新浪财经 > 期货 > 第六届中国期货暨衍生品市场论坛 > 正文
新浪财经讯5月14日,由北京期货商会举办的“第六届中国(北京)期货暨衍生品市场论坛”在北京国宾酒店召开,新浪财经作为独家门户网络合作伙伴全程图文直播本次论坛。本届论坛将以“通胀背景下的衍生品市场”作为主题,内容包括2011中国宏观经济形势分析与展望、通胀背景下的宏观调控、动荡的国际局势下衍生品的发展机会等。以下为中国证监会信息中心总工程师罗凯先生演讲实录。
罗凯:大家下午好,咱们参加这个论坛都是期货公司搞技术的,或者是分管技术的。所以,我想还是从一些面上给大家介绍一些行业的情况。我刚才想这样子,我演讲分为几个部分,首先我觉得还是讲一讲我们为什么抓信息安全工作。大家都知道,我们这个行业的信息系统十分重要,但是我们现在面临的威胁比较大,各方面的威胁比较大。因此,在搞IT的人员都知道,有一个风险管理的理论,如果一个重要东西面临着很大威胁,就等于风险。
我们行业高度依赖信息系统,现在信息系统已经成为各个期货公司日常业务运行和风险管理基础平台,信息系统是机构的生存基础。为什么这么说呢?现在我们所有的业务都已经电子化了,全部电子化了,我们行业是信息化程度比较高的行业,系统一旦停了什么都做不了。第二信息技术已经成为一个发展新业务,推出新产品的基本条件和前提。这个是信息技术,我们认为现在已经到了一个,可以说是机构的一个核心竞争力这么一个地位。这个也很简单,也很容易理解,现在所有新业务,比如我们新推出股指期货,你的系统要跟不上就不能做了。
你系统不达标是不能做股指期货的业务,这是一张新的门票。在我们期货监管条例里面也规定信息系统安全,也有相关的法律要求。那么,这个里面就规定了期货公司的业务设施必须要合格,这是一个基本要求。什么是业务设施,IT系统就是最大的业务设施。因此,从期货公司来看,从我们整个行业来看,从交易所到我们期货公司整个是一个巨大系统,我们连接起来才能做,只有会员没有交易所也很难做。因此,是一个巨大市场,整个市场是靠通过通信网络连起来,这是我们整个市场运行的机制。
这么重要的信息系统,我们保障难度是非常大的,为什么这么说呢?第一我们的电子化,全电子化,无纸化程度很高。所有客户数据都是以电子方式提供的,这个数据是绝对不能丢的,这个丢了之后,这个恐怕就有很大的市场风险了。第二是业务连续性影响高,你交易时间必须提供服务,如果不能提供服务的话,恐怕会产生风险,该开张的不能开张,该平仓的不能平仓。
因此恐怕期货这边,从这个意义上来讲,恐怕比证券要求还要高。第三我们整体型要求高,局部中断也不能容忍,你不能一部分客户交易,另外一部分客户不能交易,这恐怕也是不行。还有我们依靠互联网,网上交易占比比较高,来自互联网威胁比较高,我们保障难度比较大。还有业务发展快,期货市场发展非常快,相等从交易量上来讲,已经很靠前了,这个系统业务也在不断地发展,升级变更为频繁。主题分散,安全保障水平参差不齐,我们相比其他行业信息系统相比,我们证券或者说期货系统有它的独特性,保障难度更大。
第三是行业信息系统安全面临威胁比较多,一个就是技术故障风险。系统软硬件故障,主要是系统计算机,有可能要穷的,第二信息技术产品,这个程序很复杂,经常有里面不能发现的缺陷。还有就是供电设施,还有供电设施和通信设施,还有人为因素,系统地设定和实施过程中,如果说你设计的不好,还有系统运营管理不到位,这种情况也是我们一大威胁。
我们现在很多事故都是因为运营维护不到位的原因,还有人员误操作,还有内部人员泄密。第三是外部系统故障传导,因为我们这个系统不光是我们自己独立的系统,我们要依赖于其他系统,我们要依赖于银行系统,转帐也依赖于银行系统。我们依赖于电力供应,依赖于通信部门,如果电力中断,通信线路中断也会对我们这个系统安全运营造成影响。
第四就是不法分子恶意攻击,不法分子攻击方式也比较多。一个是直接攻击我们的系统,瘫痪他的系统。然后导致他的系统性能降低,或者是窃取数据,这是一种,有这方面的威胁风险。第二攻击用户端,攻击用户这端,盗取帐号给投资者造成损失。还有设立期货公司的假冒网站,欺骗投资者。第五是不可抗力,灾难灾害,还有突发公共安全事件,南方冰灾,雪灾,还有地震灾害我们都经历过。
从另外一个方面来看的话,我们行业信息安全工作要求越来越高。第一是我们现在资本市场功能日益发挥,功能不断扩大,地位也在逐渐上升,国家很重视资本市场的平稳运行。另外一方面,由于系统故障,他可能会影响到投资者的权益,影响到投资者公平交易的权益,还会造成很大数据损失。因为涉及到投资者权益保护,所以监管部门,和我们行业协会,现在加强自律管理的力度也比较大。
