僵尸IP侵入中银国际 谁保障券商IT安全

中银国际 谁动了我的账户

关闭的IP侵入股票账户,到底是谁在进行疯狂的交易?无中生有的交易记录背后,谁动了客户的账户?法院的一纸判决却无法解释离奇的交易,创新类券商还有何安全保障可言?

北京投资者王先生感觉自己的遭遇很夸张,不知情的情况下,其在中银国际证券有限责任公司(下称“中银国际”) 北京宣外大街营业部开设的证券账户,遭遇“僵尸IP地址”入侵,通过中银国际的IT交易系统进行多达48笔股票交易,涉及金额上百万元,致使账户资金遭受损失。

王先生将中银国际告上了法庭,认为由于IT系统的原因,中银国际给自己造成了经济损失3.2万元。4月20日,王先生收到了北京市第一中级人民法院的终审判决,法院不予支持王先生的诉讼请求。

官司已了,离奇却并未因法院的判决而拨开迷雾。据法院提供的材料,自2007年4月,已被关闭使用长达一年的“IP218.97.242.172” 通过层层网关、路由的监管进入了中银国际的交易系统,进行频繁交易。法院审理中证据指出,关闭的IP不能正常使用,法院并没有对关闭的IP地址依然能够进入中银国际IT系统做出一个法定的裁决。

中银国际是创新类券商,根据证券业协会对创新类券商的评定指标,信息系统安全是6大考核指标之一。一个已经关闭的IP都能进入中银国际的IT系统进行疯狂交易,中银国际脆弱的IT系统不堪一击。创新类券商的信息系统如此糟糕,如何来保护投资者的合法权益?

僵尸IP侵入账户

2007年4月,王先生在中银国际北京宣外大街证券营业部开设股票账户,资金账户为:22238***;证券账户:沪市A239018***;深市:0023150***,并结识客户经理张某。

根据法院的材料显示,王先生开户之后,张某在征求王先生同意的情况下,先后得知了王先生的股票账户密码和交易密码。自2007年4月至2008年3 月,王先生通过电话和手机短信与张某进行联系,商讨具体股票交易事宜,并委托张某操盘数笔股票交易。

怪事在一年之后暴露出来。2008年6月,王先生打印了自己股票账户中的股票交易记录,长串的交易记录一下子让王先生傻眼了,自己并没有进行那么频繁的交易,怎么会有如此多的交易记录?仔细核对后发现,部分股票并未进行任何形式的委托,甚至在其外地出差期间,仍有股票交易发生。

王先生提供的公证处资料显示,2007年6月7日10点32分,王先生正在北京飞往烟台的飞机上,但自己的股票账户却发生了ST罗牛 (000735.SZ)5000股的股票买入,交易时计价32344.9元,交割单显示此交易通过电脑委托进行,委托电脑IP为 218.97.242.172(北京)。

除该笔交易外,同时,王先生提供证据表明,自己不在北京或没有下达交易委托时产生的有效交易有:2007年11月20日,王先生在外地出差期间,产生了中国银行(3.96,-0.13,-3.18%)(601988.SH)3000股的卖出交易,交易时计价20364.92元,委托电脑IP为 222.128.35.24(北京);2007年7月26日,电话委托买入中色股份(12.89,-0.98,-7.07%) (000758.SZ)2000股,交易时计价67328.3元。上诉三笔交易共计人民币120038.12元。

王先生非常惊讶,自己未进行任何股票交易,也并未委托张某进行股票交易,那么是谁在操作自己的股票账户?

随着调查的深入,交割单上显示进行交易的IP218.97.242.172成为王先生与中银国际双方争执的焦点。

经法院调查取证得知,IP218.97.242.172由北京光环新网数字技术有限公司于2005年7月25日接入在北京注册成立的北京奥捷特广告有限公司,接入地址为北京市庄胜广场东冀1526号,IP接入方电脑显示,此IP的有效期是2005年7月25日至2006年7月24日,自此之后,该 IP处于“被关闭”状态。

光环新网运营管理中心总监李超告诉法院,“218.97.242.173在此之后并没有接入其他用户,包括中银国际证券有限公司,IP被关闭之后肯定不能使用了。”

而王先生在中银国际开设股票账户的日期为2007年4月,也即意味着,在王先生开户前就已经不存在的IP地址,却在他不知情的情况下,在他的股票账户内进行了多达48笔的交易。

