证券南宁营业部网上交易系统解决方案毕设论文

PAGE网上经纪系统 广东证券中山营业部解决方案 盛润网络系统有限公司PAGE1版权所有翻印必究 桂林证券南宁营业部网上交易系统解决方案2000年11月28日

目录TOC\o"1-3"第一章背景 1第二章系统设计 22.1桂林证券南宁营业部网上交易系统基本架构 22.2基本架构说明 32.2.1行情本地化 32.2.2交易集中化 32.2.3接口标准化 32.3桂林证券南宁营业部网上交易系统拓扑图 42.4系统功能 52.4.1行情分析子系统 52.4.2委托交易子系统 52.4.3银证转帐子系统 62.4.4盘中、盘后分析及数据下载子系统 62.4.5F10股市资讯子系统 62.5典型业务流程 7第三章技术策略 103.1网络及线路 103.2系统硬软件及系统接口要求 103.2.1各广域网线路 103.2.2计算机及服务器 103.2.3软件包 113.3安全策略 113.3.1网络安全 113.3.2信息传递安全 123.3.3安全数字验证 164.1安全性 194.2可靠性 194.3速度及实时性 204.4可伸缩性 204.5易用性 20第五章系统配置清单 215．1桂林证券南宁营业部 21第六章系统实施计划 246．1工程施工 246．1．1ISP接入工程实施 246．1．2计算机系统的工程实施 246．1．3应用软件的工程实施 246．1．4网上交易系统的试运行 256．2主要施工人员及其技术背景 256．3系统测试 256．3．1系统测试 256．3．2软件测试 266．4系统培训 266．4．1网络系统的培训 266．4．2计算机系统的培训 266．4．2应用软件的运行培训 276．5系统验收和交付 27

第一章背景网上交易同传统的交易方式相比，优越性不言而喻：这不仅是指传统的朝9晚15的五天工作制的雍容华贵的气质，会放跑了从不休息的大笔大笔的钱；更主要的这已是大势所趋的行当的竞争规则从来就是大浪淘沙。领先一步，步步领先；落后一步，处处被动。开展网上交易，桂林证券南宁营业部有着良好的资源基础——可靠运行的营业部局域网。网上业务的开展不仅会拓宽服务范围，无形延长服务时间，同时也克服了券商明显的地域性，使分布的个人可以获得大户级的技术分析及资讯服务，吸纳更多的潜在客户。网上交易是种罕见的一本万利的商业模式，一根DDN或ADSL线路就可充分利用Internet的无边的大量资源；一次投入，基本没有营运成本，却可得到长期回报。同时，券商有形的营业部得到无形地扩张，可以以低成本，新形式走出地区，甚至走出国门。另外作为第四媒体，Internet空间具有的巨大广告宣传影响力，桂林证券南宁营业部的品牌、形象可以籍此被真正地发扬。盛润公司除保持技术领先外，还借鉴国际成功典范，揣摩国内业界的营运实例，总结经验教训，力图博采众家所长，提供最高品质的解决方案，做国内乃至国际一流的电子商务系统供应商。预祝我们合作愉快！永远是朋友。

第二章系统设计2.1桂林证券南宁营业部网上交易系统基本架构2.2基本架构说明2.2.1行情本地化 基本的网上证券交易行情发布，考虑到Internet的在国内的建设仍带有很强地域性的特点，及行情信息量较大，Internet接入客户的地方化现状，ISP经营的地域化特点，在本地设立行情服务器，以近乎实时地交易数据供股民浏览；在行情信息源比如：券商采集行情信息，然后转换并发送到设在ISP的行情服务器，由行情服务器提供网络服务，ISP宜选取当地比较有名气，设备先进，可扩容空间充足，带宽较高，有一定营运经验及客户基础较好的ISP，如：南宁市数据局。建议使用DDN数据专线。当网上股民的数量增加时，亦可以在省内其它地方设立镜像站点。营业部可以利用盛润公司分布在各大城市的行情服务器给桂林证券南宁营业部的股民提供行情。2.2.2交易集中化 证券交易委托服务器，可设于具有证券业务经营权的证券公司及其营业部，采用ADSL与Internet相联充分发挥网上强大的通讯资源优势，节约昂贵的电话中继线和通讯设备的投资，让更多的股民通过Internet进行证券交易和相关查询。 2.2.3接口标准化 对柜台、银证等接口，考虑到系统安全、规模实施及扩容升级等要素实行标准化，由于前置机要与各营业部使用的柜台系统进行通讯以完成交易委托及成交查询等功能，因此要得到对应柜台系统开发商的配合，给出一套开放的标准接口，对此盛润的交易软件包也会给出一套通用的接口标准，另外开发一个接口转换程序完成两个标准的转换。 银证转帐接口类似于柜台，盛润也会给出一套接口标准。2.3桂林证券南宁营业部网上交易系统拓扑图2.4系统功能盛润网络经纪系统主要由五个功能模块、包括：行情接收及浏览子系统、委托交易子系统、银证转帐子系统、盘中、盘后分析及数据下载子系统、F10股市资讯子系统。为客户提供全方位的电子商务解决方案，以及实时专业的财经资讯服务。2.4.1行情分析子系统行情分析系统基本功能：1、实时行情报价照顾用户使用习惯，全面支持钱龙小键盘功能，使用户使用全无陌生感；2、大盘走势、个股行情·速度特快，每分钟可达12笔，·数据特全；保留历史所有实时行情数据，只有您双击所选日线，立即可在右下角显示其当日走势。