




已閱讀5頁,還剩10頁未讀, 繼續(xù)免費閱讀
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
證券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達 蕭富元 81 證券業(yè)網(wǎng)路下單稽核環(huán)境之研究 黃明達 淡江大學(xué) 資訊管理研究所 富元 淡江大學(xué) 資訊管理研究所要 隨著網(wǎng)路下單券商的蓬勃發(fā)展,網(wǎng)路下單在股票交易方式中逐漸扮演重要的角色,其安全性也就逐漸受到大眾的重視。本研究以電腦稽核的觀點出發(fā),來探討目前國內(nèi)網(wǎng)路下單券商的安全管理現(xiàn)況,并嘗試建立一套下單安全自我評估模式。 本研究采用問卷調(diào)查和現(xiàn)場訪談的方式,以線上安全面、備份管理面、操作交易面三 個構(gòu)面來調(diào)查目前國內(nèi) 26家網(wǎng)路下單券商的稽核環(huán)境現(xiàn)況。深入了解網(wǎng)路下單券商在線上下單交易安全上所遭遇的問題與困難,并對網(wǎng)路下單券商在線上下單交易的安全性以百分比法分成 A、 B、 C 三等級,利用卡方檢定來分析出不同等級之間的差異,并依此作為不同等級所面臨的風(fēng)險。最后訂定出網(wǎng)路下單稽核檢查表并提供自我評分方法,讓券商可以自我評量找出所屬的等級,以及所對應(yīng)的風(fēng)險,作為未來改進的參考和政府、網(wǎng)路下單系統(tǒng)廠商 在推行網(wǎng)路下單安全及制定相關(guān)政策時之依據(jù)。 關(guān)鍵字:證券業(yè)、網(wǎng)路下單券商、電腦稽核、交易安全 on of in is of is to of on to up a 6 It us a to of we we an to be by 訊管理展望 第卷 第期 民國八十八年七月 82 壹、緒論 自從 1995年美國第一家網(wǎng)路下單券商 E*辦以來,其無疆界、無時差及低成本的優(yōu)點,迅速獲得社會大眾的青睞,交易量每年以倍數(shù)成長,已使網(wǎng)路下單漸漸成為未來趨勢 【 16】 。而國內(nèi)也在民國 86年 7月準許券商開辦網(wǎng)路下單業(yè)務(wù),至 87年底為止,根據(jù)證交所統(tǒng)計,單月成交總金額占市場成交量的比例從原本的 86/7)87/12),其間開戶人數(shù)亦由 1,022人,至今累積成長至 71,533人 【 2】 。隨著證券網(wǎng)路下單的蓬勃發(fā)展 【 11】 ,建立一個網(wǎng)路下單的安全評估模式,讓交易雙 方有所參考依循,也就成為一個刻不容緩的議題,并引發(fā)了本研究動機: 安全是網(wǎng)路交易的前提,目前各家網(wǎng)路下單券商所強調(diào)的安全傳輸協(xié)定 (安全認證磁片是否就足以代表其安全性 【 11】 ,而消費者如何從中選擇比較? 目前各家網(wǎng)路下單券商的安全管理現(xiàn)況為何,同業(yè)之間有何差異存在?如果網(wǎng)路下單券商想知道自己安全管理的優(yōu)劣,有何自我評量的工具? 有關(guān)網(wǎng)路交易安全的研究多偏重于理論面或技術(shù)面上的探討,缺乏實務(wù)管理面上的考量 【 7】【 8】【 12】【 26】 。 因此,本研究嘗試采用電腦 稽核的觀點,從不同角度來審視網(wǎng)路下單的安全性。本研究目的如下: 藉由問卷調(diào)查的方式,來審視目前各家網(wǎng)路下單券商的稽核環(huán)境現(xiàn)況,并找出目前網(wǎng)路下單券商所面臨的問題。 將調(diào)查結(jié)果加以統(tǒng)計分析,比較歸納出不同的等級,作為網(wǎng)路下單券商以后改進的目標和消費者選擇的參考,并可依此來建立出一套網(wǎng)路下單安全的自我評估模式。 本研究針對國內(nèi)目前已經(jīng)開辦網(wǎng)路下單業(yè)務(wù)的券商進行安全現(xiàn)況調(diào)查,另外包含一些已經(jīng)在準備測試中但尚未開辦的網(wǎng)路下單券商 【 2】 。本研究以網(wǎng)路下單的稽核環(huán)境為主,界定于在全球資訊網(wǎng) (易環(huán)境下與網(wǎng)路交易安全有直接相關(guān)的線上安全面、備份管理面、交易操作面的安全稽核現(xiàn)況調(diào)查,對其他如人事管理、委外管理等不納入其中 【 1】 。 本研究的研究步驟依序如下:確定研究動機及目的、搜集相關(guān)文獻、確立研究架構(gòu)、設(shè)計問卷初稿、專家預(yù)試、問卷填答。為求得調(diào)查資料的真實性,更深入的了解問題,本研究問卷一律采現(xiàn)場訪談方式來完成。在經(jīng)過 26家網(wǎng)路下單券商的訪談之后,再利用 套裝程式進行資料分析、解釋資料分析結(jié)果,最后做成結(jié)論與建議。 