证券计算机网络应用安全性分析

证券计算机网络应用安全性分析随着计算机应用进入各行各业，人们的生活对计算机的依赖日趋加重。计算机在国民经济发展方面变得越来越重要。人们借助计算机网络，计算机数据库处理，计算机多媒体等前沿技术实现新型事务处理，新型业务管理及形形色色的生活应用。人对电脑系统的依赖将越来越强。越来越多的信息/数据被存入计算机，越来越多的应用集成在一起，越来越多的计算机连成网络。技术的公开化/标准化为人们带来了方便，也带来了威胁。一旦电脑系统瘫痪，一旦数据被毁灭，网络/通讯失灵；关键业务将出现混乱、停滞，甚至遭受毁灭性的打击。计算机的系统安全性、可靠性是人们审核一个计算机处理系统的优劣的重要方面。人们只有确信计算机系统是安全的、可靠的，才肯将最机密、最关键的数据交给计算机网络技术的发展，使计算机系统的协同处理能力迅速增强，也将对计算机安全防范的要求推到了一个全新的高度。本文根据作者对证券行业计算机应用的了解和调查对证券公司营业部的计算机网络安全进行了分析，对常见的一些技术问题给出详细的说明，供证券业的开发商、系统集成商及证券营业部技术人员参考，促进并提高证券网络应用的安全性。证券营业部的计算机网络应用安全性现状证券交易是由计算机系统进行撮合、交易的，每个营业部的计算机网络应用系统为股民提供如下的服务：行情服务：根据从上海交易所和深圳交易所卫星传来的行情数据；为股民提供各种信息分析和决策支持服务，利用多元化的方式为股民创造好的信息环境。交易服务：对注册股民的股金进行协调管理，帮助/代理股民下单交易，按照股民的意愿完成股民的股票买卖操作，将股民的交易请求发送到交易所进行处理。随着证券行业的迅猛发展，多种计算机应用软件不断引入到证券网络应用（例如家庭远程炒股、Internet炒股、多应用合一等），使得计算机应用服务日趋复杂；相对的，计算机系统的安全性威胁就更大！由于对核心数据访问途径增加，趋于复杂；可能留下的安全隐患就会越多越大。一个典型的计算机劫客可以通过如下方式对证券计算机应用进行破坏：1、干扰、破坏行情服务系统的正常运行。劫客可以放置假的行情数据以造成股民错误的投资倾向，甚至干脆破坏行情服务软件系统，破坏营业部的声誉。2、偷窃、篡改注册股民的注册信息和资金信息，对股民的管理/数据信息进行修改；假冒客户身份进行交易以达到其个人的目的，使股民/营业部遭受巨大的损失。从最近的一些报道来看，有一些营业部已经发生了计算机应用被外来人员破坏的事件，并造成极为恶劣的影响。目前，所有证券公司及其营业部都已经注意到计算机安全技术涉及的范围广，以及各种计算机应用环境对安全方面的考虑不尽完善，使得目前证券业计算机应用存有较大的安全隐患的现状。但是，技术设计方面的不完善可以靠规范化的人员管理、规章制度等方面得到补足。正如军队需要严格的安全体制管理一样，证券计算机应用的安全性可以通过严格的制度、规范的操作等途径得到增强。技术/设计上的安全保护加上人员、操作上的严格管理，才可能将那些恶意的入侵者拒之门外，防患于未然。对证券营业部的计算机网络应用安全性的深入分析和建议营业部证券网络的模式基本是相同的，即分为行情系统和交易柜面系统。一个典型的证券营业部的结构如下：证券业计算机网络应用可分为两类：一类是营业部柜面业务系统（以下简称柜面系统），用于对股民帐户、资金、交易委托等方面进行综合管理。这类系统由专门的证券应用开发商或营业部计算机应用人员开发，采用的平台有NetWare下的Foxpro、Btrieve或基于SQL查询的DBMS^DSybase）。另一类应用是股票行情发布和行情分析系统（以下简称行情系统），用于为股民提供最新的股票价格信息（大屏）及对股票的历史数据的分析（走势图）。这类应用由专业计算机开发商来开发，多采用基于NetWare的文件共享和网络广播信息包的方式。柜面系统有时也需要访问行情服务器的数据。图1简单地表明了证券业应用的结构方式。在图1中，S1是柜面服务器，运行NetWare网络服务操作系统。S1中的数据可能是Foxpro,Btrieve及Sybase等格式的数据。W1,W2是柜面应用工作站PC，采用相应的数据库应用系统，完成储户帐户维护，资金管理，股票买卖等工作。S2是行情服务器，运行NetWare操作系统；S2中存放由深交所及上交所传来的原始数据（该数据由专门的接收站Wr转入，数据文件格式为Foxbase）及行情应用软件的处理数据。Wt为行情数据转换机，它将Wr存入S1的Foxbase数据读出并加以转换及分类处理，形成专门的行情数据，例如乾龙系统。同时Wt将某些行情更新信息以网络广播形式向外广播。W3、W4为行情应用工作站，向股民开放。