【正文】 ? 測試內(nèi)容 軟件功能要求，可靠性、安全性，性能指標(biāo)，可擴充性，維護等。 工程合同生效后， 桂林證券南寧營業(yè)部公司以書面方式通知深圳盛潤網(wǎng)絡(luò)系統(tǒng)有限公司驗收負責(zé) 人姓名，該負責(zé)人必須與深圳盛潤網(wǎng)絡(luò)系統(tǒng)有限公司指定的負責(zé)人一起制定測試標(biāo)準(zhǔn)。 負責(zé)人：喬碩 6． 3 系統(tǒng)測試 測試主要分為系統(tǒng)測試、軟件測試。負責(zé)人：胡勝蛟 聯(lián)絡(luò)人員：一名，負責(zé)桂林證 券南寧營業(yè)部和盛潤公司的聯(lián)絡(luò)工作。負責(zé)人：吳飛卡 工程人員：首期共投入四名工程師，以后根據(jù)工程需要再增加，負責(zé)網(wǎng)上交易系統(tǒng)工程的施工和測試。需時 10 天。需時 5 天。需時 15 天，可與線路申請同步進行。 6． 1． 3 應(yīng)用軟件的工程實施 合 同簽定后，由桂林證券南寧營業(yè)部公司給出柜臺交易系統(tǒng)接口和銀證轉(zhuǎn)帳接口，由盛潤公司的項目小組進行調(diào)試。合同簽定后，將計算機設(shè)備運抵桂林證券南寧營業(yè)部處，進行通訊隔離的安裝、測試，等 ISP 接入的安裝測試完畢后，把計算機運到現(xiàn)場處，由我公司技術(shù)人員到現(xiàn)場進行安裝調(diào)試，包括與其有關(guān)聯(lián)的設(shè)備、網(wǎng)卡等。需時 2 天。在系統(tǒng)完成各個單獨測試后，將首先利用微機進行聯(lián)網(wǎng)測試。由盛潤公司和桂林證券南寧營業(yè)部公司對托管服務(wù)器進行安裝、測試。 A. 安裝前，由桂林證券南寧營業(yè)部公司向數(shù)據(jù)局提出服務(wù)器托管申請，由桂林證券南寧營業(yè)部公司向數(shù)據(jù)局提出 ADSL 或 DDN 專線（從數(shù)據(jù)局到桂林證券南寧營業(yè)部）申請。本次工程實施采用同步、交叉的方式進行。 C. 系統(tǒng)維護費用按年收取，為合同金額的 10%。新增功能：股票代碼的模糊查詢、小鍵盤數(shù)字鍵、股票代碼拼音查詢、 shift 及 Ctrl 熱鍵的多股同選、風(fēng)格設(shè)置、日線走勢圖、成交均價、成交均線等可進一步靈活自行設(shè)置參指數(shù)的多種指標(biāo)； 全錢龍仿真界面，熱鍵、快捷一應(yīng)俱全。 易用性 最適合中國國情，最符合中國人的使用習(xí)慣 系統(tǒng)具有極高的靈活性。先進的數(shù)據(jù)采集設(shè)計，使行情信息更新間隔時間僅為 8 秒，比大戶室還快； 另外，采用系統(tǒng)資源spool 技術(shù)管理處理多事務(wù)并發(fā)，使系統(tǒng)單位時間內(nèi)響應(yīng)完成率大大提高，確保大容量時的系統(tǒng)負載性能。 速度及實時性 可靠性 這就要求系統(tǒng)管理員嚴密監(jiān)視網(wǎng)絡(luò)工作情況，一經(jīng)發(fā)現(xiàn)新的潛在危險，立即補救。另外，當(dāng)你愉快地操作完，別忘記隨手帶門。 安全也不是單一的，畢竟系統(tǒng)還要進行正常的工作，也就是說需要有人能夠使用，而這個入口，有很大的人為因素在里面。 然而，安全是相對的，所謂加密的安全是從目前的計算能力和科學(xué)技術(shù)發(fā)展?fàn)顩r及運算代價而言的安全，而且 對系統(tǒng)安全的要求越高，實現(xiàn)的成本越大，所以不能一味追求安全可靠而花費大量的資源。 另外，針對防竊密、篡改、重發(fā)、偽造、否認系統(tǒng)還采用了交易標(biāo)識符策略。安全數(shù)字驗證：系統(tǒng)提供對用戶數(shù)字簽字的內(nèi)部簽發(fā)認證服務(wù)。