民政部


民政部关于印发《民政部社会福利企业“八五”期间技术改造规划》的通知
民政部


各省、自治区、直辖市民政厅(局)，各计划单列市民政局：
现将《民政部社会福利企业“八五”期间技术改造规划》印发给你们，供各地在制定“八五”技改计划和向当地计划部门争取指标时参考。

附：民政部社会福利企业“八五”期间技术改造规划
一、“七五”期间社会福利企业技术改造完成情况
自一九八六年社会福利企业的技术改造首次纳入国家工业企业技术改造计划以来，“七五”期间，经我部批准立项改造的项目共711个，总投资74234万元，中央贷款26672万元，地方贷款933万元，企业自筹57428万元。现有530个项目竣工投产，预计到“七五”期末可有5 55个项目竣工
， 投产后可新增产值 181639 万元， 利税40841万元，创汇4914万美元，安置10600名残疾人就业。
五年来，福利企业的技术改造，改善了部分福利企业的生产装备，促进了产品结构的调整，推动了一批新技术、新工艺、新材料、新产品的开发应用，提高了产品质量，增强了市场竞争力和创汇能力，提高了福利企业的素质，取得了显著的经济效益和社会效益，对巩固和发展福利生产
，起了重要的作用。
福利企业技术改造工作中，还存在一些问题，主要表现在：各地福利企业技术改造工作发展不平衡：资金严重短缺，只有1.7%的福利企业得到改造：技术改造项目的管理工作还比较薄弱：部分项目的技术含量不高，市场预测不够准确，投产后达不到预期的经济效益。
二、“八五”期间社会福利企业技术改造工作的指导思想
“八五”期间社会福利企业技术改造工作的指导思想是：认真贯彻中央治理整顿、深化改革的方针，以国家产业政策为导向开发一批新产品，促进部分福利企业产品结构的调整：以技术进步为内容推动一批福利企业抓管理，上等级，全面提高企业素质；以多方筹集资金和加强项目管理
为手段，形成一批民政直属骨干福利企业和重点福利企业，增强民政经济实力；以提高经济效益和社会效益为目标，促使福利生产在巩固提高的基础上，稳步发展。
三、“八五”期间社会福利企业技术改造的具体目标
“八五”期间共改造700个项目，总投资9亿元，争取中央贷款总额为3亿元， 总目标为提高经济效益和社会效益。
(一)主要经济指标
1.新增产值20亿元。
2.新增净产值6亿元。
3.新增利税4.4亿元。
4.新增出口创汇3300万美元。
5.全员劳动生产率20000元／人·年。
6.综合能耗比“七五”下降5%。
(二)主要技术指标
1.产品质量：
(1)创国优3个：
(2)创部优25个：
(3)创省优50个：
(4)优质品率提高20%。
2.开发新产品100个，其中30个通过部(省)组织的技术鉴定。
3.有70个产品采用国际标准。
4.引进国外先进技术10项。
(三)企业发展目标
1.形成50个骨干福利企业和100个重点福利企业。
2.形成150个创利百万元以上(其中不含任何免税金)的福利企业。
3.形成20个创汇百万美元以上的出口企业。
4.形成15个国家二级企业，100个省级先进企业，20个部明星福利企业。
5.形成2～3个福利企业的行业集团。
6.安置14000名残疾人就业。
四、“八五”期间社会福利企业技术改造的重点
鉴于福利企业基础差、管理和技术水平低、贷款额度有限的实际情况，“八五”期间福利企业技术改造的重点仍然是中、小型项目，并以小型项目为主，即总投资在50万元，申请贷款在30万元以上：总投资500万元，申请贷款120万元以下的项目。具体地说，符合下列条件者，可列入“

