提升IT軟實(shí)力檢查不是走過場

1、提升 IT 軟實(shí)力 檢查不是走過場 期貨公司信息技術(shù)管理指引 （以下簡稱指引 ） 到底有哪些主要要求 ?大部分期貨公司在這方面的現(xiàn)狀怎樣 ? 中國期貨行業(yè)協(xié)會 （以下簡稱中期協(xié) ）2008 年底對期貨公司進(jìn) 行了一次行業(yè)摸底調(diào)查 ,全國所有期貨公司網(wǎng)上填報了 500 項(xiàng)問題選項(xiàng) ,形成了 5 份調(diào)查報告。 調(diào)查結(jié)果不容樂觀 技術(shù)管理 指引 對期貨公司在組織結(jié)構(gòu)、 人員素質(zhì)、 培訓(xùn)、信息技術(shù)服務(wù)提供商管理和 IT 投入等方面提出了基本 要求和分級要求。以 IT 投入為例 ,指引要求期貨公司最 近3個財政年度IT投入平均數(shù)額應(yīng)不少于最近 3個財政年度 平均凈利潤的 6%或不少于最近 3 個財政年度

2、平均營業(yè)收入 的3%,取二者數(shù)額較大者。而根據(jù)調(diào)查 ,截至 2008年底,有 11 家公司最近3個財政年度的IT投入平均數(shù)額占平均凈利潤的 比例仍未達(dá)到指引規(guī)定的 6%;12 家公司最近 3 個財政年 度的IT投入平均數(shù)額占平均營業(yè)收入的比例未達(dá)到指引 規(guī)定的 3%。 指引一類中要求期貨公司IT工作人員總數(shù)原則上應(yīng) 不少于公司員工總?cè)藬?shù)的6%,總數(shù)應(yīng)不少于 3 人。調(diào)查結(jié)果 顯示，截至2008年底,32家公司的IT工作人員比例仍低于 6%,12家公司的IT工作人員總數(shù)仍未達(dá)到3人。 機(jī)房建設(shè) 指引對機(jī)房承重、消防、防雷、監(jiān)控、 供電、空調(diào)、布線和維護(hù)等方面提出了基本要求和分級要求。 其中承重的

3、 2、 3 類要求分別為每平方米 300 公斤和每平方 米 500 公斤。 2008 年底統(tǒng)計(jì)顯示 ,9 家公司的機(jī)房承重能力在 每平方米 300 公斤以下 ;46 家公司為每平方米 300 至 500 公 斤;67 家公司達(dá)到每平方米 500 公斤以上。防盜報警方面 ,54% 的期貨公司在機(jī)房內(nèi)安裝了防盜報警設(shè)施 ,達(dá)到了指引的要 求。從調(diào)查數(shù)據(jù)中還可以看出 ,81%的期貨公司機(jī)房已具備了 雙路供電 ;92%的公司指定了專人對機(jī)房供配電系統(tǒng)進(jìn)行定 期維護(hù)。此外 ,為更好地應(yīng)對突發(fā)事故 ,還有 72%的公司在機(jī) 房出入口處或值班室設(shè)置了應(yīng)急斷電裝置,87%的公司在機(jī) 房內(nèi)安裝了應(yīng)急照明設(shè)施和安

4、全口指示燈?？照{(diào)方面,僅有 57%的公司配備了精密空調(diào) , 86%的公司配備了備用空調(diào) ,其 中備用空調(diào)為精密空調(diào)的公司約占40%。在機(jī)房監(jiān)控方面 , 93% 的期貨公司已建立了完整的機(jī)房監(jiān)控機(jī)制,85%的公司安排 了機(jī)房值班人員，而能夠?qū)崿F(xiàn)7X 24小時值班的公司只占全 部公司的 29%。 核心業(yè)務(wù)系統(tǒng) 指引對核心業(yè)務(wù)系統(tǒng)功能、性能、 容量、交易系統(tǒng)冗余、行情冗余和銀期系統(tǒng)冗余等方面提出 了基本要求和分級要求。 指引要求 ,交易系統(tǒng)應(yīng)實(shí)現(xiàn)與應(yīng)用分 離 ,并具備對客戶進(jìn)行實(shí)時風(fēng)險控制的能力 ;交易系統(tǒng)的性能 和容量應(yīng)能達(dá)到會員交易要求 ;應(yīng)對交易系統(tǒng)的主要業(yè)務(wù)指 標(biāo)進(jìn)行實(shí)時監(jiān)控 ,并對所有接入

