電子支付與網(wǎng)絡(luò)銀行第六章_第1頁(yè)
電子支付與網(wǎng)絡(luò)銀行第六章_第2頁(yè)
電子支付與網(wǎng)絡(luò)銀行第六章_第3頁(yè)
電子支付與網(wǎng)絡(luò)銀行第六章_第4頁(yè)
電子支付與網(wǎng)絡(luò)銀行第六章_第5頁(yè)
已閱讀5頁(yè),還剩83頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

電子支付與網(wǎng)絡(luò)銀行中國(guó)人民大學(xué)財(cái)政金融學(xué)院周虹第六章

電子支付體系安全策略第一節(jié)信息安全概述一、信息安全含義保密性完整性可用性可控性不可否認(rèn)性二、金融信息安全現(xiàn)狀及發(fā)展趨勢(shì)隨著國(guó)際互聯(lián)網(wǎng)絡(luò)的迅速發(fā)展和信息網(wǎng)絡(luò)技術(shù)應(yīng)用層次的不斷深入,應(yīng)用領(lǐng)域開(kāi)始從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型的、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。與此同時(shí),計(jì)算機(jī)犯罪數(shù)量呈現(xiàn)持續(xù)上升的趨勢(shì),信息網(wǎng)絡(luò)的安全問(wèn)題已成為信息社會(huì)的嚴(yán)重問(wèn)題。網(wǎng)絡(luò)犯罪不僅數(shù)量急劇增多,而且日趨復(fù)雜。其主要形式有:通過(guò)互聯(lián)網(wǎng)絡(luò)未經(jīng)許可地進(jìn)入他人的計(jì)算機(jī)設(shè)施,破解他人的密碼,使用他人的計(jì)算機(jī)資源;通過(guò)網(wǎng)絡(luò)向他人計(jì)算機(jī)系統(tǒng)散布計(jì)算機(jī)病毒;進(jìn)行間諜活動(dòng),竊取、篡改或者刪除國(guó)家機(jī)密信息;進(jìn)行商業(yè)間諜活動(dòng),竊取、篡改或者刪除企事業(yè)單位存儲(chǔ)的商業(yè)秘密和計(jì)算機(jī)程序;非法轉(zhuǎn)移資金;盜竊銀行中他人存款,進(jìn)行各種金融犯罪等。(一)國(guó)外金融業(yè)信息安全現(xiàn)狀1.美國(guó)1998年5月,美國(guó)政府頒發(fā)了《保護(hù)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令,同時(shí)圍繞信息保障成立了多個(gè)組織,其中包括全國(guó)信息保障委員會(huì)、全國(guó)信息保障同盟、關(guān)鍵基礎(chǔ)設(shè)施保障辦公室、首席信息官委員會(huì)、聯(lián)邦計(jì)算機(jī)事件響應(yīng)能動(dòng)組等10多個(gè)全國(guó)性機(jī)構(gòu)。同年,美國(guó)國(guó)家安全局(NSA)制定了《信息保障技術(shù)框架》,提出了“深度防御策略”,確定了包括網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御、區(qū)域邊界防御、計(jì)算環(huán)境防御和支撐性基礎(chǔ)設(shè)施的深度防御目標(biāo)。針對(duì)未來(lái)的信息安全問(wèn)題,美國(guó)于2002年9月18日和20日先后發(fā)布了《保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略》(草案)和《美國(guó)國(guó)家安全戰(zhàn)略》。在新的國(guó)家安全戰(zhàn)略中,明確將信息安全與國(guó)土安全作為國(guó)家安全有機(jī)結(jié)合的組成部分,明確把銀行與金融部門列為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施組成部分,并制定了一整套安全措施,強(qiáng)調(diào)各部門合作、產(chǎn)品認(rèn)證、成立金融信息共享與分析中心,形成了“準(zhǔn)備與防范”、“檢測(cè)與響應(yīng)”、“重建與恢復(fù)”的安全保護(hù)戰(zhàn)略框架。2.俄羅斯俄羅斯于1995年頒布了《聯(lián)邦信息、信息化和信息保護(hù)法》,為提供高效益、高質(zhì)量的信息保障創(chuàng)造了條件,明確界定了信息資源開(kāi)放和保密的范疇,提出了保護(hù)信息的法律責(zé)任。2000年9月發(fā)布了《俄羅斯聯(lián)邦信息安全學(xué)說(shuō)》,明確了聯(lián)邦信息安全建設(shè)的目的、任務(wù)、原則和主要內(nèi)容,第一次明確指出了俄羅斯在信息領(lǐng)域的利益是什么、受到的威脅是什么以及為確保信息安全首先要采取的措施等。它指出國(guó)家安全依賴于信息安全的保障,保障信息安全必須從法律、技術(shù)組織及經(jīng)濟(jì)等方面采取措施。3.歐共體歐共體委員會(huì)2001年提交了《網(wǎng)絡(luò)與信息安全——?dú)W洲政策措施建議》,指出網(wǎng)絡(luò)與信息安全應(yīng)該保障所提供服務(wù)的可用性、真實(shí)性、完整性、不可否認(rèn)性和保密性,必須抵御外來(lái)事件和惡意破壞。4.亞太地區(qū)日本已經(jīng)制定了國(guó)家信息通信技術(shù)發(fā)展戰(zhàn)略,強(qiáng)調(diào)“信息安全保障是日本綜合安全保障體系的核心”,并出臺(tái)了《21世紀(jì)信息通信構(gòu)想》和《信息通信產(chǎn)業(yè)技術(shù)戰(zhàn)略》。除了《電訊事業(yè)法》、《規(guī)范互聯(lián)網(wǎng)服務(wù)商責(zé)任法》、《規(guī)范電子郵件法》等專項(xiàng)互聯(lián)網(wǎng)管理法令,具體界定相關(guān)違法行為、網(wǎng)站的責(zé)任和義務(wù)外,日本還通過(guò)《刑法》、《著作權(quán)法》、《打擊毒品犯罪法》等,明確規(guī)定“違法信息”包括侵權(quán)誹謗、毒品交易、詐騙、色情淫穢等。1995年韓國(guó)頒布《電信事業(yè)法》,提出對(duì)“危險(xiǎn)通信信息”進(jìn)行監(jiān)管。2001年,再次頒布《互聯(lián)網(wǎng)內(nèi)容過(guò)濾法令》,確立信息過(guò)濾的合法性。近年來(lái)又陸續(xù)制定了《促進(jìn)信息化基本法》、《信息通信基本保護(hù)法》、《促進(jìn)信息通信網(wǎng)絡(luò)使用及保護(hù)信息法》等法律,管理互聯(lián)網(wǎng)信息。新西蘭2003年通過(guò)了《電訊(截收)法》,規(guī)定警察為開(kāi)展調(diào)查可以通過(guò)技術(shù)手段進(jìn)入個(gè)人電腦,可對(duì)電子郵件進(jìn)行過(guò)濾審查。警方根據(jù)案件調(diào)查需要,可以對(duì)單位或個(gè)人計(jì)算機(jī)信息進(jìn)行調(diào)查。根據(jù)情報(bào)部門或警方要求,電信公司、網(wǎng)絡(luò)服務(wù)商應(yīng)向其提供相關(guān)用戶的網(wǎng)絡(luò)地址、登錄名及密碼、個(gè)人身份等信息。如拒絕提供,將被追究刑事責(zé)任。(二)我國(guó)金融業(yè)信息安全現(xiàn)狀信息安全是信息化建設(shè)成敗的關(guān)鍵,我國(guó)金融業(yè)對(duì)信息安全工作給予高度的重視,多年來(lái),伴隨著我國(guó)銀行信息化建設(shè),做了大量細(xì)致的、卓有成效的工作,一直貫徹從組織體系、制度體系和技術(shù)體系三個(gè)方面入手,逐步建立金融信息安全保障體系的方針。從總體、宏觀的角度看,我國(guó)銀行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)基本上是安全的,在現(xiàn)有條件下基本能夠滿足支撐銀行業(yè)務(wù)職能、保持平穩(wěn)運(yùn)行的要求。(三)金融信息安全發(fā)展趨勢(shì)目前金融信息安全的主要威脅有:(1)人為失誤。(2)欺詐行為。(3)內(nèi)部人員破壞行為。(4)物理資源服務(wù)喪失。(5)黑客攻擊。(6)商業(yè)信息泄密。(7)病毒(惡意程序)侵襲。(8)程序系統(tǒng)自身的缺陷。三、信息安全評(píng)估標(biāo)準(zhǔn)1.可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)(TrustedComputerSystemEvaluationCriteria,TCSEC)是美國(guó)國(guó)防部1985年公布的,目的是為安全產(chǎn)品的測(cè)評(píng)提供準(zhǔn)則和方法,指導(dǎo)信息安全產(chǎn)品的制造和應(yīng)用。其評(píng)估標(biāo)準(zhǔn)主要是基于系統(tǒng)安全策略(policy)的制定、系統(tǒng)使用狀態(tài)的可審計(jì)性(accountability)以及對(duì)安全策略的準(zhǔn)確解釋和實(shí)施的可靠性(assurance)等方面的要求。但其僅適用于單機(jī)系統(tǒng),而完全忽略了計(jì)算機(jī)聯(lián)網(wǎng)工作時(shí)會(huì)發(fā)生的情況。2.ISO/IEC15408評(píng)估標(biāo)準(zhǔn)隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,人們對(duì)信息安全概念的進(jìn)一步深化。為適應(yīng)信息安全的需要,美國(guó)、加拿大、歐洲等共同發(fā)起并公布了ISO/IEC15408標(biāo)準(zhǔn),即通用評(píng)估標(biāo)準(zhǔn)(commoncriteria,CC),它從評(píng)估目標(biāo)的實(shí)現(xiàn)過(guò)程角度描述了信息安全概念。CommonCriteriaProjectSponsoringOrganizations.CommonCriteriaforInformationSecurityEvaluation.Version2.1.ISO/IEC15408,Aug.1999.ISO/IEC15408評(píng)估標(biāo)準(zhǔn)將安全要求區(qū)分為功能要求和保證要求,所選用的安全功能對(duì)安全目標(biāo)實(shí)現(xiàn)的保證體現(xiàn)在實(shí)現(xiàn)的正確性和有效性兩方面。其中在安全功能的定義方面,該標(biāo)準(zhǔn)提供了從常用安全應(yīng)用領(lǐng)域中抽象出來(lái)的功能類,并對(duì)安全保證要求提供了分級(jí)化的評(píng)估等級(jí)標(biāo)準(zhǔn)。3.ISO/IEC17799評(píng)估標(biāo)準(zhǔn)ISO/IEC17799,即《信息安全管理操作規(guī)則》于2000年12月出版,作為通用的一個(gè)信息安全管理指南,其目的并不是告訴人們有關(guān)“怎么做”的細(xì)節(jié),它所闡述的主題是安全策略和優(yōu)秀的、具有普遍意義的安全操作。該標(biāo)準(zhǔn)特別聲明,它是“制定一個(gè)機(jī)構(gòu)自己的標(biāo)準(zhǔn)時(shí)的出發(fā)點(diǎn)”,并不是說(shuō)它所包含的所有方針和控制策略都是放之四海而皆準(zhǔn)的,也不是其他未列出的就不再要求。ISO/IEC17799不是一篇技術(shù)性的信息安全操作手冊(cè),它討論的主題很廣泛。但是,它對(duì)每一項(xiàng)內(nèi)容都沒(méi)有深入討論。所以,ISO/IEC17799沒(méi)有提供關(guān)于任何安全主題的確定或?qū)iT的材料。ISO/IEC17799也沒(méi)提供足夠的信息以幫助一個(gè)機(jī)構(gòu)進(jìn)行深入的信息安全檢查,它離認(rèn)證項(xiàng)目也很遠(yuǎn)。但是,作為對(duì)各類信息安全主題的高級(jí)別概述,ISO/IEC17799顯然是非常有用的,它有助于人們?cè)诟呒?jí)管理中理解每一類信息安全主題的基礎(chǔ)性問(wèn)題。要符合ISO/IEC17799或其他真正的安全標(biāo)準(zhǔn),都不是一件簡(jiǎn)單的事情。需要說(shuō)明,目前已經(jīng)有幾個(gè)國(guó)家指出,ISO/IEC17799的某些部分與其國(guó)家法律存在著沖突,尤其是在隱私領(lǐng)域。4.其他安全評(píng)估標(biāo)準(zhǔn)①ISO國(guó)際標(biāo)準(zhǔn)②美國(guó)標(biāo)準(zhǔn)局標(biāo)準(zhǔn)ANSI③美國(guó)政府標(biāo)準(zhǔn)FIPS④Internet標(biāo)準(zhǔn)和RFC⑤RSA公司標(biāo)準(zhǔn)PKCS上述的信息安全評(píng)估標(biāo)準(zhǔn)是從不同角度描述的。關(guān)于ISO/IEC17799與ISO/IEC15408的關(guān)系,可以簡(jiǎn)單地說(shuō)它們之間沒(méi)有任何緊密聯(lián)系,它們沒(méi)有相同或類似的主題。ISO/IEC15408旨在支持產(chǎn)品(最終是指已經(jīng)在系統(tǒng)中安裝了的產(chǎn)品,雖然目前指的是一般產(chǎn)品)中信息安全特征的技術(shù)性評(píng)估。ISO/IEC15408標(biāo)準(zhǔn)還有一個(gè)重要作用,即它可以用于描述用戶對(duì)安全性的技術(shù)需求。ISO/IEC17799則不同,它不是一篇技術(shù)標(biāo)準(zhǔn),而是管理標(biāo)準(zhǔn)。它處理的是對(duì)信息系統(tǒng)中非技術(shù)內(nèi)容的檢查,這些內(nèi)容與人員、流程、物理安全以及一般意義上的安全管理相關(guān)。一般說(shuō)來(lái),經(jīng)過(guò)ISO/IEC15408評(píng)估的信息安全產(chǎn)品有助于確保一個(gè)機(jī)構(gòu)安全項(xiàng)目的成功,這些安全產(chǎn)品的使用能夠極大地減少機(jī)構(gòu)所面臨的安全風(fēng)險(xiǎn)。四、信息安全的內(nèi)涵依據(jù)上面所闡述的信息安全評(píng)估標(biāo)準(zhǔn),信息安全的完整內(nèi)涵包括以下幾個(gè)方面:1.物理安全(physicalsecurity)2.電磁安全(electromagneticsecurity)3.網(wǎng)絡(luò)安全(networksecurity)4.數(shù)據(jù)安全(datasecurity)5.系統(tǒng)安全(systemsecurity)6.操作安全(operationsecurity)7.人員安全(personnelsecurity)由于信息技術(shù)安全是多樣化的,必須通過(guò)一定的安全職責(zé)分配將整體的安全防范任務(wù)逐級(jí)落實(shí)到每一個(gè)操作人員的每一個(gè)日常操作過(guò)程,通過(guò)管理手段強(qiáng)制其實(shí)施,并對(duì)各級(jí)人員針對(duì)其安全責(zé)任進(jìn)行相應(yīng)的安全教育和操作培訓(xùn)。五、信息系統(tǒng)安全等級(jí)1.TCSEC安全等級(jí)2.我國(guó)信息系統(tǒng)安全保護(hù)等級(jí)劃分標(biāo)準(zhǔn)我國(guó)于1999年9月13日發(fā)布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB178591999),該標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)。(1)第一級(jí):用戶自主保護(hù)級(jí)。(2)第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)。(3)第三級(jí):安全標(biāo)記保護(hù)級(jí)。(4)第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)。(5)第五級(jí):訪問(wèn)驗(yàn)證保護(hù)級(jí)。第二節(jié)用信息安全工程理論規(guī)范信息安全建設(shè)信息安全工程是采用工程的概念、原理、技術(shù)和方法,來(lái)研究、開(kāi)發(fā)、實(shí)施和維護(hù)企業(yè)級(jí)信息與網(wǎng)絡(luò)系統(tǒng)安全的過(guò)程。信息安全工程學(xué)具有五大特性,即安全性、過(guò)程性、動(dòng)態(tài)性、層次性和相對(duì)性。(1)全面性。(2)過(guò)程性或生命周期性。(3)動(dòng)態(tài)性。(4)層次性。(5)相對(duì)性。一、安全風(fēng)險(xiǎn)分析與評(píng)估電子支付信息安全具有系統(tǒng)性,動(dòng)態(tài)性、層次性和過(guò)程性。

