2021-4-10 | 证券交易论文
随着网络技术的发展,人们的生活发生了翻天覆地的变化,证券交易的形式也随之发生了改变。当今社会,网络交易已成为其最主要的交易模式。网络交易有着方便、快捷、实时性强、无须等候等优点,然而,危及网上证券交易安全的病毒、木马、钓鱼、窃取、篡改等攻击手段层出不穷。
大部分网上证券交易用户的防范意识不高,对于可能盗取用户口令的攻击手段没有任何防范能力,严重影响了整个证券交易体系的安全。在交易当中,一旦网络安全问题发生,轻则造成个人的直接经济损失,重则对行业造成毁灭性打击,甚至还会对整个社会秩序产生连锁的负面影响。因此,网络证券交易的安全性一直以来都是人们高度关注的问题。
为了保障网络证券交易的安全,科研工作者们针对这一问题展开了大量研究,获得了卓有成效的进展。迄今为止,在密码保护、身份认证、日志审计等各个方面都已形成了成熟的技术和标准;同时,也能够见到一些安全保障系统范例,例如:辽宁证券网上交易系统[1]、基于PKI技术的网上证券信息系统[2]、兴安证券网上交易系统[3]等等。然而,我们综合比较这些解决方案后发现:这些系统或多或少都存在一些不足。
这些系统或者只针对网络交易安全的某一个方面使用了某一种核心技术;或者虽然涉及到了多个保护环节,但防护力度较为分散;或者系统的扩展性不强,难以根据实际需要进行更新和改进。
证券交易行业需要的是能够保障交易安全并且具有商业价值的完善系统。
针对这一需求,我们开发了这套“基于面向服务架构(SOA)的网络证券交易安全系统”。
本系统主要有以下四大优势:在技术上,我们使用了多种先进成果相辅相成的方法,多角度全方位地保障网络交易的各个方面;在功能上,根据保护内容的不同,将系统分为客户防御、身份认证和日志审计三个主要部分,层次清晰合理;在性能指标上,我们的系统完全能够满足商业环境中大量数据并发情况下的时效性和稳定性;在系统构架上,我们根据面向服务构架(SOA)的要求,设计出了一套各模块单元之间耦合度低、便于升级和维护的系统,系统中的三个主要部分都可以作为独立的部件进行技术更新或移植到其他平台,具有较强的实用价值和商业价值。
1背景
1.1网络证券交易的安全
网络证券交易作为一种“网络交易”形式,它的安全问题与其他类型网络交易相比,有许多相似性,但也具有自身鲜明的特点。
总体来说,包括了以下几个基本的安全问题[4]:
1)保证证券交易系统运行的安全,即保证证券交易系统在信息处理和传输时的安全。这一问题主要侧重于保证系统正常稳定地运行,避免因为系统的崩溃或损坏而对系统内存贮、处理和传输的信息造成破坏和损失,同时要避免因故障而引起的信息泄露。
2)保证证券交易信息系统的安全。这包括用户身份认证和授权,用户存取权限的控制,交易行为的可追溯和抗抵抗,资金的异常阻止,二次鉴别,计算机病毒防治和数据传输加密等等。
3)保证证券交易内容的安全。这主要侧重于保证交易信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为,本质上是保护用户的利益和隐私。
1.2保障网络交易安全的对策
针对网络证券交易安全问题,一个能够保障安全并投入商业使用的系统,应具有保密性、正确性和完整性、身份的确定性、不可抵赖性四个基本特点。为满足这些特点,目前系统一般采取如下几种对策[5]:
1)安装防火墙,防止黑客入侵及攻击;
2)安装防病毒软件;
3)采用身份认证和数字签名支持第三方CA认证体系,确保网上委托身份识别的安全性;
4)使用128位强加密算法和数字签名,确保委托数据的安全,防止数据在传输过程中被截获修改;
5)网上委托站点和券商交易系统相互独立,有明确的接口,访问券商交易系统的接口转换程序由券商编制,源代码由券商保管;
6)在Internet与证券公司网络的网关上采用并口隔离技术。并口通信使用的是专用协议,而不是通用的TCP/IP协议,其优越性在于既能完成正常数据交换功能,又能非常有效地隔离一切来自Internet上的对证券公司网络的攻击;
7)所有与委托有关的程序全部在券商的营业场所内运行,电信局方面只运行与行情有关的程序。
8)交易数据处理的可监控和防抵赖。
9)行情主站和委托主站自动互为备份,确保在系统和线路出现故障或大行情突然来临时,不会因并发量过大而导致通道堵塞,不影响客户的交易。
在重点分析了以上几种对策的安全性、可行性和适用性之后,我们决定同时采用上述1、2、3、4、8方案。这些方法不仅代表了计算机网络安全方面的先进技术,同时也适于系统的实现和投入商用;为了能使整体功能进一步强化,除上述方法之外,我们还增加了反逆向分析技术、拥有自主产权的SSL加密技术、基于数据挖掘的监控预警等多种技术手段,将系统的功能划分为“防盗取口令”、“防非法登录”、“预警与日志审计”三个清晰的层面,构建起可靠的“三重防护”模式;除此之外,针对用户的习惯和操作环境特点,在保障安全级别不降低的前提下,我们将一些安全策略的选择权交给用户,实现了系统的灵活性,这也是我们的一大创新。
1.3面向服务体系构架(SOA)