【畢業(yè)學(xué)位論文】（Word原稿）證券業(yè)網(wǎng)路下單稽核環(huán)境之研究-信息管理學(xué)

證券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達 蕭富元 81 證券業(yè)網(wǎng)路下單稽核環(huán)境之研究 黃明達 淡江大學(xué) 資訊管理研究所 富元 淡江大學(xué) 資訊管理研究所要 隨著網(wǎng)路下單券商的蓬勃發(fā)展，網(wǎng)路下單在股票交易方式中逐漸扮演重要的角色，其安全性也就逐漸受到大眾的重視。本研究以電腦稽核的觀點出發(fā)，來探討目前國內(nèi)網(wǎng)路下單券商的安全管理現(xiàn)況，并嘗試建立一套下單安全自我評估模式。 本研究采用問卷調(diào)查和現(xiàn)場訪談的方式，以線上安全面、備份管理面、操作交易面三 個構(gòu)面來調(diào)查目前國內(nèi) 26家網(wǎng)路下單券商的稽核環(huán)境現(xiàn)況。深入了解網(wǎng)路下單券商在線上下單交易安全上所遭遇的問題與困難，并對網(wǎng)路下單券商在線上下單交易的安全性以百分比法分成 A、 B、 C 三等級，利用卡方檢定來分析出不同等級之間的差異，并依此作為不同等級所面臨的風(fēng)險。最后訂定出網(wǎng)路下單稽核檢查表并提供自我評分方法，讓券商可以自我評量找出所屬的等級，以及所對應(yīng)的風(fēng)險，作為未來改進的參考和政府、網(wǎng)路下單系統(tǒng)廠商 在推行網(wǎng)路下單安全及制定相關(guān)政策時之依據(jù)。 關(guān)鍵字：證券業(yè)、網(wǎng)路下單券商、電腦稽核、交易安全 on of in is of is to of on to up a 6 It us a to of we we an to be by 訊管理展望 第卷 第期 民國八十八年七月 82 壹、緒論 自從 1995年美國第一家網(wǎng)路下單券商 E*辦以來，其無疆界、無時差及低成本的優(yōu)點，迅速獲得社會大眾的青睞，交易量每年以倍數(shù)成長，已使網(wǎng)路下單漸漸成為未來趨勢 【 16】 。而國內(nèi)也在民國 86年 7月準許券商開辦網(wǎng)路下單業(yè)務(wù)，至 87年底為止，根據(jù)證交所統(tǒng)計，單月成交總金額占市場成交量的比例從原本的 86/7)87/12)，其間開戶人數(shù)亦由 1,022人，至今累積成長至 71,533人 【 2】 。隨著證券網(wǎng)路下單的蓬勃發(fā)展 【 11】 ，建立一個網(wǎng)路下單的安全評估模式，讓交易雙 方有所參考依循，也就成為一個刻不容緩的議題，并引發(fā)了本研究動機： 安全是網(wǎng)路交易的前提，目前各家網(wǎng)路下單券商所強調(diào)的安全傳輸協(xié)定 (安全認證磁片是否就足以代表其安全性 【 11】 ，而消費者如何從中選擇比較？ 目前各家網(wǎng)路下單券商的安全管理現(xiàn)況為何，同業(yè)之間有何差異存在？如果網(wǎng)路下單券商想知道自己安全管理的優(yōu)劣，有何自我評量的工具？ 有關(guān)網(wǎng)路交易安全的研究多偏重于理論面或技術(shù)面上的探討，缺乏實務(wù)管理面上的考量 【 7】【 8】【 12】【 26】 。 因此，本研究嘗試采用電腦 稽核的觀點，從不同角度來審視網(wǎng)路下單的安全性。本研究目的如下： 藉由問卷調(diào)查的方式，來審視目前各家網(wǎng)路下單券商的稽核環(huán)境現(xiàn)況，并找出目前網(wǎng)路下單券商所面臨的問題。 將調(diào)查結(jié)果加以統(tǒng)計分析，比較歸納出不同的等級，作為網(wǎng)路下單券商以后改進的目標和消費者選擇的參考，并可依此來建立出一套網(wǎng)路下單安全的自我評估模式。 本研究針對國內(nèi)目前已經(jīng)開辦網(wǎng)路下單業(yè)務(wù)的券商進行安全現(xiàn)況調(diào)查，另外包含一些已經(jīng)在準備測試中但尚未開辦的網(wǎng)路下單券商 【 2】 。本研究以網(wǎng)路下單的稽核環(huán)境為主，界定于在全球資訊網(wǎng) (易環(huán)境下與網(wǎng)路交易安全有直接相關(guān)的線上安全面、備份管理面、交易操作面的安全稽核現(xiàn)況調(diào)查，對其他如人事管理、委外管理等不納入其中 【 1】 。 本研究的研究步驟依序如下：確定研究動機及目的、搜集相關(guān)文獻、確立研究架構(gòu)、設(shè)計問卷初稿、專家預(yù)試、問卷填答。為求得調(diào)查資料的真實性，更深入的了解問題，本研究問卷一律采現(xiàn)場訪談方式來完成。