上证联合研究计划课题报告

固定收益平台网上交易业务的互联网安全保障技术研究

 上海交通大学信息安全工程学院

华泰证券股份有限公司

联合课题组

课题主持人：蒋兴浩 副教授/博士

上海交通大学信息安全工程学院课题协调人：宋亦鹰                    苏燕

上海证券交易所技术中心上海交通大学课题组成员：

李建华 教授/博士张全海 讲师/博士

孙锬锋 讲师/博士(后) 华泰证券课题组成员：

雷 兵 高工王 强 高工

2008 年 3 月

前  言

本课题作为上证联合研究计划—固定收益平台课题之一，原来的名称为“证券核心网上交易业务的互联网安全技术研究”。考虑到课题研究范围限定和实际需要，在上海证券交易所的建议下，本课题的题目调整为“固定收益平台网上交易业务的互联网安全保障技术研究”，以期针对固定收益平台网上交易业务系统进行安全保障技术的研究，重点针对现存的安全问题和安全隐患进行风险评估和安全漏洞分析，在此基础上给出合理化建议，改善和弥补现有系统安全防护方面的不足。

采取强有力的安全策略来保障固定收益平台网上交易的安全性尤为重要。完善的安全保障和完善的信息服务，是网上交易的重要保障。网上交易系统安全需要从多方面加以考虑， 特别需要研究整个网络的安全策略，并在安全策略的指导下进行整体的安全建设，分析网上交易面临的风险，从系统的物理安全、技术安全及管理安全等多方面结合并建立一个平衡的方案，在重视技术安全的同时，建立适应的安全策略、采用适应的安全技术、选择适用的软硬件工具，加强网络系统的物理安全，强化用户与业务管理，通过整体安全方案来提高固定收益平台交易系统的安全防范能力。

本研究报告分以下几个部分对核心问题进行了分析和阐述：

第一部分，固定收益平台网上交易业务发展现状及特点。对固定收益平台网上交易业务的发展现状及特点进行了总结与分析。

第二部分，证券网上交易信息安全风险分析。对网上交易业务信息安全需求进行了系统化分析，指出网上交易业务可能存在的十个方面的安全风险。

第三部分，固定收益平台网上交易业务安全防护重点分析。对固定收益平台核心业务安全防护进行了重点地分析，指出固定收益平台可看作是由五个主要实体构成的统一整体，这五个实体是：主机、网络通路、数据通信、网上交易客户端以及业务网络，要进行安全防护就必须针对这五个实体进行有效的安全考虑，必须采用多层安全防护措施对信息系统进行全方位的保护。并建议参照 P-POT-PDRR 的信息安全动态保护体系模型，从安全服务维、协议层次维和系统单元维三个角度对系统的安全进行分析，并采取相应的防范措施。

第四部分，固定收益平台网上交易中心端安全现状及防护建议。该部分对固定收益平台网上交易中心端的安全现状进行了调研分析，指出目前在技术措施和管理措施上仍存在的问

题，并提出明确的安全防护建议。

第五部分，固定收益平台网上交易客户端安全防护建议。该部分对固定收益平台网上交易客户端的安全现状进行分析，给出较为详细的客户端安全防护的建议，并给出改进系统的一些设想。

研究报告还以附件的形式，给出了目前主流的安全产品技术特点的介绍。

由于受到课题调研工作展开深度局限，加之时间有限，所以本研究报告在固定收益平台中心端和交易客户端的具体安全防护措施上的建议，更多以原则建议的形式给出。但期望这些原则建议仍能对现有安全措施的改进和完善，起到积极的帮助。也能为上海证券交易所以后的网上交易业务系统安全建设规划工作提供前期有益地探索和借鉴。限于课题组人员水平所限，报告中的内容也只能仅作参考，错误及不当之处在所难免，也欢迎批评指正！

作为联合课题组，上海交通大学信息安全工程学院从技术和理论体系的角度，对固定收益平台网上交易业务系统的安全防护进行了系统化分析和改进建议；华泰证券有限责任公司作为国内知名的资深券商，从网上交易业务系统使用客户的角度，结合自身多年来从事证券行业的经验，对现有网上交易业务系统给出了业务上的风险评估和改进的建议。

联合课题组真诚的感谢上海证券交易所技术中心的范云、宋亦鹰、苏燕等同志，作为课题的管理和协调人，在本课题的研究进展过程中，给予了热情的关注和积极的帮助，并为本课题的研究提供了很多建设性建议，有力促进了本课题的研究！

课题负责人真诚地感谢华泰证券的研究团队，克服地域上的不便，多次往返于南京和上海之间，参加课题的交流和讨论。他们的敬业精神，感动和鼓励着整个研究团队！

感谢上海证券交易所！并向所有参与本课题研究的科研人员致以深深的谢意！

固定收益平台网上交易业务的互联网安全保障技术研究

一、固定收益平台网上交易业务发展现状及特点

互联网以其高效率、低成本、全球性的特点越来越受到人们的重视，证券网上交易作为互联网上的重要应用，代表着证券经纪业务的发展方向，必将对传统的经纪业务模式提出挑战，最终将改变券商的经营思路和管理模式，网上交易既给券商带来了良好的发展机遇，又给券商带来了巨大的挑战。信息技术的发展使全球主要证券市场的结构和运作机制发生了重大的结构性变革：信息技术飞速发展；机构投资人日益崛起；投资全球化持续推进；市场管制不断放宽；金融服务业的竞争日益激烈；外在环境的改变催生了众多的另类交易系统。

上海证券交易所（以下简称“上证所” ）正在朝着建成世界一流交易所的目标而努力。如何建立一个技术先进、安全可靠、稳定高效、可持续发展的开放式网上业务平台，更好地服务于社会，尤其是在中国加入 WTO 以后，能够大规模应用有自主知识产权的信息安全技术构建统一、合理的技术壁垒，以提高中国证券行业的总体竞争力，应对将来中国金融服务开放的局面，是中国证券行业迫切需要考虑和解决的问题。

中国证券市场从一开始就采用了计算机网络技术，率先在全行业普遍应用计算机信息技术，取得了大量经验。1998 年 12 月，华泰证券作为全国首家全面开通网上交易的券商，拉开了国内证券行业网上交易大规模应用的帷幕，2000 年 4 月，证监会颁布了《网上证券委托暂行管理办法》，全面推动了证券行业网上交易的快速发展。通过近十年的发展，伴随着网上交易技术的不断进步、网上交易业务品种的不断丰富、网上交易管理措施的不断完善， 网上交易已成为业内客户交易的主要手段，国内券商无不高度重视网上交易的发展。以华泰为例，网上交易的交易总量占公司总交易量的比例已超过 70％，并继续呈现出稳步增长的态势，显示了网上交易广阔的发展前景。