1.目標(biāo)和原則風(fēng)險(xiǎn)分析的目標(biāo)是:了解網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)和管理水平,及可能存在的安全隱患;了解網(wǎng)絡(luò)所提供的服務(wù)及可能存在的安全問(wèn)題;了解各應(yīng)用系統(tǒng)與網(wǎng)絡(luò)層的接口及其相應(yīng)的安全問(wèn)題;網(wǎng)絡(luò)攻擊和電子欺騙的檢測(cè)、模擬及預(yù)防;分析信息網(wǎng)絡(luò)系統(tǒng)對(duì)網(wǎng)絡(luò)的安全需求,找出目前的安全策略和實(shí)際需求的差距,為保護(hù)信息網(wǎng)絡(luò)系統(tǒng)的安全提供科學(xué)依據(jù)。

多層面、多角度的原則2.對(duì)象和范圍1、系統(tǒng)基本情況分析2、系統(tǒng)基本安全狀況調(diào)查3、系統(tǒng)安全組織、策略分析4、相關(guān)安全技術(shù)和措施以及安全隱患分析5、系統(tǒng)訪問(wèn)控制和加密體系分析6、系統(tǒng)的抗攻擊能力與數(shù)據(jù)傳輸?shù)陌踩苑治觯?、動(dòng)態(tài)安全管理狀況分析8、災(zāi)難備份以及危機(jī)管理安排狀況分析風(fēng)險(xiǎn)分析的內(nèi)容范圍(1)網(wǎng)絡(luò)基本情況分析:(2)信息系統(tǒng)基本安全狀況調(diào)查(3)信息系統(tǒng)安全組織、政策情況分析(4)網(wǎng)絡(luò)安全技術(shù)措施使用情況分析(5)防火墻布控及外聯(lián)業(yè)務(wù)安全狀況分析(6)動(dòng)態(tài)安全管理狀況分析(7)鏈路、數(shù)據(jù)及應(yīng)用加密情況分析(8)網(wǎng)絡(luò)系統(tǒng)訪問(wèn)控制狀況分析(9)白盒測(cè)試3.方法與手段風(fēng)險(xiǎn)分析可以使用以下方式實(shí)現(xiàn):?jiǎn)柧碚{(diào)查、訪談、文檔審查、黑盒測(cè)試、操作系統(tǒng)的漏洞檢查和分析、網(wǎng)絡(luò)服務(wù)的安全漏洞和隱患的檢查和分析、抗攻擊測(cè)試、綜合審計(jì)報(bào)告等。風(fēng)險(xiǎn)分析的過(guò)程可以分為以下四步:

(1)確定要保護(hù)的資產(chǎn)及價(jià)值

(2)分析信息資產(chǎn)之間的相互依賴性

(3)確定存在的風(fēng)險(xiǎn)和威脅

(4)分析可能的入侵者4.結(jié)果與結(jié)論為了便于對(duì)風(fēng)險(xiǎn)分析的結(jié)果進(jìn)行評(píng)審,結(jié)果能夠量化的盡可能地量化,不能量化的作出形式化描述。如果某個(gè)設(shè)備的價(jià)格、存在的漏洞缺陷的數(shù)量等是可以量化的,就必須給出量化后的結(jié)果;而像某些系統(tǒng)應(yīng)用的安全級(jí)別就不好量化,就應(yīng)根據(jù)相關(guān)的評(píng)估標(biāo)準(zhǔn)來(lái)確定它的安全級(jí)別(如A級(jí)、B級(jí)或C級(jí)),這樣得出的分析結(jié)果就是大量的表格數(shù)據(jù),這些數(shù)據(jù)就是以后各項(xiàng)工作的依據(jù),應(yīng)妥善地保存。如何根據(jù)分析的數(shù)據(jù)結(jié)果得出最終的評(píng)估結(jié)論也是一項(xiàng)重要的工作,需要安全專家進(jìn)行總結(jié)。對(duì)結(jié)果進(jìn)行分析時(shí)一定要有所比較,將所得到的結(jié)果與以前的結(jié)果進(jìn)行比較,或是與其他信息系統(tǒng)的評(píng)估結(jié)果進(jìn)行比較,還要與有關(guān)的標(biāo)準(zhǔn)進(jìn)行比較。嚴(yán)格的比較有助于為信息系統(tǒng)的安全性定級(jí),因此,參照物的選擇很關(guān)鍵。在比較之后,通過(guò)總體的權(quán)衡,給出整個(gè)系統(tǒng)安全性的概述說(shuō)明,并將結(jié)論與測(cè)試結(jié)果上報(bào)主管部門或人員。

