第五講電子支付體系安全與風(fēng)險(xiǎn)防范

1、第五講 電子支付體系安全與風(fēng)險(xiǎn)防范 電子支付與結(jié)算1金融風(fēng)險(xiǎn)通常具有以下特征，即不確定性、普遍性、擴(kuò)散性、隱蔽性和突發(fā)性。 1、操作風(fēng)險(xiǎn)成為電子支付系統(tǒng)主要風(fēng)險(xiǎn)之一2巴塞爾新資本協(xié)議將操作性風(fēng)險(xiǎn)界定為“因?yàn)閮?nèi)部流程、人力和系統(tǒng)的不足或者失誤、以及外部事件沖擊所導(dǎo)致的直接或者間接的損失的風(fēng)險(xiǎn)。 3操作風(fēng)險(xiǎn)可以分為幾類：即信息系統(tǒng)安全風(fēng)險(xiǎn)、交易安全風(fēng)險(xiǎn)和貨幣洗錢的風(fēng)險(xiǎn)。42、安全風(fēng)險(xiǎn)分析與評(píng)估 電子支付信息安全具有系統(tǒng)性，動(dòng)態(tài)性、層次性和過程性。 5風(fēng)險(xiǎn)目標(biāo)和原則 風(fēng)險(xiǎn)分析的目標(biāo)是：了解網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)和管理水平，及可能存在的安全隱患；了解網(wǎng)絡(luò)所提供的服務(wù)及可能存在的安全問題;了解各應(yīng)用系統(tǒng)與網(wǎng)絡(luò)層

2、的接口及其相應(yīng)的安全問題;網(wǎng)絡(luò)攻擊和電子欺騙的檢測(cè)、模擬及預(yù)防；分析信息網(wǎng)絡(luò)系統(tǒng)對(duì)網(wǎng)絡(luò)的安全需求，找出目前的安全策略和實(shí)際需求的差距，為保護(hù)信息網(wǎng)絡(luò)系統(tǒng)的安全提供科學(xué)依據(jù)。 多層面、多角度的原則6對(duì)象和范圍1、系統(tǒng)基本情況分析2、系統(tǒng)基本安全狀況調(diào)查3、系統(tǒng)安全組織、策略分析4、相關(guān)安全技術(shù)和措施以及安全隱患分析5、系統(tǒng)訪問控制和加密體系分析6、系統(tǒng)的抗攻擊能力與數(shù)據(jù)傳輸?shù)陌踩苑治觯?、動(dòng)態(tài)安全管理狀況分析8、災(zāi)難備份以及危機(jī)管理安排狀況分析7方法與手段 風(fēng)險(xiǎn)分析可以使用以下方式實(shí)現(xiàn)：?jiǎn)柧碚{(diào)查、訪談、文檔審查、黑盒測(cè)試、操作系統(tǒng)的漏洞檢查和分析、網(wǎng)絡(luò)服務(wù)的安全漏洞和隱患的檢查和分析、抗攻擊測(cè)

3、試、綜合審計(jì)報(bào)告等。風(fēng)險(xiǎn)分析的過程可以分為以下四步： (1)確定要保護(hù)的資產(chǎn)及價(jià)值 (2)分析信息資產(chǎn)之間的相互依賴性 (3)確定存在的風(fēng)險(xiǎn)和威脅 (4)分析可能的入侵者結(jié)果與結(jié)論 8安全策略的制定原則和需求分析 安全策略的制定原則(1)抽象安全策略 (2)全局自動(dòng)安全策略 (3)局部執(zhí)行策略 安全策略包含的內(nèi)容： （1）保護(hù)的內(nèi)容和目標(biāo)（2）實(shí)施保護(hù)的方法 （3）明確的責(zé)任（4）事故的處理 9需求分析(1)管理層： (2)物理層： (3)系統(tǒng)層： (4)網(wǎng)絡(luò)層： (5)應(yīng)用層： 10網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)原則 木桶原則整體性原則實(shí)用性原則等級(jí)性原則 動(dòng)態(tài)化原則 設(shè)計(jì)為本原則 113、電子支付系統(tǒng)的

