1、天亿互联网络证券交易与分析支付系统技术白皮书杭州依格尔经济咨询有限公司目录第一章公司简介 2第二章系统结构 3 一天亿INTERNET金融资讯交易网络系统 3 二169证券交易网络系统 4 三股市网吧系统 5第三章系统结构 6 一专用客户端行情功能 6 二常规交易处理功能 8 三支持多种代理服务 8 四支持域名访问,实现163/169共享 8 五行情转码和发送、接收 9 六期货行情分析 9 七支持图文卡行情接收 9 八客户管理 9第四章技术分析 9 一电子商务总体解决方案 9 二电子商务总体解决方案应用之一 14第五章 系统配置 22第六章. 2000年测试报告 22第七章 应用站点及券商、银
2、行 26第一章 公司简介 杭州依格尔经济咨询有限公司是以金融咨询为主的科技信息公司。公司总部设在杭州,是目前浙江省从事金融资讯服务最快速、最全面的企业之一。公司一直致力金融信息资讯系统的开发和研制,是浙江省数据局多媒体通信业务代理资格。公司在浙江电视台拥有自己开发的电视图文播出系统,每天向全国各地一千多用户转发四十多万字内容的金融信息。开发研制的集成系统、产品主要有:实时金融集成软件 169多媒体信息系统证券交易及远程委托系统 期货交易系统图文资讯编播系统及有线双向交互高速网环系统。天亿网上证券资讯交易系统天亿网上期货资讯交易系统图文逆程播出系统图文逆程接收系统图文逆程写库软件图文逆程接收系统
3、天亿图文股票分析系统(单机版)天亿图文期货分析系统(单机版)天亿图文股票分析系统(网络版)天亿图文期货分析系统(网络版)期货柜台交易管理系统169股票写库软件(WINDOWS版本)股市网吧系统股票可视委托系统股票电话委托系统Internet股市快递系统(浏览器版本)其中,专为邮电多媒体平台开发的证券交易系统已在全国40家电信局、46家证券公司成功地得到应用,获得了用户的一致好评。“用户满意,完善的系统”是公司自始至终追求的唯一目标! 公司一贯把客户的需要作为自己的最高准则,在与许多家客户的合作中,正是坚持了这种原则,才使得公司无论在产品上还是在技术服务上均得到了所有客户的称赞。第二章 系统结构
4、一 天亿INTERNET金融资讯交易网络系统:拓扑图说明:资源管理模块:其功能主要分成两大部分。接收来自用户的注册上网请求、实时监控其他管理模块的运行状况。计费管理模块:其功能主要是接收其它模块的用户服务使用情况报表,实时计费。交易管理模块:其功能主要是记录目前有几个证券营业部的交易转换模块正常运行。动态数据管理模块:其功能主要是将数据采集模块传来的数据信息包及时的发送给需要动态在线服务的用户。数据接收模块:其功能主要是接收对应的数据转换模块的通讯数据包。数据采集模块:其功能主要是汇总各个数据接收模块传来的数据信息包,整理成统一的数据传递格式,向各服务管理模块广播。二 169证券交易网络系统:
5、系统说明:主要功能有:1. 用户可拥有多向选择,可同时运用169和图文或有线网上网浏览行情、交易。2. 及时在网络系统上发布上证、深证交易所的信息公告。3. 将证券营业部的券商信息、个股资料及时传输。4. 静态日线历史数据由营业部每天传送为准。5. 证券营业部可以通过Internet网络向股市网络系统发送重要通知。6. 工作站证券分析系统操作界面和方法符合广大股民习惯。三 股市网吧系统:系统说明:远程股市网吧的主要功能有:1. 将上证、深证交易所的实时股票数据在局域网上广播到各个 工作站,速度与证券营业部基本同步(视连接线路的速度质量而定)。2. 及时在网络系统上发布上证、深证交易所的信息公告
