交易中断近7.5小时! 华金期货信息安全存重大漏洞
2025年5月30日,天津证监局官网的两张罚单,让市场聚焦华金期货一场长达7小时26分钟的软件故障,同时也掀开了其信息安全管理的脆弱面纱。
2025年3月10日,华金期货的交易系统突发异常。客户们很快发现无法通过文华财经交易端登录账户。期货市场瞬息万变,每一分钟的交易中断都意味着巨大的亏损风险。
故障持续了整整7小时26分钟,直到半日过去才被修复。按照《证券期货业网络安全事件报告与调查处理办法》规定,该事件已达到一般网络安全事件标准。
更令人担忧的是,天津证监局事后调查发现,华金期货在应急处置过程中未妥善保护事件现场和相关证据,导致始终无法确定本次网络安全事件的真实原因。市场人士分析,华金期货此次事件暴露了其信息安全管理的脆弱性,也反映出期货行业在信息技术与合规风控方面存在的共性问题。中国证券报记者就此事询问华金期货,截至发稿对方暂无回应。
国资期货近7.5小时宕机
应急机制全面失效
2025年5月30日,天津证监局官网挂出两张罚单,直指华金期货信息安全管理和信息安全事件处置方面的问题。事件源于2025年3月10日发生的“文华中继软件故障”,导致客户无法通过文华财经交易端登录交易系统。从故障发生到完全恢复,时间跨度长达7小时26分钟。
在期货市场中,交易中断对投资者而言损失巨大。一旦投资者在交易时段无法登录账户,无法及时平仓或建仓,期货市场的高杠杆特性便会将风险放大数倍。“交易中断意味着客户可能面临穿仓风险,尤其是行情剧烈波动时,客户损失可能很大。”一位期货公司风控负责人说。
值得注意的是,这一故障持续时长达7小时26分钟,令人不禁疑惑:为何故障修复耗时如此之长?一位华东期货公司IT负责人指出,期货公司IT团队普遍面临人力紧张、技术储备不足的困境。
“多数期货公司通常提供多个交易终端供客户选择,IT运维人员需同时维护不同厂商的中继产品,工作高度依赖外部供应商支持。”他表示,很多期货公司的运维高度依赖文华财经等外部厂商,在故障排查、系统调试中缺乏主导权,或导致响应延迟。
作为国内最早一批设立的国资系期货公司,华金期货注册资本达10亿元,背靠珠海华发集团全牌照金融平台。然而,其资金实力并未能为其信息技术与合规风控提供有效支撑。
“尽管当前众多期货公司普遍对核心业务系统宕机制定了应急预案并定期演练,但在实际设备投入和人员队伍支撑方面仍存短板。”上述IT负责人表示,灾备建设上存在“冷备”方案或灾备系统性能达不到主系统容量要求的情况,或对应急处置的实际效果产生影响。
应急处置酿二次事故
“证据灭失”导致原因成谜
华金期货公司总裁助理简政作为分管信息技术工作的负责人,对此次事件负有直接责任。天津证监局对其采取出具警示函的监管措施,并将处罚记入证券期货市场诚信档案。
监管调查揭露了进一步的问题:华金期货在应急处置过程中未能保护事件现场和相关证据,导致事件原因无法查清。这些缺陷违反了《证券期货业网络和信息安全管理办法》第三十九条第一款的规定。
该项条款规定,核心机构和经营机构应当建立应急处置机制,及时处置网络安全事件,尽快恢复信息系统正常运行,保护事件现场和相关证据,向中国证监会及其派出机构进行应急报告,不得瞒报、谎报、迟报、漏报。
上述IT负责人分析认为,部分期货公司在应急资源不足的压力下,为求业务尽快恢复,通常采取对故障设备或系统进行“重装系统及应用”的重新初始化操作。这种做法虽能缩短业务中断时间,却导致故障定位困难,根源难以追溯。这反映出在应急流程设计中,业务快速恢复与关键证据保全之间存在现实矛盾,亟须对应急资源和流程进行针对性优化。