在經(jīng)過 26家網(wǎng)路下單券商的訪談之后，再利用 套裝程式進行資料分析、解釋資料分析結(jié)果，最后做成結(jié)論與建議。 雖然國內(nèi)網(wǎng)路下單券商發(fā)展相當(dāng)蓬勃，然而因網(wǎng)路下單業(yè)務(wù)開 放至今也不過一年多的時間，所以網(wǎng)路下單券商家數(shù)有限。本研究在排除種種困難后，尋得九成以上網(wǎng)路下單券商的協(xié)助，但總家數(shù)仍未達到統(tǒng)計學(xué)上的大數(shù) (N30)，使得本研究無法進行較周詳?shù)臋z定，以提升本研究的信度與效度。 貳、文獻探討 目前由于國內(nèi)網(wǎng)路下單券商剛剛開辦不久，所以相關(guān)研究甚為缺乏，而國外有關(guān)網(wǎng)路下單券商的文獻大多偏向經(jīng)營策略的研究，例如 季定期對網(wǎng)路下單券商評分排名 【 13】 ，作為消費者選擇網(wǎng)路下單券商的參考，以及 網(wǎng)路下單券商調(diào)查報告 【 18】 等，然而國內(nèi) 網(wǎng)路證券交易制度與交易習(xí)慣均和國外有所不同，且因發(fā)展起步較晚的關(guān)系，使得安全機制標準不一，所以在稽核實務(wù)方面需要另外自行發(fā)展。 證券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達 蕭富元 83 而網(wǎng)路交易安全方面的研究，大多數(shù)是安全技術(shù)的探討 【 5】【 6】【 14】【 17】【 25】 ，缺乏針對網(wǎng)路交易安全管理的調(diào)查。 在電腦稽核方面，國外已有 相關(guān)的自我檢查表和評量方法 【 22】【 23】 ，但其資料過于老舊，早已不符合現(xiàn)代所需。而由美國資訊管理訓(xùn)練學(xué)會 (發(fā)表的電腦稽核和安全檢查表 【 24】 及資訊系統(tǒng)稽核控制協(xié)會 (電腦稽核項目手冊 【 20】 則缺乏專門針對網(wǎng)路下單券商的稽核項目且無法自行評估優(yōu)劣。 綜合以上所言，本研究除了參考前述文獻外，另外依照國內(nèi)現(xiàn)行股票交易制度而設(shè)計出網(wǎng)路下單券商的自我檢查表，并提供自我評量的模式。表 1為證券業(yè)網(wǎng)路下單安全所整理出的相關(guān)文獻。 表 1 網(wǎng)路下單券商下單安全相關(guān)文獻 研究主題 作者或單位 時間 內(nèi)容概述 電子商務(wù)安全 1985 針對電腦系統(tǒng)安全提出評估標準，包括密碼管理準則 (身分驗證和授權(quán)指引 (電腦稽核指引 ( 等 【 25】 網(wǎng)際網(wǎng)路上安全的電子付款環(huán)境之探討 丘信榮，交通大學(xué)資訊管理研究所 1996 對 P 協(xié)定上的通訊安全協(xié)定 分析比較與安全性探討，分析網(wǎng)際網(wǎng)路電子付款系統(tǒng)，并規(guī)劃一個網(wǎng)際網(wǎng)路電子付款系統(tǒng)的雛形架構(gòu) 【 5】 . 1996 討論網(wǎng)際網(wǎng)路在商業(yè)上應(yīng)用的安全，包括建構(gòu)一個安全的網(wǎng)路系統(tǒng)、確保通道安全、安全通訊協(xié)定、安全管理政策、保護使用者與網(wǎng)路商店等 【 14】 A 997 提供網(wǎng)路商店在風(fēng)險評估時應(yīng)注意事項、訂定安全存取控制政策、維持網(wǎng)路安全和安全管理上應(yīng)有的認知 【 27】 臺灣電子商務(wù)發(fā)展之研究 管理研究 (一 ) 陳嘉玫，中山大學(xué)資訊管理系 1998 針對電子商務(wù)在安全系統(tǒng)之操作與管理制度上，提出解決方案，并設(shè)計一個系統(tǒng)安全原型 (電子書店 )進行測試評估 【 6】 997 998 利用問卷調(diào)查英國前 1000大公司在電子商務(wù)方面所遇到的安全問題，討論公司安全政策、控管方法、所面臨的風(fēng)險和對策，最后提出改進建議 【 17】 電腦稽核 . 972 針對資訊管理系統(tǒng)作全面性的稽核與評估，提供人事、實體安全、程式文件、操作、資料備份、系統(tǒng)發(fā)展、保險、安全規(guī)劃管理等八大構(gòu)面的自我檢查表和評估方法 【 22】 & . 