八五”期间重点技改项目。
(一)按地区
1.东部地区：出口创汇产品和替代进口的节汇产品：
2.中部地区：具有地方特色的名、优、特产品和地方短线产品：
3.西部地区：着眼于福利企业的合理布局，利用当地资源和促进骨干企业形成的产品：
4.贫困地区和老、少、边地区：特殊照顾，重点扶持。
(二)按企业
1.已获得国家二级企业或省级先进企业称号的福利企业：
2.民政部门或行业主管部门确定的骨干福利企业和重点福利企业：
3.1966年1月1日以前建厂的县(区)以上民政部门的直属福利企业：
4.中外合资福利企业：
5.扩大外贸自主权的福利企业。
(三)按产品
1.获得国优、部优、省优称号的产品；
2.产品出口量占生产量50%以上的创汇产品；
3.填补国内空白或替代进口的节汇产品；
4.有市场竞争力的名、特产品和地方短线产品；
5.适宜于盲人生产的有一定市场的产品；
6.适宜于福利企业生产的高技术含量、高附加值的产品；
7.获部(省)级以上科技进步奖的产品；
8.民政部主管的产品，如假肢、矫形器、轮椅、火化设备等。
(四)按项目
1.符合国家产业结构调整、优化产品结构的项目：
2.经济效益较高，利税率不低于22%或投入产出比不低于1：2.2的项目：
3.引进国外先进技术或关键工艺装备的项目：
4.节约能源，降低物耗效益显著的项目：
5.保护环境、治理污染、安全生产的项目。
五、完成“八五”期间社会福利企业技术改造目标的措施
(一)建立和完善技改工作管理机构，配备专职人员，明确职能。
为完成“八五”期间福利企业的技改目标，必须进一步提高认识，切实加强对这项工作的领导，要把技术改造作为关系到福利企业生死存亡的大事来抓。“八五”期间，民政部技改工作领导小组将继续负责全面领导我部的技改工作，有关司局积极配合，各司其职。
各省、自治区、直辖市、计划单列市民政厅(局)也要积极创造条件，成立技改工作领导小组，负责全面领导福利企业技改工作。社会福利处(福利生产处)都要设置技改专职人员，明确其工作职责，为做好技改工作提供组织保证。
各级民政部门在技改工作中的职能分别是：
民政部和各省、自治区、直辖市、计划单列市民政厅(局)主要负责研究制定全国和地方的社会福利企业技术进步的方针、政策和法规；规划全国和地方的福利生产布局和产业、产品结构调整工作；负责向有关部门争取福利企业技改规模和技改贷款；分级负责福利企业技改项目的立项、

审查以及贷款的分配、重点项目的管理工作。省、自治区、直辖市、计划单列市民政厅(局)除了上述职能外，还要负责民政部立项的福利企业技改项目的申报和项目实施后季报的汇总、上报工作。
市、地(州)、县(区)民政局主要负责制定本地区福利生产技术进步规划：组织协调本地区福利生产布局和产业、产品结构调整工作；负责向有关部门争取福利企业技改规模和技改贷款；负责福利企业技改项目的可行性研究、申报和项目实施后的检查监督、协调服务和季报工作。
(二)加强技改干部的培训，试行“技改专职人员资格证书”制度。
技改工作是一项政策性、技术性都很强的业务，要求负责这项工作的干部具有较高的素质。“八五”期间，各级民政部门要重视技改干部的培训。民政部负责培训省厅技改专职干部，各省、自治区、直辖市、计划单列市民政厅(局)负责培训地(州)、市、县民政局的技改干部。根据工作

需要，可不定期地举办技改业务培训班。凡通过技改业务知识考试合格的学员，可发给结业证书。为保持各级技改干部队伍的相对稳定，保证技改工作的质量，同时增强技改干部的责任感、光荣感，“八五”期间将试行“技改专职人员资格证书”制度。凡通过部或省厅组织的技改业务知识