4、安全管理策略 一、信息安全法規(guī)與標(biāo)準(zhǔn)策略 二、信息安全的組織管理策略三、信息安全技術(shù)支持策略 四、信息安全應(yīng)急響應(yīng)策略 五、信息安全實(shí)施策略 124、常用技術(shù)手段 從技術(shù)角度來講，用戶應(yīng)該做好網(wǎng)絡(luò)層、系統(tǒng)級(jí)和應(yīng)用級(jí)3個(gè)方面的防護(hù) 1、網(wǎng)絡(luò)層安全防護(hù) -隔離與訪問控制 - 地址轉(zhuǎn)換 - 入侵檢測(cè) 132、系統(tǒng)級(jí)安全防護(hù)- 使用漏洞掃描技術(shù) 加強(qiáng)操作系統(tǒng)用戶認(rèn)證授權(quán)管理 增強(qiáng)訪問控制管理 -病毒防范 - Web服務(wù)器的專門保護(hù) 143、應(yīng)用級(jí)安全保護(hù) 實(shí)施單一的登錄機(jī)制 統(tǒng)一的用戶和目錄管理機(jī)制 15安全解決方案5個(gè)關(guān)鍵技術(shù)點(diǎn)防毒控制訪問加密與認(rèn)證漏洞掃描入侵檢測(cè)16 病毒防護(hù) 反病毒技術(shù)包括預(yù)防

5、、檢測(cè)和攻殺3項(xiàng)功能 網(wǎng)絡(luò)防毒軟件劃分為客戶端防毒、服務(wù)器端防毒、群件防毒和Internet防毒4大類 17防火墻技術(shù) 第一代產(chǎn)品主要為包過濾型防火墻第二代產(chǎn)品則為混合型防火墻（即綜合了包過濾型和應(yīng)用網(wǎng)關(guān)的防火墻）。 18加密與認(rèn)證 加密包括兩個(gè)元素：算法和密鑰 對(duì)稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn)（DNS，DataEncryptionStandard）算法為典型代表，非對(duì)稱加密通常以RSA（RivestShamirAd1eman）算法為代表19對(duì)稱加密算法存在的問題：（1）要求提供一條安全的渠道使通訊雙方在首次通訊時(shí)協(xié)商一個(gè)共同的密鑰。（2）密鑰的數(shù)目難于管理。（3）對(duì)稱加密算法一般不能提供信息完整性的鑒

6、別，它無法驗(yàn)證發(fā)送者和接受者的身份；（4）對(duì)稱密鑰的管理和分發(fā)工作是一件具有潛在危險(xiǎn)的和煩瑣的過程。202非對(duì)稱加密技術(shù) 與對(duì)稱加密算法不同，非對(duì)稱加密算法需要兩個(gè)密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。公開密鑰與私有密鑰是一對(duì)，如果用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密，只有用對(duì)應(yīng)的私有密鑰才能解密；如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用對(duì)應(yīng)的公開密鑰才能解密。因?yàn)榧用芎徒饷苁褂玫氖莾蓚€(gè)不同的密鑰，所以這種算法叫作非對(duì)稱加密算法。 21使用公開密鑰對(duì)文件進(jìn)行加密傳輸?shù)膶?shí)際過程：（1）發(fā)送方生成一個(gè)自己的私有密鑰并用接收方的公開密鑰對(duì)自己的私有密鑰進(jìn)行加密，然后通過網(wǎng)絡(luò)傳輸

7、到接收方；（2）發(fā)送方對(duì)需要傳輸?shù)奈募米约旱乃接忻荑€進(jìn)行加密，然后通過網(wǎng)絡(luò)把加密后的文件傳輸?shù)浇邮辗?；?）接收方用自己的公開密鑰進(jìn)行解密后得到發(fā)送方的私有密鑰；（4）接受方用發(fā)送方的私有密鑰對(duì)文件進(jìn)行解密得到文件的明文形式。22認(rèn)證技術(shù)：PKI：公開密鑰基礎(chǔ)設(shè)施 PKI具有認(rèn)證機(jī)關(guān)(CA)、證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、客戶端證書處理系統(tǒng)等基本成分 23（1）認(rèn)證機(jī)關(guān) （CA）的職責(zé):1，驗(yàn)證并標(biāo)識(shí)證書申請(qǐng)者的身份;2，確保CA用于簽名證書的非對(duì)稱密鑰的質(zhì)量;3，確保整個(gè)簽證過程的安全性,簽名私鑰的安全性;4，證書材料信息的管理;5，確定并檢查證書的有效期限;6，確保證書主

