电子支付与网络银行第六章

1、电子支付与网络(wnglu)银行中国人民大学财政金融学院(xuyun) 周虹共八十九页第六章 电子(dinz)支付体系安全策略共八十九页第一节信息安全概述(i sh)一、信息安全含义(hny)保密性完整性可用性可控性不可否认性共八十九页二、金融(jnrng)信息安全现状及发展趋势随着国际互联网络的迅速发展和信息网络技术应用层次的不断深入，应用领域开始从传统的、小型业务系统逐渐向大型的、关键业务系统扩展。与此同时，计算机犯罪数量呈现持续上升的趋势，信息网络的安全问题已成为信息社会的严重问题。网络犯罪不仅数量急剧增多，而且(r qi)日趋复杂。其主要形式有：通过互联网络未经许可地进入他人的计算机设

2、施，破解他人的密码，使用他人的计算机资源；通过网络向他人计算机系统散布计算机病毒；进行间谍活动，窃取、篡改或者删除国家机密信息；进行商业间谍活动，窃取、篡改或者删除企事业单位存储的商业秘密和计算机程序；非法转移资金；盗窃银行中他人存款，进行各种金融犯罪等。共八十九页（一）国外金融业信息安全现状(xinzhung)1. 美国1998年5月，美国政府颁发了保护美国关键基础设施总统令，同时围绕信息保障成立了多个组织，其中包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦(linbng)计算机事件响应能动组等10多个全国性机构。同年，美国国家安全局(NSA)制定了

3、信息保障技术框架，提出了“深度防御策略”，确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标。针对未来的信息安全问题，美国于2002年9月18日和20日先后发布了保护网络空间的国家战略（草案）和美国国家安全战略。在新的国家安全战略中，明确将信息安全与国土安全作为国家安全有机结合的组成部分，明确把银行与金融部门列为国家关键基础设施组成部分，并制定了一整套安全措施，强调各部门合作、产品认证、成立金融信息共享与分析中心，形成了“准备与防范”、“检测与响应”、“重建与恢复”的安全保护战略框架。共八十九页2. 俄罗斯俄罗斯于1995年颁布了联邦信息、信息化和信息保护法

4、，为提供高效益、高质量的信息保障创造了条件，明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。2000年9月发布了俄罗斯联邦信息安全学说，明确了联邦信息安全建设的目的、任务、原则和主要内容，第一次明确指出了俄罗斯在信息领域的利益是什么、受到的威胁是什么以及为确保信息安全首先要采取的措施等。它指出国家安全依赖于信息安全的保障，保障信息安全必须从法律、技术组织及经济等方面(fngmin)采取措施。3. 欧共体欧共体委员会2001年提交了网络与信息安全欧洲政策措施建议，指出网络与信息安全应该保障所提供服务的可用性、真实性、完整性、不可否认性和保密性，必须抵御外来事件和恶意破坏。共八十九页

5、4. 亚太地区日本已经制定了国家信息通信技术发展战略，强调“信息安全保障是日本综合安全保障体系的核心”，并出台了21世纪信息通信构想和信息通信产业技术战略。除了电讯事业法、规范互联网服务商责任法、规范电子邮件法等专项互联网管理法令，具体界定相关违法行为、网站的责任和义务外，日本还通过刑法、著作权法、打击毒品犯罪(fn zu)法等，明确规定“违法信息”包括侵权诽谤、毒品交易、诈骗、色情淫秽等。1995年韩国颁布电信事业法，提出对“危险通信信息”进行监管。2001年，再次颁布互联网内容过滤法令，确立信息过滤的合法性。近年来又陆续制定了促进信息化基本法、信息通信基本保护法、促进信息通信网络使用及保护

6、信息法等法律，管理互联网信息。新西兰2003年通过了电讯（截收）法，规定警察为开展调查可以通过技术手段进入个人电脑，可对电子邮件进行过滤审查。警方根据案件调查需要，可以对单位或个人计算机信息进行调查。根据情报部门或警方要求，电信公司、网络服务商应向其提供相关用户的网络地址、登录名及密码、个人身份等信息。如拒绝提供，将被追究刑事责任。共八十九页（二）我国金融业信息安全现状(xinzhung)信息安全是信息化建设成败的关键，我国金融业对信息安全工作给予高度的重视，多年来，伴随着我国银行信息化建设，做了大量细致的、卓有成效的工作，一直贯彻从组织体系、制度体系和技术体系三个方面入手，逐步建立金融信息安

7、全保障体系的方针。从总体、宏观的角度看，我国银行计算机网络与信息系统基本上是安全的，在现有条件(tiojin)下基本能够满足支撑银行业务职能、保持平稳运行的要求。共八十九页（三）金融(jnrng)信息安全发展趋势目前金融信息安全的主要威胁有：（1）人为失误。（2）欺诈行为。（3）内部人员破坏行为。（4）物理资源服务丧失。（5）黑客攻击。（6）商业信息泄密。（7）病毒（恶意程序）侵袭(qnx)。（8）程序系统自身的缺陷。共八十九页三、信息安全评估(pn )标准1. 可信计算机系统评估标准可信计算机系统评估标准（Trusted Computer System Evaluation Criteria

