中国发布金融期货技术指引 要求建安全报告机制
中新网10月19日电 中国金融期货交易所通过其官方网站发布《中国金融期货交易所金融期货业务系统技术指引》,要求建立信息安全事故报告机制。
根据《技术指引》的规定,中金所会员的核心网络建设应达到以下要求:网络承建集成商应具有信息产业部颁发的三级以上(含三级)计算机信息系统集成资质证书;网络设备的性能和通信链路带宽应保证满足业务需求;网络不应存在单点故障,其通讯链路和网络设备应有备份措施;不同业务或应用应采取适当技术手段隔离,交易网段和非交易网段应实现隔离,开发测试设施和运营设施应进行分离;与互联网、外联单位的连接应采用可靠的技术隔离手段(如防火墙、安全网关、隔离网闸等),以确保网络的安全。
《技术指引》规定,会员与交易所之间的通讯链路可以选择“上证通接入”“三所联网接入”“直接接入”三种方式,并要求会员系统建设应符合标准性、开放性和可靠性的原则。同时,《技术指引》要求会员在申请会员资格前,必须参与交易所安排的测试,包括链路联通测试、链路切换测试、接口适应性测试和系统压力测试。
《技术指引》还要求,会员应建立信息安全事故报告机制,一旦发现影响金融期货业务系统的信息安全事故,应及时联系相关方解决,并报告交易所;建立信息安全事故分级、预警、跟踪、处理、总结等机制,并定期进行演练;会员还应制订应急预案。
《中国金融期货交易所金融期货业务系统技术指引》全文如下:
中国金融期货交易所金融期货业务系统技术指引
第一章 总则
第一条 为规范会员单位业务系统的建设,有效控制金融期货业务系统的风险,中国金融期货交易所(以下简称交易所)根据《金融期货结算业务资格行政许可事项的通知》和交易所交易业务规则,制订《中国金融期货交易所金融期货业务系统技术指引》(以下简称《技术指引》)。
第二条 本《技术指引》适用于参与金融期货结算业务的会员(包括交易结算会员、全面结算会员和特别结算会员)以及直接接入交易所的交易会员。
第二章 系统建设
第三条 会员业务系统包括机房基础设施、网络、主机、数据库、应用系统。会员申请会员资格时,应如实向交易所提供这些系统的设计文档和关键性技术指标,并保证遵守交易所的相关技术规范。
第四条 会员应建设中心机房。对于将中心机房外包的会员,外包机房视为其中心机房。机房等级应达到《计算站场地安全要求》(GB9361)B类以上(含B类),机房应部署UPS并采用双路供电。
第五条 会员的核心网络建设应达到以下要求:
一、网络承建集成商应具有信息产业部颁发的三级以上(含三级)计算机信息系统集成资质证书;
二、网络设备的性能和通信链路带宽应保证满足业务需求;
三、网络不应存在单点故障,其通讯链路和网络设备应有备份措施;
四、不同业务或应用应采取适当技术手段隔离,交易网段和非交易网段应实现隔离,开发测试设施和运营设施应进行分离;
五、与互联网、外联单位的连接应采用可靠的技术隔离手段(如防火墙、安全网关、隔离网闸等),以确保网络的安全。
第六条 会员与交易所之间的通讯链路可以选择"上证通接入"、"三所联网接入"、"直接接入"三种方式(参考《远程接入网络技术说明书》),具体要求如下:
一、会员必须采用主备链路同时接入交易所。主链路带宽不低于512Kbps,备份链路带宽不低于128Kbps。
二、通过三所联网接入和上证通接入的会员,应与接入端交易所协商,保证接入交易所带宽在要求的带宽以上。
三、特别结算会员和全面结算会员必须采用双链路直接接入交易所,主备链路带宽均不低于2M,并通过技术手段保证两条链路具有自动切换能力。
第七条 会员应保证主机、数据库系统的性能满足其业务系统对性能和容量的要求。
第八条 会员业务系统功能应当符合法律法规以及交易所的业务规则。
第九条 会员业务系统除保证交易、结算、交割等基本业务功能外,还需要达到以下要求:
一、后台系统必须与交易所参与人服务接口系统(PSIS,
详见《参与人服务接口系统(PSIS)介绍》)连接。
二、业务系统应具有有效的认证和授权机制、用户口令保护机制。具有完备的操作日志和错误报告。
三、业务数据在与外部系统连接的通讯网络上应以加密方式传输。
四、风控系统必须具备盘中风险试算、强平、通知机制、
日志审计、逐日盯市、每日向中国期货保证金监控中心报送数据、盘中资金实时计算等功能。
第十条 特别结算会员和全面结算会员的系统需要提供交易会员服务系统,向交易会员提供电子化出入金、结算参数和结算数据发布等必须的服务。
第十一条 会员业务系统建设应符合标准性、开放性和可靠性的原则:
一、采用交易所提供的交易/行情API接入交易所,其编程和代码规范必须符合交易所《交易业务接口使用手册》、《行情业务接口使用手册》中有关API编程的基本要求。
二、核心部分和外围部分之间的接口应当清晰明确、整体技术架构及数据库结构设计应便于维护。
三、采用开放接口的系统,会员应当提供交易终端与柜台,柜台与结算系统之间的接口定义。
