中銀國際 誰動了我的賬戶

關閉的IP侵入股票賬戶，到底是誰在進行瘋狂的交易？無中生有的交易記錄背后，誰動了客戶的賬戶？法院的一紙判決卻無法解釋離奇的交易，創(chuàng)新類券商還有何安全保障可言？

北京投資者王先生感覺自己的遭遇很夸張，不知情的情況下，其在中銀國際證券有限責任公司(下稱“中銀國際”) 北京宣外大街營業(yè)部開設的證券賬戶，遭遇“僵尸IP地址”入侵，通過中銀國際的IT交易系統(tǒng)進行多達48筆股票交易，涉及金額上百萬元，致使賬戶資金遭受損失。

王先生將中銀國際告上了法庭，認為由于IT系統(tǒng)的原因，中銀國際給自己造成了經濟損失3.2萬元。4月20日，王先生收到了北京市第一中級人民法院的終審判決，法院不予支持王先生的訴訟請求。

官司已了，離奇卻并未因法院的判決而撥開迷霧。據(jù)法院提供的材料，自2007年4月，已被關閉使用長達一年的“IP218.97.242.172”通過層層網關、路由的監(jiān)管進入了中銀國際的交易系統(tǒng)，進行頻繁交易。法院審理中證據(jù)指出，關閉的IP不能正常使用，法院并沒有對關閉的IP地址依然能夠進入中銀國際IT系統(tǒng)做出一個法定的裁決。

中銀國際是創(chuàng)新類券商，根據(jù)證券業(yè)協(xié)會對創(chuàng)新類券商的評定指標，信息系統(tǒng)安全是6大考核指標之一。一個已經關閉的IP都能進入中銀國際的IT系統(tǒng)進行瘋狂交易，中銀國際脆弱的IT系統(tǒng)不堪一擊。創(chuàng)新類券商的信息系統(tǒng)如此糟糕，如何來保護投資者的合法權益？

僵尸IP侵入賬戶

2007年4月，王先生在中銀國際北京宣外大街證券營業(yè)部開設股票賬戶，資金賬戶為：22238***；證券賬戶：滬市A239018***；深市：0023150***，并結識客戶經理張某。

根據(jù)法院的材料顯示，王先生開戶之后，張某在征求王先生同意的情況下，先后得知了王先生的股票賬戶密碼和交易密碼。自2007年4月至2008年3月，王先生通過電話和手機短信與張某進行聯(lián)系，商討具體股票交易事宜，并委托張某操盤數(shù)筆股票交易。

怪事在一年之后暴露出來。2008年6月，王先生打印了自己股票賬戶中的股票交易記錄，長串的交易記錄一下子讓王先生傻眼了，自己并沒有進行那么頻繁的交易，怎么會有如此多的交易記錄？仔細核對后發(fā)現(xiàn)，部分股票并未進行任何形式的委托，甚至在其外地出差期間，仍有股票交易發(fā)生。

王先生提供的公證處資料顯示，2007年6月7日10點32分，王先生正在北京飛往煙臺的飛機上，但自己的股票賬戶卻發(fā)生了ST羅牛(000735.SZ)5000股的股票買入，交易時計價32344.9元，交割單顯示此交易通過電腦委托進行，委托電腦IP為218.97.242.172(北京)。

除該筆交易外，同時，王先生提供證據(jù)表明，自己不在北京或沒有下達交易委托時產生的有效交易有：2007年11月20日，王先生在外地出差期間，產生了中國銀行(3.96,-0.13,-3.18%)(601988.SH)3000股的賣出交易，交易時計價20364.92元，委托電腦IP為222.128.35.24(北京)；2007年7月26日，電話委托買入中色股份(12.89,-0.98,-7.07%)(000758.SZ)2000股，交易時計價67328.3元。上訴三筆交易共計人民幣120038.12元。

王先生非常驚訝，自己未進行任何股票交易，也并未委托張某進行股票交易，那么是誰在操作自己的股票賬戶？

隨著調查的深入，交割單上顯示進行交易的IP218.97.242.172成為王先生與中銀國際雙方爭執(zhí)的焦點。

經法院調查取證得知，IP218.97.242.172由北京光環(huán)新網數(shù)字技術有限公司于2005年7月25日接入在北京注冊成立的北京奧捷特廣告有限公司，接入地址為北京市莊勝廣場東冀1526號，IP接入方電腦顯示，此IP的有效期是2005年7月25日至2006年7月24日，自此之后，該IP處于“被關閉”狀態(tài)。

光環(huán)新網運營管理中心總監(jiān)李超告訴法院，“218.97.242.173在此之后并沒有接入其他用戶，包括中銀國際證券有限公司，IP被關閉之后肯定不能使用了?！?/P>

而王先生在中銀國際開設股票賬戶的日期為2007年4月，也即意味著，在王先生開戶前就已經不存在的IP地址，卻在他不知情的情況下，在他的股票賬戶內進行了多達48筆的交易。

律法面前無真相

一個已經被關閉的IP出現(xiàn)在股民的股票交易中，法院的判決并沒有提及到這個僵尸IP，迷霧依然繚繞。面對監(jiān)管律法，中銀國際卻沒有進一步說明真相。