6、。3. 将证券营业部的券商信息、个股资料及时传输。4. 静态日线历史数据由营业部每天传送为准。5. 证券营业部可以通过Internet网络向股市网络系统发送重要通知。 6. 工作站证券分析系统操作界面和方法符合广大股民习惯。第三章 系统功能一专用客户端行情功能1 大盘分析:1上证30走势7上证多空指标13深圳A股走势2上证走势8上证买卖力道14深圳B股走势3上证领先指标9上证分类指数走势15深圳ADL指标4上证A股走势10深圳综指走势16深圳多空指标5上证B股走势11深圳成指走势17深圳买卖力道6上证ADL指标12深圳领先指标18深圳分类指数走势19上证深圳走势2 报价分析:自选股、分类股、版
7、块股、商品顺序3 当日个股即时分析:分时走势、买卖力道、量比指标4 技术分析:分时K线:5分钟 15分钟 30分钟 60分钟 日线 周线 月线技术指标:1MACD9OBV17CCI25PVT33VATI2DMI10ASI18ROC26AD34PSY3DMA11EMV19MIKE27ATR35成交量4EXPMA12WVAD20BOLL28DPO36成交金额5TRIX13RSI21BIAS29MASS37日乖离6BRAR14W%R22MFI30SI7CR15SAR23MTM31SOBV8VR16KDJ24OSC32VHF5 特别报道:1涨跌排名4成交量变化排名2成交量震幅排名5资金流向排名3成交量
8、排名6买卖量差(委比)排名7综合指标排名6 公告信息:1上交所信息4券商信息2深交所信息5上交所公告3ISP信息6综合信息7 系统工具:1系统股设定4初始化通讯7外观设置2版块股设定5断开通讯8代理服务3技术分析参数设定6盘后数据下载8个股档案: 可查询所有上市公司基本面资料,包括股本金、财务报告、年度分红派息方案等。9自动行情数据存盘 所有看过的行情将即时保存到硬盘中,以便再次浏览。10数据下载离线浏览功能 可以下载个股即时行情数据,当日走势数据、分钟K线数据和日K线11代理服务功能 支持多种代理服务方式12软件升级功能 系统升级方便,只需要改服务器端软件,升级对客户完全透明,客户登录的是统
9、一的WWW主页。二常规交易处理功能1买入股票卖出股票4查询成交7修改密码2查询资金5查询委托3查询股票6撤消委托三支持多种代理服务天亿国际互联网IP地址资源的有限性,因此多数情况下一个局域网只能通过代理服务器共享一个IP地址访问公网。目前,应用程序访问INTERNET的PROXY代理服务器主要有三种方式:WEB SERVER PROXY服务、WINSOCK PROXY服务、SCCKS PROXY服务。在天亿方案中,采用了最常用、支持产品最多的WEB SERVER PROXY代理服务,相比其他厂商使用IP协议包的WINSOCK PROXY或SOCKS PROXY代理服务,在客户端必须安装PROX
10、Y软件,会给股民带来麻烦,而HTTP协议包可以更简洁地使用WEB SERVER PROXY代理服务。四支持域名访问,实现163/169共享 针对用户要求实现IP地址访问和WWW域名访问兼容的实际要求,天亿已成功实现双重访问方式。客户端分析软件可以采用域名或IP地址访问,同时支持在163或169上访问同一站点。五行情转码和发送、接收采集实时行情数据并用天亿转码机转换成特定格式,并向行情服务器传送实时行情,行情服务器接收实时行情数据并保存。六期货行情分析利用公众网接收和分析期货行情。(详见天亿网上期货方案七支持图文卡行情接收客户端行情分析软件支持多种图文卡,可方便地选择Interner/图文卡行情
11、接收方式。八客户管理 可有效地监督管理网上用户。(详见第四章“可管理性分析”)第四章 技术分析一 电子商务总体解决方案:1 电子商务体系结构:1) 电子商务网络基础:电子商务的网络基础是指INTERNET网以及电子商务 综合接入平台;2) 安全基础结构:电子商务的安全基础结构包括CA安全认证体系和基本的安全技术,它是整个电子商务体系的安全基础,提供电子商务所需要的各种安全技术(包括实现数据传输的安全性、完整性、身份认证和交易防抵赖的各种技术);3) 支付体系:支付体系为支付型电子商务业务提供各种支付手段;4) 电子商务业务系统:电子商务业务包括支付型业务和非支付型业务,其中支付型业务架构在支付