5、交易所的交易通信鏈路和所 有網(wǎng)上交易通信鏈路進(jìn)行監(jiān)控等。對于連接各交易所的交易 鏈路,多數(shù)公司選擇 SDH、DDN 或幀中繼等直連鏈路作為主鏈 路,并以三所聯(lián)網(wǎng)等方式作為備份鏈路。 安全 指引 對網(wǎng)絡(luò)隔離、 防病毒、 補(bǔ)丁及安全加固、 網(wǎng)站安全、網(wǎng)上交易安全、賬號與權(quán)限、密碼管理和安全審 計(jì)等方面提出了基本要求和分級要求。 從實(shí)際使用情況來看 期貨公司的網(wǎng)絡(luò)主要包括生產(chǎn)網(wǎng)、 辦公網(wǎng)和互聯(lián)網(wǎng) ,此外還包 括公司與交易所、 銀行等單位的連接。 調(diào)查結(jié)果顯示 ,目前多 數(shù)期貨公司都采取了相應(yīng)措施對不同網(wǎng)絡(luò)進(jìn)行隔離,從而更 好地保障業(yè)務(wù)信息和客戶信息的安全。 在入侵檢測方面 ,目前 76%的公司制定了

6、對抗入侵的計(jì) 劃;86%的公司能夠在網(wǎng)絡(luò)邊界處監(jiān)視端口掃描及緩沖區(qū)溢 出等攻擊行為 ,其中超過 50%的公司在所有外部網(wǎng)絡(luò)接口處 都安裝了入侵檢測設(shè)備。 在系統(tǒng)權(quán)限和密碼管理方面 ,96%的公司實(shí)現(xiàn)了操作系 統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離 ;99%的公司限制了默 認(rèn)賬戶的訪問權(quán)限 ;95%的公司制定了相應(yīng)的制度更換和保 存口令 ,92%的公司都采取了有效的物理保護(hù)措施對口令進(jìn) 行保護(hù)。 在防病毒管理方面 ,超過 96%的公司對所有 Windows 平臺均部署了木馬、病毒防護(hù)軟件 ,及時更新 ,定期進(jìn)行木馬、 病毒檢測。 在系統(tǒng)補(bǔ)丁管理和安全加固方面 ,96%的公司建立了定 期掃描并修補(bǔ)漏洞的

7、工作制度 ,并在評估后安裝必要的 Windows 系統(tǒng)補(bǔ)丁程序。在安全審計(jì)和評估方面 ,72%以上的 公司能夠確保安全審計(jì)范圍覆蓋服務(wù)器上的每個操作系統(tǒng) 用戶和數(shù)據(jù)庫用戶 ,68%的公司有對交易業(yè)務(wù)系統(tǒng)的可靠性 和安全性進(jìn)行定期評估的制度。 日常運(yùn)維 指引對技術(shù)人員崗位、制度、巡檢和機(jī) 房進(jìn)出等日常運(yùn)行管理提出了基本要求和分級要求。 目前 ,90% 的期貨公司在機(jī)房出入口安排了專人值守,控制、 鑒別和記錄 出入的人員 ;77%的公司安裝了機(jī)房門禁系統(tǒng) ;約 95%的公司 具有機(jī)房來訪人員申請和審批流程 ,能夠限制并全程監(jiān)控機(jī) 房來訪人員的活動范圍。 災(zāi)備 指引對數(shù)據(jù)備份和災(zāi)難備份提出了基本要求