987 提出組織架構(gòu)、實體安全、意外處理、資料備份、資料安全、系統(tǒng)操作、資訊部門管理、保險 、系統(tǒng)發(fā)展、電腦犯罪、線上傳輸?shù)?2構(gòu)面的電腦稽核方式和自我檢查表 【 23】 992 提出線上安全、商務(wù)費用、資料庫、資料中心、系統(tǒng)發(fā)展、網(wǎng)路安全稽核、 次稽核 50步的自我檢查表 【 24】 996 線上系統(tǒng)可藉由網(wǎng)際網(wǎng)路技術(shù)的協(xié)助來達到持續(xù)性的控制和監(jiān)視，并討論電子交易安全 所需公開金鑰和秘密金鑰加密等密碼學(xué)和應(yīng)用 【 21】 996 建立一個獨立的資訊系統(tǒng)專門負責(zé)管理整合員的工作，以達到同步稽核 (目標 【 19】 電子商務(wù)環(huán)境中會計及審計作業(yè)之流程模式 余千智 ;周濟群，政治大學(xué) 1997 提出電子商務(wù)環(huán)境中執(zhí)行審計作業(yè)的流程模式，含期間性審計與連續(xù)性審計等兩個模式 【 4】 998 針對電腦安全準則、組織架構(gòu)、資料處理、系統(tǒng)安全和系統(tǒng)發(fā)展提出詳細的電腦稽核要項 【 20】 網(wǎng)路下單券商 998 利用親自上線、問卷、電話訪談的方式來調(diào)查網(wǎng)路下單券商的使用者介面、客戶信賴度、站上資源、相關(guān)服務(wù)、所需費用并加以排名【 13】 998 由 3000名讀者票選出 網(wǎng)路下單券商最重要的五個影響因素，分別是客戶信賴度、手續(xù)費、成交價格、使用者介面、提供服務(wù)，并依此對每一家券商加以評分排名 【 18】 參、研究設(shè)計 本研究所采用的研究方法是意見研究 (之調(diào)查法 ( 15】 。研究架構(gòu)主要是參考 992)所發(fā)展的電腦稽核和安全檢查表 【 24】 中的線上安全檢資訊管理展望 第卷 第期 民國八十八年七月 84 查清單，并透過資料中心安全、網(wǎng)路安全、 最后再配合國內(nèi)現(xiàn)行股票交易制度發(fā)展出交易操作面而產(chǎn)生三 個會直接影響網(wǎng)路下單安全的構(gòu)面，如圖一。 本研究問卷填答方式采用復(fù)選題的形式，并以名目尺度 (填答方式來進行，使填答者直接對適當(dāng)?shù)拇鸢腹催x即可，縮短答題思考的時間，以減少填答者的負擔(dān)并增加答案之可靠性。 研究對象則是已有開辦網(wǎng)路下單業(yè)務(wù)的券商，由于目前網(wǎng)路下單券商如雨后春筍般的發(fā)展，為求時間一致性，所以本研究以證交所公布的 87年 10月份的網(wǎng)路下單券商為主 【 2】 ，另外包含了一些已經(jīng)在規(guī)劃測試中但仍尚未開辦網(wǎng)路下單的券商。受訪者以負責(zé)網(wǎng)路下單的業(yè)務(wù)部門主管或資訊部 門主管為主，其中也包含了負責(zé)維護網(wǎng)路下單系統(tǒng)的資訊工程師。為求得調(diào)查資料的真實性，更深入的了解問題，故一律采用現(xiàn)場訪談的方式來進行。調(diào)查時間從 87年 11月 13日開始至 12月 17日止，總共訪談 26家，達當(dāng)時總樣本數(shù)的九成。 肆、資料分析 一、 基本資料分析 從表 2可以看出目前網(wǎng)路下單所遭遇到的最大問題是線路中斷和系統(tǒng)當(dāng)機，兩者總和占了出現(xiàn)過問題的 82%，經(jīng)訪談結(jié)果發(fā)現(xiàn)，整體的網(wǎng)路還境還不夠成熟穩(wěn)定，網(wǎng)際網(wǎng)路服務(wù)供應(yīng)商 (網(wǎng)路品質(zhì)還有待改善，而網(wǎng)路下單交易系 統(tǒng)的開發(fā)時間有限，又缺乏與原有交易系統(tǒng)的整合，以致于系統(tǒng)當(dāng)機事件頻傳。而其他問題未發(fā)生的原因可能是網(wǎng)路下單剛開辦不久，目前仍在摸索和適應(yīng)階段，市場規(guī)模不大，所以仍沒有嚴重問題產(chǎn)生。 表 2 網(wǎng)路下單出現(xiàn)過最嚴重問題 嚴重問題 樣本數(shù) 百分比 排名 無 11 網(wǎng)路中斷 6 系統(tǒng)當(dāng)機 4 其他 2 人員舞弊 0 0 5 網(wǎng)站被入侵 0 0 5 從表 3可以看出券商認為網(wǎng)路下單的主要風(fēng)險分別為線路中斷和客戶惡意違約，共占 訪談結(jié)果發(fā)現(xiàn)線路 中斷可能使得客戶無法以即時價格成交或重復(fù)下單等種種問題而造成交易上的糾紛。其次是法律規(guī)范不周和帳戶被盜用，共占 可見法律保護條文尚未建立前，網(wǎng)路下單的風(fēng)險始終居高不下 【 10】 ，而網(wǎng)站安全等技術(shù)問題大多可以自行克服所以風(fēng)險較低。另外對于職員操守不佳所引起的相關(guān)犯罪反而較不擔(dān)心，訪談結(jié)果發(fā)現(xiàn)這是因為網(wǎng)路下單所需人力較少，彼此可以就近互相監(jiān)視的緣故。 