電子支付與網(wǎng)絡(luò)銀行第六章

電子支付與網(wǎng)絡(luò)銀行中國人民大學(xué)財(cái)政金融學(xué)院周虹第六章

電子支付體系安全策略第一節(jié)信息安全概述一、信息安全含義保密性完整性可用性可控性不可否認(rèn)性二、金融信息安全現(xiàn)狀及發(fā)展趨勢隨著國際互聯(lián)網(wǎng)絡(luò)的迅速發(fā)展和信息網(wǎng)絡(luò)技術(shù)應(yīng)用層次的不斷深入，應(yīng)用領(lǐng)域開始從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型的、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。與此同時(shí)，計(jì)算機(jī)犯罪數(shù)量呈現(xiàn)持續(xù)上升的趨勢，信息網(wǎng)絡(luò)的安全問題已成為信息社會的嚴(yán)重問題。網(wǎng)絡(luò)犯罪不僅數(shù)量急劇增多，而且日趨復(fù)雜。其主要形式有：通過互聯(lián)網(wǎng)絡(luò)未經(jīng)許可地進(jìn)入他人的計(jì)算機(jī)設(shè)施，破解他人的密碼，使用他人的計(jì)算機(jī)資源；通過網(wǎng)絡(luò)向他人計(jì)算機(jī)系統(tǒng)散布計(jì)算機(jī)病毒；進(jìn)行間諜活動，竊取、篡改或者刪除國家機(jī)密信息；進(jìn)行商業(yè)間諜活動，竊取、篡改或者刪除企事業(yè)單位存儲的商業(yè)秘密和計(jì)算機(jī)程序；非法轉(zhuǎn)移資金；盜竊銀行中他人存款，進(jìn)行各種金融犯罪等。（一）國外金融業(yè)信息安全現(xiàn)狀1.美國1998年5月，美國政府頒發(fā)了《保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令，同時(shí)圍繞信息保障成立了多個(gè)組織，其中包括全國信息保障委員會、全國信息保障同盟、關(guān)鍵基礎(chǔ)設(shè)施保障辦公室、首席信息官委員會、聯(lián)邦計(jì)算機(jī)事件響應(yīng)能動組等10多個(gè)全國性機(jī)構(gòu)。同年，美國國家安全局(NSA)制定了《信息保障技術(shù)框架》，提出了“深度防御策略”，確定了包括網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御、區(qū)域邊界防御、計(jì)算環(huán)境防御和支撐性基礎(chǔ)設(shè)施的深度防御目標(biāo)。針對未來的信息安全問題，美國于2002年9月18日和20日先后發(fā)布了《保護(hù)網(wǎng)絡(luò)空間的國家戰(zhàn)略》（草案）和《美國國家安全戰(zhàn)略》。在新的國家安全戰(zhàn)略中，明確將信息安全與國土安全作為國家安全有機(jī)結(jié)合的組成部分，明確把銀行與金融部門列為國家關(guān)鍵基礎(chǔ)設(shè)施組成部分，并制定了一整套安全措施，強(qiáng)調(diào)各部門合作、產(chǎn)品認(rèn)證、成立金融信息共享與分析中心，形成了“準(zhǔn)備與防范”、“檢測與響應(yīng)”、“重建與恢復(fù)”的安全保護(hù)戰(zhàn)略框架。2.俄羅斯俄羅斯于1995年頒布了《聯(lián)邦信息、信息化和信息保護(hù)法》，為提供高效益、高質(zhì)量的信息保障創(chuàng)造了條件，明確界定了信息資源開放和保密的范疇，提出了保護(hù)信息的法律責(zé)任。2000年9月發(fā)布了《俄羅斯聯(lián)邦信息安全學(xué)說》，明確了聯(lián)邦信息安全建設(shè)的目的、任務(wù)、原則和主要內(nèi)容，第一次明確指出了俄羅斯在信息領(lǐng)域的利益是什么、受到的威脅是什么以及為確保信息安全首先要采取的措施等。它指出國家安全依賴于信息安全的保障，保障信息安全必須從法律、技術(shù)組織及經(jīng)濟(jì)等方面采取措施。3.歐共體歐共體委員會2001年提交了《網(wǎng)絡(luò)與信息安全——?dú)W洲政策措施建議》，指出網(wǎng)絡(luò)與信息安全應(yīng)該保障所提供服務(wù)的可用性、真實(shí)性、完整性、不可否認(rèn)性和保密性，必須抵御外來事件和惡意破壞。4.亞太地區(qū)日本已經(jīng)制定了國家信息通信技術(shù)發(fā)展戰(zhàn)略，強(qiáng)調(diào)“信息安全保障是日本綜合安全保障體系的核心”，并出臺了《21世紀(jì)信息通信構(gòu)想》和《信息通信產(chǎn)業(yè)技術(shù)戰(zhàn)略》。除了《電訊事業(yè)法》、《規(guī)范互聯(lián)網(wǎng)服務(wù)商責(zé)任法》、《規(guī)范電子郵件法》等專項(xiàng)互聯(lián)網(wǎng)管理法令，具體界定相關(guān)違法行為、網(wǎng)站的責(zé)任和義務(wù)外，日本還通過《刑法》、《著作權(quán)法》、《打擊毒品犯罪法》等，明確規(guī)定“違法信息”包括侵權(quán)誹謗、毒品交易、詐騙、色情淫穢等。1995年韓國頒布《電信事業(yè)法》，提出對“危險(xiǎn)通信信息”進(jìn)行監(jiān)管。2001年，再次頒布《互聯(lián)網(wǎng)內(nèi)容過濾法令》，確立信息過濾的合法性。近年來又陸續(xù)制定了《促進(jìn)信息化基本法》、《信息通信基本保護(hù)法》、《促進(jìn)信息通信網(wǎng)絡(luò)使用及保護(hù)信息法》等法律，管理互聯(lián)網(wǎng)信息。新西蘭2003年通過了《電訊（截收）法》，規(guī)定警察為開展調(diào)查可以通過技術(shù)手段進(jìn)入個(gè)人電腦，可對電子郵件進(jìn)行過濾審查。警方根據(jù)案件調(diào)查需要，可以對單位或個(gè)人計(jì)算機(jī)信息進(jìn)行調(diào)查。根據(jù)情報(bào)部門或警方要求，電信公司、網(wǎng)絡(luò)服務(wù)商應(yīng)向其提供相關(guān)用戶的網(wǎng)絡(luò)地址、登錄名及密碼、個(gè)人身份等信息。如拒絕提供，將被追究刑事責(zé)任。（二）我國金融業(yè)信息安全現(xiàn)狀信息安全是信息化建設(shè)成敗的關(guān)鍵，我國金融業(yè)對信息安全工作給予高度的重視，多年來，伴隨著我國銀行信息化建設(shè)，做了大量細(xì)致的、卓有成效的工作，一直貫徹從組織體系、制度體系和技術(shù)體系三個(gè)方面入手，逐步建立金融信息安全保障體系的方針。從總體、宏觀的角度看，我國銀行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)基本上是安全的，在現(xiàn)有條件下基本能夠滿足支撐銀行業(yè)務(wù)職能、保持平穩(wěn)運(yùn)行的要求。（三）金融信息安全發(fā)展趨勢目前金融信息安全的主要威脅有：（1）人為失誤。（2）欺詐行為。（3）內(nèi)部人員破壞行為。（4）物理資源服務(wù)喪失。（5）黑客攻擊。（6）商業(yè)信息泄密。（7）病毒（惡意程序）侵襲。（8）程序系統(tǒng)自身的缺陷。三、信息安全評估標(biāo)準(zhǔn)1.可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)（TrustedComputerSystemEvaluationCriteria，TCSEC）是美國國防部1985年公布的，目的是為安全產(chǎn)品的測評提供準(zhǔn)則和方法，指導(dǎo)信息安全產(chǎn)品的制造和應(yīng)用。其評估標(biāo)準(zhǔn)主要是基于系統(tǒng)安全策略（policy）的制定、系統(tǒng)使用狀態(tài)的可審計(jì)性（accountability）以及對安全策略的準(zhǔn)確解釋和實(shí)施的可靠性（assurance）等方面的要求。但其僅適用于單機(jī)系統(tǒng)，而完全忽略了計(jì)算機(jī)聯(lián)網(wǎng)工作時(shí)會發(fā)生的情況。2.ISO/IEC15408評估標(biāo)準(zhǔn)隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，人們對信息安全概念的進(jìn)一步深化。為適應(yīng)信息安全的需要，美國、加拿大、歐洲等共同發(fā)起并公布了ISO/IEC15408標(biāo)準(zhǔn)，即通用評估標(biāo)準(zhǔn)（commoncriteria，CC），它從評估目標(biāo)的實(shí)現(xiàn)過程角度描述了信息安全概念。CommonCriteriaProjectSponsoringOrganizations.CommonCriteriaforInformationSecurityEvaluation.Version2.1.ISO/IEC15408，Aug.1999.ISO/IEC15408評估標(biāo)準(zhǔn)將安全要求區(qū)分為功能要求和保證要求，所選用的安全功能對安全目標(biāo)實(shí)現(xiàn)的保證體現(xiàn)在實(shí)現(xiàn)的正確性和有效性兩方面。其中在安全功能的定義方面，該標(biāo)準(zhǔn)提供了從常用安全應(yīng)用領(lǐng)域中抽象出來的功能類，并對安全保證要求提供了分級化的評估等級標(biāo)準(zhǔn)。3.ISO/IEC17799評估標(biāo)準(zhǔn)ISO/IEC17799，即《信息安全管理操作規(guī)則》于2000年12月出版，作為通用的一個(gè)信息安全管理指南，其目的并不是告訴人們有關(guān)“怎么做”的細(xì)節(jié)，它所闡述的主題是安全策略和優(yōu)秀的、具有普遍意義的安全操作。該標(biāo)準(zhǔn)特別聲明，它是“制定一個(gè)機(jī)構(gòu)自己的標(biāo)準(zhǔn)時(shí)的出發(fā)點(diǎn)”，并不是說它所包含的所有方針和控制策略都是放之四海而皆準(zhǔn)的，也不是其他未列出的就不再要求。ISO/IEC17799不是一篇技術(shù)性的信息安全操作手冊，它討論的主題很廣泛。但是，它對每一項(xiàng)內(nèi)容都沒有深入討論。所以，ISO/IEC17799沒有提供關(guān)于任何安全主題的確定或?qū)ｉT的材料。ISO/IEC17799也沒提供足夠的信息以幫助一個(gè)機(jī)構(gòu)進(jìn)行深入的信息安全檢查，它離認(rèn)證項(xiàng)目也很遠(yuǎn)。但是，作為對各類信息安全主題的高級別概述，ISO/IEC17799顯然是非常有用的，它有助于人們在高級管理中理解每一類信息安全主題的基礎(chǔ)性問題。要符合ISO/IEC17799或其他真正的安全標(biāo)準(zhǔn)，都不是一件簡單的事情。需要說明，目前已經(jīng)有幾個(gè)國家指出，ISO/IEC17799的某些部分與其國家法律存在著沖突，尤其是在隱私領(lǐng)域。4.其他安全評估標(biāo)準(zhǔn)①ISO國際標(biāo)準(zhǔn)②美國標(biāo)準(zhǔn)局標(biāo)準(zhǔn)ANSI③美國政府標(biāo)準(zhǔn)FIPS④Internet標(biāo)準(zhǔn)和RFC⑤RSA公司標(biāo)準(zhǔn)PKCS上述的信息安全評估標(biāo)準(zhǔn)是從不同角度描述的。關(guān)于ISO/IEC17799與ISO/IEC15408的關(guān)系，可以簡單地說它們之間沒有任何緊密聯(lián)系，它們沒有相同或類似的主題。ISO/IEC15408旨在支持產(chǎn)品（最終是指已經(jīng)在系統(tǒng)中安裝了的產(chǎn)品，雖然目前指的是一般產(chǎn)品）中信息安全特征的技術(shù)性評估。ISO/IEC15408標(biāo)準(zhǔn)還有一個(gè)重要作用，即它可以用于描述用戶對安全性的技術(shù)需求。ISO/IEC17799則不同，它不是一篇技術(shù)標(biāo)準(zhǔn)，而是管理標(biāo)準(zhǔn)。它處理的是對信息系統(tǒng)中非技術(shù)內(nèi)容的檢查，這些內(nèi)容與人員、流程、物理安全以及一般意義上的安全管理相關(guān)。一般說來，經(jīng)過ISO/IEC15408評估的信息安全產(chǎn)品有助于確保一個(gè)機(jī)構(gòu)安全項(xiàng)目的成功，這些安全產(chǎn)品的使用能夠極大地減少機(jī)構(gòu)所面臨的安全風(fēng)險(xiǎn)。四、信息安全的內(nèi)涵依據(jù)上面所闡述的信息安全評估標(biāo)準(zhǔn)，信息安全的完整內(nèi)涵包括以下幾個(gè)方面：1.物理安全（physicalsecurity）2.電磁安全（electromagneticsecurity）3.網(wǎng)絡(luò)安全（networksecurity）4.數(shù)據(jù)安全（datasecurity）5.系統(tǒng)安全（systemsecurity）6.操作安全（operationsecurity）7.人員安全（personnelsecurity）由于信息技術(shù)安全是多樣化的，必須通過一定的安全職責(zé)分配將整體的安全防范任務(wù)逐級落實(shí)到每一個(gè)操作人員的每一個(gè)日常操作過程，通過管理手段強(qiáng)制其實(shí)施，并對各級人員針對其安全責(zé)任進(jìn)行相應(yīng)的安全教育和操作培訓(xùn)。五、信息系統(tǒng)安全等級1.TCSEC安全等級2.我國信息系統(tǒng)安全保護(hù)等級劃分標(biāo)準(zhǔn)我國于1999年9月13日發(fā)布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB178591999），該標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級。（1）第一級：用戶自主保護(hù)級。（2）第二級：系統(tǒng)審計(jì)保護(hù)級。（3）第三級：安全標(biāo)記保護(hù)級。（4）第四級：結(jié)構(gòu)化保護(hù)級。（5）第五級：訪問驗(yàn)證保護(hù)級。第二節(jié)用信息安全工程理論規(guī)范信息安全建設(shè)信息安全工程是采用工程的概念、原理、技術(shù)和方法，來研究、開發(fā)、實(shí)施和維護(hù)企業(yè)級信息與網(wǎng)絡(luò)系統(tǒng)安全的過程。信息安全工程學(xué)具有五大特性，即安全性、過程性、動態(tài)性、層次性和相對性。（1）全面性。（2）過程性或生命周期性。（3）動態(tài)性。（4）層次性。（5）相對性。一、安全風(fēng)險(xiǎn)分析與評估電子支付信息安全具有系統(tǒng)性，動態(tài)性、層次性和過程性。

