第四十三条 网上证券服务端应防止用户使用简单口令,应能够抵御连续猜测等对客户账户恶意攻击行为。
第四十四条 网上证券服务端应对不完整、被篡改、重发的数据包进行监控,对登录、委托方式、品种、价格、数量、操作频率、转账等异常行为进行跟踪、监控和限制,记录其账号、IP地址等相关信息,并通过短信、电话等方式及时提示客户,必要时进行用户临时锁定。监控和处置情况应形成记录备查。
第四十五条 网上证券服务端应能监控并避免攻击者通过群体大规模对合法证券账户进行非法用户登陆的请求,导致大量用户账户被异常锁定,正常用户无法登陆。
第四十六条 网上证券服务端应能在指定的时间间隔到期后,自动中止用户对系统的访问权。
第四十七条 网上交易服务端应能产生、记录并集中存储必要的日志信息,其中应包含能识别服务请求方身份的内容、登录终端的IP地址、MAC地址、手机号码和终端特征码等,并确保数据的可审计性,满足监管部门现场检查要求及司法机构调查取证的要求。
第四十八条 网上证券服务端应能向客户提供可证明服务端自身身份的信息,以确保客户能查验所使用服务的真实性。
第四十九条 网上证券服务端应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户。
第五十条 网上证券服务端应能够提供系统运行健康状况信息(如活动状态、并发在线客户数目、并发会话数目、线程数目、队列长度等)、错误信息、安全警告等。
第五十一条 基于浏览器的网上证券下单网页应当使用HTTPS等加密方式与服务端交互,服务端应具备防范SQL注入式攻击、跨站脚本攻击等网页攻击的能力,同时关闭HTTP服务器的Web远程维护功能。
第六章 移动证券
第五十二条 移动证券指客户通过手机或其他具备无线数据通讯能力的移动设备,经无线公众网络获取证券公司提供的行情信息、资讯信息服务或进行交易、转账、查询等证券自助业务。
