隨著網絡技術的發展，人們的生活發生了翻天覆地的變化，證券交易的形式也隨之發生了改變。當今社會，網絡交易已成為其最主要的交易模式。網絡交易有著方便、快捷、實時性強、無須等候等優點，然而，危及網上證券交易安全的病毒、木馬、釣魚、竊取、篡改等攻擊手段層出不窮。

大部分網上證券交易用戶的防范意識不高，對于可能盜取用戶口令的攻擊手段沒有任何防范能力，嚴重影響了整個證券交易體系的安全。在交易當中，一旦網絡安全問題發生，輕則造成個人的直接經濟損失，重則對行業造成毀滅性打擊，甚至還會對整個社會秩序產生連鎖的負面影響。因此，網絡證券交易的安全性一直以來都是人們高度關注的問題。

為了保障網絡證券交易的安全，科研工作者們針對這一問題展開了大量研究，獲得了卓有成效的進展。迄今為止，在密碼保護、身份認證、日志審計等各個方面都已形成了成熟的技術和標準；同時，也能夠見到一些安全保障系統范例，例如：遼寧證券網上交易系統[1]、基于PKI技術的網上證券信息系統[2]、興安證券網上交易系統[3]等等。然而，我們綜合比較這些解決方案后發現：這些系統或多或少都存在一些不足。

這些系統或者只針對網絡交易安全的某一個方面使用了某一種核心技術；或者雖然涉及到了多個保護環節，但防護力度較為分散；或者系統的擴展性不強，難以根據實際需要進行更新和改進。

證券交易行業需要的是能夠保障交易安全并且具有商業價值的完善系統。

針對這一需求，我們開發了這套“基于面向服務架構（SOA）的網絡證券交易安全系統”。

本系統主要有以下四大優勢：在技術上，我們使用了多種先進成果相輔相成的方法，多角度全方位地保障網絡交易的各個方面；在功能上，根據保護內容的不同，將系統分為客戶防御、身份認證和日志審計三個主要部分，層次清晰合理；在性能指標上，我們的系統完全能夠滿足商業環境中大量數據并發情況下的時效性和穩定性；在系統構架上，我們根據面向服務構架（SOA）的要求，設計出了一套各模塊單元之間耦合度低、便于升級和維護的系統，系統中的三個主要部分都可以作為獨立的部件進行技術更新或移植到其他平臺，具有較強的實用價值和商業價值。

1背景

1.1網絡證券交易的安全

網絡證券交易作為一種“網絡交易”形式，它的安全問題與其他類型網絡交易相比，有許多相似性，但也具有自身鮮明的特點。

總體來說，包括了以下幾個基本的安全問題[4]：

1）保證證券交易系統運行的安全，即保證證券交易系統在信息處理和傳輸時的安全。這一問題主要側重于保證系統正常穩定地運行，避免因為系統的崩潰或損壞而對系統內存貯、處理和傳輸的信息造成破壞和損失，同時要避免因故障而引起的信息泄露。

2）保證證券交易信息系統的安全。這包括用戶身份認證和授權，用戶存取權限的控制，交易行為的可追溯和抗抵抗，資金的異常阻止，二次鑒別，計算機病毒防治和數據傳輸加密等等。

3）保證證券交易內容的安全。這主要側重于保證交易信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損于合法用戶的行為，本質上是保護用戶的利益和隱私。

1.2保障網絡交易安全的對策

針對網絡證券交易安全問題，一個能夠保障安全并投入商業使用的系統，應具有保密性、正確性和完整性、身份的確定性、不可抵賴性四個基本特點。為滿足這些特點，目前系統一般采取如下幾種對策[5]：

1）安裝防火墻，防止黑客入侵及攻擊；

2）安裝防病毒軟件；

3）采用身份認證和數字簽名支持第三方CA認證體系，確保網上委托身份識別的安全性；

4）使用128位強加密算法和數字簽名，確保委托數據的安全，防止數據在傳輸過程中被截獲修改；

5）網上委托站點和券商交易系統相互獨立，有明確的接口，訪問券商交易系統的接口轉換程序由券商編制，源代碼由券商保管；

6）在Internet與證券公司網絡的網關上采用并口隔離技術。并口通信使用的是專用協議，而不是通用的TCP/IP協議，其優越性在于既能完成正常數據交換功能，又能非常有效地隔離一切來自Internet上的對證券公司網絡的攻擊；

7）所有與委托有關的程序全部在券商的營業場所內運行，電信局方面只運行與行情有關的程序。

8）交易數據處理的可監控和防抵賴。

9）行情主站和委托主站自動互為備份，確保在系統和線路出現故障或大行情突然來臨時，不會因并發量過大而導致通道堵塞，不影響客戶的交易。

在重點分析了以上幾種對策的安全性、可行性和適用性之后，我們決定同時采用上述1、2、3、4、8方案。這些方法不僅代表了計算機網絡安全方面的先進技術，同時也適于系統的實現和投入商用；為了能使整體功能進一步強化，除上述方法之外，我們還增加了反逆向分析技術、擁有自主產權的SSL加密技術、基于數據挖掘的監控預警等多種技術手段，將系統的功能劃分為“防盜取口令”、“防非法登錄”、“預警與日志審計”三個清晰的層面，構建起可靠的“三重防護”模式；除此之外，針對用戶的習慣和操作環境特點，在保障安全級別不降低的前提下，我們將一些安全策略的選擇權交給用戶，實現了系統的靈活性，這也是我們的一大創新。

1.3面向服務體系構架（SOA）