12、系统之上,分别根据业务需求使用相应的支付体系;而非支付型业务则直接架构在安全基础结构之上,使用这一层提供的各种认证手段和安全技术提供安全的电子商务服务。2电子商务总体网体结构:相对于上面的层次模型,从应用角度来看的电子商务整体网络结构如图所示。 电子商务的各个元素(CA安全认证系统、支付网关、业务应用系统、用户终端)均连接在INTERNET网上,并通过该网络实现完整的电子商务。1) CA安全认证系统 电子商务的安全是通过使用加密的手段来达到的,非对称密钥加密技术(公开密钥加密技术)是电子商务系统中主要的加密技术,主要用于对称加密密钥的分发(数字信封)和数字签名,来保证电子商务的安全性需求,实现
13、数据传输的安全性、身份认证、信息的完整性检验以及交易防抵赖性。CA中心为用户的公钥签发证书,以实现公钥的分发并证明其有效性。该证书证明了该用户拥有证书中列出的公开密钥。证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。CA机构的数字签名使得攻击者不能伪造和篡改证书。证书的格式遵循X.509标准。CA机构应包括两大部门:一是审核授权部门(简称RA,Registry Authority),它负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起的、为不满资格的证书申请者发放证书所引起的一切后果,因此它应由能够承担这些责任的机构担任;另一个是证
14、书操作部门(简称CP,Certificate Processor),负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的 一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可以委托给第三方担任。2) 支付网关 支付网关与支付型电子商务业务相关,位于公网和传统的银行网络之间,其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部的传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。既支付网关主要完成通信、协议转换和数据加解密功能,并且可以保护银行内部网络。此外,支付网关还具有密钥保护和证书管
15、理等其他功能。 电子商务体系的支付网关系统通过专线与银行金融网络实现连接,一个支付网关可以实现对多个银行网络的连接。3) 业务系统 业务应用系统通过特定的业务软件系统软件(如WEB服务器、专用业务系统软件等)接入INTERNET网。业务系统分布在全国各地,并通过该网络实现企业对用户(B to C)、和企业对企业(B to B)的电子商务应用。支付型电子商务业务通过电子柜员机软件系统接入公网,是电子商务系统中提供支付型电子商务服务的服务提供者的支付服务器,它必须能处理用户的申请并和银行(通过支付网关)进行通信、发送和接收加密信息、存储签名钥匙和钥匙交换钥匙。4) 用户及终端 电子商务系统用户终端
16、包括计算机终端用户、智能终端用户、电话终端用户、简易终端用户等。a. 电子商务/智能终端:用于数字数据业务的接入,如果用户所使用的是多媒体计算机,也可用于多媒体业务的接入,它的主要特点是价格较高,对用户的文化素质要求较高,安全性能较好等特点;b. 各种专用的简易终端:用于数据业务的业务,它具有使用方便,功能灵活,价格便宜,安全性能较好等特点。同时,随着业务的不断扩展,不必对终端的软硬件作修改,即对业务扩展及升级时,只须在业务接入点作相应扩充及升级即可完成对终端用户和业务的扩展及升级。c. 电话终端:用于语音业务的接入,它具有使用方便,普及和使用范围较广等特点。用户通过用户终端和终端软件(如标准
