新浪財經訊5月14日，由北京期貨商會舉辦的“第六屆中國(北京)期貨暨衍生品市場論壇”在北京國賓酒店召開，新浪財經作為獨家門戶網絡合作伙伴全程圖文直播本次論壇。本屆論壇將以“通脹背景下的衍生品市場”作為主題，內容包括2011中國宏觀經濟形勢分析與展望、通脹背景下的宏觀調控、動蕩的國際局勢下衍生品的發展機會等。以下為中國證監會信息中心總工程師羅凱先生演講實錄。

　　羅凱：大家下午好，咱們參加這個論壇都是期貨公司搞技術的，或者是分管技術的。所以，我想還是從一些面上給大家介紹一些行業的情況。我剛才想這樣子，我演講分為幾個部分，首先我覺得還是講一講我們為什么抓信息安全工作。大家都知道，我們這個行業的信息系統十分重要，但是我們現在面臨的威脅比較大，各方面的威脅比較大。因此，在搞IT的人員都知道，有一個風險管理的理論，如果一個重要東西面臨著很大威脅，就等于風險。

　　我們行業高度依賴信息系統，現在信息系統已經成為各個期貨公司日常業務運行和風險管理基礎平臺，信息系統是機構的生存基礎。為什么這么說呢？現在我們所有的業務都已經電子化了，全部電子化了，我們行業是信息化程度比較高的行業，系統一旦停了什么都做不了。第二信息技術已經成為一個發展新業務，推出新產品的基本條件和前提。這個是信息技術，我們認為現在已經到了一個，可以說是機構的一個核心競爭力這么一個地位。這個也很簡單，也很容易理解，現在所有新業務，比如我們新推出股指期貨，你的系統要跟不上就不能做了。

　　你系統不達標是不能做股指期貨的業務，這是一張新的門票。在我們期貨監管條例里面也規定信息系統安全，也有相關的法律要求。那么，這個里面就規定了期貨公司的業務設施必須要合格，這是一個基本要求。什么是業務設施，IT系統就是最大的業務設施。因此，從期貨公司來看，從我們整個行業來看，從交易所到我們期貨公司整個是一個巨大系統，我們連接起來才能做，只有會員沒有交易所也很難做。因此，是一個巨大市場，整個市場是靠通過通信網絡連起來，這是我們整個市場運行的機制。

　　這么重要的信息系統，我們保障難度是非常大的，為什么這么說呢？第一我們的電子化，全電子化，無紙化程度很高。所有客戶數據都是以電子方式提供的，這個數據是絕對不能丟的，這個丟了之后，這個恐怕就有很大的市場風險了。第二是業務連續性影響高，你交易時間必須提供服務，如果不能提供服務的話，恐怕會產生風險，該開張的不能開張，該平倉的不能平倉。

　　因此恐怕期貨這邊，從這個意義上來講，恐怕比證券要求還要高。第三我們整體型要求高，局部中斷也不能容忍，你不能一部分客戶交易，另外一部分客戶不能交易，這恐怕也是不行。還有我們依靠互聯網，網上交易占比比較高，來自互聯網威脅比較高，我們保障難度比較大。還有業務發展快，期貨市場發展非常快，相等從交易量上來講，已經很靠前了，這個系統業務也在不斷地發展，升級變更為頻繁。主題分散，安全保障水平參差不齊，我們相比其他行業信息系統相比，我們證券或者說期貨系統有它的獨特性，保障難度更大。

　　第三是行業信息系統安全面臨威脅比較多，一個就是技術故障風險。系統軟硬件故障，主要是系統計算機，有可能要窮的，第二信息技術產品，這個程序很復雜，經常有里面不能發現的缺陷。還有就是供電設施，還有供電設施和通信設施，還有人為因素，系統地設定和實施過程中，如果說你設計的不好，還有系統運營管理不到位，這種情況也是我們一大威脅。

　　我們現在很多事故都是因為運營維護不到位的原因，還有人員誤操作，還有內部人員泄密。第三是外部系統故障傳導，因為我們這個系統不光是我們自己獨立的系統，我們要依賴于其他系統，我們要依賴于銀行系統，轉帳也依賴于銀行系統。我們依賴于電力供應，依賴于通信部門，如果電力中斷，通信線路中斷也會對我們這個系統安全運營造成影響。

　　第四就是不法分子惡意攻擊，不法分子攻擊方式也比較多。一個是直接攻擊我們的系統，癱瘓他的系統。然后導致他的系統性能降低，或者是竊取數據，這是一種，有這方面的威脅風險。第二攻擊用戶端，攻擊用戶這端，盜取帳號給投資者造成損失。還有設立期貨公司的假冒網站，欺騙投資者。第五是不可抗力，災難災害，還有突發公共安全事件，南方冰災，雪災，還有地震災害我們都經歷過。

　　從另外一個方面來看的話，我們行業信息安全工作要求越來越高。第一是我們現在資本市場功能日益發揮，功能不斷擴大，地位也在逐漸上升，國家很重視資本市場的平穩運行。另外一方面，由于系統故障，他可能會影響到投資者的權益，影響到投資者公平交易的權益，還會造成很大數據損失。因為涉及到投資者權益保護，所以監管部門，和我們行業協會，現在加強自律管理的力度也比較大。

