《電子支付與網(wǎng)絡(luò)銀行（第四版）》第七章電子支付系統(tǒng)的安全策略

第七章電子支付系統(tǒng)的安全策略第一節(jié)信息安全概述一、信息安全與金融信息安全一般認(rèn)為,信息安全至少應(yīng)具有以下特征:(1)保密性。(2)完整性。(3)可用性。(4)可控性。(5)信息行為的不可否認(rèn)性。安全性問(wèn)題可以分成兩類,即客戶/服務(wù)器安全以及交易安全。金融信息安全指金融信息的保密性、完整性、可用性、可控性以及金融行為的不可否認(rèn)性。目前金融信息安全的主要威脅有:(1)人為失誤。(2)欺詐行為。(3)內(nèi)部人員破壞行為。(4)物理資源服務(wù)喪失。(5)黑客攻擊。(6)商業(yè)信息泄密。(7)病毒(惡意程序)侵襲。(8)程序系統(tǒng)自身的缺陷。二、信息安全的內(nèi)涵信息安全的完整內(nèi)涵包括以下幾個(gè)方面:1.物理安全(physicalsecurity)2.電磁安全(electromagneticsecurity)3.網(wǎng)絡(luò)安全(networksecurity)4.數(shù)據(jù)安全(datasecurity)5.系統(tǒng)安全(systemsecurity)6.操作安全(operationsecurity)7.人員安全(personnelsecurity)三、信息系統(tǒng)安全等級(jí)我國(guó)于1999年9月13日發(fā)布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859—1999),該標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)。(1)第一級(jí):用戶自主保護(hù)級(jí)。(2)第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)。(3)第三級(jí):安全標(biāo)記保護(hù)級(jí)。(4)第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)。(5)第五級(jí):訪問(wèn)驗(yàn)證保護(hù)級(jí)。

第二節(jié)用信息安全工程理論規(guī)范信息安全建設(shè)一、信息安全風(fēng)險(xiǎn)分析與評(píng)估風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù),也是信息安全工程學(xué)的重要組成部分。1.目標(biāo)和原則風(fēng)險(xiǎn)分析的目標(biāo)是:了解網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)和管理水平,以及可能存在的安全隱患;了解網(wǎng)絡(luò)所提供的服務(wù)和可能存在的安全問(wèn)題;了解各應(yīng)用系統(tǒng)與網(wǎng)絡(luò)層的接口及其相應(yīng)的安全問(wèn)題;對(duì)網(wǎng)絡(luò)攻擊和電子欺騙進(jìn)行檢測(cè)、模擬和預(yù)防;分析信息網(wǎng)絡(luò)系統(tǒng)對(duì)網(wǎng)絡(luò)的安全需求,找出目前的安全策略和實(shí)際需求的差距,為保護(hù)信息網(wǎng)絡(luò)系統(tǒng)的安全提供科學(xué)依據(jù)。2.對(duì)象和范圍具體來(lái)講,風(fēng)險(xiǎn)分析的內(nèi)容范圍有:(1)網(wǎng)絡(luò)基本情況分析。(2)信息系統(tǒng)基本安全狀況調(diào)查。(3)信息系統(tǒng)安全組織、政策情況分析。(4)網(wǎng)絡(luò)安全技術(shù)措施使用情況分析。(5)防火墻布控及外聯(lián)業(yè)務(wù)安全狀況分析。(6)動(dòng)態(tài)安全管理狀況分析。(7)鏈路、數(shù)據(jù)及應(yīng)用加密情況分析。(8)網(wǎng)絡(luò)系統(tǒng)訪問(wèn)控制狀況分析。(9)白盒測(cè)試。