8、體標(biāo)識(shí)的唯一性,防止重名;7，發(fā)布并維護(hù)作廢證書表;8，對(duì)整個(gè)證書簽發(fā)過程做日志記錄;9，向申請(qǐng)人發(fā)通知。24（2）證書庫 證書庫是證書的集中存放地。系統(tǒng)必須確保證書庫的完整性,防止偽造、篡改證書。 （3）密鑰備份及恢復(fù)系統(tǒng) 提供備份與恢復(fù)解密密鑰的機(jī)制。密鑰的備份與恢復(fù)應(yīng)該由可信的機(jī)構(gòu)來完成，例如CA可以充當(dāng)這一角色。值得強(qiáng)調(diào)的是，密鑰備份與恢復(fù)只能針對(duì)解密密鑰，簽名私鑰不能夠作備份。 25（4）證書作廢處理系統(tǒng)（X.509 Version 3、CRL Version 2） 證書作廢處理系統(tǒng)是PKI的一個(gè)重要組件。作廢證書有如下三種策略: 作廢一個(gè)或多個(gè)主體的證書; 作廢由某一對(duì)密鑰簽發(fā)的所

9、有證書;作廢由某CA簽發(fā)的所有證書。 26PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。 PKI體系結(jié)構(gòu)的組織方式：按日常職能分類的COI方式(Communityofinterest)，將PKI體系建立在現(xiàn)有的政府組織機(jī)構(gòu)管理基礎(chǔ)之上的組織化方式按安全級(jí)別劃分的擔(dān)保等級(jí)方式PKI在全球互通可以有兩種實(shí)現(xiàn)途徑： 1.交叉認(rèn)證方式 2.全球建立統(tǒng)一根方式 27PKI的操作功能 1產(chǎn)生、驗(yàn)證和分發(fā)密鑰 2.簽名和驗(yàn)證 3.證書的獲取 4.驗(yàn)證證書 5.保存證書 6.本地保存證書的獲取 287.證書廢止的申請(qǐng) 8.密鑰的恢復(fù) 9.CRL的獲取 10.密鑰更新 11.審計(jì)

10、 12.存檔 29漏洞掃描 安全掃描采用模擬攻擊的形式對(duì)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查30入侵檢測(cè) 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)分為基于網(wǎng)絡(luò)數(shù)據(jù)包分析和基于主機(jī)檢測(cè)2種方式 31安全協(xié)議SSL、SET、3D（1） SSL安全協(xié)議（Secure Sockets Layer）SSL安全協(xié)議主要提供三方面的服務(wù)：1，認(rèn)證用戶和服務(wù)器，使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上；2，加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)；3，維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。32SSL的缺陷是只能保證傳輸過程的安全，無法知道在傳輸過程中是否受到竊聽，黑客可以此破譯SSL的加密數(shù)據(jù)，破壞和盜竊WEB信息。SSL產(chǎn)品

11、的出口受到美國國家安全局（NSA）的限制，33（2）SSL安全協(xié)議的運(yùn)行步驟（1）接通階段。（2）密碼交換階段。（3）會(huì)談密碼階段。（4）檢驗(yàn)階段。（5）客戶認(rèn)證階段。（6）結(jié)束階段。34（2）SET安全協(xié)議 SET主要由三個(gè)文件組成,分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。 35SET安全協(xié)議運(yùn)行的目標(biāo) 1）保證信息在因特網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取。2）保證電子商務(wù)參與者信息的相互隔離。3）解決多方認(rèn)證問題 4)保證了網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過程都是在線的。5)效仿EDI貿(mào)易的形式，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且

12、可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。 36. SET安全協(xié)議涉及的所涉及的對(duì)象： 1)消費(fèi)者 2)在線商店 3)收單銀行 4)電子貨幣 5)認(rèn)證中心（CA）37SET協(xié)議的工作流程分為下面七個(gè)步驟：（1）消費(fèi)者選定所要購買的物品，并在計(jì)算機(jī)上輸入訂貨單。（2）通過電子商務(wù)服務(wù)器與有關(guān)在線商店聯(lián)系，在線商店作出應(yīng)答，告訴消費(fèi)者所填訂貨單的貨物單價(jià)、應(yīng)付款數(shù)。交貨方式等信息是否準(zhǔn)確，是否有變化。（3）消費(fèi)者選擇付款方式，確認(rèn)訂單，簽發(fā)付款指令。此時(shí)SET開始介入。38（4）在SET中，消費(fèi)者必須對(duì)訂單和付款指令進(jìn)行數(shù)字簽名，同時(shí)利用雙重簽名技術(shù)保證商家看不到消費(fèi)者的賬號(hào)信息。（5）在線商店接受訂

