rock網(wǎng)上基金銷售系統(tǒng)調(diào)研報(bào)告v.doc

學(xué)號(hào)1040112323 姓名 李榮飛1040112323 GZ班實(shí)驗(yàn)2 你的系統(tǒng)名稱本次實(shí)驗(yàn)名稱潘正軍JY1011潘正軍UML基礎(chǔ)與Rose建模網(wǎng)上基金銷售系統(tǒng)-調(diào)研報(bào)告實(shí)驗(yàn)一、 rcok組簡(jiǎn)介：組名：rock組長(zhǎng)：李榮飛組員：李榮飛口號(hào)：if you smell what the rock is cooking圖標(biāo)，旗幟：二、 任務(wù)分配情況1. 組長(zhǎng)李榮飛主要負(fù)責(zé)對(duì)此系統(tǒng)的開(kāi)發(fā)前景，系統(tǒng)的關(guān)鍵功能，要解決什么問(wèn)題和我們的開(kāi)發(fā)目標(biāo)。2. 組員李榮飛主要負(fù)責(zé)對(duì)該系統(tǒng)系統(tǒng)需求分析，系統(tǒng)業(yè)務(wù)流程及描述，用戶需求，性能需求。3. 組員李榮飛主要負(fù)責(zé)對(duì)此系統(tǒng)的公共類的編寫。三、 本次實(shí)驗(yàn)小結(jié)通過(guò)本次的系統(tǒng)文檔的編寫，我們深刻體會(huì)到要完成一個(gè)項(xiàng)目，不只是編碼，文檔的編寫也很重要，而且耗時(shí)很多，而且不是一次編寫完畢就完成的，還有需要很多修改和完善的。同時(shí)也知道了在開(kāi)發(fā)一個(gè)項(xiàng)目中，團(tuán)隊(duì)成員之間的交流和相互協(xié)作非常重要，一個(gè)團(tuán)隊(duì)重要的不是有一兩個(gè)人特別牛，而是一個(gè)團(tuán)隊(duì)的交流和互相協(xié)作才是至關(guān)重要的，決定了一個(gè)團(tuán)隊(duì)的工作的效果和效率。同時(shí)，我這次也遇到很多初級(jí)錯(cuò)誤，同時(shí)我也相信這些錯(cuò)誤對(duì)我以后工作的晚上有莫大的好處。目錄網(wǎng)上基金銷售系統(tǒng)-調(diào)研報(bào)告實(shí)驗(yàn)1調(diào)查過(guò)程:背景分析11.1事件一：11.2事件二：11.3事件三：22.對(duì)需要解決的問(wèn)題的認(rèn)識(shí)22.1安全性23.明確項(xiàng)目目標(biāo)34.存在的困難34.1不可解決的問(wèn)題：34.2可解決問(wèn)題：45.對(duì)需要解決的問(wèn)題的認(rèn)識(shí)45.1不可解決的問(wèn)題的認(rèn)識(shí)：45.2可解決問(wèn)題的認(rèn)識(shí)：46.附錄：46.1結(jié)尾語(yǔ)：46.2參考文獻(xiàn):51調(diào)查過(guò)程:背景分析1.1事件一：網(wǎng)上基金銷售信息系統(tǒng)技術(shù)指引出臺(tái) 二九年十一月二十日這是協(xié)會(huì)今年繼網(wǎng)上證券技術(shù)指引、證券營(yíng)業(yè)部技術(shù)指引之后出臺(tái)的第三個(gè)信息技術(shù)方面的自律規(guī)則，也是第一個(gè)專門針對(duì)基金業(yè)的技術(shù)指引?！爸敢陌l(fā)布標(biāo)志著網(wǎng)上基金銷售信息系統(tǒng)建設(shè)和管理已有明確的行業(yè)規(guī)范，包括基金公司、證券公司、基金代銷機(jī)構(gòu)的網(wǎng)上基金系統(tǒng)建設(shè)和運(yùn)行管理都將參照該指引的要求?！庇嘘P(guān)人士介紹說(shuō)。近兩年，隨著基金業(yè)蓬勃發(fā)展，投資者通過(guò)互聯(lián)網(wǎng)自助式購(gòu)買基金的方式越來(lái)越得到認(rèn)可。但同時(shí)也容易受計(jì)算機(jī)設(shè)備、軟件程序、通信線路等影響而產(chǎn)生“堵單”或中斷。