证券行业中的应用

《证券行业中的应用》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

版本号：Version1.0.0日期：2001年11月天威诚信电子商务服务有限公司iTruschinaCo.,Ltd编号：【销】SR01091420301安信通在证券行业的应用5.1-9,,services,andmakethecitymoreattractive,strengtheningpublictransportinvestment,establishedasthebackboneoftheurbanrailtransitmulti-level,multi-functionalpublictransportsystem,thusprotectingtheregionalpositionandachieve 安信通在证券行业中的应用第7页共8页1、序言随着Internet技术的不断发展，电子商务渗透到了各个领域。许多企业都已经将应用的着眼点放到互联网上，以增加更多的商机。作为无需配送的电子商务的分支——证券业网上交易系统，从最近两年开始已经出现迅猛发展的势头。从证券行业的发展前景来看，在未来的几年时间内，中国的股市依然是中小散户的汪洋大海。由于专业人才的匮乏，市场在短期内也无法产生足够的间接投资工具，如基金或客户经纪人等让股民选择。因此，如何依靠有限的专业人力资源去尽量满足投资者的需要，是证券经纪业务的一大难题。而电子商务正是解决这一难题的最好出路。因为证券电子商务采用的信息网络与商业智能技术不仅能够吸引比以前多得多的投资者，而且还可以极大地提高对客户的管理与服务水平，其虚拟性可消灭时间与空间对服务的限制，无论何时何地均可向客户提供同样质量的服务；先进的电子技术手段还能让客户以它最能接受的任何通讯方式去自动获取投资服务。进入2000年以后，特别是中国证监会颁发《网上证券委托暂行管理办法》后，国内大中型券商对电子商务的认识有了很大的提高，纷纷在现有网站资源的整合方面加大投资力度，目前众多证券公司均表示将大力发展证券电子商务。2、发展网上证券业务的安全需求众所周知，证券电子商务的核心和关键问题是网上交易系统的安全性，其主要包括证券交易系统的安全性和信息发布系统的安全性两方面。证券交易的过程需要考虑的安全问题主要包括：l数据保密性在证券交易的过程中需要传递的数据信息主要包括客户的个人信息（如：股东帐号、交易密码）和交易信息。如果这些私有信息以明文的方式传输，有可能被非授权的第三方窃取，而导致信息泄漏。l数据完整性北京天威诚信电子商务服务有限公司2001年11月iTrusChinaCo.,Ltd 安信通在证券行业中的应用第7页共8页证券交易的数据是不可以被修改的。通过Internet传输的交易信息有可能在客户不知不觉的情况下被篡改，这样就会给客户或券商造成无法弥补的损失。因此，网上交易的信息要能做到确保其完整性，以保障交易的严肃和公正。l身份认证网上交易的股民与证券部之间相隔千里，要使交易成功，首先要能确认对方的身份。对于券商要考虑客户端不能是骗子，而股民也会担心网上券商是不是一个欺诈型的券商。因此，方便而可靠地确认对方身份是交易的前提。l不可抵赖性由于行情的千变万化，交易一旦达成是不能被抵赖的，否则，必然会损害一方的利益。例如买进的股票，买入时价格较低，但成交以后，股价下跌了，如股民否认曾下过单的事实，则券商可能会赔偿损失。因此，网上交易通信过程的各个环节都必须是不可否认的。信息发布系统需要考虑的安全问题除上述内容外，还包括：l权限控制在信息发布系统中，不是所有信息对所有客户都是公开的。因此，如何防止访问者进行超出权限的操作（例如：如何避免普通用户访问到会员的私有信息）等都是应该重视的问题。l交易的实时性由于证券交易中，时间是一个非常重要的因素，可能股民会因为几秒钟的时间差导致了上万、上十万元的损失，因此，在证券交易系统中，必须要求系统的实时响应，保证网上交易在很短时间内得到响应。l交易时间确定网上股票交易具有自身的时间特点，股民在网上发出的具体时间直接关系到股们的切身利益，因为不同股票的买卖价格是随着时间而波动的，股票在不同时间的买卖价格是不同的，因此，我们必须保证一个标准时间来维护整个网上股票交易的权威性，来最大限度保证股民、券商的合法利益，一旦由于交易时间引起了纠纷，则通过权威的认证中心根据当时保存的交易时间记录，即时间戳来提供仲裁依据。证券行业一般采取的安全措施都是对数据信息进行一定程度的加密，这种单纯的加密方式只能保证信息不被泄漏，而不能解决上述的其它问题。北京天威诚信电子商务服务有限公司2001年11月iTrusChinaCo.,Ltd 安信通在证券行业中的应用第7页共8页由此可见，为了保证证券应用系统的安全性，必须引入CA认证技术，为网上各参与方发放数字证书。