17、浏览器及其插件、专用终端软件等)接入INTERNET网。电子商务用户包括企事业用户、个人用户等,用户分布在全国各地,并通过该网络享受各种电子商务服务。在支付型电子商务系统中,用户端软件称为电子钱包。它与电子柜员机软件进行通信,完成数据的加解密;管理证书和密钥对;请求、接受和保存证书,并且能够进行交易记录。5) 用户接入用户终端通过电子商务综合接入平台提供的多种接入手段接入INTERNE网,包括PSTN、DDN、FR、ISDN等。用户接入方式分为三种,如下面各节的说明:a. 169/163接入169/163接入即多媒体网/GHINANET接入主要面对计算机终端及智能终端用户。这种接入方式可采用P
18、STN、ISDN拨号接入,也可以通过DDN、帧中继或宽带网等数据专线接入。b. 非计算机终端接入 非计算机终端接入方式如语音接入主要实现电话终端和简易终端的接入。这种接入方式可采用PSDN、ISDN拨号接入,连入INTERNET,并且提供用户以简单和普及的方式进行电子商务业务。c. 其它网络接入其它网络(包括国际网络、国内其它计算机网络及专网)的用户将通过网关实现对中国公众多媒体通信网(含CHINANET)电子商务系统的接入,从而实现跨网间的电子商务。3. 支付系统1) CNEC安全支付系统功能说明a. 系统支持基于标准浏览器和WEB服务器的SSL支付方式,支持基于专用软件的两三方的支付方式等
19、;b. 系统支持企业对企业(B TO B)、企业对消费者(B TO C)等多种业务模式和支付模式;c. 系统支持网上实时支付模式。2) CNEC安全支付系统功能模块“CNEC安全支付系统”由以下四部分构成。a. 用户系统;b. 商家支付服务器;c. 业务代理系统;d. 银行支付系统。4CA安全认证系统1) 中国电信CA安全认证中心中国电信采用北京创原世纪信息技术有限公司研制开发的“NETWORLD CA安全认证系统”建设了“中国电信CA安全认证中心。”该系统于1998年11月投入实际运行,为社会公众提供各种安全服务,是国家批准的最大的CA运营系统。该系统于1999年8月通过国家密码管理委员会办
20、公室和信息产业部联合组织的技术鉴定,并通过国家信息安全产品测评认证中心的认证,获系统认证证书,是第一个经国家认证的最大的CA运营系统。中国电信CA安全认证系统按照统一的体系建设,系统结构如图所示2) 上海市CA中心 上海市政府采用“NETWQRLD CA安全认证系统”建设了“上海市电子商务CA安全认证中心”,该中心是国内区域最大并投入实际运行的CA认证系统。5支付系统 湖南省邮电管理局、湖南农业银行、湖南省中行采用“NETWORLD CA安全认证系统”和“CNEC安全支付系统”,为电子商务用户提供各类支付型电子商务业务,包括实时支付和划帐功能,完成的支付型业务系统包括: 网上电子银行 银证转帐
21、 代缴代付二 电子商务总体解决方案应用之一 天亿网上证券交易分析支付系统1安全性分析a.安全防范内容: 网络站点的安全: 防止由于操作系统以及网络系统本身存在的已知或未知的缺陷所造成的网上用户可以非法进入站点现象,防止信息数据被非法获取,防止非法数据包的大量流入,防止网络安全性侦探等。 交易数据的安全保障 防止交易数据被非法获取并解密,保证交易数据的绝对安全性和正确性。 应用网络的安全保障确保证券营业部局域网络和柜台交易系统的安全性,避免受到网上黑客的攻击。 用户身份的合法认证彻底杜绝非法数据包,保证用户权限和身份的一致性。 人员管理的安全保障 防止由于人员造成的安全泄密问题,防止出现由于对系