根據(jù)1998年5月中國證監(jiān)會頒布的《中國證券經營機構營業(yè)部信息系統(tǒng)技術管理規(guī)范(試行)》規(guī)定，各證券經營機構設立的計算機工作管理部門應“負責本營業(yè)部信息系統(tǒng)的安全運行。開市之前做好系統(tǒng)的運行準備工作，開市期間實時監(jiān)控系統(tǒng)的運行狀況，收市以后配合清算員完成日結清算等盤后工作”。

同時，“證券經營機構要指定一職能部門負責公司及所屬營業(yè)部的計算機安全管理。由公司總經理(總裁)主管計算機安全工作，營業(yè)部負責人為營業(yè)部計算機安全工作責任人。計算機安全管理的主要內容包括安全防范設施和安全保障機制，以有效降低系統(tǒng)風險和操作風險，預防不法分子利用計算機作案?！?/P>

此外，試行規(guī)范還要求證券公司“營業(yè)部配備的電子交易系統(tǒng)必須達到一定的安全級別”。

另外，2005年3月，證監(jiān)會和中國人民銀行正式頒布實施《證券公司信息技術管理規(guī)范》?！蹲C券公司信息技術管理規(guī)范》第4.3.1條顯示：“證券公司應建立信息系統(tǒng)安全管理組織，實施信息安全等級保護，并設立專門的安全管理員、安全審計員崗位?！?/P>

同時，《規(guī)范》明確規(guī)定，信息系統(tǒng)安全管理組織應履行“審核和實施信息系統(tǒng)安全保護和安全防范技術方案”的職責。

同時，該規(guī)則要求，“網上委托系統(tǒng)應采用至少兩條線路接入互聯(lián)網，采用同一個運營商的線路應通過不同的節(jié)點接入；通過防火墻等安全設備與互聯(lián)網相連?！?/P>

該規(guī)則對證券公司網絡安全的要求包括，證券公司應“利用成熟的網絡安全技術，防止非法訪問、攻擊和破壞計算機網絡等活動”，并且要求其“定期對公司網絡進行安全檢查，發(fā)現(xiàn)問題，及時解決，并記錄存檔”。

網上委托系統(tǒng)的安全要求證券公司“采用有效技術措施達到防抵賴、防改、防竊取等功能”。

中銀國際總部給《證券市場周刊》書面回復稱，“關于王伯誠上訴案已由北京市第一中級人民法院做出終審判決，駁回了原告的上訴請求。關于此案的情況以法院審判的依據(jù)和結果為準，公司無進一步說明?！?/P>

北京市京都律師事務所律師于紅巖稱，券商有義務根據(jù)部門規(guī)章嚴格管理系統(tǒng)，證監(jiān)會頒布的行政法規(guī)、部門規(guī)章對于直接規(guī)范行業(yè)上下交易是有法律效力的。已關閉的IP進入系統(tǒng)并發(fā)生實際交易，“已造成實際危害，從安全交易規(guī)則的角度可以納入法律關系中”。

誰保障IT安全

中銀國際目前是創(chuàng)新類券商，IT系統(tǒng)卻無法確保僵尸IP的入侵。

根據(jù)中國證券業(yè)協(xié)會公布的“2009年度證券公司股票和債券承銷金額排名”顯示，中銀國際以559億元的承銷金額排在中信證券(19.52,-1.69,-7.97%)和中金公司之后，位列第三名。

查閱中銀國際2009年年報發(fā)現(xiàn)，公司全年投入的軟件費為544萬元，占其全年營業(yè)總支出的0.54%。而中銀國際在全國有23個營業(yè)部，軟件費均分到各營業(yè)部頭上為23萬元。

中銀國際北京宣外大街證券營業(yè)部總經理王耀鋼接受《證券市場周刊》記者采訪時稱，“這個IP我不知道怎么會進入交易系統(tǒng)，這是法院認定的事，這個案子法院都已經結了?！痹摖I業(yè)部市場總監(jiān)魏強則稱，“為了交易安全，我們的系統(tǒng)在不斷升級。”

中銀國際總部給《證券市場周刊》書面回復稱，“中銀國際證券始終將維護客戶利益放在重要位置，每年都投入相當?shù)娜肆εc物力對IT系統(tǒng)進行升級維護，保證公司IT系統(tǒng)始終處于安全穩(wěn)定運行狀態(tài)，為客戶交易提供安全可靠的保障”。

按照《證券公司風險管理能力評價指標與標準》對創(chuàng)新類券商的考評要求，證券公司風險管理能力主要從資本充足、公司治理與合規(guī)管理、動態(tài)風險監(jiān)控、信息系統(tǒng)安全、客戶權益保護、信息披露6類評價指標，其中信息系統(tǒng)安全主要反映證券公司IT治理及信息技術系統(tǒng)運行情況，體現(xiàn)其技術風險管理能力。

盡管中銀國際聲稱為客戶交易提供可靠的保障，可是王先生遭遇的僵尸IP至今沒有一個明確的說法。中銀國際發(fā)生僵尸IP事件之前，已經評選為創(chuàng)新類券商，按照創(chuàng)新類券商的6大考核要求看，中銀國際這樣的創(chuàng)新類券商在IT系統(tǒng)都存在迷一般的漏洞，如何確?？蛻舻慕灰装踩?？  

【編輯推薦】

1. 新版ZeuS僵尸網絡給網銀安全敲響警鐘
2. 5月7日外電頭條：發(fā)自僵尸網絡臥底小組的安全報告