并得到國際著名的第三方安全認證授權(quán)（ CA）權(quán)威機構(gòu) VeriSign 的認證和國家密碼管理委員會辦公室的鑒定，產(chǎn)品通過了中國國家信息安全產(chǎn)品測評認證中心的測試認證。網(wǎng)絡(luò)安全：采用基于網(wǎng)絡(luò)層過濾和應(yīng)用層過濾的雙層防火墻技術(shù)； 盛潤網(wǎng)上交易系統(tǒng)所使用的加密算法通過了國家密碼管理委員會辦公室的鑒定，產(chǎn)品通過了中國國家信息安全產(chǎn)品測評認證中心的測試認證；盛潤公司是證券行業(yè)首家通過國家級鑒定的單位。通過驗證電子簽名（比較“指紋”），就可以斷定某筆交易指令是否是這個人發(fā)出的。 另外，在盛潤網(wǎng)上證券交易系統(tǒng)中，為了防止交易否認，系統(tǒng)保留了每筆交易的電子簽名。交易安全服務(wù)器產(chǎn)生的交易標(biāo)識符是隨機的，每次都不相同，每個交易標(biāo)識符只有在申請后的第一次使用有效。 SSL通訊協(xié)議保證了交易指令的秘密性和完整性，能夠有效防竊密和防篡改，但是還不能防重發(fā)和防否認。數(shù)字 身份證明文件簽發(fā)服務(wù)器則為各服務(wù)器和用戶生成有效的 數(shù)字 身份證明文件與 RSA密鑰。 網(wǎng)上服務(wù)器軟件主要從網(wǎng)上接收用戶的指令并轉(zhuǎn)發(fā)給券商前置機。 盛潤網(wǎng) 上證券交易系統(tǒng)包括用戶端軟件、網(wǎng)上服務(wù)器軟件、券商前置機軟件以及數(shù)字 身份證明文件簽發(fā)服務(wù)器 等部分。并且，用戶的電子簽名將連同指令原文一起保存，使指令發(fā)出者不能事后否認（本功能超出了 SSL 協(xié)議的要求）。 用戶的每條指令都附有 遞增的指令序號，凡指令序號錯誤的指令都被認為是誤重發(fā)（或惡性重發(fā)）指令而被丟棄，有效地防止了數(shù)據(jù)的惡性重發(fā)。 握手成功后的所有對話都用 SBCA1算法予以加密， 有效地防止了對 數(shù)據(jù)的竊聽。 盛潤網(wǎng)上證券交易系統(tǒng)在 SSL 協(xié)議的基礎(chǔ)上，通過對 電子簽名的強化而建立了更為可靠的安全保密機制： 盛潤網(wǎng)上證券交易系統(tǒng)的 客戶端軟件與網(wǎng)絡(luò)服務(wù)器軟件之間在開始正式對話前都要先握手。 安全數(shù)字驗證 除了尋找系統(tǒng)本身的薄弱環(huán)節(jié)，從后門進入外，還有一類取巧者，喜歡堂而皇之地竊取合法身份從前門進入。 1999 年 5 月，盛潤公司在 Inter 上得到了 VeriSign 的國際認證，出于美國的安全政策，這是外國公司可能在美國獲得的最高認證。 VeriSign 是世界著名的第三方安全認證授權(quán)（ CA）機構(gòu)，它發(fā)放的 VeriSign 安全服務(wù)器標(biāo)識（ Secure Server IDs）得到了全球商業(yè)機構(gòu)的普遍信任。 由此可見， SSL 協(xié)議的有效性主要取決于所選用的加密算法。握手過程中所交換的信息如下： 雙方交換 格式的身份證明文件，該身份證明文件必須服有可靠的驗證機構(gòu)（ Certificate Authority）的電子簽名。信息包一旦被篡改，就不能通過雜湊函數(shù)檢驗，該信息包就會被丟棄。 信息完整性：網(wǎng)絡(luò)中可能有這樣一些人，他們雖然不能讀懂您傳遞的信息，卻惡意地對信息包進行篡改，使對話雙方產(chǎn)生誤解。 SSL 協(xié)議所能實現(xiàn)的安全保密功能以及為實現(xiàn)各項功能所采用的技術(shù)如下： 功能 所采用的技術(shù) 所防范 的攻擊類型 信息保密性 對稱加密技術(shù) 信息竊密 信息完整性 雜湊函數(shù)技術(shù) 信息篡改 身份的相互驗證 非對稱加密技術(shù) 身份仿冒 信息保密性：在遵循 SSL 協(xié)議的兩臺計算機傳遞的所有信息都通過對稱加密技術(shù)（如 DES）予以加密。 