W3,W4通过接收Wt的行情更新数据和读取服务器内的行情历史数据，加以分析加工，为用户提供股票价格更新和“涨跌起伏曲线”等分析信息。通常来说，营业部对股民服务采用无盘PC；利用DOS映象文件远程启动、上网和进行业务处理。同时营业部内部采用有盘站和无盘站对网络应用进行管理、监控及内部结算/处理。本文将从下面几个方面对证券网络的结构/模式进行分析并给出相应的建议。布线系统，网络布局。网络系统的管理。应用系统的管理。2.1证券营业部的网络布局和布线系统的安全性从业务操作模式和网络数据流动方式来看，应将证券营业部的网络布局进行合理化分布，这样做的好处是：按应用用户的种类分隔网络数据的流动便于应用的规划、安全设置网络信息的分隔从根本上局限了入侵者的入侵位置例如：营业大厅内的普通用户工作站多以“乾龙”行情显示为主；将所有行情应用的工作站连到同一网段上有利于对行情应用的统一规划，另外，在行情网段上的入侵者将无法截取其他系统（例如柜台系统）的信息；使其在行情网段上很难入侵到其他网络应用。建议按如下方式配置：将行情、柜面应用分开，将功能简单的、只做浏览/读操作的行情应用单分到一起。将业务服务网与内部系统管理网分开。网段的分隔不能用switch实现，可以用服务器多块网卡或采用路由器实现。有了布线系统的分隔，对网络应用的高级配置就易于实现了。例如：将应用编写/设置成只能在相对应的IPX/IP网络上运行，这样限定了应用的使用范围，可利用网络系统管理软件，限制不同网段上可登录的用户身份；应用程序也可以将程序限定只在某些网段上才可以运行。2通过网络操作系统的安全管理加强系统及应用的安全性。由于与交易所的数据交换是通过文件形式来操作的，因此，要严格地限制对存放这些关键数据的权限。例如限定专门用户、专门的机器及专用的时间段才能合法登录、访问关键数据（这些选项在NetWare系统中，可以用NWADMIN的目录管理工具实现）。另外，NetWare4.11中提供了审计功能，你可以对关键用户，关键数据文件进行审计核查；尤其是关键用户帐户及关键目录由于审计记录可以由唯一的专门的用户帐户进行管理（一个好的帐户管理机制可以使网络管理员帐户〈ADMIN〉不能干预审计用户的审计操作）。因此，可以由另外一个人掌管审计；由一个人掌管管理员帐户。在NetWare4.x中ADMIN用户可以被删去/改名，通过对每个内部维护工程人员分配独自的帐户，可以清楚地记录每次关键操作。作者接触了一些证券营业部网络应用的开发商、集成商及最终用户，发现有如下技术问题有待及时解决。用户不加口令，采用批处理上网。由于营业部内有大量的无盘工作站，营业部工程师为简便开机工程，一般对某些帐户不设置口令而允许无盘站启动时利用批处理自动注册上网，自动启动相应的应用程序，如“乾龙软件”和“柜台管理软件”。如果权限设定有误的话，一个入侵者可以中断批处理，登录上网，改变系统配置/数据文件（例如可以删除/修改某些文件），甚至注入网络病毒！这将直接损坏系统，因此应当对每个帐户设置口令。如果需要自动启动上网，可以编写一些批处理或专门的应用程序完成带口令登录。批处理程序可以被中断无盘站在启动过程中，从NetWare服务器上获取DOS环境启动DOS,再运行批处理程序（含Login;loginScript及其他DOS批处理）。由于DOS系统的特性，批处理可以被用户键盘中断,网络数据很容易的裸现在用户面前。一旦网络权限或应用权限管理不充分/不准确,恶意的入侵者就可以修改网络管理权限或修改应用程序/数据。要解决此类问题需要：避免批处理被中断（无盘站）可以开发一个内存驻留程序（驱动），截取相应的按键（例如Ctrl-C和Ctrl-break），避免批处理程序被中断。要屏蔽DOS启动前的按键（DOS启动时可以按某些功能键，如F5或F8键），可以在Config.sys中加入：SWITCHES=/N此操作使DOS在启动Config.sys之前不检查F5、F8键的请求,从而限制了客户不能中断DOS的引导过程。网络软件系统的版本：网络系统软件有其自有的安全等级。目前许多用户采用比较老的3.11和3.12系统,利用Bindery方式上网（Netx），这些系统并没有加补最新的增补程序，存有一些安全漏洞。例如，入侵者可以伪装成Supervisor的身份，轻易地进入网络系统。另外，由于3.x系统的帐户口号是基于服务器管理，多个NetWare3.x系统需要重复创建多个帐户/口令（一般而言，同名，同口令），为恶意入侵者留下更多的机会去猎取口令。NetWare4.11采用NDS管理，多服务器可以采用一套用户管理数据，简化了用户的管理，同时也在各方面弥补了在3状中的安全漏洞。目前，NetWare4.11达到了网络C2安全验证，能满足用户的安全要求。