雖然國內(nèi)網(wǎng)路下單券商發(fā)展相當(dāng)蓬勃,然而因網(wǎng)路下單業(yè)務(wù)開 放至今也不過一年多的時間,所以網(wǎng)路下單券商家數(shù)有限。本研究在排除種種困難后,尋得九成以上網(wǎng)路下單券商的協(xié)助,但總家數(shù)仍未達到統(tǒng)計學(xué)上的大數(shù) (N30),使得本研究無法進行較周詳?shù)臋z定,以提升本研究的信度與效度。 貳、文獻探討 目前由于國內(nèi)網(wǎng)路下單券商剛剛開辦不久,所以相關(guān)研究甚為缺乏,而國外有關(guān)網(wǎng)路下單券商的文獻大多偏向經(jīng)營策略的研究,例如 季定期對網(wǎng)路下單券商評分排名 【 13】 ,作為消費者選擇網(wǎng)路下單券商的參考,以及 網(wǎng)路下單券商調(diào)查報告 【 18】 等,然而國內(nèi) 網(wǎng)路證券交易制度與交易習(xí)慣均和國外有所不同,且因發(fā)展起步較晚的關(guān)系,使得安全機制標準不一,所以在稽核實務(wù)方面需要另外自行發(fā)展。 證券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達 蕭富元 83 而網(wǎng)路交易安全方面的研究,大多數(shù)是安全技術(shù)的探討 【 5】【 6】【 14】【 17】【 25】 ,缺乏針對網(wǎng)路交易安全管理的調(diào)查。 在電腦稽核方面,國外已有 相關(guān)的自我檢查表和評量方法 【 22】【 23】 ,但其資料過于老舊,早已不符合現(xiàn)代所需。而由美國資訊管理訓(xùn)練學(xué)會 (發(fā)表的電腦稽核和安全檢查表 【 24】 及資訊系統(tǒng)稽核控制協(xié)會 (電腦稽核項目手冊 【 20】 則缺乏專門針對網(wǎng)路下單券商的稽核項目且無法自行評估優(yōu)劣。 綜合以上所言,本研究除了參考前述文獻外,另外依照國內(nèi)現(xiàn)行股票交易制度而設(shè)計出網(wǎng)路下單券商的自我檢查表,并提供自我評量的模式。表 1為證券業(yè)網(wǎng)路下單安全所整理出的相關(guān)文獻。 表 1 網(wǎng)路下單券商下單安全相關(guān)文獻 研究主題 作者或單位 時間 內(nèi)容概述 電子商務(wù)安全 1985 針對電腦系統(tǒng)安全提出評估標準,包括密碼管理準則 (身分驗證和授權(quán)指引 (電腦稽核指引 ( 等 【 25】 網(wǎng)際網(wǎng)路上安全的電子付款環(huán)境之探討 丘信榮,交通大學(xué)資訊管理研究所 1996 對 P 協(xié)定上的通訊安全協(xié)定 分析比較與安全性探討,分析網(wǎng)際網(wǎng)路電子付款系統(tǒng),并規(guī)劃一個網(wǎng)際網(wǎng)路電子付款系統(tǒng)的雛形架構(gòu) 【 5】 . 1996 討論網(wǎng)際網(wǎng)路在商業(yè)上應(yīng)用的安全,包括建構(gòu)一個安全的網(wǎng)路系統(tǒng)、確保通道安全、安全通訊協(xié)定、安全管理政策、保護使用者與網(wǎng)路商店等 【 14】 A 997 提供網(wǎng)路商店在風(fēng)險評估時應(yīng)注意事項、訂定安全存取控制政策、維持網(wǎng)路安全和安全管理上應(yīng)有的認知 【 27】 臺灣電子商務(wù)發(fā)展之研究 管理研究 (一 ) 陳嘉玫,中山大學(xué)資訊管理系 1998 針對電子商務(wù)在安全系統(tǒng)之操作與管理制度上,提出解決方案,并設(shè)計一個系統(tǒng)安全原型 (電子書店 )進行測試評估 【 6】 997 998 利用問卷調(diào)查英國前 1000大公司在電子商務(wù)方面所遇到的安全問題,討論公司安全政策、控管方法、所面臨的風(fēng)險和對策,最后提出改進建議 【 17】 電腦稽核 . 972 針對資訊管理系統(tǒng)作全面性的稽核與評估,提供人事、實體安全、程式文件、操作、資料備份、系統(tǒng)發(fā)展、保險、安全規(guī)劃管理等八大構(gòu)面的自我檢查表和評估方法 【 22】 & . 