90 年代末以来我国证券市场特别是国债市场规模增长迅速，二级市场发展非常快速。2005

年底我国各类证券总存量已经达到 7.2 万亿元，全年证券交易金额达到 24.7 万亿元。虽然每年证券成交金额巨大，但总体而言，我国国债市场的流动性还有待进一步提高，以为其他各种金融工具提供定价基准。

为适应中国固定收益市场快速发展的环境，提高固定收益市场流动性，上证所通过建设

“固定收益电子信息平台”，引入一级交易商做市机制，提高证券交易的效率和市场流动性，

为国债等固定收益产品提供高效、低成本的批发交易平台。系统能更好的满足机构投资者的需要，增强上证所证券市场的吸引力，提升上证所证券交易量和市场份额。

上证所竞价系统与固定收益电子信息平台一起构成证券市场技术支持平台，竞价系统主要用于支持衍生产品市场和小额现券交易；固定收益电子信息平台为大额现券交易和其他非标准化固定收益产品提供更为灵活的交易平台，为国债做市商业务提供技术支持。

固定收益电子信息平台定位于机构间市场，交易商（经证监会或人民银行批准从事证券自营业务并且交易活跃的证券公司、信托投资公司、基金管理公司、保险公司、财务公司等） 作为市场参与主体，可以直接参与证券交易，普通投资者不能直接参与报价系统，交易商与代理的客户之间现券交易可以通过成交申报直接将成交结果报告至报价系统。

目前，目标用户约 130 家，其中证券公司约 40 余家（创新类和规范类）、基金公司约 50

余家、持有证券专用席位的保险和财务公司约 30 余家。每家交易商预计不超过 5 个交易员通过报价系统进行交易。

交易商分为一级交易商和普通交易商，一级交易商向市场提供双边报价（做市），提供流动性。一级交易商资格由财政部、交易所共同指定。根据国债的剩余期限，将做市券种分为三类，短期（1 年）、中短期（3 年）、中期（7 年），每个一级交易商必须对三个类别中的一支进行做市，一级交易商向交易所提出做市券种申请，由交易所复核后，进行登记。报价系统为一级交易商提供卖空机制，提供做市便利，同时对于一级交易商的做市行为，定期进行评估。

固定收益电子信息平台系统的目标是建立适于机构参与的固定收益市场，多家指定交易商为市场提供流动性支持。

• 更好地服务各类机构投资者
• 以询价与做市商交易制度丰富交易模式
• 探索建立真正有效的证券市场做市商制度
• 促进证券市场的流动性，产生证券市场的真实，连续的市场公允价格
• 为机构投资者提供创新信息服务

为保证上述目标的实现，系统具备以下关键特征：

• 支持证券现券竞争性做市商制度
• 建立卖空机制，支持做市商提供市场流动性
• 真实报价，即报价反应真实交易意愿，其中确定报价为可执行报价
• 大宗交易更大的灵活性，可以对多个交易商进行询价
• 交易和结算直通车处理，实行净额担保交收制度

• 未来可以支持多个结算后台

二、证券网上交易信息安全风险分析

互联网是个全球性、开放性的网络，在互联网上进行网上交易，数据在互联网上传输的途径经历了很多的环节，所有环节都可能面临着来自各个方面的安全威胁。在不安全的互联网上确保网上交易系统的安全运行，需要我们对网上交易的各个环节可能存在的安全风险加以分析，并提出相应的解决方案。固定收益平台网上交易业务的安全风险在很大程度上，属于网上交易安全的共性风险。本节从总体上对证券网上交易安全的风险进行分析总结。

证券网络系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。网上证券交易所涉及的大量交易信息都是以电子数据的形式在 Internet 上传输的，由于 Internet 的广泛性和公开性，使得传统的数据传输、保存、验证和鉴定等技术不再有效，这对网上证券交易的安全性提出了新的挑战。证券业作为一个开放的、社会化的行业，其安全关系着国家和投资者多方面的利益，如果网上证券交易系统因遭受黑客攻击而被破坏，受到影响的将不仅仅是几个投资者，而可能是一个国家、一个地区， 甚至是整个世界金融体系。超过 80%的网民对网上交易的安全性表示担心，特别是针对网上证券交易。以下几个问题是投资者对网上证券交易最为关注的，如：(1). 网上证券交易系统是否稳定，网上交易是否会因网络繁忙或其他原因出现延迟、中断或数据错误，从而导致投资者利益受损；(2).交易数据是否保密，能否被非法拦截、窃听、破译和篡改；(3). 不怀好意者是否有可能采用相似的名称和外观仿冒合法交易站点误导使用者，进而骗取投资者的数据资料；(4).  网上证券交易服务机构内部人员是否能够利用自己掌握的内部系统或数据信息，从事非法挪用资金、破坏交易系统等活动；等等。

证券网上交易面临的主要安全威胁主要有：一是设备安全，或称硬件安全，主要是设备和网络线路的安全。例如：设备被盗、被毁坏；链路老化或被有意、无意地破坏；因电子辐射造成信息泄露；设备意外故障、停电；地震、火灾、水灾等自然灾害；以及路由器等路由设备造成的信息泄露、交换机和路由器设备配置风险等。二是网络应用管理安全，即软件安全。主要有交易或股民保密信息在网络上传输时被窃取、有关交易的文件或数据在传输过程中被人篡改，如恶意插入或删除某些关键的内容、券商无法确认某些股民的身份是否真实， 因为可能会出现伪造信息或假冒身份的情况、证券交易的参与者抵赖自己所做过的网上交易或其他处理操作，给对方造成损失。这些都涉及到网上交易数据的安全、管理系统和业务系统之间的访问失控，以及内部管理责权不明，安全管理制度不健全或缺乏可操作性等管理安

全风险，这些威胁的突出表现为非授权访问、信息泄露、数据被篡改或丢失。

证券网上交易信息安全风险，总体上可包括以下情况：

（1）上证所的内网存在着来自互联网攻击的可能性

上证所的内网中，运行着交易的核心系统，存放着包括客户资料在内的完整的交易数据库，保障上证所内网的安全，防止黑客非法侵入和病毒破坏，是网上交易整个安全体系中最重要的一个环节。

在网上交易模式应用之前，上证所的内网和互联网是完全隔离的，不存在来自互联网的威胁，随着网上交易的应用，上证所的内网和互联网相连，若安全防范措施不到位，安全管理制度不落实，被黑客或病毒侵入，不仅会对上证所的网上交易系统，甚至对上证所的整个交易系统造成不可估量的灾难性的损失。