·指标分析：显示个股的分时走势及K线图的各种技术分析指标，包括量线指标、K线指标、MACD指标、KD指标、OBV指标、RSI指标等。技术指标具有可进一步设置的参数，成交价格平均参数可自行设置，均线天数及均线数都可灵活修改，另外平均成交量分为两根，可分别自行设置。 ·全天24小时行情提供。2.4.2委托交易子系统可完成对股票和基金的如下功能：买入委托卖出委托撤单委托委托查询，包括当日查询，本周查询成交查询包括当日查询，时间段查询余股查询保证金对帐单查询保证金余额查询修改证券交易密码2.4.3银证转帐子系统储蓄余额查询从保证金转款到储蓄从储蓄转款到保证金开户确认转托管办理指定交易2.4.4盘中、盘后分析及数据下载子系统数据下载；离线浏览；大盘分析；板块定义及分析；自选股设置；综合排名；·振幅排名；·涨幅排名；·跌幅排名；·成交量排名；·量比排名；·委比排名；各种指标分析； 2.4.5F10股市资讯子系统盛润F10的功能包括：上市公司基本情况：公司所属行业、地址、营业范围、法人代表、咨询电话、传真、网址，以及重要财务数据等一目了然。分红送股能力分析：提供分配潜力分析、最近一次分配情况等，以便投资者对该公司的送配力度有明确理解。公司发行情况：包括公司主承销商、配股主承销商、发行价格、是否发行B股、上市日期等数据资料历年财务指标和利润构成：通过财务指标和利润构成的历年列表，使投资者直观了解到该公司的财务状况和历史对比情况。公司简介：对该上市公司的历史和现状进行介绍，方便投资者全面了解该公司的沿革变迁。价格与成交量：以昨日收盘价为基础，将公司的市盈率、市净率以及换手率、流通市值等重要数据指标进行汇总。主要股东：列表显示该公司十大股东的名称、持股量和持股比例。股本结构：按流通情况对公司全部股本中的国家股、法人股、A股、H股、B股的数量和比例列表显示。分红配股情况：为方便投资者还权，列示该公司历次分红派息配股记录。公司大事记：全面记录上市公司所有内外大事，包括业务回顾和业务展望，以及有关该公司的重要报道、评述和分析。财务评述：根据上市公司的基本财务数据，利用专家模型，给出一个针对该公司财务状况的结论性意见，方便股民解读报表。财务比率排名：就公司企业规模、短期偿债能力、长期偿债能力、运营能力、获利能力、发展能力、现金流量等给出一个行业性的意见。2.5典型业务流程网上经纪系统主要由券商、银行/信用卡部、ISP构成三方。以下是该系统中典型的业务关系数据流程图：数字身份验证过程数据流程图行情查看/提供数据流程图交易委托及银证转帐数据流程图

第三章技术策略3.1网络及线路 桂林证券南宁营业部网上交易系统可分为两个层面：桂林证券南宁营业部已建立的稳定运行的局域网；额外的线路，这部分包括；·行情提供：证券公司与电信（ISP）间ADSL或DDN专线；·交易委托：证券公司与电信（ISP）间ADSL或DDN专线。·银证转帐；以营业部为单位与当地各银行间的线路，视具体情形定线路数，一般性能要求不低于19.2K，最好有备份线路（如电话线）；3.2系统硬软件及系统接口要求3.2.1上广域网线路·ADSL连接上网方式，此方式带宽高、费用低、实施使用方便。但ADSL在我国目前属推广阶段，要视各地具体情况而定。目前，深圳、上海等地区已提供ADSL服务。·DDN连接上网方式，采用此方式时每条DDN线路需要路由器和DTU各一对；若使用ISDN备份注意选取即可联DDN又有ISDN接口的路由器；使用电话线备份另需一对Modem；此方式的可在全国所有地方使用。3.2.2计算机及服务器 计算机使用位置及数量可参照前面的网络拓扑图； 机器配置在后面的配置清单中有详述； 机型的选择，考虑到系统对安全及可靠性的高要求建议采用COMPAQ、HP和IBM等美国著名品牌厂商高档机。另对于大容量的行情提供以及总部的交易委托服务器建议采用多/双处理器双总线结构的服务器，至少8G的高速SCSI硬盘。3.2.3软件包 主要由客户端、三大软件包及各接口软件构成 ·行情交易的客户端，一般而言不外两种 方式1：Browser/WebServer 方式2：Client/Server 方式1的优点是客户端不需要软件，使用Internet通用浏览器即可，但系统安全由于受美国加密出口策略限制，只能达到40位，不够安全[下面有详尽论述]，另由于国内网络建设的现况决定了在未来一段时间内网络带宽不会有大的改善，因此速度也成问题。方式2的优点是速度快、加密策略可得到加强，缺点是系统需要客户端软件，系统升级等不够方便。盛润两种方式都提供，既有网络行情的Webbased的服务器，又有经过加密统一签发密钥的客户端，但交易主要以客户端为主，行情查看的程序可由盛润2000的网站免费下载。 ·三大软件包： +行情提供软件包 包括行情转换，行情发送，行情接受，行情网络提供等； +交易委托软件包 主要包括系统认证、加密，交易路由，通讯隔离，中央流程处理及与柜台及银行的接口等； +银证系统软件包 银证系统由于银行行业本身特点，因此个性化很强，盛润提供成功的样板；具体内容及开发等事宜需多方协商而定； ·接口软件前面已经论述，盛润提供软件接口标准及成功样板，技术细节具体实施而定。