8、，TCSEC）是美国国防部1985年公布的，目的是为安全产品的测评提供准则和方法，指导信息安全产品的制造和应用。其评估标准主要是基于系统安全策略（policy）的制定、系统使用状态的可审计性（accountability）以及对安全策略的准确解释和实施的可靠性（assurance）等方面的要求。但其仅适用于单机系统，而完全忽略了计算机联网工作时会发生的情况。2.ISO/IEC 15408评估标准随着互联网技术的发展，人们对信息安全概念的进一步深化(shnhu)。为适应信息安全的需要，美国、加拿大、欧洲等共同发起并公布了ISO/IEC 15408标准，即通用评估标准（common criteri

9、a，CC），它从评估目标的实现过程角度描述了信息安全概念。Common Criteria Project Sponsoring Organizations. Common Criteria for Information Security Evaluation. Version 2. 1. ISO/IEC 15408， Aug. 1999.ISO/IEC 15408评估标准将安全要求区分为功能要求和保证要求，所选用的安全功能对安全目标实现的保证体现在实现的正确性和有效性两方面。其中在安全功能的定义方面，该标准提供了从常用安全应用领域中抽象出来的功能类，并对安全保证要求提供了分级化的评估等级标准

10、。共八十九页3.ISO/IEC 17799评估标准ISO/IEC 17799，即信息安全管理操作规则于2000年12月出版，作为通用的一个信息安全管理指南，其目的并不是告诉人们有关“怎么做”的细节，它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。该标准特别声明，它是“制定一个机构自己的标准时的出发点”，并不是说它所包含的所有方针和控制策略都是放之四海而皆准的，也不是其他未列出的就不再要求。ISO/IEC 17799不是一篇技术性的信息安全操作手册，它讨论的主题很广泛。但是，它对每一项内容都没有深入讨论。所以，ISO/IEC 17799没有提供关于任何安全主题的确定或专门的材料。ISO

11、/IEC 17799也没提供足够的信息以帮助一个机构进行深入的信息安全检查，它离认证项目也很远。但是，作为对各类信息安全主题的高级别概述，ISO/IEC 17799显然是非常有用的，它有助于人们在高级管理中理解每一类信息安全主题的基础性问题。要符合ISO/IEC 17799或其他真正的安全标准，都不是一件简单的事情。需要说明，目前已经有几个国家指出，ISO/IEC 17799的某些部分(b fen)与其国家法律存在着冲突，尤其是在隐私领域。共八十九页4. 其他安全评估标准 ISO国际标准 美国标准局标准ANSI 美国政府标准FIPS Internet标准和RFC RSA公司标准PKCS上述的信

12、息安全评估标准是从不同角度描述的。关于ISO/IEC 17799与ISO/IEC 15408的关系，可以简单地说它们之间没有任何紧密联系，它们没有相同或类似的主题。ISO/IEC 15408旨在支持产品（最终是指已经在系统中安装了的产品，虽然目前指的是一般产品）中信息安全特征的技术性评估。ISO/IEC 15408标准还有一个重要作用，即它可以用于描述用户(yngh)对安全性的技术需求。ISO/IEC 17799则不同，它不是一篇技术标准，而是管理标准。它处理的是对信息系统中非技术内容的检查，这些内容与人员、流程、物理安全以及一般意义上的安全管理相关。一般说来，经过ISO/IEC 15408评

13、估的信息安全产品有助于确保一个机构安全项目的成功，这些安全产品的使用能够极大地减少机构所面临的安全风险。共八十九页四、 信息安全的内涵(nihn)依据上面所阐述的信息安全评估标准，信息安全的完整内涵包括以下几个方面：1. 物理安全（physical security）2. 电磁安全（electromagnetic security）3. 网络安全（network security）4. 数据安全（data security）5. 系统安全（system security）6. 操作安全（operation security）7. 人员安全（personnel security）由于信息技术安全

14、是多样化的，必须通过一定的安全职责分配将整体的安全防范任务逐级落实到每一个操作人员的每一个日常操作过程，通过管理手段强制其实施，并对各级人员针对(zhndu)其安全责任进行相应的安全教育和操作培训。共八十九页五、信息系统安全等级1. TCSEC安全等级2. 我国信息系统安全保护等级划分(hu fn)标准我国于1999年9月13日发布了计算机信息系统安全保护等级划分准则（GB 178591999），该标准规定了计算机系统安全保护能力的五个等级。（1）第一级：用户自主保护级。（2）第二级：系统审计保护级。（3）第三级：安全标记保护级。（4）第四级：结构化保护级。（5）第五级：访问验证保护级。共八十

15、九页第二节用信息安全工程(gngchng)理论规范信息安全建设信息安全工程是采用工程的概念、原理、技术(jsh)和方法，来研究、开发、实施和维护企业级信息与网络系统安全的过程。信息安全工程学具有五大特性，即安全性、过程性、动态性、层次性和相对性。（1）全面性。 （2）过程性或生命周期性。（3）动态性。（4）层次性。（5）相对性。共八十九页一、安全风险(fngxin)分析与评估电子(dinz)支付信息安全具有系统性，动态性、层次性和过程性。 共八十九页1. 目标(mbio)和原则 风险分析的目标是：了解网络的系统结构和管理水平，及可能存在的安全隐患；了解网络所提供的服务及可能存在的安全问题;了解