特別是網(wǎng)上系統(tǒng)還面臨黑客攻擊等來(lái)自互聯(lián)網(wǎng)的安全威脅，可能給投資者帶來(lái)直接的經(jīng)濟(jì)損失。協(xié)會(huì)有關(guān)人士指出，由于一直以來(lái)行業(yè)缺乏統(tǒng)一的技術(shù)要求，而一些中小機(jī)構(gòu)投入相對(duì)不足，而且對(duì)系統(tǒng)建設(shè)和管理實(shí)踐不夠，有可能存在技術(shù)系統(tǒng)安全風(fēng)險(xiǎn)。為此，協(xié)會(huì)組織信息化水平居于行業(yè)前列的基金銷售機(jī)構(gòu)，借鑒其建設(shè)和管理的經(jīng)驗(yàn)措施，制定了適合目前實(shí)際情況并兼顧未來(lái)發(fā)展趨勢(shì)的技術(shù)指引，對(duì)所有網(wǎng)上基金系統(tǒng)提出了共性要求和技術(shù)標(biāo)準(zhǔn)。1.2事件二：而在中國(guó)截至目前,外管局已經(jīng)累計(jì)批復(fù)152家QFII機(jī)構(gòu)總計(jì)298.68億美元的QFII額度。同時(shí),外管局9月12日稱,QFII對(duì)我國(guó)證券投資穩(wěn)中趨升,一季度流出入基本平衡,二季度凈流入大幅增至15億美元,總體凈增16億美元。1.3事件三：來(lái)自英國(guó)倫敦大學(xué)瑪莉皇后學(xué)院計(jì)算機(jī)系的兩位計(jì)算機(jī)專家也開(kāi)發(fā)了類似的運(yùn)用生物測(cè)定技術(shù)的網(wǎng)上購(gòu)物軟件，他們表示，“我們的軟件是基于網(wǎng)上購(gòu)物者敲擊鍵盤及操作鼠標(biāo)的特征而開(kāi)發(fā)的，該軟件有著很強(qiáng)的識(shí)別性。”原因是每個(gè)人敲擊鍵盤的節(jié)奏都不同，這便提供了強(qiáng)大的安全保障。但另一方面，用戶可能會(huì)因增加成本及隱私的問(wèn)題而被嚇跑。如VeriSign推出了一項(xiàng)識(shí)別網(wǎng)上一些欺騙行為的新服務(wù)，獲取這種服務(wù)卻需要按月支付一定的費(fèi)用，而且其每個(gè)交易的驗(yàn)證也要收費(fèi)，這些費(fèi)用最終還是會(huì)轉(zhuǎn)移到用戶身上。更重要的是，生物識(shí)別技術(shù)本身還有一些缺陷。以人臉識(shí)別為例，周圍光線、環(huán)境，人的表情、情緒，是否化妝，都會(huì)給正確的識(shí)別增加困難。識(shí)別率不夠?qū)⒃斐墒裁唇Y(jié)果？識(shí)別系統(tǒng)也許能將仿冒者成功認(rèn)出，但也可能會(huì)把喝了幾杯酒的你關(guān)在交易的大門之外，因?yàn)檫@時(shí)候的你完全有可能與“清醒”狀態(tài)時(shí)的聲音或敲擊鍵盤的狀態(tài)不一樣。2.對(duì)需要解決的問(wèn)題的認(rèn)識(shí)2.1安全性安全性是目前威脅網(wǎng)上基金銷售系統(tǒng)的最大問(wèn)題,。威脅來(lái)自漏洞，密碼泄露，木馬，病毒，網(wǎng)站釣魚，網(wǎng)絡(luò)欺詐行為等等2.1.1網(wǎng)絡(luò)欺詐行為2.1.2軟件自身漏洞2.1.3身份認(rèn)證問(wèn)題2.1.4木馬，病毒，網(wǎng)站釣魚等問(wèn)題根據(jù)網(wǎng)上基金銷售信息系統(tǒng)技術(shù)指引:第三十二條 網(wǎng)上基金銷售信息系統(tǒng)應(yīng)提供可靠的身份驗(yàn)證機(jī)制，除采用賬號(hào)名、口令、驗(yàn)證碼的身份認(rèn)證方式外，還應(yīng)向客戶提供一種以上強(qiáng)度更高的身份認(rèn)證方式供客戶選擇使用，如，客戶端電腦或手機(jī)特征碼綁定、軟硬件證書、動(dòng)態(tài)口令等認(rèn)證方式，確認(rèn)客戶的身份和登錄的合法性，防止不法分子利用木馬等黑客程序竊取客戶賬號(hào)和口令。