編者按：隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)上證券交易成為重要的交易方式，目前各個證券交易商對網(wǎng)上交易都投入了較大的人力、物力和資金，隨之而來帶給券商和股民們的交易方式發(fā)生了翻天覆地的變化。短期內(nèi)的大的資本投入豐富了交易方式，給證券交易提供了更多的便利和實惠，但同時也對券商們的網(wǎng)絡(luò)系統(tǒng)提出了更高的要求。本文節(jié)選汪德嘉博士《身份危機》書中網(wǎng)上證券章節(jié)，為大家講解網(wǎng)上證券交易安全性該如何保障？又有那些技術(shù)方案來維護保障用戶的信息安全？

網(wǎng)上證券交易是指證券公司通過互聯(lián)網(wǎng)，為股民提供高速、穩(wěn)定的實時行情和安全可靠及時的委托交易服務。網(wǎng)上證券交易作為一種全新的電子交易的方式，與傳統(tǒng)的交易模式相比，具有不受時間地域限制、交互性強、服務范圍廣、成本低、高效便捷等優(yōu)點，因此倍受廣大證券公司和股民的關(guān)注。

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)上證券交易成為重要的交易方式，網(wǎng)上證券交易取得了快速的發(fā)展，成為券商經(jīng)紀業(yè)務發(fā)展的熱點，也已經(jīng)成為我國最有發(fā)展前景的電子商務領(lǐng)域。目前，中國證監(jiān)會已經(jīng)批準首批家證券公司開通運營網(wǎng)上交易業(yè)務。傳統(tǒng)的網(wǎng)上證券交易系統(tǒng)面臨眾多安全問題，為了提高交易系統(tǒng)安全性，保護證券商和投資者的利益，中國證監(jiān)會在網(wǎng)上證券委托暫行管理辦法》中明確規(guī)定：

“第十七條在互聯(lián)網(wǎng)上傳輸?shù)倪^程中，必須對網(wǎng)上委托的客戶信息、交易指令及其他敏感信息進行可靠的加密?！?/span>

“第十八條證券公司應采用可靠的技術(shù)或管理措施，正確識別網(wǎng)上投資者的身份，防止仿冒客戶身份或證券公司身份必須有防止事后否認的技術(shù)或措施?！?/span>

“第二十條網(wǎng)上委托系統(tǒng)中有關(guān)數(shù)據(jù)傳輸安全、身份識別等關(guān)鍵技術(shù)產(chǎn)品應通過國家權(quán)威機構(gòu)的安全性測評。”

網(wǎng)上證券身份認證需求

網(wǎng)上證券交易所涉及的大量信息和數(shù)據(jù)都是以電子的形式在Internet上傳輸?shù)?，因此，在網(wǎng)上證券應用中不可避免地存在著由Internet的自由、開放所帶來的信息安全隱患：股民機密信息在網(wǎng)上傳輸時被竊取、有關(guān)交易的文件或數(shù)據(jù)在傳輸過程中被人篡改、券商無法確認某些股民的身份是否真實，因為可能會出現(xiàn)偽造信息或假冒身份的情況，如惡意插入或刪除某些關(guān)鍵的內(nèi)容、證券交易的參與者抵賴自己所做過的網(wǎng)上交易或其他操作，給他方造成損失。

這些存在的安全問題如何解決和解決的好壞將直接決定資金和交易的安全性，并影響證券公司的形象。由于投資者對網(wǎng)上股票交易的安全性和可靠性還存在一定的疑慮和戒備心理，阻礙了網(wǎng)上證券交易的進一步發(fā)展。因此伴隨網(wǎng)上證券交易的發(fā)展，尋找一個優(yōu)秀的安全解決方案成為行業(yè)領(lǐng)先者的首先要解決的問題。

網(wǎng)上證券交易安全性的實現(xiàn)應該以交易信息在網(wǎng)絡(luò)上傳輸時受到機密性、完整性和真實性的保護，避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段侵犯用戶的利益，同時也避免其它用戶的非授權(quán)訪問和破壞為最終目的。具體來說研究的主體主要包括以下幾點：

