電子支付體系安全與風(fēng)險(xiǎn)防范

第五講電子支付體系平安與風(fēng)險(xiǎn)防范

電子支付與結(jié)算精選ppt金融風(fēng)險(xiǎn)通常具有以下特征，即不確定性、普遍性、擴(kuò)散性、隱蔽性和突發(fā)性。

1、操作風(fēng)險(xiǎn)成為電子支付系統(tǒng)主要風(fēng)險(xiǎn)之一精選ppt巴塞爾新資本協(xié)議將操作性風(fēng)險(xiǎn)界定為“因?yàn)閮?nèi)部流程、人力和系統(tǒng)的缺乏或者失誤、以及外部事件沖擊所導(dǎo)致的直接或者間接的損失的風(fēng)險(xiǎn)。精選ppt操作風(fēng)險(xiǎn)可以分為幾類：即信息系統(tǒng)平安風(fēng)險(xiǎn)、交易平安風(fēng)險(xiǎn)和貨幣洗錢的風(fēng)險(xiǎn)。精選ppt2、平安風(fēng)險(xiǎn)分析與評(píng)估電子支付信息平安具有系統(tǒng)性，動(dòng)態(tài)性、層次性和過程性。精選ppt風(fēng)險(xiǎn)目標(biāo)和原那么風(fēng)險(xiǎn)分析的目標(biāo)是：了解網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)和管理水平，及可能存在的平安隱患；了解網(wǎng)絡(luò)所提供的效勞及可能存在的平安問題;了解各應(yīng)用系統(tǒng)與網(wǎng)絡(luò)層的接口及其相應(yīng)的平安問題;網(wǎng)絡(luò)攻擊和電子欺騙的檢測、模擬及預(yù)防；分析信息網(wǎng)絡(luò)系統(tǒng)對(duì)網(wǎng)絡(luò)的平安需求，找出目前的平安策略和實(shí)際需求的差距，為保護(hù)信息網(wǎng)絡(luò)系統(tǒng)的平安提供科學(xué)依據(jù)。多層面、多角度的原那么精選ppt對(duì)象和范圍1、系統(tǒng)根本情況分析2、系統(tǒng)根本平安狀況調(diào)查3、系統(tǒng)平安組織、策略分析4、相關(guān)平安技術(shù)和措施以及平安隱患分析5、系統(tǒng)訪問控制和加密體系分析6、系統(tǒng)的抗攻擊能力與數(shù)據(jù)傳輸?shù)钠桨残苑治觯?、動(dòng)態(tài)平安管理狀況分析8、災(zāi)難備份以及危機(jī)管理安排狀況分析精選ppt方法與手段風(fēng)險(xiǎn)分析可以使用以下方式實(shí)現(xiàn)：問卷調(diào)查、訪談、文檔審查、黑盒測試、操作系統(tǒng)的漏洞檢查和分析、網(wǎng)絡(luò)效勞的平安漏洞和隱患的檢查和分析、抗攻擊測試、綜合審計(jì)報(bào)告等。風(fēng)險(xiǎn)分析的過程可以分為以下四步：(1)確定要保護(hù)的資產(chǎn)及價(jià)值(2)分析信息資產(chǎn)之間的相互依賴性(3)確定存在的風(fēng)險(xiǎn)和威脅(4)分析可能的入侵者結(jié)果與結(jié)論精選ppt平安策略的制定原那么和需求分析平安策略的制定原那么(1)抽象平安策略(2)全局自動(dòng)平安策略(3)局部執(zhí)行策略平安策略包含的內(nèi)容：〔1〕保護(hù)的內(nèi)容和目標(biāo)〔2〕實(shí)施保護(hù)的方法〔3〕明確的責(zé)任〔4〕事故的處理精選ppt需求分析(1)管理層：