3.方法與手段風(fēng)險(xiǎn)分析可以使用以下方式實(shí)現(xiàn):問(wèn)卷調(diào)查、訪談、文檔審查、黑盒測(cè)試、操作系統(tǒng)的漏洞檢查和分析、網(wǎng)絡(luò)服務(wù)的安全漏洞和隱患的檢查和分析、抗攻擊測(cè)試、綜合審計(jì)報(bào)告等。風(fēng)險(xiǎn)分析的過(guò)程可以分為以下四步:(1)確定要保護(hù)的資產(chǎn)及價(jià)值。(2)分析信息資產(chǎn)之間的相互依賴性。(3)確定存在的風(fēng)險(xiǎn)和威脅。(4)分析可能的入侵者。4.結(jié)果與結(jié)論根據(jù)相關(guān)的評(píng)估標(biāo)準(zhǔn)來(lái)確定安全級(jí)別(如A級(jí)、B級(jí)或C級(jí)。二、安全策略安全策略是為發(fā)布、管理和保護(hù)敏感的信息資源而制定的一組法律、法規(guī)和措施的總和,

1.制定安全策略的原則安全策略在制定時(shí)必須兼顧它的可理解性、技術(shù)上的可實(shí)現(xiàn)性、組織上的可執(zhí)行性。企業(yè)級(jí)安全策略可以從三個(gè)層面來(lái)考慮開發(fā)和制定:(1)抽象安全策略。(2)全局自動(dòng)安全策略。(3)局部執(zhí)行策略。2.安全策略的內(nèi)容(1)保護(hù)的內(nèi)容和目標(biāo)。

(2)實(shí)施保護(hù)的方法。(3)明確的責(zé)任。(4)事故的處理方案。安全策略具有較強(qiáng)的生命周期性。因此,要注意定期根據(jù)相關(guān)因素的變化對(duì)安全策略進(jìn)行修改,保證安全策略的可用性。三、需求分析1.需求分析的原則(1)遵照法律。(2)依據(jù)標(biāo)準(zhǔn)。(3)分層分析。(4)結(jié)合實(shí)際。

2.需求分析的內(nèi)容(1)管理層。(2)物理層。

(3)系統(tǒng)層。(4)網(wǎng)絡(luò)層。(5)應(yīng)用層。安全需求分析是一個(gè)不斷發(fā)展的過(guò)程,不存在一個(gè)一成不變的分析結(jié)果。3.網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)原則(1)木桶原則。對(duì)信息均衡、全面地進(jìn)行保護(hù)。(2)整體性原則。進(jìn)行安全防護(hù)、監(jiān)測(cè)和應(yīng)急恢復(fù)。(3)實(shí)用性原則。不影響系統(tǒng)的正常運(yùn)行和合法用戶的操作。(4)等級(jí)性原則。區(qū)分安全層次和安全級(jí)別。(5)動(dòng)態(tài)化原則。安全需要不斷更新。(6)設(shè)計(jì)為本原則。安全設(shè)計(jì)與網(wǎng)絡(luò)設(shè)計(jì)同步進(jìn)行。第三節(jié)信息安全技術(shù)一、加密技術(shù)加密技術(shù)是一種主動(dòng)的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無(wú)意義的密文,阻止非法用戶獲取和理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。加密包括兩個(gè)元素:算法和密鑰。目前最典型的兩種加密技術(shù)是對(duì)稱加密(私有密鑰加密)和非對(duì)稱加密(公開密鑰加密)。對(duì)稱加密以DES算法為典型代表,非對(duì)稱加密通常以RSA算法為代表。(一)對(duì)稱加密技術(shù)對(duì)稱加密技術(shù)也稱私人密鑰加密(secretkeyencryption),是指發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰進(jìn)行加密和解密運(yùn)算。對(duì)稱加密算法的優(yōu)點(diǎn)在于加密速度快,適用于大量數(shù)據(jù)的加密處理;缺點(diǎn)是難以在兩個(gè)通信方之間安全地交換密鑰,在電子商務(wù)交易過(guò)程中存在以下幾個(gè)問(wèn)題:(1)要求提供一條安全的渠道使通信雙方在首次通信時(shí)協(xié)商一個(gè)共同的密鑰。直接的面對(duì)面協(xié)商可能是不現(xiàn)實(shí)而且難以實(shí)施的,所以雙方可能需要借助郵件和電話等其他相對(duì)不夠安全的手段來(lái)進(jìn)行協(xié)商。(2)密鑰的數(shù)目難以管理。因?yàn)槊恳粋€(gè)合作者都需要使用不同的密鑰,所以很難適應(yīng)開放社會(huì)中大量的信息交流。(3)對(duì)稱加密算法一般不能提供信息完整性的鑒別。它無(wú)法驗(yàn)證發(fā)送者和接受者的身份。(4)對(duì)稱密鑰的管理和分發(fā)工作是一個(gè)具有潛在危險(xiǎn)且煩瑣的過(guò)程。對(duì)稱加密是基于共同保守秘密來(lái)實(shí)現(xiàn)的,采用對(duì)稱加密技術(shù)的貿(mào)易雙方必須保證采用的是相同的密鑰,保證彼此密鑰的交換是安全可靠的,同時(shí)還要設(shè)定防止密鑰泄漏和更改密鑰的程序。(二)非對(duì)稱加密技術(shù)非對(duì)稱加密技術(shù)也稱作公開密鑰加密(publickeyencryption)。1976年,美國(guó)學(xué)者迪梅(Dime)和享曼(Henman)為解決信息公開傳送和密鑰管理問(wèn)題,提出了一種新的密鑰交換協(xié)議,這就是公開密鑰系統(tǒng)。相對(duì)于對(duì)稱加密算法,該方法被叫作非對(duì)稱加密算法。與對(duì)稱加密算法不同,非對(duì)稱加密算法需要兩個(gè)密鑰:公開密鑰(publickey)和私有密鑰(privatekey)。公開密鑰與私有密鑰是一對(duì):如果用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密,那么只有用對(duì)應(yīng)的私有密鑰才能解密;如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密,那么只有用對(duì)應(yīng)的公開密鑰才能解密。因?yàn)榧用芎徒饷苁褂玫氖莾蓚€(gè)不同的密鑰,所以這種算法叫作非對(duì)稱加密算法。非對(duì)稱加密解決了對(duì)稱加密中的基本問(wèn)題,即密鑰的安全交換問(wèn)題。這種加密技術(shù)的加密速度較慢,只用于對(duì)少量數(shù)據(jù)進(jìn)行加密。采用這種加密技術(shù)的主要是RSA算法。

