证券行业移动柜台及信息安全解决方案

字号：大中小

　　方案背景

　　随着国内证券业的蓬勃发展，越来越多的证券业务开始在互联网线上开展，近年来随着移动平台的发展，移动互联网逐渐超越传统互联网，不少业务开始逐步实现流动式线上办理，一方面业务办理员手持平板电脑面向用户提供各项业务服务，即“移动柜台”的概念。另一方面证券客户可以注册网络账户，在证券系统业务平台上登录并自助办理相关业务。这种线上业务的开展方式极大的方便了客户，缩短了业务办理时间，但同时也带来不少安全问题，围绕一系列的安全风险，也给客户和业务服务方造成了一定的损失，它们包括：

　　业务风险

　　·办理员伪造数据，制作假开户。办理人员可以反复使用有限的几个身份证办理假开户，为自己增加业务量，由于目前线上业务缺乏有效的身份认证措施，因此无法避免类似情况的反复发生。

　　系统风险

　　·无法保障客户线上身份真实性。客户在登录证券网上业务平台时缺乏有效的身份认证措施，如身份被冒充，会对客户造成损失和投资干扰；

　　·无法保障客户线上业务办理的真实性、法律效力和防篡改。客户在网上办理业务应该等同于线下办理，相关业务的“签字”、“盖章”应该在线上予以同等性质的体现；

　　·无法管理移动柜台的有效运营。移动柜台是证券公司行之有效的业务开展方式，但应对移动柜台的办理设备和使用人员进行有效的管理控制，只有符合身份和权限的人才能够使用移动柜台办理设备，在该设备上做证券业务操作。

　　CFCA着重从信息安全、身份认证角度提升上述系统的安全等级，规避证券业务运营期间的线上风险，为网上业务系统和移动柜台业务的顺利实施创造有利条件。

　　方案需求

　　1、办理员身份认证

　　为业务办理员颁发数字证书，证书存放在移动柜台的终端设备中，当办理员开启终端设备办理业务时，使用证书登录，通过对办理员证书的验证来识别其身份；

　　2、办理员业务确认

　　办理员每办理一次业务，都要使用自己的数字证书对该业务数据做数字签名，确认该业务的有效性和归属人；

　　3、证券客户身份认证

　　为客户颁发数字证书，该数字证书将用于该客户的线上身份认证，当客户持证书登录网上证券平台时，系统通过对客户数字证书的有效性验证来识别该客户身份，防止假身份登录的风险；

　　4、客户线上业务防篡改和法律效力

　　客户在证券网上平台办理相关业务时，要使用客户数字证书在业务办理确认阶段对业务信息做数字签名，来保障其业务办理信息的防篡改和法律效力；

　　5、数据保密性

　　为证券网上平台系统配置SSL安全通道，使所有与移动柜面、客户端交互的数据加密传输；

　　6、线上合同的法律效力

　　客户在证券网络平台办理开户等业务时，如双方或单方（多为证券公司）签署电子合同时，可以加盖证券公司公章和客户个人印章（或个人手写签名）；

　　7、简单、易用的认证手段

　　移动互联网是未来发展的大趋势，智能手机已经基本普及，客户无论到哪里，手机是基本的随身物，因此将代表其身份的数字证书以手机证书的形式存放在用户的手机中，对用户而言是最简单的应用方式。无论用户在PC平台做业务操作还是手机平台，在做关键业务签名的时候，都采用手机统一认证的方式，即用户使用手机证书进行数字签名，这样既保证了业务的通用性、易用性还使其线上业务具备法律效力，大幅提升安全性。

　　方案简介

证券行业移动柜台及信息安全解决方案

　　1、证券业务APP

　　客户利用证券业务APP登录移动证券业务平台办理相关业务，同时客户在该APP中下载并使用自己的手机证书，SCAP是手机证书的调用中间件，它提供了基于数字证书的各项管理和应用功能，为了提升Android平台的使用安全，APP内调用清场助手模块对系统环境进行病毒、木马的查杀；

　　2、移动柜台

　　本方案中的移动柜台APP的承载设备建议采用专业的平板电脑终端设备，该设备操作系统为Android操作系统，最大特点是能够进行笔迹识别，在客户手写签名的时候保留客户最真实的笔迹信息。移动柜台同样需要清场助手、SCAP等开发模块的支持；

　　3、证券网上平台服务器

　　业务核心系统受理来自于客户端的各项业务报文请求，连接RA服务器申请、下载用户证书；连接签名验签服务器处理数字签名验证；连接电子印章服务器做电子合同的签章、验证；

　　4、电子印章服务器

　　用于对电子合同盖章、验证的硬件服务器，该服务器可以使用软件工具包替代；

　　5、签名验签服务器

　　用于验证数字签名有效性和证书有效性的硬件服务器，该服务器可以使用软件工具包替代；

　　6、RA系统

　　用于连接CFCA的CA系统实现证书的申请、下载、吊销、补发、换发等管理功能；

　　7、CFCA的CA系统

　　提供数字证书签发功能，并定时发布CRL吊销列表。

　　方案特点

　　权威的第三方认证机构提供专业化数字证书认证服务

　　CFCA作为权威的第三方认证机构为办理员及客户颁发数字证书，在出现争议时可对客户签名数据提供第三方司法取证服务；

　　高安全性

　　证券行业移动柜台及信息安全解决方案支持专业的蓝牙双接口Key作为数字证书存储介质，蓝牙双接口Key继承了二代Key的安全特点，能够实现与二代Key同等级别的安全性；

　　多用性

　　证券行业移动柜台及信息安全解决方案支持多种数字证书存储方式、支持多种移动平台及设备，满足各种业务系统建设需要；

　　易用性

　　证券行业移动柜台及信息安全解决方案实施简单，不需要改变现有系统逻辑架构，实施周期短。