交易中斷近7.5小時！華金期貨信息安全存重大漏洞

　　2025年5月30日，天津證監(jiān)局官網(wǎng)的兩張罰單，讓市場聚焦華金期貨一場長達7小時26分鐘的軟件故障，同時也掀開了其信息安全管理的脆弱面紗。

　　2025年3月10日，華金期貨的交易系統(tǒng)突發(fā)異常?？蛻魝兒芸彀l(fā)現(xiàn)無法通過文華財經(jīng)交易端登錄賬戶。期貨市場瞬息萬變，每一分鐘的交易中斷都意味著巨大的虧損風險。

　　故障持續(xù)了整整7小時26分鐘，直到半日過去才被修復。按照《證券期貨業(yè)網(wǎng)絡(luò)安全事件報告與調(diào)查處理辦法》規(guī)定，該事件已達到一般網(wǎng)絡(luò)安全事件標準。

　　更令人擔憂的是，天津證監(jiān)局事后調(diào)查發(fā)現(xiàn)，華金期貨在應急處置過程中未妥善保護事件現(xiàn)場和相關(guān)證據(jù)，導致始終無法確定本次網(wǎng)絡(luò)安全事件的真實原因。市場人士分析，華金期貨此次事件暴露了其信息安全管理的脆弱性，也反映出期貨行業(yè)在信息技術(shù)與合規(guī)風控方面存在的共性問題。中國證券報記者就此事詢問華金期貨，截至發(fā)稿對方暫無回應。

　　國資期貨近7.5小時宕機　應急機制全面失效

　　2025年5月30日，天津證監(jiān)局官網(wǎng)掛出兩張罰單，直指華金期貨信息安全管理和信息安全事件處置方面的問題。事件源于2025年3月10日發(fā)生的“文華中繼軟件故障”，導致客戶無法通過文華財經(jīng)交易端登錄交易系統(tǒng)。從故障發(fā)生到完全恢復，時間跨度長達7小時26分鐘。

　　在期貨市場中，交易中斷對投資者而言損失巨大。一旦投資者在交易時段無法登錄賬戶，無法及時平倉或建倉，期貨市場的高杠桿特性便會將風險放大數(shù)倍?！敖灰字袛嘁馕吨蛻艨赡苊媾R穿倉風險，尤其是行情劇烈波動時，客戶損失可能很大?！币晃黄谪浌撅L控負責人說。

　　值得注意的是，這一故障持續(xù)時長達7小時26分鐘，令人不禁疑惑：為何故障修復耗時如此之長？一位華東期貨公司IT負責人指出，期貨公司IT團隊普遍面臨人力緊張、技術(shù)儲備不足的困境。

　　“多數(shù)期貨公司通常提供多個交易終端供客戶選擇，IT運維人員需同時維護不同廠商的中繼產(chǎn)品，工作高度依賴外部供應商支持?！彼硎?，很多期貨公司的運維高度依賴文華財經(jīng)等外部廠商，在故障排查、系統(tǒng)調(diào)試中缺乏主導權(quán)，或?qū)е马憫舆t。

　　作為國內(nèi)最早一批設(shè)立的國資系期貨公司，華金期貨注冊資本達10億元，背靠珠海華發(fā)集團全牌照金融平臺。然而，其資金實力并未能為其信息技術(shù)與合規(guī)風控提供有效支撐。

　　“盡管當前眾多期貨公司普遍對核心業(yè)務(wù)系統(tǒng)宕機制定了應急預案并定期演練，但在實際設(shè)備投入和人員隊伍支撐方面仍存短板?！鄙鲜鯥T負責人表示，災備建設(shè)上存在“冷備”方案或災備系統(tǒng)性能達不到主系統(tǒng)容量要求的情況，或?qū)碧幹玫膶嶋H效果產(chǎn)生影響。

　　應急處置釀二次事故  “證據(jù)滅失”導致原因成謎

　　華金期貨公司總裁助理簡政作為分管信息技術(shù)工作的負責人，對此次事件負有直接責任。天津證監(jiān)局對其采取出具警示函的監(jiān)管措施，并將處罰記入證券期貨市場誠信檔案。

　　監(jiān)管調(diào)查揭露了進一步的問題：華金期貨在應急處置過程中未能保護事件現(xiàn)場和相關(guān)證據(jù)，導致事件原因無法查清。這些缺陷違反了《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》第三十九條第一款的規(guī)定。

　　該項條款規(guī)定，核心機構(gòu)和經(jīng)營機構(gòu)應當建立應急處置機制，及時處置網(wǎng)絡(luò)安全事件，盡快恢復信息系統(tǒng)正常運行，保護事件現(xiàn)場和相關(guān)證據(jù)，向中國證監(jiān)會及其派出機構(gòu)進行應急報告，不得瞞報、謊報、遲報、漏報。

　　上述IT負責人分析認為，部分期貨公司在應急資源不足的壓力下，為求業(yè)務(wù)盡快恢復，通常采取對故障設(shè)備或系統(tǒng)進行“重裝系統(tǒng)及應用”的重新初始化操作。這種做法雖能縮短業(yè)務(wù)中斷時間，卻導致故障定位困難，根源難以追溯。這反映出在應急流程設(shè)計中，業(yè)務(wù)快速恢復與關(guān)鍵證據(jù)保全之間存在現(xiàn)實矛盾，亟須對應急資源和流程進行針對性優(yōu)化。