1.目標(biāo)和原則風(fēng)險(xiǎn)分析的目標(biāo)是：了解網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)和管理水平，及可能存在的安全隱患；了解網(wǎng)絡(luò)所提供的服務(wù)及可能存在的安全問題;了解各應(yīng)用系統(tǒng)與網(wǎng)絡(luò)層的接口及其相應(yīng)的安全問題;網(wǎng)絡(luò)攻擊和電子欺騙的檢測、模擬及預(yù)防；分析信息網(wǎng)絡(luò)系統(tǒng)對網(wǎng)絡(luò)的安全需求，找出目前的安全策略和實(shí)際需求的差距，為保護(hù)信息網(wǎng)絡(luò)系統(tǒng)的安全提供科學(xué)依據(jù)。

多層面、多角度的原則2.對象和范圍1、系統(tǒng)基本情況分析2、系統(tǒng)基本安全狀況調(diào)查3、系統(tǒng)安全組織、策略分析4、相關(guān)安全技術(shù)和措施以及安全隱患分析5、系統(tǒng)訪問控制和加密體系分析6、系統(tǒng)的抗攻擊能力與數(shù)據(jù)傳輸?shù)陌踩苑治觯?、動態(tài)安全管理狀況分析8、災(zāi)難備份以及危機(jī)管理安排狀況分析風(fēng)險(xiǎn)分析的內(nèi)容范圍(1)網(wǎng)絡(luò)基本情況分析：(2)信息系統(tǒng)基本安全狀況調(diào)查(3)信息系統(tǒng)安全組織、政策情況分析(4)網(wǎng)絡(luò)安全技術(shù)措施使用情況分析(5)防火墻布控及外聯(lián)業(yè)務(wù)安全狀況分析(6)動態(tài)安全管理狀況分析(7)鏈路、數(shù)據(jù)及應(yīng)用加密情況分析(8)網(wǎng)絡(luò)系統(tǒng)訪問控制狀況分析(9)白盒測試3.方法與手段風(fēng)險(xiǎn)分析可以使用以下方式實(shí)現(xiàn)：問卷調(diào)查、訪談、文檔審查、黑盒測試、操作系統(tǒng)的漏洞檢查和分析、網(wǎng)絡(luò)服務(wù)的安全漏洞和隱患的檢查和分析、抗攻擊測試、綜合審計(jì)報(bào)告等。風(fēng)險(xiǎn)分析的過程可以分為以下四步：

(1)確定要保護(hù)的資產(chǎn)及價(jià)值

(2)分析信息資產(chǎn)之間的相互依賴性

(3)確定存在的風(fēng)險(xiǎn)和威脅

(4)分析可能的入侵者4.結(jié)果與結(jié)論為了便于對風(fēng)險(xiǎn)分析的結(jié)果進(jìn)行評審，結(jié)果能夠量化的盡可能地量化，不能量化的作出形式化描述。如果某個(gè)設(shè)備的價(jià)格、存在的漏洞缺陷的數(shù)量等是可以量化的，就必須給出量化后的結(jié)果;而像某些系統(tǒng)應(yīng)用的安全級別就不好量化，就應(yīng)根據(jù)相關(guān)的評估標(biāo)準(zhǔn)來確定它的安全級別（如A級、B級或C級），這樣得出的分析結(jié)果就是大量的表格數(shù)據(jù)，這些數(shù)據(jù)就是以后各項(xiàng)工作的依據(jù)，應(yīng)妥善地保存。如何根據(jù)分析的數(shù)據(jù)結(jié)果得出最終的評估結(jié)論也是一項(xiàng)重要的工作，需要安全專家進(jìn)行總結(jié)。對結(jié)果進(jìn)行分析時(shí)一定要有所比較，將所得到的結(jié)果與以前的結(jié)果進(jìn)行比較，或是與其他信息系統(tǒng)的評估結(jié)果進(jìn)行比較，還要與有關(guān)的標(biāo)準(zhǔn)進(jìn)行比較。嚴(yán)格的比較有助于為信息系統(tǒng)的安全性定級，因此，參照物的選擇很關(guān)鍵。在比較之后，通過總體的權(quán)衡，給出整個(gè)系統(tǒng)安全性的概述說明，并將結(jié)論與測試結(jié)果上報(bào)主管部門或人員。

