新浪財經訊 5月19日，由中國證監會研究中心、北京證監局舉辦的“第7屆中國(北京)期貨暨衍生品市場論壇”在北京國賓酒店召開，新浪財經作為獨家門戶網絡合作伙伴全程圖文直播本次論壇。以下為北京證監局期貨處副處長倪志全發言實錄。

　　倪志全：我很高興今天在這里和大家見面。其實這個分論壇我們已經整整做了7年了，這是目前全中國惟一的一個期貨技術的論壇，這也是北京期貨商會搞的一個比較有特色的活動。我也是連續7年參加咱們這個活動，希望將來我們有更多的人關注這塊。

　　我今天講的題目是強化行業信息安全，夯實行業發展基礎。首先中國證監會高度重視資本市場信息安全的工作，黨中央國務院高度重視信息系統的安全。

　　第二，受歐債市場的影響，投資者很多的情緒很敏感。

　　第三，行業信息安全事故出現新的變化，一會兒我再講這部分的內容。

　　中國證監會開展了系列檢查督導，切實保障行業信息系統安全運行。銀監會和證監會聯合開展了一次為期6個月的檢查，規模和力度相當大，分為自查和現場檢查兩部分。一個是系統安全，一個就是數據安全，一個是運維管理，一個是應急管理，其中銀行的檢查項目包括三大類，10大項，52小項，期貨公司27小項。最終有21家銀行，103家證券公司，163家期貨公司都開展了復查，現場檢查當中，證監會組成的8個檢查組和一個巡查組，對36家單位進行了檢查，應該說是一次規模相當大的檢查。

　　第二，完成了市場核心機構的專項檢查，重點檢查了交易所核心機構重要信息系統的安全保障情況。大概是73個細節的檢查項，有效的提升了市場核心機構。

　　第三，完成的期貨公司技術升級檢查。共有50家期貨公司申請升級，39家公司通過。

　　第四，對交易所會員托管機房安全狀況開展的評估檢查，根據期貨一部編制的期貨交易所托管及風險評估工作項目表，對三家交易所，托管機房，進行了安全評估的檢查。

　　第五，根據連續兩年開展的行業技術資源調查，切實督導機構消除薄弱環節。

　　中國證監會為了全面提升我們行業的保障能力，推動了幾項重大的工作，第一，全面啟動了信息系統備份能力建設。目前我們期貨市場相關的幾個核心機構都取得了相當的工作進展。鄭商所穩步推進了新大樓技術中心與異地在被中心的建設，期貨保證金監控中心完成的北京養橋技術中心的建設。

　　第二，完成全行業信息系統安全等級保護工作的部署。我們國家已經把資本市場的信息安全的系統列為國家8大重要信息系統之一，開展等級保護工作意義非常大。證監會下發了兩個行業標準，目前我們全行業三級系統有159個，二級系統1179個，417個系統進行了等級測評。

　　第三，積極推廣網上交易強身份認證工作，有9個公司現在已經開始試點工作。

　　今天我講一下，這一年以來，我們行業技術風險故障的一個分析。行業總體安全形勢穩定，但是熱點有所變化，2010年總共安全事件56件，2011年是62起，2009年有121起，比這兩年加起來還多3起，但是它的變化是因為行業機構設備設施故障，人為失誤等自身原因造成的失誤只有23起，占比36%，比10年減少了12起，但是由于外部因素的影響產生的事故39起，比10年有大幅度的增加，增長了18起。

　　從事件的分布來看，涉及市場核心機構，交易所等主要機構是5起，涉及證券公司的有25起是總部的，有9起是證券營業部的，涉及期貨公司的是23起，基金公司沒有發生安全事件。