前面提到 SSL 是基于對話層的一種安全標(biāo)準(zhǔn)，但標(biāo)準(zhǔn)本身是不能使用的，只有基于標(biāo)準(zhǔn)的具體實現(xiàn)的協(xié)議才是我們需要的，以下我們就簡單論述 SSL 協(xié)議的實現(xiàn)，為了敘述方便，我們還是簡稱 SSL，注意不要和標(biāo)準(zhǔn)混淆。IP 信道的優(yōu)點是對應(yīng)透明，可以提供主機到主機的安全服務(wù)， 并通過建立安全的 IP 隧道實現(xiàn)虛擬專網(wǎng)即 VPN。其中利用 IP認證頭 (IP AH)可以提供認證與數(shù)據(jù)完整性機制。利用基于 IP 包的信息加密技術(shù)可在 Inter 上實現(xiàn)安全的私有網(wǎng)絡(luò) SVPN（ Secure Virtual Private Network）。 以下為盛潤公司加密算法基本 工作流程： 3．協(xié)議 由于 TCP/IP 協(xié)議本身不提供任何信息安全方面措施，因此必須另外開發(fā)。根據(jù)上面的分析， 40 位的對稱加密或 512 位的非對稱加密顯然是不安全的，因此，企圖利用美國允許出口的技術(shù)在中國建立網(wǎng)上證券交易系統(tǒng)顯然是不現(xiàn)實的。直到最近，美國一直禁止把密鑰長度超過 40 位的對稱加密技術(shù)或密鑰長度超過 512 位的非對稱加密技術(shù)出口到美國之外的任何地方。 在美國本土，各網(wǎng)上證券交易系統(tǒng)基本選用密鑰長度為 128 位 [tripleDES： (648)*2]的對稱加密方法以及密鑰長度為 1024 位的非對稱加密方法（通常為 RSA 算法），因此，可以認為系統(tǒng)是安全的。用因子分解法對不同長度的大數(shù)進行因子分解的成本如下： 大數(shù)長度 年份 332 位 498 位 664 位 830 位 996 位 1162 位 1995 年 USD740 10M 40B 20T 3000T 2020 年 74 1M 4B 2T 300T 2020 年 100K 400M 200B 30T 2020 年 10000 40M 20B 3T 根據(jù)上述分析專家們認為：按目前的技術(shù)：密鑰長度為 85 位或以上的 DES 加密算法或密鑰長度為 1024 位或以上的 RSA 加密算法。目前，破譯 DES 的最佳手段還是強行破譯法。比如 Unix 系統(tǒng)的用戶密碼 password 就采用 DES算法；而信息加解密工具 PGP（ Pretty Good Privacy）采用了公開密鑰的加密方法?，F(xiàn)在采用的方法是融合兩種加密算法的優(yōu)勢，用非對稱加密算法傳遞對稱密鑰，而實際的大量數(shù)據(jù)則由對稱加密算法加密傳遞，以滿足速度上的要求。同時，密鑰的維護、管理也比較困難。非對稱加密算法雖然具有上文提到的優(yōu)勢，但是為了使產(chǎn)生的密鑰滿足變換復(fù)雜性的單向性，需要非常高深的數(shù)論、近世代數(shù)以及計算 復(fù)雜度理論的知識。對稱加密技術(shù)雖然必須首先達到密鑰的保密傳輸后，才能付諸使用。也就是說，在甲對信息加密后，即使是他自己，也無法看懂自己得到的密文！這樣，通過以上方法，就可以在不需要專用的秘密途徑來達成某對稱密鑰。這樣，甲如果要與乙通信，首先通過向密鑰管理機構(gòu)申請得到乙的公鑰，并用乙的公鑰加密需要傳遞的信息。利用該數(shù)學(xué)變換的特性，加以巧妙地組合，可以構(gòu)建加解密算法系統(tǒng)。這一方法的特點是：定義特定的互逆數(shù)學(xué)變換 ，但該變換可以保證計算復(fù)雜性的單向性。雙密鑰的加密方法 /非對稱機密又叫公開密鑰的加密方法，加密和解密時采用不同的密鑰，即公開密鑰和私人密鑰，如著名的 RSA 算法。 