二、安全策略

1.安全策略的制定原則(1)抽象安全策略

(2)全局自動安全策略

(3)局部執(zhí)行策略

2.安全策略包含的內(nèi)容

（1）保護(hù)的內(nèi)容和目標(biāo)（2）實(shí)施保護(hù)的方法

（3）明確的責(zé)任（4）事故的處理

三、需求分析1.需求分析的原則（1）遵照法律。（2）依據(jù)標(biāo)準(zhǔn)。（3）分層分析。（4）結(jié)合實(shí)際。2.需求分析的內(nèi)容(1)管理層(2)物理層(3)系統(tǒng)層(4)網(wǎng)絡(luò)層(5)應(yīng)用層3.網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)原則（1）木桶原則。對信息均衡、全面地進(jìn)行保護(hù)。（2）整體性原則。進(jìn)行安全防護(hù)、監(jiān)測和應(yīng)急恢復(fù)。（3）實(shí)用性原則。不影響系統(tǒng)的正常運(yùn)行和合法用戶的操作。（4）等級性原則。區(qū)分安全層次和安全級別。（5）動態(tài)化原則。安全需要不斷更新。（6）設(shè)計(jì)為本原則。安全設(shè)計(jì)與網(wǎng)絡(luò)設(shè)計(jì)同步進(jìn)行。第三節(jié)信息安全技術(shù)基本原理電子支付的安全性要求主要包括以下四個(gè)方面：（1）數(shù)據(jù)的保密性。（2）數(shù)據(jù)的完整性。（3）交易者身份的確定性。（4）交易的不可否認(rèn)性。針對電子支付的各種不同的安全性要求，目前已開發(fā)出了相應(yīng)的技術(shù)措施。較為成熟的有加密技術(shù)、訪問控制與安全認(rèn)證技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、漏洞掃描技術(shù)等。一、加密技術(shù)加密包括兩個(gè)元素：算法和密鑰。目前最典型的兩種加密技術(shù)是對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn)（dataencryptionstandard，DES）算法為典型代表，非對稱加密通常以RSA（Rivest-Shamir-Adleman）算法為代表。（一）對稱加密技術(shù)對稱加密技術(shù)也稱私人密鑰加密（secretkeyencryption），是指發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰進(jìn)行加密和解密運(yùn)算。功能的要求也沒有那么高。PGP（prettygoodprivacy）系統(tǒng)使用的是IDEA加密標(biāo)準(zhǔn)。對稱加密算法的優(yōu)點(diǎn)在于加密速度快，適于大量數(shù)據(jù)的加密處理；缺點(diǎn)是如何在兩個(gè)通信方之間安全地交換密鑰，在電子商務(wù)交易過程中存在以下幾個(gè)問題：（1）要求提供一條安全的渠道使通信雙方在首次通信時(shí)協(xié)商一個(gè)共同的密鑰（2）密鑰的數(shù)目難于管理。（3）對稱加密算法一般不能提供信息完整性的鑒別。（4）對稱密鑰的管理和分發(fā)工作是一件具有潛在危險(xiǎn)且煩瑣的過程。（二）非對稱加密技術(shù)非對稱加密技術(shù)也稱做公開密鑰加密（publickeyencryption）。1976年，美國學(xué)者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出了一種新的密鑰交換協(xié)議，這就是公開密鑰系統(tǒng)。相對于對稱加密算法，該方法叫做非對稱加密算法。與對稱加密算法不同，非對稱加密算法需要兩個(gè)密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。公開密鑰與私有密鑰是一對，如果用公開密鑰對數(shù)據(jù)進(jìn)行加密，只有用對應(yīng)的私有密鑰才能解密；如果用私有密鑰對數(shù)據(jù)進(jìn)行加密，那么只有用對應(yīng)的公開密鑰才能解密。因?yàn)榧用芎徒饷苁褂玫氖莾蓚€(gè)不同的密鑰，所以這種算法叫做非對稱加密算法。非對稱加密解決了對稱加密中的基本問題，即密鑰的安全交換問題。這種加密技術(shù)的加密速度較慢，只運(yùn)用于對少量數(shù)據(jù)進(jìn)行加密。采用這種加密技術(shù)的主要是RSA。貿(mào)易方利用非對稱加密算法實(shí)現(xiàn)機(jī)密信息交換的基本過程（1）貿(mào)易方甲生成一對密鑰并將其中的一把作為公用密鑰向其他貿(mào)易方公開；（2）貿(mào)易方乙生成一個(gè)自己的私有密鑰并用貿(mào)易方甲的公開密鑰對自己的私有密鑰進(jìn)行加密，然后通過網(wǎng)絡(luò)傳輸?shù)劫Q(mào)易方甲，接收方——貿(mào)易方甲用自己的公開密鑰進(jìn)行解密后，就可以得到發(fā)送方的私有密鑰并妥善保存；（3）貿(mào)易方乙對需要傳輸?shù)奈募米约旱乃接忻荑€進(jìn)行加密，然后通過網(wǎng)絡(luò)把文件傳輸?shù)浇邮辗健Q(mào)易方甲；（4）貿(mào)易方甲接收到貿(mào)易方乙傳輸來的文件后，用發(fā)送方——貿(mào)易方乙的私有密鑰對文件進(jìn)行解密，得到文件的明文形式。二、訪問控制與安全認(rèn)證技術(shù)訪問控制機(jī)制是根據(jù)實(shí)體的身份及其相關(guān)信息來解決實(shí)體的訪問權(quán)限的。訪問控制機(jī)制的實(shí)現(xiàn)常基于以下某一或某幾個(gè)措施：訪問控制信息庫、認(rèn)證信息、安全標(biāo)簽等。一般包括：物理訪問控制、網(wǎng)絡(luò)訪問控制和系統(tǒng)訪問控制。物理訪問控制包括對物理房屋的訪問控制、公共網(wǎng)絡(luò)點(diǎn)與內(nèi)部網(wǎng)絡(luò)的隔離以及對工作站、服務(wù)器、存儲備份設(shè)備等的物理訪問等。對數(shù)據(jù)網(wǎng)絡(luò)層次的訪問控制可以通過防火墻的基于策略的配置或路由器的訪問控制列表來實(shí)現(xiàn)。系統(tǒng)級的訪問控制可以通過對系統(tǒng)賬號的控制和域間的信任關(guān)系來實(shí)現(xiàn)。有效的訪問控制機(jī)制需要強(qiáng)認(rèn)證方案的支持。不同的認(rèn)證方案提供不同層次的安全性。一些著名的安全認(rèn)證機(jī)制如下：基于口令的認(rèn)證；單步/雙步令牌認(rèn)證；數(shù)字簽名；數(shù)字證書；單注冊；撥號PAP/CHAP遠(yuǎn)程訪問認(rèn)證等。下面介紹幾種常用的訪問控制與安全認(rèn)證技術(shù)。（一）防火墻防火墻=數(shù)據(jù)過濾器+系統(tǒng)定義的安全策略+網(wǎng)關(guān)防火墻主要用來隔離內(nèi)部網(wǎng)和外部網(wǎng)，對內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)。防火墻技術(shù)一直在不斷發(fā)展，目前市場上約有上百種不同種類的防火墻。在網(wǎng)絡(luò)的不同層上有不同類型的防火墻，可以從不同角度保護(hù)內(nèi)部網(wǎng)。目前的防火墻有兩大類：一類是簡單的包過濾技術(shù)，即在網(wǎng)絡(luò)層中有選擇地讓數(shù)據(jù)包通過。也就是說，是依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后，再根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP端口與TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)關(guān)和代理服務(wù)器，其顯著的優(yōu)點(diǎn)是較容易提供細(xì)顆粒度的存取控制，其可針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包進(jìn)行分析并形成相關(guān)的報(bào)告。1.基于路由器的包過濾型防火墻2.應(yīng)用網(wǎng)關(guān)和代理服務(wù)器防火墻3.兩種防火墻的結(jié)合使用4.病毒防火墻5.支付網(wǎng)關(guān)（二）數(shù)字簽名和報(bào)文摘要技術(shù)實(shí)現(xiàn)方式一般采用公開密鑰加密算法，實(shí)現(xiàn)原理如下：（1）發(fā)送方首先用哈希函數(shù)從原文得到數(shù)字簽名，然后采用公開密鑰體系用發(fā)送方的私有密鑰對數(shù)字簽名進(jìn)行加密，并把加密后的數(shù)字簽名附加在要發(fā)送的原文后面。（2）發(fā)送一方選擇一個(gè)私人密鑰對文件進(jìn)行加密，并把加密后的文件通過網(wǎng)絡(luò)傳輸?shù)浇邮辗?。?）發(fā)送方用接收方的公開密鑰對私人密鑰進(jìn)行加密，并通過網(wǎng)絡(luò)把加密后的私人密鑰傳輸?shù)浇邮辗健＃?）接收方使用自己的私有密鑰對密鑰信息進(jìn)行解密，得到私人密鑰的明文。