　　事件應急恢復的速度，11年有一個突然性的重大的變化，25的事件在30分鐘以內恢復了正常，這是我們預警的一個上報的標準，特別是具有通信備份線路，或者備份系統的故障的單位恢復起來相對比較快，而75%的事件時間超過了30分鐘，特別超過2小時的比2010年有顯著的增加。30分鐘以內處理，是我們應急預案一個報備的標準，通過這個數據大家可以看到，09年和10年30分鐘以內，2小時以內，2小時以上處理的概率基本相當，這個數據說明我們針對09年發生的問題，我們全行業做的針對性的工作是卓有成效的，既降低了風險發生的數量，比例保持不變，也就是說發生問題的點仍然是差不多的，但是到了11年30分鐘以內處理的故障比例大幅度下降，只到了25%，2小時以上的故障一下增加了將近50%，這個現象我希望大家一定要注意。

　　在11年有兩家證券公司，3家證券營業部，還有兩家期貨公司，7家機構沒有按照規定報告信息安全事件。我希望大家注意，這個情況還發生得比較少。

　　我介紹一下發生故障的細節。首先設備設施故障總共發生了16起，比10年25起減少了9起，其中計算機營長故障是2起，一起是期貨公司的，一起是證券公司的，全都是服務器使用年限較長，設備老化造成的，兩家機構是在25分鐘和34分鐘就本故障恢復了。計算機軟件故障發生8起，比10年有所下降，10年行業軟件開發商總共發生了9起事故，11年降到4起，說明他們的服務水平還是有所提升的。

　　電子設備的故障發生了兩起，其中有一起是期貨公司的。通訊設備故障11年一下發生了4起，增加是比較明顯的，其中有一家期貨公司，一家證券營業部是設備老化所致，還有一家期貨公司服務器網卡接觸不良導致的問題。還有一個行業軟件開發上，他自己因為防火墻設備的故障導致事故的發生。這四起設備故障，平均恢復時間是將近3個小時，已經是半天以上的交易時間了。

　　人為事故造成的，10年10起，11年下降到7起。7起事故暴露了三個方面的問題，一個是運維管理不嚴格，運維操作不規范，有一家期貨公司應急演練以后沒有將生產系統完全恢復到正常狀態，他好像有一臺演習用的服務器沒有關閉，導致了第二天開機的時候產生了沖突，結果影響了他的交易。

　　第二是操作流程不明確，操作符合不嚴格。

　　第三，人員操作失誤。一家期貨公司技術人員修改其中交易主機輸入時間錯誤的導致了系統故障。

　　外部影響的事件，11年是比較突出的，比上一年增加了18起，銀行系統的故障發生了17起，比10年增加了7起，幅度非常大。這些事故只有兩起在30分鐘能解決，最終導致了6500名客戶13萬筆轉賬交易失敗，影響面非常廣，影響的時間非常長。

　　通訊線路的故障也是大幅度增加，發生了12起，原因全都是電信運營商設備故障和通訊線路被施工挖斷所致。供電是一起，是一個期貨公司的托管機房發生了電力的故障，8分鐘以內恢復了正常。其他的因素有一家林業部隔壁的機構的機房跑水，把他的設備給淹了，造成了現場中斷有幾分鐘。

　　外部攻擊11年還比較好，沒有接到外部攻擊的報告，但是國家相關安全部門通報了6起的報告，這個證監會都通報了這些機構，沒有產生不良的結果。

　　災難災害事件發生兩起，全都是因為第三季度的暴雨，雷電天氣的影響，主要是對證券公司這塊的。

　　下面我們再從發生故障的信息系統的類型上看一下哪些系統最脆弱。銀期系統37%，集中交易系統24%，網上行情交易系統16%，證券期貨營業部現場交易系統8%，行業各機構基礎設施5%，市場核心機構核心交易3%，差別還是比較明顯的。市場核心機構發生了兩起，大家都比較清楚，都是期貨交易所發生的問題，其中交易系統發生了15起故障，雖然是逐步減少的，有5起是人為失誤，軟件故障4起，硬件故障一起，網上交易系統發生10起，銀監部現場交易發生4起，其他的發生率都比較低了，我們不做一一介紹。

　　如何進一步強化我們的信息系統安全的工作，要根據市場的熱點不同進行我們必要的及時的關注。

　　第一，銀行系統的故障率比較高，希望大家重點關注。銀行系統雖然一個系統的開發都在兩三千萬的投入，但是他們整個行業對系統的及時性和持續處理業務的要求要比我們這個行業低很多。他們認為斷一天也不是太大的行業，但是和我們行業時時性服務能力的要求嚴重不匹配，這兩個行業之間產生的問題，就是兩邊的要求不匹配，別看他們的投入很大，但不是我們關注的點上。

