《电子支付与网络银行（第四版）》第七章电子支付系统的安全策略

第七章电子支付系统的安全策略第一节信息安全概述一、信息安全与金融信息安全一般认为,信息安全至少应具有以下特征:(1)保密性。(2)完整性。(3)可用性。(4)可控性。(5)信息行为的不可否认性。安全性问题可以分成两类,即客户/服务器安全以及交易安全。金融信息安全指金融信息的保密性、完整性、可用性、可控性以及金融行为的不可否认性。目前金融信息安全的主要威胁有:(1)人为失误。(2)欺诈行为。(3)内部人员破坏行为。(4)物理资源服务丧失。(5)黑客攻击。(6)商业信息泄密。(7)病毒(恶意程序)侵袭。(8)程序系统自身的缺陷。二、信息安全的内涵信息安全的完整内涵包括以下几个方面:1.物理安全(physicalsecurity)2.电磁安全(electromagneticsecurity)3.网络安全(networksecurity)4.数据安全(datasecurity)5.系统安全(systemsecurity)6.操作安全(operationsecurity)7.人员安全(personnelsecurity)三、信息系统安全等级我国于1999年9月13日发布了《计算机信息系统安全保护等级划分准则》(GB17859—1999),该标准规定了计算机系统安全保护能力的五个等级。(1)第一级:用户自主保护级。(2)第二级:系统审计保护级。(3)第三级:安全标记保护级。(4)第四级:结构化保护级。(5)第五级:访问验证保护级。

第二节用信息安全工程理论规范信息安全建设一、信息安全风险分析与评估风险评估是网络安全防御中的一项重要技术,也是信息安全工程学的重要组成部分。1.目标和原则风险分析的目标是:了解网络的系统结构和管理水平,以及可能存在的安全隐患;了解网络所提供的服务和可能存在的安全问题;了解各应用系统与网络层的接口及其相应的安全问题;对网络攻击和电子欺骗进行检测、模拟和预防;分析信息网络系统对网络的安全需求,找出目前的安全策略和实际需求的差距,为保护信息网络系统的安全提供科学依据。2.对象和范围具体来讲,风险分析的内容范围有:(1)网络基本情况分析。(2)信息系统基本安全状况调查。(3)信息系统安全组织、政策情况分析。(4)网络安全技术措施使用情况分析。(5)防火墙布控及外联业务安全状况分析。(6)动态安全管理状况分析。(7)链路、数据及应用加密情况分析。(8)网络系统访问控制状况分析。(9)白盒测试。

3.方法与手段风险分析可以使用以下方式实现:问卷调查、访谈、文档审查、黑盒测试、操作系统的漏洞检查和分析、网络服务的安全漏洞和隐患的检查和分析、抗攻击测试、综合审计报告等。风险分析的过程可以分为以下四步:(1)确定要保护的资产及价值。(2)分析信息资产之间的相互依赖性。(3)确定存在的风险和威胁。(4)分析可能的入侵者。4.结果与结论根据相关的评估标准来确定安全级别(如A级、B级或C级。二、安全策略安全策略是为发布、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总和,

1.制定安全策略的原则安全策略在制定时必须兼顾它的可理解性、技术上的可实现性、组织上的可执行性。企业级安全策略可以从三个层面来考虑开发和制定:(1)抽象安全策略。(2)全局自动安全策略。(3)局部执行策略。2.安全策略的内容(1)保护的内容和目标。

(2)实施保护的方法。(3)明确的责任。(4)事故的处理方案。安全策略具有较强的生命周期性。因此,要注意定期根据相关因素的变化对安全策略进行修改,保证安全策略的可用性。三、需求分析1.需求分析的原则(1)遵照法律。(2)依据标准。(3)分层分析。(4)结合实际。

