52电子商务时代安全的保护者

东北财经大学网络教育本科毕业论文东北财经大学网络教育本科毕业论文 电子商务时代安全的保护伞电子商务时代安全的保护伞 浅析证券电子商务发展之路浅析证券电子商务发展之路 作 者 学籍批次 学习中心 层 次 专 业 指导教师 焦 峰 0403 江苏奥鹏 高起本 电子商务 史 达 - 1 - 论 文 摘 要 证券市场是一个快速多变、充满朝气的市场。在证券市场发展过程中，证券电子商务建 设起到了积极的推动作用。一方面，证券市场品种的创新、交易结算的变革，源源不断地为 证券电子商务化建设提出新的需求和课题；另一方面，证券电子商务化建设又为证券市场的 发展创新提供了系统和网络方面的支持，两者在相互依存、相互促进的过程中得到了快速发 展。 目前互联网电子商务是国际上最通行最安全最便宜的证券交易方式，带来证券市场革命 性的变革。同时，存在的安全问题也不断暴露出来。 案例来源于网络报刊等媒体整理。案例从 MD5 破解开始，透过现象分析我国证券电子商 务化发展中存在的安全问题，以及试探性寻求证券电子商务发展之路。 （案例类型）纪实-创作型案例 （案例分析方法）分析-决策型 关键词：证券电子商务 电子商务 证券行业 安全 - 1 - 目目 录录 一、案例正文 1 （一）MD5 堡垒的轰然倒塌1 （二）电子商务时代的经济危机与“银广厦”股票事件1 二、 案例分析 3 （一）从 MD5 大厦倒塌透视证券电子商务安全隐患. 3 （二）证券行业的发展现状及证券电子商务应用 4 （三）证券业电子商务化的特殊要求.5 （四）证券行业电子商务发展之路.6 （五）结束语.7 参考文献. .8 - 1 - 电子商务时代安全的保护伞 浅析证券电子商务发展之路 一、 案例正文 （一）MD5 堡垒的轰然倒塌 所谓 MD5，即 Message-Digest Algorithm 5（信息-摘要算法） 。它由 MD2、MD3、MD4 发 展而来的一种单向函数算法（也就是 HASH 算法） ，它是国际著名的公钥加密算法标准 RSA 的 第一设计者 R.Rivest 于上个世纪 90 年代初开发出来的。MD5 的最大作用在于，将不同格式 的大容量文件信息在用数字签名软件来签署私人密钥前压缩成一种保密的格式，关键之处 在于这种压缩是不可逆的。 简单的说：大家都知道，地球上任何人都有自己独一无二的指纹，这常常成为公安机关 鉴别罪犯身份最值得信赖的方法；与之类似，MD5 就可以为任何文件（不管其大小、格式、 数量）产生一个同样独一无二的数字指纹，如果任何人对文件做了任何改动，其 MD5 值也 就是对应的数字指纹都会发生变化。 在 2004 年 8 月 17 日美国圣塔芭芭拉市举行的 2004 国际密码学大会上，来自山东大学 数学与系统科学学院的王小云教授做了关于成功破解 MD5 的报告，引起了国际密码界轰动。 她的研究表明，MD5 存在“杂凑碰撞” ，就是两个文件可以产生相同的摘要。这意味着，当你 在网络上使用电子签名签署一份合同后，还可以存在另外一份具有相同签名但内容迥异的合 同，这使得目前电子签名的法律效率和技术体系受到严重的挑战。报告中提到的新破译方法 几乎标志着世界通信密码标准MD5 堡垒的轰然倒塌。 消息传出，引起相当大的震动。国内一些传媒以“数字手印彻底颠覆” 、 “金融安全岌岌 可危”为标题对此事进行报道，内容也不无道听途说和渲染之处。 MD5、SHA-1 是当前国际通行的两大密码标准。两大算法是目前国际电子签名及许多其它 密码应用领域的关键技术，广泛应用于金融、证券行业。 （二）电子商务时代的经济危机与“银广厦”股票事件 互联网的再度复苏，也带来电子商务的黄金时代。据统计，我国的电子商务最近几年平 均年增长率为 40%，2004 年电子商务的交易总额达到 4400 亿元人民币，2005 年将激增至 6200 亿元人民币。 然而另一方面，具备更大经济威胁的安全阴影也越加浓厚： 2005 年 1 月，东京迪斯尼乐园“终年通行证”的十四万重要客户资料外泄，歹徒要求赎 金，否则将出售这些资料；2005 年 2 月，著名的 NTT DoCoMo 公司发生丑闻，大约 24600 个客户的数据被泄露出去。