《電子支付與網(wǎng)絡銀行（第四版）》第七章電子支付系統(tǒng)的安全策略

第七章電子支付系統(tǒng)的安全策略第一節(jié)信息安全概述一、信息安全與金融信息安全一般認為,信息安全至少應具有以下特征:(1)保密性。(2)完整性。(3)可用性。(4)可控性。(5)信息行為的不可否認性。安全性問題可以分成兩類,即客戶/服務器安全以及交易安全。金融信息安全指金融信息的保密性、完整性、可用性、可控性以及金融行為的不可否認性。目前金融信息安全的主要威脅有:(1)人為失誤。(2)欺詐行為。(3)內(nèi)部人員破壞行為。(4)物理資源服務喪失。(5)黑客攻擊。(6)商業(yè)信息泄密。(7)病毒(惡意程序)侵襲。(8)程序系統(tǒng)自身的缺陷。二、信息安全的內(nèi)涵信息安全的完整內(nèi)涵包括以下幾個方面:1.物理安全(physicalsecurity)2.電磁安全(electromagneticsecurity)3.網(wǎng)絡安全(networksecurity)4.數(shù)據(jù)安全(datasecurity)5.系統(tǒng)安全(systemsecurity)6.操作安全(operationsecurity)7.人員安全(personnelsecurity)三、信息系統(tǒng)安全等級我國于1999年9月13日發(fā)布了《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859—1999),該標準規(guī)定了計算機系統(tǒng)安全保護能力的五個等級。(1)第一級:用戶自主保護級。(2)第二級:系統(tǒng)審計保護級。(3)第三級:安全標記保護級。(4)第四級:結(jié)構(gòu)化保護級。(5)第五級:訪問驗證保護級。

第二節(jié)用信息安全工程理論規(guī)范信息安全建設(shè)一、信息安全風險分析與評估風險評估是網(wǎng)絡安全防御中的一項重要技術(shù),也是信息安全工程學的重要組成部分。1.目標和原則風險分析的目標是:了解網(wǎng)絡的系統(tǒng)結(jié)構(gòu)和管理水平,以及可能存在的安全隱患;了解網(wǎng)絡所提供的服務和可能存在的安全問題;了解各應用系統(tǒng)與網(wǎng)絡層的接口及其相應的安全問題;對網(wǎng)絡攻擊和電子欺騙進行檢測、模擬和預防;分析信息網(wǎng)絡系統(tǒng)對網(wǎng)絡的安全需求,找出目前的安全策略和實際需求的差距,為保護信息網(wǎng)絡系統(tǒng)的安全提供科學依據(jù)。2.對象和范圍具體來講,風險分析的內(nèi)容范圍有:(1)網(wǎng)絡基本情況分析。(2)信息系統(tǒng)基本安全狀況調(diào)查。(3)信息系統(tǒng)安全組織、政策情況分析。(4)網(wǎng)絡安全技術(shù)措施使用情況分析。(5)防火墻布控及外聯(lián)業(yè)務安全狀況分析。(6)動態(tài)安全管理狀況分析。(7)鏈路、數(shù)據(jù)及應用加密情況分析。(8)網(wǎng)絡系統(tǒng)訪問控制狀況分析。(9)白盒測試。

3.方法與手段風險分析可以使用以下方式實現(xiàn):問卷調(diào)查、訪談、文檔審查、黑盒測試、操作系統(tǒng)的漏洞檢查和分析、網(wǎng)絡服務的安全漏洞和隱患的檢查和分析、抗攻擊測試、綜合審計報告等。風險分析的過程可以分為以下四步:(1)確定要保護的資產(chǎn)及價值。(2)分析信息資產(chǎn)之間的相互依賴性。(3)確定存在的風險和威脅。(4)分析可能的入侵者。4.結(jié)果與結(jié)論根據(jù)相關(guān)的評估標準來確定安全級別(如A級、B級或C級。二、安全策略安全策略是為發(fā)布、管理和保護敏感的信息資源而制定的一組法律、法規(guī)和措施的總和,

1.制定安全策略的原則安全策略在制定時必須兼顧它的可理解性、技術(shù)上的可實現(xiàn)性、組織上的可執(zhí)行性。企業(yè)級安全策略可以從三個層面來考慮開發(fā)和制定:(1)抽象安全策略。(2)全局自動安全策略。(3)局部執(zhí)行策略。2.安全策略的內(nèi)容(1)保護的內(nèi)容和目標。