22、统的不了解造成的扩大用户权限、增加不安全的用户服务等问题。b. 天亿网上交易安全解决方案 CA安全认证系统是安全基础结构的核心,是国家网络安全基础设施,关系国家的网络安全、信息安全、经济安全和政治安全,是国家主权的体现。根据我国密码安全产品管理政策,密码安全产品为国家专控产品,必须自主研制开发。“NERWORLD CA安全认证系统”按照国家商用密码管理政策,自主设计研制和开发。目前该系统已通过国家密码管理委员会和信息产业部联合组织的技术鉴定。鉴定结果认为,该CA系统设计合理、技术先进、功能完善、安全性好、可靠性高、拥有自主知识产权、运行稳定、总体技术属国内领先,达到国际先进水平。该系统通过了中
23、国国家信息安全测评中心的检测和认证,获得系统认证证书和产品认证证书,成为国内首家获得国家认证并颁发证书的CA安全认证系统。 “NETWORLD CA安全认证系统”采用国家密码管理委员会办公室鉴定的加密设备和加密算法,遵循国际PKCS、PKIX系列标准,可以发放符合X.509标准的SSL证书、S/MIME等格式证书,并能与标准WWW服务器和WEB浏览器互通。该系统根本上解决了数据传输的安全性问题、数据的完整性问题、身份认证问题和交易的防抵赖问题等。 天亿网上证券交易分析支付系统是基于“NETWORLD CA安全认证系统”、“CNEC安全支付系统”基础上的第一个电子商务整体解决方案实用化的应用业务
24、系统。已广泛用于电信、券商和银行中。 天亿Internet金融资讯交易系统操作平台的安全建设 天亿Internet金融资讯交易系统是运行于Windows NT + Microsoft SQL Server的操作平台之上。与Windows NT相比,Windows 95只不过是Microsoft 公司的一个中间过渡产品,其内核尚未完成真正的多任务机制,某一任务的失败可能导致系统的崩溃;其安全性只能达到美国国防部的D1级标准,而Windows NT可以达到C2级甚至B1级;同时连接的客户数目受到极大的限制。而UNIX系统一直是邮电部门在基础软件应用上的平台,与Windows NT相比,UNIX系统
25、也存在着一定的弊病,如维护困难和成本昂贵,管理员素质要求高;在现阶段比较容易受到网络“黑客”的袭击;版本较多,不统一,可移植性差。 防火墙技术由于要实现网上交易,所以券商处的交易系统必定需要提供一个数据接口。为了防止“黑客”从不可知的网络节点非法侵入券商的内部网络。我们采用防火墙的策略。这里可以分两个方面:l 存取控制对数据、程序以及网络中其它资源的存取问题也是网络安全中一个非常重要且引人关注的方面。它主要包括保护存取点和验证网络节点两个方面。u 端口保护用户端程序在安装时只提示服务端系统资源管理机的IP 地址,也就是说用户只知道资源管理机的IP 地址,其它IP地址都是由资源管理机通过加密的报
26、文形式提供,对用户来说是不能显式表达的;同时用户在进行网络登录时总是须经过路由、代理服务器(PROXY)或者LCn(双向有线方面),我们可以利用现有的防火墙技术让用户只能隐式地访问资源管理机、动态数据机、静态数据机和交易管理机,其它地址是无权限访问的。由于交易功能必须访问某证券公司的交易服务器,因此在安全方面更进一步。首先交易转换机既是证券公司局域网的一台工作站,也是天亿Internet 金融系统的一部分。目前一般证券公司使用的交易系统运行于Novell 网络上,因此我们在交易转换机器中插入两块网卡,见系统拓扑图。其中一块网卡绑定IPX/SPX 通讯协议,使交易转换机可以通过这一网卡访问证券公