3.3安全策略自诞生以来网上金融系统就额外得网络Hacker（黑客）的青睐，另外还有成批的居心叵测的才子们搞出来的病毒；没有一套过硬的安全策略，网上交易寸步难行。一个系统的安全由它的结构决定。对电子商务而言，可一分为三：网络安全、信息传递安全、安全数字验证。3.3.1网络安全网络安全的主要技术是防火墙技术（Firewall），防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。目前其实现方式有两种，即基于包过滤（PacketFilter）的防火墙和基于代理（Proxy）的防火墙。包过滤型防火墙处在网络层，根据IP包的包头信息来对信息的访问进行控制，而IP包的包头主要包括以下信息：IP包的源地址、目的地址、包类型、端口号，因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙，也叫应用层防火墙，处于应用层，可对IP地址和发生在该IP地址上的具体应用进行控制，由于它能识别应用协议，因此可对应用的整个过程进行控制，比如在应用建立时的密码验证、在FTP应用中允许某站点get而不允许put等等。这两种防火墙各有优缺点，包过滤型防火墙由于基于网络层，因此对用户来说比较透明，但它一般采用“没被禁止的就是允许的”这一策略，在它失效时，网络是畅通的，这时内部网络将失去安全的屏障，而应用层防火墙采用“没被允许的就是禁止的”这一策略，在它失效时，内部网络与外部网络是隔离的，因此应用层防火墙要比包过滤型防火墙安全。盛润公司采用的是应用层防火墙+包过滤防火墙复合技术； 首先，盛润公司采用支持包过滤的Cisco路由器，通过设置access-list的过滤规则来实现包过滤功能：禁止外部网络对内部网络的重要机器的访问，并且利用端口号来选择控制的应用协议。另外，盛润公司采用一台通讯隔离服务器的方式，在外部网和内部网使用公司自己开发的一套通讯协议，只有盛润公司的经过加密的程序和数据才能通过该隔离。这样即使有非法侵入者即使通过了包过滤防火墙也不可能通过应用层防火墙。公式：“没被禁止的就是允许的”/\“没被允许的就是禁止的”=“安全”3.3.2信息传递安全除了网络本身是安全的外，信息在传递过程中，会面临被窃取、重发和修改和恶意跟踪等威胁。为此要保证信息在传递过程中的安全。Internet主要采用TCP/IP协议，但TCP/IP协议本身不提供任何信息安全方面措施，因此必须另外开发。而这方面的主要技术是加密技术。这里我们要谈三个问题：一个是安全标准，一个是加密方法和加密强度，最后是协议。1．安全标准目前，Internet上有几种加密协议在使用，对应(七层)网络模型的每一层都已提出了相应的协议。对应用层有SET(安全电子交易)协议。对会话层有SSL(安全套层)协议。在所有的协议中，SSL和SET与电子商务的关系最为密切。SSL(SecureSocketLayerProtocol)网络资料传输的安全协定，是由著名的Internet先驱NetscapeCommunication提出的针对数据的隐秘性/完整性/身份的确认/开放性的安全标准机制。Netscape公司已经把SSL协议递交给W3C网络安全工作小组以便使之成为万维网应用的安全标准。尽管使SSL协议成为标准还需要一段时间，但SSL协议事实上已被大部分万维网软件生产商所采用。SSL协议能很好地解决身份验证、信息保密、信息完整等网络信息传输过程中最为关键的安全保密问题。SET(SecureElectronicTransactions)安全电子交易规格，是由著名的信用卡机构VISA及MasterCard提出的针对电子钱包/商场伺服器/认证中心的安全标准。由于Visa与MasterCard的强大实力，以及得到IBM，Microsoft等业界巨人的支持，SET协议得到了业界的广泛支持。 2．加密方法和加密强度信息加/解密技术可分为两种体系，即单密钥的加密体系和双密钥的加密体系/也称对称加密和非对称加密。单密钥的加密体系/对称加密在加密和解密时采用相同的密钥，如著名的加密算法DES；加密和解密过程采用了相同的密钥。这一密钥必须由信源方和信宿方在通信的加密过程之前通过秘密途径达成一致，所以这种方法也叫密钥加密系统。双密钥的加密方法/非对称机密又叫公开密钥的加密方法，加密和解密时采用不同的密钥，即公开密钥和私人密钥，如著名的RSA算法。非对称加密系统，是在76年Diffie和Hellman提出的公钥加密加密模型的基础上发展起来的。这一方法的特点是：定义特定的互逆数学变换，但该变换可以保证计算复杂性的单向性。也就是说，可以方便地由A变换到B，但是要实现从B到A则不能满足可计算性（即算法的时间复杂度和空间复杂度远远超过实际能够承担的范围，比如让全世界所有的计算机同时计算同一问题，要花费几万年，这种问题我们就认为是不能满足可计算条件的）。利用该数学变换的特性，加以巧妙地组合，可以构建加解密算法系统。在这样的算法系统中，任何通信方可以公布一个密钥，由专门的密钥管理机构管理。