考试和技改工作实绩考核的干部，由本人提出申请，省厅推荐，经民政部业务主管司局批准则可获得民政部“技改专职人员资格证书”。今后，只有具备“资格证书”，方可受聘从事技改工作。
(三)多方筹集资金，适度增加投入。
1.以企业自筹为主，发挥三个积极性。技术改造可使企业的原有固定资产结构改善、素质提高，效能增强，收到较高经济效益，必然要增加投入，但在治理整顿期间，考虑到国家财力有限，投入要适度。技改所需资金要以企业自筹为主，发挥部、地方、企业三个积极性，多渠道筹集资

金。“八五”期间，民政部争取纳入国家计划内的技改资金为1.5亿元，同时，部拟向各专业银行和金融机构争取贷款1.5亿元，两项合计3亿元。地方也要积极争取把社会福利企业的技改纳入地方计划， 列上户头；同时，也要多方争取贷款，并集中一部分减免税金建立福利生产发展基金，

作为引带或匹配投资，对福利企业的技改工作进行统筹安排，重点扶持。部里继续由中募委每年出资500万元用于技改贷款贴息，地方也应参照这种做法。 企业应将免税金的大部分用于技改，扩大再生产：同时，必须按规定建立技术改造基金，专门用于本企业的技术改造。今后凡未建立技

改基金的企业，产品不能评优，企业不能升级。
2、试行“以借代贴”的办法，帮助部分福利企业争取地方贷款。 “八五”期间，对争取到地方贷款的部分福利企业技改项目虽然没有在民政部立项，但如果这些福利企业原来经济效益好，还贷能力强，则可试行“以借代贴”的办法，贴息1～2年，不收利息，到期还本。这样，一方面

解决了这部分福利企业的燃眉之急，另一方面从总体上拓宽了技改资金的筹措渠道。
(四)搞好项目管理，提高技术改造效益
1.在修改《民政部福利企业技术改造贷款试行管理办法》(民城［1987］1号) 的基础上，着手制定《民政部福利企业技术改造管理办法》。内容包括投资规模，项目审批，贷款管理，投产验收，效益跟踪等，使福利企业技术改造工作逐步走上法制化、正规化轨道。
2.实行奖励贴息的办法，鼓励福利企业提前还贷。“八五”期间要将贴息与技改项目的实施进度、达产收益及还贷情况结合起来，凡完成好的给予奖励贴息，完成差的适当减少贴息额，个别太差的不予贴息。凡提前还贷的可将提前期内的贴息额的一半奖给企业，以资鼓励。
3.建立“技改工作调度会”制度，及时交流信息，加强技改调度工作。“八五”期间要利用每年两次集中审项的机会，召集全国福利企业技改工作调度会，及时交流信息，交流经验，表扬先进，集中解决技改项目实施过程中出现的各种问题。技改项目较多的省、自治区、直辖市、计划

单列市每年至少要召集一次技改工作调度会，重点检查、监督项目进度，保证项目按期完成。平时要做好季报的收集和上报工作。 4.要把技术改造工作纳入厂长(经理)任期目标责任制。在签定新的一轮承包时，要把考核福利企业技术改造完成情况作为一项重点指标。对于需要重点扶持发

展、技术改造投入多的福利企业，在核定承包基数、上交利润递增率或分成比例时应予考虑。
5.要把技术改造工作和企业升级结合起来。要着手制定民政部骨干福利企业和重点福利企业的定量标准。同时，对全国社会福利企业进行等级分类，如A级、 B级、C级、D级。并制定相应的标准，以安置残疾人人数、人均创利税率、 产值利润率、全员劳动生产率、产品质量、物耗等作

为考核的硬指标，促使企业升级，全面提高福利企业的素质。要把重点支持升级的企业搞技术改造作为福利企业升级的一项鼓励政策。
6.部、省(自治区、直辖市、计划单列市)民政厅(局)分级建立项目库，并对重点技改项目进行效益跟踪。“八五”期间各级技改干部要经常深入基层，深入工厂，调查研究，及时帮助福利企业疏通渠道，克服困难。部、省(自治区、直辖市、 计划单列市)要分级建立项目库，组织好竣?
は钅康难槭眨⒔行б娓佟Ｆ渲校?民政部负责对贷款100万元以上的技改项目进行效益跟踪；省(自治区、直辖市、计划单列市)民政厅(局)负责对贷款50万元以上的技改项目进行效益跟踪。 各级民政部门要注意及时总结经验，不断提高技改项目管理水平，增强技改效益。受贷企业要