（1）身份認證及訪問控制：在網(wǎng)上證券交易過程中，證券系統(tǒng)與用戶進行互相認證，以保證交易雙方身份的正確。網(wǎng)上交易服務提供商根據(jù)用戶的身份，對其訪問的信息進行控制。

（2）機密性和完整性：保證網(wǎng)上證券交易中涉及的大量個人保密信息在公開網(wǎng)絡(luò)的傳輸過程中不被竊取，并保證所傳輸?shù)慕灰仔畔⒉槐恢型敬鄹幕蛲ㄟ^重復發(fā)送進行虛假交易。

（3）交易不可抵賴性：參與網(wǎng)上證券交易的任何一方都無法否認發(fā)生的交易，進行抵賴。證券系統(tǒng)無法否認在某個時間某個客戶提出了某個交易委托申請，而客戶也不能抵賴他曾經(jīng)提交過的委托。

（4）信息安全存儲和審計：由于證券交易數(shù)據(jù)對安全的敏感性，對交易數(shù)據(jù)需要安全的存儲和審計設(shè)計，保證在以后可以進行檢查。

同時要充分發(fā)揮網(wǎng)上證券交易的優(yōu)勢，在完成以上的安全設(shè)計后，還應該保證用戶是可以漫游的。即用戶在互聯(lián)網(wǎng)上的任何地方參與網(wǎng)上證券交易活動，都能享受以上的安全保護。

網(wǎng)上證券身份認證解決方案

網(wǎng)上證券信息系統(tǒng)是證券公司的基礎(chǔ)建設(shè)，是證券業(yè)務正常進行的前提條件。目前國內(nèi)的各大證券公司網(wǎng)絡(luò)已經(jīng)建成都已形成比較完善的綜合網(wǎng)絡(luò)系統(tǒng)，因此將網(wǎng)上證券信息系統(tǒng)設(shè)計成B/S結(jié)構(gòu)。這樣一方面可以兼容以前的各項業(yè)務系統(tǒng)，另一方面實現(xiàn)客戶端不需要下載安裝單獨的客戶端程序，方便移動辦公，增強系統(tǒng)靈活性。系統(tǒng)從結(jié)構(gòu)上包括以下幾個模塊CA認證模塊、客戶端模塊、身份認證模塊、業(yè)務系統(tǒng)模塊等。

1、身份認證模塊設(shè)計

身份認證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程。基于的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBkey是一種接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBkey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。

網(wǎng)上證券信息系統(tǒng)包括行情系統(tǒng)、OA系統(tǒng)、財務系統(tǒng)、交易系統(tǒng)、證券咨詢系統(tǒng)等，各個應用系統(tǒng)有不同的安全需求和安全策略，如果用戶登錄不同系統(tǒng)每次都需要重新驗證身份、分配權(quán)限，一方面比較繁瑣，另一方面，用戶名和密碼的濫用也帶來了密碼泄漏和密碼遺失等新的問題。在網(wǎng)上證券系統(tǒng)身份認證模塊設(shè)計中，采用統(tǒng)一的身份認證和權(quán)限管理來增強安全性和易用性。

（1）使用基于數(shù)字證書的強身份認證機制來認證用戶身份，所有的用戶均可通過訪問統(tǒng)一身份認證服務來完成系統(tǒng)的登錄驗證過程。身份認證模塊對外提供接口服務，提供標準的webserver服務，允許其他應用服務器調(diào)用。

（2）業(yè)務系統(tǒng)和身份認證服務器之間實現(xiàn)聯(lián)合身份管理，包括身份聯(lián)合、名稱注冊、聯(lián)合終止以及單點退出等功能。

（3）采用硬件認證模式，密鑰都存放在硬件設(shè)備中，增強系統(tǒng)安全型。

（4）身份認證模塊可以實現(xiàn)簡單的單點登錄功能，對于網(wǎng)上證券信息系統(tǒng)實現(xiàn)一次登錄、網(wǎng)內(nèi)通用，避免多次登錄到多個應用服務器的情況。