　　然后是投資者和媒體現在對安全問題的關注度也越來越高，比過去要高的多。另外隨著期貨市場高速發展，業務不斷變化，對我們期貨公司來說這里頭有挑戰，也有壓力，有機遇，也有挑戰，也有一些新的系統上去，包括后面我們還有程序化交易這樣一些新的方式上去，對我們系統也可能會有很大影響。

　　所以，我說為什么我要把這個部分好好回顧一下呢？在座因為都是公司老總，都是公司的技術負責人，你要給公司說清楚，我們的系統特征是什么樣子的，我們為什么要這么去做，為什么要投錢，為什么加人，為什么要去做這樣的系統，做信息安全工作。所以，這是一項，我們說這是一項長期的基礎性工作。

　　我們現在的現狀和問題是什么，近年來，在證監會和期貨業協會共同督促指導下，期貨公司信息技術水平在短時間內有很大提高，進步很快，成效是很顯著。可以從幾個方面來看，第一就是從投入來看，經費投入增長很快，基本上每年增長速度大概都是30-40%的樣子，增長很快。第二是IT人員增長速度也很快，每年大概增長20%多。這樣的話，他經費和人員的增長，就可以使得期貨公司IT的實力增長比較快。

　　從效果來看的話，一些期貨公司在檢查調研當中可以發現，機房的設施，通信網絡，信息系統改善非常明顯。從事故率來看，也是明顯下降的。當然現在期貨公司信息安全也還存在一些主要的問題，應該說有那么幾個方面，一個就是說還是因為歷史的原因，過去也一些投入不太足，現在一時半會要趕上沒那么容易，經費投入系統建設有一個過程，人員增加技術保障也有一個過程。

　　第二是系統建設與運維管理需要更加規范化，也是相輔相成的。你硬的上去了，軟的也要相應上去，我們運營規范也要跟上去。第三就是安全防護能力還需要進一步提高，需要進一步加強。因為我們來自于互聯網，或者其他方方面面的威脅比較大，我們的交易又依賴于它，因此我們在這當中就要多花一些錢和精力來加強保護。

　　第四個問題是機構之間的水平參次不齊。我們期貨公司分類，從三類到一類水平相差就比較大。有些公司重視程度還不太重視這個事，這是一個主要問題。

　　接下來我想跟大家談談怎么抓信息安全工作問題，我們想什么是信息安全工作呢？就是通過一個科學的管理措施和技術手段，兩方面一個管理一個技術來提高系統可用性，可控性和防攻擊性，來確保系統處理能力滿足業務發展需要，確保業務數據安全和完整。我們簡單將就是“三防三保”。第一防止自身建設、運行管理出問題，你這個方面自身的問題導致事故發生。第二是防止來自內部和外部人員破壞，攻擊，或者竊取數據。第三是防范自然災害不可抗力的損失，各有各的措施，針對不同層次問題我們有不同的措施。

　　三保第一保證數據安全完整，第二保證系統持續可用。跟我們行業特殊一條，系統的處理能力必須要夠，因為有時候交易量的爆發，是我們難以預料的，發生突發事件的時候交易量可能會突然上去，市場環境好的時候可能也會突然上去，這就要求我們的系統要有足夠富余的能力儲備。

　　對期貨公司基本要求，應該說比較多，我想總體說幾個方面，比較重要需要大家關注的幾個方面。第一個要保證集中交易和網上交易這些關鍵業務系統處理能力要夠，這個好理解不多說。第二要保證網上信息系統安全防護能力，這個要足夠，然后保證我們要有一個合格基礎保障條件，這是指我們機房條件，我們供電條件，和通信條件，這些安放的條件，基礎的保障條件。第四要有可靠的數據和系統備份，這個我們行業最近剛剛出臺了針對期貨行業備份能力標準，一會鐵斌還會給大家詳細說，就是講的這個。

　　第五建立健全IT治理架構，你公司IT治理這方面要完善，IT技術該決策，高層該決策的決策，該投入經費投入經費，該投入人力投入人力，該踐行制度的踐行制度。說到底，IT制度就是建立一個機制體制的問題。

　　第六是加強IT合規審計，做的怎么樣，咱們自己做的怎么樣，自己是難以評估的。往往我們接觸第三方評估，自己評估也行，外部評估也行，但是定期要去檢查自己，審查自己的做法對不對，這樣就不斷通過這種去修正做法。

　　第七提高運維管理規范化程度，第八加強應急管理。應急管理在我們這邊提的分量稍微重一點，我們現在出了事故之后，其實你最重要就是盡快恢復系統運行，你每多延長一分鐘，投資額投資可能就會多一分，對市場影響會多一分。因此，我們對應急能力提的比較高，這些年行業也抓的比較重，大家到現在都做的不錯，有什么事都能夠及時報上來，處理應急速度也在逐漸提高。