這里明確要求我們使用更安全的方法來(lái)提高用戶網(wǎng)絡(luò)交易的安全性3.明確項(xiàng)目目標(biāo)1. 解決項(xiàng)目的安全問(wèn)題（漏洞最小的目標(biāo)）2. 提供實(shí)時(shí)的基金銷售信息3. 提供系統(tǒng)網(wǎng)上查殺，檢查環(huán)境安全功能（同其他公司合作）4. 確保該軟件符合國(guó)家的法律法規(guī)要求，保護(hù)和尊重用戶的信息4.存在的困難4.1不可解決的問(wèn)題：1.漏洞是很難以解決的問(wèn)題。2.如何才能減少網(wǎng)絡(luò)欺騙行為的危害。4.2可解決問(wèn)題：1.網(wǎng)上基金銷售系統(tǒng)的信息如何實(shí)時(shí)獲取2.公司收入問(wèn)題。該軟件如何符合市場(chǎng)經(jīng)濟(jì)利益，為公司創(chuàng)收5.對(duì)需要解決的問(wèn)題的認(rèn)識(shí)5.1不可解決的問(wèn)題的認(rèn)識(shí)：1. 軟件漏洞可以通過(guò)更多的測(cè)試檢出，2. 通過(guò)和其他安全公司合作（如360，金山），減少病毒，木馬對(duì)用戶的安全威脅。3. 在每次交易的時(shí)候都明顯提示用戶主要網(wǎng)上加以安全。5.2可解決問(wèn)題的認(rèn)識(shí)：1. 通過(guò)尋找導(dǎo)師，或者與相關(guān)企業(yè)人員進(jìn)行人脈的搭建，為軟件的銷售尋找出路2. 通過(guò)尋找人加入，尤其是那些銷售基金的內(nèi)部人員，或相關(guān)專業(yè)人員，以便于獲得基金的最新消息。6.附錄：6.1結(jié)尾語(yǔ)：第一次第一個(gè)人做這么一個(gè)項(xiàng)目說(shuō)明文檔，很多不足，敬請(qǐng)?jiān)?。本人?huì)再后續(xù)的版本中進(jìn)行完善。6.2參考文獻(xiàn):網(wǎng)上基金銷售信息系統(tǒng)技術(shù)指引6.1第一章 總則第一條 為保障網(wǎng)上基金銷售信息系統(tǒng)的安全、可靠、高效運(yùn)行，促進(jìn)基金銷售業(yè)務(wù)健康有序發(fā)展，保護(hù)投資者的合法權(quán)益，依據(jù)中華人民共和國(guó)證券投資基金法、證券投資基金銷售業(yè)務(wù)信息管理平臺(tái)管理規(guī)定等法律法規(guī)制定本指引。第二條 在中華人民共和國(guó)境內(nèi)依法設(shè)立的基金銷售機(jī)構(gòu)開(kāi)展網(wǎng)上基金銷售業(yè)務(wù)適用于本指引?；痄N售機(jī)構(gòu)是指依法辦理基金份額認(rèn)購(gòu)、申購(gòu)和贖回等業(yè)務(wù)的基金管理人，以及取得基金代銷業(yè)務(wù)資格的其它機(jī)構(gòu)，包括基金管理公司、商業(yè)銀行、證券公司、證券投資咨詢機(jī)構(gòu)、專業(yè)基金銷售機(jī)構(gòu)等。第三條 網(wǎng)上基金銷售信息系統(tǒng)是指基金銷售機(jī)構(gòu)在網(wǎng)上開(kāi)展基金銷售業(yè)務(wù)活動(dòng)中所采用的網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)設(shè)備、軟件及專用通信線路等構(gòu)成的信息系統(tǒng),包括網(wǎng)上基金銷售系統(tǒng)服務(wù)端、客戶端和門戶網(wǎng)站。第四條 基金銷售機(jī)構(gòu)應(yīng)采取技術(shù)和管理措施，保證網(wǎng)上基金銷售系統(tǒng)的安全性、完整性和可用性，并做好系統(tǒng)信息保密工作。第五條 中國(guó)證券業(yè)協(xié)會(huì)對(duì)基金銷售機(jī)構(gòu)執(zhí)行本指引的情況進(jìn)行指導(dǎo)和督促。6.2第二章 基本要求第六條 基金銷售機(jī)構(gòu)對(duì)網(wǎng)上基金銷售信息系統(tǒng)應(yīng)統(tǒng)一規(guī)劃、集中管理，保證網(wǎng)上基金銷售業(yè)務(wù)安全、有序發(fā)展。