(2)物理層：

(3)系統(tǒng)層：

(4)網(wǎng)絡(luò)層：

(5)應(yīng)用層：

精選ppt網(wǎng)絡(luò)平安系統(tǒng)設(shè)計(jì)原那么木桶原那么整體性原那么實(shí)用性原那么等級(jí)性原那么動(dòng)態(tài)化原那么設(shè)計(jì)為本原那么精選ppt3、電子支付系統(tǒng)的平安管理策略一、信息平安法規(guī)與標(biāo)準(zhǔn)策略二、信息平安的組織管理策略三、信息平安技術(shù)支持策略四、信息平安應(yīng)急響應(yīng)策略五、信息平安實(shí)施策略精選ppt4、常用技術(shù)手段從技術(shù)角度來講，用戶應(yīng)該做好網(wǎng)絡(luò)層、系統(tǒng)級(jí)和應(yīng)用級(jí)3個(gè)方面的防護(hù)1、網(wǎng)絡(luò)層平安防護(hù)---隔離與訪問控制-地址轉(zhuǎn)換-入侵檢測精選ppt2、系統(tǒng)級(jí)平安防護(hù)--使用漏洞掃描技術(shù)加強(qiáng)操作系統(tǒng)用戶認(rèn)證授權(quán)管理增強(qiáng)訪問控制管理--病毒防范--Web效勞器的專門保護(hù)精選ppt3、應(yīng)用級(jí)平安保護(hù)實(shí)施單一的登錄機(jī)制統(tǒng)一的用戶和目錄管理機(jī)制

精選ppt平安解決方案5個(gè)關(guān)鍵技術(shù)點(diǎn)防毒控制訪問加密與認(rèn)證漏洞掃描入侵檢測精選ppt病毒防護(hù)反病毒技術(shù)包括預(yù)防、檢測和攻殺3項(xiàng)功能網(wǎng)絡(luò)防毒軟件劃分為客戶端防毒、效勞器端防毒、群件防毒和Internet防毒4大類精選ppt防火墻技術(shù)第一代產(chǎn)品主要為包過濾型防火墻第二代產(chǎn)品那么為混合型防火墻〔即綜合了包過濾型和應(yīng)用網(wǎng)關(guān)的防火墻〕。精選ppt加密與認(rèn)證加密包括兩個(gè)元素：算法和密鑰對(duì)稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn)〔DNS，Data－Encryption－Standard〕算法為典型代表，非對(duì)稱加密通常以RSA〔Rivest－Shamir－Ad1eman〕算法為代表精選ppt對(duì)稱加密算法存在的問題：〔1〕要求提供一條平安的渠道使通訊雙方在首次通訊時(shí)協(xié)商一個(gè)共同的密鑰?！?〕密鑰的數(shù)目難于管理?！?〕對(duì)稱加密算法一般不能提供信息完整性的鑒別，它無法驗(yàn)證發(fā)送者和接受者的身份；〔4〕對(duì)稱密鑰的管理和分發(fā)工作是一件具有潛在危險(xiǎn)的和煩瑣的過程。精選ppt2．非對(duì)稱加密技術(shù)與對(duì)稱加密算法不同，非對(duì)稱加密算法需要兩個(gè)密鑰：公開密鑰〔publickey〕和私有密鑰〔privatekey〕。公開密鑰與私有密鑰是一對(duì)，如果用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密，只有用對(duì)應(yīng)的私有密鑰才能解密；如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用對(duì)應(yīng)的公開密鑰才能解密。因?yàn)榧用芎徒饷苁褂玫氖莾蓚€(gè)不同的密鑰，所以這種算法叫作非對(duì)稱加密算法。精選ppt使用公開密鑰對(duì)文件進(jìn)行加密傳輸?shù)膶?shí)際過程：〔1〕發(fā)送方生成一個(gè)自己的私有密鑰并用接收方的公開密鑰對(duì)自己的私有密鑰進(jìn)行加密，然后通過網(wǎng)絡(luò)傳輸?shù)浇邮辗?；?〕發(fā)送方對(duì)需要傳輸?shù)奈募米约旱乃接忻荑€進(jìn)行加密，然后通過網(wǎng)絡(luò)把加密后的文件傳輸?shù)浇邮辗?；?〕接收方用自己的公開密鑰進(jìn)行解密后得到發(fā)送方的私有密鑰；〔4〕接受方用發(fā)送方的私有密鑰對(duì)文件進(jìn)行解密得到文件的明文形式。精選ppt認(rèn)證技術(shù)：PKI：公開密鑰根底設(shè)施PKI具有認(rèn)證機(jī)關(guān)(CA)、證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、客戶端證書處理系統(tǒng)等根本成分精選ppt〔1〕認(rèn)證機(jī)關(guān)〔CA〕的職責(zé):

