创亿网上证券安全交易系统Word文档格式.docx

创亿网上证券安全交易系统Word文档格式.docx

《创亿网上证券安全交易系统Word文档格式.docx》由会员分享，可在线阅读，更多相关《创亿网上证券安全交易系统Word文档格式.docx（20页珍藏版）》请在冰豆网上搜索。

3.1.4数据管理模块14

3.1.5数据服务模块15

3.1.6声讯证券行情模块15

3．2券商端前置服务器软件15

3.2.1数据转换模块15

3.2.2交易转换模块16

3．3PC用户网上交易系统16

3.3.1行情分析系统实现功能17

3.3.2网上交易系统实现功能18

3.3.3声讯用户网上交易系统19

3.3.3.1查询功能19

3.3.3.2交易功能20

3.3.3.3辅助功能20

3．4辅助功能模块21

3.4.1客户管理21

3.4.2系统管理22

3.4.3漫游管理22

四、与产品安全功能相关的术语及定义说明23

4．1缩略语：

23

4．2术语及定义：

4.2.1、电子商务23

4.2.2、证书23

4.2.3、CA24

4.2.4、RA24

4.2.5、数字信封24

4.2.6、数字签名25

一、产品的安全目标

《创亿网上证券安全交易系统》的最终目标是建成一个在证券行业具有统一规范标准的接入、应用和管理模式的证券服务系统，实现全国各直辖市、省、地市的银行和证券商通过169网（即中国公众多媒体通信网）接入证券服务系统，最终为不同地域的用户提供一个安全、一致、简单和便捷的开放性平台，满足用户超越时空界限的信息与资源共享，提供声讯、移动和169多种接入方式，实现网上行情发布、行情分析、交易委托、信息咨询等服务。

为了保证网上进行委托交易的安全，《创亿网上证券安全交易系统》交易将通过CA安全认证系统的认证。

网上用户的每一笔网上委托交易都需要由中国电信的CA系统来进行身份认证，从而可确保网上交易的安全。

《创亿网上证券安全交易系统》通过CTCA证书机制保证交易双方交易信息（如：

股东帐号、股东密码、交易金额等）的安全性、交易者身份的不可抵赖性以及交易信息的完整性。

在《创亿网上证券安全交易系统》中，证券中心服务器、券商前置都拥有CTCA颁发的符合X.509格式的证书。

在股票交易过程中，通过密钥协商、对称加密和非对称加密方式保证股民交易过程的安全性。

二、产品的安全策略

2.1安全防范内容

2.1.1站点的安全

防止由于操作系统以及网络系统本身存在的已知或未知的缺陷所造成的网上用户可以非法进入站点现象，防止信息数据被非法获取，防止非法数据包的大量流入，防止网络安全性侦探等。

2.1.2交易数据的安全

防止交易数据被非法获取并解密，保证交易数据的安全性和正确性。

2.1.3网络的安全

确保证券营业部局域网络和柜台交易系统的安全性，避免受到网上‘黑客’的攻击。

2.1.4用户的安全

对用户身份进行合法性校验，彻底杜绝非法数据包，保证用户权限和身份的一致性。

2.1.5管理的安全

防止由于系统管理人员造成的安全泄密问题，防止出现由于对系统的不了解造成的扩大用户权限、增加不安全的用户服务等问题。

2.2网上交易安全解决方案

2.2.1网络安全

由于要实现网上交易，所以券商处的交易系统必定需要对外提供一个数据接口。

为了防止“黑客”从不可知的网络节点非法侵入券商的内部网络，系统通过可选的防火墙、基于数字证书的安全技术、通讯代理、协议网关、权限控制等多种手段来保障网络安全，特别是利用IP/IPX协议网关形成一道天然的防火墙。

2.2.2端口保护

用户端程序在安装时只提示服务器端系统资源管理机的IP地址,也就是说用户只知道资源管理机的IP地址,其它IP地址都是由资源管理机通过加密的报文形式提供,对用户来说是不能显式表达的；

同时用户在进行网络登录时总是须经过路由、代理服务器（PROXY）或者LCn（双向有线方面）,因此我们利用现有的防火墙技术让用户只能隐式地访问资源管理机、动态数据机、静态数据机和交易管理机，其它地址是无权限访问的。

由于进行交易时必须访问某证券公司的交易服务器，因此必须保证证券公司交易服务器的安全。

由于交易转换机既是证券公司局域网的一台工作站,也是《创亿网上证券安全交易系统》的一部分，因此在采用防火墙和VPN的基础上，再利用串行口通讯直接调用底层函数，将交易转换模块分置于前后两台交易转换机中，而在这两台交易转换机之间利用串行口通讯，将通讯协议通过硬件彻底隔离，从而保证交易系统不受外界入侵。