第七條 基金銷售機(jī)構(gòu)應(yīng)制定在網(wǎng)上開(kāi)展基金銷售業(yè)務(wù)的各項(xiàng)安全管理制度，對(duì)安全管理目標(biāo)、安全管理組織、安全人員配備、安全策略、安全措施、安全培訓(xùn)、安全檢查、系統(tǒng)建設(shè)、運(yùn)行管理、應(yīng)急措施、風(fēng)險(xiǎn)控制、安全審計(jì)等方面作出規(guī)定。第八條 基金銷售機(jī)構(gòu)應(yīng)將網(wǎng)上開(kāi)展基金銷售業(yè)務(wù)的風(fēng)險(xiǎn)管理納入本機(jī)構(gòu)風(fēng)險(xiǎn)控制工作范圍，建立健全網(wǎng)上基金銷售風(fēng)險(xiǎn)控制管理體系。 第九條 基金銷售機(jī)構(gòu)的網(wǎng)上基金銷售信息系統(tǒng)應(yīng)部署在中華人民共和國(guó)境內(nèi)，滿足監(jiān)管部門現(xiàn)場(chǎng)檢查要求及中國(guó)司法機(jī)構(gòu)調(diào)查取證要求。第十條 基金銷售機(jī)構(gòu)應(yīng)當(dāng)與投資者簽訂網(wǎng)上基金或網(wǎng)上金融業(yè)務(wù)服務(wù)協(xié)議或合同，明確雙方的權(quán)利、義務(wù)和風(fēng)險(xiǎn)的責(zé)任承擔(dān)，向投資者揭示使用網(wǎng)上基金銷售信息系統(tǒng)可能面臨的風(fēng)險(xiǎn)、基金銷售機(jī)構(gòu)已采取的風(fēng)險(xiǎn)控制措施和客戶應(yīng)采取的風(fēng)險(xiǎn)防范措施。第十一條 網(wǎng)上基金銷售信息系統(tǒng)應(yīng)具有向投資者提示交易時(shí)間區(qū)間的功能。交易時(shí)間區(qū)間應(yīng)嚴(yán)格遵守監(jiān)管機(jī)構(gòu)或交易所的相關(guān)規(guī)定。第十二條 網(wǎng)上基金銷售信息系統(tǒng)應(yīng)由基金銷售機(jī)構(gòu)自主運(yùn)營(yíng)、自主管理。如涉及第三方（指除基金銷售機(jī)構(gòu)及其客戶以外的任何一方），必須與第三方簽訂保密協(xié)議和服務(wù)協(xié)議，明確責(zé)任，采取措施防止通過(guò)第三方泄露用戶信息。第十三條 基金銷售機(jī)構(gòu)委托或定制開(kāi)發(fā)網(wǎng)上基金銷售業(yè)務(wù)系統(tǒng)，應(yīng)與軟件開(kāi)發(fā)商簽訂詳細(xì)的商業(yè)合同及保密協(xié)議，明確軟件開(kāi)發(fā)商應(yīng)用軟件中使用的第三方產(chǎn)品具備合法版權(quán)。應(yīng)要求開(kāi)發(fā)商提供源代碼或?qū)υ创a實(shí)行第三方托管。第十四條 基金銷售機(jī)構(gòu)應(yīng)建立可靠的運(yùn)行環(huán)境，確保基金銷售系統(tǒng)有充足的處理能力、存儲(chǔ)容量和通訊帶寬，滿足業(yè)務(wù)增長(zhǎng)的需要。第十五條 基金銷售機(jī)構(gòu)應(yīng)對(duì)網(wǎng)上基金銷售信息系統(tǒng)的各個(gè)子系統(tǒng)合理劃分安全域，在不同安全域之間進(jìn)行有效的隔離，保障網(wǎng)上基金銷售前臺(tái)系統(tǒng)與其后臺(tái)系統(tǒng)在技術(shù)上進(jìn)行有效隔離，門戶網(wǎng)站和網(wǎng)上基金銷售信息系統(tǒng)進(jìn)行有效隔離。第十六條 網(wǎng)上基金銷售信息系統(tǒng)各環(huán)節(jié)必須有可靠的熱備或冷備措施，保證整個(gè)系統(tǒng)的高可用性。第十七條 用于網(wǎng)上基金銷售信息系統(tǒng)的服務(wù)器、操作系統(tǒng)、平臺(tái)軟件等應(yīng)及時(shí)進(jìn)行補(bǔ)丁和版本升級(jí)。