8、 和分級要求。在設(shè)備和介質(zhì)管理方面 ,93%的期貨公司對所使 用的介質(zhì)進(jìn)行了分類標(biāo)識和存儲 ;對于需要送出維修或銷毀 的介質(zhì) ,99%的公司能夠清除其中的敏感數(shù)據(jù) ,以防止信息的 非法泄漏。 對于生產(chǎn)所用的應(yīng)用系統(tǒng)、 硬件設(shè)備和系統(tǒng)軟件 , 所有期貨公司都使用了正規(guī)廠商的產(chǎn)品 ,其中 95%的公司購 買了相應(yīng)的維護(hù)服務(wù)。 由于期貨公司目前的實(shí)力和 IT 現(xiàn)狀,很難做到投入大量 資金建立災(zāi)備中心 ,因此我們把災(zāi)難備份作為可選項(xiàng)。 未來的 發(fā)展方向還是倡導(dǎo)建立災(zāi)備中心的。 系統(tǒng)管理 指引對系統(tǒng)變更管理、配置管理、容量 管理、應(yīng)急演練和技術(shù)事故管理等方面提出了基本要求和分 級要求。 據(jù)調(diào)查 ,98%

9、的期貨公司制定了詳細(xì)的系統(tǒng)配置文檔和 完整、規(guī)范的系統(tǒng)測試操作流程 ,93%的公司能夠在每次上線 前進(jìn)行影響分析或評估 ,97%以上的公司能夠針對每次上線 制定明確的上線計(jì)劃 ,上線前充分測試 ,對上線情況進(jìn)行精確 的跟蹤 ,并記錄上線的操作過程和發(fā)生的問題。 營業(yè)部 指引對營業(yè)部技術(shù)管理和技術(shù)系統(tǒng)提出了 基本要求 ,對有現(xiàn)場交易的營業(yè)部提出了交易保障的高級要 求。 調(diào)查顯示 ,約 72%的期貨公司營業(yè)部建設(shè)了滿足安全要 求的機(jī)房 ,用于放置業(yè)務(wù)開展所需要的網(wǎng)絡(luò)、 通信和主機(jī)設(shè)備。 約 62%的期貨公司營業(yè)部所在場所具備雙路供電; 在提供現(xiàn) 場交易的期貨營業(yè)部中 ,78%已使用了不間斷供電設(shè)備

10、。 23%的期貨公司營業(yè)部已建立了連接總部中心機(jī)房的直 連鏈路。在系統(tǒng)安全方面 ,81%的期貨公司營業(yè)部重要網(wǎng)絡(luò)設(shè) 備、服務(wù)器能夠抗單點(diǎn)故障 ;76%的期貨公司營業(yè)部對現(xiàn)場辦 公網(wǎng)絡(luò)與客戶交易網(wǎng)絡(luò)進(jìn)行了隔離。 一場持久戰(zhàn) 雖然期貨公司在準(zhǔn)備股指期貨上市的這幾年里,在信息 技術(shù)方面增大了投入 ,加強(qiáng)了技術(shù)人才引進(jìn) ,提升了技術(shù)管理 水平 ,但還是距監(jiān)管部門的要求和未來發(fā)展的需要有不小的 差距。上面的調(diào)查數(shù)據(jù)看似不錯 ,但是真正檢查就不一樣了。 通過試檢查我們發(fā)現(xiàn) ,在信息技術(shù)方面實(shí)力最強(qiáng)的幾家公司 都仍然存在著很多問題 ,對他們進(jìn)行的 187 項(xiàng)檢查中 ,平均 67 項(xiàng)不合格。原因何在 ? 我認(rèn)為 ,一是他們對 指引 本身和 指引 制定的初衷 仍有不同程度的理解偏差 ,存在理解不到位的情況 ;二是檢查 時指引尚未公布 ,公司沒有足夠的時間準(zhǔn)備 ;三是公司認(rèn)為最 容易達(dá)到的軟要求往往是最不易達(dá)到的。 相反 ,硬件投入在某 種意義上來說更容易達(dá)到。比如說，存儲容量不夠、UPS不夠、 空調(diào)不是精密空調(diào) ,期貨公司增加相應(yīng)投入就可以了。而技術(shù) 管理、 日常運(yùn)行、 系統(tǒng)維護(hù)等幾類要求主要是在 IT 管理上的 要求。比如 IT 制度建設(shè)、巡檢、機(jī)房進(jìn)出管理、日志記錄、 變更管理、 配