二、安全策略

1.安全策略的制定原則(1)抽象安全策略

(2)全局自動(dòng)安全策略

(3)局部執(zhí)行策略

2.安全策略包含的內(nèi)容

(1)保護(hù)的內(nèi)容和目標(biāo)(2)實(shí)施保護(hù)的方法

(3)明確的責(zé)任(4)事故的處理

三、需求分析1.需求分析的原則(1)遵照法律。(2)依據(jù)標(biāo)準(zhǔn)。(3)分層分析。(4)結(jié)合實(shí)際。2.需求分析的內(nèi)容(1)管理層(2)物理層(3)系統(tǒng)層(4)網(wǎng)絡(luò)層(5)應(yīng)用層3.網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)原則(1)木桶原則。對(duì)信息均衡、全面地進(jìn)行保護(hù)。(2)整體性原則。進(jìn)行安全防護(hù)、監(jiān)測(cè)和應(yīng)急恢復(fù)。(3)實(shí)用性原則。不影響系統(tǒng)的正常運(yùn)行和合法用戶的操作。(4)等級(jí)性原則。區(qū)分安全層次和安全級(jí)別。(5)動(dòng)態(tài)化原則。安全需要不斷更新。(6)設(shè)計(jì)為本原則。安全設(shè)計(jì)與網(wǎng)絡(luò)設(shè)計(jì)同步進(jìn)行。第三節(jié)信息安全技術(shù)基本原理電子支付的安全性要求主要包括以下四個(gè)方面:(1)數(shù)據(jù)的保密性。(2)數(shù)據(jù)的完整性。(3)交易者身份的確定性。(4)交易的不可否認(rèn)性。針對(duì)電子支付的各種不同的安全性要求,目前已開(kāi)發(fā)出了相應(yīng)的技術(shù)措施。較為成熟的有加密技術(shù)、訪問(wèn)控制與安全認(rèn)證技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)、漏洞掃描技術(shù)等。一、加密技術(shù)加密包括兩個(gè)元素:算法和密鑰。目前最典型的兩種加密技術(shù)是對(duì)稱加密(私人密鑰加密)和非對(duì)稱加密(公開(kāi)密鑰加密)。對(duì)稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn)(dataencryptionstandard,DES)算法為典型代表,非對(duì)稱加密通常以RSA(Rivest-Shamir-Adleman)算法為代表。(一)對(duì)稱加密技術(shù)對(duì)稱加密技術(shù)也稱私人密鑰加密(secretkeyencryption),是指發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰進(jìn)行加密和解密運(yùn)算。功能的要求也沒(méi)有那么高。PGP(prettygoodprivacy)系統(tǒng)使用的是IDEA加密標(biāo)準(zhǔn)。對(duì)稱加密算法的優(yōu)點(diǎn)在于加密速度快,適于大量數(shù)據(jù)的加密處理;缺點(diǎn)是如何在兩個(gè)通信方之間安全地交換密鑰,在電子商務(wù)交易過(guò)程中存在以下幾個(gè)問(wèn)題:(1)要求提供一條安全的渠道使通信雙方在首次通信時(shí)協(xié)商一個(gè)共同的密鑰(2)密鑰的數(shù)目難于管理。(3)對(duì)稱加密算法一般不能提供信息完整性的鑒別。(4)對(duì)稱密鑰的管理和分發(fā)工作是一件具有潛在危險(xiǎn)且煩瑣的過(guò)程。(二)非對(duì)稱加密技術(shù)非對(duì)稱加密技術(shù)也稱做公開(kāi)密鑰加密(publickeyencryption)。1976年,美國(guó)學(xué)者Dime和Henman為解決信息公開(kāi)傳送和密鑰管理問(wèn)題,提出了一種新的密鑰交換協(xié)議,這就是公開(kāi)密鑰系統(tǒng)。相對(duì)于對(duì)稱加密算法,該方法叫做非對(duì)稱加密算法。與對(duì)稱加密算法不同,非對(duì)稱加密算法需要兩個(gè)密鑰:公開(kāi)密鑰(publickey)和私有密鑰(privatekey)。公開(kāi)密鑰與私有密鑰是一對(duì),如果用公開(kāi)密鑰對(duì)數(shù)據(jù)進(jìn)行加密,只有用對(duì)應(yīng)的私有密鑰才能解密;如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密,那么只有用對(duì)應(yīng)的公開(kāi)密鑰才能解密。因?yàn)榧用芎徒饷苁褂玫氖莾蓚€(gè)不同的密鑰,所以這種算法叫做非對(duì)稱加密算法。非對(duì)稱加密解決了對(duì)稱加密中的基本問(wèn)題,即密鑰的安全交換問(wèn)題。這種加密技術(shù)的加密速度較慢,只運(yùn)用于對(duì)少量數(shù)據(jù)進(jìn)行加密。采用這種加密技術(shù)的主要是RSA。貿(mào)易方利用非對(duì)稱加密算法實(shí)現(xiàn)機(jī)密信息交換的基本過(guò)程(1)貿(mào)易方甲生成一對(duì)密鑰并將其中的一把作為公用密鑰向其他貿(mào)易方公開(kāi);(2)貿(mào)易方乙生成一個(gè)自己的私有密鑰并用貿(mào)易方甲的公開(kāi)密鑰對(duì)自己的私有密鑰進(jìn)行加密,然后通過(guò)網(wǎng)絡(luò)傳輸?shù)劫Q(mào)易方甲,接收方——貿(mào)易方甲用自己的公開(kāi)密鑰進(jìn)行解密后,就可以得到發(fā)送方的私有密鑰并妥善保存;(3)貿(mào)易方乙對(duì)需要傳輸?shù)奈募米约旱乃接忻荑€進(jìn)行加密,然后通過(guò)網(wǎng)絡(luò)把文件傳輸?shù)浇邮辗健Q(mào)易方甲;(4)貿(mào)易方甲接收到貿(mào)易方乙傳輸來(lái)的文件后,用發(fā)送方——貿(mào)易方乙的私有密鑰對(duì)文件進(jìn)行解密,得到文件的明文形式。二、訪問(wèn)控制與安全認(rèn)證技術(shù)訪問(wèn)控制機(jī)制是根據(jù)實(shí)體的身份及其相關(guān)信息來(lái)解決實(shí)體的訪問(wèn)權(quán)限的。訪問(wèn)控制機(jī)制的實(shí)現(xiàn)常基于以下某一或某幾個(gè)措施:訪問(wèn)控制信息庫(kù)、認(rèn)證信息、安全標(biāo)簽等。一般包括:物理訪問(wèn)控制、網(wǎng)絡(luò)訪問(wèn)控制和系統(tǒng)訪問(wèn)控制。物理訪問(wèn)控制包括對(duì)物理房屋的訪問(wèn)控制、公共網(wǎng)絡(luò)點(diǎn)與內(nèi)部網(wǎng)絡(luò)的隔離以及對(duì)工作站、服務(wù)器、存儲(chǔ)備份設(shè)備等的物理訪問(wèn)等。對(duì)數(shù)據(jù)網(wǎng)絡(luò)層次的訪問(wèn)控制可以通過(guò)防火墻的基于策略的配置或路由器的訪問(wèn)控制列表來(lái)實(shí)現(xiàn)。系統(tǒng)級(jí)的訪問(wèn)控制可以通過(guò)對(duì)系統(tǒng)賬號(hào)的控制和域間的信任關(guān)系來(lái)實(shí)現(xiàn)。有效的訪問(wèn)控制機(jī)制需要強(qiáng)認(rèn)證方案的支持。不同的認(rèn)證方案提供不同層次的安全性。一些著名的安全認(rèn)證機(jī)制如下:基于口令的認(rèn)證;單步/雙步令牌認(rèn)證;數(shù)字簽名;數(shù)字證書(shū);單注冊(cè);撥號(hào)PAP/CHAP遠(yuǎn)程訪問(wèn)認(rèn)證等。下面介紹幾種常用的訪問(wèn)控制與安全認(rèn)證技術(shù)。(一)防火墻防火墻=數(shù)據(jù)過(guò)濾器+系統(tǒng)定義的安全策略+網(wǎng)關(guān)防火墻主要用來(lái)隔離內(nèi)部網(wǎng)和外部網(wǎng),對(duì)內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)。防火墻技術(shù)一直在不斷發(fā)展,目前市場(chǎng)上約有上百種不同種類的防火墻。在網(wǎng)絡(luò)的不同層上有不同類型的防火墻,可以從不同角度保護(hù)內(nèi)部網(wǎng)。目前的防火墻有兩大類:一類是簡(jiǎn)單的包過(guò)濾技術(shù),即在網(wǎng)絡(luò)層中有選擇地讓數(shù)據(jù)包通過(guò)。也就是說(shuō),是依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過(guò)濾邏輯,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后,再根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP端口與TCP鏈路狀態(tài)等因素來(lái)確定是否允許數(shù)據(jù)包通過(guò)。另一類是應(yīng)用網(wǎng)關(guān)和代理服務(wù)器,其顯著的優(yōu)點(diǎn)是較容易提供細(xì)顆粒度的存取控制,其可針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過(guò)濾協(xié)議,并且能夠?qū)?shù)據(jù)包進(jìn)行分析并形成相關(guān)的報(bào)告。1.基于路由器的包過(guò)濾型防火墻2.應(yīng)用網(wǎng)關(guān)和代理服務(wù)器防火墻3.兩種防火墻的結(jié)合使用4.病毒防火墻5.支付網(wǎng)關(guān)(二)數(shù)字簽名和報(bào)文摘要技術(shù)實(shí)現(xiàn)方式一般采用公開(kāi)密鑰加密算法,實(shí)現(xiàn)原理如下:(1)發(fā)送方首先用哈希函數(shù)從原文得到數(shù)字簽名,然后采用公開(kāi)密鑰體系用發(fā)送方的私有密鑰對(duì)數(shù)字簽名進(jìn)行加密,并把加密后的數(shù)字簽名附加在要發(fā)送的原文后面。(2)發(fā)送一方選擇一個(gè)私人密鑰對(duì)文件進(jìn)行加密,并把加密后的文件通過(guò)網(wǎng)絡(luò)傳輸?shù)浇邮辗健#?)發(fā)送方用接收方的公開(kāi)密鑰對(duì)私人密鑰進(jìn)行加密,并通過(guò)網(wǎng)絡(luò)把加密后的私人密鑰傳輸?shù)浇邮辗?。?)