2.2.3节点验证

在用户端,管理人员可以指定其在一个特定的硬件平台上登入（如双向有线网络的CableModem）。

2.2.4传输安全

通过采用基于CTCA数字证书的安全技术来保障传输安全，主要采取以下技术：

（1）利用数字信封技术进行敏感数据的加密（防窃取）；

（2）利用安全的散列函数、数字签名技术来保证数据的完整性和一致性（防篡改）；

（3）利用数字签名技术来保证交易的不可否认（防否认）。

2.2.5身份认证（防冒充）

系统通过用户名口令方式验证用户登录身份和权限；

系统采用基于数字证书的身份认证技术来保证参与交易各方的真实性和不可抵赖性。

2.2.6存储安全

有关投资者资金帐户、股票帐户、身份识别等数据的处理均由证券经营机构的系统处理,与外部各子系统没有关系,较好地隔离了投资者的敏感资料。

系统将主要的私有的密钥均存储在硬件加密设备中，做到加密在黑盒子中进行，所有秘密密钥不出设备，极大地保证了秘密密钥的安全。

2.2.7访问控制

系统可采取网络权限控制、数据库访问控制等进行访问安全控制；

证券经营机构还可根据本公司的具体情况，采取技术和管理措施，限制每位投资者通过网上委托的单笔委托最大金额、单个交易日最大成交总金额来进行附加的安全控制。

2.2.8电子记录的保存

系统包含有实时监控日志和非法访问日志，以便对系统进行实时和事后的监控。

（1）为了保存历史记录，以备查询，中心交易管理服务器在每收到客户的一条交易指令或者每收到交易转换机回送的交易回报时，都在数据库中分几个级别、索引进行记录，并且隔日该记录不允许改动。

交易转换机在每收到交易管理机传来的交易指令单和从券商交易系统处得到交易回报后也做类似的电子档案记录。

（2）制作安全日志。

不仅监控各服务模块的运行情况，客户的访问次数和时间，各服务模块的出错信息，还记录登录到系统的企图，与服务模块交互通讯的情况，同时还记录各机房管理员所做的重大操作，如安全策略的改变，数据库的修改等，以备留档查看。

安全日志库无法操作修改。

2.3可靠性设计

系统有完善的防单点故障和主系统或设备备份能力。

为避免出现因行情服务器故障、接收程序原因出现的股民看不到行情的情况，《创亿网上证券安全交易系统》系统提供了行情备分方案：

在系统只有一个行情服务器的情况下，若出现本地域服务器硬件故障，可让股民从其他地域的服务器系统取行情；

在系统有多个行情服务器的情况下，出现主行情服务器故障时，启动备分行情服务器从券商处读取行情数据并发布。

2.4可扩展性设计

2.4.1、行情站点扩展

当行情服务器的硬件容量制约用户数量时，只需增加行情服务器即可方便地实现容量扩容，而不必淘汰原服务器。

在有多个行情服务器的情况下，有一台主服务器负责从券商端获取即时行情，数据压缩后再实时传送至其它行情服务器，这样，所有行情服务器均通过本地硬盘响应股民的行情请求。

2.5可管理性设计

2.5.1、网络管理

由ISP负责，通过163、169、有线网等的网管系统进行网络的统一管理。

2.5.2、信息源管理

由券商负责综合资讯信息的提供，分布和管理，包括历史和即时行情、券商信息、交易所公告、专业股评、跑马灯广告等。

（1）客户管理

●客户开户、查询、修改、暂停服务、删除等常规业务；

●客户统计、在线统计、访问量统计等在线统计功能；

●具有时段限定和同时访问人数设定等辅助功能；

●总部系统管理员：

对所有用户的管理、对下级管理员（开户管理员）的授权和权限管理。

（2）客户计费

具有包月、计时、包月+超时、时段（不同时段不同费用）计费等多种计费方式。

（3）券商管理

券商开户、查询、修改、删除等。

（4）成交量统计

能统计各营业部网上交易量和累计成交量。

2.6实用性、兼容性设计

为尊重广大股民依赖乾隆软件的看盘习惯，本系统客户端专用行情分析软件保留了乾隆的操作特性，又赋予其完美的WINDOWS特性，真正做到了操作更便捷、界面更友好。

如：

更实用灵活的综合排名，鼠标和键盘操作的无缝连接，窗口的随意缩放和移动，曲线、字体的比例放大。

实用性更强

系统不仅兼容乾隆数据，而且配合图文卡使用，使股民可以自由选择从互联网或有线电视网上获取行情。

2.7风险防范设计

●数据备份：

系统对中心端用户的电子帐号进行每日的自动备份到SQL数据库的另一个表项中。

在券商营业部转换机上所保留的客户交易指令日志数据每日产生一个数据日志文件和数字签名日志文件，从技术上和管理上提供手段，允许使用能长期保存的、一次性写入的电子介质中。