網(wǎng)路下單安全 線上安全面 1. 一般性 2. 身分驗證 3. 系統(tǒng)安全 4. 技術(shù)面 備份面 1. 備份規(guī)劃 2. 軟 /硬體備份 交易操作面 圖一、研究架構(gòu)證券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達 蕭富元 85 從表 4中發(fā)現(xiàn)目前實行網(wǎng)路下單安全所遭遇的最大困難分別是人才不足和技術(shù)更新太快，可見網(wǎng)際網(wǎng)路近年快速興起，相關(guān)人才普遍不足。 表 3 網(wǎng)路下單最主要風(fēng)險 主要風(fēng)險 樣本數(shù) 百分比 排名 線路中斷 5 客戶惡意違約 5 帳戶被盜用 4 法律規(guī)范不周 4 網(wǎng)站安全性不足 3 認證公信力不足 3 交易內(nèi)容被竊取或修改 1 職員操守不佳 1 表 4 實行網(wǎng)路下單安全所遭遇的最大困難 最大困難 樣本數(shù) 百分比 排名 人才不足 9 技術(shù)更新太快 7 高階主管支持度不夠 3 經(jīng)費不充裕 2 其他 2 其他的發(fā)現(xiàn)如下： 規(guī)模較大的券商嘗試開辦網(wǎng)路下單業(yè)務(wù)的意愿較高：其中綜合券商有 證券經(jīng)紀商 2家，占了 網(wǎng)路下單所需人數(shù)較傳統(tǒng)下單來的精簡：相較于傳統(tǒng)至少 40人以上的傳統(tǒng)券商，負責(zé)處理網(wǎng)路下單人數(shù)有 410人之間。 對網(wǎng)路下單業(yè)務(wù)逐漸重視：有 券商另外成立網(wǎng)路業(yè)務(wù)部門來專門負責(zé)，券商的網(wǎng)路下單業(yè)務(wù)仍歸屬于其他部門來管理，。 網(wǎng)路下單使用族群仍以上班族為大宗占 這主要是因為網(wǎng)路的方便性與隱密性，解決了上班 族空暇時間有限與不想被外界發(fā)現(xiàn)的困擾。其次是學(xué)生族，占 可見良好的電腦基礎(chǔ)與上網(wǎng)經(jīng)驗也有助于采用網(wǎng)路下單。 網(wǎng)路下單仍屬初期發(fā)展階段，成交總額有限：目前券商每天網(wǎng)路下單的總成交金額以 1000萬以下居多，有 11家占 每天利用網(wǎng)路下單的委托總張數(shù)有一半在500張以下，平均每筆交易的成交金額不超過 20萬。 大部分券商對自己的下單系統(tǒng)安全滿意度不高：覺得滿意的只有 顯示下單安全仍有很大的改善空間。 使用不習(xí)慣是一般大眾不使用網(wǎng)路下單最主要原因占 其次是網(wǎng)路不 二、 證券業(yè)網(wǎng)路下單稽核環(huán)境現(xiàn)況 從表 5調(diào)查網(wǎng)路下單稽核環(huán)境現(xiàn)況中，發(fā)現(xiàn)網(wǎng)路下單系統(tǒng)大部分為委外開發(fā)或技術(shù)合作，占 訪談結(jié)果結(jié)果發(fā)現(xiàn)這主要是受限于技術(shù)人力方面的限制。其他發(fā)現(xiàn)如下： 電腦稽核制度的建立仍有待加強：只有 券商有設(shè)置專門的電腦稽核人員或制度。定期舉辦安全訓(xùn)練的觀念仍不普及，只有 與主計處調(diào)查一致 【 3】 。 缺乏第二驗證碼：除了登入密碼以外，只有 用安全認證磁片， 際下單時需要另外一組交易密碼，這可能與目前仍無公認的認證中心 (關(guān)。 密碼控管不嚴格：統(tǒng)計結(jié)果只有 求客戶定期更改密碼， 系統(tǒng)強迫更改密碼，大部份券商均交由客戶自行決定，沒有券商采用不同等級的密碼來區(qū)別其授信交易的等級，當(dāng)客戶帳號長期不用時，密碼仍永久有效。訪談結(jié)果發(fā)現(xiàn)因為網(wǎng)路下單券商是營利性質(zhì)，需要考慮客戶使用方便性，盡量減少客戶管理密碼所造成的困擾，但也因此提高密碼外泄機率。 密碼本身安全性有待加強：只有 防止新密碼與生日、身分證號碼、電話號碼、資訊管理展望 第卷 第期 民國八十八年七月 86 帳號等身分識別代號部分或完全相同， 用 破解密碼工具來測試密碼的安全性。 缺乏適當(dāng)安全技術(shù)：在單次密碼 (與認證磁片的防拷備也因目前無適當(dāng)技術(shù)問題而無法達成。 