接收方使用自己的私有密鑰對(duì)密鑰信息進(jìn)行解密,得到私人密鑰的明文。(5)接收方用私人密鑰對(duì)文件進(jìn)行解密,得到經(jīng)過(guò)加密的數(shù)字簽名。(6)接收方用發(fā)送方的公開(kāi)密鑰對(duì)數(shù)字簽名進(jìn)行解密,得到數(shù)字簽名的明文。(7)接收方用得到的明文和哈希函數(shù)重新計(jì)算數(shù)字簽名,并與解密后的數(shù)字簽名進(jìn)行對(duì)比。如果兩個(gè)數(shù)字簽名是相同的,說(shuō)明文件在傳輸過(guò)程中沒(méi)有被破壞,可確定發(fā)送方的身份是真實(shí)的。在書(shū)面文件上簽名是確認(rèn)文件的一種手段,其作用有兩點(diǎn):第一,因?yàn)樽约旱暮灻y以否認(rèn),從而確認(rèn)了文件已簽署這一事實(shí);第二,因?yàn)楹灻灰追旅?,從而確定了文件的真實(shí)性。數(shù)字簽名與書(shū)面文件簽名有相似之處。采用數(shù)字簽名,也能確認(rèn)以下兩點(diǎn):第一,信息是由簽名者發(fā)送的;第二,信息自簽發(fā)后到收到為止未曾做過(guò)任何修改。這樣數(shù)字簽名就可用來(lái)防止電子信息因易被修改而有人作偽,或冒用別人名義發(fā)送信息,或發(fā)出(收到)信件后又加以否認(rèn)等情況發(fā)生。應(yīng)用廣泛的數(shù)字簽名方法主要有三種,即RSA簽名、DSS簽名和哈希(Hash)簽名。這三種算法可單獨(dú)使用,也可綜合在一起使用。(三)安全認(rèn)證中心CA1.數(shù)字證書(shū)概述數(shù)字證書(shū),就是用電子手段來(lái)證實(shí)一個(gè)用戶的身份以及訪問(wèn)網(wǎng)絡(luò)資源的權(quán)限的數(shù)字文檔,其作用類似于現(xiàn)實(shí)生活中的身份證。它由權(quán)威機(jī)構(gòu)發(fā)行,用于鑒別對(duì)方的身份。一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書(shū)包含以下一些內(nèi)容:(1)證書(shū)的版本信息;(2)證書(shū)的序列號(hào),每個(gè)證書(shū)都有一個(gè)唯一的證書(shū)序列號(hào);(3)證書(shū)所使用的簽名算法;(4)證書(shū)的發(fā)行機(jī)構(gòu)名稱,命名規(guī)則一般采用X.500格式;(5)證書(shū)的有效期,現(xiàn)在通用的證書(shū)一般都采用UTC時(shí)間格式,它的計(jì)時(shí)范圍為1950—2049年;(6)證書(shū)所有人的名稱,命名規(guī)則一般采用X.500格式;(7)證書(shū)所有人的公開(kāi)密鑰;(8)證書(shū)發(fā)行者對(duì)證書(shū)的簽名。數(shù)字證書(shū)分為以下幾種類型:(1)客戶端證書(shū):該證書(shū)是對(duì)個(gè)人發(fā)布的,也稱為個(gè)人證書(shū)。(2)服務(wù)器證書(shū):該證書(shū)是對(duì)應(yīng)用服務(wù)器,如Web服務(wù)器發(fā)布的。它與服務(wù)器的域名相聯(lián)系,如果服務(wù)器域名有改變,就必須重新發(fā)布證書(shū)。(3)軟件發(fā)布者證書(shū):該證書(shū)用于認(rèn)證軟件代碼或從FTP服務(wù)器上下載的軟件。前兩類是常用的證書(shū),第三類用于較特殊的場(chǎng)合。2.認(rèn)證中心概述認(rèn)證中心主要有以下幾種功能:(1)數(shù)字證書(shū)的頒發(fā)。(2)證書(shū)的更新。(3)證書(shū)的查詢。(4)證書(shū)的作廢。(5)證書(shū)的歸檔。(四)公開(kāi)密鑰基礎(chǔ)設(shè)施1.PKI的基本組成(1)認(rèn)證機(jī)構(gòu)CA。(2)注冊(cè)機(jī)構(gòu)RA。(3)數(shù)字證書(shū)庫(kù)。(4)密鑰備份及恢復(fù)系統(tǒng)。(5)證書(shū)作廢處理系統(tǒng)(X.509Version3、CRLVersion2)。(6)PKI應(yīng)用接口系統(tǒng)。一個(gè)完整的PKI必須提供良好的應(yīng)用接口系統(tǒng),以便各種應(yīng)用都能夠以安全、一致、可信的方式與PKI交互,確保所建立的網(wǎng)絡(luò)環(huán)境的可信性,降低管理和維護(hù)的成本。2.PKI體系結(jié)構(gòu)及功能目前,在PKI體系基礎(chǔ)上建立起來(lái)的安全證書(shū)體系得到了從普通用戶、商家、銀行到政府各職能部門的普遍關(guān)注。美國(guó)、加拿大等政府機(jī)構(gòu)都提出了建立國(guó)家PKI體系的具體實(shí)施方案。PKI系統(tǒng)的建立應(yīng)該著眼于用戶使用證書(shū)及相關(guān)服務(wù)的便利性、用戶身份認(rèn)證的可靠性。具體職能包括:制定完整的證書(shū)管理政策、建立高可信度的CA中心、負(fù)責(zé)用戶屬性的管理、用戶身份隱私的保護(hù)和證書(shū)作廢列表的管理;CA中心為用戶提供證書(shū)及CRL有關(guān)服務(wù)的管理,建立安全和相應(yīng)的法規(guī),建立責(zé)任劃分并完善責(zé)任政策。一個(gè)典型的PKI體系結(jié)構(gòu)如下:(1)政策批準(zhǔn)機(jī)構(gòu)PAA。(2)政策PCA機(jī)構(gòu)。(3)認(rèn)證中心CA。(4)在線證書(shū)申請(qǐng)ORA。3.PKI的操作功能在實(shí)際運(yùn)行中,PKI的多種操作方式會(huì)影響其他功能的實(shí)現(xiàn)方式,不同實(shí)現(xiàn)方式的組合將形成不同的PKI全局操作思想。PKI具有十二種功能操作,涉及的成員機(jī)構(gòu)包括:PKI認(rèn)證機(jī)構(gòu)(P)、數(shù)據(jù)發(fā)布目錄(D)和用戶。(1)產(chǎn)生、驗(yàn)證和分發(fā)密鑰。用戶公私鑰對(duì)的產(chǎn)生、驗(yàn)證和分發(fā)包括如下方式:①用戶自己產(chǎn)生密鑰對(duì):②CA為用戶產(chǎn)生密鑰對(duì):③CA(包括PAA、PCA、CA)自己產(chǎn)生自己的密鑰對(duì):(2)簽名和驗(yàn)證。(3)證書(shū)的獲取。(4)驗(yàn)證證書(shū)。(5)保存證書(shū)。(6)本地保存證書(shū)的獲取。(7)證書(shū)廢止的申請(qǐng)。(8)密鑰的恢復(fù)。(9)CRL的獲取。(10)密鑰更新。(11)審計(jì)。(12)存檔。4.PKI體系結(jié)構(gòu)的組織方式在一個(gè)PKI體系結(jié)構(gòu)內(nèi),成員的組織可以有很多方式,包括按日常職能分類的COI(communityofinterest)方式,將PKI體系建立在現(xiàn)有的政府或組織機(jī)構(gòu)管理基礎(chǔ)之上的組織化方式,以及按安全級(jí)別劃分的擔(dān)保等級(jí)方式。以上方式都是基于以下因素考慮:由哪個(gè)機(jī)構(gòu)來(lái)設(shè)置安全政策;在安全政策下用戶該如何組織;在具體實(shí)施過(guò)程中應(yīng)采取哪種或哪幾種方式的組合。而具體應(yīng)該考慮系統(tǒng)可靠性、系統(tǒng)可擴(kuò)展性、系統(tǒng)的靈活性和使用的方便性、CA結(jié)構(gòu)的可信任性、與其他系統(tǒng)的互操作性、增加成員的開(kāi)銷、各系統(tǒng)模塊的管理結(jié)構(gòu),以及責(zé)任劃分等因素。隨著互聯(lián)網(wǎng)覆蓋范圍的擴(kuò)大,在世界范圍內(nèi)將出現(xiàn)多種多樣的證書(shū)管理體系結(jié)構(gòu)。所以,PKI體系的互通性也不可避免地成為PKI體系建設(shè)時(shí)必須考慮的問(wèn)題,PKI體系中采取的算法的多樣性更加深了互通操作的復(fù)雜程度。PKI的互通性首先必須建立在網(wǎng)絡(luò)互通的基礎(chǔ)上,才能保證在全球范圍內(nèi)在任何終端用戶之間數(shù)據(jù)的傳送;其次是用戶必須借助于X.500目錄服務(wù)獲得對(duì)方簽名使用的算法。PKI在全球互通的實(shí)現(xiàn)途徑有兩種:(1)交叉認(rèn)證方式:需要互通的PKI體系中的PAA在經(jīng)過(guò)協(xié)商和政策制定之后,互相認(rèn)證對(duì)方系統(tǒng)中的PAA(即根CA)。認(rèn)證方式是根CA用自己的私鑰為其他的需要交叉認(rèn)證的根CA的公鑰簽發(fā)證書(shū)。這種認(rèn)證方式減少了操作中的政策因素,對(duì)用戶而言,也只在原有的證書(shū)鏈上增加一個(gè)證書(shū)而已。但對(duì)于每一個(gè)根CA而言,需要保存所有其他需要與之進(jìn)行交叉認(rèn)證的根CA的證書(shū)。(2)全球建立統(tǒng)一根方式:這種方式是將不同的PKI體系組織在同一個(gè)全球根CA之下,這個(gè)全球CA可由一個(gè)國(guó)際組織如聯(lián)合國(guó)來(lái)建設(shè)??紤]到各個(gè)PKI體系管理者一般都希望能保持本體系的獨(dú)立性,全球統(tǒng)一根CA實(shí)現(xiàn)起來(lái)有一些具體的困難。所以,PKI體系之間的互通性一般用交叉認(rèn)證來(lái)實(shí)現(xiàn)。三、入侵檢測(cè)入侵檢測(cè)系統(tǒng)(networkintrusiondetectionsystem,NIDS)是用于檢測(cè)任何損害或企圖損害系統(tǒng)保密性、完整性和入侵,特別是用于檢測(cè)黑客通過(guò)網(wǎng)絡(luò)進(jìn)行的入侵行為的管理軟件。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以分為基于網(wǎng)絡(luò)數(shù)據(jù)包分析和基于主機(jī)檢測(cè)兩種方式。簡(jiǎn)單地說(shuō),前者是在網(wǎng)絡(luò)通信中尋找符合網(wǎng)絡(luò)入侵模板的數(shù)據(jù)包,并立即作出反應(yīng)。后者是在宿主系統(tǒng)審計(jì)日志文件中尋找攻擊特征,給出統(tǒng)計(jì)分析報(bào)告。四、漏洞掃描:探查網(wǎng)絡(luò)薄弱環(huán)節(jié)

