时间:2022-01-20 08:17:28
《期货公司信息技术管理指引》(以下简称《指引》)到底有哪些主要要求?大部分期货公司在这方面的现状怎样?中国期货行业协会(以下简称中期协)2008年底对期货公司进行了一次行业摸底调查,全国所有期货公司网上填报了500项问题选项,形成了5份调查报告。
调查结果不容乐观
技术管理 《指引》对期货公司在组织结构、人员素质、培训、信息技术服务提供商管理和IT投入等方面提出了基本要求和分级要求。以IT投入为例,《指引》要求期货公司最近3个财政年度IT投入平均数额应不少于最近3个财政年度平均净利润的6%或不少于最近3个财政年度平均营业收入的3%,取二者数额较大者。而根据调查,截至2008年底,有11家公司最近3个财政年度的IT投入平均数额占平均净利润的比例仍未达到《指引》规定的6%;12家公司最近3个财政年度的IT投入平均数额占平均营业收入的比例未达到《指引》规定的3%。
《指引》一类中要求期货公司IT工作人员总数原则上应不少于公司员工总人数的6%,总数应不少于3人。调查结果显示,截至2008年底,32家公司的IT工作人员比例仍低于6%,12家公司的IT工作人员总数仍未达到3人。
机房建设 《指引》对机房承重、消防、防雷、监控、供电、空调、布线和维护等方面提出了基本要求和分级要求。其中承重的2、3类要求分别为每平方米300公斤和每平方米500公斤。2008年底统计显示,9家公司的机房承重能力在每平方米300公斤以下;46家公司为每平方米300至500公斤;67家公司达到每平方米500公斤以上。防盗报警方面,54%的期货公司在机房内安装了防盗报警设施,达到了指引的要求。从调查数据中还可以看出,81%的期货公司机房已具备了双路供电;92%的公司指定了专人对机房供配电系统进行定期维护。此外,为更好地应对突发事故,还有72%的公司在机房出入口处或值班室设置了应急断电装置,87%的公司在机房内安装了应急照明设施和安全口指示灯。空调方面,仅有57%的公司配备了精密空调, 86%的公司配备了备用空调,其中备用空调为精密空调的公司约占40%。在机房监控方面, 93%的期货公司已建立了完整的机房监控机制,85%的公司安排了机房值班人员,而能够实现7×24小时值班的公司只占全部公司的29%。
核心业务系统 《指引》对核心业务系统功能、性能、容量、交易系统冗余、行情冗余和银期系统冗余等方面提出了基本要求和分级要求。指引要求,交易系统应实现与应用分离,并具备对客户进行实时风险控制的能力;交易系统的性能和容量应能达到会员交易要求;应对交易系统的主要业务指标进行实时监控,并对所有接入交易所的交易通信链路和所有网上交易通信链路进行监控等。对于连接各交易所的交易链路,多数公司选择SDH、DDN或帧中继等直连链路作为主链路,并以三所联网等方式作为备份链路。
安全 《指引》对网络隔离、防病毒、补丁及安全加固、网站安全、网上交易安全、账号与权限、密码管理和安全审计等方面提出了基本要求和分级要求。从实际使用情况来看,期货公司的网络主要包括生产网、办公网和互联网,此外还包括公司与交易所、银行等单位的连接。调查结果显示,目前多数期货公司都采取了相应措施对不同网络进行隔离,从而更好地保障业务信息和客户信息的安全。
在入侵检测方面,目前76%的公司制定了对抗入侵的计划;86%的公司能够在网络边界处监视端口扫描及缓冲区溢出等攻击行为,其中超过50%的公司在所有外部网络接口处都安装了入侵检测设备。
在系统权限和密码管理方面,96%的公司实现了操作系统和数据库系统特权用户的权限分离;99%的公司限制了默认账户的访问权限;95%的公司制定了相应的制度更换和保存口令,92%的公司都采取了有效的物理保护措施对口令进行保护。在防病毒管理方面,超过96%的公司对所有Windows平台均部署了木马、病毒防护软件,及时更新,定期进行木马、病毒检测。
