网上证券交易经过了十几年的发展,已经形成了一套比较完善的交易系统,但是,近来由于各种恶意软件 (木马)泛滥,窃取用户在线帐户密码的事件频频发生,所以,本次调查的重点关注在线交易信息是否部署了 SSL证书加密登录密码和交易信息,以及是否采取了措施防止用户帐户密码被非法窃取的技术措施(调查电脑上网环境: Windows XP , IE7 浏览器 ) 。
由于券商较多,我们只在线访问了 中国证券业协会 发布的“ 2006 年证券公司经纪业务市场占有率排名前 20 位 ”的券商网站, 可以看出:股票网上交易系统基本上都采用了 SSL 证书加密技术,有些还采用了客户端证书 ( 但都没有支持 USB Key 硬件数字证书 ) ,大多数都没有采用安全密码控件来防止用户在输入密码时被间谍软件非法截获,只有部分交易软件支持 SSL 加密通道。可以说,采用了仅仅部署了 SSL 证书 (Web 方式和专用软件方式 ) 还是不过的,还必须采用其他安全措施才能确保用户在线交易安全。
具体需要改进之处有:
(1) 使用自签证书是不可取,有些自签证书居然是 10 年有效期(甚至更长),而且没有吊销列表,这非常不安全。为何 VeriSign SSL 证书只有 3 年,业界一般不会超过 5 年,只要是考虑到 SSL 证书密钥的安全 ( 短期内不会被破解 ) ;
(2) 对于采用 CFCA 或国内其他 CA 的数字证书的系统,主要问题是对于一般用户来讲,如果没有安装其根证书,则会被 IE 浏览器所阻止,这是一个不能忽视的问题;
(3) 考虑到股票交易系统的用户使用的操作系统和浏览器版本各种各样,其 SSL证书一定要支持 SGC 强制 128 位加密技术,否则如果用户使用低版本浏览器的话,可能只能实现 40 为或 56 位的加密,而破译 40 位加密只需几秒钟, 56 位加密也只需几天时间。所以,部署 不 支持强制 128 位加密技术的 SSL 证书也是非常不安全的,而且还容易让用户误以为有 SSL 证书就安全了。建议股票在线交易系统选购 VeriSign 原版 SSL 证书 Secure Site Pro( 强制 128 位加密 ),推荐选购同样支持强制 128 位加密技术的 WoSign SGC超真SSL 证书;
(4) 密码安全控件技术被公认为保护在线用户输入密码安全的有效手段,目前已经得到各种系统的普遍应用,此安全控件的作用是获得键盘的控制权,使得用户输入的密码信息不可能被电脑中可能有的间谍软件截取。建议股票在线交易系统尽快采用此技术。
(5) 大多数股票在线交易系统的身份认证都还是用户名 / 密码方式,非常不安全,推荐采用网银系统一样的采用客户端证书 +USB Key 方式来实现强身份认证,确保证券帐户安全。
(6) 建议凡是要求用户下载安装的软件 ( 如:专用交易软件和行情软件 ) 都应该有数字签名,以防止被恶意软件篡改而使得用户同时不知不觉地安装了恶意软件,这点几乎没有一家的系统做到了,值得引起高度重视。
(7) 鉴于中国股民不容易记住券商网站的英文域名而让使用类似域名的假冒券商网站有可乘之机,建议各券商网站直接使用中文域名 ( 如:银河证券.cn ,中文.com 或 中文.cn ),并为中文域名部署支持中文域名的 SSL 证书。推荐选购全球独家支持中文域名和基金公司中文名称的 WoSign SGC超真SSL 证书。
请看我们的实际调查结果 :
券商名称 |
是否部署
SSL证书 |
证书颁发
机构(CA) |
是否支持在线交易和密码安全控件 |
是否有专用交易软件和客户端证书 |
实际页面截图 |
银河证券 |
是 |
VeriSign
|
有 / 有 |
有 / 有
|
1. 国内版 VeriSign SSL 证书
2. 客户端证书没有使用期限 |
国泰君安证券 |
是 |
VeriSign |
有 / 无 |
有 / 有 |
1. 国内版 VeriSign SSL 证书
2. 客户端证书 CA 不详 |
申银万国证券 |
是 |
VeriSign |
有 / 无 |
有 / 有 |
1. 国内版 VeriSign SSL 证书
2. 客户端证书 CA 不详 |
广发证券 |
是 |
自签证书 |
有 / 无 |
有 / 有 |
1. 自签证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. SSL证书不支持强制 128 位加密
3. 不宜直接使用 IP 地址 |
国信证券 |
是 |
VeriSign |
有 / 无 |
有 / 不详 |
国内版 VeriSign SSL 证书 |
招商证券 |
是 |
VeriSign |
有 / 无 |
有 / 不详 |
国内版 VeriSign SSL 证书 |
海通证券 |
是 |
SHECA |
有 / 无 |
有 / 不详 |
1. SHECA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. SSL 证书不支持强制 128 位加密 |
中信建投证券 |
是 |
GeoTrust |
有 / 无 |
有 / 有
|
1. 不支持 强制 128 位加密
2. 客户端证书 CA 不详 |
华泰证券 |
是 |
VeriSign |
有 / 无 |
有 / 不详 |
国内版 VeriSign SSL 证书 |
中信证券 |
是 |
自签证书 |
有 / 无 |
有 / 不详 |
1. 自签证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. 证书域名不匹配
3. SSL 证书不支持强制 128 位加密 |
光大证券 |
是 |
自签证书 |
有 / 无 |
有 / 不详 |
1. 自签证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. SSL 证书不支持强制 128 位加密
3. 不宜直接使用 IP 地址 |
东方证券 |
是 |
自签证书 |
有 / 无 |
有 / 不详 |
1. 自签证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. SSL 证书不支持强制 128 位加密
3. 不宜直接使用 IP 地址 |
中投证券 |
是 |
CFCA |
有 / 无 |
有 / 有
|
1. CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. SSL 证书不支持强制 128 位加密
3. SSL 证书已经过期 |
联合证券 |
是 |
GeoTrust |
有 / 无 |
有 / 不详 |
1. SSL证书只验证域名所有权,不显示公司名称
2. 不支持强制 128 位加密 |
长江证券 |
是 |
VeriSign |
有 / 无 |
有 / 无 |
1. 国际版 VeriSign SSL 证书
2. 客户端证书 CA 不详 |
兴业证券 |
是 |
自签证书 |
有 / 无 |
有 / 不详 |
1. 自签证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. SSL 证书不支持强制 128 位加密
3. 不宜直接使用 IP 地址 |
金通证券 |
是 |
CTCA |
有 / 无 |
有 / 无
|
1. CTCA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. SSL 证书不支持强制 128 位加密
3. SSL 证书已经过期 |
中银国际证券 |
是 |
CFCA |
有 / 无 |
有 / 有
|
1. CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. SSL 证书不支持强制 128 位加密
3. 不宜直接使用 IP 地址 |
华西证券 |
是 |
VeriSign |
有 / 无 |
有 / 不详 |
国内版 VeriSign SSL 证书 |
平安证券 |
是 |
WoSign |
有 / 无 |
有 / 不详 |
|
WoSign 作为国内领先的信息安全服务提供商愿意免费为各基金公司提供数字证书相关的技术咨询和技术支持,并愿意优惠提供各种数字证书产品 ( 包括 VeriSign 原版 SSL 证书 ) ,以便各基金能尽快及时改进不足,完善其信息安全保护系统,让广大网上基金用户真正放心使用。欢迎尽快联系我们。
|