2005 年 6 月 17 日，万事达信用卡集团称，大约 4000 万信用卡顾 客账户被一名黑客利用电脑病毒侵入，黑客可能将用户账号信息用作欺诈行为，而且多家银 行的顾客账户都遭到了入侵。 前些年，北京东城区人民法院审理了一起“银广厦”股票盗买案件。原告贾女士诉称， 她的 12,142 股“爱建股份”与 11,000 股“华东医药”在其毫不知情的情况下被人卖出，并 - 2 - 被买入 17，000 股银广厦，致使其直接经济损失达 30 多万元人民币。于是她以证券公司管 理不善、未尽到提供安全交易场所为由将中国银河证券有限责任公司北京安外证券营业部推 上了被告席。 - 3 - 二、案例分析 “安全”已经成为当今社会关注的重要问题之一，生活要安全，食品要安全，网络要安 全，正在如火如荼进行着的证券业电子商务当然也需要安全。 从 MD5 大厦的倒塌，到目前网络经济贸易危机，我们可以看到加快电子商务保护伞建设 的迫切性和必要性。 （一） 、从 MD5 大厦倒塌透视证券电子商务安全隐患 MD5 作为目前国际电子签名及许多其它密码应用领域的关键技术，广泛应用于金融、证 券行业。就本身而言，MD5 的破解对电子商务技术体系带来巨大的冲击，使得电子商务过程 中的不安全因数加大。 然而，现实中没有绝对的安全， “每座大厦最终都会倒塌” ，但我们仍可以放心地住在一 定时间内不会倒塌的房子里，当然我们需要在必要时进行修缮，甚至翻建。在王小云教授等 人对 MD5 算法分析的成果公布之后，中国金融认证中心就迅速将以前系统中的 MD5 算法换成 了 SHA-1，并密切跟踪有关技术和研究的进展。应该看到，我国金融业目前的安全防护水平 及其“与时俱进”的速度，尤其是相对于其所受到的恶意攻击的技术水平而言，实践证明还 是可以让人充分放心的，我国的电子商务安全体系不是“危房” ，而是值得信赖的“安居工 程” 。 商务领域中，证券投资业常常是采用新的信息技术最为迅速的行业之一，因为现阶段的 证券行业进入了一个服务竞争的新阶段，而网上交易在本质上就是一种提高券商服务质量的 重要手段，券商们岂肯忽视了它？一直排斥网上交易的美林公司也在 1999 年宣布加入美国 的网上交易竞争行列；根据中国证监会 2002 年 8 月份发表的最新统计，网上证券交易占整 个市场交易的比重已经突破 10%大关，达到 10.88%。客户总数达到 471 万人，占沪深两市开 户平均量的 13.8%。从 1996 年底我国出现证券类网站以来，我国网上证券交易从不被看好到 渐成火爆，可谓发展神速。 从投资者的角度看，目前的网上交易有三种模式： 第一种，是通过网络查看股市的实时行情，并通过电话下单委托，即网上信息与电话委 托相结合，还不能算典型的严格意义上的网上交易； 第二种，模式是通过网络查看股市实时行情，并在网上向证券公司直接下单委托； 第三种，是通过接受图文电视行情的分析系统或第三方分析系统观看行情，在网上下单 查询。 “银广厦”股票案件涉及的交易模式就是属于第一种，然而案中凸现出来的种种问题尤 其是网络安全性及举证责任的问题也是采取第二、第三种典型的网上证券交易模式产生的法 律纠纷所不可避免的。 网上证券交易具有交易成本低、实时性、互动性、时空限制小等许多优势，但一些技术 性因素大大影响了证券业实施电子商务的进程，其中网上交易的安全性是一个非常重要的问 题。据有关调查结果显示，国内电子商务站点中不少存在着一些安全漏洞，这些漏洞会造成 网上交易用户的账号、交易密码泄露，恶意攻击者甚至可以使用他人的资金进行网上交易。 在这种尚不尽完美的安全背景下，坚持资金账号与交易密码是确定客户身份的唯一依据，的 确是有一定风险的。现在我国还没有针对网上交易安全的正式法规出台，网上交易的风险难 以确定，目前的通常做法是证券公司的营业部要求用户风险自担。