27、司的Novell 交易服务器,并且只给它最小的访问权限(只须完成交易功能);另一块网卡绑定TCP/IP 通讯协议,是交易转换机可以通过此网卡与仅且与服务端的交易管理机通讯。同时通过一些网管软件的设置,还可以指定系统只对某些特定的端口号开通,而限制非法人员以其他的端口号侵入系统。这样,由于天亿金融系统的通讯协议都是TCP/IP ,所以非法侵入的数据到交易转换机(如果能到)就无法继续传送。不同的网卡、不同的传输协议,使得交易转换机成为一网桥。u 节点验证由于一般证券公司的网络系统是Novell ,因此可以在控制台上设定只有绑定IPX/SPX 协议的特定的网卡(ID Serial Number)才能
28、以特定的用户登入。在用户端,管理人员可以指定其在一个特定的硬件平台上登入(如双向有线网络的Cable Modem)。l 用户验证方法提供了基本的口令保护机制。1. 用户在开始登录时,中心机房的资源管理机将询问用户帐号及密码,验证合法后才提供服务。同时资源管理机还可以根据系统管理员的设置允许一个用户帐号的多次同时登入或者只能唯一登入。2. 若用户须做实时交易时,用户还将被请求输入他在该证券公司的资金帐号和密码,这一部分验证工作由证券公司的交易系统来完成,中心机房的服务端程序无法干预。如果用户做不同证券公司的交易指令单都将被请求不同的用户验证。中心机房的服务端系统的数据均存放在SQL Server
29、 for NT中,用户无法访问。机房的管理人员通过超级权限,也只能删除用户的口令,而无法得到用户的密码。 网络数据加密加密是提供保密、真实性、完整性和数据存取权限的强有力工具。由于在较大程度上存在数据泄露的危险,因此网络中经常使用加密。链路加密方式目前主要有低层硬件来实现;在本系统中,我们采用软件加密方式来进行端对端的加密。这里又分成两种层次1. 用户与宿主机之间的实时行情数据或者历史静态数据以特定的二进制格式产生,还有一般的相互通讯传输报文,采用不可逆加密方法加密,密码每天一换。2. 用户的交易指令数据重要性最大。现今国外的网上交易一般都是在通用浏览器上用CGI接口开发的,采用的加密算法主要
30、是DES或者RSA算法。由于天亿Internet金融资讯交易系统使用专用的客户端软件,在数据加密方面可以做得更好。我们主要考虑以下几点:l 客户端软件自身就预埋有五种加密方法,并且这些加密算法的改进和增加可以通过客户端软件的向上升级来完成;l 客户按键需要交易查询时,首先向资源管理机提出申请,资源管理机在检查其进入天亿Internet金融资讯交易系统的权限后,如该用户有权限进行网上交易,则将交易管理机的联系地址通过1.所提到的加密报文返回到客户;l 客户端软件收到地址后,再次向交易管理机发出交易查询请求,交易管理机收到指令后,采用随机算法,生成一个加密母码(长度随机)和某种加密方法,传递给客户
31、端软件;l 客户端软件收到加密母码后,与目前连入天亿Internet金融资讯交易系统的IP地址进行数据变换后,产生一个真正的密码,运用交易管理机指定的预埋加密算法,进行数据加密传输。这样,不仅交易数据传输密码是一次随机一换,而且网上传输的母码和加密方法序号并不是真正作用于加密的数据,比通过直接申请得到的密匙安全得多,解密概率很小。 时间戳处理,防止重复数据捣乱。 电子记录的保存1. 为了保存历史记录,以备查询,中心机房的交易管理机在每收到客户的一条交易指令或者每收到交易转换机回送的交易回报,都在SQL Server数据库中分几个级别、索引进行电子记录,并且隔日该电子记录将不允许改动。交易转换机
32、在每收到交易管理机传来的交易指令单和从券商交易系统处得到交易回报后也做类似的电子档案记录。2制作安全日志。不仅监控各服务模块的运行情况,客户的访问次数和时间,各服务模块的出错信息,还记录登录到系统的企图,与服务模块交互通讯的情况。同时还记录各机房管理员所做的重大操作,如安全策略的改变,数据库的修改等,以备留档查看。安全日志库无法操作修改。 Windows NT Server操作系统的安全机制Microsoft公司在设计嵌入到Windows NT Server安全系统的基本模块时,认真分析了近年来成百份相关的文字资料(包括有关的计划、实验、错误、改进和提高等方面)结果,在现今市场上,Window