这样，甲如果要与乙通信，首先通过向密钥管理机构申请得到乙的公钥，并用乙的公钥加密需要传递的信息。由于只有乙的私钥和他自己的公钥才能构成一对变换，所以甲送来的信息只有乙才看得懂。也就是说，在甲对信息加密后，即使是他自己，也无法看懂自己得到的密文！这样，通过以上方法，就可以在不需要专用的秘密途径来达成某对称密钥。当然，事物是一分为二的。对称加密技术虽然必须首先达到密钥的保密传输后，才能付诸使用。但，在该方法中，密钥只需要通过伪随机产生即可，非常迅速；加、解密处理速度也很快，目前还有相应的硬件产品。非对称加密算法虽然具有上文提到的优势，但是为了使产生的密钥满足变换复杂性的单向性，需要非常高深的数论、近世代数以及计算复杂度理论的知识。密钥产生速度一直是该方法得到广泛应用的瓶颈。同时，密钥的维护、管理也比较困难。目前，在这一领域，有许多数学工作者和密码学家集中于这方面的研究。现在采用的方法是融合两种加密算法的优势，用非对称加密算法传递对称密钥，而实际的大量数据则由对称加密算法加密传递，以满足速度上的要求。这两种加密体系在Internet都得到了不同的应用。比如Unix系统的用户密码password就采用DES算法；而信息加解密工具PGP（PrettyGoodPrivacy）采用了公开密钥的加密方法。那么各种加密算法被攻破的可能性有多大呢？让我们以比较常用的DES与RSA加密算法为例作一分析。目前，破译DES的最佳手段还是强行破译法。设备投资为100万美元时对不同长度的DES密钥进行强行破译的时间长度如下：密钥长度年份40位56位64位80位112位128位1995年.2sec3.6hrs38days7,000yrs10yrs2000年.02sec21min4days700yrs10yrs2005年2ms2min9hrs70yrs10yrs2010年.2ms13sec1hr7yrs10yrs而目前对RSA的最佳破译法是叫做GeneralNumberFieldSieve的因子分解法。用因子分解法对不同长度的大数进行因子分解的成本如下：大数长度年份332位498位664位830位996位1162位1995年USD74010M40B20T3000T2000年741M4B2T300T2005年7.4100K400M200B30T2010年0.741000040M20B3T根据上述分析专家们认为：按目前的技术：密钥长度为85位或以上的DES加密算法或密钥长度为1024位或以上的RSA加密算法。直到2000年，可以认为是难以攻破的，而密钥长度少于上述标准的加密算法则是不甚安全的。在美国本土，各网上证券交易系统基本选用密钥长度为128位[triple-DES：(64-8)*2]的对称加密方法以及密钥长度为1024位的非对称加密方法（通常为RSA算法），因此，可以认为系统是安全的。由于象DES、RSA这样的加密技术除了可用于商业目的外，还能用于军事目的（事实上，美国目前在军事上就普遍采用了类似的加密技术），因此，美国对加密技术一直采取了非常严格的出口限制。直到最近，美国一直禁止把密钥长度超过40位的对称加密技术或密钥长度超过512位的非对称加密技术出口到美国之外的任何地方。从97年年中开始美国虽然放松了对部分国家加密技术出口的控制，但中国仍被列入“黑名单”，维持原出口限制不变。根据上面的分析，40位的对称加密或512位的非对称加密显然是不安全的，因此，企图利用美国允许出口的技术在中国建立网上证券交易系统显然是不现实的。有鉴于此，盛润公司组织了大量的人力物力进行攻关，经过一年多的时间开发了SBCA-1对称加密技术（其加密强度不亚于密钥长度为128位的Triple-DES加密算法）、攻克了RSA非对称加密技术以及SHA杂凑函数技术，这样，我们就完全打破了美国对我国的技术封锁，独立自主地开发出安全可靠的网上证券交易系统。 以下为盛润公司加密算法基本工作流程： 3．协议由于 TCP/IP协议本身不提供任何信息安全方面措施，因此必须另外开发。目前，Internet上的信息加密有两种途径：基于IP层的信息加密和基于应用层的信息加密，基于应用层的信息加密是传统的方法，用户在发送信息前，利用加密工具先将信息加密，然后才发送出去，接收方可利用相应的解密工具还原信息；基于IP的信息加密是Internet上的一种新技术，它对IP包进行加密，对于应用层的用户来说是透明的，用户无需在传送数据前进行加密，数据的安全是通过IP层自动实现的，但是这种应用要求发送方和接收方采用同样的技术、同样的产品，目前已有采用这种技术的产品出现，比如Sun公司的防火墙SunScreen就具有此功能。利用基于IP包的信息加密技术可在Internet上实现安全的私有网络SVPN（SecureVirtualPrivateNetwork）。另外，信道加密技术(IPSec)也可以在两个网络结点之间建立透明的安全加密信道。其中利用IP认证头(IPAH)可以提供认证与数据完整性机制。利用IP封装净载(IPESP)可以实现通信内容的保密。IP信道的优点是对应透明，可以提供主机到主机的安全服务，并通过建立安全的IP隧道实现虚拟专网即VPN。对IPV6标准，IPSec在安全上做了更多的工作。 