987 提出組織架構(gòu)、實體安全、意外處理、資料備份、資料安全、系統(tǒng)操作、資訊部門管理、保險 、系統(tǒng)發(fā)展、電腦犯罪、線上傳輸?shù)?2構(gòu)面的電腦稽核方式和自我檢查表 【 23】 992 提出線上安全、商務(wù)費用、資料庫、資料中心、系統(tǒng)發(fā)展、網(wǎng)路安全稽核、 次稽核 50步的自我檢查表 【 24】 996 線上系統(tǒng)可藉由網(wǎng)際網(wǎng)路技術(shù)的協(xié)助來達到持續(xù)性的控制和監(jiān)視,并討論電子交易安全 所需公開金鑰和秘密金鑰加密等密碼學(xué)和應(yīng)用 【 21】 996 建立一個獨立的資訊系統(tǒng)專門負責(zé)管理整合員的工作,以達到同步稽核 (目標 【 19】 電子商務(wù)環(huán)境中會計及審計作業(yè)之流程模式 余千智 ;周濟群,政治大學(xué) 1997 提出電子商務(wù)環(huán)境中執(zhí)行審計作業(yè)的流程模式,含期間性審計與連續(xù)性審計等兩個模式 【 4】 998 針對電腦安全準則、組織架構(gòu)、資料處理、系統(tǒng)安全和系統(tǒng)發(fā)展提出詳細的電腦稽核要項 【 20】 網(wǎng)路下單券商 998 利用親自上線、問卷、電話訪談的方式來調(diào)查網(wǎng)路下單券商的使用者介面、客戶信賴度、站上資源、相關(guān)服務(wù)、所需費用并加以排名【 13】 998 由 3000名讀者票選出 網(wǎng)路下單券商最重要的五個影響因素,分別是客戶信賴度、手續(xù)費、成交價格、使用者介面、提供服務(wù),并依此對每一家券商加以評分排名 【 18】 參、研究設(shè)計 本研究所采用的研究方法是意見研究 (之調(diào)查法 ( 15】 。研究架構(gòu)主要是參考 992)所發(fā)展的電腦稽核和安全檢查表 【 24】 中的線上安全檢資訊管理展望 第卷 第期 民國八十八年七月 84 查清單,并透過資料中心安全、網(wǎng)路安全、 最后再配合國內(nèi)現(xiàn)行股票交易制度發(fā)展出交易操作面而產(chǎn)生三 個會直接影響網(wǎng)路下單安全的構(gòu)面,如圖一。 本研究問卷填答方式采用復(fù)選題的形式,并以名目尺度 (填答方式來進行,使填答者直接對適當(dāng)?shù)拇鸢腹催x即可,縮短答題思考的時間,以減少填答者的負擔(dān)并增加答案之可靠性。 研究對象則是已有開辦網(wǎng)路下單業(yè)務(wù)的券商,由于目前網(wǎng)路下單券商如雨后春筍般的發(fā)展,為求時間一致性,所以本研究以證交所公布的 87年 10月份的網(wǎng)路下單券商為主 【 2】 ,另外包含了一些已經(jīng)在規(guī)劃測試中但仍尚未開辦網(wǎng)路下單的券商。受訪者以負責(zé)網(wǎng)路下單的業(yè)務(wù)部門主管或資訊部 門主管為主,其中也包含了負責(zé)維護網(wǎng)路下單系統(tǒng)的資訊工程師。為求得調(diào)查資料的真實性,更深入的了解問題,故一律采用現(xiàn)場訪談的方式來進行。調(diào)查時間從 87年 11月 13日開始至 12月 17日止,總共訪談 26家,達當(dāng)時總樣本數(shù)的九成。 肆、資料分析 一、 基本資料分析 從表 2可以看出目前網(wǎng)路下單所遭遇到的最大問題是線路中斷和系統(tǒng)當(dāng)機,兩者總和占了出現(xiàn)過問題的 82%,經(jīng)訪談結(jié)果發(fā)現(xiàn),整體的網(wǎng)路還境還不夠成熟穩(wěn)定,網(wǎng)際網(wǎng)路服務(wù)供應(yīng)商 (網(wǎng)路品質(zhì)還有待改善,而網(wǎng)路下單交易系 統(tǒng)的開發(fā)時間有限,又缺乏與原有交易系統(tǒng)的整合,以致于系統(tǒng)當(dāng)機事件頻傳。而其他問題未發(fā)生的原因可能是網(wǎng)路下單剛開辦不久,目前仍在摸索和適應(yīng)階段,市場規(guī)模不大,所以仍沒有嚴重問題產(chǎn)生。 表 2 網(wǎng)路下單出現(xiàn)過最嚴重問題 嚴重問題 樣本數(shù) 百分比 排名 無 11 網(wǎng)路中斷 6 系統(tǒng)當(dāng)機 4 其他 2 人員舞弊 0 0 5 網(wǎng)站被入侵 0 0 5 從表 3可以看出券商認為網(wǎng)路下單的主要風(fēng)險分別為線路中斷和客戶惡意違約,共占 訪談結(jié)果發(fā)現(xiàn)線路 中斷可能使得客戶無法以即時價格成交或重復(fù)下單等種種問題而造成交易上的糾紛。其次是法律規(guī)范不周和帳戶被盜用,共占 可見法律保護條文尚未建立前,網(wǎng)路下單的風(fēng)險始終居高不下 【 10】 ,而網(wǎng)站安全等技術(shù)問題大多可以自行克服所以風(fēng)險較低。另外對于職員操守不佳所引起的相關(guān)犯罪反而較不擔(dān)心,訪談結(jié)果發(fā)現(xiàn)這是因為網(wǎng)路下單所需人力較少,彼此可以就近互相監(jiān)視的緣故。 網(wǎng)路下單安全 線上安全面 1. 一般性 2. 身分驗證 3. 系統(tǒng)安全 4. 技術(shù)面 備份面 1. 備份規(guī)劃 2. 軟 /硬體備份 交易操作面 圖一、研究架構(gòu)證券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達 蕭富元 85 從表 4中發(fā)現(xiàn)目前實行網(wǎng)路下單安全所遭遇的最大困難分別是人才不足和技術(shù)更新太快,可見網(wǎng)際網(wǎng)路近年快速興起,相關(guān)人才普遍不足。 