非對(duì)稱加密算法的保密性比較好,它消除了最終用戶交換密鑰的需要,但加密和解密花費(fèi)時(shí)間長(zhǎng)、速度慢,不適用于對(duì)文件加密,只適用于對(duì)少量數(shù)據(jù)進(jìn)行加密。為保證數(shù)據(jù)的可靠傳輸,目前業(yè)界普遍采用將兩種加密方法結(jié)合的方式來(lái)滿足網(wǎng)絡(luò)傳輸過(guò)程中的保密性需求。二、訪問(wèn)控制機(jī)制與安全認(rèn)證技術(shù)訪問(wèn)控制機(jī)制一般包括物理訪問(wèn)控制和數(shù)據(jù)網(wǎng)絡(luò)層的訪問(wèn)控制。幾種常用的訪問(wèn)控制與安全認(rèn)證技術(shù)。(一)防火墻防火墻是目前應(yīng)用最廣泛的網(wǎng)絡(luò)安全產(chǎn)品,作為第一道安全防線,防火墻主要用來(lái)執(zhí)行兩個(gè)網(wǎng)絡(luò)之間的訪問(wèn)控制策略,保護(hù)用戶網(wǎng)絡(luò)的安全。(二)數(shù)字簽名和報(bào)文摘要技術(shù)為保證數(shù)據(jù)的完整性,完成對(duì)數(shù)據(jù)原發(fā)者的身份鑒別,需要對(duì)數(shù)據(jù)(亦稱報(bào)文)進(jìn)行驗(yàn)證。目前所采用的技術(shù)主要是數(shù)字簽名(digitalsignature)和報(bào)文摘要(messagedigest)技術(shù)。(三)認(rèn)證中心在加密和數(shù)字簽名技術(shù)中,密鑰在雙方信息的傳遞中扮演著重要的角色,