升級(jí)前需進(jìn)行嚴(yán)格的系統(tǒng)測(cè)試。第十八條 網(wǎng)上基金銷售信息系統(tǒng)應(yīng)具備2個(gè)或2個(gè)以上不同運(yùn)營(yíng)商的互聯(lián)網(wǎng)接入，避免在同一運(yùn)營(yíng)商的線路接入上出現(xiàn)單點(diǎn)故障和瓶頸。第十九條 網(wǎng)上基金銷售信息系統(tǒng)應(yīng)部署防火墻、入侵檢測(cè)系統(tǒng)或入侵防護(hù)系統(tǒng)，并定期對(duì)安全日志進(jìn)行檢查，以提高網(wǎng)上基金銷售信息系統(tǒng)的防護(hù)能力。6.3第三章門戶網(wǎng)站第二十條 門戶網(wǎng)站指基金銷售機(jī)構(gòu)建立的實(shí)現(xiàn)信息發(fā)布、業(yè)務(wù)咨詢、營(yíng)銷推廣、客戶服務(wù)和投資者教育等功能的網(wǎng)站。第二十一條 基金銷售機(jī)構(gòu)門戶網(wǎng)站應(yīng)在當(dāng)?shù)仉娦殴芾砭洲k理ICP備案，同時(shí)向當(dāng)?shù)毓ど叹值扔嘘P(guān)部門辦理網(wǎng)站備案，在網(wǎng)站首頁(yè)公布ICP備案號(hào)，提供客戶查詢門戶網(wǎng)站備案信息的鏈接。第二十二條 基金銷售機(jī)構(gòu)應(yīng)采取有效措施監(jiān)控門戶網(wǎng)站防止被篡改。當(dāng)網(wǎng)站上的頁(yè)面內(nèi)容、提供給投資者下載的客戶端軟件及其他文件被異常修改時(shí)，能及時(shí)發(fā)現(xiàn)并恢復(fù)。第二十三條 門戶網(wǎng)站中不得存放與基金交易業(yè)務(wù)有關(guān)的客戶資料、交易數(shù)據(jù)等客戶敏感數(shù)據(jù)。第二十四條 門戶網(wǎng)站中的客戶賬號(hào)及口令，應(yīng)采用加密方式傳輸，并最低達(dá)到SSL協(xié)議128位的加密強(qiáng)度。第二十五條 基金銷售機(jī)構(gòu)應(yīng)建立對(duì)門戶網(wǎng)站內(nèi)容發(fā)布的審核、管理和監(jiān)控機(jī)制，對(duì)網(wǎng)頁(yè)內(nèi)容進(jìn)行監(jiān)控，對(duì)有害信息進(jìn)行過(guò)濾，防止網(wǎng)站出現(xiàn)不良信息。 6.4第四章網(wǎng)上基金銷售信息系統(tǒng)客戶端第二十六條 網(wǎng)上基金銷售信息系統(tǒng)客戶端是指基金銷售機(jī)構(gòu)提供的，由基金投資人通過(guò)互聯(lián)網(wǎng)、移動(dòng)通信等非現(xiàn)場(chǎng)方式獨(dú)自完成業(yè)務(wù)操作的應(yīng)用系統(tǒng)。第二十七條 網(wǎng)上基金銷售信息系統(tǒng)客戶端應(yīng)能向客戶提示最近一次登錄的日期、時(shí)間等信息。第二十八條 網(wǎng)上基金銷售信息系統(tǒng)客戶端應(yīng)能在指定 的閑置時(shí)間間隔到期后，自動(dòng)鎖定客戶端的使用或退出。第二十九條 網(wǎng)上基金銷售信息系統(tǒng)客戶端的數(shù)據(jù)傳輸應(yīng)采用國(guó)家信息安全機(jī)構(gòu)認(rèn)可的加密技術(shù)和加密強(qiáng)度，并最低達(dá)到SSL協(xié)議128位的加密強(qiáng)度。第三十條 網(wǎng)上基金銷售信息系統(tǒng)客戶端如需與銀行等支付系統(tǒng)進(jìn)行數(shù)據(jù)通信時(shí)，應(yīng)使用數(shù)字加密技術(shù)（如數(shù)字證書方式）進(jìn)行嚴(yán)格的數(shù)據(jù)加密處理防止數(shù)據(jù)被篡改。第三十一條 當(dāng)客戶訪問(wèn)網(wǎng)上基金銷售信息系統(tǒng)時(shí)，未經(jīng)客戶許可，除提高安全性的控件之外，不得以任何方式在客戶系統(tǒng)中安裝插件。