四、特别结算会员和全面结算会员必须向交易所提供软件架构说明书和相关的测试文档,说明其代理交易会员交易的柜台系统具有从单点故障中快速恢复的能力。
五、对交易系统的处理能力要求如下:
在系统拥有10万个客户,10万个持仓记录的容量条件下,系统在连续10分钟内能够稳定处理委托的数量。针对不同的会员类型具体要求如下:
交易会员:系统的稳定处理能力最低为50笔委托/秒,建议达到100笔委托/秒。
交易结算会员:系统的稳定处理能力最低为100笔委托/秒,建议达到200笔委托/秒。
全面结算会员和特别结算会员:系统的稳定处理能力最低为200笔委托/秒,建议达到500笔委托/秒。
第十二条 申请会员资格前,会员必须参与交易所安排的测试:
一、链路联通测试:会员在接收到交易所链路测试通知后,应配合交易所做好链路的调试和测试工作。
二、链路切换测试:会员必须在交易所技术部的配合下,
进行主链路与备份链路的切换测试。
三、接口适应性测试:会员必须按照《期货公司业务系统测试说明书》中接口适应性测试相关内容的要求,向交易所申请参加接口适应性测试。包括交易/行情接口测试、PSIS系统接口测试。
四、系统压力测试:会员必须按照《期货公司业务系统测试说明书》中压力测试相关内容的要求,在交易所系统上进行压力测试,并按照要求向交易所提供生产系统压力测试的详细资料。
第三章 系统运维
第十三条 会员系统应达到以下安全要求:
一、 建立健全安全体系,遵循技术保护方式和管理保护方式相结合的原则;
二、利用成熟的网络安全技术,防止非法访问、攻击和破坏计算机网络等活动;
三、所有可配置的网络设备按最小安全访问原则设置访
问控制权限,关闭不必要的端口及服务,妥善保管和定期更换网络设备的访问口令;
四、对于来自互联网的访问采用可靠的身份认证、访问控制和安全审计措施,防止非法接入和非法访问;
五、做好计算机病毒防范工作,统一组织和实施网络的计算机病毒防范工作。
第十四条 应定期备份业务系统的信息,重要服务器和网络设备的配置应有备份,对备份介质应定期测试,对恢复步骤应进行演练。
第十五条 应建立密码管理措施,规定密码的强度和安全使用方法。
第十六条 应建立业务系统运营管理组织,负责业务系统的运行和管理。
第十七条 技术运维人员应至少达到三人,负责基础设施、网络、主机、数据库、应用等日常管理工作。应保证交易结算期间有值班人员监控业务系统的运行以及与交易所的应急联系。
第十八条 应设至少一名技术联络人,负责组织、协调和处理与交易所及相关系统的各项技术事宜。
第十九条 会员业务系统在日常运行管理方面应达到以下要求:
一、制订日常操作流程,关键操作应建立复核机制,建立操作日志,并及时备份参数文件;
二、制订故障处理流程,建立故障日志;
三、制订值班工作制度,建立值班日志;
四、制订变更流程,控制生产环境的变更;
五、运维岗位的描述应明确清晰,应建立重要岗位的双
人、双职、双责制,并加强对单人单岗的监控。
第二十条 应建立系统测试操作流程,规定测试工作的计划、实施及总结。对于在生产系统上进行的测试工作,必须制订系统及数据备份、测试环境搭建、测试后系统及数据恢复、恢复后检查等计划。
第四章 事故管理
第二十一条 会员应建立信息安全事故报告机制,一旦发现影响业务系统的信息安全事故,应及时联系相关方解决,并报告交易所。
第二十二条 会员应建立信息安全事故分级、预警、跟踪、处理、总结等机制,并定期进行演练。
第二十三条 会员在信息安全事故发生时应注意收集相关信息,以便于进行事件追查和问题分析。
第二十四条 会员应制订应急预案,用以处理业务系统重大技术故障。应急预案应规定应急处置措施、职责分工、处理流程和保障机制。
第二十五条 会员应建立内部责任机制,坚持安全事故问责制度。
第五章 附则
第二十六条 本技术指引中提到的《远程接入网络技术说明书》、《参与人服务接口系统(PSIS)介绍》、《交易业务接口使用手册》、《行情业务接口使用手册》、《期货公司业务系统测试说明书》均可在交易所网站获取最新版本。
第二十七条 本指引仅作为会员入会的基本技术条件和要求,会员应根据实际情况合理提高自身系统要求,确保系统的安全、正常运行。
第二十八条 会员按照本指引进行系统建设或通过交易所技术部进行的检测并不代表交易所承诺对其设备或系统的可靠性负责。
第二十九条 会员申请人和会员确认交易所《远程接入网络技术说明书》、《参与人服务接口系统(PSIS)介绍》、《交易业务接口使用手册》、《行情业务接口使用手册》、《期货公司业务系统测试说明书》等现行和此后颁布的相关文件为从事金融期货业务必须遵循的基本技术规范,交易所技术部按照规范对会员设备和系统进行测试或检测时发生的任何问题及后果,均应由会员申请人或会员自己承担,不得要求交易所承担任何责任。
第三十条 交易所因系统故障或其他紧急情况按照相关业务规则暂停服务接口系统连接或采取其他应急措施致使会员设备或系统出现故障或损害时,会员不得要求交易所承担任何责任。
第三十一条 本指引由交易所技术部负责解释。