证券计算机网络应用安全性分析方案

1、证券计算机网络应用安全性分析 随着计算机应用进入各行各业， 人们的生活对计算机的依赖日趋加重。 计算机在国民经济发 展方面变得越来越重要。 人们借助计算机网络， 计算机数据库处理， 计算机多媒体等前沿技 术实现新型事务处理， 新型业务管理及形形色色的生活应用。 人对电脑系统的依赖将越来越 强。越来越多的信息 /数据被存入计算机，越来越多的应用集成在一起，越来越多的计算机 连成网络。技术的公开化 /标准化为人们带来了方便，也带来了威胁。一旦电脑系统瘫痪， 一旦数据被毁灭，网络 /通讯失灵；关键业务将出现混乱、停滞，甚至遭受毁灭性的打击。计算机的系统安全性、 可靠性是人们审核一个计算机处理系统的优

2、劣的重要方面。 人们只有 确信计算机系统是安全的、 可靠的， 才肯将最机密、 最关键的数据交给计算机网络技术的发 展，使计算机系统的协同处理能力迅速增强， 也将对计算机安全防范的要求推到了一个全新 的高度。本文根据作者对证券行业计算机应用的了解和调查对证券公司营业部的计算机网络安全进 行了分析， 对常见的一些技术问题给出详细的说明， 供证券业的开发商、 系统集成商及证券 营业部技术人员参考，促进并提高证券网络应用的安全性。1 证券营业部的计算机网络应用安全性现状证券交易是由计算机系统进行撮合、 交易的， 每个营业部的计算机网络应用系统为股民提供 如下的服务：行情服务： 根据从上海交易所和深圳交

3、易所卫星传来的行情数据； 为股民提供各种信息分析 和决策支持服务，利用多元化的方式为股民创造好的信息环境。交易服务：对注册股民的股金进行协调管理，帮助/代理股民下单交易，按照股民的意愿完成股民的股票买卖操作，将股民的交易请求发送到交易所进行处理。随着证券行业的迅猛发展，多种计算机应用软件不断引入到证券网络应用（ 例如家庭远程炒股、 Internet 炒股、多应用合一等 ），使得计算机应用服务日趋复杂；相对的，计算机系统的 安全性威胁就更大！ 由于对核心数据访问途径增加， 趋于复杂； 可能留下的安全隐患就会越 多越大。一个典型的计算机劫客可以通过如下方式对证券计算机应用进行破坏：1、干扰、破坏行

4、情服务系统的正常运行。劫客可以放置假的行情数据以造成股民错误的投 资倾向，甚至干脆破坏行情服务软件系统，破坏营业部的声誉。2、偷窃、篡改注册股民的注册信息和资金信息，对股民的管理/数据信息进行修改；假冒客户身份进行交易以达到其个人的目的，使股民/营业部遭受巨大的损失。从最近的一些报道来看， 有一些营业部已经发生了计算机应用被外来人员破坏的事件， 并造 成极为恶劣的影响。 目前， 所有证券公司及其营业部都已经注意到计算机安全技术涉及的范围广，以及各种计算机应用环境对安全方面的考虑不尽完善， 使得目前证券业计算机应用存 有较大的安全隐患的现状。但是， 技术设计方面的不完善可以靠规范化的人员管理、

5、规章制度等方面得到补足。 正如军 队需要严格的安全体制管理一样， 证券计算机应用的安全性可以通过严格的制度、 规范的操 作等途径得到增强。技术 /设计上的安全保护加上人员、操作上的严格管理，才可能将那些 恶意的入侵者拒之门外，防患于未然。2 对证券营业部的计算机网络应用安全性的深入分析和建议 营业部证券网络的模式基本是相同的， 即分为行情系统和交易柜面系统。 一个典型的证券营 业部的结构如下：证券业计算机网络应用可分为两类：一类是营业部柜面业务系统（以下简称柜面系统 ），用于对股民帐户、 资金、 交易委托等方面进行综合管理。 这类系统由专门的证券应用开发商或营 业部计算机应用人员开发，采用的平