中心端的用户交易转发日志允许15年以上的妥善保存。

●故障恢复：

系统发生故障时，通过日志、审计纪录的检查，尽快找出故障的发生点，远程控制响应的服务模块，使其重新恢复工作；

在中心端的行情和交易服务器在功能上可以相互备份，两者都预装对方的服务模块程序，一旦一台服务器发生故障，远程启动另一台服务器上的相应的服务模块。

三、产品的基本组成及功能描述

《创亿网上证券安全交易系统》主要可以分成三大部分，网上证券交易中心、券商营业部端、客户接入端，其简要的网络拓扑图如图1所示。

3．1网上证券交易中心功能

在电信局或ISP中心端软件主要完成证券信息的保存、响应客户股票行情的实时请求和静态补充请求、客户股票交易的指令安全传输等主要功能。

其业务功能主要有：

1、支持多种用户接入方式，如：

语音接入、ISDN接入、BP接入、PC机接入、简易终端接入、图文终端接入等，在本期工程中实现PC机接入和电话语音接入；

2、支持多家券商的接入；

3、提供对用户以及券商的有效管理；

4、同时提供证券行情以及股票交易功能；

5、在网络方式的证券业务服务中，既提供基于C/S结构的证券业务服务，也提供基于Web浏览器结构的证券业务服务；

6、为保证股民在交易过程中的安全性，全国电子证券网的建设将以CTCA为安全基础平台，通过利用CTCA发放的符合X.509标准的证书，股民与券商之间的交易信息通过数据加密、数字信封以及数字签名等安全技术传送，保证信息传送的安全性，信息的完整性以及用户身份的不可抵赖性。

由于采用安全证书机制，用户交易数据都是经过加密的，只有通信双方才能读解对方的信息。

该部分软件主要包括几大功能模块，如图2所示。

3.1.1资源管理模块

其功能主要分成两大部分：

1、接收来自用户的注册上网请求，根据用户递交的注册信息（用户名和口令），判定其是否是合法用户，资金状况如何，动态、静态以及交易权限如何等等，然后分配相应合适的服务管理模块给用户，通知用户端软件重新与其连接，并且更新相应服务模块的资源情况；