由于现有技术条件的限制， 以及网络安全在一定层面上的不确定性，这种做法确实可以提高用户的安全意识、化解券商 - 4 - 的风险。但是，将风险完全加诸于投资者在一定程度上也会影响投资者对于网上证券交易的 信心，并且不利于促进相关安全措施的实施和发展。这一点在本案例中已得到反映。具体到 本案，一个关键问题是，密码失窃的责任应当由谁来承担？ 面对这一问题，我们首先就必须要清楚了解我国证券行业的电子商务发展存在的问题与 现状。 （二） 、证券行业的发展现状及证券电子商务应用 证券电子商务是证券行业以互联网络为媒介为客户提供的一种全新商业服务，它是一种 信息无偿、交易有偿的网络服务，它是运用最先进的信息与网络技术对证券公司原有业务体 系中的各类资源及业务流程进行重组，使用户与内部工作人员通过互联网就可开展业务与提 供服务，目前我国比较典型的证券电子商务领域集中体现在证券电子商务促进证券经纪业务 的拓展和延伸。 从目前的技术应用看，证券电子商务大致包括三大部分：网上证券服务、移动证券服务、 客户服务中心。 1 1、证券行业的发展现状、证券行业的发展现状 证券行业虽然经过了十几年的快速发展，信息化也有了一定程度的提高，但由于起步晚， 加上没有成熟的经验可以遵循，还存在不少问题。 1)、业务数据信息分散 公司内部子系统数目众多，缺乏有效的通讯机制，功能独立， 形成数据孤岛，没有建立统一的数据仓库，对海量信息不能进行有效的分析利用，造成信息 系统重复、低效运作。 2)、营业网点分散众多 各部门缺乏有效的沟通合作 由于营业网点不集中，给各营业之 间的协调沟通带来一定的麻烦，如何保证信息在各营业部之间的共享性及时效性也是问题。 3)、券商内部体系信息化程度不高，一些基本的业务处理基本上都是依靠规章制度的书 面约束和人工操作，这也反映了公司在网络监控上的薄弱，增加了公司的经营风险与财务风 险。 2 2、网络安全限制证券电子商务的发展、网络安全限制证券电子商务的发展 中国证券电子商务的发展并非一帆风顺，诸多因素的制约使得电子商务的发展落后于人 们的期望。国家经贸委主持的专项调查显示，网络安全、互联网基础设施建设、社会商业信 用、法律法规、标准化、网络支付、企业管理层对电子商务的认知程度、网络市场规模以及 IT 技术和管理信息人才，这九大问题是阻碍中国企业互联网应用和电子商务发展的主要因素。 其中，网络安全问题被接受调查对象列在首位。它已成为制约证券业电子商务发展的重要因 素。 在法律法规方面，尽管目前管理层出台的网上证券委托暂行管理办法规定，获得证 监会颁发的经营证券业务许可证的证券公司，可申请开展网上证券委托业务，但由于政策的 滞后，许多网上委托业务还处在摸索阶段。同时，有关网上交易者的资格审查、网上交易的 技术标准及技术体制、网上交易的市场监管等都还没有一个明确的规定，这些都使投资者对 网上交易望而却步，极大的地制约了证券电子商务的发展速度。 另外在证券公司方面，一些证券公司的网络安全意识较为淡薄，在网络信息系统的用户 管理上疏忽大意，用户名和密码存在被窃取的危险。随着证券业的业务创新，电话委托业务 如火如荼，网上证券交易如日方升，而这些都以证券网络更加开放为前提，势必对证券网络 的安全性提出更加严峻的考验。许多流行的股票分析系统，要求给用户分配比较大的权限才 能进行交易，这无形中又增加了不安全的因素。 - 5 - 3 3、信息安全成为电子商务发展的基础、信息安全成为电子商务发展的基础 随着证券网络化信息化进程的加快，一个全国性的无形化、信息化的大证券市场已呼之 欲出。无疑，这意味着经纪业务新一轮竞争的开始。传统证券业务的重新整合，与银行、保 险等金融产品整合的综合投资服务，以及网上交易衍生产品的大量出现，如网上资金结算、 个人帐户管理、经纪专家服务等等新一轮大规模业务创新，将遍地开花般接踵而来。于是， 围绕着证券电子商务，资本市场的格局不得不重新加以划分。 互联网在给传统券商带来创新的同时，也带来了一些挑战。可以说，在各类行业中，证 券业的信息化是做得最早的：由于早已实现了数字化传输，也不存在物流配送问题，因而金 融业的信息流、资金流、物流瓶颈、信息安全瓶颈远没有其他行业那么不可克服。