33、s NT Server成为最安全、最健壮的操作系统平台之一。Windows NT的安全模型由若干部分组成,但安全模型本身是一个完整的子系统,它对整个系统至关重要,通过它可以很容易的实现对多个服务器的安全控制。安全子系统控制对资源(通常称为客体)的访问。在Windows NT的安全子系统中,有一个非常重要的概念域。一个NT域是若干个服务器的集合或联合。一个域是一个具有集中安全控制的工作组;其中的某个服务器可被指定为主域控制器或者后备域控制器。这些指定为域控制器的服务器充当域中所有客体的安全管理者。采用域的主要优点是:l 每一个域都有唯一的口令,该口令允许用户访问该域中其有授权使用的所有资源。l
34、这个口令是用户专用的,它可以由特殊的用户来控制。NT中的安全也可以扩展到用户和文件级;Windows NT的安全管理系统提供事件审计和详细日志,并允许对网络上客体的访问和使用进行监控。实际上,Windows NT的安全结构与其他类型的网络安全并无不同,只是它更加可靠。Windows NT的安全模型由登录进程、本地安全管理机构、安全帐号管理器和安全参照监控器组成。l 登录进程(LP) 通过初始登录对话信箱或远程登录进程接受实际的用户登录请求。l 本地安全管理机构(LSA) 确保请求访问资源用户具有应有的许可。l 安全帐号管理器(SAM) 负责维护实际帐号数据库。SAM可为本地安全管理机构提供用户
35、确认服务。l 安全参照监控器(SRM) 确保用户或进程具有访问某个客体的许可,并确定用户试图进行的任何操作都符合用户的安全概要。 Microsoft TCP/IP的安全机制利用Windows NT 4 新的TCP/IP配置可以限制对TCP、UDP和IP三种类型的网络通讯。限制这些类型的通讯进程是依据为相应通讯所指定的口地址来进行操作的。通过配置Microsoft TCP/IP协议设置中以及UDP和IP中的某些安全方面的信息,我们可以阻止来自UDP口的任何通讯到达DNS口。这是一种维护TCP/IP网络安全的强有力的方法。在服务器上,不能到达TCP/IP口的信息就不能插入通讯。 Microsoft
36、 SQL Server数据库目前数据库产品主要分成客户/服务器数据库和共享(或分布式)数据库两大类。Microsoft SQL Server 数据库属于客户/服务器数据库类型。通常,尽管客户/服务器系统中的服务器做的工作很多,但客户/服务器一般都很“结实”,当面临较多的加载任务时,也能完成得很好。在共享或分布式数据库中,数据的所有处理均在客户机上完成,而服务器仅仅起文件服务器的作用。在实际中,如果加载的数据量不大,共享或分布式数据库可以提供良好的服务,但是当操作的用户数量较多时,它就会工作得很慢。InternetPage: 20金融资讯交易系统要适应于大用户量的同时上网访问,因此客户/服务器数
37、据库是第一首选方案。同时由于Windows NT与Microsoft SQL Server数据库的紧密结合,SQL Server提供的性能监视器和安全管理器,使得整个系统的可靠性和安全性得到了保证。 安全保障和稳定性 串口通讯为保证内部网络的安全,避免来自互联网上的攻击,在我们的网上交易方案中采用了串口隔离技术,将内部网络和互联网络彻底隔离。 委托服务器和前端服务器不安装WINDOWS NT串口通讯模块,而是各运行一个串口通讯程序,该程序采用WINDOWS API低层编程技术直接对串口进行操作,并具有交易数据合法性检查功能(数据包的标识和效验),如此即可避免来自互联网的命令和非交易数据进入委托
