随着互联网技术的发展,网上证券交易成为重要的交易方式,目前各个证券交易商对网上交易都投入了较大的人力、物力和资金,随之而来带给券商和股民们的交易方式发生了翻天覆地的变化。短期内的大的资本投入丰富了交易方式,给证券交易提供了更多的便利和实惠,但同时也对券商们的网络系统提出了更高的要求。本文节选汪德嘉博士《身份危机》书中网上证券章节,为大家讲解网上证券交易安全性该如何保障?又有那些技术方案来维护保障用户的信息安全?
网上证券交易是指证券公司通过互联网,为股民提供高速、稳定的实时行情和安全可靠及时的委托交易服务。网上证券交易作为一种全新的电子交易的方式,与传统的交易模式相比,具有不受时间地域限制、交互性强、服务范围广、成本低、高效便捷等优点,因此倍受广大证券公司和股民的关注。
随着互联网技术的发展,网上证券交易成为重要的交易方式,网上证券交易取得了快速的发展,成为券商经纪业务发展的热点,也已经成为我国最有发展前景的电子商务领域。目前,中国证监会已经批准首批家证券公司开通运营网上交易业务。传统的网上证券交易系统面临众多安全问题,为了提高交易系统安全性,保护证券商和投资者的利益,中国证监会在网上证券委托暂行管理办法》中明确规定:
“第十七条在互联网上传输的过程中,必须对网上委托的客户信息、交易指令及其他敏感信息进行可靠的加密。”
“第十八条证券公司应采用可靠的技术或管理措施,正确识别网上投资者的身份,防止仿冒客户身份或证券公司身份必须有防止事后否认的技术或措施。”
“第二十条网上委托系统中有关数据传输安全、身份识别等关键技术产品应通过国家权威机构的安全性测评。”
网上证券身份认证需求
网上证券交易所涉及的大量信息和数据都是以电子的形式在Internet上传输的,因此,在网上证券应用中不可避免地存在着由Internet的自由、开放所带来的信息安全隐患:股民机密信息在网上传输时被窃取、有关交易的文件或数据在传输过程中被人篡改、券商无法确认某些股民的身份是否真实,因为可能会出现伪造信息或假冒身份的情况,如恶意插入或删除某些关键的内容、证券交易的参与者抵赖自己所做过的网上交易或其他操作,给他方造成损失。
这些存在的安全问题如何解决和解决的好坏将直接决定资金和交易的安全性,并影响证券公司的形象。由于投资者对网上股票交易的安全性和可靠性还存在一定的疑虑和戒备心理,阻碍了网上证券交易的进一步发展。因此伴随网上证券交易的发展,寻找一个优秀的安全解决方案成为行业领先者的首先要解决的问题。
网上证券交易安全性的实现应该以交易信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益,同时也避免其它用户的非授权访问和破坏为最终目的。具体来说研究的主体主要包括以下几点:
(1)身份认证及访问控制:在网上证券交易过程中,证券系统与用户进行互相认证,以保证交易双方身份的正确。网上交易服务提供商根据用户的身份,对其访问的信息进行控制。
(2)机密性和完整性:保证网上证券交易中涉及的大量个人保密信息在公开网络的传输过程中不被窃取,并保证所传输的交易信息不被中途篡改或通过重复发送进行虚假交易。
(3)交易不可抵赖性:参与网上证券交易的任何一方都无法否认发生的交易,进行抵赖。证券系统无法否认在某个时间某个客户提出了某个交易委托申请,而客户也不能抵赖他曾经提交过的委托。
(4)信息安全存储和审计:由于证券交易数据对安全的敏感性,对交易数据需要安全的存储和审计设计,保证在以后可以进行检查。
同时要充分发挥网上证券交易的优势,在完成以上的安全设计后,还应该保证用户是可以漫游的。即用户在互联网上的任何地方参与网上证券交易活动,都能享受以上的安全保护。
网上证券身份认证解决方案
网上证券信息系统是证券公司的基础建设,是证券业务正常进行的前提条件。目前国内的各大证券公司网络已经建成都已形成比较完善的综合网络系统,因此将网上证券信息系统设计成B/S结构。这样一方面可以兼容以前的各项业务系统,另一方面实现客户端不需要下载安装单独的客户端程序,方便移动办公,增强系统灵活性。系统从结构上包括以下几个模块CA认证模块、客户端模块、身份认证模块、业务系统模块等。
1、身份认证模块设计
身份认证是指计算机及网络系统确认操作者身份的过程。基于的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBkey是一种接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBkey内置的密码算法实现对用户身份的认证。