表 5 網(wǎng)路下單稽核環(huán)境現(xiàn)況線上安全面 一般性 樣本數(shù) 百分比 券商在網(wǎng)路下單的安全政策方面的規(guī)定： 明確的安全管理條文及罰責(zé) 13 50 有設(shè)置專門的電腦稽核人員或電腦稽核制度 8 客戶的帳號密碼與交易資料，有安全相關(guān)條例來加強規(guī)范管理 18 戶和公司兩者的權(quán)利與責(zé)任清楚訂定于契約中 22 責(zé)下單系統(tǒng)的相關(guān)人員皆有工作指導(dǎo)手冊，并隨時更新 10 上下單系統(tǒng)的操作有安全程序來規(guī)范 21 期為網(wǎng)路下單的員工舉辦安全訓(xùn)練 5 網(wǎng)路安全方面所做的定期或不定期檢查 檢查是否有交易資料未入帳戶，或交易訊息失真、重復(fù)、延遲等異常情況發(fā)生 21 查網(wǎng)路運作及伺服器操作狀況，偵測線路 /數(shù)據(jù)機錯誤 23 查公司對外撥接線路或網(wǎng)路通道是否安全 13 50 檢查網(wǎng)路監(jiān)視器材是否有上鎖，監(jiān)視記錄是否有遭到竊改 10 有可疑的侵犯網(wǎng)路 安全事件最后會呈報給安全管理者 13 50 身分驗證 樣本數(shù) 百分比 身份識別與驗證方面 每一個客戶都有唯一一個帳號且需要密碼驗證 26 100 在登錄不同系統(tǒng)譬如線上交易統(tǒng)和即時報價系統(tǒng)時，使用不同密碼 9 一次下單交易或查詢帳戶資料時都需要重新身分驗證 15 客戶有授信大量金額交易的資格時加強驗證的方式： 采用不同等級密碼 0 0 增加更改密碼頻率 1 客戶做較詳細的詢問，確認無誤后才能交易 10 登錄或驗證密碼以外，還有那些第二驗 證碼： 安全認證磁片 (公開鑰匙系統(tǒng)的私鑰 ) 10 際下單時需要另外一組交易密碼 4 全認證磁片保護控制 安全認證磁片的制作和公司內(nèi)部傳送過程均有保密安全控制，避免被職員竊取或盜用 9 90 安全認證磁片的交付方式須為現(xiàn)場簽收或郵寄回函卡簽章或掛號等證明客戶本人簽收 8 80 安全認證磁片有防拷備措施 0 0 安全認證磁片有一定的有效期限，到期須從新申請更換 5 50 在產(chǎn)生客戶密碼的過程中，所采取的保護控制 密碼是由客戶自訂產(chǎn)生或電腦隨機選取 23 客戶自訂密碼的填寫與輸入過程或隨機選取產(chǎn)生的密碼條，其印出與傳送程均有安全保密控制 15 確告知客戶，注意保管密碼避免外泄 19 戶在更改密碼時有下列檢查： 防止新舊密碼完全相同 11 止新密碼和生日、身分證號碼、電話號碼、帳號等完全或部分相同 1 查新密碼長度是否足夠譬如至少四字以上 19 更改密碼方面，有下列控制： 定期或不定期提示更改密碼 2 系統(tǒng)強迫更改密碼 1 第一次使用時強迫更改密碼 17 次下單時密碼就變更一次 0 0 要求客戶更改密碼的頻率為：單選題 一個月 0 0 三個月 2 年 0 0 不要求 24 于密碼輸入的安全措施 連續(xù)輸入錯誤密碼達多次以上時，密碼會自動鎖住失效 21 入密碼時，密碼以 ” * ”號或其他替代字元顯示 22 公司內(nèi)部方面，對密碼的管理，有下列控制： 有書面的密碼發(fā)行及維護程序 10 客戶忘記密碼時，需要到現(xiàn)場簽章申請或經(jīng)過其他認證手續(xù)后才可以發(fā)給新的密碼 24 客戶帳號長期不用時譬如三個月，密碼會自動鎖住失效，須重從新申請 0 0 當(dāng)線上下單相關(guān)人員職務(wù)變更或停職時，其所屬帳號密碼應(yīng)立刻刪除 14 上下單相關(guān)人員嚴禁使用同一個密碼 14 有安全管理者能夠存取密碼檔 15 碼檔有使用單向 (數(shù)加密 10 線上下單中，每次上線時的提示有 提醒上一次登入與登出時間 3 供不成功上線記錄檢視 3 上下單在網(wǎng)路訊息傳輸上，有下列控制： 在登錄時所輸入的帳號和密 碼均有加密處理 23 客戶交易資料的連接有加密以外，公司內(nèi)部網(wǎng)路的連結(jié)傳輸過程也均有加密 9 筆交易資料及訊息傳遞均有稽核軌跡 18 網(wǎng)路中斷時，有書面化的復(fù)原程序來重新建立連結(jié) 7 網(wǎng)路中斷重新連結(jié)時，客戶需重新登錄或身分驗證 20 系統(tǒng)安全 樣本數(shù) 百分比 貴卷商的線上下單交易系統(tǒng)的開發(fā)方式為： 自行開發(fā) 4 外處理 21 上下單伺服器的實體安全控制有： 對電腦機房的進出加以管制譬如識別證刷卡 22 腦機房有裝設(shè)錄影機錄影監(jiān)視 4 工作人員進出電腦機房時，對磁片報表與其他有形資產(chǎn)的攜帶加以管制 5 服器鍵盤或主機有開關(guān)上鎖 6 服器鄰近區(qū)域，有裝置消防偵測及滅火設(shè)備 23 上下單伺服器的使用控制有： 對操作員與管理者的操作活動加以記錄 18 定螢?zāi)槐Ｗo程式，并有密碼保護 16 離開電腦時，需將櫥柜上鎖并清除所有的工作資料，避免被別人看見 5 關(guān)線上下單交易系統(tǒng)文件列為機密文件來管理 10 統(tǒng)管理者禁止從遠端登錄 16 上下單交易系統(tǒng)會自動斷線的情況有： 