按不同的资金来源，将技改项目的进展情况和项目竣工后的效益情况及时反馈给有关部门。



1990年9月25日
中国证券业协会


关于发布《证券公司网上证券信息系统技术指引》的通知

各证券公司会员：

为促进证券公司网上证券业务健康有序发展，保障网上证券业务系统的安全、可靠、高效运行，提高行业信息化水平，保护投资者的合法权益，我会制定了《证券公司网上证券信息系统技术指引》，并经理事会表决通过，现予发布，请参照执行。



　　　　　　　　　　　　　　　　　　　　　　　

中国证券业协会

二○○九年六月二十三日




证券公司网上证券信息系统技术指引


第一章 总则
第一条 为保障网上证券信息系统的安全、可靠、高效运行，促进证券公司在网上开展的证券业务健康有序发展，保护投资者的合法权益，依据《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等相关法律法规制定本指引。

第二条 本指引适用于在中华人民共和国境内依法设立的证券公司。

第三条 网上证券信息系统是证券公司在网上开展证券业务活动中所采用的由相关网络设备、计算机设备、软件及专用通讯线路等构成的信息系统，包括网上证券服务端、客户端和门户网站。

第四条 证券公司利用网上证券信息系统开展证券业务应遵循如下基本原则：

（一）安全性原则：网上证券信息系统的建设应提高风险防范意识，保证在网上开展证券业务的安全性。通过技术措施和管理手段，实现信息的保密性、完整性和服务可用性。

（二）系统性原则：网上证券信息系统的安全建设应覆盖安全保障体系的各个方面，包括：安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。

（三）可用性原则：网上证券信息系统的建设应在保障安全的原则下，确保在网上开展的证券业务的连续性和可靠性。

第五条 中国证券业协会对证券公司执行本指引的情况进行指导和督促。

第二章 基本要求
第六条 证券公司对网上证券信息系统应统一规划、集中管理，保证在网上开展证券业务安全、有序发展。

第七条 证券公司应制定在网上开展证券业务的各项安全管理制度，对安全管理目标、安全管理组织、安全人员配备、安全策略、安全措施、安全培训、安全检查、系统建设、运行管理、应急措施、风险控制、安全审计等方面作出规定。

第八条 证券公司应根据在网上开展证券业务特性，设立相应的管理职能岗位，明确在网上开展证券业务管理的责任，配备合格、足够的管理人员和技术人员，包括安全管理员、安全审计员等。

第九条 证券公司应将在网上开展证券业务的风险管理纳入证券公司风险控制工作范围，建立健全网上证券风险控制管理体系。

第十条 对在网上开展证券业务的审计应纳入证券公司的审计工作范围。

第十一条 证券公司网上证券信息系统应部署在中华人民共和国境内，满足技术审计、监管部门现场检查及中国司法机构调查取证等要求。部署网上证券信息系统的有形场所，应符合国家安全标准的有关要求。

第十二条 证券公司应当与投资者签订网上证券服务协议或合同，明确双方的权利、义务和相关风险的责任承担，向投资者充分揭示使用网上证券信息系统可能面临的风险、证券公司已采取的风险控制措施和客户应采取的风险防范措施。

第十三条 证券公司应通过多种方式揭示使用网上交易方式可能面临的风险和客户应采取的风险防范措施，提醒投资者加强账号、口令的保护工作，建议投资者定期修改口令、增强口令强度、防止口令泄露、防止用于网上交易的计算机或手机终端感染木马、病毒等，并根据投资者需要开启或关闭网上交易方式。