2、实时监控其他管理模块的运行状况及资源情况。

资源管理模块的地址对于系统的所有站点为已知，所有站点开机后向它报告信息，定时提交自己的工作状态。

3.1.2计费管理模块

计费管理模块的功能主要有：

增加、修改、删除用户的使用权限、资金情况、信用程度、计费方式（按时、按量）、计费单位等；

接收来自动态数据管理模块、静态数据管理模块、交易管理模块的用户服务使用情况报表，实时计费。

若用户资金已经不足，可通知相应的服务模块和资源管理模块，拒绝继续服务。

用户信息以及计费信息均保存在数据库中。

计费管理模块为169用户和声讯用户（179用户）提供以下计费方式：

3.1.2.1、169用户计费方式

主要考虑以下计费因素：

1）按帐号计费

2）按交易方式和交易次数计费（交易不成功不计费）

3）按业务服务时长计费

4）按业务流量计费

3.1.2.2、声讯电子证券系统的计费方式

1）按主叫号码计费

2）按交易方式和交易次数计费

声讯用户的计费由声讯系统完成。

本系统中的计费只是针对应用层的计费，不包括接入层的计费。

3.1.3交易管理模块

交易管理模块的功能主要有：

1、记录目前有几个证券营业部的交易转换模块正常运行，并将此情况报告资源管理模块，以便资源管理模块及时通知需要委托交易的用户，现有几个营业部可以进行远程交易；

2、接收用户的委托指令，根据不同的交易场所进行分单，将指令发送到相应的券商；

3、接收券商端交易转换模块的指令应答，回送给对应的各个用户；

4、将用户的委托情况（包括指令类型，委托成功次数等）及时报告计费管理模块，并根据计费管理模块的应答信息决定用户可否继续被服务。

3.1.4数据管理模块

接收券商端数据转换模块的通讯数据包，并实现数据热备份。

3.1.5数据服务模块

数据服务模块的功能主要有：

1、将数据管理模块传来的数据信息包及时地发送给需要动态在线服务的用户。

同时将用户使用情况（通讯时间和通讯量）提交计费管理模块，并根据计费管理模块的应答包决定是否继续服务；

2、监控用户的线路联结情况，删除不合法用户的联结；

3、及时向资源管理模块报告资源使用状况；

4、响应用户的静态离线服务请求，按需服务，提供历史数据的追加、最近新闻的浏览、股票基本资料的更新等等；

5、将用户使用情况（通讯时间和通讯量）提交计费管理模块，并根据计费管理模块的应答包决定是否继续服务；

3.1.6声讯证券行情模块

为声讯客户提供行情数据查询服务。

3．2券商端前置服务器软件

券商前置服务器主要包括以下两个模块（如图2所示）：

●数据转换模块

●交易转换模块

3.2.1数据转换模块

数据转换模块将证券营业部的实时数据进行比较、压缩，传送给中心机房的信息接收模块。

主要功能流程如下：

1、以共享只读方式打开上证和深证的五个实时数据库；

2、按配置文件中的定时时间读取数据，进行比较，压缩；

3、按配置文件中的定时时间向中心机房的信息接收模块传送数据包；

4、检测在指定的目录中是否有最新公告新闻存在，若有则读取；

5、如果暂时无实时数据传送，则按公告新闻、券商信息、股评、各股基本资料的先后次序传送去信息接收模块；

6、显示目前发送的数据、公告新闻、股评以及资料的数目；

7、显示与中心机房的信息接收模块的连接情况；

8、程序退出时，关闭上证和深证的五个实时数据库。

3.2.2交易转换模块

交易转换模块接收交易管理模块传来的委托指令，送交证券营业部的交易系统处理，然后将应答信息回送交易管理模块。

1、以共享读写方式打开营业部指定的委托指令交换库和信息交换库；

2、接收来自交易管理模块的委托指令数据，检测委托指令交换库中哪一条记录位置空闲，将指令单写入，并等待后台处理程序处理后，读取信息，回送交易管理模块；

3、显示委托指令交换库中所操作的各条记录的空闲状态；

4、显示委托、撤单、查询等操作的次数和成功次数；

5、与中心端交易管理模块交换证书，相互验证和协商密钥；

6、实时与客户端交换证书，相互验证和协商密钥，对委托买卖、撤单和修改密码及银证转帐等重要的交易指令进行数字签名验证；

7、提供参数设定，防止多次尝试口令；

还可根据证券公司的具体情况，采取技术和管理措施，限制每位投资者通过网上委托的单笔委托最大金额、单个交易日最大成交总金额来进行附加的安全控制；

8、系统提供实时监控日志和非法访问日志，以便对系统进行实时和事后的监控。

3．3PC用户网上交易系统

对于PC用户，系统提供两种类型的行情分析交易系统：

一种是Windows95/98/2000/NT操作系统下的钱龙风格的专用客户端行情分析交易软件，该种风格的系统具有速度快、操作方便等特点，特别适合专业股民使用；

一种是浏览器下的行情分析系统，该系统采用ActiveX编程技术，操作界面、分析交易功能做到与专用客户端软件基本功能类似，使用方便，适用于一般网上用户适用。

3.3.1行情分析系统实现功能

行情分析系统软件能够实时自动刷新行情信息，采用仿乾隆界面，符合广大股民看盘习惯，操作简便。

该系统提供的功能包括：

1、大盘分析（图形显示）

1）上证30走势

7）上证多空指标

13）深圳A股走势

2）上证走势

8）上证买卖力道

14）深圳B股走势

3）上证领先指标

9）上证分类指数走势

15）深圳ADL指标

4）上证A股走势

10）深圳综指走势

16）深圳多空指标