16、各应用系统与网络层的接口及其相应的安全问题;网络攻击和电子欺骗的检测、模拟及预防；分析信息网络系统对网络的安全需求，找出目前的安全策略和实际需求的差距，为保护(boh)信息网络系统的安全提供科学依据。 多层面、多角度的原则共八十九页2. 对象(duxing)和范围 1、系统基本情况分析2、系统基本安全状况调查3、系统安全组织、策略分析4、相关安全技术和措施(cush)以及安全隐患分析5、系统访问控制和加密体系分析6、系统的抗攻击能力与数据传输的安全性分析：7、动态安全管理状况分析8、灾难备份以及危机管理安排状况分析共八十九页风险(fngxin)分析的内容范围(1)网络基本情况分析：(2)信息系

17、统基本安全状况调查(3)信息系统安全组织、政策情况分析(4)网络安全技术(jsh)措施使用情况分析(5)防火墙布控及外联业务安全状况分析(6)动态安全管理状况分析(7)链路、数据及应用加密情况分析(8)网络系统访问控制状况分析(9)白盒测试共八十九页3. 方法(fngf)与手段 风险分析(fnx)可以使用以下方式实现：问卷调查、访谈、文档审查、黑盒测试、操作系统的漏洞检查和分析(fnx)、网络服务的安全漏洞和隐患的检查和分析(fnx)、抗攻击测试、综合审计报告等。风险分析的过程可以分为以下四步： (1)确定要保护的资产及价值 (2)分析信息资产之间的相互依赖性 (3)确定存在的风险和威胁 (4

18、)分析可能的入侵者共八十九页4. 结果(ji gu)与结论为了便于对风险分析的结果进行评审，结果能够量化的尽可能地量化，不能量化的作出形式化描述。如果某个设备的价格、存在的漏洞缺陷的数量等是可以量化的，就必须给出量化后的结果;而像某些系统应用的安全级别就不好量化，就应根据相关的评估标准来确定它的安全级别（如A级、B级或C级），这样得出的分析结果就是大量的表格数据，这些数据就是以后各项工作的依据，应妥善地保存。 如何根据分析的数据结果得出最终的评估结论也是一项重要的工作，需要安全专家进行总结(zngji)。对结果进行分析时一定要有所比较，将所得到的结果与以前的结果进行比较，或是与其他信息系统的评

19、估结果进行比较，还要与有关的标准进行比较。严格的比较有助于为信息系统的安全性定级，因此，参照物的选择很关键。在比较之后，通过总体的权衡，给出整个系统安全性的概述说明，并将结论与测试结果上报主管部门或人员。 共八十九页二、安全策略 1.安全策略的制定原则(1)抽象安全策略 (2)全局自动安全策略 (3)局部执行策略 2.安全策略包含的内容 （1）保护的内容和目标（2）实施保护的方法 （3）明确(mngqu)的责任（4）事故的处理 共八十九页三、需求(xqi)分析1. 需求分析(fnx)的原则 （1）遵照法律。（2）依据标准。（3）分层分析。（4）结合实际。共八十九页2. 需求(xqi)分析的内容

20、 (1)管理层 (2)物理层 (3)系统(xtng)层(4)网络层(5)应用层共八十九页3. 网络安全系统设计(shj)原则 （1）木桶原则。对信息均衡、全面地进行保护。 （2）整体性原则。进行安全(nqun)防护、监测和应急恢复。 （3） 实用性原则。不影响系统的正常运行和合法用户的操作。 （4）等级性原则。区分安全层次和安全级别。 （5） 动态化原则。安全需要不断更新。 （6）设计为本原则。安全设计与网络设计同步进行。 共八十九页第三节信息安全技术(jsh)基本原理电子支付的安全性要求主要包括以下四个方面：（1）数据的保密性。（2）数据的完整性。（3）交易者身份的确定性。（4） 交易的不可

21、否认性。针对电子支付的各种不同的安全(nqun)性要求，目前已开发出了相应的技术措施。较为成熟的有加密技术、访问控制与安全(nqun)认证技术、防火墙技术、入侵检测技术、漏洞扫描技术等。共八十九页一、加密技术加密包括两个元素：算法和密钥。目前最典型(dinxng)的两种加密技术是对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（data encryption standard，DES）算法为典型(dinxng)代表，非对称加密通常以RSA（Rivest-Shamir-Adleman）算法为代表。共八十九页（一）对称(duchn)加密技术对称加密技术也称私人密钥加密（

22、secret key encryption），是指发送和接收数据的双方必须(bx)使用相同的密钥进行加密和解密运算。功能的要求也没有那么高。PGP（pretty good privacy）系统使用的是IDEA加密标准。对称加密算法的优点在于加密速度快，适于大量数据的加密处理；缺点是如何在两个通信方之间安全地交换密钥，在电子商务交易过程中存在以下几个问题：（1）要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥（2）密钥的数目难于管理。（3）对称加密算法一般不能提供信息完整性的鉴别。（4）对称密钥的管理和分发工作是一件具有潜在危险且烦琐的过程。共八十九页（二）非对称加密技术非对称加密

23、技术也称做公开密钥加密（public key encryption）。1976年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题，提出了一种新的密钥交换协议，这就是公开密钥系统(xtng)。相对于对称加密算法，该方法叫做非对称加密算法。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（public key）和私有密钥（private key）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫做非对称加密算法。非对称加密