在网上交易发展过程中，内外网的隔离技术经历了串口隔离、并口隔离或 USB 隔离、双网卡隔离等发展阶段，这些隔离措施由于在内外网之间采用了不同于通用的 TCP 协议的专用协议，对内网的安全保护作用是显而易见的，但由于这些隔离措施在大行情来临时效率不高、易发生堵塞，所以，上证所在确保安全和确保效率之间可采用折衷的方案，即采用多重不同防火墙的技术策略确保内网的安全。

（2）上证所的行情服务器和接入服务器存在着被黑客高强度攻击的可能性

考虑到行情数据的效率问题，上证所的行情服务器可考虑部署在电信、网通等运营商机房，考虑到交易数据的安全问题，上证所的接入服务器均应部署在上证所的机房。尽管在整个安全架构中有防火墙的安全防护，若每台服务器的防护措施不到位，如安全补丁和杀毒软件不及时升级、密码强度不够等，黑客或病毒穿透防火墙、控制行情服务器或接入服务器的可能性依然存在。届时，行情信息、交易服务的延时、停止、中断甚至错误的现象都会发生。

（3）运营商之间、客户和运营商之间、上证所和运营商之间通讯线路不畅都会影响网上交易的正常使用

运营商除电信、网通之外，还有铁通、移动、联通、教育网等其它的运营商，上证所行情服务器的部署均以电信、网通机房为主，各运营商之间基于利益上的考虑，相互之间的联通经常存在着不畅通的现象，导致客户浏览行情或交易下单出现延时、堵塞等现象。

即使是在同一个运营商的网内，由于互联网本身的安全可靠性和稳定运行都是相对的， 数据在互联网上传输的途径经历了很多的环节，任何一个环节中断，都有可能造成客户无法浏览行情或交易下单。

上证所和运营商之间通讯线路也存在着被黑客高强度攻击造成堵塞的可能，也将直接影

响客户正常使用网上交易。

（4）网上交易的交易数据存在着在传输过程中被截获甚至被破解的可能

互联网上传输的数据可能会被某些个人、团体或机构通过某种途径采用某种手段截获， 如果加密措施不到位、加密强度不够的话，被截获的数据内容甚至会被破解。非法入侵者因此可能会冒充合法用户，将伪造的交易数据提交给交易服务器，造成客户的资产损失。

（5）上证所的后台交易系统等若出现故障，将直接影响到网上交易系统的正常运行

网上交易系统是一种非现场的远程交易方式，依赖于后台系统的支撑。如果上证所的内部交易系统、硬件网络、通讯线路等出现故障，则网上交易可能中断，客户将无法使用网上交易系统。

（6）客户的身份认证若安全级别不够，安全隐患则会突出，客户的交易帐号及密码存在被破解、盗用的可能

由于系统的交易帐号是连续的，在现有的模式下，某客户的交易帐号一旦泄露，不良行为者可对该交易帐号连续攻击，将直接影响客户的网上交易；若客户的安全意识薄弱、安全防范措施不到位、交易帐号随便泄露、密码过于简单等等，客户身份资料被盗取的可能性非常大。

近年来，客户股票被盗卖的案件时有发生，这不仅影响到客户能否正常使用网上交易， 更主要的是，这将大大增加人们对网上交易安全性的担忧，直接影响到网上交易的健康发展。

（7）客户端系统安全防范的技术措施不到位，存在客户资料被盗取的风险

无论上证所采用多么完善的安全策略，确保内网和网上交易系统的安全，但客户端系统是运行在客户的电脑上的。由于对投资者安全教育不到位，客户对网上交易的安全防范认识不足，使用客户端的客户电脑被病毒攻击的可能性非常大，历史上曾发生过的“证券大盗”木马病毒，通过某种途径植入客户电脑，针对市场上常见的网上交易软件，在客户交易下单时截取客户的键盘输入，从而盗取客户的帐号和密码，导致客户股票高买低卖，黑客从中获利的案件。这一案件给我们的警示是，客户端系统应有足够的技术防范措施，保护客户的资料安全，同时，我们也应充分认识到，技术防范总是相对的，加强投资者教育，增强客户的安全防范意识，这才是确保客户端系统安全运行的最重要的保证。

（8）网上交易系统若部署不足、互备机制不全、实时监控不完善、应急处理不到位，都将影响客户网上交易的正常使用

随着市场行情火爆，网上交易的访问量越来越大。运营商之间的互联互通问题比较突出， 通讯线路异常中断时有发生，若未对网上交易系统在全国范围内进行合理的规划、足够的部

署，没有建立完善的互备机制，在行情火爆或线路异常情况时客户访问堵塞、中断，客户都将无法正常使用网上交易。

网上交易的网络设备和服务器本身可能会出现硬件故障、线路故障可能会导致行情传输中断等，若没有有效的实时监控系统及时发现故障，在故障发生时没有及时的应急处理，这不仅会影响客户的网上交易使用，还会对网上交易的市场形象产生不良影响。

（9）网上交易手段的丰富，增加了网上交易等相关系统被攻击的可能性

我们通常所说的网上交易软件，是指目前大规模使用的网上交易客户端系统。实际上， 基于互联网的网上交易，不仅包括客户端系统，还包括基于网站的页面交易系统，以及近年来得到迅速发展的手机炒股系统。像手机炒股系统等这些处于发展初期的系统，利用网上交易通道，接入内网的集中交易系统，如果这些系统的安全措施不严密、不到位，都有可能影响到包括网上交易系统在内的相关系统的安全运行。

（10）网上交易存在着被产品生产商、产品生产者中不良行为者非法利用的可能性

业内目前的网上交易系统均采用外包购买产品的方式，并向厂商提供了访问交易系统的交易接口，同时，业内尚无能力验证网上交易系统的技术安全策略是否如厂商所描述的那样落实到位，因此，网上交易的安全运行在某种程度上，既要依赖于国家安全权威部门（如国家安全测评中心）对网上交易安全产品的安全认证，同时要依赖于产品生产商的资质，依赖于产商对开发人员和软件产品的管理。

三、固定收益平台网上交易业务安全防护重点分析

固定收益平台网上交易系统的安全，即保证债券交易信息处理和传输系统的安全。这侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失，避免由于电磁泄漏导致信息泄露。

固定收益平台网上交易内容的安全，侧重于保护交易信息的保密性、真实性和完整性。  包括用户鉴别、安全审计、安全问题跟踪、计算机病毒防治和数据加密等。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为，本质上是保护用户的利益和隐私。

固定收益平台用户分布范围较广，由于多个机构都需要通过网络接入，而各机构情况不尽相同，导致接入网络的方式多种。证券管理机构、用户主要是通过网络以 B/S 方式接入固定收益平台。固定收益平台交易系统不可避免地会面临来自外部的恶意攻击和破坏、各种各样病毒传播的可能性。固定收益平台可看作是由五个主要实体构成的统一整体，这五个实   体是：主机、网络通路、数据通信、网上交易客户端以及业务网络，要进行安全防护就必须  针对这五个实体进行有效的安全考虑。