不过，目 前看来，制约着证券行业电子商务的一些瓶颈依然存在着，信息安全问题，这其中包括网络 安全问题、网上支付问题、国家政策、法律的限制等等也成为影响整个行业证券电子商务业 务发展的基础，只有在保障信息安全的基础上，电子商务才有可能在证券业真正发展下去。 总体来看，由于信息技术的全面使用和证券电子商务化程度的不断提高，证券市场将从 有形市场向无形市场过渡，投资者直接入市交易的可能性将大大增加。集风险监控、资金清 算、决策支持、系统备份等关键功能于一体的、安全可靠的中央数据中心，以及由于应用 IT 技术，拓展网上交易等新型业务模式带来的一系列信息安全保障措施，将成为未来证券电子 商务发展的基础。 4 4、PKIPKI 的应用将推动证券电子商务的发展和普及的应用将推动证券电子商务的发展和普及 在证券行业电子商务的发展上，技术是个不能回避的瓶颈。在目前的证券业中，电脑系 统维护部门和财务部门已经成为支撑证券公司的两大支柱，系统维护部门尤其承受着巨大的 压力，一旦系统出了故障，将给证券公司造成巨大的经济损失。面对压力，证券公司一方面 希望尽快利用信息技术提高股票交易效率，吸引更多股民；另一方面又担心技术的不成熟或 管理不到位会引发更多的系统问题。尤其是出于对信息安全方面的顾虑，大多数券商采取了 内部交易网和外部网物理分离的方式，以便防止外来的侵袭。于是也就无法实现真正的在线 下单和网上交易。 PKI 的出现实现了大规模网络中的公钥分发问题，建立了大规模网络中的信任基础.PKI 是创建、管理、存储、分发和取消基于公钥加密的公钥证书所需要的一套硬件、软件、人、 策略和过程的集合。它的出现很好地解决了大规模网络环境中的信任这一难题，从而保证了 验证、机密性、完整性和非否认性。验证、机密性、完整性和非否认性都是电子商务所必需 的安全服务，同样也是证券业电子商务所必需的安全服务。当然，PKI 虽然建立了大规模网 络环境中的信任和安全的公钥分发的理论基础，但实际中 PKI 的成功实施将更多地取决于管 理、法律、商业等方面的合理约定。 （三） 、证券业电子商务化的特殊要求 由于证券行业性质的特点，决定了证券行业在架构电子商务体系，实施电子化建设方面 有其特殊性。 1、较高的安全性、较高的安全性 安全性是证券交易的首要要求，券商与券商之间,券商与客户之间的资金交易量是很大的， 每天都要涉及大量的资金流动，如何保证交易的保密性与安全性是摆在架构师面前的首要问 题。 2、时效性、时效性 客户要得到的是及时、有效、准确的信息，股票等证券交易信息必须及时传递到客户手 - 6 - 中，任何延误与滞后都会给客户判断带来错觉，甚至失误，会造成无法估量的后果。 3、可靠性、可靠性 如何提高客户满意度是证券公司提高竞争力的核心 而交易中的任何微小的差错造成的 后果都是不堪设想的，损失的不仅仅是利润，更更要的是会失去客户的信任度，因而提供实 时交易的券商必须在交易过程提供安全可靠的服务。 4、快速响应能力、快速响应能力 证券行情瞬息万变，对下单的时间过长，会严重影响客户交易过程，证券行情瞬息万变，对下单的时间过长，会严重影响客户交易过程， 降低交易质量，影响客户满意度降低交易质量，影响客户满意度。 5、保护客户获取有价值的信息、保护客户获取有价值的信息 客户就是一切服务的中心，所有的服务都是面向客户客户就是一切服务的中心，所有的服务都是面向客户 的，向客户定制提供信息是券商的必然选择，客户要求得到的是能为其的，向客户定制提供信息是券商的必然选择，客户要求得到的是能为其 带来价值的信息。带来价值的信息。 而本案例中， “银广厦”事件正透现出证券电子商务中的漏洞。但我们也要看见，任何 事物的发展都是一个过程，有问题就需要解决，所以我们大可以相信随着证券市场的成熟， 这类问题也必将得以消除。 （四） 、证券行业电子商务发展之路 我们可以看见从 MD5 的倒塌、网络的恶意攻击等现象，并没有阻止电子商务发展前行的 脚步。