然后是投资者和媒体现在对安全问题的关注度也越来越高,比过去要高的多。另外随着期货市场高速发展,业务不断变化,对我们期货公司来说这里头有挑战,也有压力,有机遇,也有挑战,也有一些新的系统上去,包括后面我们还有程序化交易这样一些新的方式上去,对我们系统也可能会有很大影响。
所以,我说为什么我要把这个部分好好回顾一下呢?在座因为都是公司老总,都是公司的技术负责人,你要给公司说清楚,我们的系统特征是什么样子的,我们为什么要这么去做,为什么要投钱,为什么加人,为什么要去做这样的系统,做信息安全工作。所以,这是一项,我们说这是一项长期的基础性工作。
我们现在的现状和问题是什么,近年来,在证监会和期货业协会共同督促指导下,期货公司信息技术水平在短时间内有很大提高,进步很快,成效是很显著。可以从几个方面来看,第一就是从投入来看,经费投入增长很快,基本上每年增长速度大概都是30-40%的样子,增长很快。第二是IT人员增长速度也很快,每年大概增长20%多。这样的话,他经费和人员的增长,就可以使得期货公司IT的实力增长比较快。
从效果来看的话,一些期货公司在检查调研当中可以发现,机房的设施,通信网络,信息系统改善非常明显。从事故率来看,也是明显下降的。当然现在期货公司信息安全也还存在一些主要的问题,应该说有那么几个方面,一个就是说还是因为历史的原因,过去也一些投入不太足,现在一时半会要赶上没那么容易,经费投入系统建设有一个过程,人员增加技术保障也有一个过程。
第二是系统建设与运维管理需要更加规范化,也是相辅相成的。你硬的上去了,软的也要相应上去,我们运营规范也要跟上去。第三就是安全防护能力还需要进一步提高,需要进一步加强。因为我们来自于互联网,或者其他方方面面的威胁比较大,我们的交易又依赖于它,因此我们在这当中就要多花一些钱和精力来加强保护。
第四个问题是机构之间的水平参次不齐。我们期货公司分类,从三类到一类水平相差就比较大。有些公司重视程度还不太重视这个事,这是一个主要问题。
接下来我想跟大家谈谈怎么抓信息安全工作问题,我们想什么是信息安全工作呢?就是通过一个科学的管理措施和技术手段,两方面一个管理一个技术来提高系统可用性,可控性和防攻击性,来确保系统处理能力满足业务发展需要,确保业务数据安全和完整。我们简单将就是“三防三保”。第一防止自身建设、运行管理出问题,你这个方面自身的问题导致事故发生。第二是防止来自内部和外部人员破坏,攻击,或者窃取数据。第三是防范自然灾害不可抗力的损失,各有各的措施,针对不同层次问题我们有不同的措施。
三保第一保证数据安全完整,第二保证系统持续可用。跟我们行业特殊一条,系统的处理能力必须要够,因为有时候交易量的爆发,是我们难以预料的,发生突发事件的时候交易量可能会突然上去,市场环境好的时候可能也会突然上去,这就要求我们的系统要有足够富余的能力储备。
对期货公司基本要求,应该说比较多,我想总体说几个方面,比较重要需要大家关注的几个方面。第一个要保证集中交易和网上交易这些关键业务系统处理能力要够,这个好理解不多说。第二要保证网上信息系统安全防护能力,这个要足够,然后保证我们要有一个合格基础保障条件,这是指我们机房条件,我们供电条件,和通信条件,这些安放的条件,基础的保障条件。第四要有可靠的数据和系统备份,这个我们行业最近刚刚出台了针对期货行业备份能力标准,一会铁斌还会给大家详细说,就是讲的这个。
第五建立健全IT治理架构,你公司IT治理这方面要完善,IT技术该决策,高层该决策的决策,该投入经费投入经费,该投入人力投入人力,该践行制度的践行制度。说到底,IT制度就是建立一个机制体制的问题。
第六是加强IT合规审计,做的怎么样,咱们自己做的怎么样,自己是难以评估的。往往我们接触第三方评估,自己评估也行,外部评估也行,但是定期要去检查自己,审查自己的做法对不对,这样就不断通过这种去修正做法。
第七提高运维管理规范化程度,第八加强应急管理。应急管理在我们这边提的分量稍微重一点,我们现在出了事故之后,其实你最重要就是尽快恢复系统运行,你每多延长一分钟,投资额投资可能就会多一分,对市场影响会多一分。因此,我们对应急能力提的比较高,这些年行业也抓的比较重,大家到现在都做的不错,有什么事都能够及时报上来,处理应急速度也在逐渐提高。