選擇網(wǎng)絡(luò)安全掃描工具時(shí),應(yīng)注意考核幾點(diǎn):掃描發(fā)現(xiàn)的安全漏洞數(shù)量是否多,數(shù)據(jù)庫(kù)更新速度是否快,掃描效率以及對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)的影響是否大,定制模擬攻擊方法是否靈活,掃描程序的易用性與穩(wěn)定性是否好,提供安全服務(wù)的公司掌握最新安全漏洞和攻擊方法的能力是否強(qiáng)。安全掃描是采用模擬攻擊的形式對(duì)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查,掃描目標(biāo)可以是工作站、服務(wù)器、交換機(jī)和數(shù)據(jù)庫(kù)應(yīng)用等。通過(guò)掃描,可以為系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告,從而提高網(wǎng)絡(luò)安全整體水平。在網(wǎng)絡(luò)安全體系的建設(shè)中,安全掃描工具花費(fèi)低、效果好、見(jiàn)效快、安裝運(yùn)行簡(jiǎn)單。五、網(wǎng)絡(luò)病毒的防治通常,我們將網(wǎng)絡(luò)防毒軟件劃分為客戶端防毒、服務(wù)器端防毒、群件防毒和Internet防毒四大類。有必要在工作站和服務(wù)器上部署病毒實(shí)時(shí)監(jiān)控系統(tǒng),并將病毒控制、數(shù)據(jù)保護(hù)和集中式管理集成起來(lái)。可采用病毒防火墻,它實(shí)際是廣義防火墻的一個(gè)特殊方面,專門用于對(duì)病毒的過(guò)濾。這種過(guò)濾體現(xiàn)在兩個(gè)環(huán)節(jié)上:其一,是保護(hù)計(jì)算機(jī)系統(tǒng)不受來(lái)自于任何方面病毒的危害。這里所說(shuō)的“任何方面”,一方面指計(jì)算機(jī)的本地資源,比如傳統(tǒng)的磁盤介質(zhì)等,一方面指相對(duì)于“本地”而言的“遠(yuǎn)程”網(wǎng)絡(luò)資源,比如用戶使用的Internet等。其二,是對(duì)計(jì)算機(jī)系統(tǒng)提供的保護(hù)要著眼于整個(gè)系統(tǒng)并且是雙向的,也就是說(shuō),病毒防火墻應(yīng)該能對(duì)本地系統(tǒng)內(nèi)的病毒進(jìn)行“過(guò)濾”,防止它向網(wǎng)絡(luò)或傳統(tǒng)的存儲(chǔ)介質(zhì)擴(kuò)散。一般病毒防火墻對(duì)系統(tǒng)提供的保護(hù)是實(shí)時(shí)的、透明的,相當(dāng)于每時(shí)每刻都在為用戶查、殺病毒,整個(gè)過(guò)程基本上不需要用戶對(duì)其進(jìn)行過(guò)多的干預(yù)。六、電子支付安全協(xié)議SSL、SET與3D

