隱私信息「裸奔」論網上證券交易身份認證的重要性
這是德嘉說第032期文章
編者按:隨著互聯網技術的發展,網上證券交易成為重要的交易方式,目前各個證券交易商對網上交易都投入了較大的人力、物力和資金,隨之而來帶給券商和股民們的交易方式發生了翻天覆地的變化。短期內的大的資本投入豐富了交易方式,給證券交易提供了更多的便利和實惠,但同時也對券商們的網路系統提出了更高的要求。本文節選汪德嘉博士《身份危機》書中網上證券章節,為大家講解網上證券交易安全性該如何保障?又有那些技術方案來維護保障用戶的信息安全?
網上證券交易是指證券公司通過互聯網,為股民提供高速、穩定的實時行情和安全可靠及時的委託交易服務。網上證券交易作為一種全新的電子交易的方式,與傳統的交易模式相比,具有不受時間地域限制、交互性強、服務範圍廣、成本低、高效便捷等優點,因此倍受廣大證券公司和股民的關注。
隨著互聯網技術的發展,網上證券交易成為重要的交易方式,網上證券交易取得了快速的發展,成為券商經紀業務發展的熱點,也已經成為我國最有發展前景的電子商務領域。目前,中國證監會已經批准首批家證券公司開通運營網上交易業務。傳統的網上證券交易系統面臨眾多安全問題,為了提高交易系統安全性,保護證券商和投資者的利益,中國證監會在網上證券委託暫行管理辦法》中明確規定:
「第十七條在互聯網上傳輸的過程中,必須對網上委託的客戶信息、交易指令及其他敏感信息進行可靠的加密。」
「第十八條證券公司應採用可靠的技術或管理措施,正確識別網上投資者的身份,防止仿冒客戶身份或證券公司身份必須有防止事後否認的技術或措施。」
「第二十條網上委託系統中有關數據傳輸安全、身份識別等關鍵技術產品應通過國家權威機構的安全性測評。」
網上證券身份認證需求
網上證券交易所涉及的大量信息和數據都是以電子的形式在Internet上傳輸的,因此,在網上證券應用中不可避免地存在著由Internet的自由、開放所帶來的信息安全隱患:股民機密信息在網上傳輸時被竊取、有關交易的文件或數據在傳輸過程中被人篡改、券商無法確認某些股民的身份是否真實,因為可能會出現偽造信息或假冒身份的情況,如惡意插入或刪除某些關鍵的內容、證券交易的參與者抵賴自己所做過的網上交易或其他操作,給他方造成損失。
這些存在的安全問題如何解決和解決的好壞將直接決定資金和交易的安全性,並影響證券公司的形象。由於投資者對網上股票交易的安全性和可靠性還存在一定的疑慮和戒備心理,阻礙了網上證券交易的進一步發展。因此伴隨網上證券交易的發展,尋找一個優秀的安全解決方案成為行業領先者的首先要解決的問題。
網上證券交易安全性的實現應該以交易信息在網路上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益,同時也避免其它用戶的非授權訪問和破壞為最終目的。具體來說研究的主體主要包括以下幾點:
身份認證及訪問控制:
在網上證券交易過程中,證券系統與用戶進行互相認證,以保證交易雙方身份的正確。網上交易服務提供商根據用戶的身份,對其訪問的信息進行控制。
機密性和完整性:
保證網上證券交易中涉及的大量個人保密信息在公開網路的傳輸過程中不被竊取,並保證所傳輸的交易信息不被中途篡改或通過重複發送進行虛假交易。
交易不可抵賴性:
參與網上證券交易的任何一方都無法否認發生的交易,進行抵賴。證券系統無法否認在某個時間某個客戶提出了某個交易委託申請,而客戶也不能抵賴他曾經提交過的委託。
信息安全存儲和審計:
由於證券交易數據對安全的敏感性,對交易數據需要安全的存儲和審計設計,保證在以後可以進行檢查。同時要充分發揮網上證券交易的優勢,在完成以上的安全設計後,還應該保證用戶是可以漫遊的。即用戶在互聯網上的任何地方參與網上證券交易活動,都能享受以上的安全保護。
網上證券身份認證解決方案
網上證券信息系統是證券公司的基礎建設,是證券業務正常進行的前提條件。目前國內的各大證券公司網路已經建成都已形成比較完善的綜合網路系統,因此將網上證券信息系統設計成B/S結構。這樣一方面可以兼容以前的各項業務系統,另一方面實現客戶端不需要下載安裝單獨的客戶端程序,方便移動辦公,增強系統靈活性。系統從結構上包括以下幾個模塊CA認證模塊、客戶端模塊、身份認證模塊、業務系統模塊等。