然而,交易各方在使用公開密鑰時(shí),對(duì)其身份的正確性都存有疑慮,因此,使用前必須對(duì)它進(jìn)行驗(yàn)證,

因此,設(shè)立一個(gè)可靠的第三方機(jī)構(gòu),進(jìn)行有效、快速、規(guī)范化的管理就顯得尤為必要,安全認(rèn)證體系就是解決這一問(wèn)題的現(xiàn)實(shí)途徑,這種可信的第三方稱為“認(rèn)證中心”(CA)。認(rèn)證中心是負(fù)責(zé)發(fā)放和管理數(shù)字證書的一個(gè)權(quán)威機(jī)構(gòu)。

(四)公開密鑰基礎(chǔ)設(shè)施公開密鑰基礎(chǔ)設(shè)施(publickeyinfrastructure,PKI)是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),它為各種網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理,從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴的目的。包含以下機(jī)制：(1)政策批準(zhǔn)中心(PAA)。(2)政策認(rèn)證中心(PCA)。(3)認(rèn)證中心(CA)。(4)在線證書申請(qǐng)中心(ORA)。三、入侵檢測(cè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(networkintrusiondetectionsystem,NIDS)是用于檢測(cè)任何損害或企圖損害系統(tǒng)保密性、完整性和入侵,特別是用于檢測(cè)黑客通過(guò)網(wǎng)絡(luò)進(jìn)行的入侵行為的管理軟件。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的運(yùn)行方式有兩種:一種是在目標(biāo)主機(jī)上運(yùn)行以監(jiān)測(cè)其本身的通信信息;另一種是在一臺(tái)單獨(dú)的機(jī)器上運(yùn)行以監(jiān)測(cè)所有網(wǎng)絡(luò)設(shè)備的通信信息,比如路由器。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以分為基于網(wǎng)絡(luò)數(shù)據(jù)包分析和基于主機(jī)檢測(cè)兩種方式。四、漏洞掃描:探查網(wǎng)絡(luò)薄弱環(huán)節(jié)安全掃描是采用模擬攻擊的形式對(duì)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查,掃描目標(biāo)可以是工作站、服務(wù)器、交換機(jī)和數(shù)據(jù)庫(kù)應(yīng)用等。通過(guò)掃描,可以為系統(tǒng)管理員提供周密、可靠的安全性分析報(bào)告,從而提高網(wǎng)絡(luò)安全的整體水平。在網(wǎng)絡(luò)安全體系的建設(shè)中,安全掃描工具花費(fèi)低、效果好、見效快、安裝運(yùn)行簡(jiǎn)單。五、網(wǎng)絡(luò)病毒的防治防范病毒是實(shí)現(xiàn)網(wǎng)絡(luò)安全非常重要的一項(xiàng)工作,采用反病毒技術(shù)可以有效防范病毒。反病毒技術(shù)包括預(yù)防、檢測(cè)和攻殺三項(xiàng)功能,一般防毒軟件均采用此技術(shù)。通常,將網(wǎng)絡(luò)防毒軟件劃分為客戶端防毒、服務(wù)器端防毒、群件防毒和互聯(lián)網(wǎng)防毒四大類。六、電子支付安全協(xié)議電子支付安全協(xié)議是電子支付順暢進(jìn)行的基礎(chǔ)。電子商務(wù)中常用的安全協(xié)議有SSL安全協(xié)議、SET安全協(xié)議與3D安全協(xié)議。(一)SSL安全協(xié)議SSL安全協(xié)議是由網(wǎng)景公司設(shè)計(jì)開發(fā)的,又叫安全套接層協(xié)議,主要目的是提供互聯(lián)網(wǎng)上的安全通信服務(wù),提高應(yīng)用程序之間的數(shù)據(jù)安全系數(shù)。該協(xié)議對(duì)所有基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性以及信息機(jī)密性等安全措施。該協(xié)議通過(guò)在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來(lái)實(shí)現(xiàn)有關(guān)安全特性的審查。