律法面前无真相

一个已经被关闭的IP出现在股民的股票交易中,法院的判决并没有提及到这个僵尸IP,迷雾依然缭绕。面对监管律法,中银国际却没有进一步说明真相。

根据1998年5月中国证监会颁布的《中国证券经营机构营业部信息系统技术管理规范(试行)》规定,各证券经营机构设立的计算机工作管理部门应“负责本营业部信息系统的安全运行。开市之前做好系统的运行准备工作,开市期间实时监控系统的运行状况,收市以后配合清算员完成日结清算等盘后工作”。

同时,“证券经营机构要指定一职能部门负责公司及所属营业部的计算机安全管理。由公司总经理(总裁)主管计算机安全工作,营业部负责人为营业部计算机安全工作责任人。计算机安全管理的主要内容包括安全防范设施和安全保障机制,以有效降低系统风险和操作风险,预防不法分子利用计算机作案。”

此外,试行规范还要求证券公司“营业部配备的电子交易系统必须达到一定的安全级别”。

另外,2005年3月,证监会和中国人民银行正式颁布实施《证券公司信息技术管理规范》。《证券公司信息技术管理规范》第4.3.1条显示:“证券公司应建立信息系统安全管理组织,实施信息安全等级保护,并设立专门的安全管理员、安全审计员岗位。”

同时,《规范》明确规定,信息系统安全管理组织应履行“审核和实施信息系统安全保护和安全防范技术方案”的职责。

同时,该规则要求,“网上委托系统应采用至少两条线路接入互联网,采用同一个运营商的线路应通过不同的节点接入;通过防火墙等安全设备与互联网相连。”

该规则对证券公司网络安全的要求包括,证券公司应“利用成熟的网络安全技术,防止非法访问、攻击和破坏计算机网络等活动”,并且要求其“定期对公司网络进行安全检查,发现问题,及时解决,并记录存档”。

网上委托系统的安全要求证券公司“采用有效技术措施达到防抵赖、防改、防窃取等功能”。

中银国际总部给《证券市场周刊》书面回复称,“关于王伯诚上诉案已由北京市第一中级人民法院做出终审判决,驳回了原告的上诉请求。关于此案的情况以法院审判的依据和结果为准,公司无进一步说明。”

北京市京都律师事务所律师于红岩称,券商有义务根据部门规章严格管理系统,证监会颁布的行政法规、部门规章对于直接规范行业上下交易是有法律效力的。已关闭的IP进入系统并发生实际交易,“已造成实际危害,从安全交易规则的角度可以纳入法律关系中”。

谁保障IT安全

中银国际目前是创新类券商,IT系统却无法确保僵尸IP的入侵。

根据中国证券业协会公布的“2009年度证券公司股票和债券承销金额排名”显示,中银国际以559亿元的承销金额排在中信证券 (19.52,-1.69,-7.97%)和中金公司之后,位列第三名。

查阅中银国际2009年年报发现,公司全年投入的软件费为544万元,占其全年营业总支出的0.54%。而中银国际在全国有23个营业部,软件费均分到各营业部头上为23万元。

中银国际北京宣外大街证券营业部总经理王耀钢接受《证券市场周刊》记者采访时称,“这个IP我不知道怎么会进入交易系统,这是法院认定的事,这个案子法院都已经结了。”该营业部市场总监魏强则称,“为了交易安全,我们的系统在不断升级。”

中银国际总部给《证券市场周刊》书面回复称,“中银国际证券始终将维护客户利益放在重要位置,每年都投入相当的人力与物力对IT系统进行升级维护,保证公司IT系统始终处于安全稳定运行状态,为客户交易提供安全可靠的保障”。

按照《证券公司风险管理能力评价指标与标准》对创新类券商的考评要求,证券公司风险管理能力主要从资本充足、公司治理与合规管理、动态风险监控、信息系统安全、客户权益保护、信息披露6类评价指标,其中信息系统安全主要反映证券公司IT治理及信息技术系统运行情况,体现其技术风险管理能力。

尽管中银国际声称为客户交易提供可靠的保障,可是王先生遭遇的僵尸IP至今没有一个明确的说法。中银国际发生僵尸IP事件之前,已经评选为创新类券商,按照创新类券商的6大考核要求看,中银国际这样的创新类券商在IT系统都存在迷一般的漏洞,如何确保客户的交易安全?