《期貨公司網(wǎng)上期貨信息系統(tǒng)技術(shù)指引》詳細(xì)解讀課件

《期貨公司網(wǎng)上期貨信息系統(tǒng)技術(shù)指引》

解讀

《期貨公司網(wǎng)上期貨信息系統(tǒng)技術(shù)指引》

解讀

一、出臺《期貨公司網(wǎng)上期貨信息系統(tǒng)技術(shù)指引》（以下稱《指引》）背景（一）、電子商務(wù)發(fā)展迅速（阿里巴巴、淘寶網(wǎng)、網(wǎng)銀、證券、期貨）（二）、安全問題日趨嚴(yán)峻（銀行、證券、期貨網(wǎng)上安全問題）２００４年４月，“網(wǎng)銀大盜”。２００４年11月，“證券大盜”。期貨方面：２００３年，“期貨精靈”。一、出臺《期貨公司網(wǎng)上期貨信息系統(tǒng)技術(shù)指引》（以下稱《指引》

針對網(wǎng)上證券交易可能出現(xiàn)的安全風(fēng)險（如：盜買盜賣）證監(jiān)會于2008年年底發(fā)布《關(guān)于加強(qiáng)對投資者網(wǎng)上交易安全保護(hù)的通知》（證監(jiān)辦發(fā)〔2008〕136號）期貨公司信息安全問題現(xiàn)狀：在證券期貨業(yè)中期貨網(wǎng)上交易比例最高(90%以上)但安全卻最為薄弱

問題原因：1.安全管理意識與制度建設(shè)問題；2.投入問題(人員、資金)；3.技術(shù)人員知識結(jié)構(gòu)問題；4.供應(yīng)商問題。針對網(wǎng)上證券交易可能出現(xiàn)的安全風(fēng)險（如：盜買盜賣）

前期期貨公司網(wǎng)站檢查、復(fù)查情況：主要存在八大安全問題（漏洞）：

1.SQL注入；

2.弱口令、口令驗(yàn)證不足；

3.網(wǎng)站被注入木馬；

4.后臺管理權(quán)限泄漏；

5.跨站腳本；

6.目錄遍歷；

7.HTTP協(xié)議追蹤；

8.敏感信息泄露。

前期期貨公司網(wǎng)站檢查、復(fù)查情況：（三）、技術(shù)監(jiān)管和行業(yè)自律要求

2008年5月，證監(jiān)會成立了證券期貨業(yè)信息化工作領(lǐng)導(dǎo)小組及其辦公室和專家委員會。

中期協(xié)成立了信息技術(shù)部，同時由證監(jiān)會、交易所、交易所技術(shù)公司、中國保證金監(jiān)控中心、期貨公司等單位相關(guān)人員組成信息技術(shù)委員會。1.制定相關(guān)工作制度2.制定年度重點(diǎn)工作計劃

關(guān)鍵要求：形成信息安全與業(yè)務(wù)資格審批聯(lián)動機(jī)制（證監(jiān)辦發(fā)[2008]63號）。（三）、技術(shù)監(jiān)管和行業(yè)自律要求二、《指引》框架體系設(shè)計思路

（一）、原來思路：總則后分網(wǎng)上交易服務(wù)端、網(wǎng)上交易客戶端、門戶網(wǎng)站、移動期貨等（二）、修改思路：總則、基本要求、主要安全威脅及防范措施、運(yùn)營管理、應(yīng)急處置、附則共6章（三）、成文過程：中期協(xié)IT委員會形成初稿→反復(fù)討論、認(rèn)真修改→形成統(tǒng)一文稿由協(xié)會向期貨公司征求意見→充分吸收→根據(jù)證監(jiān)會信息中心要求進(jìn)一步完善→中期協(xié)理事會審議通過→證監(jiān)會核準(zhǔn)→中期協(xié)2009年6月23日正式發(fā)布（前后形成有十幾稿之多）。三、《指引》條款解讀

（一）、第一章總則（第1及2條）：制定《指引》的目的；適用范圍。二、《指引》框架體系設(shè)計思路（第3條）描述期貨公司對其網(wǎng)上期貨信息系統(tǒng)采取技術(shù)和管理措施的保障目的要求:

網(wǎng)上期貨信息系統(tǒng)：安全、可用；網(wǎng)上期貨業(yè)務(wù)：連續(xù)、可靠客戶信息：保密、完整。

（第4條）此條為指引中所用名詞的釋義：互聯(lián)網(wǎng)（注意：指引中指廣義的，不只是包括一般意義下的互聯(lián)網(wǎng)）；網(wǎng)上期貨業(yè)務(wù)（主要指：網(wǎng)上交易、網(wǎng)上行情、數(shù)據(jù)查詢、信息發(fā)布等）；網(wǎng)上期貨信息系統(tǒng)（主要指：網(wǎng)上期貨服務(wù)端、客戶端）；網(wǎng)上期貨客戶端（客戶使用的計算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備及其軟件，一般用于獲得交易、行情、資訊等服務(wù)。）；網(wǎng)上期貨服務(wù)端（期貨公司用于提供交易、行情、資訊等業(yè)務(wù)接入的計算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、軟件及專用通訊線路等（包括網(wǎng)站））。（第3條）描述期貨公司對其網(wǎng)上期貨信息系統(tǒng)采取技術(shù)和管理措施第三方（是指除期貨公司及其客戶以外的其他方。）(二)、第二章基本要求（第5條）相關(guān)設(shè)備設(shè)置屬地要求：核心服務(wù)器以及記錄和存儲客戶信息和交易數(shù)據(jù)的設(shè)備，應(yīng)設(shè)置在境內(nèi)。（第6條）網(wǎng)站ICP許可證要求。

(第7條）網(wǎng)上期貨信息系統(tǒng)營運(yùn)管理要求：自主運(yùn)營、自主管理（托管方式怎么辦？托管可以，但有管理上的要求)。（第8條）開展網(wǎng)上期貨業(yè)務(wù)崗位設(shè)置要求：應(yīng)設(shè)置技術(shù)和業(yè)務(wù)管理崗位（這里指專、兼均可）。第三方（是指除期貨公司及其客戶以外的其他方。）（第9條）網(wǎng)上期貨業(yè)務(wù)風(fēng)險管理要求：納入公司風(fēng)險管理總體框架和內(nèi)部控制體系中（作為其中的一部分）。（第10條）對期貨合同風(fēng)險揭示要求：有專門的條款充分揭示風(fēng)險。（第11條）對系統(tǒng)的安全信息揭示要求：（一）在客戶下載軟件和登錄系統(tǒng)時進(jìn)行揭示；（二）系統(tǒng)提供預(yù)留驗(yàn)證信息，防仿冒的期貨信息系統(tǒng)。(第12條）對網(wǎng)上交易軟件的安全防護(hù)能力要求：（一）采取安全方式提供網(wǎng)上交易客戶端軟件。（二）對通過互聯(lián)網(wǎng)傳送的重要信息（如：客戶信息、交易指令等）加密，且有足夠的加密強(qiáng)度和抗攻擊能力。

《期貨公司網(wǎng)上期貨信息系統(tǒng)技術(shù)指引》詳細(xì)解讀課件

(第13條）對網(wǎng)上期貨用戶身份認(rèn)證要求：客戶端應(yīng)采用多種認(rèn)證方式與服務(wù)端進(jìn)行身份認(rèn)證：（一）用戶身份認(rèn)證方式除賬號、口令、驗(yàn)證碼外，還應(yīng)提供一種以上強(qiáng)度更高的身份認(rèn)證方式（客戶端電腦或手機(jī)特征碼綁定、數(shù)字證書、動態(tài)口令等）供客戶選擇采用（注意是供選擇而非強(qiáng)制）；

（二）用戶身份認(rèn)證信息應(yīng)在服務(wù)器上加密存放，客戶的賬號、口令等身份信息不可明文存放在數(shù)據(jù)庫表或配置文件中。警示案例：以前有一家供應(yīng)商的軟件系統(tǒng)就是明文存放方式的?。ǖ?4條）網(wǎng)上期貨服務(wù)端日志信息保存要求：(第13條）對網(wǎng)上期貨用戶身份認(rèn)證要求：客戶端應(yīng)采用多種認(rèn)

