| 出版日期:2001-11-01 总期号:1068 本年期号:83 |
|
 |
“银广夏”撼动安全
林雪焰 2001年证券界最轰动的事莫过于“银广夏”严重造假的事了,但随后连续发生的股民手中的绩优股被盗卖,偷换成“银广夏”垃圾股的事,更是震动了证券运营商以及信息安全界。行家说:网上证券交易是需要PKI/CA认证这个保护神的。 偷梁换柱“银广夏” 9月10日,即银广夏复盘的第一天上午11时25分左右,北京长城证券阜成门营业部股民付某的5只股票被人盗卖,同时买进了1300股银广夏,成交价为27.17元。 9月12日,银河证券公司北京安外营业部股民杜某两只绩优股被先后盗卖,分两次被买入7000股和10000股银广夏,成交价为22.45元。 9月14日16时左右,国信证券公司北京甘家口营业部中户室一位女士再次遭遇同样厄运。被盗卖掉两只绩优股后,分三批买入了32100股的“银广夏”,成交价为18.19元。 …… 据悉,在银广夏的跌停期间,在北京、广东等地,发生了多起股民账户被盗用,所持有其他股票被“垃圾股”银广夏偷梁换柱的事件。受害股民无论是大户还是散户,在此次“盗卖股票”事件中损失都很惨重。据了解, 9月14日银广夏总成交量为79200股,而国信证券那位女士就买入了32100股!目前这些事件的调查在进行中,但最大的可能是受害股民的账户密码泄漏,被人盗用并下单。通过这一事件,引起了股民、券商及交易平台开发商们对交易安全的强烈关注。 传统网上交易隐患重重 无论是用电话委托还是通过互联网,非面对面的电子商务模式都要面对安全的挑战。随着互联网络的普及和电子商务的发展,安全问题便不断出现,越来越多有关黑客攻击、商业欺骗的报道便是例证。据统计,因在线信息的盗取、盗窃信用卡号码、未经授权访问公司秘密而造成的损失,仅在美国每年就有100亿美元;过去两年中,美国几乎一半的公司因为信息安全问题遭受经济损失;信用卡欺骗估计美国每年就达50亿美元。因此,电子商务的安全同它的好处一样受到人们关注。 传统的网上证券交易系统采用“用户名+口令”的方式,也就是银广夏事件中受害股民电话委托时采用的交易方式。对照电子商务的安全支柱,该方式存在以下安全隐患:口令易被猜测,传输中也易被截获,给投资者和网络管理员带来了极大安全风险;交易信息在网络上采用明文传输,投资者的个人隐私和其他敏感信息容易被窃取和窜改;投资者在做完相关操作后,由于涉及自身利益,可能抵赖曾做过的操作;网上证券交易系统的网站容易被伪造,一旦被假冒,网站可能被用来发布虚假信息,用户提交的信息也可能被窃取。 传统的网上证券交易系统面临众多安全问题,为了提高交易系统安全性,保护证券商和投资者的利益,中国证监会在《网上证券委托暂行管理办法》中明确规定: “第十七条 在互联网上传输的过程中,必须对网上委托的客户信息、交易指令及其他敏感信息进行可靠的加密。” “第十八条 证券公司应采用可靠的技术或管理措施,正确识别网上投资者的身份,防止仿冒客户身份或证券公司身份,必须有防止事后否认的技术或措施。” “第二十条 网上委托系统中有关数据传输安全、身份识别等关键技术产品应通过国家权威机构的安全性测评……” 对于证券运营商,如果开展网上交易服务,必然会遇到安全与身份认证问题。目前电子商务最好的安全解决方案就是PKI/CA。 PKI/CA网上交易的保护神 PKI(Public Key Infrastructure),公钥基础设施,从字面上去理解,PKI就是利用公开密钥理论和技术建立的提供安全服务的基础设施。在现实生活中,有许多基础设施,如电力系统、公路交通系统等等。这些基础设施提供着电能、交通等服务,公钥基础设施(PKI)则是希望从技术上解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题,为网络应用(如浏览器、电子邮件、电子交易)提供可靠的安全服务。 PKI提供这些安全服务是通过使用数字证书及进行数字签名来实现的。数字证书就像电子身份证;标明使用者的身份,数字签名就像现实中的手写签名,保证信息的完整性和不可抵赖。颁发数字证书的机构称为认证中心(CA),就像现实社会中公安机关颁发身份证,CA为网络世界颁发数字证书。和电力设施上发电厂一样,CA是PKI体系中的核心。 PKI是一系列软件、硬件、策略和规程的混合体。它由以下部分组成: 安全策略:安全策略定义了证书管理、密钥使用、风险控制等一系列系统信息安全的说明。 认证中心(CA):作为PKI的核心,在申请、更新到吊销的整个证书生命周期中管理证书。 注册机关(RA):RA是用户与CA的接口,它验证用户的身份,并将证书请求提交给CA。 证书发布系统:证书发布的途径根据PKI的结构不同而不同,通常包括用户自己的发布或通过目录服务。 基于PKI的应用:基于PKI的应用包括了许多内容,如WWW服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、Internet上的信用卡交易以及VPN等。 PKI在国外已经开始广泛应用。