首页>解决方案>证券应用信息安全解决方案

证券应用信息安全解决方案

我国的证券信息系统是全球最先进的系统,股民可以在证券部的电脑上实现实时股票买卖交易,也可以联上互联网随时随地在线实现股票买卖交易。但是,由于证券交易中涉及到大量资金,也不免引起了一些犯罪分子利用网络安全和信息安全漏洞来盗窃股民帐号和密码来从事犯罪活动。为了防范此类犯罪,仅仅提醒股民注意保护好密码是不够的,因为现在的技术手段完全可以不在股民使用的电脑旁边就可以窃获股民的帐号和密码,而不管是使用证券部内部局域网和外部的互联网 ( 即使是使用仅个人能使用的专用电脑 ) 。

中国证监会颁布的《网上证券委托暂行管理办法》规定: " 在互联网上传输的过程中,必须对网上委托的客户信息、交易指令及其他敏感信息进行可靠的加密 " ; " 证券公司应采用可靠的技术或管理措施,正确识别网上投资者的身份,防止仿冒客户身份或证券公司身份;必须有防止事后否认的技术或措施 " 。可以看出证券交易信息安全问题的严重性,其实不仅仅是通过互联网的网上证券,在证券部内部局域网的公用电脑和专用电脑上一样存在信息安全问题。主要问题总结如下:

1、 机密性问题 :股民使用证券交易客户端电脑输入股票交易帐号和交易密码等机密信息后,客户端电脑就把此机密数据通过网络 ( 局域网和互联网 ) 传到委托交易服务器,这个传输过程中要经过许多网络设备和传输链路 ( 特别是有些不安全的宽带接入方式使得整个办公楼或居民小区的所有用户实际上是在一个共享的局域网上 ) ,如果此类机密信息不加密传输,则非常容易和极有可能在传输过程中被非法截取而获得股民的股票交易帐号和交易密码,这就可以解释为何用户没有“泄露”密码,但股票交易帐户上的钱还是不翼而飞了。

2、 完整性问题: 如果在客户端电脑到委托交易服务器之间的交易信息传输不加密的话,则非常容易和极有可能在传输过程中被非法恶意篡改,把下单买变成了下单卖,把买 100 股变成了买 10000 股。

3、 真实身份认证问题: 涉及到两个真实身份的认证问题,一个是股民的真实身份,另一个是网上证券网站的真实身份。由于非法用户可以伪造、假冒网上证券交易网站和股民的身份,因此股民无法知道他们所登录的网站是否是可信的真实的网上证券交易网站,网上证券交易网站也无法验证登录到网站上的股民是否就是合法身份,仅凭“用户名+口令”的传统身份认证方式根本就没有任何安全性。而有些券商声称“对由于用户泄露口令而导致损失不付责任”的说法是不负责任的做法,建议股民不要选择有此类声明的券商。券商应该采取切实可行的技术手段来保证即使用户口令被泄露 ( 更何况犯罪分子可以有许多途径得到用户的口令,而不是用户的过错 ) 非法用户也无法通过真实身份认证,同时也要采取技术措施让用户非常容易识别是真正的网上证券网站还是假冒的网上证券网站,仅仅提醒用户记住复杂的英文域名和网址是不够的,因为假冒的网上证券网站的域名往往与真实网上证券网站只差 1 个字母。

4、 交易的不可否认性问题: 股民有可能会否认其证券交易行为,这里有许多原因,可能是股民本身的原因,也可能是券商的原因,每笔交易一定要有可靠的签名记录用于纠纷仲裁的法律依据。

针对以上安全隐患和可能出现的问题, WoSign 推出了基于 PKI 技术外包服务的证券应用信息安全解决方案,完全解决解决了以上 4 大问题:

( 1 ) 为交易服务器 (Web 服务和其他服务器 ) 颁发全球通用的支持所有浏览器的支持强制128位加密的SSL证书,确保用户在任何地方都可以使用任何浏览器从事在线交易,支持从浏览器到服务器之间机密信息的高强度加密传输,从而有效地防止了股票交易帐号、交易密码和交易数据的机密性和完整性。

( 请广大股民铭记:从事网上证券交易时一定要看看浏览器右下方是否有“安全锁 标志”,如果没有,请一定不要在网上买卖和查询,因为您输入的所有交易信息和帐号信息都极有可能和非常容易被非法窃取和非法篡改! )

( 2 ) 券商应该为每个股民颁发全球通用 ( 在任何地方,即使在国外也可以使用 ) 的单位数字证书用于登录股票交易网站的真实身份认证和用于每个交易的数字签名,从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。为了杜绝公用交易电脑和专用交易电脑的间谍软件或其他可能的手段非法使用数字证书问题, 强烈推荐股民使用 USB 移动数字证书来确保是真实的您在从事网上交易 ( 需要登录和交易时就把移动数字证书插入电脑的 USB 口,交易完毕就拔下 ) 。

以上解决方案涉及到的产品有:服务器 SSL 证书、客户端数字证书、网站身份认证,请浏览以下页面了解产品详情,我们不仅提供产品,而且免费提供开发和应用指导:

服务器 SSL 证书: https://www.wosign.com/OVSSL/OV_ZhenSSL_Pro.htm

企业CA托管解决方案:https://www.wosign.com/Products/EPKI_Organizations.htm

客户端数字证书:http://www.wosign.com/Products/clientcert.htm

强身份认证技术选型指南:http://www.wosign.com/solution/Strong_authentication_solution.htm

使用客户端数字证书实现强身份认证登录演示:https://www.wosign.com/LoginDemo/

如果您就是券商的信息主管,并对我们的解决方案感兴趣,请 联系我们 ,我们会把更详细的方案发给您;如果您是股民,请注意以上的安全提示,并请督促您的券商采取有效的安全防范措施,只有股民和券商齐努力才能确保证券交易的信息安全,我们愿意为此做出应有的贡献。