表 3 網(wǎng)路下單最主要風(fēng)險 主要風(fēng)險 樣本數(shù) 百分比 排名 線路中斷 5 客戶惡意違約 5 帳戶被盜用 4 法律規(guī)范不周 4 網(wǎng)站安全性不足 3 認證公信力不足 3 交易內(nèi)容被竊取或修改 1 職員操守不佳 1 表 4 實行網(wǎng)路下單安全所遭遇的最大困難 最大困難 樣本數(shù) 百分比 排名 人才不足 9 技術(shù)更新太快 7 高階主管支持度不夠 3 經(jīng)費不充裕 2 其他 2 其他的發(fā)現(xiàn)如下: 規(guī)模較大的券商嘗試開辦網(wǎng)路下單業(yè)務(wù)的意愿較高:其中綜合券商有 證券經(jīng)紀商 2家,占了 網(wǎng)路下單所需人數(shù)較傳統(tǒng)下單來的精簡:相較于傳統(tǒng)至少 40人以上的傳統(tǒng)券商,負責(zé)處理網(wǎng)路下單人數(shù)有 410人之間。 對網(wǎng)路下單業(yè)務(wù)逐漸重視:有 券商另外成立網(wǎng)路業(yè)務(wù)部門來專門負責(zé),券商的網(wǎng)路下單業(yè)務(wù)仍歸屬于其他部門來管理,。 網(wǎng)路下單使用族群仍以上班族為大宗占 這主要是因為網(wǎng)路的方便性與隱密性,解決了上班 族空暇時間有限與不想被外界發(fā)現(xiàn)的困擾。其次是學(xué)生族,占 可見良好的電腦基礎(chǔ)與上網(wǎng)經(jīng)驗也有助于采用網(wǎng)路下單。 網(wǎng)路下單仍屬初期發(fā)展階段,成交總額有限:目前券商每天網(wǎng)路下單的總成交金額以 1000萬以下居多,有 11家占 每天利用網(wǎng)路下單的委托總張數(shù)有一半在500張以下,平均每筆交易的成交金額不超過 20萬。 大部分券商對自己的下單系統(tǒng)安全滿意度不高:覺得滿意的只有 顯示下單安全仍有很大的改善空間。 使用不習(xí)慣是一般大眾不使用網(wǎng)路下單最主要原因占 其次是網(wǎng)路不 二、 證券業(yè)網(wǎng)路下單稽核環(huán)境現(xiàn)況 從表 5調(diào)查網(wǎng)路下單稽核環(huán)境現(xiàn)況中,發(fā)現(xiàn)網(wǎng)路下單系統(tǒng)大部分為委外開發(fā)或技術(shù)合作,占 訪談結(jié)果結(jié)果發(fā)現(xiàn)這主要是受限于技術(shù)人力方面的限制。其他發(fā)現(xiàn)如下: 電腦稽核制度的建立仍有待加強:只有 券商有設(shè)置專門的電腦稽核人員或制度。定期舉辦安全訓(xùn)練的觀念仍不普及,只有 與主計處調(diào)查一致 【 3】 。 缺乏第二驗證碼:除了登入密碼以外,只有 用安全認證磁片, 際下單時需要另外一組交易密碼,這可能與目前仍無公認的認證中心 (關(guān)。 密碼控管不嚴格:統(tǒng)計結(jié)果只有 求客戶定期更改密碼, 系統(tǒng)強迫更改密碼,大部份券商均交由客戶自行決定,沒有券商采用不同等級的密碼來區(qū)別其授信交易的等級,當(dāng)客戶帳號長期不用時,密碼仍永久有效。訪談結(jié)果發(fā)現(xiàn)因為網(wǎng)路下單券商是營利性質(zhì),需要考慮客戶使用方便性,盡量減少客戶管理密碼所造成的困擾,但也因此提高密碼外泄機率。 密碼本身安全性有待加強:只有 防止新密碼與生日、身分證號碼、電話號碼、資訊管理展望 第卷 第期 民國八十八年七月 86 帳號等身分識別代號部分或完全相同, 用 破解密碼工具來測試密碼的安全性。 缺乏適當(dāng)安全技術(shù):在單次密碼 (與認證磁片的防拷備也因目前無適當(dāng)技術(shù)問題而無法達成。 表 5 網(wǎng)路下單稽核環(huán)境現(xiàn)況線上安全面 一般性 樣本數(shù) 百分比 券商在網(wǎng)路下單的安全政策方面的規(guī)定: 明確的安全管理條文及罰責(zé) 13 50 有設(shè)置專門的電腦稽核人員或電腦稽核制度 8 客戶的帳號密碼與交易資料,有安全相關(guān)條例來加強規(guī)范管理 18 戶和公司兩者的權(quán)利與責(zé)任清楚訂定于契約中 22 責(zé)下單系統(tǒng)的相關(guān)人員皆有工作指導(dǎo)手冊,并隨時更新 10 上下單系統(tǒng)的操作有安全程序來規(guī)范 21 期為網(wǎng)路下單的員工舉辦安全訓(xùn)練 5 網(wǎng)路安全方面所做的定期或不定期檢查 檢查是否有交易資料未入帳戶,或交易訊息失真、重復(fù)、延遲等異常情況發(fā)生 21 查網(wǎng)路運作及伺服器操作狀況,偵測線路 /數(shù)據(jù)機錯誤 23 查公司對外撥接線路或網(wǎng)路通道是否安全 