爱华网Award of Excellence
优秀奖
齐鲁证券网上交易安全助手
获奖项目:齐鲁证券网上交易安全助手获奖等级:优秀奖
获奖单位:齐鲁证券有限公司
主要完成人:张勇、王恩潭、于建云、肖镇、任艳青、王刚、彭渤、姜永良、芮佳军、范鹏
一、项目背景与设计过程
在互联网及其应用快速发展的过程中,网上木马泛滥问题呈现愈演愈烈之势。网上木马可能使投资者信息泄露,导致证券的盗买盗卖,给投资者造成直接经济损失,也给证券公司带来连带经济损失和声誉上的影响。
中国证监会和中国证券业协会多次以通知、通报等形式,强调防范互联网木马的重要性,并提出了具体要求。2008年12月,中国证监会下发了《关于加强对投资者网上交易安全保护的通知》(证监办发 [2008]136号);2009年6月,中国证券业协会颁布了《证券公司网上证券信息系统技术指引》(简称《指引》);山东证监局以通知、监管例会等多种形式提出具体要求。
齐鲁证券依据监管要求,在2009年上半年,制定了《网上交易系统安全加固方案》,将“增加网上交易客户端查杀盗号木马等恶意程序功能”列为五项重要措施之一。
在市场调研、内部研讨、技术交流、反复论证的基础上,逐步形成了《网上交易客户端防木马安全加固方案》,提出了与主流专业防病毒公司合作,定制开发“齐鲁证券网上交易安全助手”(下称“安全助手”)的解决方案,并制作了《项目需求说明书》,就盗号木马等恶意程序防治工具,从工作机制、实现方式和证券行业特有需求等几个方面逐一进行了分析,并在此基础上提出了“安全助手”的产品定位、实现形式、产品设计目标,以及十条基本要求和一整套细化分解的具体需求。
专辑中国证券
97
优秀奖
Award of Excellence
2009年9月,“安全助手”项目完成立项,旨在落实《指引》第二十八条“网上证券客户端应提供技术手段协助用户检查、清除木马等恶意程序”的要求。同时,齐鲁证券将设计目标确定为:通过打安全牌、为客户提供安全服务、给客户安全感,吸引客户、为公司经纪业务开拓市场及客户营销工作提供得力工具。
手”纵向细分功能模块、横向设定功能配置,并定义了灵活的应用策略。运行模式灵活可配置,扫描方式多种可选择。将使用权最大限度地交付使用者,满足了公司广大网上交易客户的个性化需求,实现差异化服务。为体现面向公司客户的专享服务,以及避免因扩大使用范围而造成的负面效应,“安全助手”实现了对公司交易客户的授权使用,非授权用户将无法享受升级服务。
(三)全覆盖
“安全助手”充分保证了公司现有网上交易系列服务的完整性,保证了相关业务的平滑对接和继承,通过随机启动、独立运行,覆盖了公司全部C/S、B/S架构的网上交易应用,全程服务,不漏、不重、不冲突。公司客户不论选择哪种网上交易软件,都会享受到“安全助手”的服务。
(四)引入时间策略
证券行业时间敏感性表现为高实时性和4小时内外需求不同。安全助手引入了时间策略,以时间为依据在不同的时段执行不同的动作,在特定的时间执行规定的动作。在交易时间段内以效
二、系统概述
“安全助手”根据行业的高实时性要求和公司多套网上交易系统(包括C/S、B/S)并存并用的实际情况,在业内率先落实《指引》,以适当的形式向客户提供查杀盗号木马等恶意程序的工具,满足了相关监管要求。
通过近两年的推广应用,作为一款非强制安装的安全辅助应用软件,“安全助手”已经得到了广大投资者的普遍认同,并逐渐在营业部等生产一线体现出辅助客户营销的巨大潜力。这也正是其功能满足客户终端安全需求、适用行业特点的充分体现。
三、技术特点
(一)登录秒杀