24、解决了对称加密中的基本问题，即密钥的安全交换问题。这种加密技术的加密速度较慢，只运用于对少量数据进行加密。采用这种加密技术的主要是RSA。共八十九页贸易方利用(lyng)非对称加密算法实现机密信息交换的基本过程（1）贸易方甲生成一对密钥并将其中的一把作为公用密钥向其他贸易方公开；（2）贸易方乙生成一个(y )自己的私有密钥并用贸易方甲的公开密钥对自己的私有密钥进行加密，然后通过网络传输到贸易方甲，接收方贸易方甲用自己的公开密钥进行解密后，就可以得到发送方的私有密钥并妥善保存；（3）贸易方乙对需要传输的文件用自己的私有密钥进行加密，然后通过网络把文件传输到接收方贸易方甲；（4）贸易方甲接收到贸易

25、方乙传输来的文件后，用发送方贸易方乙的私有密钥对文件进行解密，得到文件的明文形式。共八十九页二、访问控制与安全(nqun)认证技术访问控制机制是根据实体的身份及其相关信息来解决实体的访问权限的。访问控制机制的实现常基于以下某一或某几个措施：访问控制信息库、认证信息、安全标签等。一般包括：物理访问控制、网络(wnglu)访问控制和系统访问控制。物理访问控制包括对物理房屋的访问控制、公共网络点与内部网络的隔离以及对工作站、服务器、存储备份设备等的物理访问等。对数据网络层次的访问控制可以通过防火墙的基于策略的配置或路由器的访问控制列表来实现。系统级的访问控制可以通过对系统账号的控制和域间的信任关系来

26、实现。有效的访问控制机制需要强认证方案的支持。不同的认证方案提供不同层次的安全性。一些著名的安全认证机制如下：基于口令的认证；单步/双步令牌认证；数字签名；数字证书；单注册；拨号PAP/CHAP远程访问认证等。下面介绍几种常用的访问控制与安全认证技术。共八十九页（一）防火墙防火墙 = 数据过滤器 + 系统定义的安全策略 + 网关防火墙主要用来隔离内部网和外部网，对内部网的应用系统加以保护。防火墙技术一直在不断发展，目前市场上约有上百种不同种类的防火墙。在网络的不同层上有不同类型的防火墙，可以从不同角度保护内部网。目前的防火墙有两大类：一类是简单的包过滤技术，即在网络层中有选择地让数据包通过。也

27、就是说，是依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，再根据数据包的源地址、目的地址、所用的TCP端口与TCP链路状态(zhungti)等因素来确定是否允许数据包通过。另一类是应用网关和代理服务器，其显著的优点是较容易提供细颗粒度的存取控制，其可针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包进行分析并形成相关的报告。共八十九页1. 基于路由器的包过滤型防火墙2. 应用网关和代理服务器防火墙3. 两种防火墙的结合使用(shyng)4. 病毒防火墙5. 支付网关共八十九页（二）数字签名和报文摘要(zhiyo)技术实现方式一般采用公开密钥加密算法，实现原理如下：（1）发送方首

28、先用哈希函数从原文得到数字签名，然后采用公开密钥体系用发送方的私有密钥对数字签名进行加密，并把加密后的数字签名附加在要发送的原文后面。（2）发送一方选择一个私人密钥对文件进行加密，并把加密后的文件通过网络传输到接收方。（3）发送方用接收方的公开密钥对私人密钥进行加密，并通过网络把加密后的私人密钥传输到接收方。（4）接收方使用自己的私有密钥对密钥信息(xnx)进行解密，得到私人密钥的明文。（5）接收方用私人密钥对文件进行解密，得到经过加密的数字签名。（6）接收方用发送方的公开密钥对数字签名进行解密，得到数字签名的明文。（7）接收方用得到的明文和哈希函数重新计算数字签名，并与解密后的数字签名进行对

29、比。如果两个数字签名是相同的，说明文件在传输过程中没有被破坏，可确定发送方的身份是真实的。共八十九页在书面文件上签名是确认文件的一种手段，其作用有两点：第一，因为(yn wi)自己的签名难以否认，从而确认了文件已签署这一事实；第二，因为(yn wi)签名不易仿冒，从而确定了文件的真实性。 数字签名与书面文件签名有相似之处。采用数字签名，也能确认以下两点：第一，信息是由签名者发送的；第二，信息自签发后到收到为止未曾做过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪，或冒用别人名义发送信息，或发出（收到）信件后又加以否认等情况发生。 应用广泛的数字签名方法主要有三种，即RSA签名、

30、DSS签名和哈希（Hash）签名。这三种算法可单独使用，也可综合在一起使用。共八十九页（三）安全认证(rnzhng)中心CA1. 数字证书概述数字证书，就是用电子手段来证实一个用户的身份以及访问网络资源的权限的数字文档，其作用类似于现实生活中的身份证。它由权威机构发行，用于鉴别对方的身份。 一个标准的X. 509数字证书包含以下一些内容：（1）证书的版本信息；（2）证书的序列号，每个证书都有一个唯一的证书序列号；（3）证书所使用的签名算法；（4）证书的发行机构名称，命名规则一般(ybn)采用X. 500格式；（5）证书的有效期，现在通用的证书一般都采用UTC时间格式，它的计时范围为195020

31、49年；（6）证书所有人的名称，命名规则一般采用X. 500格式；（7）证书所有人的公开密钥；（8）证书发行者对证书的签名。 数字证书分为以下几种类型：（1）客户端证书：该证书是对个人发布的，也称为个人证书。（2）服务器证书：该证书是对应用服务器，如Web服务器发布的。它与服务器的域名相联系，如果服务器域名有改变，就必须重新发布证书。（3）软件发布者证书：该证书用于认证软件代码或从FTP服务器上下载的软件。前两类是常用的证书，第三类用于较特殊的场合。共八十九页2. 认证中心(zhngxn)概述认证中心主要有以下几种功能(gngnng)：（1）数字证书的颁发。（2）证书的更新。（3）证书的查询。