(一)SSL安全協(xié)議1.SSL安全協(xié)議的基本概念SSL安全協(xié)議主要提供三方面的服務(wù):(1)認(rèn)證用戶和服務(wù)器,使得它們能夠確信數(shù)據(jù)會(huì)被發(fā)送到正確的客戶機(jī)和服務(wù)器上;客戶機(jī)和服務(wù)器都有各自的識(shí)別號(hào),這些識(shí)別號(hào)由公開(kāi)密鑰進(jìn)行編號(hào),為了驗(yàn)證用戶是否合法,安全套接層協(xié)議要求握手交換數(shù)據(jù)以進(jìn)行數(shù)字認(rèn)證,以此來(lái)確保用戶的合法性。(2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。(3)維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過(guò)程中不被改變。SSL的缺陷是只能保證傳輸過(guò)程的安全,無(wú)法知道在傳輸過(guò)程中是否受到竊聽(tīng),黑客可以此破譯SSL的加密數(shù)據(jù),破壞和盜竊WEB信息。SSL產(chǎn)品的出口受到美國(guó)國(guó)家安全局(NSA)的限制,2.SSL安全協(xié)議的運(yùn)行步驟(1)接通階段。(2)密碼交換階段。(3)會(huì)談密碼階段。(4)檢驗(yàn)階段。(5)客戶認(rèn)證階段。(6)結(jié)束階段。3.SSL安全協(xié)議的應(yīng)用SSL安全協(xié)議也是國(guó)際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議,至今仍然有許多網(wǎng)上商店在使用。SSL協(xié)議運(yùn)行的基點(diǎn)是商家對(duì)客戶信息保密的承諾。正如美國(guó)著名的亞馬遜(Amazon)網(wǎng)上書(shū)店在其購(gòu)買說(shuō)明中明確表示的:“當(dāng)你在亞馬遜公司購(gòu)書(shū)時(shí),受到‘亞馬遜公司安全購(gòu)買保證’保護(hù),所以,你永遠(yuǎn)不用為你的信用卡安全擔(dān)心。”但在上述流程中我們會(huì)發(fā)現(xiàn),SSL協(xié)議有利于商家而不利于客戶,客戶的信息首先傳到商家,商家閱讀后再傳到銀行。這樣,客戶資料的安全性便受到威脅。商家認(rèn)證客戶是必要的,但在整個(gè)過(guò)程中缺少了客戶對(duì)商家的認(rèn)證。在電子商務(wù)的開(kāi)始階段,由于參與電子商務(wù)的公司大都是一些大公司,信譽(yù)較高,這個(gè)問(wèn)題沒(méi)有引起人們的重視。隨著電子商務(wù)參與商家的迅速增加,對(duì)商家的認(rèn)證問(wèn)題越來(lái)越突出,SSL協(xié)議的缺點(diǎn)完全暴露出來(lái),SSL協(xié)議逐漸被新的SET協(xié)議所取代。(2)SET安全協(xié)議