（5）接收方用私人密鑰對文件進(jìn)行解密，得到經(jīng)過加密的數(shù)字簽名。（6）接收方用發(fā)送方的公開密鑰對數(shù)字簽名進(jìn)行解密，得到數(shù)字簽名的明文。（7）接收方用得到的明文和哈希函數(shù)重新計(jì)算數(shù)字簽名，并與解密后的數(shù)字簽名進(jìn)行對比。如果兩個(gè)數(shù)字簽名是相同的，說明文件在傳輸過程中沒有被破壞，可確定發(fā)送方的身份是真實(shí)的。在書面文件上簽名是確認(rèn)文件的一種手段，其作用有兩點(diǎn)：第一，因?yàn)樽约旱暮灻y以否認(rèn)，從而確認(rèn)了文件已簽署這一事實(shí)；第二，因?yàn)楹灻灰追旅埃瑥亩_定了文件的真實(shí)性。數(shù)字簽名與書面文件簽名有相似之處。采用數(shù)字簽名，也能確認(rèn)以下兩點(diǎn)：第一，信息是由簽名者發(fā)送的；第二，信息自簽發(fā)后到收到為止未曾做過任何修改。這樣數(shù)字簽名就可用來防止電子信息因易被修改而有人作偽，或冒用別人名義發(fā)送信息，或發(fā)出（收到）信件后又加以否認(rèn)等情況發(fā)生。應(yīng)用廣泛的數(shù)字簽名方法主要有三種，即RSA簽名、DSS簽名和哈希（Hash）簽名。這三種算法可單獨(dú)使用，也可綜合在一起使用。（三）安全認(rèn)證中心CA1.數(shù)字證書概述數(shù)字證書，就是用電子手段來證實(shí)一個(gè)用戶的身份以及訪問網(wǎng)絡(luò)資源的權(quán)限的數(shù)字文檔，其作用類似于現(xiàn)實(shí)生活中的身份證。它由權(quán)威機(jī)構(gòu)發(fā)行，用于鑒別對方的身份。一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容：（1）證書的版本信息；（2）證書的序列號，每個(gè)證書都有一個(gè)唯一的證書序列號；（3）證書所使用的簽名算法；（4）證書的發(fā)行機(jī)構(gòu)名稱，命名規(guī)則一般采用X.500格式；（5）證書的有效期，現(xiàn)在通用的證書一般都采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950—2049年；（6）證書所有人的名稱，命名規(guī)則一般采用X.500格式；（7）證書所有人的公開密鑰；（8）證書發(fā)行者對證書的簽名。數(shù)字證書分為以下幾種類型：（1）客戶端證書：該證書是對個(gè)人發(fā)布的，也稱為個(gè)人證書。（2）服務(wù)器證書：該證書是對應(yīng)用服務(wù)器，如Web服務(wù)器發(fā)布的。它與服務(wù)器的域名相聯(lián)系，如果服務(wù)器域名有改變，就必須重新發(fā)布證書。（3）軟件發(fā)布者證書：該證書用于認(rèn)證軟件代碼或從FTP服務(wù)器上下載的軟件。前兩類是常用的證書，第三類用于較特殊的場合。2.認(rèn)證中心概述認(rèn)證中心主要有以下幾種功能：（1）數(shù)字證書的頒發(fā)。（2）證書的更新。（3）證書的查詢。（4）證書的作廢。（5）證書的歸檔。（四）公開密鑰基礎(chǔ)設(shè)施1.PKI的基本組成（1）認(rèn)證機(jī)構(gòu)CA。（2）注冊機(jī)構(gòu)RA。（3）數(shù)字證書庫。（4）密鑰備份及恢復(fù)系統(tǒng)。（5）證書作廢處理系統(tǒng)（X.509Version3、CRLVersion2）。（6）PKI應(yīng)用接口系統(tǒng)。一個(gè)完整的PKI必須提供良好的應(yīng)用接口系統(tǒng)，以便各種應(yīng)用都能夠以安全、一致、可信的方式與PKI交互，確保所建立的網(wǎng)絡(luò)環(huán)境的可信性，降低管理和維護(hù)的成本。2.PKI體系結(jié)構(gòu)及功能目前，在PKI體系基礎(chǔ)上建立起來的安全證書體系得到了從普通用戶、商家、銀行到政府各職能部門的普遍關(guān)注。美國、加拿大等政府機(jī)構(gòu)都提出了建立國家PKI體系的具體實(shí)施方案。PKI系統(tǒng)的建立應(yīng)該著眼于用戶使用證書及相關(guān)服務(wù)的便利性、用戶身份認(rèn)證的可靠性。具體職能包括：制定完整的證書管理政策、建立高可信度的CA中心、負(fù)責(zé)用戶屬性的管理、用戶身份隱私的保護(hù)和證書作廢列表的管理；CA中心為用戶提供證書及CRL有關(guān)服務(wù)的管理，建立安全和相應(yīng)的法規(guī)，建立責(zé)任劃分并完善責(zé)任政策。一個(gè)典型的PKI體系結(jié)構(gòu)如下：（1）政策批準(zhǔn)機(jī)構(gòu)PAA。（2）政策PCA機(jī)構(gòu)。（3）認(rèn)證中心CA。（4）在線證書申請ORA。3.PKI的操作功能在實(shí)際運(yùn)行中，PKI的多種操作方式會影響其他功能的實(shí)現(xiàn)方式，不同實(shí)現(xiàn)方式的組合將形成不同的PKI全局操作思想。PKI具有十二種功能操作，涉及的成員機(jī)構(gòu)包括：PKI認(rèn)證機(jī)構(gòu)(P)、數(shù)據(jù)發(fā)布目錄(D)和用戶。（1）產(chǎn)生、驗(yàn)證和分發(fā)密鑰。用戶公私鑰對的產(chǎn)生、驗(yàn)證和分發(fā)包括如下方式：①用戶自己產(chǎn)生密鑰對：②CA為用戶產(chǎn)生密鑰對：③CA(包括PAA、PCA、CA)自己產(chǎn)生自己的密鑰對：（2）簽名和驗(yàn)證。（3）證書的獲取。（4）驗(yàn)證證書。（5）保存證書。（6）本地保存證書的獲取。（7）證書廢止的申請。（8）密鑰的恢復(fù)。（9）CRL的獲取。（10）密鑰更新。（11）審計(jì)。（12）存檔。4.PKI體系結(jié)構(gòu)的組織方式在一個(gè)PKI體系結(jié)構(gòu)內(nèi)，成員的組織可以有很多方式，包括按日常職能分類的COI(communityofinterest)方式，將PKI體系建立在現(xiàn)有的政府或組織機(jī)構(gòu)管理基礎(chǔ)之上的組織化方式，以及按安全級別劃分的擔(dān)保等級方式。以上方式都是基于以下因素考慮：由哪個(gè)機(jī)構(gòu)來設(shè)置安全政策；在安全政策下用戶該如何組織；在具體實(shí)施過程中應(yīng)采取哪種或哪幾種方式的組合。而具體應(yīng)該考慮系統(tǒng)可靠性、系統(tǒng)可擴(kuò)展性、系統(tǒng)的靈活性和使用的方便性、CA結(jié)構(gòu)的可信任性、與其他系統(tǒng)的互操作性、增加成員的開銷、各系統(tǒng)模塊的管理結(jié)構(gòu)，以及責(zé)任劃分等因素。隨著互聯(lián)網(wǎng)覆蓋范圍的擴(kuò)大，在世界范圍內(nèi)將出現(xiàn)多種多樣的證書管理體系結(jié)構(gòu)。所以，PKI體系的互通性也不可避免地成為PKI體系建設(shè)時(shí)必須考慮的問題，PKI體系中采取的算法的多樣性更加深了互通操作的復(fù)雜程度。PKI的互通性首先必須建立在網(wǎng)絡(luò)互通的基礎(chǔ)上，才能保證在全球范圍內(nèi)在任何終端用戶之間數(shù)據(jù)的傳送；其次是用戶必須借助于X.500目錄服務(wù)獲得對方簽名使用的算法。PKI在全球互通的實(shí)現(xiàn)途徑有兩種：（1）交叉認(rèn)證方式：需要互通的PKI體系中的PAA在經(jīng)過協(xié)商和政策制定之后，互相認(rèn)證對方系統(tǒng)中的PAA(即根CA)。認(rèn)證方式是根CA用自己的私鑰為其他的需要交叉認(rèn)證的根CA的公鑰簽發(fā)證書。這種認(rèn)證方式減少了操作中的政策因素，對用戶而言，也只在原有的證書鏈上增加一個(gè)證書而已。但對于每一個(gè)根CA而言，需要保存所有其他需要與之進(jìn)行交叉認(rèn)證的根CA的證書。（2）全球建立統(tǒng)一根方式：這種方式是將不同的PKI體系組織在同一個(gè)全球根CA之下，這個(gè)全球CA可由一個(gè)國際組織如聯(lián)合國來建設(shè)?？紤]到各個(gè)PKI體系管理者一般都希望能保持本體系的獨(dú)立性，全球統(tǒng)一根CA實(shí)現(xiàn)起來有一些具體的困難。所以，PKI體系之間的互通性一般用交叉認(rèn)證來實(shí)現(xiàn)。三、入侵檢測入侵檢測系統(tǒng)（networkintrusiondetectionsystem，NIDS）是用于檢測任何損害或企圖損害系統(tǒng)保密性、完整性和入侵，特別是用于檢測黑客通過網(wǎng)絡(luò)進(jìn)行的入侵行為的管理軟件。網(wǎng)絡(luò)入侵檢測系統(tǒng)可以分為基于網(wǎng)絡(luò)數(shù)據(jù)包分析和基于主機(jī)檢測兩種方式。簡單地說，前者是在網(wǎng)絡(luò)通信中尋找符合網(wǎng)絡(luò)入侵模板的數(shù)據(jù)包，并立即作出反應(yīng)。后者是在宿主系統(tǒng)審計(jì)日志文件中尋找攻擊特征，給出統(tǒng)計(jì)分析報(bào)告。四、漏洞掃描：探查網(wǎng)絡(luò)薄弱環(huán)節(jié)