當(dāng)客戶端電腦有相當(dāng)長一段時間沒有任何操作時 12 客戶連續(xù)輸入錯誤密碼達多次以上時 19 線上下單交易系統(tǒng)中的記錄檔 (： 硬體失敗的記錄檔 18 體錯誤記錄檔和重新傳輸記錄檔 22 戶登入及登出系統(tǒng)記錄檔 ( 23 上下單交易系統(tǒng)為確定輸入的交易資料有效，所作的檢查有： 字元檢查 可空白、只限數(shù)字輸入 ) 23 位檢查 入數(shù)值是否合理、是否有范圍或上限、下限的限制 ) 24 關(guān)線上下單交易系統(tǒng)安全的控制還有： 對重要檔案 (譬如客戶帳號、交易記錄 )加密并有檔案屬性保護 12 用加密保護時，對加密鑰匙有適當(dāng)管制軟體錯誤記錄檔和重新傳輸記錄檔 7 最小權(quán)限原則 16 技術(shù)面 樣本數(shù) 百分比 線上下單所使用的加密方法有： 證券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達 蕭富元 87 包含 18 包含 7 開金鑰 ) 5 開金鑰 ) 1 開金鑰 ) 3 上下單所使用的公開金鑰的長度為：單選題 5124 0245 上下單所使用的秘密金鑰的長度為：單選題 表 5 網(wǎng)路下單稽核環(huán)境現(xiàn)況 (續(xù) ) 406 6 28 12 券 商所使用的認證機制 (： (單選題 ) 自行設(shè)立認證中心 9 90 委托第三者來對客戶認證 1 10 貴券商防火墻 (擁有的功能有： 封包過濾 (25 用代理伺服器 (15 路代理伺服器 (7 證伺服器 (16 了防火墻外，還使用其他安全工具： 使用網(wǎng)路查核工具 ，如 3 用密碼查核工具，如 2 用網(wǎng)路偵測入侵工具 (5 設(shè)防毒程式 20 份管理面 備份規(guī)劃 樣本數(shù) 百分比 在線上下單交易系統(tǒng)中，負責(zé)資料備份的相關(guān)人員與職務(wù)有： 安全管理者負責(zé)資料備份與定期更新備份計劃 21 單系統(tǒng)操作員和系統(tǒng)程式設(shè)計師定期檢查備份設(shè)施的相容性與備份程式的更新 14 階主管定期檢視資料備份計劃 12 線上下 單交易系統(tǒng)中，資料備份 (劃有下列何種規(guī)定： 明確訂定交易相關(guān)資料的備份頻率 22 確訂定各項備份資料的保存期限 18 書面的資料備份程序 10 商負責(zé)提供訓(xùn)練支援 11 線上下單系統(tǒng)中，資料復(fù)原 (劃有下列何種規(guī)定： 明確訂定資料復(fù)原的優(yōu)先順序 18 確訂定資料復(fù)原時可接受的最長等待時間 5 等待時間過久時有可替代的方案 10 書面的資料復(fù)原程序 11 原 程序手冊易于取得 7 商負責(zé)提供訓(xùn)練支援 13 50 軟 /硬體備份 樣本數(shù) 百分比 在線上下單交易系統(tǒng)中，有關(guān)硬體的備份設(shè)備有： 下單伺服器有裝設(shè)不斷電系統(tǒng) (25 腦機房有裝設(shè)另外一組備用電源以便在長期停電時可繼續(xù)保持系統(tǒng)運作 20 裝一些額外的電腦或網(wǎng)路設(shè)備以便在故障時可立即替代更換 15 備用網(wǎng)路以便在網(wǎng)路中斷時可替代使用 15 時報價系統(tǒng)采用雙主機以提供永不中斷處理 6 單伺服器采用雙主機以提供永不中 斷處理 8 線上下單交易系統(tǒng)中，對資料與軟體的備份包括： 客戶帳號資料與密碼檔 23 易資料檔 24 戶登入登出和交易資料等記錄檔 21 上下單交易系統(tǒng)軟體，并隨時更新 20 資料備份的測試控制有： 每年定期有資料備份演練 7 個月定期測試備用電源或不斷電系統(tǒng) 15 備份資料的存放控制有： 定期對備份資料做讀取測試 4 份磁帶或磁片有防寫保護措施 12 備份資料的存取資格加以限 制，只能由安全管理者等相關(guān)授權(quán)人員來負責(zé) 16 號密碼檔和交易資料檔等重要檔案的備份放在保管室或保險箱中 16 易操作面 交易操作 樣本數(shù) 百分比 對于線上下單的初次使用者，提供的輔助資訊有： 操作手冊 22 上使用說明 25 上下單開課教導(dǎo) 4 券商對網(wǎng)路交易帳戶的報名方式為：單選題 一律需要到現(xiàn)場報名 20 有傳統(tǒng)帳戶者，可以先在線上報名再委托通信開網(wǎng)路戶 6 上下單系統(tǒng)所提供的記錄查詢有： 委 托歷史記錄查詢 18 交歷史記錄查詢 25 券余額歷史記錄查詢 22 保庫存歷史記錄查詢 25 行帳戶股款歷史記錄查詢 10 帳單歷史記錄查詢 23 戶活動登入登出、修改密碼等記錄查詢 6 上下單對顧客所提供的保障措施有： 客戶可自行將下單交易資料備份存檔，作為以后交易紛爭時的憑據(jù) 