无标题文档

千亿券商交易系统两个月宕机两次,监管通报来了

2022-05-24 16:37

深圳最大券商招商证券连续两次出现交易系统故障,引起业内外高度关注。而在近一年来,证券公司、基金公司发生多起信息系统安全事件。据了解,日前监管部门下发一期《机构监管情况通报》,对相关信息系统安全事件案例专门进行了通报。

通报中,监管从公司内控管理、系统架构掌握、运维人员、移动App开发管理等多个方面分析了证券基金机构发生多起信息系统安全事件的原因。同时监管明确五项要求,以持续保障信息系统安全稳定运行。

业内表示,为避免相关隐患,证券基金经营机构应该建立完善的监控系统,同时最大限度避免人为操作风险,着重提升应急能力,维护交易系统的安全和稳定。

信息系统安全事件频发

近期,有投资者在网络上反映称,招商证券PC端与App端系统均无法登录,造成无法正常交易。

无独有偶,同一天,华西证券交易系统也在早盘期间出现故障,导致无法交易。尽管在早盘收盘前,相关情况已得到解决,但也有不少投资者直言因交易系统宕机而造成经济损失。

这已经不是招商证券第一次系统异常了,而上一次出现问题还是在今年3月14日,距离今天仅仅才刚过了两个月。

此前,招商证券交易系统在3月14日出现了“交易页面无法成交,无法撤回” 等系统故障,据投资者反映,故障时间长达30分钟之久。

招商证券对此回应称“集中交易系统所有交易委托都已实时传送至交易所系统,但是由于成交回报处理延迟,部分客户在客户端未及时收到成交回报信息,撤单交易受到影响。”

两个月宕机两次,对于招商证券这种千亿级别的头部券商来说极其罕见。对此,4月2日,深圳证监局发布公告称,招商证券在3月14日网络安全事件中存在变更管理不完善,应急处置不及时、不到位等问题,因此决定对其采取责令改正措施。

深圳证监局强调,上述整改工作应于3个月内完成,并向深圳证监局报送整改报告。然而当时未能料到的是,3个月的整改期限还没到,招商证券系统再次出现异常。

此外,国信证券旗下交易系统也曾在3月15日出现故障。彼时,有投资者反映,国信证券交易软件出现行情不能刷新,无法看盘和交易的情况。

值得一提的是,类似的信息系统故障及安全事件并不仅仅发生在证券公司。2022 年 2 月 4 日、2 月 14日、2 月 28 日,3 家基金管理公司接连出现由于感染病毒或爬虫程序导致官网无法访问的网络安全事件。

剑指信息系统安全事件

监管揭示五大原因

记者获悉,针对频频发生的交易系统故障事件,证券基金机构监管部在新一期的《机构监管情况通报》中专门通报了相关信息系统安全事件案例,供全行业借鉴。

通报指出,近期,多家证券基金经营机构发生信息系统安全事件,尤其是招商证券短时间连续发生同类事件,影响投资者正常交易,给行业声誉造成了负面影响。监管部门将依法开展调查工作,严肃处理相关机构及责任人员。

对于事件主要类型及反映出的问题,监管部门从五大方面进行了具体分析。其一,个别公司合规内控管理不到位,系统升级改造过程中存在薄弱环节。

通报以招商证券为例指出,2022 年 3 月 14 日、5 月 16 日,招商证券在周末系统升级过程中,测试场景尤其是压力测试不够充分,导致交易系统接连发生两次信息系统安全事件。反映出当事机构合规与内控制度不健全或执行不到位。

其二,主体责任意识不强、履行不力,未清晰、准确、完整掌握外部供应商提供软件的系统架构。

例如,首创证券的上交所报盘程序于去年5月18日发生故障,经排查,事故原因为软件服务商工程师对部署在同一服务器上的资管系统升级时,升级包存在逻辑错误,反映出当事机构未有效落实相关办法要求。

其三,运维人员操作规范性不足,未能建立有效的权限管理及复核机制。经梳理,有 6 起信息系统安全事件因运维人员操作不规范引发。反映出当事机构在运维工作的流程设计与监督检查等方面存在疏漏。

其四,移动 APP 开发管理存在短板,已成为信息系统安全事件易发领域。2022 年 4 月 25 日,国家计算机病毒应急处理中心通报了 13 款证券公司移动 APP 存在隐私不合规行为,涉嫌超范围采集个人隐私信息。反映出部分行业机构在开展数字化转型、加大移动 APP 开发投入的同时,未能同步做好相应的安全管理工作。

其五,安全管理存在漏洞,应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。

监管举例称,去年3 家基金公司接连出现网络安全事件,反映出当事机构网络安全防护能力不足,未能在访问控制、入侵监测及防护、病毒防护、网络安全等方面建立起全面有效的安全防护体系。