　　第九是提高自主可控能力，不管你是買還是自己開發的東西，你要能夠對你的系統有掌控能力，而不能說我是依托外包我就交給別人了，那你自己沒有能力來管控他的話，風險就出來了。所以，你自己各方面人才都有，尤其是核心人才，數據庫的，主機的，這些人才你自己都需要有的，包括安全，這樣能夠把控住自己的系統。

　　這是我談的公司應該怎么做，借此機會也跟大家通報一下我們行業信息安全工作的方向。大家這幾年也都了解，知道我們做了一些什么，我想系統跟大家說一說。總體來說五個方面，一個就是加強技術法規和標準建設。第二加強規劃和基礎設施建設；然后就是開展信息安全專項治理工作，加強信息安全事件的處理，強化日常監督管理工作。

　　技術法規和標準我們有一個法規體系，我們今年1月份也出臺了一個叫標準體系，證券期貨行業標準體系。這里出列幾個重要法規，一個就信息安全管理辦法，還有分證券期貨基金行業信息安全管理規范，還有應急處置預案，這個已經發布了，還有事故調查辦法這個正在制定中，還有證券期貨業IT治理指引，期貨公司信息技術指引，證券、基金、期貨公司網上交易技術指引這些都已經發布了。還有就是證券業備份能力標準，證券期貨業信息安全等級保護基本要求已經做完了，正在等待發布過程中。

　　第二是加強規劃和基礎設施建設，規劃是我們行業花了比較大的精力來做這個事。我們在09年出了一個《證券期貨業信息安全發展報告》，也提出未來3到5年工作行動計劃方向，這個是行業里面擊中了90幾個專家，形成一個共識達成一個東西。在此基礎上，我們去年制定了2010-2015年行業信息化與信息安全規劃，這兩個東西在未來要指導我們一個方向很重要的文件。

　　在基礎設施方面建設，我們這個行業原來有一些滯后，現在我們這個工作正在加快，因為基礎設施建設有利于整個市場節約成本，提高效率都有好處。我們建一個行業的數據中心，第二是行業標準，編碼與標準服務中心，還有測試試驗室。數據中心要集中保存數據，編碼標準中心，我們標準相關的一些編碼，有些技術標準服務這個中心將來要來承擔。技術測試試驗室是我們研發中心，對于一些交易系統關鍵東西，新的業務上線加強測試，避免由于測試不充分而導致的問題。

　　開展信息安全專項治理工作，我們每年基本上都有一些大動作。08年我們對行業開展遠程安全測試，發現很多漏洞進行彌補。08年開展全行業信息安全大檢查，09年開展信息安全大演練，2010年對164個期貨公司進行專項檢查，09年和2010年這兩年，接下來還要對一些公司進行檢查。目前我們正在開展銀證銀期信息系統聯合安全檢查，我們跟銀監會已經有聯合發文了，下一個階段我們要組織對一些機構進行檢查。

　　這個要解決為什么要檢查，現在銀證銀期出現的問題。還有加強信息安全事件處理，各單位嚴格執行行業應急預案，及時上報情況，出了事情我們首先要能夠報上來。第二個我們要做的事情就是把這個事情查清楚，到底是什么原因，我們不能允許說在同一個地方犯兩此錯誤，如果要避免這樣的話，必須要把原因找著，不找著原因始終是隱患。對于有些機構，有些單位承擔責任事故的進行追究，對不負責任的行為肯定是不行的，要采取監管措施。

　　第四個加強風險提示，及時消除安全隱患。我們這個機構公司系統有相似的地方，一個公司可能他出的問題如果具有共性特征，其他公司可能也會出這個問題，我們證監會會進行通報安全提示。所以說，大家收到這個安全提示的時候，一定要抓緊看一看，抓緊去彌補漏洞。這就是我們強化日常監督管理，信息安全工作作為一項重要的日程工作，我們把它來重點抓。

　　這里面一個比較大的措施就是兩項，一個說信息安全跟業務資格聯動，這是一個應用措施。不光是期貨行業，基金部，我們證券公司基金公司也都是類似的做法。去年應該說期貨公司大檢查的時候，有些公司就沒有能夠達到相應類別的技術要求，最后沒有能夠取得金融期貨交易的資格。因為你基本的安全條件都沒有，基本業務條件都不具備是不可能評你資格的，這是一個。

　　第二個現在跟分類評價掛鉤，其中信息安全指標是六大類之一，有那么一些指標來判定你信息安全風險程度，確定你這個公司分類監管。我們還加強與相關部委合作，因為信息安全的事，信息技術的事不光是我們一個部委的事，我們可能有信息安全主管部門，工信部，公安部我們都有合作。公安部現在在推行保護，到我們行業來都在積極貫徹落實這方面工作。

　　我想應該從這四個方面來給大家介紹一下，一個是我們的一些認識，這些認識也在不停地加深過程中，不斷地完善中，介紹一些對期貨公司的要求，行業對它的要求，和我們一些基本做法，還有就是行業的一些重要情況。我想就講這些，謝謝大家。