4 客戶下單完畢后，公司即時印出網(wǎng)路下單的書面委托書并交由營業(yè)員簽章，作為以后交易紛爭時的憑據(jù) 20 供帳戶保險例如帳戶被盜用的損失 1 供專門的網(wǎng)路營業(yè)負責(zé)員接單 18 供電話備援交易系統(tǒng)，以便下單伺服器當(dāng)機時使用 20 銀行帳戶股款不足時，立刻以電話或 知補繳 16 融資融券的整戶擔(dān)保維持率不足時，立刻以電話或知回補 16 準備委托下單時，對委托書的確認動作有： 買 /賣委托書以不同顏色紅 /藍來區(qū)別 21 完委托書后，送出前重新顯示確認一次 23 出委托書后，下單伺服 器將所收到的委托書寄回給客戶再次確認，確認無誤才生效 8 下單伺服器收到委托書時，電腦所做的檢查有： 當(dāng)委托賣出非券賣時，檢查此筆委托的庫存股票是否有足夠 26 100 當(dāng)限價委托時，檢查買賣價格是否在漲跌停板的范圍之內(nèi) 26 100 當(dāng)買賣全額交割股或管理股時，檢查客戶當(dāng)時是否有足夠資金與股票 18 買賣警示股時，提出警告通知或禁止線上交易 24 線上成交金額超過當(dāng)天最高限額時，拒絕接受或檢查客戶是否有超額交易的授權(quán) 25 信用交易融資、 融券所做的檢查有： 檢查客戶是否有信用交易資格 25 查客戶的交易金額是否符合其信用等級 24 查公司股票是否已經(jīng)禁止或公告暫停信用交易 25 限資、限券時，檢查券商的資券配額是否足夠客戶所需 25 委托下單完畢時，提供的通知服務(wù)有： 委托成功或失敗訊息顯示 26 100 下單伺服器將確認后的委托書內(nèi)容重新顯示一次 20 托書即時處理狀查詢 24 委托成交時，提供的通知服務(wù)有： 顯示單筆委托的即時成交狀況 23 交結(jié)果即時畫面顯示通知 11 交結(jié)果立刻以電子郵件 (知 13 50 成交結(jié)果當(dāng)天限時掛號通知 1 交回報查詢 26 100 每月對帳單郵遞通知 21 取消委托、委托改價或改量時，會： 對原委托書內(nèi)容重新顯示以提供比較修改 20 供緊急聯(lián)絡(luò)電話，以便網(wǎng)路中斷或延遲時使用 14 消、改量后的委托結(jié)果有畫面顯示通知 20 客戶發(fā)生違約交割時，貴券商會： 立刻通知客戶 23 刻鎖住客戶 帳號，停止任何使用 21 訊管理展望 第卷 第期 民國八十八年七月 88 線上交易每日買賣最高成交金額限制為：單選題 300萬以下 4 00萬以下 18 000萬以下 0 0 無 4 券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達 蕭富元 89 客戶無法自行檢查異常登入狀況：只有 于每次上線時提示上次登入或登出時間和提示不成功登入記錄。 資料復(fù)原時間缺乏上限：當(dāng)資料損毀需要備份復(fù)原時，只有 訂最長的等待時間， 定期對備份資料作讀取測試。這對線上即時系統(tǒng)來說可能造成缺乏時效及備份資料不正確等嚴重問題。 對客戶交易保障有待加強 ：只有 讓客戶自行將下單交易資料備份存檔，作為以后紛爭的憑據(jù)， 提供帳戶保險，對帳戶被盜用等意外損失加以賠償， 將成交結(jié)果當(dāng)天限時掛號通知。 大部分券商都有每日買賣最高成交金額的上限：為了減低網(wǎng)路下單的風(fēng)險，有 券商限制每日線上交易最高成交金額不得超過 500萬元，只有 有限制，改以財務(wù)證明的三分之一為限。 在與安全稽核無直接相關(guān)的項目中，另外有其他發(fā)現(xiàn)： 系統(tǒng)廠商由英特連和精業(yè)寡占，各占了 9家和 7家，共占了 證券業(yè)網(wǎng)路下單所使用的通訊協(xié)定大多數(shù)為 全傳輸 協(xié)定。 子交易協(xié)定(因機制太過繁瑣，使用不方便而無人采用 【 9】 。 在使用功能方面，網(wǎng)路下單除了普通限價委托功能以外，有 供市價委托，可見證券網(wǎng)路下單仍以中長期投資為主，不鼓勵作當(dāng)日沖銷短線進出， 網(wǎng)路下單券商提供零股交易， 供承銷申購， 供停損委托。 在站上資源提供方面，網(wǎng)路下單所提供的服務(wù)有自選股即時行情，股市即時分析及其他國內(nèi)外金融資訊，股價歷史查詢，以及 供投資組合模擬 試算。 表 6為券商在不同構(gòu)面的填答率，其中交易操作面因直接關(guān)系到下單交易的安全性，會立刻反映在交易結(jié)果上，因此填答率最高。而在電腦運作的系統(tǒng)安全與軟 /體備份方面，則因券商在原本的后臺交易系統(tǒng)均有相關(guān)經(jīng)驗，故引進新的網(wǎng)路交易系統(tǒng)時并無太大問題。至于安全技術(shù)面和身分驗證則因為時間、人力不足與客戶方便性的考量，故平均填答率遠低于其他構(gòu)面。 