我从不知道股票交易是怎么回事儿，炒股热和我也没啥关系，今天有媒体想让我对在线证券交易安全做个评估。可怜我对证券交易一无所知，如何评估。

　　好在周围同事中有股民，就对我作了股票交易的扫盲，看完他操盘登录的过程。已经大吃一惊了——感觉偷交易软件的登录账号口令，比偷QQ号还要简单。实在是爆汗，这样的交易风险怎么就没多少人关注呢。

　　简要描述一下，我对这个交易流程的理解，请股民朋友指正。

　　交易前，需要到证券公司申请开户，就是账号密码，然后关联一个银行卡。把银行卡的钱，打入证券交易账户。这就是你的仓库了，你用仓库的钱交易股票。买出股票的钱打入银行卡，是不能直接转走的，证券账户和银行卡之间的交易需要安全认证。

　　我认为银行卡的在线交易安全性明显要好于证券交易，二者的区别，我理解的有：

　　区别一：在线银行通常有大众版和专业版，大众版显然不适合在线交易，每天支付的金额是有限的。专业版需要文件数字证书或移动数字证书加密，恢复证书或启用证书有复杂的身份验证手段。未得到证书，只拿到账号密码是没有用的。移动数字证书的安全性要好于文件数字证书。

　　数字证书是在线交易最重要的安全保证，我惊讶的发现证券交易软件是不需要证书的，仅仅一个账号密码。这样没有使用证书加密的信息传输是，除了木马可以直接截取账号密码外，数据包也非常容易被黑客嗅探到。

　　区别二：在线银行交易，可以直接点对点，从一个账号转入另一个账号;而证券交易，是从你的仓库转入股市这个大海中。你不能直接点对点把一个仓库里的股票直接转入另一个账户。

　　我们再看看一个典型的证券盗贼木马是如何工作的?

　　木马运行后，监视当前活动窗口标题是否有“证券、股票、交易”等字样，如果有，就启动键盘钩子记录击键动作，或把鼠标指针活动范围内的屏幕图像截取(虚键盘一样被截走)，得手后，木马把相关记录发送给黑客。

　　黑客拿到这个账号能做什么?

　　在任意一台电脑下载该证券交易软件客户端安装，输入盗取的账号密码，就可以假冒原主人登入证券交易系统，登录过程完全没有网上银行的复杂安全认证流程。因为证券交易本身的特点，盗窃者想要直接获益，必须还要拿到目标客户的在线银行交易证书和密码。前面提到，由于在线银行的安全性较完善，黑客得手的机会渺茫。

　　尽管，黑客不能直接得手，他恶搞你可以吧，把你的股票直接低价抛盘，可令股民遭受巨大损失。而此时，因为没有直接的交易到某个账号中，想抓到这样的人，难上加难。如果在线炒股的人越来越多，同时控制更多股民，获得交易权限的情况就会越多，此时，黑客就有机会获利了，控制操作同一支股票，黑客从中渔利，当然，他只能获取其中一部分。然而，受损失的股民就会更多。

　　我们往严重处再想想，简直觉得有些恐怖。如果这个黑客神经不太正常，在控制了大量股民的交易权限之后，想扰乱股市，他只要随便乱抛就是了。如果量够大，对股价肯定会产生影响。

　　还好，这些只是假设，但风险肯定是非常严重，而且是真实存在的。

　　怎么解决这些交易风险?

　　第一，我认为首要的责任在证券公司，现在的交易系统自身的弱点太明显，应该尽快改进。一个涉及千万股民切身利益的交易系统，其安全性怎么只能与QQ聊天工具的安全性相当呢。这简直是个笑话儿。

　　第二，股民。如果你对信息安全缺乏自信，强烈建议你采用其它方式进行证券交易。

　　如果你必须使用在线证券交易，建议在安装交易软件的电脑上，尽量避免应用其它软件系统，保持系统功能的单一，减少风险。使用防火墙、反病毒软件降低木马病毒入侵的风险。使用正版软件，并经常检查安装系统补丁，降低系统风险。

　　希望本文对股民有所提醒和帮助，如果文章对证券公司不利，我深感抱歉，还是请相关证券公司尽快改进交易系统的安全性吧。对于我看到的交易系统，我只能评价为“糟透了”。