网上证券信息系统包括行情系统、OA系统、财务系统、交易系统、证券咨询系统等,各个应用系统有不同的安全需求和安全策略,如果用户登录不同系统每次都需要重新验证身份、分配权限,一方面比较繁琐,另一方面,用户名和密码的滥用也带来了密码泄漏和密码遗失等新的问题。在网上证券系统身份认证模块设计中,采用统一的身份认证和权限管理来增强安全性和易用性。
(1)使用基于数字证书的强身份认证机制来认证用户身份,所有的用户均可通过访问统一身份认证服务来完成系统的登录验证过程。身份认证模块对外提供接口服务,提供标准的webserver服务,允许其他应用服务器调用。
(2)业务系统和身份认证服务器之间实现联合身份管理,包括身份联合、名称注册、联合终止以及单点退出等功能。
(3)采用硬件认证模式,密钥都存放在硬件设备中,增强系统安全型。
(4)身份认证模块可以实现简单的单点登录功能,对于网上证券信息系统实现一次登录、网内通用,避免多次登录到多个应用服务器的情况。
2、系统安全性设计
网上证券信息系统统是证券公司的基础建设,是证券业务正常进行的前提条件。安全高效的网络信息系统主要是在解决网络的联通性和可用性的同时,支持网上开展的各种证券业务服务。证券信息系统必须具备安全、可靠、高效、方便等特征,才能满足证券业高质量服务和高安全性的目标要求,其安全需求设计主要包括网络安全设计、证书管理安全设计、身份认证安全设计以及通信安全设计等方面。
(1)网络安全设计:在网上证券信息系统中,使用不同的网络层次结构来保证整体的、动态的网络安全。所有的对应用服务器的访问都必须使用身份认证模式,网络通讯中的安全信息在传输过程中都是使用SSL安全通道加密的。
(2)证书管理安全设计:证书管理系统是证书认证系统的中和信息控制和调度服务系统,它接收用户的各种请求信息,并将请求信息提交给相应的管理系统。证书管理系统是一个逻辑上独立的系统,包括系统的安全管理和安全审计。
(3)密钥管理安全设计:密钥管理模块是整个系统的核心部分。为了保证密钥安全性,使用密码设备硬件产生用户加密密钥信息,系统使用高强度的1024位以上的RSA算法,使用标准的PKCS11接口访问密钥信息,密钥在数据库中以密文形式存放,使用符合国家密码管理局要求的密钥介质存放用户密钥对。
(4)身份认证安全设计:采用口令验证和证书机制进行身份认证,可以有效防范对系统的非法访问和操作。在网上证券信息系统中,外部在线用户与证书发放服务器的连接、证书发放服务器终端与证书管理服务器的连接、管理员的证书管理操作、用户安全管理等操作都需要进行证书认证或口令验证,确认相互间的合法身份,保障通讯和操作的安全。
(5)通讯安全设计:在证券信息系统中,系统核心模块与其他模块间的通信安全必须得到保证,系统除使用SSL安全通信协议外,还将采用硬件加密手段对通信内容及通道进行加密和签名验证。
结语:在网上证券交易领域,如果想达到多种交易、快速交易,安全交易等要求,券商们势必要对整个证券交易网络系统的可用行、稳定性、响应速度以及故障处理等能力加以重视。
身份认证信息核查服务可用于政府机关、金融单位、电信企业、商业流通等多个领域,对于保障金融领域交易安全、电信企业防骗终端和欠费骗费、物流行业防止假司机骗货、用人单位确认员工身份、教育考试领域预防“枪手”代考等产生了积极效果,遏制和打击了利用假身份证进行欺骗和犯罪的行为。身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。一坦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。在接下来的章节中将为大家分享身份认证技术在政企、军事、安防、物流、移动保险等不同行业中的应用,敬请期待!
展开全文
- 腾讯一线 | 2019/2/25 9:28:26
- 移动支付网 | 2018/6/29 9:34:34
- 移动支付网 | 2018/5/23 10:16:40
- 移动支付网 | 2018/5/10 14:19:29
- 移动支付网 | 2018/5/10 11:07:36
- 移动支付网 | 2018/3/26 10:22:43
- 移动支付网 | 2018/3/22 10:18:06
- 移动支付网 | 2018/3/22 9:54:32
- 移动支付网 | 2018/3/22 9:48:42
- 未央网 | 2018/3/22 9:40:31
- 移动支付网 | 2021/11/2 9:33:59
- 移动支付网 | 2021/8/17 15:00:48
- 移动支付网 | 2021/8/13 14:23:06
- 共同社 | 2021/7/5 15:27:51
- 移动支付网 | 2021/6/30 9:31:08