表 6 網(wǎng)路下單稽核構(gòu)面的填答率 交叉項目 填答率 排名 交易操作面 1 備份管理面：軟 /硬體備份 2 線上安全面：系統(tǒng)安全 3 線上安全面：一般性 4 備份管理面：備份規(guī)劃 5 線上安全面：身分驗證 6 線上安全面：技術(shù)面 7 三、 分類 本研究嘗試區(qū)分這 26家網(wǎng)路下單券商的優(yōu)劣，在樣本數(shù)的有限的情況下，為了有等級的差異，將所有券商的稽核結(jié)果分成三群，以百分均位法來取舍。于是針對每一項稽核項目計分，除了少數(shù)幾題單選題因有程度之別改以區(qū)間比較 (式來計算外，其余大多數(shù)稽核項目以均權(quán)的方式予以加總得到總分再加以排名，取前 1/3為序為 果如表 7。 表 7 證券業(yè)網(wǎng)路下單統(tǒng)計分類表 等級 家數(shù) 平均 最大值 最小值 9 級 9 級 8 、 交叉分析 資訊管理展望 第卷 第期 民國八十八年七月 90 為了更深入了解相關(guān)因素與稽核等級的關(guān)系，本研究進行彼此的交叉分析。由于樣本數(shù)過少，且使用卡方檢定有次數(shù)上的限制，因此將相關(guān)的項目次數(shù)合并后才進行檢定。由于篇幅有限，相關(guān)表格無法一一列出。 表 8為基本資料與稽核等級的交叉分析表，發(fā)現(xiàn)沒有任何項目達到顯著水準， 也就是沒有因素和稽核等級有直接相關(guān)，這可能是因為開辦網(wǎng)路下單的時間有限，所以各家券商仍處于摸索嘗試狀態(tài)，故尚未產(chǎn)生直接影響稽核等級的因素。 為了解構(gòu)面間與稽核等級的關(guān)聯(lián)性，于是再將每個構(gòu)面所得的分數(shù)加以排名分群，因為卡方檢定次數(shù)上的限制，因此只能分成兩群，取前 1/2為高分群，后 1/2為低分群，并與稽核等級做交叉分析如表 9。發(fā)現(xiàn)稽核等級較佳的券商，在身分驗證、備份規(guī)劃、軟硬體備份表現(xiàn)較佳，而系統(tǒng)安全、技術(shù)面和交易操作面因目前券商所用的下單系統(tǒng)大部分為委外開發(fā)，在系統(tǒng)廠商有限的情況下，因而差異有限。 表 8 基本資料與稽核等級的交叉分析表 交叉項目 卡方值 線上下單人員編制 上下單人員數(shù)目 上下單每日總成交金額 發(fā)生嚴重問題 要風(fēng)險 意度 ： *表 =. 05， *表 =. 01 表 9 構(gòu)面與稽核等級的交叉分析表 交叉項目 卡方值 線上安全面：一般性 線上安全面：身分驗證 線上安全面：系統(tǒng)安全 上安全面：技術(shù)面 份管理面：備份規(guī)劃 備份管理面：軟 /硬體備份 交易操作面 ： *表 =. 05， *表 =. 01 為了更進一步了解全部 161項的稽核項目與稽核等級之間的關(guān)系，于是作彼此間獨立性檢定的交叉分析。經(jīng)過篩選后，其中關(guān)聯(lián)程度較高的有 20項如表 10，也就是 A、 B、示稽核等級較佳的券商達成明確 訂定安全管理條文及罰責(zé)等 20項稽核項目的比率愈高。 表 10 稽核項目與稽核等級的交叉分析表 交叉項目 卡方值 一般性 明確的安全管理條文及罰責(zé) 對客戶的帳號密碼與交易資料，有安全相關(guān)條例來加強規(guī)范管理 檢查網(wǎng)路運作及伺服器操作狀況，偵測線路 /數(shù)據(jù)機錯誤 檢查公司對外撥接線路或網(wǎng)路通道是否安全 身分驗證 在登錄不同系統(tǒng)譬如線上交易統(tǒng)和即時報價系統(tǒng)時，使用不同密碼 明確告知客戶，注意保管密碼避免外泄 定期或不定期提示更改密碼 有書面的密碼發(fā)行及維護程序 當(dāng)線上下單相關(guān)人員職務(wù)變更或停職時，其所屬帳號密碼應(yīng)立刻刪除 線上下單相關(guān)人員嚴禁使用同一個密碼 系統(tǒng)安全 貴卷商的線上下單交易系統(tǒng)的開發(fā)方式為 當(dāng)離開電腦時，需將櫥柜上鎖并清除所有工作資料，避免被別人看見 有關(guān)線上下單交易的系統(tǒng)文件列為機密文件來管理 有硬體失敗的記錄檔 備份規(guī)劃 高階主管定期檢視資料備份計劃 有書面的資料備份程序 有書面的資料復(fù)原程序 軟/硬體備份 有備用網(wǎng)路以便在網(wǎng)路中斷時可替代使用 有備份客戶帳號資料與密碼檔 每年定期有資料備份演練 定期對備份資料做讀取測試 帳號密碼檔和交易資料檔等重要檔案的備份放在保管室或保險箱中 注： *表 =. 05， *表 =. 01 五、等級差異表 為了更進一步了解不同等級之間的差異，作為券商將來改善的參考，于是另外針對等級 A、 B 與稽核項目作