1
身份認證模塊設計
身份認證是指計算機及網路系統確認操作者身份的過程。基於的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它採用軟硬體相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBkey是一種介面的硬體設備,它內置單片機或智能卡晶元,可以存儲用戶的密鑰或數字證書,利用USBkey內置的密碼演算法實現對用戶身份的認證。
網上證券信息系統包括行情系統、OA系統、財務系統、交易系統、證券諮詢系統等,各個應用系統有不同的安全需求和安全策略,如果用戶登錄不同系統每次都需要重新驗證身份、分配許可權,一方面比較繁瑣,另一方面,用戶名和密碼的濫用也帶來了密碼泄漏和密碼遺失等新的問題。在網上證券系統身份認證模塊設計中,採用統一的身份認證和許可權管理來增強安全性和易用性。
(1)使用基於數字證書的強身份認證機制來認證用戶身份,所有的用戶均可通過訪問統一身份認證服務來完成系統的登錄驗證過程。身份認證模塊對外提供介面服務,提供標準的webserver服務,允許其他應用伺服器調用。
(2)業務系統和身份認證伺服器之間實現聯合身份管理,包括身份聯合、名稱註冊、聯合終止以及單點退出等功能。
(3)採用硬體認證模式,密鑰都存放在硬體設備中,增強系統安全型。
(4)身份認證模塊可以實現簡單的單點登錄功能,對於網上證券信息系統實現一次登錄、網內通用,避免多次登錄到多個應用伺服器的情況。
2
系統安全性設計
網上證券信息系統統是證券公司的基礎建設,是證券業務正常進行的前提條件。安全高效的網路信息系統主要是在解決網路的聯通性和可用性的同時,支持網上開展的各種證券業務服務。證券信息系統必須具備安全、可靠、高效、方便等特徵,才能滿足證券業高質量服務和高安全性的目標要求,其安全需求設計主要包括網路安全設計、證書管理安全設計、身份認證安全設計以及通信安全設計等方面。
網路安全設計:
在網上證券信息系統中,使用不同的網路層次結構來保證整體的、動態的網路安全。所有的對應用伺服器的訪問都必須使用身份認證模式,網路通訊中的安全信息在傳輸過程中都是使用SSL安全通道加密的。
證書管理安全設計:
證書管理系統是證書認證系統的中和信息控制和調度服務系統,它接收用戶的各種請求信息,並將請求信息提交給相應的管理系統。證書管理系統是一個邏輯上獨立的系統,包括系統的安全管理和安全審計。
密鑰管理安全設計:
密鑰管理模塊是整個系統的核心部分。為了保證密鑰安全性,使用密碼設備硬體產生用戶加密密鑰信息,系統使用高強度的1024位以上的RSA演算法,使用標準的PKCS11介面訪問密鑰信息,密鑰在資料庫中以密文形式存放,使用符合國家密碼管理局要求的密鑰介質存放用戶密鑰對。
身份認證安全設計:
採用口令驗證和證書機制進行身份認證,可以有效防範對系統的非法訪問和操作。在網上證券信息系統中,外部在線用戶與證書發放伺服器的連接、證書發放伺服器終端與證書管理伺服器的連接、管理員的證書管理操作、用戶安全管理等操作都需要進行證書認證或口令驗證,確認相互間的合法身份,保障通訊和操作的安全。
通訊安全設計:
在證券信息系統中,系統核心模塊與其他模塊間的通信安全必須得到保證,系統除使用SSL安全通信協議外,還將採用硬體加密手段對通信內容及通道進行加密和簽名驗證。
結束:在網上證券交易領域,如果想達到多種交易、快速交易,安全交易等要求,券商們勢必要對整個證券交易網路系統的可用行、穩定性、響應速度以及故障處理等能力加以重視。
身份認證信息核查服務可用於政府機關、金融單位、電信企業、商業流通等多個領域,對於保障金融領域交易安全、電信企業防騙終端和欠費騙費、物流行業防止假司機騙貨、用人單位確認員工身份、教育考試領域預防「槍手」代考等產生了積極效果,遏制和打擊了利用假身份證進行欺騙和犯罪的行為。身份認證在安全系統中的地位極其重要,是最基本的安全服務,其它的安全服務都要依賴於它。一坦身份認證系統被攻破,那麼系統的所有安全措施將形同虛設。在接下來的章節中將為大家分享身份認證技術在政企、軍事、安防、物流、移動保險等不同行業中的應用,敬請期待!
the end
TAG:德嘉說 |