第三十二條 網(wǎng)上基金銷售信息系統(tǒng)應(yīng)提供可靠的身份驗(yàn)證機(jī)制，除采用賬號(hào)名、口令、驗(yàn)證碼的身份認(rèn)證方式外，還應(yīng)向客戶提供一種以上強(qiáng)度更高的身份認(rèn)證方式供客戶選擇使用，如，客戶端電腦或手機(jī)特征碼綁定、軟硬件證書、動(dòng)態(tài)口令等認(rèn)證方式，確認(rèn)客戶的身份和登錄的合法性，防止不法分子利用木馬等黑客程序竊取客戶賬號(hào)和口令。第三十三條 基金銷售機(jī)構(gòu)為基金客戶網(wǎng)上開(kāi)立基金交易賬戶時(shí)，應(yīng)當(dāng)要求基金客戶提供身份證明信息，并采取等效實(shí)名制的方式核實(shí)基金客戶身份。第三十四條 基金銷售機(jī)構(gòu)應(yīng)采取有效技術(shù)措施，識(shí)別與驗(yàn)證使用網(wǎng)上基金銷售業(yè)務(wù)服務(wù)的投資者的真實(shí)、有效身份，并應(yīng)依照與投資者簽訂的協(xié)議對(duì)投資者操作權(quán)限、資金轉(zhuǎn)移或交易限額等實(shí)施有效管理。第三十五條 網(wǎng)上基金銷售信息系統(tǒng)客戶端不得在客戶本地計(jì)算機(jī)儲(chǔ)存客戶賬戶、口令等重要信息。存儲(chǔ)其它信息應(yīng)當(dāng)提示客戶，本地?cái)?shù)據(jù)存儲(chǔ)只是參考數(shù)據(jù)，應(yīng)當(dāng)以基金銷售機(jī)構(gòu)記錄數(shù)據(jù)為最終準(zhǔn)確數(shù)據(jù)。第三十六條 網(wǎng)上基金銷售信息系統(tǒng)客戶端應(yīng)當(dāng)具有基金客戶交易口令復(fù)雜度控制和提醒機(jī)制，提醒客戶定期修改口令；系統(tǒng)自動(dòng)生成的初始口令，必須有最小生存期限制或強(qiáng)制客戶修改，禁止系統(tǒng)自動(dòng)生成相同口令或弱口令；基金客戶口令的修改和取回操作要有日志記錄。6.5 第五章 網(wǎng)上基金銷售信息系統(tǒng)服務(wù)端第三十七條 網(wǎng)上基金銷售信息系統(tǒng)服務(wù)端是指基金銷售機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)向客戶提供網(wǎng)上基金交易、基金賬戶信息查詢等服務(wù)的信息系統(tǒng)，包括互聯(lián)網(wǎng)接入、安全防護(hù)與監(jiān)控、應(yīng)用服務(wù)、身份認(rèn)證等相關(guān)子系統(tǒng)。第三十八條網(wǎng)上基金銷售信息系統(tǒng)服務(wù)端應(yīng)能向客戶提供可證明服務(wù)端自身身份的信息，如提供預(yù)留驗(yàn)證信息服務(wù)，在客戶登錄時(shí)向客戶顯示預(yù)留的驗(yàn)證信息, 以幫助客戶識(shí)別仿冒的網(wǎng)上基金信息系統(tǒng)，防止不法分子利用仿冒的網(wǎng)上基金信息系統(tǒng)進(jìn)行詐騙活動(dòng)或盜取用戶賬號(hào)、口令等信息。第三十九條 網(wǎng)上基金銷售信息系統(tǒng)應(yīng)保障對(duì)客戶的授權(quán)不被惡意提升或轉(zhuǎn)授，防止客戶訪問(wèn)未經(jīng)過(guò)授權(quán)的數(shù)據(jù),使用未經(jīng)授權(quán)的功能。第四十條 基金銷售機(jī)構(gòu)開(kāi)展網(wǎng)上基金銷售業(yè)務(wù)，需要對(duì)客戶信息和交易信息等使用電子簽名或電子認(rèn)證時(shí)，應(yīng)遵照國(guó)家有關(guān)法律法規(guī)的規(guī)定。網(wǎng)上基金銷售信息系統(tǒng)采用的認(rèn)證授權(quán)和加密體系應(yīng)具備足夠的強(qiáng)度和抗攻擊能力，并根據(jù)網(wǎng)上基金銷售業(yè)務(wù)的安全性需要和信息技術(shù)的發(fā)展，定期檢查，適時(shí)調(diào)整。