13 50 檢查網(wǎng)路監(jiān)視器材是否有上鎖,監(jiān)視記錄是否有遭到竊改 10 有可疑的侵犯網(wǎng)路 安全事件最后會呈報給安全管理者 13 50 身分驗證 樣本數(shù) 百分比 身份識別與驗證方面 每一個客戶都有唯一一個帳號且需要密碼驗證 26 100 在登錄不同系統(tǒng)譬如線上交易統(tǒng)和即時報價系統(tǒng)時,使用不同密碼 9 一次下單交易或查詢帳戶資料時都需要重新身分驗證 15 客戶有授信大量金額交易的資格時加強驗證的方式: 采用不同等級密碼 0 0 增加更改密碼頻率 1 客戶做較詳細的詢問,確認無誤后才能交易 10 登錄或驗證密碼以外,還有那些第二驗 證碼: 安全認證磁片 (公開鑰匙系統(tǒng)的私鑰 ) 10 際下單時需要另外一組交易密碼 4 全認證磁片保護控制 安全認證磁片的制作和公司內(nèi)部傳送過程均有保密安全控制,避免被職員竊取或盜用 9 90 安全認證磁片的交付方式須為現(xiàn)場簽收或郵寄回函卡簽章或掛號等證明客戶本人簽收 8 80 安全認證磁片有防拷備措施 0 0 安全認證磁片有一定的有效期限,到期須從新申請更換 5 50 在產(chǎn)生客戶密碼的過程中,所采取的保護控制 密碼是由客戶自訂產(chǎn)生或電腦隨機選取 23 客戶自訂密碼的填寫與輸入過程或隨機選取產(chǎn)生的密碼條,其印出與傳送程均有安全保密控制 15 確告知客戶,注意保管密碼避免外泄 19 戶在更改密碼時有下列檢查: 防止新舊密碼完全相同 11 止新密碼和生日、身分證號碼、電話號碼、帳號等完全或部分相同 1 查新密碼長度是否足夠譬如至少四字以上 19 更改密碼方面,有下列控制: 定期或不定期提示更改密碼 2 系統(tǒng)強迫更改密碼 1 第一次使用時強迫更改密碼 17 次下單時密碼就變更一次 0 0 要求客戶更改密碼的頻率為:單選題 一個月 0 0 三個月 2 年 0 0 不要求 24 于密碼輸入的安全措施 連續(xù)輸入錯誤密碼達多次以上時,密碼會自動鎖住失效 21 入密碼時,密碼以 ” * ”號或其他替代字元顯示 22 公司內(nèi)部方面,對密碼的管理,有下列控制: 有書面的密碼發(fā)行及維護程序 10 客戶忘記密碼時,需要到現(xiàn)場簽章申請或經(jīng)過其他認證手續(xù)后才可以發(fā)給新的密碼 24 客戶帳號長期不用時譬如三個月,密碼會自動鎖住失效,須重從新申請 0 0 當(dāng)線上下單相關(guān)人員職務(wù)變更或停職時,其所屬帳號密碼應(yīng)立刻刪除 14 上下單相關(guān)人員嚴禁使用同一個密碼 14 有安全管理者能夠存取密碼檔 15 碼檔有使用單向 (數(shù)加密 10 線上下單中,每次上線時的提示有 提醒上一次登入與登出時間 3 供不成功上線記錄檢視 3 上下單在網(wǎng)路訊息傳輸上,有下列控制: 在登錄時所輸入的帳號和密 碼均有加密處理 23 客戶交易資料的連接有加密以外,公司內(nèi)部網(wǎng)路的連結(jié)傳輸過程也均有加密 9 筆交易資料及訊息傳遞均有稽核軌跡 18 網(wǎng)路中斷時,有書面化的復(fù)原程序來重新建立連結(jié) 7 網(wǎng)路中斷重新連結(jié)時,客戶需重新登錄或身分驗證 20 系統(tǒng)安全 樣本數(shù) 百分比 貴卷商的線上下單交易系統(tǒng)的開發(fā)方式為: 自行開發(fā) 4 外處理 21 上下單伺服器的實體安全控制有: 對電腦機房的進出加以管制譬如識別證刷卡 22 腦機房有裝設(shè)錄影機錄影監(jiān)視 4 工作人員進出電腦機房時,對磁片報表與其他有形資產(chǎn)的攜帶加以管制 5 服器鍵盤或主機有開關(guān)上鎖 6 服器鄰近區(qū)域,有裝置消防偵測及滅火設(shè)備 23 上下單伺服器的使用控制有: 對操作員與管理者的操作活動加以記錄 18 定螢?zāi)槐Wo程式,并有密碼保護 16 離開電腦時,需將櫥柜上鎖并清除所有的工作資料,避免被別人看見 5 關(guān)線上下單交易系統(tǒng)文件列為機密文件來管理 10 統(tǒng)管理者禁止從遠端登錄 16 上下單交易系統(tǒng)會自動斷線的情況有: 當(dāng)客戶端電腦有相當(dāng)長一段時間沒有任何操作時 12 客戶連續(xù)輸入錯誤密碼達多次以上時 19 線上下單交易系統(tǒng)中的記錄檔 (: 硬體失敗的記錄檔 18 體錯誤記錄檔和重新傳輸記錄檔 22 戶登入及登出系統(tǒng)記錄檔 ( 23 上下單交易系統(tǒng)為確定輸入的交易資料有效,所作的檢查有: 字元檢查 可空白、只限數(shù)字輸入 ) 23 位檢查 入數(shù)值是否合理、是否有范圍或上限、下限的限制 ) 24 關(guān)線上下單交易系統(tǒng)安全的控制還有: 對重要檔案 (譬如客戶帳號、交易記錄 )加密并有檔案屬性保護 12 用加密保護時,對加密鑰匙有適當(dāng)管制軟體錯誤記錄檔和重新傳輸記錄檔 7 最小權(quán)限原則 