32、（4）证书的作废。（5）证书的归档。共八十九页（四）公开密钥基础设施(j ch sh sh)1. PKI的基本组成（1）认证机构CA。（2）注册机构RA。（3）数字证书库。（4）密钥备份及恢复系统。（5）证书作废处理系统（X. 509 Version 3、CRL Version 2）。（6）PKI应用接口系统。一个完整的PKI必须提供良好的应用接口系统，以便各种应用都能够以安全、一致、可信的方式(fngsh)与PKI交互，确保所建立的网络环境的可信性，降低管理和维护的成本。 共八十九页2.PKI体系结构及功能(gngnng)目前，在PKI体系基础上建立起来的安全证书体系得到了从普通用户、商家、

33、银行到政府各职能部门的普遍关注。美国、加拿大等政府机构都提出了建立国家PKI体系的具体实施方案。 PKI系统的建立应该着眼于用户使用证书及相关服务的便利性、用户身份认证的可靠性。具体职能包括：制定完整的证书管理政策、建立高可信度的CA中心、负责用户属性的管理、用户身份隐私的保护和证书作废列表的管理；CA中心为用户提供证书及CRL有关服务的管理，建立安全和相应的法规，建立责任划分并完善(wnshn)责任政策。 一个典型的PKI体系结构如下： （1）政策批准机构PAA。（2）政策PCA机构。（3）认证中心CA。（4）在线证书申请ORA。共八十九页3.PKI的操作(cozu)功能在实际运行中，PKI

34、的多种操作方式会影响其他功能的实现方式，不同实现方式的组合将形成不同的PKI全局操作思想。 PKI具有十二种功能操作，涉及的成员机构包括：PKI认证机构(P)、数据(shj)发布目录(D)和用户。 （1）产生、验证和分发密钥。用户公私钥对的产生、验证和分发包括如下方式： 用户自己产生密钥对： CA为用户产生密钥对： CA(包括PAA、PCA、CA)自己产生自己的密钥对：共八十九页（2）签名和验证。（3）证书(zhngsh)的获取。（4）验证证书。（5）保存证书。（6）本地保存证书的获取。（7）证书废止的申请。（8）密钥的恢复。（9）CRL的获取。（10）密钥更新。（11）审计。（12）存档。共

35、八十九页4.PKI体系结构的组织(zzh)方式在一个PKI体系结构内，成员的组织可以有很多方式，包括按日常职能分类的COI(community of interest)方式，将PKI体系建立在现有的政府或组织机构管理基础之上的组织化方式，以及按安全级别划分的担保等级方式。 以上方式都是基于以下因素考虑：由哪个机构来设置安全政策；在安全政策下用户该如何组织；在具体实施过程中应采取哪种或哪几种方式的组合。而具体应该考虑系统可靠性、系统可扩展性、系统的灵活性和使用的方便性、CA结构的可信任性、与其他系统的互操作性、增加成员的开销、各系统模块的管理结构，以及责任划分等因素。 随着互联网覆盖范围的扩大，

36、在世界范围内将出现多种多样的证书(zhngsh)管理体系结构。所以，PKI体系的互通性也不可避免地成为PKI体系建设时必须考虑的问题，PKI体系中采取的算法的多样性更加深了互通操作的复杂程度。PKI的互通性首先必须建立在网络互通的基础上，才能保证在全球范围内在任何终端用户之间数据的传送；其次是用户必须借助于X. 500目录服务获得对方签名使用的算法。 共八十九页PKI在全球互通的实现途径有两种：（1）交叉认证方式：需要互通的PKI体系中的PAA在经过协商和政策制定之后，互相认证对方(dufng)系统中的PAA(即根CA)。认证方式是根CA用自己的私钥为其他的需要交叉认证的根CA的公钥签发证书。

37、这种认证方式减少了操作中的政策因素，对用户而言，也只在原有的证书链上增加一个证书而已。但对于每一个根CA而言，需要保存所有其他需要与之进行交叉认证的根CA的证书。（2）全球建立统一根方式：这种方式是将不同的PKI体系组织在同一个全球根CA之下，这个全球CA可由一个国际组织如联合国来建设。考虑到各个PKI体系管理者一般都希望能保持本体系的独立性，全球统一根CA实现起来有一些具体的困难。所以，PKI体系之间的互通性一般用交叉认证来实现。 共八十九页三、入侵(rqn)检测入侵检测系统（network intrusion detection system，NIDS）是用于检测任何损害或企图损害系统保密

38、性、完整性和入侵，特别是用于检测黑客通过网络进行的入侵行为的管理软件。网络入侵检测系统可以分为基于网络数据包分析(fnx)和基于主机检测两种方式。简单地说，前者是在网络通信中寻找符合网络入侵模板的数据包，并立即作出反应。后者是在宿主系统审计日志文件中寻找攻击特征，给出统计分析(fnx)报告。共八十九页四、漏洞(ludng)扫描：探查网络薄弱环节 选择网络安全扫描工具时，应注意考核几点：扫描发现的安全漏洞数量是否多，数据库更新速度是否快，扫描效率以及对目标网络系统的影响是否大，定制模拟攻击方法是否灵活，扫描程序的易用性与稳定性是否好，提供安全服务的公司掌握最新安全漏洞和攻击方法的能力是否强。 安