第四十一條 網(wǎng)上基金銷售信息系統(tǒng)未經(jīng)基金銷售機(jī)構(gòu)授權(quán)不得與第三方進(jìn)行任何形式的數(shù)據(jù)交換，并具備經(jīng)過(guò)認(rèn)證后僅向指定地址發(fā)送信息的功能。第四十二條 網(wǎng)上基金銷售機(jī)構(gòu)應(yīng)保證網(wǎng)上基金數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾?、真?shí)性和可稽核性，對(duì)網(wǎng)上基金交易的客戶信息、交易信息及其他敏感信息進(jìn)行可靠的加密，不得存在任何中間環(huán)節(jié)對(duì)數(shù)據(jù)進(jìn)行加解密處理。第四十三條 網(wǎng)上基金銷售信息系統(tǒng)服務(wù)端應(yīng)能夠抵御連續(xù)猜測(cè)，防止攻擊者通過(guò)對(duì)合法賬戶進(jìn)行大規(guī)模非法登錄請(qǐng)求，導(dǎo)致大量用戶賬戶被異常鎖定，正常用戶無(wú)法登錄。第四十四條 網(wǎng)上基金銷售信息系統(tǒng)服務(wù)端應(yīng)對(duì)異常情況進(jìn)行監(jiān)控，并具有相應(yīng)報(bào)警功能。第四十五條 網(wǎng)上基金銷售信息系統(tǒng)服務(wù)端對(duì)數(shù)據(jù)包被篡改、異常重發(fā)等情況需具有應(yīng)對(duì)能力。第四十六條 網(wǎng)上基金銷售信息系統(tǒng)服務(wù)端應(yīng)能在指定的閑置操作時(shí)間限制到期后，自動(dòng)終止用戶對(duì)系統(tǒng)的訪問(wèn)權(quán)。第四十七條 網(wǎng)上基金銷售信息系統(tǒng)服務(wù)端應(yīng)能產(chǎn)生、記錄并集中存儲(chǔ)必要的日志信息，日志信息應(yīng)至少包含能識(shí)別服務(wù)請(qǐng)求方身份的內(nèi)容，如，登錄終端的IP地址、MAC地址、手機(jī)號(hào)碼和終端特征碼等，并確保數(shù)據(jù)的可審計(jì)性，滿足監(jiān)管部門現(xiàn)場(chǎng)檢查要求及司法機(jī)構(gòu)調(diào)查取證的要求。第四十八條 網(wǎng)上基金銷售信息系統(tǒng)服務(wù)端應(yīng)能夠有效屏蔽系統(tǒng)技術(shù)錯(cuò)誤信息，不將系統(tǒng)產(chǎn)生的錯(cuò)誤信息直接反饋給客戶端。第四十九條 網(wǎng)上基金銷售信息系統(tǒng)服務(wù)端應(yīng)能夠提供系統(tǒng)運(yùn)行狀況信息(如活動(dòng)狀態(tài)、并發(fā)在線客戶數(shù)目、并發(fā)會(huì)話數(shù)目、線程數(shù)目、隊(duì)列長(zhǎng)度等)、錯(cuò)誤信息、安全警告等。第五十條 網(wǎng)上基金銷售信息系統(tǒng)應(yīng)具備防范SQL注入、跨站腳本、Session欺騙、拒絕式服務(wù)攻擊和緩沖區(qū)溢出等攻擊的能力。第五十一條 網(wǎng)上基金銷售信息系統(tǒng)服務(wù)端對(duì)于客戶口令等數(shù)據(jù)應(yīng)當(dāng)以密文形式存儲(chǔ)。 6.6 第六章 安全管理第五十二條 網(wǎng)上基金銷售信息系統(tǒng)的開(kāi)發(fā)、測(cè)試人員及環(huán)境應(yīng)與運(yùn)營(yíng)人員及生產(chǎn)環(huán)境分離。開(kāi)發(fā)、測(cè)試人員未經(jīng)授權(quán)不得訪問(wèn)、修改非職責(zé)范圍內(nèi)的網(wǎng)上基金銷售信息系統(tǒng)。