(2)實施保護的方法。(3)明確的責任。(4)事故的處理方案。安全策略具有較強的生命周期性。因此,要注意定期根據(jù)相關(guān)因素的變化對安全策略進行修改,保證安全策略的可用性。三、需求分析1.需求分析的原則(1)遵照法律。(2)依據(jù)標準。(3)分層分析。(4)結(jié)合實際。

2.需求分析的內(nèi)容(1)管理層。(2)物理層。

(3)系統(tǒng)層。(4)網(wǎng)絡層。(5)應用層。安全需求分析是一個不斷發(fā)展的過程,不存在一個一成不變的分析結(jié)果。3.網(wǎng)絡安全系統(tǒng)的設(shè)計原則(1)木桶原則。對信息均衡、全面地進行保護。(2)整體性原則。進行安全防護、監(jiān)測和應急恢復。(3)實用性原則。不影響系統(tǒng)的正常運行和合法用戶的操作。(4)等級性原則。區(qū)分安全層次和安全級別。(5)動態(tài)化原則。安全需要不斷更新。(6)設(shè)計為本原則。安全設(shè)計與網(wǎng)絡設(shè)計同步進行。第三節(jié)信息安全技術(shù)一、加密技術(shù)加密技術(shù)是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶獲取和理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。加密包括兩個元素:算法和密鑰。目前最典型的兩種加密技術(shù)是對稱加密(私有密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以DES算法為典型代表,非對稱加密通常以RSA算法為代表。(一)對稱加密技術(shù)對稱加密技術(shù)也稱私人密鑰加密(secretkeyencryption),是指發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰進行加密和解密運算。對稱加密算法的優(yōu)點在于加密速度快,適用于大量數(shù)據(jù)的加密處理;缺點是難以在兩個通信方之間安全地交換密鑰,在電子商務交易過程中存在以下幾個問題:(1)要求提供一條安全的渠道使通信雙方在首次通信時協(xié)商一個共同的密鑰。直接的面對面協(xié)商可能是不現(xiàn)實而且難以實施的,所以雙方可能需要借助郵件和電話等其他相對不夠安全的手段來進行協(xié)商。(2)密鑰的數(shù)目難以管理。因為每一個合作者都需要使用不同的密鑰,所以很難適應開放社會中大量的信息交流。(3)對稱加密算法一般不能提供信息完整性的鑒別。它無法驗證發(fā)送者和接受者的身份。(4)對稱密鑰的管理和分發(fā)工作是一個具有潛在危險且煩瑣的過程。對稱加密是基于共同保守秘密來實現(xiàn)的,采用對稱加密技術(shù)的貿(mào)易雙方必須保證采用的是相同的密鑰,保證彼此密鑰的交換是安全可靠的,同時還要設(shè)定防止密鑰泄漏和更改密鑰的程序。(二)非對稱加密技術(shù)非對稱加密技術(shù)也稱作公開密鑰加密(publickeyencryption)。1976年,美國學者迪梅(Dime)和享曼(Henman)為解決信息公開傳送和密鑰管理問題,提出了一種新的密鑰交換協(xié)議,這就是公開密鑰系統(tǒng)。相對于對稱加密算法,該方法被叫作非對稱加密算法。與對稱加密算法不同,非對稱加密算法需要兩個密鑰:公開密鑰(publickey)和私有密鑰(privatekey)。公開密鑰與私有密鑰是一對:如果用公開密鑰對數(shù)據(jù)進行加密,那么只有用對應的私有密鑰才能解密;如果用私有密鑰對數(shù)據(jù)進行加密,那么只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰,所以這種算法叫作非對稱加密算法。非對稱加密解決了對稱加密中的基本問題,即密鑰的安全交換問題。這種加密技術(shù)的加密速度較慢,只用于對少量數(shù)據(jù)進行加密。采用這種加密技術(shù)的主要是RSA算法。