第十四条 证券公司应尽可能使用统一的网上证券服务电话、域名、短信号码等，并应在与投资者签订的协议或合同中明确告知客户使用网上证券信息系统的合法途径、意外事件的处理办法，以及证券公司联系方式等。

第十五条 证券公司的网上证券信息系统应自主运营、自主管理。如涉及第三方（指除证券公司及其客户以外的任何一方），应与第三方签订保密协议和服务级别协议，并明确责任，采取措施防止通过第三方泄露用户信息。

第十六条 证券公司通过网上证券信息系统向客户提供证券交易的行情信息，应提示行情源；如向客户提供证券信息，应说明信息来源，并提示投资者对行情信息及证券信息等进行核实。

第十七条 证券公司应对网上证券信息系统的各个子系统合理划分安全域，在不同安全域之间进行有效的隔离，保障网上证券信息系统的接入系统与其后台系统在技术上进行有效隔离，后台系统应与行情、资讯处理系统进行网络隔离，并应部署在证券公司可控的物理安全域内。

第十八条 证券公司应在两个以上的物理地点建立网上证券信息系统，互为备份，并应具备2个或2个以上不同运营商的互联网接入，避免在同一运营商的线路接入上出现单点故障和瓶颈，同时应充分考虑不同互联网运营商的互联瓶颈问题，确保局部故障或灾难发生时，系统能继续对用户提供服务。

第十九条 对于外包定制的网上证券信息系统，证券公司应与软件开发商签署服务协议和保密协议，明确客户端、服务端以及数据传输过程均无后门，明确软件开发商应用软件中使用的插件具备合法版权，以确保客户数据、交易资料不被泄漏，保障证券公司的权益。

第三章 门户网站
第二十条 证券公司门户网站指证券公司建立的实现信息发布、业务咨询、营销推广、客户服务和投资者教育等功能的网站。

第二十一条 证券公司门户网站应当按照国家主管部门的有关规定办理网站备案，并提供备案信息的链接。

第二十二条 证券公司应定期对网站程序代码进行全面检查和评估，并及时修补，避免各种漏洞的存在。

第二十三条 证券公司应在门户网站部署防篡改系统，当网站上的页面内容、提供给投资者下载的客户端软件及其它文件被异常修改时，能自动告警或自动恢复，防止被捆绑木马程序。

第二十四条 与核心交易业务有关的客户资料、交易数据等客户敏感数据不得存放在门户网站数据库中。网上客户业务处理的日志应单独存放。

第二十五条 在证券公司门户网站中客户账号及口令，应采用加密方式传输，并最低达到SSL协议128位的加密强度。

第二十六条 证券公司应该建立对门户网站内容发布的审核、管理和监控机制，对网页内容进行监控，对有害信息进行过滤，防止网站出现不良信息。

第四章 网上证券客户端
第二十七条 网上证券客户端是指证券公司通过互联网向本公司开户的客户提供的用于查看行情、检索资讯、交易委托等的应用程序，包括基于计算机和手机等终端的前端软件。

第二十八条 网上证券客户端应提供技术手段协助用户检查、清除木马等恶意程序，并提供验证码、强制口令图形键盘、安全的口令输入安全控件、客户端电脑或手机特征码绑定、软硬件证书、动态口令等多种用户认证方式，防范不法分子利用木马等黑客程序窃取客户账号和口令信息，进行证券盗买盗卖非法活动。

第二十九条 网上证券客户端应具备反调试能力。

第三十条 网上证券客户端的客户身份信息和交易数据等重要数据传输应采用国家信息安全机构认可的加密技术和加密强度，并最低达到SSL协议128位的加密强度。

第三十一条 网上证券客户端应能向客户提示最近一次登录的日期、时间、地址等信息。

第三十二条 网上证券客户端应能在指定的闲置时间间隔到期后，自动锁定客户端的使用。

第三十三条 网上证券客户端应具有唯一连接到本证券公司网上证券接入系统的保障机制。网上证券客户端应提供足够的识别信息，以保证网上证券服务端能够对发出连接请求的客户端与证券公司所提供下载的程序进行一致性验证。