目前正处于电子商务空前发展的大潮，我们应当居安思危，在防护安全方面积极与时 俱进。积极借鉴国外先进成熟的证券行业 E 化经验及国内走在证券电子化前列的成熟企业的 成功经验，结合本公司的经营特点与业务范围，寻求解决证券业电子商务化的成功方案。证 券行业可以从以下几个方面有所突破，重点考虑： 1 1、安全问题是证券行业最为关心的问题、安全问题是证券行业最为关心的问题 证券公司不仅要建立安全，易于管理与维护的信息系统，还要建立完善的安全管理规范， 搭建安全级别较高的电子商务平台，另外还要关心新技术对安全带来的影响，其中建立 CA 认证系统就是一个方向，在加强技术提高安全性的同时，还要同完善的管理相结合，技 术才能保证证券行业计算机系统安全、可靠的运转。 2 2、为客户提供个性化的服务、为客户提供个性化的服务 信息服务，特别是证券行业的专业信息服务，是证券公司实施电子商务最核心竞争力。 优质的信息服务，不但为客户提供了有价值的服务，还能引导与促进客户的消费行为， 提高证券业务的交易质量。而个性化服务，是最为高效的信息服务方式，也体现世界电子商 务的发展趋势。我们所处的时代是信息时代，信息的巨大价值已经得到了认可和实现，信息 的价值体现在信息的及时性、准确性、全面性与代表性。信息经过合理的组织、加工处理、 发布可以提供价值，或者说带来附加价值，而证券行业是最能体现信息附加价值的行业。然 而由于信息海量，有些信息并没有真正发挥价值，对于客户而言只是垃圾信息，作为信息消 费者一方的客户，他们所感兴趣的是对他们投资的参考价值的有用的信息，因而如何对行业 信息进行有效地分类处理，向客户提供有价值的服务，就成为券商发挥信息优势的关键所在。 向客户提供个性化的服务能够很好地解决信息垃圾的问题。所谓的个性化服务是指根据 不同客户的不同需求，从海量的信息库中提取对特定客户来说有价值的信息，由于 IT 技术 的飞速发展，新的软件开发思想与开发工具层出不穷，使得开发这类软件越来越容易，因而 定制服务也就应运而生了。 客户与信息永远是评判服务系统中最重要的因素，提供个性化服务的关键就在于对客户 类型进行有效的分类以及对信息资源的细分，针对不同类型的客户，提供相应针对类型感兴 趣的信息，将个性化的服务融入电子商务战略中，以此作为一种吸引客户、保留客户的手段。 - 7 - 3 3、资金流及业务管理是证券企业关注的重点，对现有业务及新增业务的管理将作为、资金流及业务管理是证券企业关注的重点，对现有业务及新增业务的管理将作为 方案重点。方案重点。 电子商务的业务处理重点也应该围绕着资金流，建立完善的会计审核体系，同时对系统 遗留系统进行新的定位分析与改造，保护与原有系统业务接口兼容，以节省投资成本。 4 4、结合国外证券行业的管理模式，考虑证券行业市场未来的发展趋势及同国际接轨、结合国外证券行业的管理模式，考虑证券行业市场未来的发展趋势及同国际接轨 的需要，保证系统设计的灵活性和拓展性，可以处理未来的新增业务，使系统在长时间内满的需要，保证系统设计的灵活性和拓展性，可以处理未来的新增业务，使系统在长时间内满 足证券行业的发展及证券企业业务发展的要求。足证券行业的发展及证券企业业务发展的要求。 5 5、针对证券公司办公管理工作中公文和会议较多、下属部门分散各地等特点，强调、针对证券公司办公管理工作中公文和会议较多、下属部门分散各地等特点，强调 网络信息交流和共享的办公自动化系统是证券企业信息化解决方案必不可少的部分，将同一网络信息交流和共享的办公自动化系统是证券企业信息化解决方案必不可少的部分，将同一 城市多个营业部采用集中交易方式有利于发挥渠道资源和规模优势，降低营业成本，提高管城市多个营业部采用集中交易方式有利于发挥渠道资源和规模优势，降低营业成本，提高管 理效率。理效率。 6 6、加强公司内部管理的信息化，在为客户提供高技术含量的解决方案的同时，还要、加强公司内部管理的信息化，在为客户提供高技术含量的解决方案的同时，还要 完善券商内部信息化体系的建设。完善券商内部信息化体系的建设。无论是业务内部的