單密鑰的加密體系 /對稱加密在加密和解密時采用相同的密鑰，如著名的加密算法 DES；加密和解密過程采用了相同的密鑰。由于 Visa 與 MasterCard 的強大實力，以及得到 IBM， Microsoft 等業(yè)界巨人的支持， SET 協(xié)議得到了業(yè)界的廣泛支持。 SSL 協(xié)議能很好地解決身份驗證、信息保密、信息完整等網(wǎng)絡(luò)信息傳輸過程中最為關(guān)鍵的安全保密問題。 Netscape 公司已經(jīng)把 SSL 協(xié)議遞交給 W3C 網(wǎng)絡(luò)安全工作小組以便使之成為萬維網(wǎng)應(yīng)用的安全標(biāo)準(zhǔn)。在所有的協(xié)議中， SSL 和 SET與電子商務(wù)的關(guān)系最為密切。對應(yīng)用層有 SET(安全電子交易 )協(xié) 議。 這里我們要談三個問題：一個是安全標(biāo)準(zhǔn)，一個是加密方法和加密強度，最后是協(xié)議。 Inter 主要采用 TCP/IP 協(xié)議，但 TCP/IP 協(xié)議本身不提供任何信息安全方面措施，因此必須另外開發(fā)。 公式：“沒被禁止的就是允許的” /\“沒被允許的就是禁止的” =“安全” 信息傳遞安全 除了網(wǎng)絡(luò)本身是安全的外，信息在傳遞過程中，會面臨被竊取、重發(fā)和修改和惡意跟蹤等威脅。 另外，盛潤公司采用一臺通訊隔離服務(wù)器的方式，在外部網(wǎng)和內(nèi)部網(wǎng)使用公司自己開發(fā)的一套通訊協(xié)議，只有盛潤公司的經(jīng)過加密的程序和數(shù)據(jù)才能通過該隔離。這兩種防火墻各有優(yōu)缺點，包過濾型防火墻由于基于網(wǎng)絡(luò)層，因此對用戶來說比較透明，但它一般采用“沒被禁止的就是允許的”這一策略，在它失效時，網(wǎng)絡(luò)是暢通的，這時內(nèi)部網(wǎng)絡(luò)將失去安全的屏障，而應(yīng)用層防火墻采用“沒被允許的就是禁止的”這一策略，在它失效時，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)是隔離的，因此應(yīng)用層防火墻要比包過濾型防火墻安全。包過濾型防火墻處在網(wǎng)絡(luò)層，根據(jù) IP 包的包頭信息來對信息的訪問進行控制，而 IP 包的包頭主要包括以下信息： IP 包的源地址、目的地址、包類型、端口號，因此包過 濾型防火墻主要完成基于地址和端口的過濾功能。 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全的主要技術(shù)是防火墻技術(shù)（ Firewall），防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。 一個系統(tǒng)的安全由它的結(jié)構(gòu)決定。接口軟件前面已經(jīng)論述，盛潤提供軟件接口標(biāo)準(zhǔn)及成功樣板，技術(shù)細節(jié)具體實施而定。 方式 2 的優(yōu)點是速度快、加密策略可得到加強，缺點是系統(tǒng)需要客戶端軟件，系統(tǒng)升級等不夠方便。 軟件包 主要由客戶端、三大軟件包及各接口軟件構(gòu)成 計算機及服務(wù)器 計算機使用位置及數(shù)量可參照前面的網(wǎng)絡(luò)拓撲圖； 機器配置在后面的配置清單中有詳述； 機型的選擇，考慮到系統(tǒng)對安全及可靠性的高要求建議采用 COMPAQ、 HP 和 IBM 等美國著名品牌廠商高檔機。 但 ADSL 在我國目前屬推廣階段，要視各地具體情況而定。銀證轉(zhuǎn)帳；以營業(yè)部為單位與當(dāng)?shù)馗縻y行間的線路，視具體情形定線路數(shù)，一般性能要求不低于 ，