39、全扫描是采用模拟攻击的形式对可能存在的已知安全漏洞进行逐项检查，扫描目标可以是工作站、服务器、交换机和数据库应用等。通过扫描，可以为系统管理员提供周密可靠的安全性分析报告，从而提高网络安全整体水平。在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、安装运行(ynxng)简单。 共八十九页五、网络病毒(bngd)的防治通常，我们将网络防毒软件划分为客户端防毒、服务器端防毒、群件防毒和Internet防毒四大类。有必要在工作站和服务器上部署病毒实时监控系统，并将病毒控制、数据保护和集中式管理集成起来。可采用病毒防火墙，它实际是广义防火墙的一个特殊方面，专门用于对病毒的过滤。这种过滤体现在

40、两个环节上：其一，是保护计算机系统不受来自于任何方面病毒的危害。这里所说的“任何方面”，一方面指计算机的本地资源，比如传统的磁盘介质等，一方面指相对于“本地”而言的“远程”网络资源，比如用户使用的Internet等。其二，是对计算机系统提供的保护要着眼于整个系统并且是双向的，也就是说，病毒防火墙应该能对本地系统内的病毒进行“过滤”，防止它向网络或传统的存储介质扩散。一般病毒防火墙对系统提供的保护是实时的、透明(tumng)的，相当于每时每刻都在为用户查、杀病毒，整个过程基本上不需要用户对其进行过多的干预。共八十九页六、电子支付(zhf)安全协议SSL、SET与3D （一）SSL安全协议1. S

41、SL安全协议的基本概念SSL安全协议主要提供三方面的服务：（1）认证用户和服务器，使得它们能够确信数据会被发送到正确的客户机和服务器上；客户机和服务器都有各自的识别号，这些识别号由公开密钥进行编号，为了验证用户是否合法，安全套接层协议要求握手交换数据以进行数字认证，以此来确保用户的合法性。（2）加密数据以隐藏被传送(chun sn)的数据。（3）维护数据的完整性，确保数据在传输过程中不被改变。共八十九页SSL的缺陷是只能保证传输过程的安全，无法知道在传输过程中是否(sh fu)受到窃听，黑客可以此破译SSL的加密数据，破坏和盗窃WEB信息。SSL产品的出口受到美国国家安全局（NSA）的限制，共

42、八十九页2.SSL安全协议的运行(ynxng)步骤（1）接通阶段。（2）密码交换阶段。（3）会谈密码阶段。（4）检验(jinyn)阶段。（5）客户认证阶段。（6）结束阶段。共八十九页3.SSL安全(nqun)协议的应用SSL安全协议也是国际上最早应用于电子商务的一种网络安全协议，至今仍然有许多网上商店在使用。SSL协议运行的基点是商家对客户信息保密的承诺。正如美国(mi u)著名的亚马逊（Amazon）网上书店在其购买说明中明确表示的：“当你在亚马逊公司购书时，受到亚马逊公司安全购买保证保护，所以，你永远不用为你的信用卡安全担心。”但在上述流程中我们会发现，SSL协议有利于商家而不利于客户，客

43、户的信息首先传到商家，商家阅读后再传到银行。这样，客户资料的安全性便受到威胁。商家认证客户是必要的，但在整个过程中缺少了客户对商家的认证。在电子商务的开始阶段，由于参与电子商务的公司大都是一些大公司，信誉较高，这个问题没有引起人们的重视。随着电子商务参与商家的迅速增加，对商家的认证问题越来越突出，SSL协议的缺点完全暴露出来，SSL协议逐渐被新的SET协议所取代。共八十九页（2）SET安全协议 SET主要由三个文件组成,分别是SET业务(yw)描述、SET程序员指南和SET协议描述。 （二）SET安全(nqun)协议共八十九页1. SET安全(nqun)协议概念SET安全协议运行的目标 保证信

44、息在因特网上安全传输，防止数据被黑客或被内部人员窃取(qiq)。保证电子商务参与者信息的相互隔离。解决多方认证问题保证了网上交易的实时性，使所有的支付过程都是在线的。效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。 共八十九页消费者 在线商店 收单银行 电子货币 认证(rnzhng)中心（CA）SET安全(nqun)协议涉及的所涉及的对象共八十九页采用SET协议进行网上电子交易支付时，主要涉及持卡人、发卡行、商户、收单行以及支付网关五方。在用户身份认证方面，SET引入了证书(zhngsh)（certificate

45、s）和证书管理机构（certificates authorities）机制。证书就是一份文档，它记录了用户的公共密钥和其他身份信息。在SET中，最主要的证书是持卡人证书和商家证书。（1）持卡人证书。（2）商家证书。共八十九页除了持卡人证书和商家证书以外，还有支付网关证书、银行证书、发卡机构证书。证书管理机构CA是受一个或多个用户信任，提供用户身份验证的第三方机构。证书一般包含拥有者的标识名称和公钥，并且由CA进行数字签名。CA的功能主要(zhyo)有：接收注册请求；处理、批准/拒绝请求；颁发证书。用户向CA提交自己的公共密钥和代表自己身份的信息（如身份证号码或E-mail地址），CA验证了用户