6、台有NetWare 下的 Foxpro 、Btrieve 或基于 SQL 查询的DBMS（如Sybase）。另一类应用是股票行情发布和行情分析系统（以下简称行情系统），用于为股民提供最新的股票价格信息（大屏）及对股票的历史数据的分析（走势图 ）。这类应用由专业计算机开发商来开发， 多采用基于 NetWare 的文件共享和网络广播信息包的方式。 柜面系 统有时也需要访问行情服务器的数据。图 1 简单地表明了证券业应用的结构方式。在图 1 中， S1 是柜面服务器，运行 NetWare 网络服务操作系统。 S1 中的数据可能是Foxpro,Btrieve及Sybase等格式的数据。 W1， W2是

7、柜面应用工作站 PC,采用相应的数据 库应用系统， 完成储户帐户维护， 资金管理， 股票买卖等工作。 S2 是行情服务器， 运行 NetWare 操作系统； S2 中存放由深交所及上交所传来的原始数据（该数据由专门的接收站 Wr 转入,数据文件格式为 Foxbase）及行情应用软件的处理数据。Wt为行情数据转换机，它将Wr存入 S1 的 Foxbase 数据读出并加以转换及分类处理,形成专门的行情数据,例如乾龙系统。同时 Wt 将某些行情更新信息以网络广播形式向外广播。W3、W4 为行情应用工作站,向股民开放。 W3, W4 通过接收 Wt 的行情更新数据和读取服务器内的行情历史数据,加以分析

8、 加工,为用户提供股票价格更新和“涨跌起伏曲线”等分析信息。通常来说，营业部对股民服务采用无盘 PC；利用DOS映象文件远程启动、 上网和进行业务 处理。同时营业部内部采用有盘站和无盘站对网络应用进行管理、监控及内部结算/处理。本文将从下面几个方面对证券网络的结构 /模式进行分析并给出相应的建议。1. 布线系统,网络布局。2. 网络系统的管理。3. 应用系统的管理。2.1 证券营业部的网络布局和布线系统的安全性 从业务操作模式和网络数据流动方式来看， 应将证券营业部的网络布局进行合理化分布， 这 样做的好处是：1、按应用用户的种类分隔网络数据的流动2、便于应用的规划、安全设置3、网络信息的分隔

9、从根本上局限了入侵者的入侵位置例如：营业大厅内的普通用户工作站多以 “乾龙” 行情显示为主； 将所有行情应用的工作站 连到同一网段上有利于对行情应用的统一规划， 另外， 在行情网段上的入侵者将无法截取其 他系统 （例如柜台系统 ）的信息；使其在行情网段上很难入侵到其他网络应用。建议按如下方式配置：将行情、柜面应用分开，将功能简单的、只做浏览/ 读操作的行情应用单分到一起。将业务服务网与内部系统管理网分开。网段的分隔不能用 switch 实现，可以用服务器多块网卡或采用路由器实现。 有了布线系统的分隔，对网络应用的高级配置就易于实现了。例如：将应用编写 /设置成只能在相对应的 IPX/IP 网络

10、上运行， 这样限定了应用的使用范围， 可利用网络系统管理软件， 限制不同网段上可登录的用户身份； 应用程序也可以将程序限定 只在某些网段上才可以运行。2.2 通过网络操作系统的安全管理加强系统及应用的安全性。由于与交易所的数据交换是通过文件形式来操作的，因此， 要严格地限制对存放这些关键数据的权限。例如限定专门用户、 专门的机器及专用的时间段才能合法登录、 访问关键数据 （这 些选项在 NetWare 系统中，可以用 NW ADMIN 的目录管理工具实现） 。另外， NetWare4.11 中提供了审计功能，你可以对关键用户，关键数据文件进行审计核查； 尤其是关键用户帐户及关键目录由于审计记录

11、可以由唯一的专门的用户帐户进行管理 （一个 好的帐户管理机制可以使网络管理员帐户 ADMIN 不能干预审计用户的审计操作） 。因此， 可以由另外一个人掌管审计；由一个人掌管管理员帐户。在 NetWare4.x 中 ADMIN 用户可 以被删去 /改名，通过对每个内部维护工程人员分配独自的帐户，可以清楚地记录每次关键 操作。作者接触了一些证券营业部网络应用的开发商、 集成商及最终用户， 发现有如下技术问题有 待及时解决。用户不加口令，采用批处理上网。由于营业部内有大量的无盘工作站， 营业部工程师为简便开机工程， 一般对某些帐户不设置 口令而允许无盘站启动时利用批处理自动注册上网， 自动启动相应的