第三十四条 当客户访问网上证券服务端时，未经客户许可，不得以任何方式在客户端系统中安装插件。

第三十五条 网上证券客户端在本地计算机储存客户账户、交易数据等重要信息，应提示客户，经客户确认后以加密方式存储。

第五章 网上证券服务端
第三十六条 网上证券服务端是指证券公司通过互联网向客户提供网上交易、网上行情、数据查询等服务的信息系统，包括互联网接入子系统、安全防护与监控子系统、应用服务子系统、身份认证子系统和后台隔离子系统。

第三十七条 证券公司应提供预留验证信息服务，在客户登录时向客户显示预留的验证信息，帮助客户识别仿冒的网上证券信息系统，防范不法分子利用仿冒的网上证券信息系统进行诈骗活动或盗取用户账号、口令等信息。

第三十八条 证券公司应提供可靠的用户身份认证机制，支持网上证券客户端采用多种认证方式与服务端进行身份认证。除输入账户名、口令、验证码的身份认证方式之外，还应向客户提供一种以上强度更高的身份认证方式，如，客户端电脑或手机特征码绑定、软硬件证书、动态口令等认证方式，确认网上交易客户的身份和登录的合法性，防止非法接入。用户身份认证信息应当在服务器上加密存放。

第三十九条 证券公司应提供可靠的访问控制和权限管理机制，防止客户的授权被恶意提升或转授，防止客户使用未经授权的功能，防止客户进行访问未经授权的数据等非法访问活动。

第四十条 网上证券信息系统采用的认证授权和加密体系应通过国家信息安全机构的安全性测评，具备足够的强度和抗攻击能力，并根据在网上开展证券业务的安全性需要和信息技术的发展，定期检查、评估和及时调整。

第四十一条 网上证券信息系统未经证券公司授权不得与第三方进行任何形式的数据交换，并具备经过认证后仅向授权的第三方指定地址发送信息的功能。

第四十二条 证券公司应保证网上证券数据传输的保密性、完整性、真实性和可稽核性，对网上交易委托的客户信息、交易指令及其他敏感信息进行可靠的加密，加解密应在投资者与证券公司实际控制的设备中进行，不得存在任何中间环节对数据进行加解密。

第四十三条 网上证券服务端应防止用户使用简单口令，应能够抵御连续猜测等对客户账户恶意攻击行为。

第四十四条 网上证券服务端应对不完整、被篡改、重发的数据包进行监控，对登录、委托方式、品种、价格、数量、操作频率、转账等异常行为进行跟踪、监控和限制，记录其账号、IP地址等相关信息，并通过短信、电话等方式及时提示客户，必要时进行用户临时锁定。监控和处置情况应形成记录备查。

第四十五条 网上证券服务端应能监控并避免攻击者通过群体大规模对合法证券账户进行非法用户登陆的请求，导致大量用户账户被异常锁定，正常用户无法登陆。

第四十六条 网上证券服务端应能在指定的时间间隔到期后，自动中止用户对系统的访问权。

第四十七条 网上交易服务端应能产生、记录并集中存储必要的日志信息，其中应包含能识别服务请求方身份的内容、登录终端的IP地址、MAC地址、手机号码和终端特征码等，并确保数据的可审计性，满足监管部门现场检查要求及司法机构调查取证的要求。

第四十八条 网上证券服务端应能向客户提供可证明服务端自身身份的信息，以确保客户能查验所使用服务的真实性。

第四十九条 网上证券服务端应能够有效屏蔽系统技术错误信息，不将系统产生的错误信息直接反馈给客户。

第五十条 网上证券服务端应能够提供系统运行健康状况信息(如活动状态、并发在线客户数目、并发会话数目、线程数目、队列长度等)、错误信息、安全警告等。

第五十一条 基于浏览器的网上证券下单网页应当使用HTTPS等加密方式与服务端交互，服务端应具备防范SQL注入式攻击、跨站脚本攻击等网页攻击的能力，同时关闭HTTP服务器的Web远程维护功能。