证券期货业拥有海量客户、交易和行情数据,但“数据分级分类管理不足,涉密或敏感数据使用审核不规范”问题突出。西部证券首席信息官黄裕洋的研究表明,证券期货行业数据安全运营体系建设方面由于缺乏统一的数据安全运营标准和规范,行业内各经营机构在数据安全运营过程中往往缺乏有效的指导和参考。同时,部分机构在数据安全运营方面的投入不足,导致数据安全风险难以得到有效控制。
三年三罚撕开内控痼疾
合规整改沦为空谈
公开信息显示,这是华金期货近年来第三次收到监管罚单,其中,公司内控问题被反复提及。
2022年10月,华金期货因营业部工作人员长期未实地履职被处罚。宁波证监局网站显示,华金期货有限公司宁波和济街营业部部分工作人员长期未实地履职,反映出其内部控制存在缺陷,违反了《期货公司监督管理办法》第五十六条的规定。根据《期货公司监督管理办法》第一百零九条的规定,宁波证监局决定对该营业部采取出具警示函的行政监管措施。
2021年7月,华金期货珠海营业部及其一名员工因相关违规被处罚。广东证监局官网显示,华金期货珠海营业部对居间人的展业行为管理不到位,对居间人协助客户互联网开户过程未进行有效管控,反映出其存在内部控制缺陷。上述行为违反了《期货公司监督管理办法》(证监会令第155号)第五十六条的规定。因此根据《期货公司监督管理办法》第一百零九条的规定,广东证监局决定对其采取责令改正的行政监管措施。并要求该营业部应高度重视,完善内部控制,健全业务流程,强化合规意识,防范合规风险。
同时,华金期货珠海营业部员工于博天因在职期间对归属于其名下的个别居间人管理不到位,在居间人协助客户互联网开户管理方面未履职尽责被出具警示函。
加上本次因交易系统长时间中断及应急处置不当收到的天津证监局罚单,华金期货在近四年内接连因第三方合作管理失效、员工岗位履职不到位、信息技术应急管理缺失等问题受到处罚。这三次在不同业务领域、不同时间节点的监管处罚,凸显公司在内部控制的多环节持续存在漏洞,相关的整改要求未能有效落实。
安全防线频频失守
监管罚单揭冰山一角
华金期货的技术安全事件并非孤例。据不完全统计,2024年以来,监管部门已开出数十张针对期货公司及其工作人员的罚单,其中技术安全相关处罚比例明显上升。
2025年4月,山东证监局对江海汇鑫期货采取责令改正的行政监管措施。经查,江海汇鑫期货存在以下问题:一是次席CTP系统交易线路部署存在单点故障风险;二是次席CTP系统未建立备份设施,无法保障业务连续性;三是发生网络安全事件后未按规定及时向山东证监局报告。
2024年6月,盛达期货因网络安全事件被浙江证监局处罚。该公司存在交易系统运维平台用户权限设置不当、修改防火墙策略后测试不充分即上线、机房值班人员未按规定流程启动系统等多项问题。
2024年9月至10月,中国证监会组织的证券期货业网络和信息安全专项检查结果,透露了行业令人担忧的安全状况。据现场检查情况,部分行业机构在网络安全工作责任制落实、网络和重要信息系统管理、应急管理、外包管理、软件正版化等方面存在一定风险隐患。
信息技术治理架构缺陷成为普遍现象。多家机构存在“信息科技治理架构不清晰、职责分工不明确”等问题,重要信息科技事项审议职责履行不到位,甚至出现议事记录遗失的乱象。
此外,应急管理体系形同虚设。监管检查发现,多家经营机构“未按规定每年开展应急演练、应急预案评估更新不足、应急场景覆盖不全、应急演练材料不完整”。
