我们都同意这样的观点,即在线证券交易的安全性需要通盘考虑,也就是说安全问题大部分是一个技术问题,如果认为仅仅是技术问题,那就会印证这样一句统计学名言:小概率事件必然会发生。而任何差错对于证券、银行与保险这样的金融行业来说,代价或许是十分高昂的,因为信息技术对于大部分金融企业是战略必需,是必不可少,尽管未必能带来竞争优势。当然,即使从技术角度,在线证券交易的安全保证也要从整体上给予设计,来自上海复旦金仕达计算机有限公司的崔功颖提出了一个很好的观点,即网上交易系统作为开放的网上交易平台,其安全性在整个系统中占有举足轻重的地位,所以应该从整体上设计安全体系。而完整的网上交易安全设施应该考虑网络安全、通讯安全和应用安全三个方面。
网络安全是首先需要解决的问题,因为整个网上交易系统是建立在网站建设基础之上,并且连接到互联网。为了保证网上交易系统的网络安全,保护内部网免受非法用户的侵人,采用防火墙在互联网与内部网之间建立一个安全网关(security gateway)是必要的。所谓防火墙就是一个把互联网与内部网隔开的屏障。防火墙有两类:标准防火墙和双家网关。标准防火墙系统包括一个U-NIX工作站,该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界,即公用网,另一个则联接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。双家网关(dual home gateway)则是标准防火墙的扩充。又称堡垒主机(bation host)或应用层网关(applica-tion-qlayer gateway),它是一个单个的系统,但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间建立的任何直接的边疆,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。
随着防火墙技术的进步,双家网关的基础上又演化出两种防火墙配置:一种是隐蔽主机网关。另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置,顾名思义,这种配置一方面将路由器进行隐蔽,另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的惟一途径。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网络的非法访问。一般来说,这种防火墙是最不容易被破坏的。为了充分有效的保证网上交易系统的网络安全,崔功颖建议在使用隐蔽智能网关型防火墙的同时,为系统在应用层上增加相应的应用网关以确保系统安全。
网上通讯是基于互联网的,因此需要在通讯过程中保证通讯数据的安全(不被窃听、假冒和修改)。目前TCP/IP协议是国际互联网上进行数据传输的常用方式,也成为了网上交易系统的首选。然而,TCP/IP协议并不提供通信安全服务。正是由于这个原因,我们必须使用另外的技术和策略来解决通信安全问题,这一技术就是安全套接层(SSL), SSL是一种利用公开密钥技术的工业标准,并广泛应用于Intranet和互联网网。SSL提供信息私密、信息完整性、相互认证等三种基本的安全服务。
返回新闻列表