• 重点主机：关键业务服务器、网站服务器，都属于重点主机。由于操作系统漏洞和应用程序漏洞，这些主机是黑客攻击的重点。
• 网络通路：网络通路是入侵经过的途径，在开放式网络中传输敏感数据，数据流从客户端出发经本地网络（局域网），传送至 ISP 接入设备，中间可能再经过多个局端设备，跨越多个 ISP 到达固定收益平台网上交易系统前端。在任何一个环节（包括：线路、交换、路由）都可能存在侦听、破坏及仿冒重现等威胁。互联网由于自身的开放性特点，容易受到大规模的病毒及恶意攻击的影响，容易产生局部线路中断、访问不畅等问题。因此，网上交易信息在互联网上传输的最基本的技术安全防护要求保证私密性，并具备真实可鉴性。建立一条安全有序的数据通路，能够事半功倍地保护证券网上交易的正常进行。
• 数据通信：数据在网络中通过，会被偷窥、篡改、伪造，危险数据完整和安全。
• 网上交易客户端：通过互联网进行交易，客户端的安全处在所能监管的统一安全屏障之外，因此必须对交易客户端的安全防护提出必备的要求。

5）业务网络：来自内部的攻击是重要的安全隐患；病毒泛滥，不仅危害数据安全，还会泄露重要信息。

目前，业界流行的信息安全保护模型是参照P-POT-PDRR 的信息安全动态保护体系模型， 对系统的安全进行分析，并采取相应的防范措施。其体系结构如下图所示：

图：P-POT-PDRR 信息安全体系模型

P-POT-PDRR 信息安全体系模型围绕着信息安全策略（Policy），全面考虑人员

（Person）、技术（Technology）、操作（Operation）等三方面的信息安全要素，采取防护(Protection)、检测(Dection)、响应(Response)和恢复(Recovery)等四类信息安全保障措施，从静态到动态，从技术到管理，构建完整的信息安全体系。

安全策略在整个 P-POT-PDRR 安全体系的设计、实施、维护和改进当中都起着重要的指导作用，是一切信息安全实践活动的方针和指南。信息安全的三个基本要素，即人员、操作和技术，构成了安全体系的骨架，从本质上讲，安全的全部内容就是这三个要素的阐述， 当然，三个要素中，人员是唯一具有能动性的，是第一位的。在模型的外围，是构成信息安全完整功能的 PDRR 四个环节，信息安全三要素在这四个环节中都有渗透，并最终表现出信息安全完整的目标形态。图中的四个要素，保护就是采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性；检测就是利用高技术提供的工具检查系统存在的可能被用于黑客攻击、病毒泛滥的脆弱性；反应就是对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务；恢复就是一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务。

网络安全实践的研究分析表明，单一的安全保护往往效果不理想，而最佳途径就是采用多层安全防护措施对信息系统进行全方位的保护。所谓“多层次防护”，就是应用和实施一   个基于多层次安全系统的全面信息安全策略，将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层，进而对各层的

安全采取不同的技术措施，具体实现是在各个层次上部署相关的网络安全产品，增加攻击者侵入所花费的时间、成本和所需要的资源，从而卓有成效地降低被攻击的危险，达到安全防护的目标。

安全方案必须架构在科学的安全体系和安全框架之上，为了系统、科学地分析网络安全系统涉及的各种安全问题，网络安全技术专家们提出了三维安全体系结构，并在其基础上   抽象地总结了能够指导安全系统总体设计的三维安全体系，它反映了信息系统安全需求和体系结构的共性，如下图所示，安全服务维是网络安全系统所提供可实现的全部技术手段；网络协议维是网络安全系统应该将所采纳之安全技术手段实施的范围；系统单元维是网络安全系统应该提供安全保护的对象。作为一个现实的网络安全系统，首先要考虑的是安全建设所涉及的有哪些系统单元，然后根据这些系统单元的不同，确定该单元所需要的安全服务，再根据所需要的安全服务，确定这些安全服务在哪些 OSI 层次实现。

图：信息网络安全体系结构

安全服务维

安全服务维（第一维，X 轴）定义了 7 种主要完全属性。具体如下：

• 身份认证，用于确认所声明的身份的有效性；
• 访问控制，防止非授权使用资源或以非授权的方式使用资源；
• 数据保密，数据存储和传输时加密，防止数据窃取、窃听；
• 数据完整，防止数据篡改；
• 不可抵赖，取两种形式的一种，用于防止发送者企图否认曾经发送过数据或其内

容和用以防止接收者对所收到数据或内容的抗否认；

• 审计管理，设置审计记录措施，分析审计记录；
• 可用性、可靠性，在系统降级或受到破坏时能使系统继续完成其功能，使得在不利的条件下尽可能少地受到侵害者的破坏。

协议层次维

协议层次维（Y 轴）由 ISO/OSI 参考模型的七层构成。与 TCP/IP 层次对应，可以把会话层、表示、应用层统一为“应用层”。

系统单元维

系统单元维（Z 轴）描述了信息网络基础构件的各个成分。

• 通信平台，信息网络的通信平台；
• 网络平台，信息网络的网络系统；
• 系统平台，信息网络的操作系统平台；
• 应用平台，信息网络各种应用的开发、运行平台；
• 物理环境，信息网络运行的物理环境及人员管理。

固定收益平台交易系统是一个涉及面广，安全要求高的大型网络应用系统，该系统的信息安全体系涉及技术、运行、管理等方面。其安全架构可划分为四个方面：包括物理安全、系统安全、运行安全和管理安全，其体系结构如下图所示：

图：固定收益平台网上交易系统信息安全防护体系

物理安全是指防止非授权人员接近核心系统，以免核心系统设备遭受破坏、窃取、修改和非法侵入系统。机房的主要安防措施包括消防监控系统、供配电系统、UPS 备电系统、防盗报警监控系统、电子门禁系统、防雷系统等。

系统安全包括交易系统计算环境安全、网络边界安全、网络基础设施安全和安全基础  设施的建立等，是防止系统遭受从网络上、系统上以及应用上进行的破坏或者窃取机密等行为。