另外，NetWare4.11缺省状态下开启了Bindery仿真方式（是为了与原有的3.x客户软件/应用兼容），入侵者仍有可能利用Bindery管理的弱点来攻击网络，因此，将客户端的软件升级到4.11的NDS登录，将Bindery仿真关闭（或只在限定的OU或限定的服务器），这样，有助于提高系统的安全性。3应用软件的安全性目前证券营业部的应用软件可分为两类,行情应用和柜面应用。从总的来讲,行情应用相对来讲对安全性的要求较低,而柜面业务由于涉及股民的股金管理及交易的金额处理,安全性便显得非常重要。认为行情应用可以撒手不管是错误的,因为行情应用与整个应用系统有许多直接的联系,对行情系统的破坏会波及整个应用系统的各个方面。例如：系统的用户/口令，系统/用户的配置文件，播种病毒……。恶意的用户可以通过行情系统的入侵来设置各种陷阱,收集系统和用户的信息,并依照这些信息轻易地破坏整个系统。一般来说，对应用软件的安全性应从以下几个方面来考虑。应用软件的安全体系设计应用软件所基于的平台/技术的安全防病毒能力应用软件的安全体系设计应用软件的设计是安全性因素中的最重要因素。它从应用系统的最高层保证系统的整体安全，一个好的设计可以修改/屏蔽/克服其他底层的安全威胁。例如，应用系统拥有自己的帐户管理，数据加密，身份验证和应用/数据维护。由于此类的设计通常牵涉的技术/产品的问题过多和过于复杂，因此应用软件的设计在安全性的管理方面通常采用所依赖的软件/技术平台来帮助应用系统实现安全管理。例如，应用系统可以利用NDS所提供的安全管理手段完成其对用户的身份验证，NDS的可扩展特性允许应用程序将应用方面专有的属性和管理方式嵌入到NDS的管理。由于利用NDS的层次性，面向目标及分布式的计算处理，应用系统除了可以很容易的达到高安全性以外还可以轻而易举地实现大规模网络，跨平台应用及高可靠高容错等特性。在柜面交易系统中，每个股民的信息是存放在数据库里的。目前，广泛采用的数据库平台有以下几种：XBASE：没有用户管理，文件共享式访问，对网络系统的安全管理依赖严重，安全漏洞较多。Btrieve:无用户管理，Client/Server,无身份验证，对网络系统的安全依赖严重，有安全漏洞。基于SQL：查询语言的数据库：有数据库自身的用户管理，Client/Server访问方式，安全漏洞较少。在以上的几种数据库类型中，基于SQL语言的数据库有其独到的优势。在安全性方面，这类数据库有自己的用户管理机制，采用Client/Server结构也使得客户机只通过数据通信协议与数据库打交道，这样客户机无法通过文件访问的方法篡改应用数据，因而从一定意义上保证了网络数据库的安全。另外，由于技术的原因，目前股民的帐户信息是由应用开发商自行维护的。下面对典型的计算机处理和业务操作过程进行分析,阐明可能存在的安全隐患:1、用户的创建：用户ID和口令字由应用软件自行管理。由应用程序自行管理股民的ID和口令字。由于帐户的管理是一门很严谨的系统，一个好的安全帐户管理系统需要很好的设计、实现与技术保障；如果系统的帐户管理有欠缺则极容易被人破译和入侵。Novell的安全管理可以帮助应用程序确认用户的身份和口令，通过NDS的扩展接口，应用程序可以达到令人满意的安全等级。用户信息入库：建立用户信息（包括股金管理信息），存放在集中的数据库里。用户信息存放在集中的数据库里，这对用户数据库是一项挑战，必须避免用户直接访问该数据的文件。对数据库文件的任何恶性操作都会造成严重的伤害，应采取严格的文件权限管理，对所有操作记录；同时应选择更安全的数据库系统，利用Client/Server或Client/MiddleServer/Sever等多层结构完成信息的处理。目前，NetWare+Oracle8是一个非常强健的安全的Client/Server系统，用户可以用NDS登录NetWare和Oracle,通过IPX或IP连接到Oracle数据库用户操作：用户提供了个人信息后（键盘、刷卡操作等）,应用系统对用户身份进行验证,计算机进行下单操作。用户进行身份验证，要保证该用户身份密码不被泄漏（这要求高级加密技术，例如RSA）,也要保证用户在操作过程中不被人侵权或假冒身份。目前有些证券应用系统对股民身份的验证过程较简单,股民操作对应的计算机用户身份的防伪技术也较差,因此最容易使黑客进行攻击。在NetWare4.1中，采用RSA技术进行公钥加密身份验证，对网络上发出的信息包进行防伪识别，排除了此类入侵的可能性（注意，NetWare3.x没有此类功能）。应用程序可以利用NDS的优势方便地实施其自身的身份验证。例如，应用程序可以利用NDS的接口将股民的身份验证转给NDS系统；NDS身份验证完成以后，应用程序就可以认可股民的