　　大型的跨行的聯合檢查，取得了比較明顯的成效，提高了兩個行業對信息系統安全保障的重視程度，為信息系統安全隱患進行了全面的整理，督促了各機構落實兩會聯合下發的有關規定，強調的應急協作機制，特別是通過這次檢查，主要是銀監會的信息中心和證監會之間進一步加強了溝通和協作，為以后的發展打下了一個比較良好的基礎。

　　存在的主要問題，銀行主要是部分銀行的處理能力和可靠性的原因造成的，運維管理的水平有待提高，應急管理水平也有待于提高。我們公司機構主要是存在通信線路，比如說單線路連接，備份系統不完善，有的公司還沒有備份。

　　第三，為實現業務的隔離，不同銀行間的數據往往是在同一個機器上跑，數據之間會產生干擾。

　　另外部分機構應急管理還不太規范，主要是和銀行之間的溝通問題，導致發生問題以后無計可施。雙方升級改造的時候互相通知不太到位，應急機制不完善，通訊線路缺乏統一的規劃，基本上目前這個問題現在還不是特別明顯，但是我有預感，我感覺這個問題可能以后會比較大的干擾公司的進展。這種方式本身就是一個管理上比較復雜的方式，不利于以后的發展。

　　另外一個，數據接口沒有采用統一的行業標準，本來深圳證券通訊技術公司有一個證券期貨業與銀行交換消費體結構設計規劃，但是他仍然用自己的數據接口，這可能以后會給我們行業發展帶來不利的影響。

　　總之通過監管部門持續的督導，基本上目前通過了整改能夠滿足行業的發展，但是仍然需要大家非常關注這方面的風險。

　　第二，加強運維管理，杜絕人為責任事故。從行業自身導致的23起事件當中，三分之二的事件與當時機構運維管理不夠規范有關系的。

　　第一，加強系統監控和日至分析。

　　第二，落實設備退役制度。很多都是由于設備老化產生的。

　　第三，加強新系統上線前的全面測試。現在有很多的客戶都在用一些小軟件下單，軟件的沖突和運維上的問題將來會越來越沖突。

　　第四，嚴格運維管理。沒有明確的操作流程和符合機制的事故，一定要盡量把它降到零。

　　第三，嚴格按照行業應急預案的要求報告信息安全事件。

　　第一，熟練掌握應急預案，并利用應急演練加以強化。

　　第二，熟悉需要上報報告的時間點。

　　第三，專門保管應急上報的上報等資料。

　　既然發生事故的幾率并不高，還是把應急用的資料統一的保管存放，避免發生問題。

　　最后是加強技術隊伍建設。一個是從事故原因多方面分析，管理的問題是比較突出的。我們的技術人員由于管理型的技術人員比較缺乏，我建議大家一定要轉變觀念，適應行業發展的需求，近期的事故當中多家機構都處分了自己的技術人員，很多是非技術原因的，大家一定要引以為戒，就是要有這個意識，要從維護型向管理型轉變。

　　第二，要從技術型向技術業務復合型轉變。期貨行業已經緊密的和技術相連，技術人員要發揮企業發展藍圖設計師的職能，由于我們不能主動把這個工作做在前面，就會產生一種比較被動的結果，可能大家在公司里都有這種體會，往往業務部門有什么新動向，就會寫一個報告給技術部門，這樣技術部門就很被動，由于缺乏事先的規劃，可能往往達不到業務部門的要求，還會認為是拖后腿，必須要轉型才能贏得工作的主動。

　　期貨商會已經給我們建立了很好的平臺，隨著行業信息安全的發展，最近商會在建立專業委員會，好像也有技術委員會的想法，我想應該很好的利用這個平臺，以后我們可以把一些信息安全事故的通報的工作，可以通過這個平臺給我們機構通報一下，共同做好行業的安全工作。我今天的演講就到這里，謝謝大家。