第六章 移动证券
第五十二条 移动证券指客户通过手机或其他具备无线数据通讯能力的移动设备，经无线公众网络获取证券公司提供的行情信息、资讯信息服务或进行交易、转账、查询等证券自助业务。

第五十三条 证券公司应使用安全、可靠的移动证券系统。移动证券系统宜自主运营，实现数据从用户终端到网上证券服务端之间的加密传送和控制，并随着技术的发展，不断提高加密强度，完善认证算法。

第五十四条 证券公司应建立确认机制以保证客户获得正确的移动证券客户端软件。

第五十五条 移动证券客户端应具备一定加密强度的用户认证功能，保护客户账号和口令信息。

第五十六条 证券公司应在门户网站或固定营业场所公告短信服务号码、移动证券门户网站地址等信息，提醒客户防范他人利用移动通讯设备进行欺诈。

第五十七条 证券公司应根据移动证券业务的网络延迟时间、链路稳定状况、信号衰减程度等风险因素，对行情或交易数据可能出现明显滞后或产生数据丢失的情况，事先对客户进行风险提示。

第七章 安全管理
第五十八条 证券公司网上证券信息系统的管理、开发、测试应与运营人员及生产环境分离。开发、测试和运营人员未经授权不得访问、修改非职责范围内的网上证券信息系统。

第五十九条 证券公司应制定在网上开展证券业务连续性计划，保证在网上开展证券业务的连续正常运营。在网上开展证券业务连续性计划应充分评估第三方服务供应商对业务连续性的影响，并应采取适当的预防措施。

第六十条 客户使用的网上证券委托软件应由证券公司管理和授权发布，证券公司应对其授权第三方发布的证券委托软件进行审核、监管。

第六十一条 证券公司应采取有效措施对门户网站上提供下载的网上证券客户端软件程序进行保护，客户端软件程序编译封装、形成下载文件后，应安排专人对其进行严格的病毒扫描和木马检查，并通过专用安全手段传输至网站文件下载服务器。

第六十二条 证券公司网上证券应用系统上线或重大版本升级，应进行安全测试和评估。

第六十三条 原则上不允许通过互联网对网上证券信息系统（如防火墙、网络设备、服务器等）进行远程管理和日常维护等操作，对网上证券信息系统的访问控制应做到：

（一）关闭网上证券信息系统所有与业务和维护无关的服务及端口，严格控制防火墙中的权限设置，确保按“最小权限原则”进行设置；

（二）对于网上证券信息系统的内部访问，应严格限制访问源。

（三）特殊紧急情况下需要通过互联网进行远程操作时，应通过限制登录IP、使用数字证书或动态口令、全程监控等措施确保安全，并在操作完成后，及时关闭相关端口。

第六十四条 证券公司应部署有效的网上证券信息系统安全防护与监控子系统，包括防火墙，防病毒、防木马系统，入侵检测系统或入侵防护系统，并正确配置。应及时更新病毒库，定期对系统进行全面的病毒扫描，加强相关系统的日志审查工作，提高网上证券信息系统的防护能力。

第六十五条 证券公司制定的安全措施，应定期检查、测试，并根据实际情况及时调整，保证安全措施的持续有效。

第六十六条 证券公司应建立定期的网上证券信息系统安全风险评估机制和整改的工作制度，及时发现SQL注入漏洞、弱口令账户、绕过验证、目录遍历、文件上传、跨站脚本等系统存在的安全隐患和漏洞，并进行改进和完善。风险评估应通过内部评估与外部评估相结合的方式进行。