12、应用程序， 如“乾龙软 件”和“柜台管理软件” 。如果权限设定有误的话，一个入侵者可以中断批处理，登录上网， 改变系统配置 / 数据文件（例如可以删除 /修改某些文件） ，甚至注入网络病毒！这将直接损 坏系统， 因此应当对每个帐户设置口令。 如果需要自动启动上网， 可以编写一些批处理或专 门的应用程序完成带口令登录。批处理程序可以被中断无盘站在启动过程中，从NetWare服务器上获取 DOS环境启动DOS,再运行批处理程序（含 Login;login Script 及其他 DOS 批处理）。由于 DOS 系统的特性，批处理可以被用户键盘中 断,网络数据很容易的裸现在用户面前。一旦网络权限或应用

13、权限管理不充分/不准确,恶意的入侵者就可以修改网络管理权限或修改应用程序/数据。要解决此类问题需要：避免批处理被中断（无盘站）可以开发一个内存驻留程序（驱动） ,截取相应的按键（例如 Ctrl-C 和 Ctrl-break ） ,避免批 处理程序被中断。要屏蔽DOS启动前的按键（DOS启动时可以按某些功能键， 如F5或F8键），可以在Config.sys 中加入：SWITCHES = /N此操作使 DOS 在启动 Config.sys 之前不检查 F5、F8 键的请求 ,从而限制了客户不能中断 DOS 的引导过程。网络软件系统的版本： 网络系统软件有其自有的安全等级。目前许多用户采用比较老的3

14、.11 和 3.12 系统,利用Bindery方式上网（Netx），这些系统并没有加补最新的增补程序，存有一些安全漏洞。例如，入侵者可以伪装成 Supervisor的身份，轻易地进入网络系统。另外，由于3.x系统的帐户口号是基于服务器管理, 多个 NetWare 3.x 系统需要重复创建多个帐户 /口令（一般而言, 同名, 同口令），为恶意入侵者留下更多的机会去猎取口令。NetWare 4.11采用NDS管理，多服务器可以采用一套用户管理数据，简化了用户的管理，同时也在各方面弥补了在3.x中的安全漏洞。目前, NetWare 4.11 达到了网络 C2 安全验证,能满足用户的安全要求。另外，N

15、etWare 4.11缺省状态下开启了 Bindery仿真方式（是为了与原有的3.x客户软件/应用兼容）,入侵者仍有可能利用 Bindery 管理的弱点来攻击网络,因此,将客户端的软件升 级到4.11的NDS登录，将Bindery仿真关闭（或只在限定的OU或限定的服务器），这样，有助于提高系统的安全性。2.3 应用软件的安全性目前证券营业部的应用软件可分为两类, 行情应用和柜面应用。 从总的来讲, 行情应用相对 来讲对安全性的要求较低, 而柜面业务由于涉及股民的股金管理及交易的金额处理,安全性便显得非常重要。 认为行情应用可以撒手不管是错误的, 因为行情应用与整个应用系统有许 多直接的联系,对

16、行情系统的破坏会波及整个应用系统的各个方面。例如：系统的用户/口令，系统/用户的配置文件，播种病毒。恶意的用户可以通过行情系统的入侵来设置各 种陷阱,收集系统和用户的信息,并依照这些信息轻易地破坏整个系统。般来说，对应用软件的安全性应从以下几个方面来考虑。*应用软件的安全体系设计* 应用软件所基于的平台 /技术的安全*防病毒能力2.3.1 应用软件的安全体系设计应用软件的设计是安全性因素中的最重要因素。它从应用系统的最高层保证系统的整体安 全，一个好的设计可以修改 /屏蔽 /克服其他底层的安全威胁。例如，应用系统拥有自己的帐 户管理，数据加密，身份验证和应用 /数据维护。由于此类的设计通常牵涉

17、的技术/产品的问题过多和过于复杂，因此应用软件的设计在安全性的管理方面通常采用所依赖的软件/技术平台来帮助应用系统实现安全管理。例如，应用系统可以利用 NDS 所提供的安全管理手段 完成其对用户的身份验证， NDS 的可扩展特性允许应用程序将应用方面专有的属性和管理 方式嵌入到 NDS 的管理。由于利用 NDS 的层次性， 面向目标及分布式的计算处理， 应用系 统除了可以很容易的达到高安全性以外还可以轻而易举地实现大规模网络， 跨平台应用及高 可靠高容错等特性。在柜面交易系统中， 每个股民的信息是存放在数据库里的。 目前， 广泛采用的数据库平台有 以下几种：XBASE ：没有用户管理，文件共享