2.需求分析的内容(1)管理层。(2)物理层。

(3)系统层。(4)网络层。(5)应用层。安全需求分析是一个不断发展的过程,不存在一个一成不变的分析结果。3.网络安全系统的设计原则(1)木桶原则。对信息均衡、全面地进行保护。(2)整体性原则。进行安全防护、监测和应急恢复。(3)实用性原则。不影响系统的正常运行和合法用户的操作。(4)等级性原则。区分安全层次和安全级别。(5)动态化原则。安全需要不断更新。(6)设计为本原则。安全设计与网络设计同步进行。第三节信息安全技术一、加密技术加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户获取和理解原始数据,从而确保数据的保密性。加密包括两个元素:算法和密钥。目前最典型的两种加密技术是对称加密(私有密钥加密)和非对称加密(公开密钥加密)。对称加密以DES算法为典型代表,非对称加密通常以RSA算法为代表。(一)对称加密技术对称加密技术也称私人密钥加密(secretkeyencryption),是指发送和接收数据的双方必须使用相同的密钥进行加密和解密运算。对称加密算法的优点在于加密速度快,适用于大量数据的加密处理;缺点是难以在两个通信方之间安全地交换密钥,在电子商务交易过程中存在以下几个问题:(1)要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥。直接的面对面协商可能是不现实而且难以实施的,所以双方可能需要借助邮件和电话等其他相对不够安全的手段来进行协商。(2)密钥的数目难以管理。因为每一个合作者都需要使用不同的密钥,所以很难适应开放社会中大量的信息交流。(3)对称加密算法一般不能提供信息完整性的鉴别。它无法验证发送者和接受者的身份。(4)对称密钥的管理和分发工作是一个具有潜在危险且烦琐的过程。对称加密是基于共同保守秘密来实现的,采用对称加密技术的贸易双方必须保证采用的是相同的密钥,保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄漏和更改密钥的程序。(二)非对称加密技术非对称加密技术也称作公开密钥加密(publickeyencryption)。1976年,美国学者迪梅(Dime)和享曼(Henman)为解决信息公开传送和密钥管理问题,提出了一种新的密钥交换协议,这就是公开密钥系统。相对于对称加密算法,该方法被叫作非对称加密算法。与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对:如果用公开密钥对数据进行加密,那么只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。非对称加密解决了对称加密中的基本问题,即密钥的安全交换问题。这种加密技术的加密速度较慢,只用于对少量数据进行加密。采用这种加密技术的主要是RSA算法。

非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要,但加密和解密花费时间长、速度慢,不适用于对文件加密,只适用于对少量数据进行加密。为保证数据的可靠传输,目前业界普遍采用将两种加密方法结合的方式来满足网络传输过程中的保密性需求。二、访问控制机制与安全认证技术访问控制机制一般包括物理访问控制和数据网络层的访问控制。几种常用的访问控制与安全认证技术。(一)防火墙防火墙是目前应用最广泛的网络安全产品,作为第一道安全防线,防火墙主要用来执行两个网络之间的访问控制策略,保护用户网络的安全。(二)数字签名和报文摘要技术为保证数据的完整性,完成对数据原发者的身份鉴别,需要对数据(亦称报文)进行验证。目前所采用的技术主要是数字签名(digitalsignature)和报文摘要(messagedigest)技术。(三)认证中心在加密和数字签名技术中,密钥在双方信息的传递中扮演着重要的角色,

然而,交易各方在使用公开密钥时,对其身份的正确性都存有疑虑,因此,使用前必须对它进行验证,

因此,设立一个可靠的第三方机构,进行有效、快速、规范化的管理就显得尤为必要,安全认证体系就是解决这一问题的现实途径,这种可信的第三方称为“认证中心”(CA)。认证中心是负责发放和管理数字证书的一个权威机构。