選擇網(wǎng)絡(luò)安全掃描工具時(shí)，應(yīng)注意考核幾點(diǎn)：掃描發(fā)現(xiàn)的安全漏洞數(shù)量是否多，數(shù)據(jù)庫更新速度是否快，掃描效率以及對目標(biāo)網(wǎng)絡(luò)系統(tǒng)的影響是否大，定制模擬攻擊方法是否靈活，掃描程序的易用性與穩(wěn)定性是否好，提供安全服務(wù)的公司掌握最新安全漏洞和攻擊方法的能力是否強(qiáng)。安全掃描是采用模擬攻擊的形式對可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查，掃描目標(biāo)可以是工作站、服務(wù)器、交換機(jī)和數(shù)據(jù)庫應(yīng)用等。通過掃描，可以為系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，從而提高網(wǎng)絡(luò)安全整體水平。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費(fèi)低、效果好、見效快、安裝運(yùn)行簡單。五、網(wǎng)絡(luò)病毒的防治通常，我們將網(wǎng)絡(luò)防毒軟件劃分為客戶端防毒、服務(wù)器端防毒、群件防毒和Internet防毒四大類。有必要在工作站和服務(wù)器上部署病毒實(shí)時(shí)監(jiān)控系統(tǒng)，并將病毒控制、數(shù)據(jù)保護(hù)和集中式管理集成起來?？刹捎貌《痉阑饓Γ鼘?shí)際是廣義防火墻的一個(gè)特殊方面，專門用于對病毒的過濾。這種過濾體現(xiàn)在兩個(gè)環(huán)節(jié)上：其一，是保護(hù)計(jì)算機(jī)系統(tǒng)不受來自于任何方面病毒的危害。這里所說的“任何方面”，一方面指計(jì)算機(jī)的本地資源，比如傳統(tǒng)的磁盤介質(zhì)等，一方面指相對于“本地”而言的“遠(yuǎn)程”網(wǎng)絡(luò)資源，比如用戶使用的Internet等。其二，是對計(jì)算機(jī)系統(tǒng)提供的保護(hù)要著眼于整個(gè)系統(tǒng)并且是雙向的，也就是說，病毒防火墻應(yīng)該能對本地系統(tǒng)內(nèi)的病毒進(jìn)行“過濾”，防止它向網(wǎng)絡(luò)或傳統(tǒng)的存儲介質(zhì)擴(kuò)散。一般病毒防火墻對系統(tǒng)提供的保護(hù)是實(shí)時(shí)的、透明的，相當(dāng)于每時(shí)每刻都在為用戶查、殺病毒，整個(gè)過程基本上不需要用戶對其進(jìn)行過多的干預(yù)。六、電子支付安全協(xié)議SSL、SET與3D