能產(chǎn)生、記錄并集中存儲必要的日志信息（如客戶信息、交易信息和IP地址等）。

（第15條）服務(wù)端安全域劃分、安全隔離要求：對服務(wù)端各個子系統(tǒng)合理劃分安全域；有效隔離；對安全措施的持續(xù)調(diào)整優(yōu)化。（第16條）對實(shí)時監(jiān)控和防范非法訪問的要求：具備相關(guān)功能或有相關(guān)設(shè)施；對相關(guān)日志文件保存要求：能保存關(guān)鍵軟件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)監(jiān)控系統(tǒng)）的日志文件和審計記錄。（第17條）對開展移動期貨業(yè)務(wù)的要求：能產(chǎn)生、記錄并集中存儲必要的日志信息（如客戶信息、交易評估供應(yīng)商的資質(zhì)，檢查移動期貨技術(shù)安全方案并留檔備查。（第18條）網(wǎng)上行情和資訊信息要求：來源合法；至少兩套不同的網(wǎng)上行情系統(tǒng)，且行情服務(wù)器置于至少兩個不同的機(jī)房。（第19條）對采取外包網(wǎng)上期貨信息系統(tǒng)方式的要求:盡職調(diào)查；簽署服務(wù)協(xié)議（第20條）開發(fā)、測試與運(yùn)營要求：開發(fā)人員、開發(fā)環(huán)境應(yīng)與運(yùn)營人員、生產(chǎn)環(huán)境分離；開發(fā)人員訪問、修改須先獲授權(quán)。（第21條）對不同互聯(lián)網(wǎng)運(yùn)營商的互聯(lián)瓶頸要求：保證系統(tǒng)在局部災(zāi)難或?yàn)?zāi)害發(fā)生時的對外服務(wù)質(zhì)量和能力（具體做法自定）。（第22條）培訓(xùn)要求:安全知識更新，管理能力提高。

評估供應(yīng)商的資質(zhì)，檢查移動期貨技術(shù)安全方案并留檔備查。(三）、第三章主要安全威脅及防范措施（第23到36條）目前主要安全問題：包括但不限于：（一）端口漏洞攻擊;（二）口令攻擊;（三）注入式攻擊;（四）溢出攻擊;（五）木馬程序;（六）拒絕服務(wù)攻擊;（七）病毒攻擊;（八）垃圾郵件攻擊;（九）非授權(quán)訪問攻擊;（十）內(nèi)容篡改攻擊;（十一）信息偷竊;（十二）業(yè)務(wù)行為抵賴；（十三）跨站腳本和協(xié)議追蹤攻擊等。逐條釋義并給出目前應(yīng)對該攻擊的一些技術(shù)方法。（道高一尺魔高一丈；永無止境的角力?。?三）、第三章主要安全威脅及防范措施（第37條）此條表明除應(yīng)防范第23到36條列出的安全威脅外，還應(yīng)及時根據(jù)安全防范新技術(shù)的應(yīng)用以及出現(xiàn)的新的安全威脅情況及時調(diào)整、加強(qiáng)安全策略和安全管理。（與時俱進(jìn)！）（四）、第四章運(yùn)營管理（第38條）實(shí)時監(jiān)控客戶賬號異常情況要求：采取技術(shù)、人工相結(jié)合方式，發(fā)現(xiàn)異常情況及時提醒客戶并留存記錄備查）。問題：“異常情況”如何定義？

（第39條）安全訪問控制要求：建立業(yè)務(wù)服務(wù)及端口明細(xì)表；關(guān)閉與業(yè)務(wù)無關(guān)的服務(wù)及端口；端口開放需要審核和批準(zhǔn)。