1，驗(yàn)證并標(biāo)識(shí)證書申請(qǐng)者的身份;2，確保CA用于簽名證書的非對(duì)稱密鑰的質(zhì)量;3，確保整個(gè)簽證過程的平安性,簽名私鑰的平安性;4，證書材料信息的管理;5，確定并檢查證書的有效期限;6，確保證書主體標(biāo)識(shí)的唯一性,防止重名;7，發(fā)布并維護(hù)作廢證書表;8，對(duì)整個(gè)證書簽發(fā)過程做日志記錄;9，向申請(qǐng)人發(fā)通知。精選ppt〔2〕證書庫證書庫是證書的集中存放地。系統(tǒng)必須確保證書庫的完整性,防止偽造、篡改證書?！?〕密鑰備份及恢復(fù)系統(tǒng)提供備份與恢復(fù)解密密鑰的機(jī)制。密鑰的備份與恢復(fù)應(yīng)該由可信的機(jī)構(gòu)來完成，例如CA可以充當(dāng)這一角色。值得強(qiáng)調(diào)的是，密鑰備份與恢復(fù)只能針對(duì)解密密鑰，簽名私鑰不能夠作備份。精選ppt〔4〕證書作廢處理系統(tǒng)〔X.509Version3、CRLVersion2〕證書作廢處理系統(tǒng)是PKI的一個(gè)重要組件。作廢證書有如下三種策略:作廢一個(gè)或多個(gè)主體的證書;作廢由某一對(duì)密鑰簽發(fā)的所有證書;作廢由某CA簽發(fā)的所有證書。精選pptPKI的根底技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。PKI體系結(jié)構(gòu)的組織方式：按日常職能分類的COI方式(Community－of－interest)，將PKI體系建立在現(xiàn)有的政府組織機(jī)構(gòu)管理根底之上的組織化方式按平安級(jí)別劃分的擔(dān)保等級(jí)方式PKI在全球互通可以有兩種實(shí)現(xiàn)途徑：1.交叉認(rèn)證方式2.全球建立統(tǒng)一根方式精選pptPKI的操作功能1產(chǎn)生、驗(yàn)證和分發(fā)密鑰2.簽名和驗(yàn)證3.證書的獲取4.驗(yàn)證證書5.保存證書6.本地保存證書的獲取精選ppt7.證書廢止的申請(qǐng)8.密鑰的恢復(fù)9.CRL的獲取10.密鑰更新11.審計(jì)12.存檔精選ppt漏洞掃描平安掃描采用模擬攻擊的形式對(duì)可能存在的平安漏洞進(jìn)行逐項(xiàng)檢查精選ppt入侵檢測

網(wǎng)絡(luò)入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)數(shù)據(jù)包分析和基于主機(jī)檢測2種方式

