僵尸IP侵入中銀國際客戶賬戶 誰保障券商IT安全
中銀國際 誰動了我的賬戶
關閉的IP侵入股票賬戶,到底是誰在進行瘋狂的交易?無中生有的交易記錄背后,誰動了客戶的賬戶?法院的一紙判決卻無法解釋離奇的交易,創新類券商還有何安全保障可言?
北京投資者王先生感覺自己的遭遇很夸張,不知情的情況下,其在中銀國際證券有限責任公司(下稱“中銀國際”) 北京宣外大街營業部開設的證券賬戶,遭遇“僵尸IP地址”入侵,通過中銀國際的IT交易系統進行多達48筆股票交易,涉及金額上百萬元,致使賬戶資金遭受損失。
王先生將中銀國際告上了法庭,認為由于IT系統的原因,中銀國際給自己造成了經濟損失3.2萬元。4月20日,王先生收到了北京市第一中級人民法院的終審判決,法院不予支持王先生的訴訟請求。
官司已了,離奇卻并未因法院的判決而撥開迷霧。據法院提供的材料,自2007年4月,已被關閉使用長達一年的“IP218.97.242.172”通過層層網關、路由的監管進入了中銀國際的交易系統,進行頻繁交易。法院審理中證據指出,關閉的IP不能正常使用,法院并沒有對關閉的IP地址依然能夠進入中銀國際IT系統做出一個法定的裁決。
中銀國際是創新類券商,根據證券業協會對創新類券商的評定指標,信息系統安全是6大考核指標之一。一個已經關閉的IP都能進入中銀國際的IT系統進行瘋狂交易,中銀國際脆弱的IT系統不堪一擊。創新類券商的信息系統如此糟糕,如何來保護投資者的合法權益?
僵尸IP侵入賬戶
2007年4月,王先生在中銀國際北京宣外大街證券營業部開設股票賬戶,資金賬戶為:22238***;證券賬戶:滬市A239018***;深市:0023150***,并結識客戶經理張某。
根據法院的材料顯示,王先生開戶之后,張某在征求王先生同意的情況下,先后得知了王先生的股票賬戶密碼和交易密碼。自2007年4月至2008年3月,王先生通過電話和手機短信與張某進行聯系,商討具體股票交易事宜,并委托張某操盤數筆股票交易。
怪事在一年之后暴露出來。2008年6月,王先生打印了自己股票賬戶中的股票交易記錄,長串的交易記錄一下子讓王先生傻眼了,自己并沒有進行那么頻繁的交易,怎么會有如此多的交易記錄?仔細核對后發現,部分股票并未進行任何形式的委托,甚至在其外地出差期間,仍有股票交易發生。
王先生提供的公證處資料顯示,2007年6月7日10點32分,王先生正在北京飛往煙臺的飛機上,但自己的股票賬戶卻發生了ST羅牛(000735.SZ)5000股的股票買入,交易時計價32344.9元,交割單顯示此交易通過電腦委托進行,委托電腦IP為218.97.242.172(北京)。
除該筆交易外,同時,王先生提供證據表明,自己不在北京或沒有下達交易委托時產生的有效交易有:2007年11月20日,王先生在外地出差期間,產生了中國銀行(3.96,-0.13,-3.18%)(601988.SH)3000股的賣出交易,交易時計價20364.92元,委托電腦IP為222.128.35.24(北京);2007年7月26日,電話委托買入中色股份(12.89,-0.98,-7.07%)(000758.SZ)2000股,交易時計價67328.3元。上訴三筆交易共計人民幣120038.12元。
王先生非常驚訝,自己未進行任何股票交易,也并未委托張某進行股票交易,那么是誰在操作自己的股票賬戶?