（第37條）此條表明除應(yīng)防范第23到36條列出的安全威脅外，（第40條）對網(wǎng)絡(luò)流量和應(yīng)用系統(tǒng)實(shí)時監(jiān)控要求：對網(wǎng)絡(luò)流量和應(yīng)用系統(tǒng)健康狀況進(jìn)行實(shí)時監(jiān)控和事后安全審計；每日檢查分析相關(guān)日志信息，檢查分析報告應(yīng)留檔備查。（第41條）對網(wǎng)站內(nèi)容發(fā)布管理要求：對網(wǎng)頁內(nèi)容監(jiān)控；對有害信息過濾。（第42條）客戶服務(wù)要求：盡可能統(tǒng)一的客服電話、域名、短信號碼；明確正確途徑、故障處理辦法、聯(lián)系方式等。（第43條）管理與操作權(quán)限要求：有管理和操作權(quán)限規(guī)定、責(zé)任劃分和操作流程；對操作記錄妥善保管。（第44條）系統(tǒng)備份和容量要求：有可靠的熱備或冷備措施；互聯(lián)網(wǎng)接入帶寬、網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備，應(yīng)用軟件處理能力等應(yīng)有足夠的余量；對服務(wù)能力及時評估并擴(kuò)容。（第40條）對網(wǎng)絡(luò)流量和應(yīng)用系統(tǒng)實(shí)時監(jiān)控要求：對網(wǎng)絡(luò)流量和應(yīng)（第45條）數(shù)據(jù)備份和故障恢復(fù)要求：應(yīng)納入公司整體業(yè)務(wù)數(shù)據(jù)備份和故障恢復(fù)措施中；對配置參數(shù)、系統(tǒng)日志等重要數(shù)據(jù)進(jìn)行備份，并記錄操作日志。（第46條）變更管理要求：上線或重大版本升級，應(yīng)先制定詳細(xì)方案；測試、維護(hù)和升級應(yīng)選擇非交易時間，需暫停業(yè)務(wù)服務(wù)的應(yīng)至少提前三天公告，因非期貨公司自身原因無法做到提前三天公告的應(yīng)至少提前一天公告。（第47條）安全事故報告要求：及時向中期協(xié)報告，必要時還應(yīng)向公安部門報案。（第48條）發(fā)現(xiàn)假冒非法活動時處置要求：及時向公安部門報案；同時通過網(wǎng)站、電話語音提示或短信平臺等多種渠道提醒客戶；書面報中期協(xié)。

（第45條）數(shù)據(jù)備份和故障恢復(fù)要求：應(yīng)納入公司整體業(yè)務(wù)數(shù)據(jù)備（五）、第五章應(yīng)急處理（第49條到52條）應(yīng)急處理預(yù)案及演練要求：納入公司總體應(yīng)急處理預(yù)案體系中；應(yīng)急處理預(yù)案原則：統(tǒng)一領(lǐng)導(dǎo)、快速響應(yīng)、協(xié)調(diào)配合、最小損失。針對不同情況（設(shè)備故障、通信中斷、電力中斷、應(yīng)用軟件故障、誤操作、病毒攻擊、網(wǎng)絡(luò)攻擊、自然災(zāi)害等）制定對應(yīng)的應(yīng)急恢復(fù)操作流程或步驟；至少每半年演練一次，演練記錄留存。應(yīng)急預(yù)案的演練應(yīng)納入公司整體性應(yīng)急預(yù)案演練中，實(shí)際演練時既可作為整體應(yīng)急演練的一部分，也可進(jìn)行單獨(dú)的局部性應(yīng)急演練。若啟動應(yīng)急預(yù)案將對客戶產(chǎn)生較大影響，則應(yīng)及時公告。（五）、第五章應(yīng)急處理（六）、第六章附則（第53條）《指引》的解釋權(quán)：中國期貨業(yè)協(xié)會（第54條）《指引》開始施行日期：發(fā)布之日起（六）、第六章附則

謝謝大家!

謝謝大家!

