文档介绍:文档编号: 密级:限用
杭州恒生电子有限公司
证券交易系统
安全功能测试报告
编制: 证券事业部
审核: 范径武
批准: 范径武
二OOO年六月
*本资料仅供恒生用户使用,请勿外传。
1。平台的安全性
结论:主要为WINDOWS NT + SQL SERVER ,其安全性能够符合要求(C2级以上)。
数据的安全性
数据的存放期限
结论:历史数据保存期限理论上没有限制,实际环境中和券商规模、服务器性能、存储空间等有关。
数据的隔离
结论:系统中所有重要的数据以及重要的程序都放在内网中,通过采用中间件,能够实现使用三层甚至四层结构来对操作终端层进行隔离,使数据处于相对比较安全的环境,最大程度地杜绝了外部人员对系统的恶意的破坏的可能。
数据的修改
结论:系统对所有资金、委托、银行、柜员等等敏感数据的操作,都保存有完整的流水记录,并对其都做了有效的权限审核。
数据的传输
结论:系统内的数据的传输均使用协议传输,有效提高了截获和分离的难度;同时可以根据营业部的需求选择不同的加密和校验算法加密传输,加密算法的密钥也可动态生成,充分保证了数据包的安全可靠。
数据的备份和恢复
结论:备份和恢复界面简洁,操作相当方便,并且可以有选择地对某些数据倒出到 dbf进行不同形式的备份。
实时备份能力
结论:可以接受目前流行的standby等第三方热备份系统,也可以选择恒生自己的热备份系统
数据的查询
结论:根据不同操作员分别限制其可以查询的内容,从而保证操作者只能查询到自己权限以内的用户数据。
操作的安全性
操作权限的控制
结论:可以分别设定各种操作员的角色权限,在给具体操作员设定权限时,能够根据其所属角色设置初始权限;登录系统时,菜单能够根据操作员的权限进行调整;
授权权限的控制
结论:与操作权限属于不同的权限,可以具有与操作权限不同的授权权限。
口令的存放和加密方式
结论:口令使用字符型,在数据库中加密存放。
对操作员的保护
结论:在输入口令时,显示为星号;
能够手工锁键盘或在规定时间内没有操作而自动锁键盘;
能够设定登录次数,达到次数后需要修改密码,有效防止一个密码的长期使用。
密码和口令的存放和加密方式
结论:进行交易、资金、银行转账等业务处理时,均要求用户输入账号和口令;
用户口令使用字符型,可以设定最小长度;
客户密码数据在数据库中为加密存储。
密码的分离
结论:用户进行交易、资金、银行转账时使用的口令可以互不相同;
当股民未设定资金密码时,可以设定自动取其交易密码作为保护;
委托方式的控制