前面提到SSL是基于对话层的一种安全标准，但标准本身是不能使用的，只有基于标准的具体实现的协议才是我们需要的，以下我们就简单论述SSL协议的实现，为了叙述方便，我们还是简称SSL，注意不要和标准混淆。从原理来说，SSL协议是通过把对称加密技术、非对称加密技术与杂凑函数技术结合起来而实现各项安全保密功能。SSL协议所能实现的安全保密功能以及为实现各项功能所采用的技术如下：功能所采用的技术所防范的攻击类型信息保密性对称加密技术信息窃密信息完整性杂凑函数技术信息篡改身份的相互验证非对称加密技术身份仿冒信息保密性：在遵循SSL协议的两台计算机传递的所有信息都通过对称加密技术（如DES）予以加密。这样，网络窃听者虽然可利用IPpacketsniffers等手段截获两台计算机之间的信息流，却不可能读懂信息流中的内容。信息完整性：网络中可能有这样一些人，他们虽然不能读懂您传递的信息，却恶意地对信息包进行篡改，使对话双方产生误解。SSL协议利用了杂凑函数技术（如SHA）对此进行了防备。信息包一旦被篡改，就不能通过杂凑函数检验，该信息包就会被丢弃。身份的相互验证：为验证对方的身份，遵循SSL协议的两台计算机在进行对话之前都有一个握手过程。握手过程中所交换的信息如下：1、双方交换X.509格式的身份证明文件，该身份证明文件必须服有可靠的验证机构（CertificateAuthority）的电子签名。双方利用非对称加密技术（如RSA）验证对方的身份并得到对方的公钥；2、其中一方随机生成一组进行对称加密用的密钥组，把该密钥组用对方的公钥加密并传给对方，对方即可用自己的私钥解密得到进行对称加密用的密钥组；3、双方确定以后对话中所使用的对称加密算法。由此可见，SSL协议的有效性主要取决于所选用的加密算法。一旦加密算法被攻破，SSL协议将完全失去效用。VeriSign是世界著名的第三方安全认证授权（CA）机构，它发放的VeriSign安全服务器标识（SecureServerIDs）得到了全球商业机构的普遍信任。VeriSign目前已经在全球发放了超过65000个安全服务器标识，《幸福》（Fortune）杂志评定的全球100家大企业中，有95家采用了VeriSign安全服务器标识。 1999年5月，盛润公司在Internet上得到了VeriSign的国际认证，出于美国的安全政策，这是外国公司可能在美国获得的最高认证。 采用VeriSign安全服务器标识，安全套接层（SSL）为因特网交易提供了充分的安全保障。3.3.3安全数字验证除了寻找系统本身的薄弱环节，从后门进入外，还有一类取巧者，喜欢堂而皇之地窃取合法身份从前门进入。为此盛润针对对最后一个环节——客户身份采取了安全数字认证，争取武装到“牙齿”。盛润网上证券交易系统在SSL协议的基础上，通过对电子签名的强化而建立了更为可靠的安全保密机制： 盛润网上证券交易系统的客户端软件与网络服务器软件之间在开始正式对话前都要先握手。在握手过程中通过数字身份证明文件以及RSA电子签名的方式互相校验身份，并通过RSA算法安全地交换以后对话用的SBCA-1密钥。2、握手成功后的所有对话都用SBCA-1算法予以加密，有效地防止了对数据的窃听。3、系统所有数据在传输时都加有SHA指纹，所有传输错误或被恶性修改的数据都会因不能通过SHA检验而被丢弃，有效地防止了数据的传输错误与恶意篡改。4、用户的每条指令都附有递增的指令序号，凡指令序号错误的指令都被认为是误重发（或恶性重发）指令而被丢弃，有效地防止了数据的恶性重发。5、用户的每条交易指令都要附上有效的电子签名，只有通过签名验证的指令才予执行，确保指令的真实性。并且，用户的电子签名将连同指令原文一起保存，使指令发出者不能事后否认（本功能超出了SSL协议的要求）。更令人放心的是，盛润网上证券交易系统从1.X版开始已选用了密钥有效长度为128位的SBCA-1对称加密算法与密钥有效长度为1024位的RSA非对称加密算法，确保系统的加密算法是难以攻破的。 盛润网上证券交易系统包括用户端软件、网上服务器软件、券商前置机软件以及数字身份证明文件签发服务器等部分。其中，用户端软件安装在用户的个人计算机上，主要提供用户个人资料、数字身份证明文件、RSA密钥的加密保存，与服务器建立安全对话通道，发出用户指令等功能。网上服务器软件主要从网上接收用户的指令并转发给券商前置机。券商前置机软件负责与用户建立安全对话通道，把用户的指令转发券商主机，然后把指令执行的结果返回用户；券商前置机软件还负责用户管理、交易纪录保存等功能。数字身份证明文件签发服务器则为各服务器和用户生成有效的数字身份证明文件与RSA密钥。对于盛润网上证券交易系统中使用的1024位的非对称加密算法（RSA）和128位（24字节）的对称加密算法（SBCA-1）运算，其各自的运算速度在不同配置的ＰＣ机上的测试数据如下：表一：ＲＳＡ运算在不同配置ＰＣ机上的运算速度PC机硬件配置RSA运算速度(次/秒)P166／64M／4GP266／96M／4GPII233／64M／4GＲＳＡ加密（签名验证）28550～10050～100ＲＳＡ解密（签名）162535表二：快速的ＳＢＣＡ－１运算在普通配置的ＰＣ机上的运算速度ＰＣ机硬件配置SBCA-1运算(次/秒)P166/96M/4GＳＢＣＡ－１加密1,666ＳＢＣＡ－１解密1,666表三：快速的单向散列运算在普通配置的ＰＣ机上的运算速度ＰＣ机硬件配置单向散列运算(次/秒)P166/96M/4G单向散列（ＨＡＳＨ）运算46,000除了要求防窃密，网上电子交易还要求能够有效防篡改、防重发、防否认。