在美国,随着电子商务的日益兴旺,电子签名、数字证书已经在实际中得到了一定程度的应用,就连某些法院都已经开始接受电子签名的档案。从发展趋势来看,随着Internet应用的不断普及和深入,政府部门需要PKI支持管理;商业企业内部、企业与企业之间、区域性服务网络、电子商务网站都需要PKI的技术和解决方案;大企业需要建立自己的PKI平台;小企业需要社会提供的商业性PKI服务。 对于PKI市场,IDC 在1999年 12月发表的报告《PKI:Nothing But Pilots ?》中认为:2003年的世界PKI市场将由1998年的1.227亿飞涨到13亿美元。另外一家以英国为主的市场调查公司Datamonitor在2000年3月的报告《Public Key Infrastructure, 1999~2003》中认为, PKI市场在2003年将达到35亿美元。 PKI流行的两种模式 目前主要有两种不同的PKI建设方式,面向产品的和面向服务的。 面向产品的建设方式。企业购买单独的PKI/CA软件,然后自己建立一个独立的CA服务系统。PKI的建设及维护者将对PKI/CA软件内外相关的事务负责,其中包括系统、通信、数据库以及物理安全、网络安全配置、高可靠性的冗余系统、灾难恢复,运营需要的PKI专家、法律、资金等等方面。 面向服务的建设方式。由专业的PKI/CA厂商建立一个集成的PKI服务平台,企业向该厂商购买PKI服务,并将企业控制和运行的软/硬件与一个高可靠性、高安全性的PKI后台组合在一起。这个后台提供证书处理服务,由为各PKI建设企业共享资源,独立审计。 Entrust是最早的PKI/CA产品的提供者之一,也是面向产品PKI解决方案的代表。国内的金融认证中心(CFCA)就是与Entrust合作的产物。Entrust在PKI/CA市场上占有较大的份额,其产品具有配置灵活、功能完善、易于二次应用开发等特点。企业购买其产品,通过配置证书策略,建设自己的CA,向最终用户提供证书服务。但由于最终用户使用专门的客户端,没有使用开放的结构,一定程度上影响了其产品的推广。 作为世界最大的PKI/CA服务提供商,VeriSign公司的名字对许多人来说并不陌生,当我们在网上冲浪时,经常会访问到由VeriSign颁发证书Web站点或插件。国内商业PKI试点天威诚信认证中心就是和VeriSign合作。VeriSign提供的PKI解决方案称为OnSite,其主要特点是通过委外的方式,将CA建设主要部分集中在认证中心,企业不需要承担建设和维护的费用。用户使用Web浏览器等标准的技术使用其证书服务,方便易用,利于推广。 选一家可信的CA 当前,我国电子商务CA认证中心的建设存在过热现像。除了中国金融认证中心(CFCA)、上海CA中心(SHECA)、天威诚信认证中心(iTruschina)等大型CA,各部委和地方在建和已建的CA中心共有30多家。国内所建设的CA中心多数具有政府或金融机构背景,但证券服务商选择自己交易系统的PKI/CA服务商时,不应该仅看其的背景,而需要考察CA中心的实力是否能保障证书使用者的权益。建立面向社会服务的CA中心不仅仅是技术问题,而是一个包含技术、管理、保障等各方面的系统工程。 选择CA中心,首先要看CA建设单位是否具备管理能力,以及责任和义务是否很明确,一旦证书出了问题,各方的责任是否清楚,其次是看技术能力和运行条件,CA要为社会服务,能否保证安全可信,运转有效;这需要专门的技术能力和安全完整的网上认证技术体系。第三是看是否有足够的财力支持。没有数千万乃至上亿的投入,是无法面向社会提供可信赖的CA服务。第四是看整个CA系统和设施是否安全,其采用的产品和系统是否成熟可靠,能否持续提供可靠的服务。 PKI解决方案 目前国内的证券商在建设自己网上交易平台时,开始选择PKI/CA作为解决方案。一种典型的方案如下图。该解决方案的核心是券商采用面向产品或面向服务模式建立CA认证中心。 其具体操作步骤如下: 1. 证券商自己建立CA中心或使用外部CA中心的服务,对自己的交易股民进行身份验证并签发数字证书; 2. 证券商为自己的交易服务器申请服务器证书,作为表明自己身份的依据; 3. 股民访问交易服务器时,通过出示自己的数字证书表明自己的身份,交易服务器验证该股民提交的证书,决定是否授权交易; 4. 交易服务器也提供自己的数字证书,交易股民验证该证书,确认交易服务器的身份; 5. 股民与交易服务器互相验证身份后,建立SSL(Secure Socket Layer,安全套接层协议)安全通道,在该通道中传输的信息都经过加密以及完整性鉴别; 6. 当股民进行交易时,使用自己的数字证书对所提交的关键交易数据进行数字签名,确保交易数据的完整性,以及确认投资者的真实身份和交易数据的真实来源; 7. 交易服务器保存用户提交关键交易数据以及签名,作为审计日志,防止出现抵赖行为。 
网上证券PKI解决方案 与传统的证券交易系统相比,PKI/CA的解决方案更加安全和方便。但是,由于国内提供CA认证的商家众多,所颁发的证书认证体系各不相同,实现PKI的具体实施各种各样,所以券商都面临解决方案的选择问题。 |
||||||||