（一）SSL安全協(xié)議1.SSL安全協(xié)議的基本概念SSL安全協(xié)議主要提供三方面的服務(wù)：（1）認(rèn)證用戶和服務(wù)器，使得它們能夠確信數(shù)據(jù)會被發(fā)送到正確的客戶機(jī)和服務(wù)器上；客戶機(jī)和服務(wù)器都有各自的識別號，這些識別號由公開密鑰進(jìn)行編號，為了驗(yàn)證用戶是否合法，安全套接層協(xié)議要求握手交換數(shù)據(jù)以進(jìn)行數(shù)字認(rèn)證，以此來確保用戶的合法性。（2）加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。（3）維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。SSL的缺陷是只能保證傳輸過程的安全，無法知道在傳輸過程中是否受到竊聽，黑客可以此破譯SSL的加密數(shù)據(jù)，破壞和盜竊WEB信息。SSL產(chǎn)品的出口受到美國國家安全局（NSA）的限制，2.SSL安全協(xié)議的運(yùn)行步驟（1）接通階段。（2）密碼交換階段。（3）會談密碼階段。（4）檢驗(yàn)階段。（5）客戶認(rèn)證階段。（6）結(jié)束階段。3.SSL安全協(xié)議的應(yīng)用SSL安全協(xié)議也是國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議，至今仍然有許多網(wǎng)上商店在使用。SSL協(xié)議運(yùn)行的基點(diǎn)是商家對客戶信息保密的承諾。正如美國著名的亞馬遜（Amazon）網(wǎng)上書店在其購買說明中明確表示的：“當(dāng)你在亞馬遜公司購書時(shí)，受到‘亞馬遜公司安全購買保證’保護(hù)，所以，你永遠(yuǎn)不用為你的信用卡安全擔(dān)心。”但在上述流程中我們會發(fā)現(xiàn)，SSL協(xié)議有利于商家而不利于客戶，客戶的信息首先傳到商家，商家閱讀后再傳到銀行。這樣，客戶資料的安全性便受到威脅。商家認(rèn)證客戶是必要的，但在整個(gè)過程中缺少了客戶對商家的認(rèn)證。在電子商務(wù)的開始階段，由于參與電子商務(wù)的公司大都是一些大公司，信譽(yù)較高，這個(gè)問題沒有引起人們的重視。隨著電子商務(wù)參與商家的迅速增加，對商家的認(rèn)證問題越來越突出，SSL協(xié)議的缺點(diǎn)完全暴露出來，SSL協(xié)議逐漸被新的SET協(xié)議所取代。（2）SET安全協(xié)議