SSL通讯协议保证了交易指令的秘密性和完整性，能够有效防窃密和防篡改，但是还不能防重发和防否认。现在广泛使用的盛润网上证券交易系统，在SSL通讯协议上使用了另外一套机制，在交易指令中使用了交易标识符，用户在交易前需先向交易安全服务器请求一个交易标识符（就好象古代军队通行中的令牌），只有拥有一个合法的交易标识符，这笔交易才能得到处理。交易安全服务器产生的交易标识符是随机的，每次都不相同，每个交易标识符只有在申请后的第一次使用有效。这样交易指令就不能被重发了。另外，在盛润网上证券交易系统中，为了防止交易否认，系统保留了每笔交易的电子签名。由于每个用户的RSA公钥互不相同，RSA私钥也互不相同，所以不同用户发出的交易指令的电子签名也是不同的，就好象每个人有着不同的指纹一样。通过验证电子签名（比较“指纹”），就可以断定某笔交易指令是否是这个人发出的。实际上，盛润的安全交易服务器已经检查了每笔交易指令的合法性，不存在交易指令“张冠李戴”的情形。盛润网上交易系统所使用的加密算法通过了国家密码管理委员会办公室的鉴定，产品通过了中国国家信息安全产品测评认证中心的测试认证；盛润公司是证券行业首家通过国家级鉴定的单位。

第四章系统效能论证4.1安全性系统安全策略包括：网络安全、信息传递安全、安全数字验证三方面：·网络安全：采用基于网络层过滤和应用层过滤的双层防火墙技术；·信息传递安全：采用国内最先进的加密算法。并得到国际著名的第三方安全认证授权（CA）权威机构VeriSign的认证和国家密码管理委员会办公室的鉴定，产品通过了中国国家信息安全产品测评认证中心的测试认证。·安全数字验证：系统提供对用户数字签字的内部签发认证服务。采用密钥有效长度为128位的SBCA-1对称加密算法与密钥有效长度为1024位的RSA非对称加密算法。另外，针对防窃密、篡改、重发、伪造、否认系统还采用了交易标识符策略。 综上所述，盛润网络的安全性可说国内首屈一指。 然而，安全是相对的，所谓加密的安全是从目前的计算能力和科学技术发展状况及运算代价而言的安全，而且对系统安全的要求越高，实现的成本越大，所以不能一味追求安全可靠而花费大量的资源。对不同的系统的安全性必须结合系统的功能、使用者等等方面进行考虑，在成本和安全性之间达到一个平衡。 安全也不是单一的，毕竟系统还要进行正常的工作，也就是说需要有人能够使用，而这个入口，有很大的人为因素在里面。对密码的管理和维护，需要妥善保管+定期修改，对企业级服务器密码要实行双人共管，以防止个人意外。另外，当你愉快地操作完，别忘记随手带门。同时，安全还是个历史性的过程，黑客的花样在不断翻新，新的病毒又会出现，而系统的安全性永远取决于相对最薄弱环节。这就要求系统管理员严密监视网络工作情况，一经发现新的潜在危险，立即补救。同时，进行充分的备份工作，以便及时恢复以外事故中被破坏的数据。4.2可靠性·硬件上采用了双总线设计的服务器，双CPU，双硬盘，电源也是双机热备；并结合系统结构特点，致力于提高系统软硬件协调的技术，以获得最高的系统整体稳定性。·行情查看系统可在全国范围内的信息源进行选取，体现了意外情况下集群系统的优势，实现系统高强度的容错力。·整套监控及远程维护系统；对系统状态进行24小时实时监控。4.3速度及实时性·服务程序采用多线程设计，单个服务系统可同时处理2000个并发访问。另外，采用系统资源spool技术管理处理多事务并发，使系统单位时间内响应完成率大大提高，确保大容量时的系统负载性能。·先进的数据采集设计，使行情信息更新间隔时间仅为8秒，比大户室还快；·具有盘后数据下载及离线浏览操作功能4.4可伸缩性基于最先进的COM/DCOM组件技术的分布式开放系统结构设计·系统具有极高的灵活性。既可以以客户端+服务器的方式，又可以以浏览器+Web+数据库的方式查看行情及进行委托交易；易于系统移植、和技术升级，具有很高的复杂适应能力。·平滑扩容能力：开放式的结构使得系统容量可由模块无级叠加得到扩充，而负荷由整个网络均匀分担，容量理论极限是整个Internet。·通过与柜台的标准接口，银行的标准接口，可与各种柜台及各家银行系统连接进行安全的数据交换。4.5易用性最适合中国国情，最符合中国人的使用习惯 ·成本低廉，用户想炒股只需一台电脑加一根电话线就可在家里呼云喝雨、叱咤股市；·全钱龙仿真界面，热键、快捷一应俱全。而且结合Window的GUI新特点增加了菜单、鼠标右键、联机帮助等功能，方便您的使用；·新增功能：股票代码的模糊查询、小键盘数字键、股票代码拼音查询、shift及Ctrl热键的多股同选、风格设置、日线走势图、成交均价、成交均线等可进一步灵活自行设置参指数的多种指标； ·基本功能：大盘分析、个股分析、技术分析、多股同列、特别报道、新闻浏览；