19《期貨公司網(wǎng)上期貨信息系統(tǒng)技術(shù)指引》

解讀

《期貨公司網(wǎng)上期貨信息系統(tǒng)技術(shù)指引》

解讀

一、出臺《期貨公司網(wǎng)上期貨信息系統(tǒng)技術(shù)指引》（以下稱《指引》）背景（一）、電子商務(wù)發(fā)展迅速（阿里巴巴、淘寶網(wǎng)、網(wǎng)銀、證券、期貨）（二）、安全問題日趨嚴(yán)峻（銀行、證券、期貨網(wǎng)上安全問題）２００４年４月，“網(wǎng)銀大盜”。２００４年11月，“證券大盜”。期貨方面：２００３年，“期貨精靈”。一、出臺《期貨公司網(wǎng)上期貨信息系統(tǒng)技術(shù)指引》（以下稱《指引》

針對網(wǎng)上證券交易可能出現(xiàn)的安全風(fēng)險（如：盜買盜賣）證監(jiān)會于2008年年底發(fā)布《關(guān)于加強(qiáng)對投資者網(wǎng)上交易安全保護(hù)的通知》（證監(jiān)辦發(fā)〔2008〕136號）期貨公司信息安全問題現(xiàn)狀：在證券期貨業(yè)中期貨網(wǎng)上交易比例最高(90%以上)但安全卻最為薄弱

問題原因：1.安全管理意識與制度建設(shè)問題；2.投入問題(人員、資金)；3.技術(shù)人員知識結(jié)構(gòu)問題；4.供應(yīng)商問題。針對網(wǎng)上證券交易可能出現(xiàn)的安全風(fēng)險（如：盜買盜賣）

前期期貨公司網(wǎng)站檢查、復(fù)查情況：主要存在八大安全問題（漏洞）：

1.SQL注入；

2.弱口令、口令驗(yàn)證不足；

3.網(wǎng)站被注入木馬；

4.后臺管理權(quán)限泄漏；

5.跨站腳本；

6.目錄遍歷；

7.HTTP協(xié)議追蹤；

8.敏感信息泄露。

前期期貨公司網(wǎng)站檢查、復(fù)查情況：（三）、技術(shù)監(jiān)管和行業(yè)自律要求

2008年5月，證監(jiān)會成立了證券期貨業(yè)信息化工作領(lǐng)導(dǎo)小組及其辦公室和專家委員會。

中期協(xié)成立了信息技術(shù)部，同時由證監(jiān)會、交易所、交易所技術(shù)公司、中國保證金監(jiān)控中心、期貨公司等單位相關(guān)人員組成信息技術(shù)委員會。1.制定相關(guān)工作制度2.制定年度重點(diǎn)工作計劃

關(guān)鍵要求：形成信息安全與業(yè)務(wù)資格審批聯(lián)動機(jī)制（證監(jiān)辦發(fā)[2008]63號）。（三）、技術(shù)監(jiān)管和行業(yè)自律要求二、《指引》框架體系設(shè)計思路

（一）、原來思路：總則后分網(wǎng)上交易服務(wù)端、網(wǎng)上交易客戶端、門戶網(wǎng)站、移動期貨等（二）、修改思路：總則、基本要求、主要安全威脅及防范措施、運(yùn)營管理、應(yīng)急處置、附則共6章（三）、成文過程：中期協(xié)IT委員會形成初稿→反復(fù)討論、認(rèn)真修改→形成統(tǒng)一文稿由協(xié)會向期貨公司征求意見→充分吸收→根據(jù)證監(jiān)會信息中心要求進(jìn)一步完善→中期協(xié)理事會審議通過→證監(jiān)會核準(zhǔn)→中期協(xié)2009年6月23日正式發(fā)布（前后形成有十幾稿之多）。三、《指引》條款解讀

（一）、第一章總則（第1及2條）：制定《指引》的目的；適用范圍。二、《指引》框架體系設(shè)計思路（第3條）描述期貨公司對其網(wǎng)上期貨信息系統(tǒng)采取技術(shù)和管理措施的保障目的要求:

網(wǎng)上期貨信息系統(tǒng)：安全、可用；網(wǎng)上期貨業(yè)務(wù)：連續(xù)、可靠客戶信息：保密、完整。

（第4條）此條為指引中所用名詞的釋義：互聯(lián)網(wǎng)（注意：指引中指廣義的，不只是包括一般意義下的互聯(lián)網(wǎng)）；網(wǎng)上期貨業(yè)務(wù)（主要指：網(wǎng)上交易、網(wǎng)上行情、數(shù)據(jù)查詢、信息發(fā)布等）；網(wǎng)上期貨信息系統(tǒng)（主要指：網(wǎng)上期貨服務(wù)端、客戶端）；網(wǎng)上期貨客戶端（客戶使用的計算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備及其軟件，一般用于獲得交易、行情、資訊等服務(wù)。）；網(wǎng)上期貨服務(wù)端（期貨公司用于提供交易、行情、資訊等業(yè)務(wù)接入的計算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、軟件及專用通訊線路等（包括網(wǎng)站））。（第3條）描述期貨公司對其網(wǎng)上期貨信息系統(tǒng)采取技術(shù)和管理措施第三方（是指除期貨公司及其客戶以外的其他方。）(二)、第二章基本要求（第5條）相關(guān)設(shè)備設(shè)置屬地要求：核心服務(wù)器以及記錄和存儲客戶信息和交易數(shù)據(jù)的設(shè)備，應(yīng)設(shè)置在境內(nèi)。（第6條）網(wǎng)站ICP許可證要求。

(第7條）網(wǎng)上期貨信息系統(tǒng)營運(yùn)管理要求：自主運(yùn)營、自主管理（托管方式怎么辦？托管可以，但有管理上的要求)。（第8條）開展網(wǎng)上期貨業(yè)務(wù)崗位設(shè)置要求：應(yīng)設(shè)置技術(shù)和業(yè)務(wù)管理崗位（這里指專、兼均可）。第三方（是指除期貨公司及其客戶以外的其他方。）（第9條）網(wǎng)上期貨業(yè)務(wù)風(fēng)險管理要求：納入公司風(fēng)險管理總體框架和內(nèi)部控制體系中（作為其中的一部分）。（第10條）對期貨合同風(fēng)險揭示要求：有專門的條款充分揭示風(fēng)險。（第11條）對系統(tǒng)的安全信息揭示要求：（一）在客戶下載軟件和登錄系統(tǒng)時進(jìn)行揭示；（二）系統(tǒng)提供預(yù)留驗(yàn)證信息，防仿冒的期貨信息系統(tǒng)。(第12條）對網(wǎng)上交易軟件的安全防護(hù)能力要求：（一）采取安全方式提供網(wǎng)上交易客戶端軟件。（二）對通過互聯(lián)網(wǎng)傳送的重要信息（如：客戶信息、交易指令等）加密，且有足夠的加密強(qiáng)度和抗攻擊能力。

《期貨公司網(wǎng)上期貨信息系統(tǒng)技術(shù)指引》詳細(xì)解讀課件

(第13條）對網(wǎng)上期貨用戶身份認(rèn)證要求：客戶端應(yīng)采用多種認(rèn)證方式與服務(wù)端進(jìn)行身份認(rèn)證：（一）用戶身份認(rèn)證方式除賬號、口令、驗(yàn)證碼外，還應(yīng)提供一種以上強(qiáng)度更高的身份認(rèn)證方式（客戶端電腦或手機(jī)特征碼綁定、數(shù)字證書、動態(tài)口令等）供客戶選擇采用（注意是供選擇而非強(qiáng)制）；

（二）用戶身份認(rèn)證信息應(yīng)在服務(wù)器上加密存放，客戶的賬號、口令等身份信息不可明文存放在數(shù)據(jù)庫表或配置文件中。警示案例：以前有一家供應(yīng)商的軟件系統(tǒng)就是明文存放方式的?。ǖ?4條）網(wǎng)上期貨服務(wù)端日志信息保存要求：(第13條）對網(wǎng)上期貨用戶身份認(rèn)證要求：客戶端應(yīng)采用多種認(rèn)