13、單后，向消費(fèi)者所在銀行請(qǐng)求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認(rèn)。批準(zhǔn)交易后，返回確認(rèn)信息給在線商店。39（6）在線商店發(fā)送訂單確認(rèn)信息給消費(fèi)者。消費(fèi)者端軟件可記錄交易日志，以備將來查詢。（7）在線商店發(fā)送貨物或提供服務(wù)，并通知收單銀行將錢從消費(fèi)者的賬號(hào)轉(zhuǎn)移到商店賬號(hào)，或通知發(fā)卡銀行請(qǐng)求支付。40SET協(xié)議的缺陷（1）協(xié)議沒有說明收單銀行給在線商店付款前，是否必須收到消費(fèi)者的貨物接受證書。（2）協(xié)議沒有擔(dān)?！胺蔷芙^行為”，這意味著在線商店沒有辦法證明訂購是由簽署證書的消費(fèi)者發(fā)出的。（3）協(xié)議提供了多層次的安全保障，但顯著增加了復(fù)雜程度，因而變得昂貴，互操作性差，實(shí)施起來

14、有一定難度。（4）SET技術(shù)規(guī)范沒有提及在事務(wù)處理完成后，如何安全地保存或銷毀此類數(shù)據(jù)，是否應(yīng)當(dāng)將數(shù)據(jù)保存在消費(fèi)者、在線商店或收單銀行的計(jì)算機(jī)里。這種漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊。41（3）3D協(xié)議3D安全協(xié)議涉及5個(gè)實(shí)體，包括持卡人、發(fā)卡行、商戶、收單行和VISA組織。3D安全協(xié)議將這5個(gè)實(shí)體邏輯地分到3個(gè)域中。其中，發(fā)卡機(jī)構(gòu)域指發(fā)卡行和持卡人；中間運(yùn)行域是使發(fā)卡機(jī)構(gòu)域和收單機(jī)構(gòu)域在全球范圍內(nèi)協(xié)同運(yùn)行的系統(tǒng)和功能設(shè)施；收單機(jī)構(gòu)域指收單行和商戶。3D安全協(xié)議中一個(gè)重要的組成部分是發(fā)卡行認(rèn)證服務(wù)器訪問控制服務(wù)器ACS。42持卡人發(fā)卡機(jī)構(gòu)訪問控制發(fā)卡機(jī)構(gòu)域 中間操作域 收單機(jī)構(gòu)域 商戶收單

15、機(jī)構(gòu)收單機(jī)構(gòu)支付網(wǎng)關(guān)VISA目錄服務(wù)器插件歷史驗(yàn)證VISANET（1）（2）（3）（4）（5）（6）（7）（8）（9）（12）（13）（10）（11）（14）43（1）持卡人登陸商戶網(wǎng)站，瀏覽商品，輸入口令及卡號(hào)，輸入訂購信息及支付信息。（2）商戶軟件插件通過VISA的目錄服務(wù)器檢查卡號(hào)所示的發(fā)卡機(jī)構(gòu)是否參與了3D安全協(xié)議。（3）VISA目錄服務(wù)器將卡號(hào)傳送給發(fā)卡機(jī)構(gòu)的訪問控制服務(wù)器，通過發(fā)卡機(jī)構(gòu)檢查認(rèn)證該卡是否已參與3D安全協(xié)議。（4）發(fā)卡機(jī)構(gòu)的ACS確認(rèn)該卡是否已參與3D安全協(xié)議。（5）VISA目錄服務(wù)器將發(fā)卡機(jī)構(gòu)的ACS的地址告知商戶插件。（6）商戶插件將持卡人瀏覽器定位到ACS，同時(shí)附上交易信息待持卡人進(jìn)一步確認(rèn)。（7）發(fā)卡機(jī)構(gòu)的ACS要求持卡人輸入用戶名和密碼。（8）持卡人向發(fā)卡機(jī)構(gòu)中輸入用戶名和密碼。（9）發(fā)卡方的ACS驗(yàn)證密