2、系統(tǒng)安全性設(shè)計

網(wǎng)上證券信息系統(tǒng)統(tǒng)是證券公司的基礎(chǔ)建設(shè)，是證券業(yè)務正常進行的前提條件。安全高效的網(wǎng)絡(luò)信息系統(tǒng)主要是在解決網(wǎng)絡(luò)的聯(lián)通性和可用性的同時，支持網(wǎng)上開展的各種證券業(yè)務服務。證券信息系統(tǒng)必須具備安全、可靠、高效、方便等特征，才能滿足證券業(yè)高質(zhì)量服務和高安全性的目標要求，其安全需求設(shè)計主要包括網(wǎng)絡(luò)安全設(shè)計、證書管理安全設(shè)計、身份認證安全設(shè)計以及通信安全設(shè)計等方面。

（1）網(wǎng)絡(luò)安全設(shè)計：在網(wǎng)上證券信息系統(tǒng)中，使用不同的網(wǎng)絡(luò)層次結(jié)構(gòu)來保證整體的、動態(tài)的網(wǎng)絡(luò)安全。所有的對應用服務器的訪問都必須使用身份認證模式，網(wǎng)絡(luò)通訊中的安全信息在傳輸過程中都是使用SSL安全通道加密的。

（2）證書管理安全設(shè)計：證書管理系統(tǒng)是證書認證系統(tǒng)的中和信息控制和調(diào)度服務系統(tǒng)，它接收用戶的各種請求信息，并將請求信息提交給相應的管理系統(tǒng)。證書管理系統(tǒng)是一個邏輯上獨立的系統(tǒng)，包括系統(tǒng)的安全管理和安全審計。

（3）密鑰管理安全設(shè)計：密鑰管理模塊是整個系統(tǒng)的核心部分。為了保證密鑰安全性，使用密碼設(shè)備硬件產(chǎn)生用戶加密密鑰信息，系統(tǒng)使用高強度的1024位以上的RSA算法，使用標準的PKCS11接口訪問密鑰信息，密鑰在數(shù)據(jù)庫中以密文形式存放，使用符合國家密碼管理局要求的密鑰介質(zhì)存放用戶密鑰對。

（4）身份認證安全設(shè)計：采用口令驗證和證書機制進行身份認證，可以有效防范對系統(tǒng)的非法訪問和操作。在網(wǎng)上證券信息系統(tǒng)中，外部在線用戶與證書發(fā)放服務器的連接、證書發(fā)放服務器終端與證書管理服務器的連接、管理員的證書管理操作、用戶安全管理等操作都需要進行證書認證或口令驗證，確認相互間的合法身份，保障通訊和操作的安全。

（5）通訊安全設(shè)計：在證券信息系統(tǒng)中，系統(tǒng)核心模塊與其他模塊間的通信安全必須得到保證，系統(tǒng)除使用SSL安全通信協(xié)議外，還將采用硬件加密手段對通信內(nèi)容及通道進行加密和簽名驗證。

結(jié)束：在網(wǎng)上證券交易領(lǐng)域，如果想達到多種交易、快速交易，安全交易等要求，券商們勢必要對整個證券交易網(wǎng)絡(luò)系統(tǒng)的可用行、穩(wěn)定性、響應速度以及故障處理等能力加以重視。

身份認證信息核查服務可用于政府機關(guān)、金融單位、電信企業(yè)、商業(yè)流通等多個領(lǐng)域，對于保障金融領(lǐng)域交易安全、電信企業(yè)防騙終端和欠費騙費、物流行業(yè)防止假司機騙貨、用人單位確認員工身份、教育考試領(lǐng)域預防“槍手”代考等產(chǎn)生了積極效果，遏制和打擊了利用假身份證進行欺騙和犯罪的行為。身份認證在安全系統(tǒng)中的地位極其重要，是最基本的安全服務，其它的安全服務都要依賴于它。一坦身份認證系統(tǒng)被攻破，那么系統(tǒng)的所有安全措施將形同虛設(shè)。在接下來的章節(jié)中將為大家分享身份認證技術(shù)在政企、軍事、安防、物流、移動保險等不同行業(yè)中的應用，敬請期待！