非對稱加密算法的保密性比較好,它消除了最終用戶交換密鑰的需要,但加密和解密花費時間長、速度慢,不適用于對文件加密,只適用于對少量數(shù)據(jù)進行加密。為保證數(shù)據(jù)的可靠傳輸,目前業(yè)界普遍采用將兩種加密方法結(jié)合的方式來滿足網(wǎng)絡傳輸過程中的保密性需求。二、訪問控制機制與安全認證技術(shù)訪問控制機制一般包括物理訪問控制和數(shù)據(jù)網(wǎng)絡層的訪問控制。幾種常用的訪問控制與安全認證技術(shù)。(一)防火墻防火墻是目前應用最廣泛的網(wǎng)絡安全產(chǎn)品,作為第一道安全防線,防火墻主要用來執(zhí)行兩個網(wǎng)絡之間的訪問控制策略,保護用戶網(wǎng)絡的安全。(二)數(shù)字簽名和報文摘要技術(shù)為保證數(shù)據(jù)的完整性,完成對數(shù)據(jù)原發(fā)者的身份鑒別,需要對數(shù)據(jù)(亦稱報文)進行驗證。目前所采用的技術(shù)主要是數(shù)字簽名(digitalsignature)和報文摘要(messagedigest)技術(shù)。(三)認證中心在加密和數(shù)字簽名技術(shù)中,密鑰在雙方信息的傳遞中扮演著重要的角色,

然而,交易各方在使用公開密鑰時,對其身份的正確性都存有疑慮,因此,使用前必須對它進行驗證,

因此,設(shè)立一個可靠的第三方機構(gòu),進行有效、快速、規(guī)范化的管理就顯得尤為必要,安全認證體系就是解決這一問題的現(xiàn)實途徑,這種可信的第三方稱為“認證中心”(CA)。認證中心是負責發(fā)放和管理數(shù)字證書的一個權(quán)威機構(gòu)。