最好的防护是在客户每次账户登录输入敏感信息之前均自动查杀木马。“安全助手”研发了具有创新性的“极速扫描引擎”和“瘦代码库”,在客户每次使用账户登录时,均可自动关联调用“安全助手”的极速扫描功能,且仅对内存进行查杀,实现了秒杀(2秒内)木马的设计目标,为网上交易客户提供了最贴身的安全服务。
(二)差异化服务
以人为本,追求最优人性化设计。“安全助
率优先兼顾安全,默认采用内存扫描方式,基于“瘦代码库”进行极速扫描;交易时间段外以安全为先、兼顾效率,实现自动对时、自动升级以及基于“行业代码库”的相对完整的自动扫描。
(五)建立关联机制
“安全助手”改变了以往的安全应用孤立运行、与其他应用软件不相关的现状。“安全助手”的关联机制包括关联调用和关联扫描。
关联调用,通过设定“关联”调用点,约定调用信息,实现了网上交易对“安全助手”的调用。公司所有网上交易均执行相同的关联调用规则。
98
中国证券 专辑
Award of Excellence
优秀奖
关联扫描基于时间策略,尊重客户选择,包括关联为极速扫描和关联为快速扫描。
(六)推广、移植方便
“安全助手”关键技术实现简单,技术应用成熟度高,各个实现环节提炼出来的是一套有机的解决方法,而不是复杂、鲜用的技术。如利用网上交易自有功能取回特征信息进行MD5摘要实现授权使用、利用约定注册表特征位置进行调用点信息设置实现关联调用、利用互联网对时校对客户终端时间实现时间策略等等。这些成熟技术的变化利用,使“安全助手”具备了运行稳定、移植方便的特点。由于采用非嵌入式的独立运行方式,网上交易客户端或其他操作方式无需进行大量修改就可以轻松与之实现关联使用。
(七)客户应用风险低
“安全助手”经过优化、改进,现在已具备了依托文件备份、恢复机制降低安全应用误杀风险的功能。客户可以轻松操作,对扫描出的疑似威胁进行先备份后清除,大大降低了传统安全软件的误杀风险。
安全感,避免了客户感染盗号类木马可能承担的损失,使客户能够放心进行证券交易。
3.客户免费使用,公司终生服务,提高了客户的归属感。
(二)公司方面
1.可显著减少由信息泄露和互联网盗号事件引发的纠纷,降低公司法律风险,减少公司经济损失。
2.“安全助手”的应用推广体现了公司的“客户服务”理念。通过打安全牌、给客户安全感来减少客户流失、开发新客户,为公司经纪业务开拓市场提供得力工具,带来经济效益的同时提高了公司声誉。
3.以“齐鲁证券网上交易安全助手”为关键字进行搜索,百度列出了8,750个相关结果,谷歌的搜索结果则是达到了12,100条。广大投资者从闻所未闻,到主动搜寻、使用,表明齐鲁证券“安全助手”提供的终端安全服务已得到客户的认可,公司的知名度得到了提升。
(三)行业方面
“安全助手”根据行业高实时性的特点和公
四、社会效益
(一)客户方面
1.为客户提供了与网上交易软件密切配合、专职查杀盗号木马等恶意程序的安全软件,在提供安全服务的同时,一定程度上可以降低客户在安全产品方面的投入。
2.每当客户输入“账号”、“密码”等敏感信息,立刻触发“安全助手”的安全扫描,发现威胁信息立即提示,备份后清除,提高了客户的
司多套网上交易系统并存的实际情况,率先落实《指引》的要求,以适当的形式实现了向客户提供防盗号类木马和信息窃取类恶意程序工具的监管要求,并取得良好的应用效果,具有行业示范意义。
“安全助手”具有鲜明的行业特点,首次在证券行业将安全服务延伸至证券投资者层面,是
完善证券市场服务体系的有益尝试,提升了行业形象,具有较高的行业推广价值。
专辑中国证券
99