#   计算环境安全的措施主要包括防病毒、安全漏洞扫描与评估、系统加固、主机入侵检测和监控等。为了有效的防范计算机病毒对系统的破坏，应建立多级网络病毒检测和防范系统。一方面，在网络的出入口，建立网络防病毒网关，作为信息服务系统防病毒的第一道防线，能够过滤大部分病毒，使之不能影响内部网络；另一方面， 在所有的服务器群和 PC 机终端中安装网络防病毒系统，并启动实时病毒监控，定时查杀病毒，确保病毒没有存身之所；同时，实现全网防病毒系统的统一管理、统一升级，定时查杀，远程检测，确实有效的构建防病毒体系，彻底的消灭网络内的已知病毒；还应建立病毒应急响应流程，由于新病毒穷出不尽，仅仅依靠防病毒软件进行防护远远是不够的，还需要有专业的服务人员，定期检测，应急响应，将系统面对病毒的威胁和破坏的可能性减到最小；系统加固针对不同应用对计算机的系统配置策略进行有针对性的调整，包括修改系统策略配置，系统补丁修补和升级，或者安装第三方的加固软件等，既包括常规的系统加固，也包括针对安全漏洞评估所发现的系统脆弱性进行加固。应在主机和服务器上部署主机入侵检测和监控系统提高主机和服务器系统抗击入侵的能力，监控主机的异常状态和入侵行为，并根据预设规则报警，提供系统管理员及时采取措施防止入侵威胁，同时，记录下完整的入侵日志，供系统管理员进行安全审计和分析。

#   网络边界是指两个网络或者两个不同安全域之间的分界，网络边界安全是网络安全保障的第一道防线，是信息安全体系中重点防护的部分之一。网上交易系统在网络边界安全需要采用 VPN、防火墙、网络入侵检测和网络安全审计等措施。可在各网络边界和重点服务器前部署不同种类的高性能防火墙，从网络上区分内部用户访问和外部用户访问的两个通道。网络的主要节点上部署网络入侵检测探头，通过侦听、分析网络数据，随时发现网络中的非法访问与入侵行为并记录，通过对流经监控网络的数据进行监控和分析，及时发现攻击行为，以便及时地报警和通知网络管理员进行处理，通过记录、报警和阻断等方式保护系统的安全；根据信息安全审计要求， 配置网络安全审计系统，对核心服务器所在的网段进行审计，保证敏感事件的记录存储下来，对这些记录可以查询、统计、管理和维护，必要时可以抽取资料，为管理所用。

# 网络基础设施安全措施指为了防范网络交换机、路由器等网络基础设施故障或者遭受攻击所采取的措施，应对关键的交换机、路由器和重点服务器、通信线路进行冗余备份，同时采用负载均衡和流量均衡措施，设备负载均衡的方式实现冗余，确保网络不因为线路、路由器、防火墙、交换机等任一设备的单点故障或单线故障的缘故而导致网络中断，最大限度的保障了网络的高可用性；系统中应具有网络管理系统，对所有网络设备统一管理，如 VLAN 划分管理，配置管理，尤其是密码配置， 对密码的长度、复杂度、更换的周期都必须按照严格的要求进行，对网络设备进行合理地配置，控制网络用户可达的区域和端口，提高系统的安全性。

#   安全基础设施是对网上交易系统进行安全防护的基础设施，包括公开密钥基础设施

（PKI）、授权管理基础设施（PMI）、网络安全综合监管；PKI 技术是目前主要的身份认证体系，它基于公开密钥技术，通过数字证书的颁发和管理，实现用户身份的认证和数据传输的应用层加密；PMI 可以有效实现用户身份的证实与访问控制， 充分保证敏感资源访问的可控性与可审计性。PKI/PMI 系统实现身份认证和权限控制，是整个网上证券交易系统信息安全保障体系的基础。网络安全综合监管系统可实现在统一的平台上对防火墙、入侵检测、安全审计、防病毒以及网络设备等进行监控与管理，可显著的提升管理的效率和设备的效用。

运行安全是指在系统的运行全过程中，通过采取有效的维护措施，确保系统稳定可靠  运行，遇故障可快速解决恢复，逢意外有应急措施预案。建立并逐步完善信息系统安全运行服务体系和系统管理体系，建立自行维护和外包服务相结合的信息系统安全服务规范。通过系统运维部门的日常维护工作和专业信息安全公司的日常安全外包服务和应急技术响应服务，确保信息系统的高效、稳定、安全地运行，并能够在发生故障时快速恢复系统服务。

管理安全是指从组织、人员、制度等方面落实措施，为信息系统安全提供保障和支撑包括三个方面：组织安全管理、人员安全管理和安全管理制度。组织安全管理主要是建设信息安全领导机构、日常执行机构、应急响应机构并落实各单位各系统的安全责任人，明确各自的职责。组织安全管理的保障是管理安全的基础，是人员安全管理和安全管理制度落实的前提和保障；人员安全管理建设完善的人员安全管理体系，要充分考虑信息系统决策领导、信息服务系统的业务管理人员、普通用户以及技术维护人员等的权限区分和控制。内部人员要进行培训，签订保密协议并经常性的审查人员的可靠性。建立完善可实施的安全管理制度。落实场地管理、设备管理、运行管理、技术开发管理、信息发布管理等一系列安全管理制度，

从而从体系上规范信息服务系统的运营，保证信息服务系统的安全可靠。安全管理制度首先要求是合理有效，要从系统安全需求和安全策略要求出发，确定具体的安全管理措施，并形成正式的、有权威性的安全管理条文，同时还要组织学习和培训。其次，要保证安全管理制度执行的力度和效果。

四、固定收益平台网上交易中心端安全现状及防护建议

4.1      固定收益平台中心端安全现状

经课题组调研了解，目前固定收益平台的安全防护情况如下：

图：固定收益证券综合电子平台安全架构固定收益证券综合电子平台已采取的安全防护措施，包括：

• 链路层的安全防护

同时使用 2 条 INTERNET 链路来满足系统的需求，通过部署链路冗余设备实现链路的冗余，以规避由于链路故障所带来的风险。

• 边界防护

在系统的网络边界处，通过架设防火墙来进行网络的隔离，并且对防火墙本身进行了

HA 的设计，以保证其自身的可靠性。防火墙进行了初步安全策略配置。

部署抗 DOS 攻击设备，有效的防止由于 DOS 攻击对正常业务造成的影响。

• 区域防护

对固定收益证券综合电子平台服务器群所在的区域进行严密的安全监控和安全审计，通过部署网络入侵检测系统和网络摄像机对网络中所有的异常情况进行报警和记录。

• 节点防护
  • 节点本身的冗余（所有的服务器、网络设备、安全设备均做了冗余设计，防止单点故障）
  • 节点的抗攻击保护（加强对设备的安全配置，提高抗攻击能力）
• 负载均衡技术的应用

负载均衡技术主要是用来对服务器的性能与安全性的提高，将整个服务器群的压力平均的分配到各个单独的服务器上，以提高整个服务器群的性能。同时，其本身的工作原理（重定向数据流、NAT 等）又使得整个集群在安全性上得到了进一步的提高。