第六十七条 安全风险评估应包括漏洞扫描、攻击测试、病毒扫描、木马检测等，针对不同的威胁设置相应的检查频率。

第六十八条 证券公司应对网上证券信息系统进行实时监控，建立异常事件的甄别、报警、处理和报告机制。网上证券信息系统实时监控范围应包括各种安全设备、网络设备、服务器设备及操作系统、通讯线路状态及应用软件等。监控内容包括其运行状况、日志内容、安全警告等，并统一记录保存监控信息，保存期至少为6个月。

第六十九条 证券公司应通过多种技术手段加强对投资者账户异动情况的监控，如委托的方式、品种、价格、数量异常等，并及时提醒客户，以保护客户资产安全。

第七十条 证券公司应对网上证券信息系统中包括网络安全设备、服务器以及应用系统在内的账户进行严格管理，账户权限应按最小权限原则设置，清除所有冗余、与应用无关的账户，并严格限制各管理员账户的使用，禁止用最高权限账户执行一般操作,尽量避免以最高权限账户运行网上信息系统服务端应用软件。

第七十一条 管理员账户和口令应由专人负责，口令长度应在12位以上，且含有字符和数字，区分大小写，并定期更改。

第七十二条 证券公司应严格限制人工对数据库操作的账户权限，并应分别使用不同权限的账户执行查询、插入、更新、删除等操作。

第七十三条 网上证券信息系统各环节应有可靠的热备或冷备措施，保证整个系统的高可用性。

第七十四条 证券公司应根据自身实际情况制订网上证券信息系统的数据备份计划并落实执行。备份的数据应包括：系统程序、配置参数、系统日志、安全审计数据、门户网站信息、客户数据等。

第七十五条 证券公司应保证备份数据的准确性、完整性、可用性。备份数据的管理应符合相关技术管理规定，有严格的保管、使用、检查管理制度。

第七十六条 证券公司应当保障网上证券信息系统运营设施、设备以及安全控制设施、设备的安全。对重要设施、设备的接触、检查、维修和应急处理，应有明确的权限规定、责任划分和操作流程，并建立日志文件管理制度，如实记录并妥善保管相关记录。

第七十七条 证券公司应定期评估可供客户使用的网上证券信息系统的资源状况，并根据实时监控信息、可预见的业务发展需求进行容量的需求预测，确保有充足的处理能力、存储容量和通讯带宽，满足业务增长的需要，保证网上证券服务的可用性，并能抵御一定程度的拒绝服务攻击和缓冲区溢出攻击。

第七十八条 在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应具备足够的冗余，以应对网站及网上交易可能出现的突发峰值；在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应具备良好的可扩充性，以应对业务增长和市场的变化。

第七十九条 证券公司应建立严格的变更管理流程，对包括网络安全设备、服务器、应用系统等软硬件系统和配置变更实行规范化的变更管理，完整、真实地记录和反映系统所涉及的软硬件配置及相互影响关系，并保持与实际生产环境同步更新。

第八十条 证券公司应建立网上证券信息系统应急处理组织体系，并制定相应的应急预案，应急预案应纳入证券公司和行业的应急预案体系内，并按照有关规定进行演练。

第八十一条 证券公司应根据网上证券信息系统故障的影响和损失情况对应急组织体系和应急预案进行分级管理和执行，并遵循统一领导、快速响应、协调配合、最小损失的原则。

第八十二条 证券公司网上证券信息系统应急预案应针对电力、通信等基础设施故障、计算机硬件或网络设备故障、操作系统或应用系统故障、操作系统或应用系统漏洞、病毒入侵、恶意攻击、误操作、不可抗力等可能的故障原因制定对应的应急恢复操作流程或步骤。

第八十三条 证券公司在发现假冒本公司网上证券服务的非法活动或者网上证券信息系统出现重大安全事件后，应及时向监管部门、公安机关报告。在启动实施网上证券信息系统应急预案时应及时向投资者公告。对于假冒本公司的非法活动应及时通过证券公司网站、网上证券客户端、电话语音系统或短信平台等提醒投资者注意。

第八章 附则

第八十四条 本指引由中国证券业协会负责解释。

第八十五条 本指引自发布之日起施行。