能產(chǎn)生、記錄并集中存儲必要的日志信息（如客戶信息、交易信息和IP地址等）。

（第15條）服務(wù)端安全域劃分、安全隔離要求：對服務(wù)端各個子系統(tǒng)合理劃分安全域；有效隔離；對安全措施的持續(xù)調(diào)整優(yōu)化。（第16條）對實(shí)時監(jiān)控和防范非法訪問的要求：具備相關(guān)功能或有相關(guān)設(shè)施；對相關(guān)日志文件保存要求：能保存關(guān)鍵軟件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)監(jiān)控系統(tǒng)）的日志文件和審計記錄。（第17條）對開展移動期貨業(yè)務(wù)的要求：能產(chǎn)生、記錄并集中存儲必要的日志信息（如客戶信息、交易評估供應(yīng)商的資質(zhì)，檢查移動期貨技術(shù)安全方案并留檔備查。（第18條）網(wǎng)上行情和資訊信息要求：來源合法；至少兩套不同的網(wǎng)上行情系統(tǒng)，且行情服務(wù)器置于至少兩個不同的機(jī)房。（第19條）對采取外包網(wǎng)上期貨信息系統(tǒng)方式的要求:盡職調(diào)查；簽署服務(wù)協(xié)議（第20條）開發(fā)、測試與運(yùn)營要求：開發(fā)人員、開發(fā)環(huán)境應(yīng)與運(yùn)營人員、生產(chǎn)環(huán)境分離；開發(fā)人員訪問、修改須先獲授權(quán)。（第21條）對不同互聯(lián)網(wǎng)運(yùn)營商的互聯(lián)瓶頸要求：保證系統(tǒng)在局部災(zāi)難或?yàn)?zāi)害發(fā)生時的對外服務(wù)質(zhì)量和能力（具體做法自定）。（第22條）培訓(xùn)要求:安全知識更新，管理能力提高。

評估供應(yīng)商的資質(zhì)，檢查移動期貨技術(shù)安全方案并留檔備查。(三）、第三章主要安全威脅及防范措施（第23到36條）目前主要安全問題：包括但不限于：（一）端口漏洞攻擊;（二）口令攻擊;（三）注入式攻擊;（四）溢出攻擊;（五）木馬程序;（六）拒絕服務(wù)攻擊;（七）病毒攻擊;（八）垃圾郵件攻擊;（九）非授權(quán)訪問攻擊;（十）內(nèi)容篡改攻擊;（十一）信息偷竊;（十二）業(yè)務(wù)行為抵賴；（十三）跨站腳本和協(xié)議追蹤攻擊等。逐條釋義并給出目前應(yīng)對該攻擊的一些技術(shù)方法。（道高一尺魔高一丈；永無止境的角力?。?三）、第三章主要安全威脅及防范措施（第37條）此條表明除應(yīng)防范第23到36條列出的安全威脅外，還應(yīng)及時根據(jù)安全防范新技術(shù)的應(yīng)用以及出現(xiàn)的新的安全威脅情況及時調(diào)整、加強(qiáng)安全策略和安全管理。（與時俱進(jìn)?。ㄋ模⒌谒恼逻\(yùn)營管理（第38條）實(shí)時監(jiān)控客戶賬號異常情況要求：采取技術(shù)、人工相結(jié)合方式，發(fā)現(xiàn)異常情況及時提醒客戶并留存記錄備查）。問題：“異常情況”如何定義？

（第39條）安全訪問控制要求：建立業(yè)務(wù)服務(wù)及端口明細(xì)表；關(guān)閉與業(yè)務(wù)無關(guān)的服務(wù)及端口；端口開放需要審核和批準(zhǔn)。

（第37條）此條表明除應(yīng)防范第23到36條列出的安全威脅外，（第40條）對網(wǎng)絡(luò)流量和應(yīng)用系統(tǒng)實(shí)時監(jiān)控要求：對網(wǎng)絡(luò)流量和應(yīng)用系統(tǒng)健康狀況進(jìn)行實(shí)時監(jiān)控和事后安全審計；每日檢查分析相關(guān)日志信息，檢查分析報告應(yīng)留檔備查。（第41條）對網(wǎng)站內(nèi)容發(fā)布