46、的有效身份之后，向用户颁发一个经过CA私有密钥签名的证书。 证书的树形验证结构在两方通信时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证CA的身份，以此类推，一直到公认的权威根CA处，就可确信证书的有效性。SET证书正是通过信任层次来逐级验证的。通过SET的认证机制，用户不再需要验证并信任每一个想要交换信息的用户的公共密钥，而只需要验证并信任颁发证书的CA的公共密钥就可以了。共八十九页2.SET安全协议的工作(gngzu)原理SET协议的工作流程分为下面七个步骤：（1）消费者选定所要购买的物品(wpn)，并在计算机上输入订货单。（2）通过电子商务服务器

47、与有关在线商店联系，在线商店作出应答，告诉消费者所填订货单的货物单价、应付款数。交货方式等信息是否准确，是否有变化。（3）消费者选择付款方式，确认订单，签发付款指令。此时SET开始介入。共八十九页（4）在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的账号信息。（5）在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司(n s)确认。批准交易后，返回确认信息给在线商店。共八十九页（6）在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。（7）在线商店发送货物或提供服务，并通知收单银

48、行将钱从消费者的账号转移(zhuny)到商店账号，或通知发卡银行请求支付。共八十九页3.SET标准(biozhn)的应用 SET协议规范的技术范围包括：（1）加密算法的应用（例如RSA和DES）；（2）证书(zhngsh)信息和对象格式；（3）购买信息和对象格式；（4）认可信息和对象格式；（5）划账信息和对象格式；（6）对话实体之间消息的传输协议。共八十九页（1）协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书。（2）协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是由签署证书的消费者发出的。（3）协议提供了多层次的安全保障，但显著增加了复杂程度，因而变得昂贵

49、，互操作性差，实施起来有一定难度。（4）SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞(ludng)可能使这些数据以后受到潜在的攻击。SET协议(xiy)的缺陷共八十九页（三）3D 安全(nqun)协议1.安全协议概述3D安全协议涉及5个实体，包括持卡人、发卡行、商户、收单行和VISA组织。3D安全协议将这5个实体逻辑地分到3个域中。其中，发卡机构域指发卡行和持卡人；中间运行域是使发卡机构域和收单机构域在全球范围内协同运行的系统和功能设施(shsh)；收单机构域指收单行和商户。3D安全协议中一个重要的组成

50、部分是发卡行认证服务器访问控制服务器ACS。共八十九页（1）发卡(f k)机构域组成。 持卡人：持卡人联机购物，通过浏览器等软件方式，提供持卡人姓名、口令（也可用证书）、卡号、有效期，以及验证所需的所有信息，准备完成整个交易过程。 持卡人浏览器：浏览商家虚拟电子商城，选购商品，使用在线电子支付工具，在商户服务器插件（收单机构域）和访问控制服务器（发卡机构域）之间发送信息。 其他持卡人插件：其他可选的硬件和软件，以加强浏览器的功能，如证书、智能卡认证都可能需要额外的读卡器和客户端软件。 发卡行：建立(jinl)一个让持卡人进行注册、访问的系统，检查持卡人资格，向VISA服务器提供相应的信息。 访

51、问控制服务器（ACS）： 发卡机构域的核心部分，安装服务器证书。主要功能是检验某个卡号是否注册了安全协议，验证购物者的身份，与商户插件和VISA的目录服务器进行交互。该软件应与信用卡后台连接，能够取得持卡人信息。共八十九页（2）收单机构(jgu)域组成 商户：利用商户软件处理持卡人购物，获得卡号和购物信息，然后触发商户服务器插件MPI进行支付验证，如果支付通过验证，商户就向收单行发出授权请求，发卡行和收单行完成传统的交易授权过程。 商户服务器插件：是一个支付网关插件，安装服务器证书，处理支付验证请求，然后将控制交给商户软件，与VISA目录服务器和发卡机构进行各种交互。作为(zuwi)处理从发卡

52、行返回的验证反馈信息的一部分，MPI可以验证消息中的数字签名，在某些情况下，也可以由收单行代表多家商户执行该功能。 收单行：为某一金融机构，负责签约特约商户，确定商户是否参加3D；负责开发支付网关；决定商户参加安全协议的资格；接收发卡行的反馈验证信息，并对该信息进行签名认证。收单行还要履行其传统职能，即从商户接收授权信息，将授权请求发送到传统授权系统；向商户提供授权反馈信息，将完成的交易送到VISA清算系统。共八十九页（3）中间运行(ynxng)域组成。 VISA路径服务器 验证历史服务器 VISANET：在支付验证后，VISANET执行其传统授权职责。从收单行接收授权请求，发给发卡行；提供从

53、发卡行送给(sn i)收单行的反馈信息；为发卡行和收单行提供清算数据。 VISA CA：负责签发SSL/TLS和服务器证书及提供签名证书和VISA根证书。共八十九页持卡人发卡(f k)机构访问控制发卡机构(jgu)域 中间操作域 收单机构(jgu)域 商户收单机构收单机构支付网关VISA目录服务器插件历史验证VISANET（1）（2）（3）（4）（5）（6）（7）（8）（9）（12）（13）（10）（11）（14）2.3D安全协议的运作过程共八十九页3D交易过程（1）持卡人登陆商户网站，浏览商品，输入口令及卡号，输入订购信息及支付信息。（2）商户软件插件通过VISA的目录服务器检查卡号所示的发