第五章系统配置桂林证券南宁营业部网上交易系统硬、软件配置一、证券营业部网上交易硬件费用（考虑到国内的通讯环境，网上交易一般采用DDN或ADSL两种通信方式）（一）ADSL方案网上交易系统硬件清单数据局数据局配置序号名称数量备注行情、交易服务器2Xeon550/256M/9G*2,WindowsNT4.0

初期可共用一台服务器ADSL1从数据局到证券部的通讯交易线路数据局需购买下列硬件序号名称数量单价小计备注行情、交易服务器1注：券商可以使用盛润的行情源及行情服务器证券营业部a、证券营业部配置证券营业部在以上环境下，需下列硬件：序号名称数量备注交易前置机1PⅢ600/128M/4.3G，通讯隔离机1PⅢ600/128M/4.3GADSL1从数据局到证券部的通讯交易线路b、证券营业部需购置硬件序号名称数量单价小计备注交易前置机18,000元8,000元通讯隔离机16,000元6,000元串口通讯卡22,300元4,600元3、ADSL专线费用ADSL通信线路初装费用：约￥3,900.00元人民币月租费用1)网络使用、通信月租费1630.00元数据局标准（二）DDN方案网上交易系统软硬件清单数据局数据局配置序号名称数量备注行情、交易服务器1康柏5500R路由器（ROUTER）1Cisco2501,用于数据局和证券部通讯DTU26031DigitalTerminalUnit2603,用于数据局和证券部通讯128KDDN1从数据局到证券部的通讯交易线路数据局需购买下列硬件序号名称数量单价小计备注行情、交易服务器1使用券商行情源路由器Cisco25011DTU26031注：券商可以使用盛润的行情源及行情服务器、信息服务器证券营业部a、证券营业部配置证券营业部在以上环境下，需下列软硬件：序号名称数量备注营业部前置机1PⅢ600/128M/4.3G通讯隔离机1PⅢ600/128M/4.3G串口通讯卡2MOXA路由器（ROUTER）1Cisco2501,用于数据局和证券部通讯DTU26031DigitalTerminalUnit2603,用于数据局和证券部通讯128KDDN1从数据局到证券部的通讯交易线路b、证券营业部需购置软硬件序号名称数量单价小计备注营业部前置机18,000元8,000元通讯隔离机16,000元6,000元串口通讯卡22,300元4,600元路由器Cisco2501116,000元16,000元DTU260318,000元左右8,000元左右数据局提供券商购买128KDDN1数据局标准3、DDN专线费用a、DDN通信线路申请费用安装调测费(含工料费)：按1000元/端口(一般申请两个端口)b、月租费用1)路由器、DTU代维费1100元数据局标准2)64KDDN包月租金11,680元数据局标准以上抱价仅供参考！二、证券营业部网上交易软件费用盛润两种产品价格（任选一种）Stock2000网上行情、交易、资讯、分析系统软件费用：￥68,000元Sponline网上行情、交易系统费用：￥45,000元工程安装费用为硬、软件合计的10%。系统维护费用按年收取，为合同金额的10%。(第一年免收)第六章系统实施计划6．1工程施工整个工程按性质可分为ISP接入工程，计算机系统工程、软件工程三部分。本次工程实施采用同步、交叉的方式进行。6．1．1ISP接入工程实施合同签字，收到预付款后，所有的网络设备必须在十五天内到货。安装前，由桂林证券南宁营业部公司向数据局提出服务器托管申请，由桂林证券南宁营业部公司向数据局提出ADSL或DDN专线（从数据局到桂林证券南宁营业部）申请。需时15天系统的安装和测试：线路到位以后，由盛润公司和数据局对线路进行测试。由盛润公司和桂林证券南宁营业部公司对托管服务器进行安装、测试。需时2天安装的位置在数据局和桂林证券南宁营业部处。在系统完成各个单独测试后，将首先利用微机进行联网测试。测试应根据双方签定的网络联网测试标准。需时2天。6．1．2计算机系统的工程实施计算机系统工程主要包括桂林证券南宁营业部网上交易和网上银证转帐有关的设备安装调试。合同签定后，将计算机设备运抵桂林证券南宁营业部处，进行通讯隔离的安装、测试，等ISP接入的安装测试完毕后，把计算机运到现场处，由我公司技术人员到现场进行安装调试，包括与其有关联的设备、网卡等。现场安装调试时间需3天。6．1．3应用软件的工程实施合同签定后，由桂林证券南宁营业部公司给出柜台交易系统接口和银证转帐接口，由盛润公司的项目小组进行调试。由于其它软件都是已经开发好的，而且在其它证券公司已稳定运行二年多，所有基本功能都证明稳定、可靠，部分特殊功能要求需进行修改调试。需时15天，可与线路申请同步进行。现场安装、调试。需时5天。6．1．4网上交易系统的试运行根据该网上交易系统工程的设计方案，以及以往实施工程的经验，为了保证整个系统的正常运行，在整个工程安装中，系统测试完成以后，应进行一段时间的试运行，要求在试运行期间桂林证券南宁营业部配置一至两名工程师与我们的工程师值班，保证系统的正常运行，以检测整个系统的运行情况。需时10天。6．