监管列明五大要求

持续加大信息技术管理监察力度

在通报中,监管部门同样列明要求。通报指出,2022 年是党的二十大胜利召开之年,也是资本市场全面深化改革的关键之年。请各证券基金经营机构对照上述问题,举一反三,认真自查整改,维护好投资者合法权益,持续保障信息系统安全稳定运行。

其一,高度重视、加强管理,切实提升系统运维保障能力。一是压实主体责任。健全信息技术管理体系和处罚问责机制,督促公司“一把手”、首席信息官和关键技术岗位人员时刻绷紧信息系统安全这根弦,切实履职尽责,抓好机构安全运营。

二是强化安全管理。三是加大技术保障。结合当前疫情防控形势,加大信息技术投入,提升技术人员业务能力,保持核心技术人员稳定,做好应急值守安排。

其二,强化内部控制和合规管理,稳妥推进系统升级改造。一是明确内部责任分工。二是制定专项实施方案,充分验证流程设计、功能设置、参数配置等相关内容,审慎开展涉及交易等核心业务环节的重要信息系统升级工作。三是完善系统测试工作,加强压力测试。

其三,定期开展系统健壮性评估,及时消除风险隐患。一是全面、准确识别数字化转型过程中的各类技术风险,确保合规与风险管理覆盖信息技术运用的各个环节。

二是建立健全信息系统安全监测机制。三是定期开展信息技术管理工作专项审计,深入排查信息系统架构问题及技术风险隐患,及时整改。

其四,严格落实客户信息保护要求,切实维护投资者合法权益。一是完善技术安全保障措施,二是加强信息系统管理,三是落实相关法律法规要求,加强移动 APP 管理。

其五,加强容量管理与灾备能力建设,提升应急处突能力。一是落实系统容量管理及备份能力建设要求,结合公司发展战略、业务规模等因素定期对重要信息系统开展压力测试,确保其容量满足业务开展需要。二是制定并持续完善应急预案,三是丰富应急处置场景。

下一阶段,机构部将会同各证监局按照“穿透式监管、全链条问责”的原则,持续加大对证券基金经营机构合规内控与信息技术管理的监督检查力度,对存在问题的机构和负有责任的人员实施“双罚”,并在分类评价中从严处理。

制度建设保驾信息系统安全

事实上,证券基金行业早已进入信息化建设和业务同步发展的阶段,机构的正常运作早已离不开数据资产的支持,包括客户信息、交易数据以及各种重要数据等。

而自2017年以来,证券行业对信息技术的投入累计已经超过1100亿元,但是证券行业的数字化转型之路任重而道远。

恒泰证券相关业务负责人认为,现阶段数字化转型的路线和打法相对清晰,但是在转型的过程中都或多或少会碰到与现有企业文化,技术平台,组织架构和投入产出相关的问题。

从上至下需要保持战略定力,确保数字化战略的贯彻执行;而从下至上则要选择符合企业自身禀赋的执行路径,先做什么后做什么,多做什么少做什么,而不是一味的模仿同业大干快上,才能走出一条成功的数字化转型之路。

上海证券金融科技总部相关负责人认为,数字化转型不是简单地搭建系统、建设平台、落地数据,而是涉及公司理念、文化、组织、业态、管理、流程等方面的全方位变革,应充分结合自身资源禀赋,以客户为中心提升证券金融服务质量和效率,降低企业运营成本和风险,积极探索打通内部生态链并融入外部生态圈,以数字化重塑业务流程和商业模式。而想要实现上述目标仍然面临体制机制难以匹配转型目标、资源投入相对不足、数据治理水平和数据质量不足、复合型人才紧缺四大难点。

证监会于2018年底出台,于2019年6月1日开始执行证监会第152号令《证券基金经营机构信息技术管理办法》,作为行业信息技术监管的依据,对证券公司和基金管理公司、从事行业信息技术服务机构等具重要的意义。

管理办法中强调了数据治理的必要性,对数据安全的管理职责有明确要求,并表明机构需要完善网络系统保护经营数据和客户信息安全,防范数据泄漏。

证监会关于证券基金经营机构信息技术管理办法中也明确提出“证券基金经营机构应当完善网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施,保护经营数据和客户信息安全,防范信息泄露与损毁。”

就基金公司数据安全而言,业内表示,随着金融行业对于通信技术和计算机应用的依赖性不断增加,各家基金司在如何确保信息系统稳定、高效运行方面日益受到各方关注。

近年来基金企业内的数据安全已逐步放到首要位置,包括数据的使用范围、流转、复制和篡改等。

来源:中国基金报