SET主要由三個(gè)文件組成,分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。（二）SET安全協(xié)議1.SET安全協(xié)議概念SET安全協(xié)議運(yùn)行的目標(biāo)保證信息在因特網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取。保證電子商務(wù)參與者信息的相互隔離。解決多方認(rèn)證問題保證了網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過程都是在線的。效仿EDI貿(mào)易的形式，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺上。消費(fèi)者在線商店收單銀行電子貨幣認(rèn)證中心（CA）SET安全協(xié)議涉及的所涉及的對象采用SET協(xié)議進(jìn)行網(wǎng)上電子交易支付時(shí)，主要涉及持卡人、發(fā)卡行、商戶、收單行以及支付網(wǎng)關(guān)五方。在用戶身份認(rèn)證方面，SET引入了證書（certificates）和證書管理機(jī)構(gòu)（certificatesauthorities）機(jī)制。證書就是一份文檔，它記錄了用戶的公共密鑰和其他身份信息。在SET中，最主要的證書是持卡人證書和商家證書。（1）持卡人證書。（2）商家證書。除了持卡人證書和商家證書以外，還有支付網(wǎng)關(guān)證書、銀行證書、發(fā)卡機(jī)構(gòu)證書。證書管理機(jī)構(gòu)CA是受一個(gè)或多個(gè)用戶信任，提供用戶身份驗(yàn)證的第三方機(jī)構(gòu)。證書一般包含擁有者的標(biāo)識名稱和公鑰，并且由CA進(jìn)行數(shù)字簽名。CA的功能主要有：接收注冊請求；處理、批準(zhǔn)/拒絕請求；頒發(fā)證書。用戶向CA提交自己的公共密鑰和代表自己身份的信息（如身份證號碼或E-mail地址），CA驗(yàn)證了用戶的有效身份之后，向用戶頒發(fā)一個(gè)經(jīng)過CA私有密鑰簽名的證書。證書的樹形驗(yàn)證結(jié)構(gòu)在兩方通信時(shí)，通過出示由某個(gè)CA簽發(fā)的證書來證明自己的身份，如果對簽發(fā)證書的CA本身不信任，則可驗(yàn)證CA的身份，以此類推，一直到公認(rèn)的權(quán)威根CA處，就可確信證書的有效性。SET證書正是通過信任層次來逐級驗(yàn)證的。通過SET的認(rèn)證機(jī)制，用戶不再需要驗(yàn)證并信任每一個(gè)想要交換信息的用戶的公共密鑰，而只需要驗(yàn)證并信任頒發(fā)證書的CA的公共密鑰就可以了。2.SET安全協(xié)議的工作原理SET協(xié)議的工作流程分為下面七個(gè)步驟：（1）消費(fèi)者選定所要購買的物品，并在計(jì)算機(jī)上輸入訂貨單。（2）通過電子商務(wù)服務(wù)器與有關(guān)在線商店聯(lián)系，在線商店作出應(yīng)答，告訴消費(fèi)者所填訂貨單的貨物單價(jià)、應(yīng)付款數(shù)。交貨方式等信息是否準(zhǔn)確，是否有變化。（3）消費(fèi)者選擇付款方式，確認(rèn)訂單，簽發(fā)付款指令。此時(shí)SET開始介入。（4）在SET中，消費(fèi)者必須對訂單和付款指令進(jìn)行數(shù)字簽名，同時(shí)利用雙重簽名技術(shù)保證商家看不到消費(fèi)者的賬號信息。（5）在線商店接受訂單后，向消費(fèi)者所在銀行請求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認(rèn)。批準(zhǔn)交易后，返回確認(rèn)信息給在線商店。（6）在線商店發(fā)送訂單確認(rèn)信息給消費(fèi)者。消費(fèi)者端軟件可記錄交易日志，以備將來查詢。（7）在線商店發(fā)送貨物或提供服務(wù)，并通知收單銀行將錢從消費(fèi)者的賬號轉(zhuǎn)移到商店賬號，或通知發(fā)卡銀行請求支付。3.SET標(biāo)準(zhǔn)的應(yīng)用SET協(xié)議規(guī)范的技術(shù)范圍包括：（1）加密算法的應(yīng)用（例如RSA和DES）；（2）證書信息和對象格式；（3）購買信息和對象格式；（4）認(rèn)可信息和對象格式；（5）劃賬信息和對象格式；（6）對話實(shí)體之間消息的傳輸協(xié)議。（1）協(xié)議沒有說明收單銀行給在線商店付款前，是否必須收到消費(fèi)者的貨物接受證書。（2）協(xié)議沒有擔(dān)?！胺蔷芙^行為”，這意味著在線商店沒有辦法證明訂購是由簽署證書的消費(fèi)者發(fā)出的。（3）協(xié)議提供了多層次的安全保障，但顯著增加了復(fù)雜程度，因而變得昂貴，互操作性差，實(shí)施起來有一定難度。（4）SET技術(shù)規(guī)范沒有提及在事務(wù)處理完成后，如何安全地保存或銷毀此類數(shù)據(jù)，是否應(yīng)當(dāng)將數(shù)據(jù)保存在消費(fèi)者、在線商店或收單銀行的計(jì)算機(jī)里。這種漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊。SET協(xié)議的缺陷（三）3D安全協(xié)議1.３Ｄ安全協(xié)議概述3D安全協(xié)議涉及5個(gè)實(shí)體，包括持卡人、發(fā)卡行、商戶、收單行和VISA組織。3D安全協(xié)議將這5個(gè)實(shí)體邏輯地分到3個(gè)域中。其中，發(fā)卡機(jī)構(gòu)域指發(fā)卡行和持卡人；中間運(yùn)行域是使發(fā)卡機(jī)構(gòu)域和收單機(jī)構(gòu)域在全球范圍內(nèi)協(xié)同運(yùn)行的系統(tǒng)和功能設(shè)施；收單機(jī)構(gòu)域指收單行和商戶。3D安全協(xié)議中一個(gè)重要的組成部分是發(fā)卡行認(rèn)證服務(wù)器——訪問控制服務(wù)器ACS。（1）發(fā)卡機(jī)構(gòu)域組成。①持卡人：持卡人聯(lián)機(jī)購物，通過瀏覽器等軟件方式，提供持卡人姓名、口令（也可用證書）、卡號、有效期，以及驗(yàn)證所需的所有信息，準(zhǔn)備完成整個(gè)交易過程。②持卡人瀏覽器：瀏覽商家虛擬電子商城，選購商品，使用在線電子支付工具，在商戶服務(wù)器插件（收單機(jī)構(gòu)域）和訪問控制服務(wù)器（發(fā)卡機(jī)構(gòu)域）之間發(fā)送信息。③其他持卡人插件：其他可選的硬件和軟件，以加強(qiáng)瀏覽器的功能，如證書、智能卡認(rèn)證都可能需要額外的讀卡器和客戶端軟件。④發(fā)卡行：建立一個(gè)讓持卡人進(jìn)行注冊、訪問的系統(tǒng)，檢查持卡人資格，向VISA服務(wù)器提供相應(yīng)的信息。⑤訪問控制服務(wù)器（ACS）：發(fā)卡機(jī)構(gòu)域的核心部分，安裝服務(wù)器證書。主要功能是檢驗(yàn)?zāi)硞€(gè)卡號是否注冊了３Ｄ安全協(xié)議，驗(yàn)證購物者的身份，與商戶插件和VISA的目錄服務(wù)器進(jìn)行交互。該軟件應(yīng)與信用卡后臺連接，能夠取得持卡人信息。（2）收單機(jī)構(gòu)域組成①商戶：利用商戶軟件處理持卡人購物，獲得卡號和購物信息，然后觸發(fā)商戶服務(wù)器插件MPI進(jìn)行支付驗(yàn)證，如果支付通過驗(yàn)證，商戶就向收單行發(fā)出授權(quán)請求，發(fā)卡行和收單行完成傳統(tǒng)的交易授權(quán)過程。②商戶服務(wù)器插件：是一個(gè)支付網(wǎng)關(guān)插件，安裝服務(wù)器證書，處理支付驗(yàn)證請求，然后將控制交給商戶軟件，與VISA目錄服務(wù)器和發(fā)卡機(jī)構(gòu)進(jìn)行各種交互。作為處理從發(fā)卡行返回的驗(yàn)證反饋信息的一部分，MPI可以驗(yàn)證消息中的數(shù)字簽名，在某些情況下，也可以由收單行代表多家商戶執(zhí)行該功能。③收單行：為某一金融機(jī)構(gòu)，負(fù)責(zé)簽約特約商戶，確定商戶是否參加3D；負(fù)責(zé)開發(fā)支付網(wǎng)關(guān)；決定商戶參加３Ｄ安全協(xié)議的資格；接收發(fā)卡行的反饋驗(yàn)證信息，并對該信息進(jìn)行簽名認(rèn)證。收單行還要履行其傳統(tǒng)職能，即從商戶接收授權(quán)信息，將授權(quán)請求發(fā)送到傳統(tǒng)授權(quán)系統(tǒng)；向商戶提供授權(quán)反饋信息，將完成的交易送到VISA清算系統(tǒng)。（3）中間運(yùn)行域組成。①VISA路徑服務(wù)器②驗(yàn)證歷史服務(wù)器③VISANET：在支付驗(yàn)證后，VISANET執(zhí)行其傳統(tǒng)授權(quán)職責(zé)。從收單行接收授權(quán)請求，發(fā)給發(fā)卡行；提供從發(fā)卡行送給收單行的反饋信息；為發(fā)卡行和收單行提供清算數(shù)據(jù)。④VISACA：負(fù)責(zé)簽發(fā)SSL/TLS和服務(wù)器證書及提供簽名證書和VISA根證書。持卡人發(fā)卡機(jī)構(gòu)訪問控制發(fā)卡機(jī)構(gòu)域中間操作域收單機(jī)構(gòu)域商戶收單機(jī)構(gòu)收單機(jī)構(gòu)支付網(wǎng)關(guān)VISA目錄服務(wù)器插件歷史驗(yàn)證VISANET（1）（2）（3）（4）（5）（6）（7）（8）（9）（12）（13）（10）（11）（14）2.3D安全協(xié)議的運(yùn)作過程3D交易過程（1）持卡人登陸商戶網(wǎng)站，瀏覽商品，輸入口令及卡號，輸入訂購信息及支付信息。（2）商戶軟件插件通過VISA的目錄服務(wù)器檢查卡號所示的發(fā)卡機(jī)構(gòu)是否參與了3D安全協(xié)議。（3）VISA目錄服務(wù)器將卡號傳送給發(fā)卡機(jī)構(gòu)的訪問控制服務(wù)器，通過發(fā)卡機(jī)構(gòu)檢查認(rèn)證該卡是否已參與3D安全協(xié)議。