网上交易的安全要从营业部抓起
欢迎阅读 网上交易的安全要从营业部抓起
最近,网上交易成为热门话题。的确,网上交易能够让个人投资者可以在家轻松交易,证券商又可以省下证券公司内部营业网的大额的硬件投入,网上交易所带来的好处使其成为证券交易今后的一个发展趋势。然而,阻碍网上交易发展的主要不是技术上的障碍,而是安全问题。应该说,目前,网上交易系统的安全问题已经得到了应有的重视,然而,换个角度来看,现在证券营业部内部的网络交易系统也存在同样的安全问题,而且也许更为严峻,营业部的安全问题不解决,网上交易也毫无安全可言。
随着计算机网络技术的发展,以及在互联网上的黑客软件泛滥,越来越多不怀好意的目光集中投向证券公司及其营业部。证券营业部的网络建设比较早,而系统的更新升级很少,相对技术力量较薄弱,各类证券信息资料根本不加密,网络管理还停留在比较初级的阶段。同时,证券营业部早期发展没有注重安全因素,造成证券网络相当开放,易于被不法分子侵入,黑客攻击破坏,及内部人员利用职务之便进行违法犯罪活动,而使证券公司和投资者蒙受巨大损失。
现在,大多数证券公司采用的都是比较原始的内部网络系统和数据库系统。其网络漏洞较大,股票数据资料、投资者信息等重要信息根本无法加密。一旦不法分子获得较高的网络权限,几乎是无所不能的。而要从根本上改造证券公司的网络结构,修改其数据库系统,是非常困难的事情:全国有各类证券公司营业部几千家,股市的开户数已突破了5000万户,要改造整个系统不仅工程量巨大,而且费用也非常惊人。
更令人担忧的是,证券公司网络管理者安全防患意识非常薄弱。笔者曾对数百家证券公司进行专项调查,当问到网络管理上有什么安全问题时,绝大多数网络管理者不屑一顾,认为根本不存在什么网络安全的问题。
事实上,近年来,利用高技术非法侵入证券公司内部网络的案例层出不穷:去年,警方曾经破获一件利用高技术犯罪的案件。犯罪人赵某利用证券营业部的计算机非法侵入交易系统,修改委托单,造成两只股票开市即被拉至涨停版,单此一家营业部损失就达到295万多元。
上海某证券公司营业部曾发生外来人员携带手提电脑潜入证券营业部的案件,犯罪人利用手提电脑侵入证券营业部内部网络,拷贝各类投资者交易信息和资金信息。
某证券公司营业部发生一件证券公司内部人员利用职务之便,在证券公司内部网络中修改投资者帐户资料,利用投资者帐户非法交易的恶性案件,使国家和投资者无端受到巨大损失。
网络安全案件的不断出现,无疑给国内证券业带来了不少的困扰。然而,无论从硬件、软件还是运作方式,面对层出不穷的网络安全隐患,一时还没有找到成功的解决手段。对此中科院院士曾提出过尖锐的批评,也引起了证券市场和行业技术主管部门的极大关注。显然,证券公司营业部网络的安全现状已不适应证券业迅速发展的状况,还无法为网上交易提供足够的安全保障。
那么,营业部网络的安全问题如何解决呢?一些券商和IT企业已在寻求这个问题的答案,例如,日前,上海和盛软件技术有限公司主办了"证券长城"网络安全研讨会,与会的有网络安全技术专家和证券公司网络中心主管。研讨会重点探讨了证券公司网络的安全问题,如何防止网络瘫痪,网络黑客的侵入等课题。与会专家认为,为了有效地保护证券网络,促进证券交易的正常运行,证券网络安全必须注重多方面的因素:既要防范"黑客"入侵,又要保障设备的正常运行;既要防止网络帐户、密码的泄露,又要简化投资者操作;既要准确设置网络权限,又要注意权限异常变化;既要防止各种隐患,又要考虑科技的新发展。总之,面对证券网络所体现的安全问题,证券营业部必须防患于未然,把网络安全问题提到议事日程上来。
目前,市场上已经出现专门的证券网络安全软件,如和盛“证券长城”网络安全系统,该系统有一些有价值的安全思想。例如,该系统不仅解决了证券公司的设备识别和控制问题,更花力气彻底解决了困扰证券公司已久的"公开帐户"问题;系统不仅设置全网监控功能,让证券公司随时掌握网络上所有设备的情况,更提供了自动入侵识别和处理功能,能在网络侵犯发生前及时发现和制止;此外,系统对网络内各用户的权限进行了细化,使得不法分子即使获得较高的网络权限也无法读取、修改网络内部数据资料,从而防范了证券公司内部隐患。