16 技術(shù)面 樣本數(shù) 百分比 線上下單所使用的加密方法有: 證券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達 蕭富元 87 包含 18 包含 7 開金鑰 ) 5 開金鑰 ) 1 開金鑰 ) 3 上下單所使用的公開金鑰的長度為:單選題 5124 0245 上下單所使用的秘密金鑰的長度為:單選題 表 5 網(wǎng)路下單稽核環(huán)境現(xiàn)況 (續(xù) ) 406 6 28 12 券 商所使用的認證機制 (: (單選題 ) 自行設(shè)立認證中心 9 90 委托第三者來對客戶認證 1 10 貴券商防火墻 (擁有的功能有: 封包過濾 (25 用代理伺服器 (15 路代理伺服器 (7 證伺服器 (16 了防火墻外,還使用其他安全工具: 使用網(wǎng)路查核工具 ,如 3 用密碼查核工具,如 2 用網(wǎng)路偵測入侵工具 (5 設(shè)防毒程式 20 份管理面 備份規(guī)劃 樣本數(shù) 百分比 在線上下單交易系統(tǒng)中,負責(zé)資料備份的相關(guān)人員與職務(wù)有: 安全管理者負責(zé)資料備份與定期更新備份計劃 21 單系統(tǒng)操作員和系統(tǒng)程式設(shè)計師定期檢查備份設(shè)施的相容性與備份程式的更新 14 階主管定期檢視資料備份計劃 12 線上下 單交易系統(tǒng)中,資料備份 (劃有下列何種規(guī)定: 明確訂定交易相關(guān)資料的備份頻率 22 確訂定各項備份資料的保存期限 18 書面的資料備份程序 10 商負責(zé)提供訓(xùn)練支援 11 線上下單系統(tǒng)中,資料復(fù)原 (劃有下列何種規(guī)定: 明確訂定資料復(fù)原的優(yōu)先順序 18 確訂定資料復(fù)原時可接受的最長等待時間 5 等待時間過久時有可替代的方案 10 書面的資料復(fù)原程序 11 原 程序手冊易于取得 7 商負責(zé)提供訓(xùn)練支援 13 50 軟 /硬體備份 樣本數(shù) 百分比 在線上下單交易系統(tǒng)中,有關(guān)硬體的備份設(shè)備有: 下單伺服器有裝設(shè)不斷電系統(tǒng) (25 腦機房有裝設(shè)另外一組備用電源以便在長期停電時可繼續(xù)保持系統(tǒng)運作 20 裝一些額外的電腦或網(wǎng)路設(shè)備以便在故障時可立即替代更換 15 備用網(wǎng)路以便在網(wǎng)路中斷時可替代使用 15 時報價系統(tǒng)采用雙主機以提供永不中斷處理 6 單伺服器采用雙主機以提供永不中 斷處理 8 線上下單交易系統(tǒng)中,對資料與軟體的備份包括: 客戶帳號資料與密碼檔 23 易資料檔 24 戶登入登出和交易資料等記錄檔 21 上下單交易系統(tǒng)軟體,并隨時更新 20 資料備份的測試控制有: 每年定期有資料備份演練 7 個月定期測試備用電源或不斷電系統(tǒng) 15 備份資料的存放控制有: 定期對備份資料做讀取測試 4 份磁帶或磁片有防寫保護措施 12 備份資料的存取資格加以限 制,只能由安全管理者等相關(guān)授權(quán)人員來負責(zé) 16 號密碼檔和交易資料檔等重要檔案的備份放在保管室或保險箱中 16 易操作面 交易操作 樣本數(shù) 百分比 對于線上下單的初次使用者,提供的輔助資訊有: 操作手冊 22 上使用說明 25 上下單開課教導(dǎo) 4 券商對網(wǎng)路交易帳戶的報名方式為:單選題 一律需要到現(xiàn)場報名 20 有傳統(tǒng)帳戶者,可以先在線上報名再委托通信開網(wǎng)路戶 6 上下單系統(tǒng)所提供的記錄查詢有: 委 托歷史記錄查詢 18 交歷史記錄查詢 25 券余額歷史記錄查詢 22 保庫存歷史記錄查詢 25 行帳戶股款歷史記錄查詢 10 帳單歷史記錄查詢 23 戶活動登入登出、修改密碼等記錄查詢 6 上下單對顧客所提供的保障措施有: 客戶可自行將下單交易資料備份存檔,作為以后交易紛爭時的憑據(jù) 4 客戶下單完畢后,公司即時印出網(wǎng)路下單的書面委托書并交由營業(yè)員簽章,作為以后交易紛爭時的憑據(jù) 20 供帳戶保險例如帳戶被盜用的損失 1 供專門的網(wǎng)路營業(yè)負責(zé)員接單 18 供電話備援交易系統(tǒng),以便下單伺服器當(dāng)機時使用 20 銀行帳戶股款不足時,立刻以電話或 知補繳 16 融資融券的整戶擔(dān)保維持率不足時,立刻以電話或知回補 16 準備委托下單時,對委托書的確認動作有: 買 /賣委托書以不同顏色紅 /藍來區(qū)別 21 完委托書后,送出前重新顯示確認一次 23 出委托書后,下單伺服 器將所收到的委托書寄回給客戶再次確認,確認無誤才生效 8 下單伺服器收到委托書時,電腦所做的檢查有: 當(dāng)委托賣出非券賣時,檢查此筆委托的庫存股票是否有足夠 26 100 當(dāng)限價委托時,檢查買賣價格是否在漲跌停板的范圍之內(nèi) 