　　證券期貨業(yè)擁有海量客戶、交易和行情數(shù)據(jù)，但“數(shù)據(jù)分級分類管理不足，涉密或敏感數(shù)據(jù)使用審核不規(guī)范”問題突出。西部證券首席信息官黃裕洋的研究表明，證券期貨行業(yè)數(shù)據(jù)安全運營體系建設(shè)方面由于缺乏統(tǒng)一的數(shù)據(jù)安全運營標準和規(guī)范，行業(yè)內(nèi)各經(jīng)營機構(gòu)在數(shù)據(jù)安全運營過程中往往缺乏有效的指導和參考。同時，部分機構(gòu)在數(shù)據(jù)安全運營方面的投入不足，導致數(shù)據(jù)安全風險難以得到有效控制。

　　三年三罰撕開內(nèi)控痼疾  合規(guī)整改淪為空談

　　公開信息顯示，這是華金期貨近年來第三次收到監(jiān)管罰單，其中，公司內(nèi)控問題被反復提及。

　　2022年10月，華金期貨因營業(yè)部工作人員長期未實地履職被處罰。寧波證監(jiān)局網(wǎng)站顯示，華金期貨有限公司寧波和濟街營業(yè)部部分工作人員長期未實地履職，反映出其內(nèi)部控制存在缺陷，違反了《期貨公司監(jiān)督管理辦法》第五十六條的規(guī)定。根據(jù)《期貨公司監(jiān)督管理辦法》第一百零九條的規(guī)定，寧波證監(jiān)局決定對該營業(yè)部采取出具警示函的行政監(jiān)管措施。

　　2021年7月，華金期貨珠海營業(yè)部及其一名員工因相關(guān)違規(guī)被處罰。廣東證監(jiān)局官網(wǎng)顯示，華金期貨珠海營業(yè)部對居間人的展業(yè)行為管理不到位，對居間人協(xié)助客戶互聯(lián)網(wǎng)開戶過程未進行有效管控，反映出其存在內(nèi)部控制缺陷。上述行為違反了《期貨公司監(jiān)督管理辦法》（證監(jiān)會令第155號）第五十六條的規(guī)定。因此根據(jù)《期貨公司監(jiān)督管理辦法》第一百零九條的規(guī)定，廣東證監(jiān)局決定對其采取責令改正的行政監(jiān)管措施。并要求該營業(yè)部應高度重視，完善內(nèi)部控制，健全業(yè)務(wù)流程，強化合規(guī)意識，防范合規(guī)風險。

　　同時，華金期貨珠海營業(yè)部員工于博天因在職期間對歸屬于其名下的個別居間人管理不到位，在居間人協(xié)助客戶互聯(lián)網(wǎng)開戶管理方面未履職盡責被出具警示函。

　　加上本次因交易系統(tǒng)長時間中斷及應急處置不當收到的天津證監(jiān)局罰單，華金期貨在近四年內(nèi)接連因第三方合作管理失效、員工崗位履職不到位、信息技術(shù)應急管理缺失等問題受到處罰。這三次在不同業(yè)務(wù)領(lǐng)域、不同時間節(jié)點的監(jiān)管處罰，凸顯公司在內(nèi)部控制的多環(huán)節(jié)持續(xù)存在漏洞，相關(guān)的整改要求未能有效落實。

　　安全防線頻頻失守　監(jiān)管罰單揭冰山一角

　　華金期貨的技術(shù)安全事件并非孤例。據(jù)不完全統(tǒng)計，2024年以來，監(jiān)管部門已開出數(shù)十張針對期貨公司及其工作人員的罰單，其中技術(shù)安全相關(guān)處罰比例明顯上升。

　　2025年4月，山東證監(jiān)局對江海匯鑫期貨采取責令改正的行政監(jiān)管措施。經(jīng)查，江海匯鑫期貨存在以下問題：一是次席CTP系統(tǒng)交易線路部署存在單點故障風險；二是次席CTP系統(tǒng)未建立備份設(shè)施，無法保障業(yè)務(wù)連續(xù)性；三是發(fā)生網(wǎng)絡(luò)安全事件后未按規(guī)定及時向山東證監(jiān)局報告。

　　2024年6月，盛達期貨因網(wǎng)絡(luò)安全事件被浙江證監(jiān)局處罰。該公司存在交易系統(tǒng)運維平臺用戶權(quán)限設(shè)置不當、修改防火墻策略后測試不充分即上線、機房值班人員未按規(guī)定流程啟動系統(tǒng)等多項問題。

　　2024年9月至10月，中國證監(jiān)會組織的證券期貨業(yè)網(wǎng)絡(luò)和信息安全專項檢查結(jié)果，透露了行業(yè)令人擔憂的安全狀況。據(jù)現(xiàn)場檢查情況，部分行業(yè)機構(gòu)在網(wǎng)絡(luò)安全工作責任制落實、網(wǎng)絡(luò)和重要信息系統(tǒng)管理、應急管理、外包管理、軟件正版化等方面存在一定風險隱患。

　　信息技術(shù)治理架構(gòu)缺陷成為普遍現(xiàn)象。多家機構(gòu)存在“信息科技治理架構(gòu)不清晰、職責分工不明確”等問題，重要信息科技事項審議職責履行不到位，甚至出現(xiàn)議事記錄遺失的亂象。

　　此外，應急管理體系形同虛設(shè)。監(jiān)管檢查發(fā)現(xiàn)，多家經(jīng)營機構(gòu)“未按規(guī)定每年開展應急演練、應急預案評估更新不足、應急場景覆蓋不全、應急演練材料不完整”。