• 安全管理

已实施一定的安全管理措施，包括：

• 制定整体安全策略
• 制定安全管理流程
• 定期对系统做风险评估与安全加固工作
• 在计算机磁盘上对日志进行记录
• 日常的系统安全监控与维护工作
• 异常事件的紧急响应流程安全制度列表：

《安全管理制度》

《计算机机房管理制度》

《密码口令管理制度》

《人员管理制度》

《应急响应管理制度》

《运行维护管理制度》

《资产管理制度》应急预案列表：

《大宗交易系统技术异常应急预案》

4.2      固定收益平台中心端安全防护建议

总体上，固定收益平台中心端已采取了较为全面的安全防护措施，包括技术措施和相应的管理措施，能较好的达到系统安全防护的目标要求。但也存在一些细小的问题，包括：

技术措施上存在的问题：

1. 系统内部没有部署针对 unix 系统主机的病毒防范措施，系统主机仍存在遭受病毒破坏的隐患；
2. 系统的运行日志目前仅采用计算机硬盘的本地环境下保存，日志数据的备份安全强度不够。本地环境下硬盘存储易导致原数据损坏和电磁暴等突发事件破坏；
3. 路由器防火墙的安全配置策略有效性缺乏评估验证；
4. 交易接入主机以 web 方式对公网开放，不对接入主机 IP 进行限制，容易遭到攻击；
5. 仅依靠 key 对券商身份进行验证，同时无法对券商 IP 以及其终端的可靠性进行验证，存在攻击者劫持券商计算机进行破坏的可能；

管理措施上存在的问题：

1. 应急预案不够充分细化，缺乏面对突发事件的必要应急演练；
2. 过于相信防火墙的能力，对防火墙存在的隐患认识欠不足；

安全建议：

针对上述存在的问题，在固定收益平台中心端安全防护上，有以下几点加强建议：

(一)尽快部署针对服务器主机的病毒防护措施，减少病毒感染或破坏的影响；

(二)部署针对主机系统性能和关键网络设备的状态监控措施，加强对运行网络状态的全面监控管理；

(三)加强对系统日志数据的备份安全，除目前已有的在线日志备份外，建议增加离线备份方式，选取与磁盘不同的存储介质增加安全性，加强对存储介质的安全保管，存储介质应采取异地保管；

(四)参照 ISO17799 和 ISO27001，围绕信息安全管理体系和业务连续性保障计划要求， 制定交易平台的完整的安全防护体系规划，并对应审查现有防护措施，对现有不到位的工作进行改进；

(五)完善各类突发情况的处理预案，并进行相关工作人员的培训工作，重视应急预案的

演练；

(六)加强交易主机对各接入券商用户的接入验证控制，如对券商 IP 地址范围进行验证控制等；

(七)依托第三方信息安全评估服务机构，定期加强对网络和主机系统安全防护的检测和评估，对系统安全防护进行持续的周期动态改进；

(八) 应用系统业务逻辑采用基于中间件的三层架构，应加强对中间件应用层安全实现策略的检查和评估；

4.3      附：典型中间层应用中间件安全策略比较

企业信息系统应用架构通常为二层次（Two-tier）平台为基础，是面向数据的应用结构。其理想的应用程序环境是数量有限的客户端，和一个数据源（RDBMS）提供基于局域网的连接，并只能提供较低的安全保障。在这种体系结构中，应用程序的界面和逻辑都放在客户端，从而对客户端的要求比较高。在企业信息系统的系统中，登录点是大量的并来自各方面的。各个基层单位的查询点的计算机系统情况多种多样，要求有高效的查询能力和统一的界面。在传统意义上，这是很难实现的。企业业务工作的数据源是多种的，分布广泛的，数据量十分庞大，要做到快速查询和网上安全传输，对应用系统的体系结构要求比较高。同时， 企业信息系统的系统还要求严格的保密性，信息按照保密级别严格分类，维护整体性、实用性、可扩展性和先进性的系统设计原则，所以，传统的二层次（Two-tier）的体系结构不适合企业信息系统的发展，我们必须实现新的、更适应要求的软件产品来满足企业的需要。

三层次的浏览器/服务器架构是基于 Web 的先进的体系结构，在这种架构中，利用成熟的

Web 应用服务器(WAS) 和事务处理服务器，为应用程序提供 Web 运行环境，数据资源和客户机将被“应用服务器”分隔开，应用服务器上存储着应用逻辑，这种结构着重于客户机对应用服务的请求，有别于二层次架构着重于数据请求。可以将三层次架构的中间层的所有服务器软件统称为中间件，其主要的任务是响应客户端的请求，进行复杂的企业逻辑运算，访问企业的后台数据资源，生成满足客户需要的结果并返回给客户。

在三层次结构中，客户端对数据源的直接访问被对应用程序的请求所替代，客户端访问的是应用程序，由应用程序对数据进行查询和存取，这样就能保证数据不被非法使用和篡改。基于 Web 的三层次结构应用一般以标准的 TCP/IP 网络为平台，与网络开发语言如 Java 等有效地集成，使异种资源的结合变得容易。

比较典型的中间件软件为 IBM 公司的 WebSphere，BEA 公司的 WebLogic，以及 Oracle 公司的Oracle Application 9i，Sun 公司的iPlanet，另外，还有一些免费的中间件产品，如 Tomcat等，下表是 WebSphere、WebLogic 和 Tomcat 的一些安全策略上的比较：

表：WebSphere、WebLogic 和 Tomcat 的安全策略比较

五、固定收益平台网上交易客户端安全防护建议

5.1      固定收益证券综合电子平台客户端简述

固定收益证券综合电子平台当前的目标用户约 130 家，其中证券公司约 40 余家（创新类

和规范类）、基金公司约 50 余家、持有证券专用席位的保险和财务公司约 30 余家。每家交

易商预计不超过 5 个交易员通过报价系统进行交易。

当前的客户端软件为交易员提供了包括交易、查询统计、报表统计、研究报告上传、公告信息查询及洽谈室等在内的功能。

现有的客户端软件安装和运行在 windows 2000 及以上的操作系统上，通过互联网与上证所的服务平台相联。交易员在使用客户端时，需要通过用户名/密码验证，并要提供交易所发放的电子证书（EKEY）。

• 客户端安全防护建议

根据固定收益证券综合电子平台客户端所面临的安全风险以及业务功能的特性，提出以下五方面的安全防护建议：

5.2.1      设备的物理安全防护

交易员一般在机构的办公场所内使用单位的计算机做交易。从设备的物理安全方面考虑， 每个交易员应该单独配备计算机，并且交易员所用的计算机应该做到专机专用，无关人员不能随意接触到物理设备，包括：计算机、EKEY、网络接口、交换机、代理网关等。