38、服务器,从而避免网上黑客对交易网络的攻击。 通过委托转换机的保护,将NT SERVER与柜台数据库进行隔离,确保对数据库的合法、正确的操作。 WINDOWS NT和NOVELL双重安全体制的保障。在硬件隔离和数据包检验的保护下,再击破NT和NOVELL安全体系可能性几乎为零。3安全承诺 由于采用了上述安全措施,我们可以在以下几方面保证:证券公司内部网络不会受到互联网用户的攻击;交易数据在传送过程中不可能被篡改;同一笔交易不可能被重复;能防止帐号和密码试探。2实用性分析: 天亿尊重广大股民依赖乾隆软件的看盘习惯,天亿客户端专用行情分析软件保留了乾隆的操作特性,又赋予其完美的WINDOWS特性,真
39、正做到了操作更便捷、界面更友好。如:更实用灵活的综合排名,鼠标和键盘操作的无缝连接,窗口的随意缩放和移动,曲线、字体的比例放大。3兼容性分析: 系统不仅兼容乾隆数据,而且配合图文卡使用,使股民可以自由选择从互联网或有线电视网上获取行情。4可靠性分析: 为避免出现因行情服务器故障、接收程序原因出现的股民看不到行情的情况,依格尔提供了行情备分方案: 在系统只有一个行情服务器的情况下,若出现电信端行情服务器硬件故障,可让股民从其他IP地址取行情;在系统有多个行情服务器的情况下,出现主行情服务器故障时,启动备分行情服务器从券商处读取行情数据并发布。系统容错及扩展性a. 系统的交易日志在券商端、中心端都
40、有备分。b. 行情的热备分,可以在各证券公司之间,各中心端之间热切换。c. 中心端的实时行情模块、静态补充模块、交易管理模块可以在其它机器上得到扩充,这样在网络负载允许的范围内,中心资源控制模块可以实时均摊各服务模块的工作量,既保证了容错和扩展性,也降低了硬件的要求。d. 一个中心端可同时处理多个券商。e. 可同时处理169、163用户。5可管理性分析:1 网络管理: 由ISP负责,通过163、169、有线网等的网管系统进行网 络的统一管理。2 信息源管理:由券商负责综合资讯信息的提供,分布和管理,包括历史和即时行情、券商信息、交易所公告、专业股评、跑马灯广告等。3 客户管理及计费:客户管理客
41、户开户、查询、修改、暂停服务、删除等常规业务;客户统计、在线统计、访问量统计等在线统计功能;具有时段限定和同时访问人数设定等辅助功能;总部系统管理员:对所有用户的管理、对下级管理员(开 户管理员)的授权和权限管理。管理员采用浏览器方式工作。可远程操作。客户计费具有包月、计时、包月+超时、时段(不同时段不同费用)计费等多种计费方式。券商管理券商开户、查询、修改、删除等。成交量统计能统计各营业部网上交易量和累计成交量。6可扩展性分析1) 行情站点扩展:在天亿的解决方案中,当因为NT行情服务器的硬件容量制约用户数量时,只需增加行情服务器即可方便地实现容量扩容,而不必淘汰原服务器。在有多个行情服务器的
42、情况下,有一台主服务器负责从券商端获取即时行情,数据压缩后通过电信端局域网实时传送至其他行情服务器,这样,所有行情服务器均通过本地硬盘响应股民的行情请求。2) 证券营业部的扩展:只需增加DDN、营业部端前服务器、委托服务器和相应的委托软件即可实现营业部的扩展。3) 网吧扩展方案:如今INTERNET已从城市深入到县市,而证券公司的业务受政策或资金的限制却无法将其延伸到县市,针对券商证券业务低投入、无限延伸的实际需求,天亿提供网吧应用方案。(详见)第五章 系统配置硬件要求: 电信169:系统最低配置为一台WINDOWS NT 服务器。服务器要求:HP LH 系列P233,128M RAM ,2.1G HD也可以配备几
浙ICP备2021020529号-1 | 浙B2-20240490 