5）上证B股走势

11）深圳成指走势

17）深圳买卖力道

6）上证ADL指标

12）深圳领先指标

18）深圳分类指数走势

19）上证深圳走势

2、报价分析（字符显示）

自选股、分类股、版块股、商品顺序买卖价位、成交手数、开盘价、昨收盘等关键信息

3、当日个股即时分析

分时走势、买卖力道、量比指标

4、技术分析

分时K线：

5分钟15分钟30分钟60分钟日线周线月线

技术指标：

1）MACD

9）OBV

17）CCI

25）PVT

33）VATI

2）DMI

10）ASI

18）ROC

26）AD

34）PSY

3）DMA

11）EMV

19）MIKE

27）ATR

35）成交量

4）EXPMA

12）WVAD

20）BOLL

28）DPO

36）成交金额

5）TRIX

13）RSI

21）BIAS

29）MASS

37）日乖离

6）BRAR

14）W%R

22）MFI

30）SI

7）CR

15）SAR

23）MTM

31）SOBV

8）VR

16）KDJ

24）OSC

32）VHF

5、特别报道

1）涨跌排名

4）成交量变化排名

2）成交量震幅排名

5）资金流向排名

3）成交量排名

6）买卖量差（委比）排名

7）综合指标排名

6、公共信息

1）上交所公告

4）创亿资讯

2）深交所公告

5）系统公告

3）券商信息

6）财经信息

7、系统工具

1）系统股设定

4）初始化通讯

7）外观设置

2）版块股设定

5）断开通讯

8）代理服务

3）技术分析参数设定

6）盘后数据下载

8、个股档案

可查询所有上市公司基本面资料，包括股本金、财务报告、年度分红派息方案等。

9、自动行情数据存盘

所有看过的行情将即时保存到硬盘中，以便再次浏览。

10、数据下载离线浏览功能

可以下载个股即时行情数据，当日走势数据、分钟K线数据和日K线

3.3.2网上交易系统实现功能

1、交易处理

1）买入股票卖出股票

4）查询成交

7）修改密码

2）查询资金

5）查询委托

8）银证转帐

3）查询股票

6）撤消委托

9）资金流水查询

2、模拟炒股

提供真实行情下的模拟股票交易服务。

3、综合证券回报

通过BP机、手机、Email、传真等方式为用户提供即时成交回报信息、行情回报信息、行情报警信息和公告信息服务。

3.3.3声讯用户网上交易系统

通过电信数据局的179接入平台，通过语音提示方式为股民提供电话行情查询和电话炒股的功能。

3.3.3.1查询功能

1、交易所行情查询

通过电话键盘输入交易所代码，查询获得该交易所最新指数、最高指数、最低指数、收市指数和开市指数。

2、股票行情查询

通过电话键盘输入股票代码，查询获得该股票的开盘价、收盘价、最高价、最低价、叫买价、叫卖价、成交数量、成交金额。

3、当日委托查询

通过电话键盘输入股票代码，查询获得当日该股票的委托记录数及明细（委托时间、委托价格、委托数量、成交数量、委托状态）。

4、当日成交查询

通过电话键盘输入股票代码，查询获得当日该股票的成交记录数及明细（成交时间、成交价格、成交数量）

5、资金查询

根据用户的帐号及密码，查询获得该用户帐号的资金余额、可用资金、冻结资金和可取资金。

6、股票查询

根据用户的帐号及密码（还可以有股票代码），查询获得该用户的持股数，以及各个股票的持仓量、实际数量、可交易量、当日买入数、当日卖出数、证券当日交易冻结数、证券异常冻结数。

3.3.3.2交易功能

1、买卖委托

用户通过电话键盘输入股票代码、买卖类别（买入/卖出）、委托价格、委托数量，若委托成功，系统返回用户委托号、资金余额、可用资金和可取资金。

2、撤单委托

用户通过电话键盘输入委托号，系统返回处理结果及委托单状态信息。

3、批量下单

用户通过电话键盘输入股票代码、买卖类别、委托价格、委托数量、起始股东帐号以及批量数目，系统返回委托成功笔数、委托的最后一个股东帐号信息。

3.3.3.3辅助功能

1、用户交易身份验证

用户键入券商代码、交易所代码、交易帐户（股东帐号/资金帐号/资金卡号）和密码，如信息正确，则允许用户完成相应的操作。

2、修改密码

用户键入旧密码，然后再输入两次新密码，系统返回用户密码修改成功或失败信息。

3．4辅助功能模块

3.4.1客户管理

注册用户管理主要是为了满足用户信息发布服务、个性化服务、网上或声讯委托服务、重要咨讯服务等信息服务的需求，为用户创造一个更好的安全可靠的服务环境。

如果网民成为《创亿网上证券安全交易系统》的注册用户，那么他不仅可以有上述这些专项服务，而且可以享受到《创亿网上证券安全交易系统》为他提供的各种上网优惠；

而对于非注册用户，则只能享受到《创亿网上证券安全交易系统》提供的公共信息服务。

因此注册用户管理是《创亿网上证券安全交易系统》的一项重要服务功能。

客户管理包括两个方面的管理：

注册普通用户管理、服务商管理。

注册普通用户管理需要管理的用户信息主要包括：

1、注册用户的个人资料信息，如姓名、别名、性别、通讯地址、联系方式、Email地址、身份证号、职业、学历等；

2、注册用户的帐户、口令、证书信息；

3、注册用户的个人定制信息，包括信息发布内容和方式、咨讯信息等；

4、注册用户的权限和服务级别等。

服务商管理主要是提供对接入《