網上基金銷售信息系統服務端應能向客戶提供可證明服務端自身身份的信息,如提供預留驗證信息服務,在客戶登錄時向客戶顯示預留的驗證信息, 以幫助客戶識別仿冒的網上基金信息系統,防止不法分子利用仿冒的網上基金信息系統進行詐欺活動或盜取用戶賬號、口令等信息。
網上基金銷售信息系統服務端應能夠抵禦連續猜測,防止攻擊者通過對合法賬戶進行大規模非法登錄請求,導致大量用戶賬戶被異常鎖定,正常用戶無法登錄。
網上基金銷售信息系統服務端應對異常情況進行監控,並具有相應報警功能。網上基金銷售信息系統服務端對數據包被篡改、異常重發等情況需具有應對能力。網上基金銷售信息系統服務端應能在指定的閒置操作時間限制到期後,自動終止用戶對系統的訪問權。
網上基金銷售信息系統服務端應能產生、記錄並集中存儲必要的日誌信息,日誌信息應至少包含能識別服務請求方身份的內容,如,登錄終端的IP位址、MAC地址、手機號碼和終端特徵碼等,並確保數據的可審計性,滿足監管部門現場檢查要求及司法機構調查取證的要求。網上基金銷售信息系統服務端應能夠有效禁止系統技術錯誤信息,不將系統產生的錯誤信息直接反饋給客戶端。網上基金銷售信息系統服務端應能夠提供系統運行狀況信息(如活動狀態、並發線上客戶數目、並發會話數目、執行緒數目、佇列長度等)、錯誤信息、安全警告等。