中国证券行业可以通过引入CA（CertificateAuthority，认证中心）认证体系，为网络应用提供身份认证、信息加密、数字签名、身份控制等多种服务，，来解决上述的安全问题。1、安信通PKI解决方案3．1认证的层次结构由于证券行业的众多券商主要精力都集中在证券业务，为广大股民提供更多更方便、更安全的网上服务，同时也希望在整个证券市场竞争中立于不败之地，也希望通过这些网上业务吸引更多的客户，树立完好的公司形象。鉴于券商的上述种种考虑，我们针对证券行业的CA认证体系结构图如上。由于券商的业务特点就决定了券商们不可能从社会上招收很多的专业PKI技术人员来维护一套建设在券商内部的PKI/CA系统，他们将CA服务委托PKI业界专业的天威诚信安全数据中心内，通过天威诚信的专业维护队伍来提供专业、高质的服务。在天威诚信的CTN(ChinaTrust北京天威诚信电子商务服务有限公司2001年11月iTrusChinaCo.,Ltd 安信通在证券行业中的应用第7页共8页Network)信任体系下建立证券行业的CA系统，这样便于日后与其它券商的信任体系互相信任，也可以与其它行业的CA信任体系进行结构，在这种方式下，券商还拥有属于自己的CA系统，能够根据自身的要求来制定相应的证书策略，也能够保证每签发出的证书都带有本机构的标识。总的来说，我们上述的建议具有很好的扩充性和灵活性。充分考虑了目前券商们的业务需求。3．1安信通的体系架构3．2安信通在证券行业的应用天威诚信推出了一系列GS!（GoSecure!）应用支持服务，即安全无忧系列服务，包括基于WEB应用的安全无忧服务、基于MircrosoftExchange的安全无忧服务、基于LotusNotesR5的安全无忧服务、基于Notel的安全无忧服务、基于Check北京天威诚信电子商务服务有限公司2001年11月iTrusChinaCo.,Ltd 安信通在证券行业中的应用第7页共8页Point的安全无忧服务、基于VPN的安全无忧服务等一系列对应用的安全无忧服务。此外，还推出一系列的证书增值服务，这些增值服务包括：证书漫游服务、密钥管理服务、数字公正服务、OCSP在线证书状态查询服务等服务，这一系列服务将会满足大部分客户的需求，如果这些还不能够满足客户需求的话，天威诚信还提供一系列的工具开发包来根据客户的具体需求来进行客户化，保证天威诚信的服务能够最大满足客户的现在要求和未来发展不断变化的需求。¨GoSecure!forWebGoSecure!forWeb是基于Web的安全无忧服务，她保证了网上证券网上应用中的信息安全。向所有参与网上证券活动的客户和券商网站提供身份认证，保证了信息传输过程中的信息及密性和完整性，提供数字签名功能保证网上行为的不可抵赖性，除了这些基本基本安全保障外，该提供实时查询黑名单（CRL）；提供访问控制，保证不同的人员在网上应用中具有不同的权限、领导决策人员具有较高的权限，能够访问更多的页面，普通用户只能进入一些公开的目录，无法进入未授权的页面；还提供文件加密保存的功能，保证加密存放在本地机器的文件他人无法打开；除了这些功能外，天威诚信还可以依据网上证券应用的要求来进行客户化，保证我们的方案能够完全满足客户的要求。¨GoSecure!forNotes&ExchangeicrosoftExchangeGoSecure!forNotes是基于LotusNotes的安全无忧服务，天威诚信针对NOTES的应用解决方案与NOTESR5集成为一体，向NOTES用户发放数字证书，并将证书信息发布到DOMINO服务器的目录(LDAP)中。NOTES用户可以通过DOMINO的LDAP获取其他用户的证书。与NOTESR5相集成，使得用户在一定范围内，方便地使用签名和加密了的电子邮件交换信息。使用NOTES应用安全解决方案能使券商与其商业伙伴、股民之间建立安全的邮件通讯通道。还可以通过ACL进行资源访问控制。基于MicrosoftExchange的安全无忧类同上述的GoSecure!forLotusNote，致使支持的平台不同。¨GoSecure!forIPSec以IPSec为基础的VPN,可以使证券行业有效地通过互联网将证券内部网络扩展到远端的用户、办公室、其他部门的内部网络。天威诚信推出的基于IPSec的安全无忧服务可确保证券部门与外网的的私密性、完整性和用户的身份认证，在互联网上构建属于证券部门的虚拟私网，这种方式是非常廉价，安信通签发IPSec数字证书给每一个用户和设备（包括：防火墙、路由器、服务器），而不需要专用的硬件、软件的投入和耗时的培训及维护。使用安全无忧！VPN，可以将数字证书安全快捷的集成到你的VPN北京天威诚信电子商务服务有限公司2001年11月iTrusChinaCo.,Ltd 安信通在证券行业中的应用第7页共8页中，而你只需集中精力在商务上，而不再为建造一个新的安全基础架构而烦恼。