26 100 當(dāng)買賣全額交割股或管理股時,檢查客戶當(dāng)時是否有足夠資金與股票 18 買賣警示股時,提出警告通知或禁止線上交易 24 線上成交金額超過當(dāng)天最高限額時,拒絕接受或檢查客戶是否有超額交易的授權(quán) 25 信用交易融資、 融券所做的檢查有: 檢查客戶是否有信用交易資格 25 查客戶的交易金額是否符合其信用等級 24 查公司股票是否已經(jīng)禁止或公告暫停信用交易 25 限資、限券時,檢查券商的資券配額是否足夠客戶所需 25 委托下單完畢時,提供的通知服務(wù)有: 委托成功或失敗訊息顯示 26 100 下單伺服器將確認后的委托書內(nèi)容重新顯示一次 20 托書即時處理狀查詢 24 委托成交時,提供的通知服務(wù)有: 顯示單筆委托的即時成交狀況 23 交結(jié)果即時畫面顯示通知 11 交結(jié)果立刻以電子郵件 (知 13 50 成交結(jié)果當(dāng)天限時掛號通知 1 交回報查詢 26 100 每月對帳單郵遞通知 21 取消委托、委托改價或改量時,會: 對原委托書內(nèi)容重新顯示以提供比較修改 20 供緊急聯(lián)絡(luò)電話,以便網(wǎng)路中斷或延遲時使用 14 消、改量后的委托結(jié)果有畫面顯示通知 20 客戶發(fā)生違約交割時,貴券商會: 立刻通知客戶 23 刻鎖住客戶 帳號,停止任何使用 21 訊管理展望 第卷 第期 民國八十八年七月 88 線上交易每日買賣最高成交金額限制為:單選題 300萬以下 4 00萬以下 18 000萬以下 0 0 無 4 券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達 蕭富元 89 客戶無法自行檢查異常登入狀況:只有 于每次上線時提示上次登入或登出時間和提示不成功登入記錄。 資料復(fù)原時間缺乏上限:當(dāng)資料損毀需要備份復(fù)原時,只有 訂最長的等待時間, 定期對備份資料作讀取測試。這對線上即時系統(tǒng)來說可能造成缺乏時效及備份資料不正確等嚴重問題。 對客戶交易保障有待加強 :只有 讓客戶自行將下單交易資料備份存檔,作為以后紛爭的憑據(jù), 提供帳戶保險,對帳戶被盜用等意外損失加以賠償, 將成交結(jié)果當(dāng)天限時掛號通知。 大部分券商都有每日買賣最高成交金額的上限:為了減低網(wǎng)路下單的風(fēng)險,有 券商限制每日線上交易最高成交金額不得超過 500萬元,只有 有限制,改以財務(wù)證明的三分之一為限。 在與安全稽核無直接相關(guān)的項目中,另外有其他發(fā)現(xiàn): 系統(tǒng)廠商由英特連和精業(yè)寡占,各占了 9家和 7家,共占了 證券業(yè)網(wǎng)路下單所使用的通訊協(xié)定大多數(shù)為 全傳輸 協(xié)定。 子交易協(xié)定(因機制太過繁瑣,使用不方便而無人采用 【 9】 。 在使用功能方面,網(wǎng)路下單除了普通限價委托功能以外,有 供市價委托,可見證券網(wǎng)路下單仍以中長期投資為主,不鼓勵作當(dāng)日沖銷短線進出, 網(wǎng)路下單券商提供零股交易, 供承銷申購, 供停損委托。 在站上資源提供方面,網(wǎng)路下單所提供的服務(wù)有自選股即時行情,股市即時分析及其他國內(nèi)外金融資訊,股價歷史查詢,以及 供投資組合模擬 試算。 表 6為券商在不同構(gòu)面的填答率,其中交易操作面因直接關(guān)系到下單交易的安全性,會立刻反映在交易結(jié)果上,因此填答率最高。而在電腦運作的系統(tǒng)安全與軟 /體備份方面,則因券商在原本的后臺交易系統(tǒng)均有相關(guān)經(jīng)驗,故引進新的網(wǎng)路交易系統(tǒng)時并無太大問題。至于安全技術(shù)面和身分驗證則因為時間、人力不足與客戶方便性的考量,故平均填答率遠低于其他構(gòu)面。 表 6 網(wǎng)路下單稽核構(gòu)面的填答率 交叉項目 填答率 排名 交易操作面 1 備份管理面:軟 /硬體備份 2 線上安全面:系統(tǒng)安全 3 線上安全面:一般性 4 備份管理面:備份規(guī)劃 5 線上安全面:身分驗證 6 線上安全面:技術(shù)面 7 三、 分類 本研究嘗試區(qū)分這 26家網(wǎng)路下單券商的優(yōu)劣,在樣本數(shù)的有限的情況下,為了有等級的差異,將所有券商的稽核結(jié)果分成三群,以百分均位法來取舍。于是針對每一項稽核項目計分,除了少數(shù)幾題單選題因有程度之別改以區(qū)間比較 (式來計算外,其余大多數(shù)稽核項目以均權(quán)的方式予以加總得到總分再加以排名,取前 1/3為序為 果如表 7。 表 7 證券業(yè)網(wǎng)路下單統(tǒng)計分類表 等級 家數(shù) 平均 最大值 最小值 9 級 9 級 8 、 交叉分析 資訊管理展望 第卷 第期 民國八十八年七月 90 為了更深入了解相關(guān)因素與稽核等級的關(guān)系,本研究進行彼此的交叉分析。