在系统补丁管理和安全加固方面,96%的公司建立了定期扫描并修补漏洞的工作制度,并在评估后安装必要的Windows系统补丁程序。在安全审计和评估方面,72%以上的公司能够确保安全审计范围覆盖服务器上的每个操作系统用户和数据库用户,68%的公司有对交易业务系统的可靠性和安全性进行定期评估的制度。
日常运维 《指引》对技术人员岗位、制度、巡检和机房进出等日常运行管理提出了基本要求和分级要求。目前,90%的期货公司在机房出入口安排了专人值守,控制、鉴别和记录出入的人员;77%的公司安装了机房门禁系统;约95%的公司具有机房来访人员申请和审批流程,能够限制并全程监控机房来访人员的活动范围。
灾备 《指引》对数据备份和灾难备份提出了基本要求和分级要求。在设备和介质管理方面,93%的期货公司对所使用的介质进行了分类标识和存储;对于需要送出维修或销毁的介质,99%的公司能够清除其中的敏感数据,以防止信息的非法泄漏。对于生产所用的应用系统、硬件设备和系统软件,所有期货公司都使用了正规厂商的产品,其中95%的公司购买了相应的维护服务。
由于期货公司目前的实力和IT现状,很难做到投入大量资金建立灾备中心,因此我们把灾难备份作为可选项。未来的发展方向还是倡导建立灾备中心的。
系统管理 《指引》对系统变更管理、配置管理、容量管理、应急演练和技术事故管理等方面提出了基本要求和分级要求。
据调查,98%的期货公司制定了详细的系统配置文档和完整、规范的系统测试操作流程,93%的公司能够在每次上线前进行影响分析或评估,97%以上的公司能够针对每次上线制定明确的上线计划,上线前充分测试,对上线情况进行精确的跟踪,并记录上线的操作过程和发生的问题。
营业部 《指引》对营业部技术管理和技术系统提出了基本要求,对有现场交易的营业部提出了交易保障的高级要求。
调查显示,约72%的期货公司营业部建设了满足安全要求的机房,用于放置业务开展所需要的网络、通信和主机设备。约62%的期货公司营业部所在场所具备双路供电;在提供现场交易的期货营业部中,78%已使用了不间断供电设备。
23%的期货公司营业部已建立了连接总部中心机房的直连链路。在系统安全方面,81%的期货公司营业部重要网络设备、服务器能够抗单点故障;76%的期货公司营业部对现场办公网络与客户交易网络进行了隔离。
一场持久战
虽然期货公司在准备股指期货上市的这几年里,在信息技术方面增大了投入,加强了技术人才引进,提升了技术管理水平,但还是距监管部门的要求和未来发展的需要有不小的差距。上面的调查数据看似不错,但是真正检查就不一样了。通过试检查我们发现,在信息技术方面实力最强的几家公司都仍然存在着很多问题,对他们进行的187项检查中,平均67项不合格。原因何在?
我认为,一是他们对《指引》本身和《指引》制定的初衷,仍有不同程度的理解偏差,存在理解不到位的情况;二是检查时指引尚未公布,公司没有足够的时间准备;三是公司认为最容易达到的软要求往往是最不易达到的。相反,硬件投入在某种意义上来说更容易达到。比如说,存储容量不够、UPS不够、空调不是精密空调,期货公司增加相应投入就可以了。而技术管理、日常运行、系统维护等几类要求主要是在IT管理上的要求。比如IT制度建设、巡检、机房进出管理、日志记录、变更管理、配置管理和容量管理等方面的软要求,就不是简单靠IT投入能够达到的,而是要靠合理规范的制度、责任心和良好的工作习惯。而这些都不是一朝一夕能够实现的。
所以说,期货公司要想达到技术改造要求,首先要认真研读指引的每一个条款,然后根据本单位的实际情况制定切实可行的整改方案,抓重点,抠细节。在整改完成时应积极开展自查活动。