（4）發(fā)卡機(jī)構(gòu)的ACS確認(rèn)該卡是否已參與3D安全協(xié)議。（5）VISA目錄服務(wù)器將發(fā)卡機(jī)構(gòu)的ACS的地址告知商戶插件。（6）商戶插件將持卡人瀏覽器定位到ACS，同時(shí)附上交易信息待持卡人進(jìn)一步確認(rèn)。（7）發(fā)卡機(jī)構(gòu)的ACS要求持卡人輸入用戶名和密碼。（8）持卡人向發(fā)卡機(jī)構(gòu)中輸入用戶名和密碼。（9）發(fā)卡方的ACS驗(yàn)證密碼，產(chǎn)生回應(yīng)信息，然后將客戶重新定位向商戶插件；與此同時(shí)將有關(guān)信息發(fā)送給VISA的歷史驗(yàn)證服務(wù)器。（10）商戶將交易信息提交給收單機(jī)構(gòu)。（11）收單機(jī)構(gòu)向發(fā)卡機(jī)構(gòu)要求授權(quán)。（12）發(fā)卡機(jī)構(gòu)通過VISANET向收單機(jī)構(gòu)發(fā)送授權(quán)（這里的交易流與傳統(tǒng)刷卡交易一樣）。（13）收單機(jī)構(gòu)將交易回應(yīng)信息返回到商戶。（14）商戶確認(rèn)交易并向持卡人提供收據(jù)。3.3D安全協(xié)議應(yīng)用3D安全協(xié)議的推出給互聯(lián)網(wǎng)交易便利提供了有效的解決方法。3D安全協(xié)議實(shí)施靈活簡單，數(shù)據(jù)傳輸比較安全，有效減少了交易爭議。對持卡人來說，除了智能卡交易，通常無需安裝特定軟件就可進(jìn)行交易，簡便易行，同時(shí)可防止信用卡被盜用。對發(fā)卡機(jī)構(gòu)來說，3D安全協(xié)議減少了交易爭議，提高了商戶效率，減少了交易成本，減少了欺詐風(fēng)險(xiǎn)。同時(shí)由于每筆交易都要訪問發(fā)卡行的網(wǎng)站，還增強(qiáng)了持卡人和發(fā)卡機(jī)構(gòu)間的聯(lián)系。對于商戶來說，能夠減少欺詐交易，增加交易量，降低交易爭議。但是3D安全協(xié)議由于增加了VISA中間認(rèn)證的環(huán)節(jié)，每一筆交易的認(rèn)證過程都要經(jīng)過中間運(yùn)行域參與認(rèn)證，并由VISA有關(guān)設(shè)備提供服務(wù)，增加了操作過程的復(fù)雜性。由于采取“用戶ID加口令”的簡單認(rèn)證方式，因而在安全性上比較薄弱，交易信息的完整性和不可否認(rèn)性都不容易得到保證。另一方面，認(rèn)證過程需要三個(gè)域之間的信息交互和交互認(rèn)證，時(shí)間開銷較大。目前我國一些銀行已經(jīng)開始規(guī)劃采用3D安全協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)電子支付機(jī)制。（四）SSL、SET與3D安全協(xié)議比較1.功能方面的異同2.安全方面的異同3.系統(tǒng)負(fù)載能力第四節(jié)金融信息安全體系架構(gòu)和安全策略一、金融信息安全保障體系構(gòu)成信息安全保障是確保信息和信息系統(tǒng)的保密性、完整性、可用性、真實(shí)性、不可否認(rèn)性、可追究性和可控性的保護(hù)，以及對意外事件或惡意行為的防范活動。金融信息安全保障的主要內(nèi)容包括：重大業(yè)務(wù)應(yīng)用系統(tǒng)的連續(xù)可用性；業(yè)務(wù)工作責(zé)任的不可否認(rèn)性；業(yè)務(wù)數(shù)據(jù)和信息的真實(shí)性、完整性；涉及國家秘密和行業(yè)敏感信息的保密性；什么人、可以訪問什么資源、有什么權(quán)限，以及控制授權(quán)范圍內(nèi)的信息流向及行為方式等的可控性。金融信息安全保障體系建設(shè)涉及多個(gè)環(huán)節(jié)，包括法律、管理、技術(shù)、人才、意識等各個(gè)方面，與各部門、各地方都密切相關(guān)，是一個(gè)復(fù)雜的系統(tǒng)工程。金融信息安全保障體系的建設(shè)包括六大體系：（1）安全法規(guī)體系。（2）標(biāo)準(zhǔn)規(guī)范體系。（3）安全組織體系。（4）安全管理體系。（5）技術(shù)支持體系。（6）應(yīng)急服務(wù)體系。二、金融信息安全管理策略（一）金融信息安全的組織管理策略金融信息安全的組織管理策略包括信息安全的規(guī)章制度策略和信息安全的運(yùn)行管理策略。信息安全管理制度主要包括：人員安全管理、操作安全管理、場地與設(shè)施安全管理、設(shè)備安全管理、操作系統(tǒng)和數(shù)據(jù)庫安全管理、網(wǎng)絡(luò)安全管理、信息化項(xiàng)目安全管理、應(yīng)用系統(tǒng)安全管理、技術(shù)文檔安全管理、數(shù)據(jù)安全管理、密碼與密鑰安全管理、認(rèn)證管理、應(yīng)急管理和審計(jì)管理。信息安全的運(yùn)行管理策略包括建立技術(shù)支持制度、明確安全責(zé)任制度等措施保證信息安全。（二）金融信息安全的風(fēng)險(xiǎn)管理策略金融信息安全的風(fēng)險(xiǎn)主要體現(xiàn)在技術(shù)、管理、業(yè)務(wù)、人員以及政策上的風(fēng)險(xiǎn)，必須采取完善的管理戰(zhàn)略和制度來控制風(fēng)險(xiǎn)。金融信息安全風(fēng)險(xiǎn)管理是通過風(fēng)險(xiǎn)評估來識別、控制、降低或消除安全風(fēng)險(xiǎn)的活動過程。金融信息安全風(fēng)險(xiǎn)管理可有效消除潛在的威脅，預(yù)防損失。信息安全的風(fēng)險(xiǎn)管理可考慮針對金融系統(tǒng)的各個(gè)環(huán)節(jié)，進(jìn)行深入的風(fēng)險(xiǎn)分析，列舉出可能的風(fēng)險(xiǎn)狀況，從而采取相應(yīng)的對策；建立風(fēng)險(xiǎn)信息控制機(jī)制，及時(shí)通報(bào)風(fēng)險(xiǎn)情況，做到信息共享，預(yù)報(bào)準(zhǔn)確，有效預(yù)防可能產(chǎn)生的危害；風(fēng)險(xiǎn)分析從系統(tǒng)方面涉及網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、信息系統(tǒng)、辦公系統(tǒng)及基礎(chǔ)設(shè)施；同時(shí)需要分析管理、組織、人員、數(shù)據(jù)、應(yīng)急支持等風(fēng)險(xiǎn)。金融機(jī)構(gòu)需要建立自己的風(fēng)險(xiǎn)管理機(jī)制和規(guī)范，并制定具體的操作辦法，將風(fēng)險(xiǎn)控制有效落實(shí)到銀行生產(chǎn)、管理的各個(gè)環(huán)節(jié)和各個(gè)部門。（三）金融信息安全的技術(shù)管理策略技術(shù)安全是金融信息安全保障的基礎(chǔ)性工作，通過技術(shù)方法可以預(yù)防占絕大多數(shù)的一般性攻擊、發(fā)揮重要的作用。技術(shù)安全工作包括準(zhǔn)備與防御、檢測與響應(yīng)等方面。（1）準(zhǔn)備與防御。（2）檢測與響應(yīng)。（四）金融信息安全的質(zhì)量管理策略金融信息安全貫徹在整個(gè)運(yùn)行過程的各個(gè)方面。為了有效防范安全風(fēng)險(xiǎn)，必須建立一套長期的質(zhì)量評測體系，及時(shí)發(fā)現(xiàn)安全隱患，將重大的信息安全問題消滅在事件的初期，盡可能減少損失。主要方法是建設(shè)安全分析、評估、測試，檢查控制、反應(yīng)機(jī)制及響應(yīng)模式的體系；制定相關(guān)政策和管理?xiàng)l例，定期進(jìn)行信息安全的評測，動態(tài)管理、有效控制。（五）金融信息安全的標(biāo)準(zhǔn)化策略標(biāo)準(zhǔn)化策略是金融信息安全的基礎(chǔ)。兩個(gè)主要的金融信息安全標(biāo)準(zhǔn)化發(fā)展方向是：評測標(biāo)準(zhǔn)化和管理標(biāo)準(zhǔn)化。管理標(biāo)準(zhǔn)化也是金融信息安全的規(guī)范化內(nèi)容，需要嚴(yán)格的安全標(biāo)準(zhǔn)化來管理信息安全問題，并深入于組織、技術(shù)及管理的各個(gè)方面。國際上流行的信息安全管理規(guī)范主要有：《信息技術(shù)安全管理指導(dǎo)方針》（ISO/IEC13335）、《銀行業(yè)務(wù)和相關(guān)金融服務(wù)——銀行業(yè)務(wù)信息安全指南》（ISO13569）、《信息安全管理的實(shí)施編碼》（ISO14980）、《信息安全管理實(shí)用規(guī)則》（ISO/IEC177991）、《金融業(yè)的安全服務(wù)管理》（ANSIX9.41）。（六）金融信息安全技術(shù)策略金融信息安全技術(shù)策略是指充分運(yùn)用高新技術(shù)，采用安全技術(shù)防范措施和技術(shù)安全機(jī)制建立現(xiàn)代化技術(shù)防范體系的具體指導(dǎo)，是信息安全的技術(shù)保障策略。金融信息安全的技術(shù)要求包括：（1）安全管理組織。（2）環(huán)境安全。（3）網(wǎng)絡(luò)安全。（4）軟件的運(yùn)行安全。包括軟件平臺和應(yīng)用軟件：軟件平臺選型與購置審查、安全檢測與驗(yàn)收、安全跟蹤與報(bào)告、版本管理安全、使用與維護(hù)安全、安全稽核；應(yīng)用軟件啟用安全、安全審計(jì)、版本管理安全、備份安全、維護(hù)安全。（5）應(yīng)用軟件的開發(fā)安全。主要是開發(fā)平臺安全、開發(fā)環(huán)境安全、開發(fā)人員安全、應(yīng)用軟件測試與評估安全、應(yīng)用軟件審計(jì)安全。（6）操作安全。（7）數(shù)據(jù)安全。（8）應(yīng)急安全。（9）密碼與密鑰安全。（七）金融信息安全應(yīng)急響應(yīng)與災(zāi)難備份策略在現(xiàn)實(shí)環(huán)境中安