隨著調查的深入,交割單上顯示進行交易的IP218.97.242.172成為王先生與中銀國際雙方爭執的焦點。
經法院調查取證得知,IP218.97.242.172由北京光環新網數字技術有限公司于2005年7月25日接入在北京注冊成立的北京奧捷特廣告有限公司,接入地址為北京市莊勝廣場東冀1526號,IP接入方電腦顯示,此IP的有效期是2005年7月25日至2006年7月24日,自此之后,該IP處于“被關閉”狀態。
光環新網運營管理中心總監李超告訴法院,“218.97.242.173在此之后并沒有接入其他用戶,包括中銀國際證券有限公司,IP被關閉之后肯定不能使用了。”
而王先生在中銀國際開設股票賬戶的日期為2007年4月,也即意味著,在王先生開戶前就已經不存在的IP地址,卻在他不知情的情況下,在他的股票賬戶內進行了多達48筆的交易。
律法面前無真相
一個已經被關閉的IP出現在股民的股票交易中,法院的判決并沒有提及到這個僵尸IP,迷霧依然繚繞。面對監管律法,中銀國際卻沒有進一步說明真相。
根據1998年5月中國證監會頒布的《中國證券經營機構營業部信息系統技術管理規范(試行)》規定,各證券經營機構設立的計算機工作管理部門應“負責本營業部信息系統的安全運行。開市之前做好系統的運行準備工作,開市期間實時監控系統的運行狀況,收市以后配合清算員完成日結清算等盤后工作”。
同時,“證券經營機構要指定一職能部門負責公司及所屬營業部的計算機安全管理。由公司總經理(總裁)主管計算機安全工作,營業部負責人為營業部計算機安全工作責任人。計算機安全管理的主要內容包括安全防范設施和安全保障機制,以有效降低系統風險和操作風險,預防不法分子利用計算機作案。”
此外,試行規范還要求證券公司“營業部配備的電子交易系統必須達到一定的安全級別”。
另外,2005年3月,證監會和中國人民銀行正式頒布實施《證券公司信息技術管理規范》。《證券公司信息技術管理規范》第4.3.1條顯示:“證券公司應建立信息系統安全管理組織,實施信息安全等級保護,并設立專門的安全管理員、安全審計員崗位。”
同時,《規范》明確規定,信息系統安全管理組織應履行“審核和實施信息系統安全保護和安全防范技術方案”的職責。
同時,該規則要求,“網上委托系統應采用至少兩條線路接入互聯網,采用同一個運營商的線路應通過不同的節點接入;通過防火墻等安全設備與互聯網相連。”
該規則對證券公司網絡安全的要求包括,證券公司應“利用成熟的網絡安全技術,防止非法訪問、攻擊和破壞計算機網絡等活動”,并且要求其“定期對公司網絡進行安全檢查,發現問題,及時解決,并記錄存檔”。
網上委托系統的安全要求證券公司“采用有效技術措施達到防抵賴、防改、防竊取等功能”。
中銀國際總部給《證券市場周刊》書面回復稱,“關于王伯誠上訴案已由北京市第一中級人民法院做出終審判決,駁回了原告的上訴請求。關于此案的情況以法院審判的依據和結果為準,公司無進一步說明。”
北京市京都律師事務所律師于紅巖稱,券商有義務根據部門規章嚴格管理系統,證監會頒布的行政法規、部門規章對于直接規范行業上下交易是有法律效力的。已關閉的IP進入系統并發生實際交易,“已造成實際危害,從安全交易規則的角度可以納入法律關系中”。
誰保障IT安全
中銀國際目前是創新類券商,IT系統卻無法確保僵尸IP的入侵。
根據中國證券業協會公布的“2009年度證券公司股票和債券承銷金額排名”顯示,中銀國際以559億元的承銷金額排在中信證券(19.52,-1.69,-7.97%)和中金公司之后,位列第三名。
查閱中銀國際2009年年報發現,公司全年投入的軟件費為544萬元,占其全年營業總支出的0.54%。而中銀國際在全國有23個營業部,軟件費均分到各營業部頭上為23萬元。
中銀國際北京宣外大街證券營業部總經理王耀鋼接受《證券市場周刊》記者采訪時稱,“這個IP我不知道怎么會進入交易系統,這是法院認定的事,這個案子法院都已經結了。”該營業部市場總監魏強則稱,“為了交易安全,我們的系統在不斷升級。”
中銀國際總部給《證券市場周刊》書面回復稱,“中銀國際證券始終將維護客戶利益放在重要位置,每年都投入相當的人力與物力對IT系統進行升級維護,保證公司IT系統始終處于安全穩定運行狀態,為客戶交易提供安全可靠的保障”。
按照《證券公司風險管理能力評價指標與標準》對創新類券商的考評要求,證券公司風險管理能力主要從資本充足、公司治理與合規管理、動態風險監控、信息系統安全、客戶權益保護、信息披露6類評價指標,其中信息系統安全主要反映證券公司IT治理及信息技術系統運行情況,體現其技術風險管理能力。
盡管中銀國際聲稱為客戶交易提供可靠的保障,可是王先生遭遇的僵尸IP至今沒有一個明確的說法。中銀國際發生僵尸IP事件之前,已經評選為創新類券商,按照創新類券商的6大考核要求看,中銀國際這樣的創新類券商在IT系統都存在迷一般的漏洞,如何確保客戶的交易安全?
【編輯推薦】