SET主要由三個(gè)文件組成,分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。(二)SET安全協(xié)議1.SET安全協(xié)議概念SET安全協(xié)議運(yùn)行的目標(biāo)保證信息在因特網(wǎng)上安全傳輸,防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取。保證電子商務(wù)參與者信息的相互隔離。解決多方認(rèn)證問(wèn)題保證了網(wǎng)上交易的實(shí)時(shí)性,使所有的支付過(guò)程都是在線的。效仿EDI貿(mào)易的形式,規(guī)范協(xié)議和消息格式,促使不同廠家開(kāi)發(fā)的軟件具有兼容性和互操作功能,并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。消費(fèi)者在線商店收單銀行電子貨幣認(rèn)證中心(CA)SET安全協(xié)議涉及的所涉及的對(duì)象采用SET協(xié)議進(jìn)行網(wǎng)上電子交易支付時(shí),主要涉及持卡人、發(fā)卡行、商戶、收單行以及支付網(wǎng)關(guān)五方。在用戶身份認(rèn)證方面,SET引入了證書(shū)(certificates)和證書(shū)管理機(jī)構(gòu)(certificatesauthorities)機(jī)制。證書(shū)就是一份文檔,它記錄了用戶的公共密鑰和其他身份信息。在SET中,最主要的證書(shū)是持卡人證書(shū)和商家證書(shū)。(1)持卡人證書(shū)。(2)商家證書(shū)。除了持卡人證書(shū)和商家證書(shū)以外,還有支付網(wǎng)關(guān)證書(shū)、銀行證書(shū)、發(fā)卡機(jī)構(gòu)證書(shū)。證書(shū)管理機(jī)構(gòu)CA是受一個(gè)或多個(gè)用戶信任,提供用戶身份驗(yàn)證的第三方機(jī)構(gòu)。證書(shū)一般包含擁有者的標(biāo)識(shí)名稱和公鑰,并且由CA進(jìn)行數(shù)字簽名。CA的功能主要有:接收注冊(cè)請(qǐng)求;處理、批準(zhǔn)/拒絕請(qǐng)求;頒發(fā)證書(shū)。用戶向CA提交自己的公共密鑰和代表自己身份的信息(如身份證號(hào)碼或E-mail地址),CA驗(yàn)證了用戶的有效身份之后,向用戶頒發(fā)一個(gè)經(jīng)過(guò)CA私有密鑰簽名的證書(shū)。證書(shū)的樹(shù)形驗(yàn)證結(jié)構(gòu)在兩方通信時(shí),通過(guò)出示由某個(gè)CA簽發(fā)的證書(shū)來(lái)證明自己的身份,如果對(duì)簽發(fā)證書(shū)的CA本身不信任,則可驗(yàn)證CA的身份,以此類推,一直到公認(rèn)的權(quán)威根CA處,就可確信證書(shū)的有效性。SET證書(shū)正是通過(guò)信任層次來(lái)逐級(jí)驗(yàn)證的。通過(guò)SET的認(rèn)證機(jī)制,用戶不再需要驗(yàn)證并信任每一個(gè)想要交換信息的用戶的公共密鑰,而只需要驗(yàn)證并信任頒發(fā)證書(shū)的CA的公共密鑰就可以了。2.SET安全協(xié)議的工作原理SET協(xié)議的工作流程分為下面七個(gè)步驟:(1)消費(fèi)者選定所要購(gòu)買的物品,并在計(jì)算機(jī)上輸入訂貨單。(2)通過(guò)電子商務(wù)服務(wù)器與有關(guān)在線商店聯(lián)系,在線商店作出應(yīng)答,告訴消費(fèi)者所填訂貨單的貨物單價(jià)、應(yīng)付款數(shù)。交貨方式等信息是否準(zhǔn)確,是否有變化。(3)消費(fèi)者選擇付款方式,確認(rèn)訂單,簽發(fā)付款指令。此時(shí)SET開(kāi)始介入。(4)在SET中,消費(fèi)者必須對(duì)訂單和付款指令進(jìn)行數(shù)字簽名,同時(shí)利用雙重簽名技術(shù)保證商家看不到消費(fèi)者的賬號(hào)信息。(5)在線商店接受訂單后,向消費(fèi)者所在銀行請(qǐng)求支付認(rèn)可。信息通過(guò)支付網(wǎng)關(guān)到收單銀行,再到電子貨幣發(fā)行公司確認(rèn)。批準(zhǔn)交易后,返回確認(rèn)信息給在線商店。(6)在線商店發(fā)送訂單確認(rèn)信息給消費(fèi)者。消費(fèi)者端軟件可記錄交易日志,以備將來(lái)查詢。(7)在線商店發(fā)送貨物或提供服務(wù),并通知收單銀行將錢從消費(fèi)者的賬號(hào)轉(zhuǎn)移到商店賬號(hào),或通知發(fā)卡銀行請(qǐng)求支付。3.SET標(biāo)準(zhǔn)的應(yīng)用SET協(xié)議規(guī)范的技術(shù)范圍包括:(1)加密算法的應(yīng)用(例如RSA和DES);(2)證書(shū)信息和對(duì)象格式;(3)購(gòu)買信息和對(duì)象格式;(4)認(rèn)可信息和對(duì)象格式;(5)劃賬信息和對(duì)象格式;(6)對(duì)話實(shí)體之間消息的傳輸協(xié)議。(1)協(xié)議沒(méi)有說(shuō)明收單銀行給在線商店付款前,是否必須收到消費(fèi)者的貨物接受證書(shū)。(2)協(xié)議沒(méi)有擔(dān)?!胺蔷芙^行為”,這意味著在線商店沒(méi)有辦法證明訂購(gòu)是由簽署證書(shū)的消費(fèi)者發(fā)出的。(3)協(xié)議提供了多層次的安全保障,但顯著增加了復(fù)雜程度,因而變得昂貴,互操作性差,實(shí)施起來(lái)有一定難度。(4)SET技術(shù)規(guī)范沒(méi)有提及在事務(wù)處理完成后,如何安全地保存或銷毀此類數(shù)據(jù),是否應(yīng)當(dāng)將數(shù)據(jù)保存在消費(fèi)者、在線商店或收單銀行的計(jì)算機(jī)里。這種漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊。SET協(xié)議的缺陷(三)3D安全協(xié)議1.3D安全協(xié)議概述3D安全協(xié)議涉及5個(gè)實(shí)體,包括持卡人、發(fā)卡行、商戶、收單行和VISA組織。3D安全協(xié)議將這5個(gè)實(shí)體邏輯地分到3個(gè)域中。其中,發(fā)卡機(jī)構(gòu)域指發(fā)卡行和持卡人;中間運(yùn)行域是使發(fā)卡機(jī)構(gòu)域和收單機(jī)構(gòu)域在全球范圍內(nèi)協(xié)同運(yùn)行的系統(tǒng)和功能設(shè)施;收單機(jī)構(gòu)域指收單行和商戶。3D安全協(xié)議中一個(gè)重要的組成部分是發(fā)卡行認(rèn)證服務(wù)器——訪問(wèn)控制服務(wù)器ACS。(1)發(fā)卡機(jī)構(gòu)域組成。①持卡人:持卡人聯(lián)機(jī)購(gòu)物,通過(guò)瀏覽器等軟件方式,提供持卡人姓名、口令(也可用證書(shū))、卡號(hào)、有效期,以及驗(yàn)證所需的所有信息,準(zhǔn)備完成整個(gè)交易過(guò)程。②持卡人瀏覽器:瀏覽商家虛擬電子商城,選購(gòu)商品,使用在線電子支付工具,在商戶服務(wù)器插件(收單機(jī)構(gòu)域)和訪問(wèn)控制服務(wù)器(發(fā)卡機(jī)構(gòu)域)之間發(fā)送信息。③其他持卡人插件:其他可選的硬件和軟件,以加強(qiáng)瀏覽器的功能,如證書(shū)、智能卡認(rèn)證都可能需要額外的讀卡器和客戶端軟件。④發(fā)卡行:建立一個(gè)讓持卡人進(jìn)行注冊(cè)、訪問(wèn)的系統(tǒng),檢查持卡人資格,向VISA服務(wù)器提供相應(yīng)的信息。⑤訪問(wèn)控制服務(wù)器(ACS):發(fā)卡機(jī)構(gòu)域的核心部分,安裝服務(wù)器證書(shū)。主要功能是檢驗(yàn)?zāi)硞€(gè)卡號(hào)是否注冊(cè)了3D安全協(xié)議,驗(yàn)證購(gòu)物者的身份,與商戶插件和VISA的目錄服務(wù)器進(jìn)行交互。該軟件應(yīng)與信用卡后臺(tái)連接,能夠取得持卡人信息。(2)收單機(jī)構(gòu)域組成①商戶:利用商戶軟件處理持卡人購(gòu)物,獲得卡號(hào)和購(gòu)物信息,然后觸發(fā)商戶服務(wù)器插件MPI進(jìn)行支付驗(yàn)證,如果支付通過(guò)驗(yàn)證,商戶就向收單行發(fā)出授權(quán)請(qǐng)求,發(fā)卡行和收單行完成傳統(tǒng)的交易授權(quán)過(guò)程。②商戶服務(wù)器插件:是一個(gè)支付網(wǎng)關(guān)插件,安裝服務(wù)器證書(shū),處理支付驗(yàn)證請(qǐng)求,然后將控制交給商戶軟件,與VISA目錄服務(wù)器和發(fā)卡機(jī)構(gòu)進(jìn)行各種交互。作為處理從發(fā)卡行返回的驗(yàn)證反饋信息的一部分,MPI可以驗(yàn)證消息中的數(shù)字簽名,在某些情況下,也可以由收單行代表多家商戶執(zhí)行該功能。③收單行:為某一金融機(jī)構(gòu),負(fù)責(zé)簽約特約商戶,確定商戶是否參加3D;負(fù)責(zé)開(kāi)發(fā)支付網(wǎng)關(guān);決定商戶參加3D安全協(xié)議的資格;接收發(fā)卡行的反饋驗(yàn)證信息,并對(duì)該信息進(jìn)行簽名認(rèn)證。收單行還要履行其傳統(tǒng)職能,即從商戶接收授權(quán)信息,將授權(quán)請(qǐng)求發(fā)送到傳統(tǒng)授權(quán)系統(tǒng);向商戶提供授權(quán)反饋信息,將完成的交易送到VISA清算系統(tǒng)。(3)中間運(yùn)行域組成。①VISA路徑服務(wù)器②驗(yàn)證歷史服務(wù)器③VISANET:在支付驗(yàn)證后,VISANET執(zhí)行其傳統(tǒng)授權(quán)職責(zé)。從收單行接收授權(quán)請(qǐng)求,發(fā)給發(fā)卡行;提供從發(fā)卡行送給收單行的反饋信息;為發(fā)卡行和收單行提供清算數(shù)據(jù)。④VISACA:負(fù)責(zé)簽發(fā)SSL/TLS和服務(wù)器證書(shū)及提供簽名證書(shū)和VISA根證書(shū)。持卡人發(fā)卡機(jī)構(gòu)訪問(wèn)控制發(fā)卡機(jī)構(gòu)域中間操作域收單機(jī)構(gòu)域商戶收單機(jī)構(gòu)收單機(jī)構(gòu)支付網(wǎng)關(guān)VISA目錄服務(wù)器插件歷史驗(yàn)證VISANET(1)(2)(3)(4)(5)(6)(7)(8)(9)(12)(13)(10)(11)(14)2.3D安全協(xié)議的運(yùn)作過(guò)程3D交易過(guò)程(1)持卡人登陸商戶網(wǎng)站,瀏覽商品,輸入口令及卡號(hào),輸入訂購(gòu)信息及支付信息。(2)商戶軟件插件通過(guò)VISA的目錄服務(wù)器檢查卡號(hào)所示的發(fā)卡機(jī)構(gòu)是否參與了3D安全協(xié)議。