由于樣本數(shù)過少,且使用卡方檢定有次數(shù)上的限制,因此將相關(guān)的項目次數(shù)合并后才進行檢定。由于篇幅有限,相關(guān)表格無法一一列出。 表 8為基本資料與稽核等級的交叉分析表,發(fā)現(xiàn)沒有任何項目達到顯著水準, 也就是沒有因素和稽核等級有直接相關(guān),這可能是因為開辦網(wǎng)路下單的時間有限,所以各家券商仍處于摸索嘗試狀態(tài),故尚未產(chǎn)生直接影響稽核等級的因素。 為了解構(gòu)面間與稽核等級的關(guān)聯(lián)性,于是再將每個構(gòu)面所得的分數(shù)加以排名分群,因為卡方檢定次數(shù)上的限制,因此只能分成兩群,取前 1/2為高分群,后 1/2為低分群,并與稽核等級做交叉分析如表 9。發(fā)現(xiàn)稽核等級較佳的券商,在身分驗證、備份規(guī)劃、軟硬體備份表現(xiàn)較佳,而系統(tǒng)安全、技術(shù)面和交易操作面因目前券商所用的下單系統(tǒng)大部分為委外開發(fā),在系統(tǒng)廠商有限的情況下,因而差異有限。 表 8 基本資料與稽核等級的交叉分析表 交叉項目 卡方值 線上下單人員編制 上下單人員數(shù)目 上下單每日總成交金額 發(fā)生嚴重問題 要風(fēng)險 意度 : *表 =. 05, *表 =. 01 表 9 構(gòu)面與稽核等級的交叉分析表 交叉項目 卡方值 線上安全面:一般性 線上安全面:身分驗證 線上安全面:系統(tǒng)安全 上安全面:技術(shù)面 份管理面:備份規(guī)劃 備份管理面:軟 /硬體備份 交易操作面 : *表 =. 05, *表 =. 01 為了更進一步了解全部 161項的稽核項目與稽核等級之間的關(guān)系,于是作彼此間獨立性檢定的交叉分析。經(jīng)過篩選后,其中關(guān)聯(lián)程度較高的有 20項如表 10,也就是 A、 B、示稽核等級較佳的券商達成明確 訂定安全管理條文及罰責(zé)等 20項稽核項目的比率愈高。 表 10 稽核項目與稽核等級的交叉分析表 交叉項目 卡方值 一般性 明確的安全管理條文及罰責(zé) 對客戶的帳號密碼與交易資料,有安全相關(guān)條例來加強規(guī)范管理 檢查網(wǎng)路運作及伺服器操作狀況,偵測線路 /數(shù)據(jù)機錯誤 檢查公司對外撥接線路或網(wǎng)路通道是否安全 身分驗證 在登錄不同系統(tǒng)譬如線上交易統(tǒng)和即時報價系統(tǒng)時,使用不同密碼 明確告知客戶,注意保管密碼避免外泄 定期或不定期提示更改密碼 有書面的密碼發(fā)行及維護程序 當(dāng)線上下單相關(guān)人員職務(wù)變更或停職時,其所屬帳號密碼應(yīng)立刻刪除 線上下單相關(guān)人員嚴禁使用同一個密碼 系統(tǒng)安全 貴卷商的線上下單交易系統(tǒng)的開發(fā)方式為 當(dāng)離開電腦時,需將櫥柜上鎖并清除所有工作資料,避免被別人看見 有關(guān)線上下單交易的系統(tǒng)文件列為機密文件來管理 有硬體失敗的記錄檔 備份規(guī)劃 高階主管定期檢視資料備份計劃 有書面的資料備份程序 有書面的資料復(fù)原程序 軟/硬體備份 有備用網(wǎng)路以便在網(wǎng)路中斷時可替代使用 有備份客戶帳號資料與密碼檔 每年定期有資料備份演練 定期對備份資料做讀取測試 帳號密碼檔和交易資料檔等重要檔案的備份放在保管室或保險箱中 注: *表 =. 05, *表 =. 01 五、等級差異表 為了更進一步了解不同等級之間的差異,作為券商將來改善的參考,于是另外針對等級 A、 B 與稽核項目作
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025-2030中國乙酸橙花酯市場供需格局及未來前景趨勢展望報告
- 2025-2030中國不銹板行業(yè)發(fā)展分析及投資前景預(yù)測研究報告
- 廢棄礦石處置方案
- 施工稅收籌劃方案(3篇)
- 食堂肉類備貨方案
- 村莊綠化澆水養(yǎng)護方案
- 單位院內(nèi)綠化提升方案
- 物流叉車技改方案
- 酒店籌備施工方案
- 廠房防水處置方案
- GB/T 19096-2003技術(shù)制圖圖樣畫法未定義形狀邊的術(shù)語和注法
- GB/T 13808-1992銅及銅合金擠制棒
- 項目安全體系圖
- 中央財政科技計劃的項目結(jié)題審計指引講解文課件
- 醫(yī)院就診告知書
- 職業(yè)暴露(銳器傷)應(yīng)急預(yù)案演練腳本
- 首屆全國報刊編校技能大賽決賽試卷(一)及答案
- 材料出入庫表格范本
- DB14∕T 2442-2022 政務(wù)數(shù)據(jù)分類分級要求
- 醫(yī)務(wù)人員行為規(guī)范以及服務(wù)禮儀
- 醫(yī)用手套的研究進展
評論
0/150
提交評論