18、式访问，对网络系统的安全管理依赖严重，安全漏洞较 多。Btrieve: 无用户管理， Client/Server, 无身份验证，对网络系统的安全依赖严重，有安全漏洞。基于 SQL ：查询语言的数据库：有数据库自身的用户管理， Client/Server 访问方式，安全漏 洞较少。在以上的几种数据库类型中，基于 SQL 语言的数据库有其独到的优势。在安全性方面，这 类数据库有自己的用户管理机制， 采用 Client/Server 结构也使得客户机只通过数据通信协议 与数据库打交道， 这样客户机无法通过文件访问的方法篡改应用数据， 因而从一定意义上保 证了网络数据库的安全。另外， 由于技术的原因，

19、 目前股民的帐户信息是由应用开发商自行维护的。下面对典型的计算机处理和业务操作过程进行分析 ,阐明可能存在的安全隐患 :1、 用户的创建：用户 ID 和口令字由应用软件自行管理。由应用程序自行管理股民的 ID 和口令字。由于帐户的管理是一门很严谨的系统，一个好的 安全帐户管理系统需要很好的设计、 实现与技术保障； 如果系统的帐户管理有欠缺则极容易 被人破译和入侵。 Novell 的安全管理可以帮助应用程序确认用户的身份和口令，通过 NDS 的扩展接口，应用程序可以达到令人满意的安全等级。2、 用户信息入库：建立用户信息（包括股金管理信息），存放在集中的数据库里。用户信息存放在集中的数据库里，

20、这对用户数据库是一项挑战， 必须避免用户直接访问该数 据的文件。对数据库文件的任何恶性操作都会造成严重的伤害， 应采取严格的文件权限管理， 对所有操作记录；同时应选择更安全的数据库系统，利用 Client/Server 或 Client/Middle Server/Sever 等多层结构完成信息的处理。目前， NetWare Oracle 8 是一个非常强健的安 全的Client/Server系统，用户可以用 NDS登录NetWare和Oracle，通过IPX或IP连接到 Oracle 数据库3、 用户操作：用户提供了个人信息后（键盘、刷卡操作等），应用系统对用户身份进行验 证，计算机进行下单

21、操作。用户进行身份验证，要保证该用户身份密码不被泄漏（这要求高级加密技术，例如RSA），也要保证用户在操作过程中不被人侵权或假冒身份。 目前有些证券应用系统对股民身份的验 证过程较简单， 股民操作对应的计算机用户身份的防伪技术也较差， 因此最容易使黑客进行 攻击。在 NetWare4.1 中，采用 RSA 技术进行公钥加密身份验证，对网络上发出的信息包进 行防伪识别，排除了此类入侵的可能性（注意， NetWare3.x 没有此类功能） 。应用程序可以 利用 NDS 的优势方便地实施其自身的身份验证。 例如，应用程序可以利用 NDS 的接口将股 民的身份验证转给 NDS系统；NDS身份验证完成以

22、后，应用程序就可以认可股民的身份， 这些验证操作将是安全的。4、 数据操作：数据库应用软件通过网络计算（文件共享、Clie nt/Server ）等方式进行数据 综合。数据通过网络传输时， 有可能被别人在网上偷听。 最好在应用程序里对要存放的数据进行加 密，这样网上偷听 /截取的将是一些废码。选择的网络工具要尽可能支持数据完整性验证， 在确保数据不被偷听的同时，保证在网上的数据不被人篡改。5、操作上传：将用户请求及数据上传交易所（文件形式） 。上传的数据是从柜面应用系统中对发生交易的数据信息进行总结形成的Foxbase 格式的数据，该数据库文件放在 NetWare 服务器上， 作为队列等待上传， 由专门的传输工作站从队列 里读出，发送到交易所，最后再从队列里清除该上传数据。因此，该 Foxbase 文件的创建，存放和清除都有可能被侵犯。一个不安全的网络权限分配或 一个受侵犯的 NetWare 服务器都有可能使入侵者有能力自行创建、 存放、 修改和复制所需上 传的队列文件，一旦此文件传至交易所并完成交易，股民、营业部都将会受到严重的损失。为避免此类事件的发生，可以采取如下的技术手段：