5.2.2      网络的安全防护

• 交易员使用的计算机可以单独组网，与单位里其它上网计算机区分开，可以采用单独的交换机或划分独立的 VLAN。以形成相对简单和封闭的网络环境，避免来自同网段内其它机器的病毒传播及可能发起的攻击；同时，有利于查找和排除可能出现的各种网络故障；

• 在交换机和/或客户端计算机上可以做 MAC/IP 地址绑定及访问限制，防止外来计算机的非法接入及由此可能引起的网络嗅控或 ARP 欺骗及攻击；
• 使用专用的互联网线路，并在互联网接入处部属独立的上网代理和/或防火墙， 限制外网对内网的访问，同时限制内网对外网的访问，只开放必要的站点、协议和端口（如只开放内部对电子平台服务站点及若干知名安全网站的访问许可）。这样一方面可以保证上网的速度和稳定性，另一方面可以尽量减小来自互联网的安全威胁。
• 采用 IPS、IDS 及网络审计工具或设备，实时保护及监控互联网入口可能遇到的攻击、试探及局部网内部向外的非法流量；记录并保存局部网内部的所有网络流量，以便进行实时及事后相关分析及审计；
• 在综合电子平台服务端可以限制来源 IP 地址，只允许有限的、各个机构的 IP 地址访问服务端。

5.2.3      操作系统的安全防护

• 使用正版 windows 操作系统，不安装无用的组件或服务；
• 及时安装及更新微软操作系统的安全补丁及 service pack;
• 对操作系统进行安全加固包括：更改默认管理员和来宾用户名；禁止显示上次成功登录的用户名；禁止匿名连接（空连接）；设置较严格的密码长度和锁定策略；停止不需要的网络服务如：Alert, Computer Browser,IPSEC Policy Agent, Messenger, Microsoft Search, Print Spooler, RunAs Service, Remote Registry Service, Security Accounts Manager, Task Scheduler, TCP/IP NetBIOS Helper Service 等；启用审核策略，对登录、对象访问等进行审计；关闭默认共享等；
• 安装防病毒及个人防火墙软件，并及时升级；
• 安装主机保护系统或软件，监控和锁定操作系统内部进程及系统文件的变化；

5.2.4      应用系统的安全防护

• 从交易所指定站点下载和安装客户端软件；交易所控制和审查客户端软件的代码安全性，及时修补可能存在的安全漏洞；
• 设置比较复杂的交易帐户密码，并定期修改；对 EKEY 注意妥善保管，专人专用；
• 应用系统的设计上应该利用证书体系统实现交易双方的身份认证、交易和敏感数据的加密传输以及防抵赖、防重现功能，以保证交易过程的安全性；

• 使用 SSL 加密协议，加强数据本地缓存和传输的加密处理；
• 部署主机审计系统和桌面监管软件，加强日志审计。

5.2.5      安全管理要求

交易员不良的安全习惯很容易导致终端中木马或者帐号被盗。为了保护终端的安全， 养成以下良好的安全习惯非常重要。

• 离开电脑时需要锁定计算机，防止计算机资料泄露或者其他人员误操作导致系统崩溃的情况出现。
• 打开疑似图片或者多媒体文件等尽量先选择右键判断文件类型，对可疑文件尽量不要执行。
• 一定不要打开不认识的邮件，不要随意下载软件，要下载就一定要到正规的网站去下载。同时，网上下载的程序或者文件在运行或打开前要对其进行病毒扫描。如果遇到病毒及时清除，遇到清除不了的病毒，及时提交给反病毒厂商。
• 用户每个星期都应该对电脑进行一次全面地杀毒、扫描工作，以便发现并清除隐藏在系统中的病毒。
• 应该注意尽量不要所有的地方都使用同一个密码，这样一旦被黑客猜测出来， 一切个人资料都将被泄漏。
• 不安装、不使用网络游戏软件、IM 通信软件、P2P 下载软件。
• 对 U 盘、光盘、移动硬盘先查毒再使用，并尽量减少使用这些存贮介质。

5.3      对安全客户端的一点设想

从以上分析来看，客户端所面临的许多风险都与普通操作系统（特别是 windows 操作系统）及普通计算机相关。固定收益证券综合电子平台面对的是有限数量的机构客户，经济实力雄厚，安全意识比较强。因此上证所可以考虑与专业的安全设备生产厂家（例如：中联绿盟信息技术有限公司等）联合研制出一种专用客户端硬件，采用专用硬件（去掉不必要的外设，如光驱、USB、串并口等）和安全操作系统（如 Linux 或 BSD 系列的定制内核）， 预装必须使用的网络协议、组件和客户端软件（需要重新移植），甚至可以将证书也集成进去，形成所谓的“安全客户端”。这样可以省去许多针对传统 Windows 主机的安全防护措施和管理办法，减少由于交易员自身原因而带来的安全问题。

5.4      附：智能客户端技术概述

B/S 和 C/S 是近来使用较多和成熟的应用架构，它们都是当前非常重要的计算架构。C/S 技术从上世纪 90 年代初出现至今已经相当成熟，并得到了非常广泛的应用，其结构经历了二层C/S、三层乃至多层C/S 的演进。B/S 技术则是伴随着Internet 的普及而来，在适用Internet、维护工作量等方面，B/S 比 C/S 要灵活，而在运行速度、数据安全、人机交互等方面，B/S 则要好于 C/S。目前，对于 B/S 结构，通常称为瘦客户端架构，对于 C/S 结构，称为胖客户端架构，这两种架构都各有优缺点，需要针对具体的应用特点进行选择。

智能客户端是易于部署和管理的客户端应用程序，是一种类似于瘦客户端的代替技术， 它们通过综合使用本地资源和到集中数据资源的智能连接，从而达到高适应性的、快速响应的目的。智能客户端应用程序开发模式是在传统的 C/S、B/S 架构基础发展起来的,并在实践中不断丰富和完善,逐步成为一种成熟有效的应用程序开发模式，是 B/S 和 C/S 技术的融合。智能客户端将胖客户端应用程序的优点和瘦客户端应用程序的部署和可管理性优点结合起 来，使之在资源的利用上达到某种平衡。因此，当前随着智能客户端技术的发展，出现了多种多样的客户端，但其都具有以下特点：

• 利用本地资源
• 利用网络资源
• 支持偶尔连接的用户
• 提供智能安装和更新
• 提供客户端设备灵活性

智能客户端的作用总结起来可以概括为：

• 充分利用本地资源，如用于存储、处理或数据。智能客户端应用程序能够利用网络与远端系统连接并与之进行数据交换，并且无论是否连接到 Internet，智能客户端应用程序都可以正常工作。在没有网络连接或网络连接断续时，智能客户端能够利用本地缓存和处理进行操作，并能较好的利用部署在其上的代码和数据，实现本地执行和访问，为应用程序提供内容丰富且响应迅速的用户界面，以及客户端处理能力， 使用户能够执行复杂的数据操作、以及可视化、搜索或排序操作。
• 具备离线处理能力：部署了智能客户端，则可以优化网络带宽，缓存数据和管理连接改善性能和可用性，或通过将请求批量发送到服务器，使用户可以在明确脱机、使用低带宽或高延迟网络，或者连接时断时续的情况下继续工作。

