近期我会陆续接到报告,反映个别投资者的账号被不法分子窃取并通过网上交易方式进行盗买盗卖。我会有关部门和证监局积极协调公安机关对相关案件进行了及时查处。从对案件分析的结果来看,投资者网上交易安全保护方面还存在着明显的薄弱环节:一是投资者安全防范意识不强,用于网上交易的计算机缺乏足够的安全防护手段,易感染病毒、木马,从而导致账户和密码被窃取;二是身份认证方式过于简单,很多投资者仅采用了密码、用户名、验证码的认证方式,没有采用强度更高的身份认证措施;三是没有对投资者进行安全信息提示,投资者不能及时发现账户交易异常情况;四是对网上交易的监控还有待于进一步加强。为切实保障投资者网上交易活动的安全,现将有关事项通知如下:
一、加强网上交易投资者的身份认证手段
(一)网上交易除采用输入账户名、密码、验证码的身份认证方式之外,各机构还应向客户提供一种以上强度更高的身份认证方式供客户选择采用。如客户端电脑或手机特征码绑定、软硬件证书、动态口令等身份认证方式,防止非法访问。
(二)客户身份认证信息应当在服务器上加密存放。客户的登录名、口令等身份信息不可明文存放在数据库表或配置文件中。
二、增强网上交易软件的安全防护能力
(一)各机构应当采取安全的方式向客户提供网上交易所需的软件。通过公司网站提供给投资者下载的软件应当采取校验、监控等防篡改、防木马和病毒的措施。
(二)网上交易软件应当采取安全的密码输入方式,增强防御恶意程序窃取密码的功能。
(三)网上交易委托的客户信息、交易指令及其他重要信息必须采取加密措施进行数据传输,加密措施应具备足够的加密强度和抗攻击能力。
三、加强对投资者的安全信息提示
(一)各机构应在客户下载网上交易软件和登录网上交易系统时,充分揭示使用网上交易方式可能面临的风险和客户应采取的安全防范措施。提示客户应采取有效手段,防止网上交易计算机或手机终端感染木马、病毒,以免被恶意程序窃取密码;加强账号、密码的保护,采取不使用简单密码、定期修改密码、输入密码时防止他人偷看、不对他人泄露密码等措施。
(二)应提供预留验证信息服务,在客户进行登录时向客户进行回显,帮助客户有效识别仿冒的网上信息系统,防范不法分子利用仿冒的网上信息系统进行诈骗活动。
(三)应采用手机短信等方式,及时向客户提示网上交易情况,使客户可以及时发现异常交易行为。
四、加强监控,及时发现非法交易行为
(一)建立监控机制或监控系统,采取自动和人工相结合的方式加强对网上交易活动进行监控。
(二)对投资者的登录、交易和转账活动进行监控和限制,发现登录行为异常,委托方式、品种、价格、数量、频率异常和转账行为异常时,应通过短信、电话等方式及时提示投资者,必要时对用户进行临时锁定。
(三)网上交易系统应能产生、记录并集中存储必要的日志信息,对投资者的身份信息、IP地址、MAC地址、手机号码和交易终端特征码进行记录,并确保数据的可审计性,以满足调查取证的要求。
各机构应按照本通知的要求,切实采取措施,加强对投资者网上交易活动的安全保护,防止不法分子通过网上交易方式进行盗买盗卖活动。一旦发现盗买盗卖活动,应及时协助客户向公安机关报案,并向当地证监局报告。
Copyright ©2019 四川省数字证书认证管理中心有限公司 .All rights reserved 蜀ICP备08008068号 川公网安备51019002004457号