第九是提高自主可控能力,不管你是买还是自己开发的东西,你要能够对你的系统有掌控能力,而不能说我是依托外包我就交给别人了,那你自己没有能力来管控他的话,风险就出来了。所以,你自己各方面人才都有,尤其是核心人才,数据库的,主机的,这些人才你自己都需要有的,包括安全,这样能够把控住自己的系统。
这是我谈的公司应该怎么做,借此机会也跟大家通报一下我们行业信息安全工作的方向。大家这几年也都了解,知道我们做了一些什么,我想系统跟大家说一说。总体来说五个方面,一个就是加强技术法规和标准建设。第二加强规划和基础设施建设;然后就是开展信息安全专项治理工作,加强信息安全事件的处理,强化日常监督管理工作。
技术法规和标准我们有一个法规体系,我们今年1月份也出台了一个叫标准体系,证券期货行业标准体系。这里出列几个重要法规,一个就信息安全管理办法,还有分证券期货基金行业信息安全管理规范,还有应急处置预案,这个已经发布了,还有事故调查办法这个正在制定中,还有证券期货业IT治理指引,期货公司信息技术指引,证券、基金、期货公司网上交易技术指引这些都已经发布了。还有就是证券业备份能力标准,证券期货业信息安全等级保护基本要求已经做完了,正在等待发布过程中。
第二是加强规划和基础设施建设,规划是我们行业花了比较大的精力来做这个事。我们在09年出了一个《证券期货业信息安全发展报告》,也提出未来3到5年工作行动计划方向,这个是行业里面击中了90几个专家,形成一个共识达成一个东西。在此基础上,我们去年制定了2010-2015年行业信息化与信息安全规划,这两个东西在未来要指导我们一个方向很重要的文件。
在基础设施方面建设,我们这个行业原来有一些滞后,现在我们这个工作正在加快,因为基础设施建设有利于整个市场节约成本,提高效率都有好处。我们建一个行业的数据中心,第二是行业标准,编码与标准服务中心,还有测试试验室。数据中心要集中保存数据,编码标准中心,我们标准相关的一些编码,有些技术标准服务这个中心将来要来承担。技术测试试验室是我们研发中心,对于一些交易系统关键东西,新的业务上线加强测试,避免由于测试不充分而导致的问题。
开展信息安全专项治理工作,我们每年基本上都有一些大动作。08年我们对行业开展远程安全测试,发现很多漏洞进行弥补。08年开展全行业信息安全大检查,09年开展信息安全大演练,2010年对164个期货公司进行专项检查,09年和2010年这两年,接下来还要对一些公司进行检查。目前我们正在开展银证银期信息系统联合安全检查,我们跟银监会已经有联合发文了,下一个阶段我们要组织对一些机构进行检查。
这个要解决为什么要检查,现在银证银期出现的问题。还有加强信息安全事件处理,各单位严格执行行业应急预案,及时上报情况,出了事情我们首先要能够报上来。第二个我们要做的事情就是把这个事情查清楚,到底是什么原因,我们不能允许说在同一个地方犯两此错误,如果要避免这样的话,必须要把原因找着,不找着原因始终是隐患。对于有些机构,有些单位承担责任事故的进行追究,对不负责任的行为肯定是不行的,要采取监管措施。
第四个加强风险提示,及时消除安全隐患。我们这个机构公司系统有相似的地方,一个公司可能他出的问题如果具有共性特征,其他公司可能也会出这个问题,我们证监会会进行通报安全提示。所以说,大家收到这个安全提示的时候,一定要抓紧看一看,抓紧去弥补漏洞。这就是我们强化日常监督管理,信息安全工作作为一项重要的日程工作,我们把它来重点抓。
这里面一个比较大的措施就是两项,一个说信息安全跟业务资格联动,这是一个应用措施。不光是期货行业,基金部,我们证券公司基金公司也都是类似的做法。去年应该说期货公司大检查的时候,有些公司就没有能够达到相应类别的技术要求,最后没有能够取得金融期货交易的资格。因为你基本的安全条件都没有,基本业务条件都不具备是不可能评你资格的,这是一个。
第二个现在跟分类评价挂钩,其中信息安全指标是六大类之一,有那么一些指标来判定你信息安全风险程度,确定你这个公司分类监管。我们还加强与相关部委合作,因为信息安全的事,信息技术的事不光是我们一个部委的事,我们可能有信息安全主管部门,工信部,公安部我们都有合作。公安部现在在推行保护,到我们行业来都在积极贯彻落实这方面工作。
我想应该从这四个方面来给大家介绍一下,一个是我们的一些认识,这些认识也在不停地加深过程中,不断地完善中,介绍一些对期货公司的要求,行业对它的要求,和我们一些基本做法,还有就是行业的一些重要情况。我想就讲这些,谢谢大家。