息技術(shù)管理工作專(zhuān)項(xiàng)審計(jì)，深入排查信息系統(tǒng)架構(gòu)問(wèn)題及技術(shù)風(fēng)險(xiǎn)隱患，及時(shí)整改。

　　其四，嚴(yán)格落實(shí)客戶信息保護(hù)要求，切實(shí)維護(hù)投資者合法權(quán)益。一是完善技術(shù)安全保障措施，二是加強(qiáng)信息系統(tǒng)管理，三是落實(shí)相關(guān)法律法規(guī)要求，加強(qiáng)移動(dòng) APP 管理。

　　其五，加強(qiáng)容量管理與災(zāi)備能力建設(shè)，提升應(yīng)急處突能力。一是落實(shí)系統(tǒng)容量管理及備份能力建設(shè)要求，結(jié)合公司發(fā)展戰(zhàn)略、業(yè)務(wù)規(guī)模等因素定期對(duì)重要信息系統(tǒng)開(kāi)展壓力測(cè)試，確保其容量滿足業(yè)務(wù)開(kāi)展需要。二是制定并持續(xù)完善應(yīng)急預(yù)案，三是豐富應(yīng)急處置場(chǎng)景。

　　下一階段，機(jī)構(gòu)部將會(huì)同各證監(jiān)局按照“穿透式監(jiān)管、全鏈條問(wèn)責(zé)”的原則，持續(xù)加大對(duì)證券基金經(jīng)營(yíng)機(jī)構(gòu)合規(guī)內(nèi)控與信息技術(shù)管理的監(jiān)督檢查力度，對(duì)存在問(wèn)題的機(jī)構(gòu)和負(fù)有責(zé)任的人員實(shí)施“雙罰”，并在分類(lèi)評(píng)價(jià)中從嚴(yán)處理。

　　制度建設(shè)保駕信息系統(tǒng)安全

　　事實(shí)上，證券基金行業(yè)早已進(jìn)入信息化建設(shè)和業(yè)務(wù)同步發(fā)展的階段，機(jī)構(gòu)的正常運(yùn)作早已離不開(kāi)數(shù)據(jù)資產(chǎn)的支持，包括客戶信息、交易數(shù)據(jù)以及各種重要數(shù)據(jù)等。

　　而自2017年以來(lái)，證券行業(yè)對(duì)信息技術(shù)的投入累計(jì)已經(jīng)超過(guò)1100億元，但是證券行業(yè)的數(shù)字化轉(zhuǎn)型之路任重而道遠(yuǎn)。

　　恒泰證券相關(guān)業(yè)務(wù)負(fù)責(zé)人認(rèn)為，現(xiàn)階段數(shù)字化轉(zhuǎn)型的路線和打法相對(duì)清晰，但是在轉(zhuǎn)型的過(guò)程中都或多或少會(huì)碰到與現(xiàn)有企業(yè)文化，技術(shù)平臺(tái)，組織架構(gòu)和投入產(chǎn)出相關(guān)的問(wèn)題。

　　從上至下需要保持戰(zhàn)略定力，確保數(shù)字化戰(zhàn)略的貫徹執(zhí)行；而從下至上則要選擇符合企業(yè)自身稟賦的執(zhí)行路徑，先做什么后做什么，多做什么少做什么，而不是一味的模仿同業(yè)大干快上，才能走出一條成功的數(shù)字化轉(zhuǎn)型之路。

　　上海證券金融科技總部相關(guān)負(fù)責(zé)人認(rèn)為，數(shù)字化轉(zhuǎn)型不是簡(jiǎn)單地搭建系統(tǒng)、建設(shè)平臺(tái)、落地?cái)?shù)據(jù)，而是涉及公司理念、文化、組織、業(yè)態(tài)、管理、流程等方面的全方位變革，應(yīng)充分結(jié)合自身資源稟賦，以客戶為中心提升證券金融服務(wù)質(zhì)量和效率，降低企業(yè)運(yùn)營(yíng)成本和風(fēng)險(xiǎn)，積極探索打通內(nèi)部生態(tài)鏈并融入外部生態(tài)圈，以數(shù)字化重塑業(yè)務(wù)流程和商業(yè)模式。而想要實(shí)現(xiàn)上述目標(biāo)仍然面臨體制機(jī)制難以匹配轉(zhuǎn)型目標(biāo)、資源投入相對(duì)不足、數(shù)據(jù)治理水平和數(shù)據(jù)質(zhì)量不足、復(fù)合型人才緊缺四大難點(diǎn)。

　　證監(jiān)會(huì)于2018年底出臺(tái)，于2019年6月1日開(kāi)始執(zhí)行證監(jiān)會(huì)第152號(hào)令《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》，作為行業(yè)信息技術(shù)監(jiān)管的依據(jù)，對(duì)證券公司和基金管理公司、從事行業(yè)信息技術(shù)服務(wù)機(jī)構(gòu)等具重要的意義。

　　管理辦法中強(qiáng)調(diào)了數(shù)據(jù)治理的必要性，對(duì)數(shù)據(jù)安全的管理職責(zé)有明確要求，并表明機(jī)構(gòu)需要完善網(wǎng)絡(luò)系統(tǒng)保護(hù)經(jīng)營(yíng)數(shù)據(jù)和客戶信息安全，防范數(shù)據(jù)泄漏。

　　證監(jiān)會(huì)關(guān)于證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法中也明確提出“證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)完善網(wǎng)絡(luò)隔離、用戶認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密、數(shù)據(jù)備份、數(shù)據(jù)銷(xiāo)毀、日志記錄、病毒防范和非法入侵檢測(cè)等安全保障措施，保護(hù)經(jīng)營(yíng)數(shù)據(jù)和客戶信息安全，防范信息泄露與損毀?！?/p>

　　就基金公司數(shù)據(jù)安全而言，業(yè)內(nèi)表示，隨著金融行業(yè)對(duì)于通信技術(shù)和計(jì)算機(jī)應(yīng)用的依賴(lài)性不斷增加，各家基金司在如何確保信息系統(tǒng)穩(wěn)定、高效運(yùn)行方面日益受到各方關(guān)注。

　　近年來(lái)基金企業(yè)內(nèi)的數(shù)據(jù)安全已逐步放到首要位置，包括數(shù)據(jù)的使用范圍、流轉(zhuǎn)、復(fù)制和篡改等。

　　來(lái)源：中國(guó)基金報(bào)