SSL安全協(xié)議也是國(guó)際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議。SSL安全協(xié)議主要提供三方面的服務(wù):(1)認(rèn)證用戶和服務(wù)器,使它確信數(shù)據(jù)會(huì)被發(fā)送到正確的客戶機(jī)和服務(wù)器上。(2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。(3)維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過(guò)程中不被改變。由于SSL適合各類主流瀏覽器以及Web服務(wù)器,因此只要安裝一個(gè)數(shù)字證書就可以使用SSL。SSL的缺陷是,只能保證傳輸過(guò)程的安全,無(wú)法知道在傳輸過(guò)程中是否被竊聽,黑客可以以此破譯SSL的加密數(shù)據(jù),破壞和盜竊Web信息。(二)SET安全協(xié)議為了克服SSL安全協(xié)議的缺點(diǎn),威士國(guó)際組織和萬(wàn)事達(dá)卡國(guó)際組織兩大信用卡組織聯(lián)合開發(fā)了SET(secureelectronictransaction,電子商務(wù)交易)安全協(xié)議。這是一個(gè)為了在互聯(lián)網(wǎng)上進(jìn)行在線交易而設(shè)立的開放的電子支付系統(tǒng)規(guī)范。SET安全協(xié)議在保留對(duì)客戶信用卡認(rèn)證的前提下,又增加了對(duì)商戶身份的認(rèn)證,這對(duì)于需要在線支付的交易來(lái)講至關(guān)重要。在用戶身份認(rèn)證方面,SET安全協(xié)議引入了證書(certificate)和認(rèn)證中心(CA)機(jī)制。SET安全協(xié)議運(yùn)行的目標(biāo)主要有以下五個(gè):(1)保證信息在互聯(lián)網(wǎng)上安全傳輸,防止數(shù)據(jù)被黑客或內(nèi)部人員竊取。(2)保證電子商務(wù)參與者信息的相互隔離。消費(fèi)者的資料加密或打包后通過(guò)商戶到達(dá)銀行,但是商戶不能看到消費(fèi)者的賬戶和密碼信息。(3)解決多方認(rèn)證問(wèn)題,不僅要認(rèn)證消費(fèi)者的信用卡,而且要認(rèn)證在線商戶的信譽(yù)程度,還要在消費(fèi)者、在線商戶與銀行間進(jìn)行認(rèn)證。(4)保證了網(wǎng)上交易的實(shí)時(shí)性,使所有支付過(guò)程都是在線的。(5)效仿EDI貿(mào)易的形式,規(guī)范協(xié)議和消息格式,促使不同廠家開發(fā)的軟件具有兼容性和互操作功能,并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。SET協(xié)議采用了對(duì)稱密鑰和非對(duì)稱密鑰體制,把對(duì)稱密鑰的快速、低成本和非對(duì)稱密鑰的有效性結(jié)合在一起,以保護(hù)在開放網(wǎng)絡(luò)上傳輸?shù)膫€(gè)人信息,保證交易信息的隱蔽性。其重點(diǎn)是如何確保商戶和消費(fèi)者的身份、行為的認(rèn)證和不可抵賴性(non-repudiation),其理論基礎(chǔ)是著名的非否認(rèn)協(xié)議,采用的核心技術(shù)包括X.509電子證書標(biāo)準(zhǔn)與數(shù)字簽名、報(bào)文摘要、數(shù)字信封、雙重簽名等。(三)3D

安全協(xié)議自1996年4月SET安全協(xié)議1.0版面市以來(lái),獲得了業(yè)界的支持,但是由于其結(jié)構(gòu)過(guò)于復(fù)雜,安全門檻設(shè)置太高,處理速度慢,客戶端安裝、使用和維護(hù)都不方便,而且系統(tǒng)整體費(fèi)用較高,因此2002年威士國(guó)際組織在電子商務(wù)領(lǐng)域引入了3D安全協(xié)議(3-domainsecureprotocol)進(jìn)行支付認(rèn)證,以保證網(wǎng)上支付的安全。自2003年4月起,威士國(guó)際組織在全球范圍內(nèi)采用了新的網(wǎng)上銀行交易安全規(guī)范,并要求該組織的各發(fā)卡行和收單行支持該規(guī)范。3D安全協(xié)議的目標(biāo)是給發(fā)卡行提供一個(gè)持卡人身份許可的環(huán)節(jié),減少使用威士卡進(jìn)行欺詐的可能性,使所有參與者從中受益,從而提升交易的