(四)公开密钥基础设施公开密钥基础设施(publickeyinfrastructure,PKI)是一种遵循既定标准的密钥管理平台,它为各种网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。包含以下机制：(1)政策批准中心(PAA)。(2)政策认证中心(PCA)。(3)认证中心(CA)。(4)在线证书申请中心(ORA)。三、入侵检测网络入侵检测系统(networkintrusiondetectionsystem,NIDS)是用于检测任何损害或企图损害系统保密性、完整性和入侵,特别是用于检测黑客通过网络进行的入侵行为的管理软件。网络入侵检测系统的运行方式有两种:一种是在目标主机上运行以监测其本身的通信信息;另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如路由器。网络入侵检测系统可以分为基于网络数据包分析和基于主机检测两种方式。四、漏洞扫描:探查网络薄弱环节安全扫描是采用模拟攻击的形式对可能存在的已知安全漏洞进行逐项检查,扫描目标可以是工作站、服务器、交换机和数据库应用等。通过扫描,可以为系统管理员提供周密、可靠的安全性分析报告,从而提高网络安全的整体水平。在网络安全体系的建设中,安全扫描工具花费低、效果好、见效快、安装运行简单。五、网络病毒的防治防范病毒是实现网络安全非常重要的一项工作,采用反病毒技术可以有效防范病毒。反病毒技术包括预防、检测和攻杀三项功能,一般防毒软件均采用此技术。通常,将网络防毒软件划分为客户端防毒、服务器端防毒、群件防毒和互联网防毒四大类。六、电子支付安全协议电子支付安全协议是电子支付顺畅进行的基础。电子商务中常用的安全协议有SSL安全协议、SET安全协议与3D安全协议。(一)SSL安全协议SSL安全协议是由网景公司设计开发的,又叫安全套接层协议,主要目的是提供互联网上的安全通信服务,提高应用程序之间的数据安全系数。该协议对所有基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性以及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。SSL安全协议也是国际上最早应用于电子商务的一种网络安全协议。SSL安全协议主要提供三方面的服务:(1)认证用户和服务器,使它确信数据会被发送到正确的客户机和服务器上。(2)加密数据以隐藏被传送的数据。(3)维护数据的完整性,确保数据在传输过程中不被改变。由于SSL适合各类主流浏览器以及Web服务器,因此只要安装一个数字证书就可以使用SSL。SSL的缺陷是,只能保证传输过程的安全,无法知道在传输过程中是否被窃听,黑客可以以此破译SSL的加密数据,破坏和盗窃Web信息。(二)SET安全协议为了克服SSL安全协议的缺点,威士国际组织和万事达卡国际组织两大信用卡组织联合开发了SET(secureelectronictransaction,电子商务交易)安全协议。这是一个为了在互联网上进行在线交易而设立的开放的电子支付系统规范。SET安全协议在保留对客户信用卡认证的前提下,又增加了对商户身份的认证,这对于需要在线支付的交易来讲至关重要。在用户身份认证方面,SET安全协议引入了证书(certificate)和认证中心(CA)机制。SET安全协议运行的目标主要有以下五个:(1)保证信息在互联网上安全传输,防止数据被黑客或内部人员窃取。(2)保证电子商务参与者信息的相互隔离。消费者的资料加密或打包后通过商户到达银行,但是商户不能看到消费者的账户和密码信息。(3)解决多方认证问题,不仅要认证消费者的信用卡,而且要认证在线商户的信誉程度,还要在消费者、在线商户与银行间进行认证。(4)保证了网上交易的实时性,使所有支付过程都是在线的。(5)效仿EDI贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。SET协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。其重点是如何确保商户和消费者的身份、行为的认证和不可抵赖性(non-repudiation),其理论基础是著名的非否认协议,采用的核心技术包括X.509电子证书标准与数字签名、报文摘要、数字信封、双重签名等。(三)3D

安全协议自1996年4月SET安全协议1.0版面市以来,获得了业界的支持,但是由于其结构过于复杂,安全门槛设置太高,处理速度慢,客户端安装、使用和维护都不方便,而且系统整体费用较高,因此2002年威士国际组织在电子商务领域引入了3D安全协议(3-domainsecureprotocol)进行支付认证,以保证网上支付的安全。自2003年4月起,威士国际组织在全球范围内采用了新的网上银行交易安全规范,并要求该组织的各发卡行和收单行支持该规范。3D安全协议的目标是给发卡行提供一个持卡人身份许可的环节,减少使用威士卡进行欺诈的可能性,使所有参与者从中受益,从而提升交易的