54、卡机构是否参与了3D安全协议。（3）VISA目录服务器将卡号传送(chun sn)给发卡机构的访问控制服务器，通过发卡机构检查认证该卡是否已参与3D安全协议。（4）发卡机构的ACS确认该卡是否已参与3D安全协议。（5）VISA目录服务器将发卡机构的ACS的地址告知商户插件。（6）商户插件将持卡人浏览器定位到ACS，同时附上交易信息待持卡人进一步确认。共八十九页（7）发卡机构的ACS要求持卡人输入用户名和密码。（8）持卡人向发卡机构中输入用户名和密码。（9）发卡方的ACS验证密码，产生回应信息，然后将客户重新定位向商户插件；与此同时将有关信息发送给VISA的历史验证服务器。（10）商户将交易信息

55、提交给收单机构。（11）收单机构向发卡机构要求授权。（12）发卡机构通过VISANET向收单机构发送(f sn)授权（这里的交易流与传统刷卡交易一样）。（13）收单机构将交易回应信息返回到商户。（14）商户确认交易并向持卡人提供收据。共八十九页3.3D安全(nqun)协议应用3D安全协议的推出给互联网交易便利提供了有效的解决方法。3D安全协议实施灵活(ln hu)简单，数据传输比较安全，有效减少了交易争议。对持卡人来说，除了智能卡交易，通常无需安装特定软件就可进行交易，简便易行，同时可防止信用卡被盗用。对发卡机构来说，3D安全协议减少了交易争议，提高了商户效率，减少了交易成本，减少了欺诈风险。

56、同时由于每笔交易都要访问发卡行的网站，还增强了持卡人和发卡机构间的联系。对于商户来说，能够减少欺诈交易，增加交易量，降低交易争议。但是3D安全协议由于增加了VISA中间认证的环节，每一笔交易的认证过程都要经过中间运行域参与认证，并由VISA有关设备提供服务，增加了操作过程的复杂性。由于采取“用户ID加口令”的简单认证方式，因而在安全性上比较薄弱，交易信息的完整性和不可否认性都不容易得到保证。另一方面，认证过程需要三个域之间的信息交互和交互认证，时间开销较大。目前我国一些银行已经开始规划采用3D安全协议实现网络电子支付机制。共八十九页（四）SSL、SET与3D安全(nqun)协议比较1. 功能方

57、面的异同2. 安全方面的异同3. 系统负载(fzi)能力共八十九页第四节金融信息安全体系(tx)架构和安全策略一、金融信息安全保障体系构成信息安全保障是确保信息和信息系统的保密性、完整性、可用性、真实性、不可否认性、可追究性和可控性的保护，以及对意外事件或恶意行为的防范活动。金融信息安全保障的主要内容包括：重大业务应用系统的连续可用性；业务工作责任的不可否认性；业务数据(shj)和信息的真实性、完整性；涉及国家秘密和行业敏感信息的保密性；什么人、可以访问什么资源、有什么权限，以及控制授权范围内的信息流向及行为方式等的可控性。金融信息安全保障体系建设涉及多个环节，包括法律、管理、技术、人才、意识

58、等各个方面，与各部门、各地方都密切相关，是一个复杂的系统工程。共八十九页金融信息安全保障体系的建设包括六大体系：（1）安全法规(fgu)体系。（2）标准规范体系。（3）安全组织体系。（4）安全管理体系。（5）技术支持体系。（6）应急服务体系。共八十九页二、金融(jnrng)信息安全管理策略（一）金融信息安全的组织管理策略金融信息安全的组织管理策略包括信息安全的规章制度策略和信息安全的运行管理策略。信息安全管理制度主要包括：人员安全管理、操作安全管理、场地与设施安全管理、设备安全管理、操作系统和数据库安全管理、网络安全管理、信息化项目安全管理、应用系统安全管理、技术文档安全管理、数据安全管理、密

59、码与密钥安全管理、认证管理、应急管理和审计管理。信息安全的运行管理策略包括建立技术支持制度、明确安全责任制度等措施(cush)保证信息安全。共八十九页（二）金融(jnrng)信息安全的风险管理策略金融信息安全的风险主要体现在技术、管理、业务、人员以及政策上的风险，必须采取完善的管理战略和制度来控制风险。金融信息安全风险管理是通过风险评估来识别、控制、降低(jingd)或消除安全风险的活动过程。金融信息安全风险管理可有效消除潜在的威胁，预防损失。信息安全的风险管理可考虑针对金融系统的各个环节，进行深入的风险分析，列举出可能的风险状况，从而采取相应的对策；建立风险信息控制机制，及时通报风险情况，做

60、到信息共享，预报准确，有效预防可能产生的危害；风险分析从系统方面涉及网络系统、业务应用系统、信息系统、办公系统及基础设施；同时需要分析管理、组织、人员、数据、应急支持等风险。金融机构需要建立自己的风险管理机制和规范，并制定具体的操作办法，将风险控制有效落实到银行生产、管理的各个环节和各个部门。共八十九页（三）金融(jnrng)信息安全的技术管理策略技术安全是金融信息安全保障的基础性工作，通过技术方法可以预防占绝大多数的一般性攻击、发挥重要的作用。技术安全工作包括准备与防御、检测与响应(xingyng)等方面。（1）准备与防御。（2）检测与响应。共八十九页（四）金融(jnrng)信息安全的质量管