第五十三條 基金銷售機(jī)構(gòu)應(yīng)對(duì)網(wǎng)上基金銷售信息系統(tǒng)中包括網(wǎng)絡(luò)安全設(shè)備、服務(wù)器以及應(yīng)用系統(tǒng)在內(nèi)的賬戶進(jìn)行嚴(yán)格管理，賬戶權(quán)限應(yīng)按最小權(quán)限原則設(shè)置，清除所有冗余、與應(yīng)用無(wú)關(guān)的賬戶，并嚴(yán)格限制各管理員賬戶的使用，禁止用最高權(quán)限賬戶執(zhí)行一般操作，盡量避免以最高權(quán)限賬戶運(yùn)行網(wǎng)上基金銷售信息系統(tǒng)服務(wù)端應(yīng)用軟件。第五十四條 系統(tǒng)各級(jí)管理用戶和口令應(yīng)由專人負(fù)責(zé)，在系統(tǒng)允許的情況下，口令長(zhǎng)度應(yīng)在12位（含12位）以上，且含有字符和數(shù)字，區(qū)分大小寫，并定期更改。第五十五條 基金銷售機(jī)構(gòu)應(yīng)定期進(jìn)行網(wǎng)上基金銷售系統(tǒng)的漏洞掃描和滲透測(cè)試工作，及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的各種安全問(wèn)題并及時(shí)修補(bǔ)。第五十六條 原則上不允許通過(guò)互聯(lián)網(wǎng)對(duì)網(wǎng)上基金銷售信息系統(tǒng)（如防火墻、網(wǎng)絡(luò)設(shè)備、服務(wù)器等）進(jìn)行遠(yuǎn)程管理和日常維護(hù)等操作，對(duì)網(wǎng)上基金銷售信息系統(tǒng)的訪問(wèn)控制應(yīng)做到： （一）關(guān)閉網(wǎng)上基金銷售信息系統(tǒng)所有與業(yè)務(wù)和維護(hù)無(wú)關(guān)的服務(wù)及端口，嚴(yán)格控制防火墻中的權(quán)限設(shè)置，確保按“最小權(quán)限原則”進(jìn)行設(shè)置；（二）對(duì)于網(wǎng)上基金銷售信息系統(tǒng)的內(nèi)部訪問(wèn)，應(yīng)嚴(yán)格限制訪問(wèn)源；（三）特殊緊急情況下需要通過(guò)互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程操作時(shí)，應(yīng)通過(guò)限制登錄IP、使用數(shù)字證書或動(dòng)態(tài)口令、全程監(jiān)控等措施確保安全，并在操作完成后，及時(shí)關(guān)閉相關(guān)端口。第五十七條 基金銷售機(jī)構(gòu)應(yīng)當(dāng)確保網(wǎng)上基金銷售信息系統(tǒng)服務(wù)器采取技術(shù)手段防止惡意代碼（病毒等）運(yùn)行、傳播。對(duì)于防病毒軟件，要保證病毒庫(kù)的及時(shí)更新，定期對(duì)系統(tǒng)進(jìn)行全面的病毒掃描。第五十八條 基金銷售機(jī)構(gòu)應(yīng)采取有效措施對(duì)門戶網(wǎng)站上提供下載的網(wǎng)上基金客戶端軟件程序進(jìn)行保護(hù)，客戶端軟件程序編譯封裝、形成下載文件后，對(duì)其進(jìn)行嚴(yán)格的病毒掃描和木馬檢查，并通過(guò)專用安全手段傳輸至網(wǎng)站文件下載服務(wù)器。第五十九條 基金銷售機(jī)構(gòu)應(yīng)對(duì)網(wǎng)上基金銷售信息系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，建立異常事件的甄別、報(bào)警、處理和報(bào)告機(jī)制。網(wǎng)上基金銷售信息系統(tǒng)實(shí)時(shí)監(jiān)控范圍應(yīng)包括各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備及操作系統(tǒng)、通訊線路狀態(tài)、數(shù)據(jù)庫(kù)、應(yīng)用軟件等。監(jiān)控內(nèi)容包括其運(yùn)行狀況、日志內(nèi)容、安全警告等，應(yīng)