(四)公開密鑰基礎(chǔ)設(shè)施公開密鑰基礎(chǔ)設(shè)施(publickeyinfrastructure,PKI)是一種遵循既定標準的密鑰管理平臺,它為各種網(wǎng)絡應用透明地提供采用加密和數(shù)字簽名等密碼服務所必需的密鑰和證書管理,從而達到保證網(wǎng)上傳遞信息的安全、真實、完整和不可抵賴的目的。包含以下機制：(1)政策批準中心(PAA)。(2)政策認證中心(PCA)。(3)認證中心(CA)。(4)在線證書申請中心(ORA)。三、入侵檢測網(wǎng)絡入侵檢測系統(tǒng)(networkintrusiondetectionsystem,NIDS)是用于檢測任何損害或企圖損害系統(tǒng)保密性、完整性和入侵,特別是用于檢測黑客通過網(wǎng)絡進行的入侵行為的管理軟件。網(wǎng)絡入侵檢測系統(tǒng)的運行方式有兩種:一種是在目標主機上運行以監(jiān)測其本身的通信信息;另一種是在一臺單獨的機器上運行以監(jiān)測所有網(wǎng)絡設(shè)備的通信信息,比如路由器。網(wǎng)絡入侵檢測系統(tǒng)可以分為基于網(wǎng)絡數(shù)據(jù)包分析和基于主機檢測兩種方式。四、漏洞掃描:探查網(wǎng)絡薄弱環(huán)節(jié)安全掃描是采用模擬攻擊的形式對可能存在的已知安全漏洞進行逐項檢查,掃描目標可以是工作站、服務器、交換機和數(shù)據(jù)庫應用等。通過掃描,可以為系統(tǒng)管理員提供周密、可靠的安全性分析報告,從而提高網(wǎng)絡安全的整體水平。在網(wǎng)絡安全體系的建設(shè)中,安全掃描工具花費低、效果好、見效快、安裝運行簡單。五、網(wǎng)絡病毒的防治防范病毒是實現(xiàn)網(wǎng)絡安全非常重要的一項工作,采用反病毒技術(shù)可以有效防范病毒。反病毒技術(shù)包括預防、檢測和攻殺三項功能,一般防毒軟件均采用此技術(shù)。通常,將網(wǎng)絡防毒軟件劃分為客戶端防毒、服務器端防毒、群件防毒和互聯(lián)網(wǎng)防毒四大類。六、電子支付安全協(xié)議電子支付安全協(xié)議是電子支付順暢進行的基礎(chǔ)。電子商務中常用的安全協(xié)議有SSL安全協(xié)議、SET安全協(xié)議與3D安全協(xié)議。(一)SSL安全協(xié)議SSL安全協(xié)議是由網(wǎng)景公司設(shè)計開發(fā)的,又叫安全套接層協(xié)議,主要目的是提供互聯(lián)網(wǎng)上的安全通信服務,提高應用程序之間的數(shù)據(jù)安全系數(shù)。該協(xié)議對所有基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數(shù)據(jù)完整性以及信息機密性等安全措施。該協(xié)議通過在應用程序進行數(shù)據(jù)交換前交換SSL初始握手信息來實現(xiàn)有關(guān)安全特性的審查。SSL安全協(xié)議也是國際上最早應用于電子商務的一種網(wǎng)絡安全協(xié)議。SSL安全協(xié)議主要提供三方面的服務:(1)認證用戶和服務器,使它確信數(shù)據(jù)會被發(fā)送到正確的客戶機和服務器上。(2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。(3)維護數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。由于SSL適合各類主流瀏覽器以及Web服務器,因此只要安裝一個數(shù)字證書就可以使用SSL。SSL的缺陷是,只能保證傳輸過程的安全,無法知道在傳輸過程中是否被竊聽,黑客可以以此破譯SSL的加密數(shù)據(jù),破壞和盜竊Web信息。(二)SET安全協(xié)議為了克服SSL安全協(xié)議的缺點,威士國際組織和萬事達卡國際組織兩大信用卡組織聯(lián)合開發(fā)了SET(secureelectronictransaction,電子商務交易)安全協(xié)議。這是一個為了在互聯(lián)網(wǎng)上進行在線交易而設(shè)立的開放的電子支付系統(tǒng)規(guī)范。SET安全協(xié)議在保留對客戶信用卡認證的前提下,又增加了對商戶身份的認證,這對于需要在線支付的交易來講至關(guān)重要。在用戶身份認證方面,SET安全協(xié)議引入了證書(certificate)和認證中心(CA)機制。SET安全協(xié)議運行的目標主要有以下五個:(1)保證信息在互聯(lián)網(wǎng)上安全傳輸,防止數(shù)據(jù)被黑客或內(nèi)部人員竊取。(2)保證電子商務參與者信息的相互隔離。消費者的資料加密或打包后通過商戶到達銀行,但是商戶不能看到消費者的賬戶和密碼信息。(3)解決多方認證問題,不僅要認證消費者的信用卡,而且要認證在線商戶的信譽程度,還要在消費者、在線商戶與銀行間進行認證。(4)保證了網(wǎng)上交易的實時性,使所有支付過程都是在線的。(5)效仿EDI貿(mào)易的形式,規(guī)范協(xié)議和消息格式,促使不同廠家開發(fā)的軟件具有兼容性和互操作功能,并且可以運行在不同的硬件和操作系統(tǒng)平臺上。SET協(xié)議采用了對稱密鑰和非對稱密鑰體制,把對稱密鑰的快速、低成本和非對稱密鑰的有效性結(jié)合在一起,以保護在開放網(wǎng)絡上傳輸?shù)膫€人信息,保證交易信息的隱蔽性。其重點是如何確保商戶和消費者的身份、行為的認證和不可抵賴性(non-repudiation),其理論基礎(chǔ)是著名的非否認協(xié)議,采用的核心技術(shù)包括X.509電子證書標準與數(shù)字簽名、報文摘要、數(shù)字信封、雙重簽名等。(三)3D

安全協(xié)議自1996年4月SET安全協(xié)議1.0版面市以來,獲得了業(yè)界的支持,但是由于其結(jié)構(gòu)過于復雜,安全門檻設(shè)置太高,處理速度慢,客戶端安裝、使用和維護都不方便,而且系統(tǒng)整體費用較高,因此2002年威士國際組織在電子商務領(lǐng)域引入了3D安全協(xié)議(3-domainsecureprotocol)進行支付認證,以保證網(wǎng)上支付的安全。自2003年4月起,威士國際組織在全球范圍內(nèi)采用了新的網(wǎng)上銀行交易安全規(guī)范,并要求該組織的各發(fā)卡行和收單行支持該規(guī)范。3D安全協(xié)議的目標是給發(fā)卡行提供一個持卡人身份許可的環(huán)節(jié),減少使用威士卡進行欺詐的可能性,使所有參與者從中受益,從而提升交易的