精選ppt平安協(xié)議SSL、SET、3D〔1〕SSL平安協(xié)議〔SecureSocketsLayer〕SSL平安協(xié)議主要提供三方面的效勞：1，認(rèn)證用戶和效勞器，使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和效勞器上；2，加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)；3，維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。精選pptSSL的缺陷是只能保證傳輸過程的平安，無法知道在傳輸過程中是否受到竊聽，黑客可以此破譯SSL的加密數(shù)據(jù)，破壞和盜竊WEB信息。SSL產(chǎn)品的出口受到美國國家平安局〔NSA〕的限制，精選ppt〔2〕．SSL平安協(xié)議的運(yùn)行步驟〔1〕接通階段?！?〕密碼交換階段?！?〕會(huì)談密碼階段。〔4〕檢驗(yàn)階段?！?〕客戶認(rèn)證階段?！?〕結(jié)束階段。精選ppt〔2〕SET平安協(xié)議SET主要由三個(gè)文件組成,分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。精選pptSET平安協(xié)議運(yùn)行的目標(biāo)1〕保證信息在因特網(wǎng)上平安傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取。2〕保證電子商務(wù)參與者信息的相互隔離。3〕解決多方認(rèn)證問題4)保證了網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過程都是在線的。5)效仿EDI貿(mào)易的形式，標(biāo)準(zhǔn)協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。精選ppt.SET平安協(xié)議涉及的所涉及的對(duì)象：1)消費(fèi)者2)在線商店3)收單銀行4)電子貨幣5)認(rèn)證中心〔CA〕精選pptSET協(xié)議的工作流程分為下面七個(gè)步驟：〔1〕消費(fèi)者選定所要購置的物品，并在計(jì)算機(jī)上輸入訂貨單。〔2〕通過電子商務(wù)效勞器與有關(guān)在線商店聯(lián)系，在線商店作出應(yīng)答，告訴消費(fèi)者所填訂貨單的貨物單價(jià)、應(yīng)付款數(shù)。交貨方式等信息是否準(zhǔn)確，是否有變化?！?〕消費(fèi)者選擇付款方式，確認(rèn)訂單，簽發(fā)付款指令。此時(shí)SET開始介入。精選ppt〔4〕在SET中，消費(fèi)者必須對(duì)訂單和付款指令進(jìn)行數(shù)字簽名，同時(shí)利用雙重簽名技術(shù)保證商家看不到消費(fèi)者的賬號(hào)信息?！?〕在線商店接受訂單后，向消費(fèi)者所在銀行請(qǐng)求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認(rèn)。批準(zhǔn)交易后，返回確認(rèn)信息給在線商店。精選ppt〔6〕在線商店發(fā)送訂單確認(rèn)信息給消費(fèi)者。消費(fèi)者端軟件可記錄交易日志，以備將來查詢。〔7〕在線商店發(fā)送貨物或提供效勞，并通知收單銀行將錢從消費(fèi)者的賬號(hào)轉(zhuǎn)移到商店賬號(hào)，或通知發(fā)卡銀行請(qǐng)求支付。精選pptSET協(xié)議的缺陷〔1〕協(xié)議沒有說明收單銀行給在線商店付款前，是否必須收到消費(fèi)者的貨物接受證書?！?〕協(xié)議沒有擔(dān)?！胺蔷芙^行為〞，這意味著在線商店沒有方法證明訂購是由簽署證書的消費(fèi)者發(fā)出的。〔3〕協(xié)議提供了多層次的平安保障，但顯著增加了復(fù)雜程度，因而變得昂貴，互操作性差，實(shí)施起來有一定難度?！?〕SET技術(shù)標(biāo)準(zhǔn)沒有提及在事務(wù)處理完成后，如何平安地保存或銷毀此類數(shù)據(jù)，是否應(yīng)當(dāng)將數(shù)據(jù)保存在消費(fèi)者、在線商店或收單銀行的計(jì)算機(jī)里。這種漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊。精選ppt〔3〕3D協(xié)議3D平安協(xié)議涉及5個(gè)實(shí)體，包括持卡人、發(fā)卡行、商戶、收單行和VISA組織。3D平安協(xié)議將這5個(gè)實(shí)體邏輯地分到3個(gè)域中。其中，發(fā)卡機(jī)構(gòu)域指發(fā)卡行和持卡人；中間運(yùn)行域是使發(fā)卡機(jī)構(gòu)域和收單機(jī)構(gòu)域在全球范圍內(nèi)協(xié)同運(yùn)行的系統(tǒng)和功能設(shè)施；收單機(jī)構(gòu)域指收單行和商戶。3D平安協(xié)議中一個(gè)重要的組成局部是發(fā)卡行認(rèn)證效勞器——訪問控制效勞器ACS。精選ppt持卡人發(fā)卡機(jī)構(gòu)訪問控制發(fā)卡機(jī)構(gòu)域中間操作域收單機(jī)構(gòu)域商戶收單機(jī)構(gòu)收單機(jī)構(gòu)支付網(wǎng)關(guān)VISA目錄效勞器插件歷史驗(yàn)證VISANET〔1〕〔2〕〔3〕〔4〕〔5〕〔6〕〔7〕〔8〕〔9〕〔12〕〔13〕〔10〕〔11〕〔14〕精選ppt〔1〕持卡人登陸商戶網(wǎng)站，瀏覽商品，輸入口令及卡號(hào)，輸入訂購信息及支付信息?！?〕商戶軟件插件通過VISA的目錄效勞器檢查卡號(hào)所示的發(fā)卡機(jī)構(gòu)是否參與了3D平安協(xié)議?！?〕VISA目錄效勞器將卡號(hào)傳送給發(fā)卡機(jī)構(gòu)的訪問控制效勞器，通過發(fā)卡機(jī)構(gòu)檢查認(rèn)證該卡是否已參與3D平安協(xié)議?！?〕發(fā)卡機(jī)構(gòu)的ACS確認(rèn)該卡是否已參與3D平安協(xié)議?！?〕VISA目錄效勞器將發(fā)卡機(jī)構(gòu)的ACS的地址告知商戶插件?！?〕商戶插件將持卡人瀏覽器定位到ACS，同時(shí)附上交易信息待持卡人進(jìn)一步確認(rèn)。〔7〕發(fā)卡機(jī)構(gòu)的ACS要求持卡人輸入用戶名和密碼?！?〕持卡人向發(fā)卡機(jī)構(gòu)中輸入用戶名和密碼?！?〕發(fā)