(3)VISA目錄服務(wù)器將卡號(hào)傳送給發(fā)卡機(jī)構(gòu)的訪問(wèn)控制服務(wù)器,通過(guò)發(fā)卡機(jī)構(gòu)檢查認(rèn)證該卡是否已參與3D安全協(xié)議。(4)發(fā)卡機(jī)構(gòu)的ACS確認(rèn)該卡是否已參與3D安全協(xié)議。(5)VISA目錄服務(wù)器將發(fā)卡機(jī)構(gòu)的ACS的地址告知商戶插件。(6)商戶插件將持卡人瀏覽器定位到ACS,同時(shí)附上交易信息待持卡人進(jìn)一步確認(rèn)。(7)發(fā)卡機(jī)構(gòu)的ACS要求持卡人輸入用戶名和密碼。(8)持卡人向發(fā)卡機(jī)構(gòu)中輸入用戶名和密碼。(9)發(fā)卡方的ACS驗(yàn)證密碼,產(chǎn)生回應(yīng)信息,然后將客戶重新定位向商戶插件;與此同時(shí)將有關(guān)信息發(fā)送給VISA的歷史驗(yàn)證服務(wù)器。(10)商戶將交易信息提交給收單機(jī)構(gòu)。(11)收單機(jī)構(gòu)向發(fā)卡機(jī)構(gòu)要求授權(quán)。(12)發(fā)卡機(jī)構(gòu)通過(guò)VISANET向收單機(jī)構(gòu)發(fā)送授權(quán)(這里的交易流與傳統(tǒng)刷卡交易一樣)。(13)收單機(jī)構(gòu)將交易回應(yīng)信息返回到商戶。(14)商戶確認(rèn)交易并向持卡人提供收據(jù)。3.3D安全協(xié)議應(yīng)用3D安全協(xié)議的推出給互聯(lián)網(wǎng)交易便利提供了有效的解決方法。3D安全協(xié)議實(shí)施靈活簡(jiǎn)單,數(shù)據(jù)傳輸比較安全,有效減少了交易爭(zhēng)議。對(duì)持卡人來(lái)說(shuō),除了智能卡交易,通常無(wú)需安裝特定軟件就可進(jìn)行交易,簡(jiǎn)便易行,同時(shí)可防止信用卡被盜用。對(duì)發(fā)卡機(jī)構(gòu)來(lái)說(shuō),3D安全協(xié)議減少了交易爭(zhēng)議,提高了商戶效率,減少了交易成本,減少了欺詐風(fēng)險(xiǎn)。同時(shí)由于每筆交易都要訪問(wèn)發(fā)卡行的網(wǎng)站,還增強(qiáng)了持卡人和發(fā)卡機(jī)構(gòu)間的聯(lián)系。對(duì)于商戶來(lái)說(shuō),能夠減少欺詐交易,增加交易量,降低交易爭(zhēng)議。但是3D安全協(xié)議由于增加了VISA中間認(rèn)證的環(huán)節(jié),每一筆交易的認(rèn)證過(guò)程都要經(jīng)過(guò)中間運(yùn)行域參與認(rèn)證,并由VISA有關(guān)設(shè)備提供服務(wù),增加了操作過(guò)程的復(fù)雜性。由于采取“用戶ID加口令”的簡(jiǎn)單認(rèn)證方式,因而在安全性上比較薄弱,交易信息的完整性和不可否認(rèn)性都不容易得到保證。另一方面,認(rèn)證過(guò)程需要三個(gè)域之間的信息交互和交互認(rèn)證,時(shí)間開(kāi)銷較大。目前我國(guó)一些銀行已經(jīng)開(kāi)始規(guī)劃采用3D安全協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)電子支付機(jī)制。(四)SSL、SET與3D安全協(xié)議比較1.功能方面的異同2.安全方面的異同3.系統(tǒng)負(fù)載能力第四節(jié)金融信息安全體系架構(gòu)和安全策略一、金融信息安全保障體系構(gòu)成信息安全保障是確保信息和信息系統(tǒng)的保密性、完整性、可用性、真實(shí)性、不可否認(rèn)性、可追究性和可控性的保護(hù),以及對(duì)意外事件或惡意行為的防范活動(dòng)。金融信息安全保障的主要內(nèi)容包括:重大業(yè)務(wù)應(yīng)用系統(tǒng)的連續(xù)可用性;業(yè)務(wù)工作責(zé)任的不可否認(rèn)性;業(yè)務(wù)數(shù)據(jù)和信息的真實(shí)性、完整性;涉及國(guó)家秘密和行業(yè)敏感信息的保密性;什么人、可以訪問(wèn)什么資源、有什么權(quán)限,以及控制授權(quán)范圍內(nèi)的信息流向及行為方式等的可控性。金融信息安全保障體系建設(shè)涉及多個(gè)環(huán)節(jié),包括法律、管理、技術(shù)、人才、意識(shí)等各個(gè)方面,與各部門、各地方都密切相關(guān),是一個(gè)復(fù)雜的系統(tǒng)工程。金融信息安全保障體系的建設(shè)包括六大體系:(1)安全法規(guī)體系。(2)標(biāo)準(zhǔn)規(guī)范體系。(3)安全組織體系。(4)安全管理體系。(5)技術(shù)支持體系。(6)應(yīng)急服務(wù)體系。二、金融信息安全管理策略(一)金融信息安全的組織管理策略金融信息安全的組織管理策略包括信息安全的規(guī)章制度策略和信息安全的運(yùn)行管理策略。信息安全管理制度主要包括:人員安全管理、操作安全管理、場(chǎng)地與設(shè)施安全管理、設(shè)備安全管理、操作系統(tǒng)和數(shù)據(jù)庫(kù)安全管理、網(wǎng)絡(luò)安全管理、信息化項(xiàng)目安全管理、應(yīng)用系統(tǒng)安全管理、技術(shù)文檔安全管理、數(shù)據(jù)安全管理、密碼與密鑰安全管理、認(rèn)證管理、應(yīng)急管理和審計(jì)管理。信息安全的運(yùn)行管理策略包括建立技術(shù)支持制度、明確安全責(zé)任制度等措施保證信息安全。(二)金融信息安全的風(fēng)險(xiǎn)管理策略金融信息安全的風(fēng)險(xiǎn)主要體現(xiàn)在技術(shù)、管理、業(yè)務(wù)、人員以及政策上的風(fēng)險(xiǎn),必須采取完善的管理戰(zhàn)略和制度來(lái)控制風(fēng)險(xiǎn)。金融信息安全風(fēng)險(xiǎn)管理是通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)識(shí)別、控制、降低或消除安全風(fēng)險(xiǎn)的活動(dòng)過(guò)程。金融信息安全風(fēng)險(xiǎn)管理可有效消除潛在的威脅,預(yù)防損失。信息安全的風(fēng)險(xiǎn)管理可考慮針對(duì)金融系統(tǒng)的各個(gè)環(huán)節(jié),進(jìn)行深入的風(fēng)險(xiǎn)分析,列舉出可能的風(fēng)險(xiǎn)狀況,從而采取相應(yīng)的對(duì)策;建立風(fēng)險(xiǎn)信息控制機(jī)制,及時(shí)通報(bào)風(fēng)險(xiǎn)情況,做到信息共享,預(yù)報(bào)準(zhǔn)確,有效預(yù)防可能產(chǎn)生的危害;風(fēng)險(xiǎn)分析從系統(tǒng)方面涉及網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、信息系統(tǒng)、辦公系統(tǒng)及基礎(chǔ)設(shè)施;同時(shí)需要分析管理、組織、人員、數(shù)據(jù)、應(yīng)急支持等風(fēng)險(xiǎn)。金融機(jī)構(gòu)需要建立自己的風(fēng)險(xiǎn)管理機(jī)制和規(guī)范,并制定具體的操作辦法,將風(fēng)險(xiǎn)控制有效落實(shí)到銀行生產(chǎn)、管理的各個(gè)環(huán)節(jié)和各個(gè)部門。(三)金融信息安全的技術(shù)管理策略技術(shù)安全是金融信息安全保障的基礎(chǔ)性工作,通過(guò)技術(shù)方法可以預(yù)防占絕大多數(shù)的一般性攻擊、發(fā)揮重要的作用。技術(shù)安全工作包括準(zhǔn)備與防御、檢測(cè)與響應(yīng)等方面。(1)準(zhǔn)備與防御。(2)檢測(cè)與響應(yīng)。(四)金融信息安全的質(zhì)量管理策略金融信息安全貫徹在整個(gè)運(yùn)行過(guò)程的各個(gè)方面。為了有效防范安全風(fēng)險(xiǎn),必須建立一套長(zhǎng)期的質(zhì)量評(píng)測(cè)體系,及時(shí)發(fā)現(xiàn)安全隱患,將重大的信息安全問(wèn)題消滅在事件的初期,盡可能減少損失。主要方法是建設(shè)安全分析、評(píng)估、測(cè)試,檢查控制、反應(yīng)機(jī)制及響應(yīng)模式的體系;制定相關(guān)政策和管理?xiàng)l例,定期進(jìn)行信息安全的評(píng)測(cè),動(dòng)態(tài)管理、有效控制。(五)金融信息安全的標(biāo)準(zhǔn)化策略標(biāo)準(zhǔn)化策略是金融信息安全的基礎(chǔ)。兩個(gè)主要的金融信息安全標(biāo)準(zhǔn)化發(fā)展方向是:評(píng)測(cè)標(biāo)準(zhǔn)化和管理標(biāo)準(zhǔn)化。管理標(biāo)準(zhǔn)化也是金融信息安全的規(guī)范化內(nèi)容,需要嚴(yán)格的安全標(biāo)準(zhǔn)化來(lái)管理信息安全問(wèn)題,并深入于組織、技術(shù)及管理的各個(gè)方面。國(guó)際上流行的信息安全管理規(guī)范主要有:《信息技術(shù)安全管理指導(dǎo)方針》(ISO/IEC13335)、《銀行業(yè)務(wù)和相關(guān)金融服務(wù)——銀行業(yè)務(wù)信息安全指南》(ISO13569)、《信息安全管理的實(shí)施編碼》(ISO14980)、《信息安全管理實(shí)用規(guī)則》(ISO/IEC177991)、《金融業(yè)的安全服務(wù)管理》(ANSIX9.41)。(六)金融信息安全技術(shù)策略金融信息安全技術(shù)策略是指充分運(yùn)用高新技術(shù),采用安全技術(shù)防范措施和技術(shù)安全機(jī)制建立現(xiàn)代化技術(shù)防范體系的具體指導(dǎo),是信息安全的技術(shù)保障策略。金融信息安全的技術(shù)要求包括:(1)安全管理組織。(2)環(huán)境安全。(3)網(wǎng)絡(luò)安全。(4)軟件的運(yùn)行安全。包括軟件平臺(tái)和應(yīng)用軟件:軟件平臺(tái)選型與購(gòu)置審查、安全檢測(cè)與驗(yàn)收、安全跟蹤與報(bào)告、版本管理安全、使用與維護(hù)安全、安全稽核;應(yīng)用軟件啟用安全、安全審計(jì)、版本管理安全、備份安全、維護(hù)安全。(5)應(yīng)用軟件的開(kāi)發(fā)安全。主要是開(kāi)發(fā)平臺(tái)安全、開(kāi)發(fā)環(huán)境安全、開(kāi)發(fā)人員安全、應(yīng)用軟件測(cè)試與評(píng)估安全、應(yīng)用軟件審計(jì)安全。(6)操作安全。(7)數(shù)據(jù)安全。(8)應(yīng)急安全。(9)密碼與密鑰安全。(七)金融信息安全應(yīng)急響應(yīng)與災(zāi)難備份策略在現(xiàn)實(shí)環(huán)境中安

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論