2主要施工人员及其技术背景软件系统开发、安装、调试人员，共投入四名软件工程师，他们曾成功地开发出：盛润网上交易系统（闽发证券即使用该系统），银证转帐系统，都得到业界和用户的好评。负责人：吴飞卡工程人员：首期共投入四名工程师，以后根据工程需要再增加，负责网上交易系统工程的施工和测试。他们安装调试过多个网上交易系统：闽发证券、广发证券、国泰证券、国通证券等。负责人：胡胜蛟联络人员：一名，负责桂林证券南宁营业部和盛润公司的联络工作。负责人：乔硕系统组织人员：一名，负责各部门工作的衔接和保证工程进度的顺利进行。负责人：乔硕6．3系统测试测试主要分为系统测试、软件测试。6．3．1系统测试测试方式和测试条件提供符合网上交易运行的工作环境利用INTERNET进行测试主要关联设备和系统（测试内容）ISP接入系统、行情服务器、交易服务器、通讯隔离机、交易前置机、银证转帐系统、证书发布系统。工程合同生效后，桂林证券南宁营业部公司以书面方式通知深圳盛润网络系统有限公司验收负责人姓名，该负责人必须与深圳盛润网络系统有限公司指定的负责人一起制定测试标准。主要有如下内容：系统测试标准软件系统测试标准6．3．2软件测试测试方式和测试条件在现场系统正常情况下，利用客户机，服务器进行模块测试、功能测试等。测试内容软件功能要求，可靠性、安全性，性能指标，可扩充性，维护等。6．4系统培训为使整个系统安全可靠地运行，必须对桂林证券南宁营业部公司计算机软硬件工程师进行培训。以使他们担任系统简单维护任务。以我们的经验，在当前的系统规模下，须配置2名工程师作为系统维护人员。培训分2阶段进行：工程实施、系统测试过程中的培训和系统试运行过程中的培训。培训的内容6．4．1网络系统的培训网络系统只提供操作培训和基本维修培训，因为网络产品和相关设备一般在出现故障之后更换设备的维修方式。网络完成测试之后，由深圳盛润网络系统有限公司指定的网络工程师在现场进行2-3天的操作和故障诊断维护培训。6．4．2计算机系统的培训计算机系统的培训包括服务器系统软件平台操作培训，服务器系统维护和运行操作培训、微机系统维护培训。服务器系统软件平台操作培训该培训只针对专业计算机软件工程师（即服务器操作管理员），培训的主要内容有：基于NT服务器操作系统的使用以及辅助软件工具的使用。NT服务器操作系统的维护。行情服务器的维护交易服务器的维护通过培训可以达到熟练操作的水平一般需要三天时间的培训。6．4．3应用软件的运行培训软件的培训包括两个部分：应用软件维护培训该培训只针对专业计算机软件工程师，培训的主要内容有：应用软件的程序流程和错误更正方式基于应用软件进行任何简单二次程序开发应用软件的例行维护该培训一般需要一周时间，并且最好是在应用软件通过网络测试之后进行，因为可以在培训课程中充分应用网络进行实际使用的操作培训。应用软件操作培训该培训只针对微机系统管理人员，培训的主要内容有：应用软件的安装和维护基于应用软件的简单开发该培训一般需要一周的时间，并且最好是在应用软件测试之后进行，因为可以在培训课程中充分应用网络系统端接微机的工作状态下进行微机应用系统联网的现场操作培训。为使系统有效地运行，必须对系统最终用户进行培训。深圳盛润网络系统有限公司的技术支持小组负责对桂林证券南宁营业部的市场拓展人员进行培训，再由市场拓展人员对最终用户进行培训这部分将着重介绍应用软件的各项功能，怎样利用这些功能来完成各项任务。6．5系统验收和交付整个系统测试通过后，由深圳盛润网络系统有限公司书面通知桂林证券南宁营业部公司对系统进行验收。验收必须整体验收，不允许部分验收。双方应指派专人负责验收。验收完毕后深圳盛润网络系统有限公司指定专人整体交付给桂林证券南宁营业部公司必要的资料和数据。80196单片机IP研究与实现,TN914.42AT89S52单片机实验系统的开发与应用,TG155.1F406基于单片机的LED三维动态信息显示系统,O536TG174.444基于单片机的IGBT光伏充电控制器的研究,TV732.1TV312基于89C52单片机的印刷品色彩质量检测系统的研究,TP391.41基于单片机+CPLD体系结构的信标机设计,TU858.3TN915.62基于单片机SPCE061A的汽车空调控制系统,TM774TM621.3带有IEEE488接口的通用单片机系统方案设计与研究,TN015基于VC的单片机软件式开发平台,TG155.1F406基于VB的单片机虚拟实验软件的研究与开发,TG155.1F406采用单片机的电阻点焊智能控制器开发,TG155.1F406基于51系列单片机的PROFIBUS-DP智能从站研究,TG155.1F406八位单片机以太网接入研究与实现,TG155.1F406基于单片机与Internet的数控机床远程监控系统的研发,R319TP319基于单片机和DSP控制的医用输液泵的研究,U467.11基于单片机控制新型逆变稳压电源的设计与仿真,F426.22TP311.52基于8位单片机的摩托车发动机电控单元软硬件的开发,TB61基于430单片机的变压器监控终端的研究,TG155.1F406逆变点焊单片机控制系统研究,TG131TG113.14单片机控制数字变量柱塞泵的研究,F426.22TP311.52\t"_bla