• 智能部署和自动更新：传统胖客户端所具有的一些最大的问题发生在部署或更新应用程序的时候。许多胖客户端应用程序具有大量复杂的安装要求，并且可能通过注册组件以及/或者在公共位置安装 DLL 来共享代码，从而导致应用程序脆弱性和更新困难。而智能客户端应用程序可以根据系统情况，采取多种方式，如简单地将文件复制到本地计算机、使用非接触式部署从中央服务器下载代码、或者使用企业

PUSH 技术等来管理和进行部署，灵活性较好，避免胖客户端的部署难的问题，减少应用程序的管理成本。同时，智能客户端在其运行时或位于后台时对自身进行自动更新。这一功能使其可以逐个角色地进行更新；以分阶段的方式更新，从而可以将应用程序推介给先导小组或受限的用户组；或者按照制定的时间表更新。

• 策略定义灵活：智能客户端还可以提供灵活且可自定义的客户端环境，从而使用户可以将应用程序配置为支持他或她喜欢的工作方式，另外可以根据具体环境对智能客户端进行设计以使其适应宿主环境，并且为它们运行时所在的设备提供适当的功能。这个特点是传统胖客户端和瘦客户端所不具有的，因此相对而言，智能客户端的灵活性和环境适应能力更好。

表：智能客户端和 C/S，B/S 架构的比较：

智能客户端是分布式应用程序，通常跨越多种不同的产品和技术在服务器端，需要采用一种方法来保护网络、服务器本身及其应用程序。在客户端，应集中于利用平台（其中包括操作系统和 病毒防护）的安全特性、客户端代码可以执行的特权操作（代码访问安全）以及与服务器平台（域）和服务器应用程序的交互。在保护智能客户端时，考虑安全性的各个方面非常重要，其中包括以下几个方面：

• 身份验证。智能客户端应用程序承载了较多功能，如访问本地资源，自动更新，并且具有远程登陆能力，因此使用者只有经过认可才能访问应用程序的全部或部分。同时，为了支持离线操作，智能客户端需要进行客户端数据缓存，客户端缓存的数据应当在客户通过身份验证的情况下才可以访问的，但由于它是直接保存在客户端的数据，因此，攻击者很可能通过分析缓存数据的格式从而实现对数据的越权访问。同时，由于智能客户端程序采用的是“联机缓存一脱机操作-联机同步”的工作方式， 攻击者能对脱机缓存中的数据进行篡改，当合法用户下一次联机与服务器进步数据同步时，攻击者所篡改的数据也就被提交到服务器上存入数据库，间接实现对数据库系统实施攻击。应对这些风险，我们需要加强智能客户端应用程序使用的身份认证,实现对缓存数据的加密处理，对内存操作加以严格的管理。
• 权限控制。由于智能客户端是一种分布式应用，跨越多个应用平台，在设计和部署时要考虑灵活性和可扩展性，使其本身和服务器之间并不是非常紧密的结合，因此在部署了智能客户端后，在身份认证之后应考虑权限的控制，防止非法用户越权使用本地资源和数据，或利用本地资源库实施对远端数据库服务器的攻击，即要考虑对授予经过身份验证的用户访问权限的资源进行的操作，实现最小特权的控制原则。这可以通过部署病毒防护和防火墙实现。
• 数据验证。这确保只有适当的和有效的数据才能被应用程序接受。如果允许任何用户输入而不首先验证数据，则攻击者就可以通过插入恶意的输入来危及应用程序的安全。 对于智能客户端，它是 B/S 和 C/S 结构的一种融合，在本地具有对本地资源

的访问能力和离线操作能力，因此其也具有对本地数据的存储和读取能力，为了防止攻击者利用智能客户端实现对本地资源库的破坏，需要加强智能客户端的数据验证能力，对数据完整性和机密性进行保护。

• 保护敏感数据。这意味着确保应用程序存储和传输的敏感数据是安全的。对敏感数据进行加密可以确保数据不可能以明文形式获得，确保信息不会被篡改，从而维护其完整性。智能客户端程序作为一种基于网络的应用程序，必然需要通过网络来传递数据，因此数据在通过网络传输时所存在的风险也是构造智能客户端程序所必需要考虑的。通常情况下，智能客户端程序通过 WebSevriecs 进行网络通信，其关键协议都是基于无状态 HTTP 的明文传输，所以在很大程度上存在数据传输过程中被侦听或篡改的可能性，除此之外，应用服务器与数据库服务器之间的基于 TCP 的传输同样也是一种明文的传输，因此需要加强数据的加密处理，通过 HTTP 本身的安全协议来实现，通过在传输层上使用 Web 加密传输协议 SSL 来实现，服务器与客户端之间通过 PKI 协议进行数据加密与解密，第三方的入侵者由于不具备接收方的私钥，因此无法窃听到通信的实际内容。
• 自身安全提高和主机审核和日志记录。智能客户端程序也是一个普通的应用程序， 存在常见的应用程序都可能存在的漏洞。智能客户端集成的功能较多，另外考虑到智能客户端的联机和脱机工作机制，使得这些漏洞可能并不是仅仅影响到客户端程序的本身，而是会进一步影响到应用服务器甚至数据库服务器的安全，因此需要加强自身漏洞的检测和修复，增强主机日志记录和审计，这包括保存对事件和用户操作的记录，将关键的用户操作或活动记录下来，并对客日志进行保护，防止被篡改或清除，利用日志来分析潜在的风险和威胁，可以通过部署主机风险评估软件和桌面监管软件来实现。

六、总结

采取强有力的安全策略来保障固定收益平台网上交易的安全性尤为重要。完善的安全保障和完善的信息服务，是网上交易的重要保障，然而网络信息安全是一项动态的、整体的系统工程。网上交易系统安全需要从多方面加以考虑，特别需要研究整个网络的安全策略，并在安全策略的指导下进行整体的安全建设，分析网上交易面临的风险，从系统的物理安全、技术安全及管理安全等多方面结合并建立一个平衡的方案，在重视技术安全的同时，建立适应的安全策略、采用适应的安全技术、选择适用的软硬件工具，加强网络系统的物理安全， 强化用户与业务管理，通过整体安全方案来提高固定收益平台交易系统的安全防范能力。

附录 1：安全产品技术特点介绍