¨漫游服务证券部门内的领导、职员经常需要出差到外地，他们需要通过互联网往办公室或登录到网上证券应用系统进行信息交互，如何保证他们的信息安全、身份认证和提交带有数字签名的表单，这一切都需要使用数字证书和其私钥。以往的解决办法是他们需要携带装有数字证书和其私钥的介质来实现，这些介质包括：软盘、IC卡和目前流行的USB接口的令牌（Token）。如果使用软盘，由于软盘很容易受损、受病毒感染这些特点，不便于远行携带；如果采用IC卡，需要携带读卡器，这会给出差人员带来不便、如果出差人员需要使用不属于自己的计算机，还需要携带并在这些机器上安装读卡器的驱动程序，这也会给出差人员带来许多不便；如果采用令牌，则出差人员如果使用他人的计算机，同样是需要携带并在这些机器上安装令牌的驱动程序，由于出差人员往往是从不同的途径上网，因此，人们一直在寻找一种更简便、更安全的解决办法。天威诚信推出的漫游服务正是为了解决这些问题而推出的一种数字证书服务，只要提供上网的环境，就可以通过互联网，登录到证券部门的网站以一种非常安全的方式将自己的证书和私钥下载到本地，使用结束后自行销毁这些数据，既安全又方便。由于其实现的复杂性，在此不作进一步描述，如果需要详细地了解该服务，请参阅《漫游服务》。¨密钥管理服务如果某个券商私钥丢失了或无法访问了，那就无法恢复使用证书加密的信息。由于需要加密的信息往往是机密或敏感的，也就是说，是非常重要的，正是如此，我们才会将他们加密起来不让别人偷窥，然而，如果存在上述风险，我们又担心日后无法恢复，因此我们需要将用于加密的私钥进行备份，以防万一，此外，由于证券部门内很多职员的文档、资料也属于证券部门的财产，如果某天，职员被辞退，没有留下其私钥，又或者计算机受病毒感染，私钥丢失，这都需要预先对密钥进行备份。另外，由于用户在不同阶段将使用不同的密钥对（如每年更换一个新的密钥对），所以密钥的备份变得很复杂。有时，必需恢复一个旧的私钥来解密一个旧的加密文件。出于这种原因，密钥管理系统必须维护每个用户的密钥记录，而且必须能够在必要时从这个记录中恢复密钥。北京天威诚信电子商务服务有限公司2001年11月iTrusChinaCo.,Ltd 安信通在证券行业中的应用第7页共8页天威诚信的密钥管理服务正是为解决上述问题而提出的一种证书增值服务，这种证书服务和安信通解决方案一起集成到一起，为券商提供服务的，因此，结合安信通的强大功能，券商应用起来非常方便、更加安全。由于其实现机理是相当的复杂，在此不作进一步描述，如果需要详细地了解该服务，请参阅《密钥管理服务》文档。¨OCSP在线证书状态查询服务天威诚信提供的OCSP在线查询黑名单服务为网上证券业务提供效率最高、响应时间最短的证书有效性检查功能，保证了参与网上证券交易各方的证书是否已经被吊销或却实还是一个有效证书。一般传统的查询证书黑名单的方法是通过轻量目录访问协议（LDAP）来查询黑名单，但是，这种方式是通过将目录中的CRL文件下载到本地，在本地执行，此外，发布到目录中的CRL文件不是实时发布的，因此，这种模式不利于证券行业的网上在线业务的开展。而天威诚信提供的OCSP服务，则保证了客户只需将证书的标示信息提交到天威诚信的OCSP服务器，天威诚信OCSP服务器则会将在线的该证书状态信息返回给客户，这种服务将会大大提高网上证券业务的效率并且保证返回的信息是最新的证书状态信息。天威诚信提出的PKI增值服务是跟随着技术的不断发展、网上应用需求的不断变化而推出的，我们的服务除了提供一些已经产品化的解决方案外，还提供相应的客户化工具，让我们的PKI完全满足券商网上应用的需要。1、解决方案的特点Ø客户控制。客户完全控制证书的发放以及其他相关服务。Ø简单方便的管理员界面。客户证书管理员通过一些工具很容易控制和管理他的CA，大量各类报表向管理员报告CA服务的情况。Ø支持最新版的标准应用。支持Netscape和Microsoft最新的Web浏览器以及其他的流行应用程序。Ø北京天威诚信电子商务服务有限公司2001年11月iTrusChinaCo.,Ltd 安信通在证券行业中的应用第7页共8页可靠的PKI技术。完整的PKI功能包括证书签发与生命周期管理，不同证书种类的处理和协议，全面的系统管理功能，记录保持，目录集成以及密钥管理。Ø完整的证书生命周期支持。包括签发、更新、吊销以及证书状态检查等。Ø标准的目录支持。支持包括X.500，LDAP，MicrosoftExchange等。Ø完整的CA策略和鉴别控制。Ø高扩展性，分布的，可审计的注册机关功能。Ø可支持简单或复杂的证书层次。Ø独特的密钥安全恢复功能。Ø集中密钥管理，支持包括双密钥以及历史密钥。Ø支持交叉认证。北京天威诚信电子商务服务有限公司2001年11月iTrusChinaCo.,Ltd