运行保障机制

目录TOC\o"1-5"\h\z\o"CurrentDocument"电子支付体系的安全机制 2电子支付体系的安全/风险分析及应对措施 2金融支付服务机构面临的主要风险 2我要付的安全/风险应对措施 2\o"CurrentDocument"管理层安全分析及对策 2\o"CurrentDocument"物理层安全分析及对策 2\o"CurrentDocument"系统层安全分析及对策 3\o"CurrentDocument"网络层安全分析及对策 3应用层安全分析及对策 4\o"CurrentDocument"我要付风险控制体系 4\o"CurrentDocument"我要付安全机制实现 5\o"CurrentDocument"账户安全 5\o"CurrentDocument"安全账户体系 5\o"CurrentDocument"结算安全 6\o"CurrentDocument"支付安全 6\o"CurrentDocument"系统安全 6我要付盾 错误！未定义书签。\o"CurrentDocument"运行保障体系 7\o"CurrentDocument"灾难应对解决方案 7\o"CurrentDocument"掉单交易解决方案 9掉单交易的通常引起因素 9交易掉单的解决方案 9\o"CurrentDocument"数据核对的处理流程、网络连接方式和安全机制 11\o"CurrentDocument"业务流程综述 11信息系统安全数据和机制的保护 12信息系统内部数据传送 12\o"CurrentDocument"篡改保护 12\o"CurrentDocument"安全策略执行的模块化和连续化 12\o"CurrentDocument"可信恢复 12\o"CurrentDocument"参照仲裁 13\o"CurrentDocument"域分离 13\o"CurrentDocument"时间戳 13\o"CurrentDocument"信息系统自检 13在信息系统业务应用层中使用的安全功能、安全技术及其实现的描述………13\o"CurrentDocument"数字签名与数字证书 13密码支持技术 14非对称加密技术 14电子支付体系的安全机制电子支付体系的安全/风险分析及应对措施金融支付服务机构面临的主要风险内部员工管理不善造成数据、程序外泄的风险。系统运行设备故障/损害的风险。网络层遭受DOS、DDOS攻击造成网络中断的风险。操作系统存在漏洞给黑客入侵的风险。程序代码有问题造成系统不稳定，死锁的风险。我要付的安全/风险应对措施管理层安全分析及对策信息安全是一个管理和技术结合的问题。就信息安全而言，管理与技术的关系就如同人与武器的关系一样。一个严密、完整的管理体制，不但可以最大限度地在确保信息安全的前提下实现信息资源共享，而且可以弥补技术性安全隐患的部分弱点。管理包括行政性和技术性管理。信息网络系统能否正常高效地运行，很大程度上取决于是否发挥了它的最大功效，这依赖于系统的管理策略。管理层的安全需求分析就是研究为了保证系统的安全，应该建立一个怎样的管理体制。具体来讲，就是成立什么样的管理机构或部门；负责什么任务；完成什么功能；遵循什么原则；达到什么要求。根据管理层的安全需求将我要付总体上划分为技术部和业务部，技术部又划分为PMD和SOR两大部门。业务部划分为BD、SAC、销售、市场、渠道销售等多个部门。这样从管理上最明确了工作内容和职责，同时使多个部门互相制约和互相协助避免一个部门或一个人拥有太高的系统权限。物理层安全分析及对策物理层的安全就是保证实体财产的安全。实体安全是信息网络安全的低层安全，也是保证上层安全的基础。物理层的安全需求分析就是根据单位的实际情况，确定单位各实体财产的安全级别，需要什么程度的安全防护；达到什么样的安全目的。根据物理层安全需求及我要付网上支付系统的实际情况，我要付网上支付系统的服务器全部采用IBM高端服务器，服务器本身就是高稳定性、可靠性的。并且所有服务器都托管在上海核心IDC节点，IDC机房拥有严格的机器上架下架流程，进出IDC机房维护流程，所以在物理层上我要付网上支付系统是非常安全的。系统层安全分析及对策操作系统是信息网络系统的基础平台，它的安全也是保证上层安全的基础。系统层的安全需求分析就是研究为保证安全，应该要求操作平台达到什么样的安全级别；为达到所要求的级别，应该选用什么样的操作系统；如何使用、管理、配置操作系统。根据系统层安全需求我要付网上支付系统采用RedhatLinuxAS4，它是世界最稳定的操作系统之一，属于类unix操作系统，她的稳定性和安全性已经被全球公认。网络层安全分析及对策网络层是Internet的核心，是为上层应用提供网络传输的基础，也是局域网和广域网连接的接口。因此，针对网络层的攻击和破坏很多。现在经常采取的安全防护措施是在网络的边界上，通过使用防火墙的IP过滤和应用代理等功能来实现安全连接。一种简单有效的方法是在路由器上采用IP过滤技术，由硬件实现，效率相当高。对于网络层所传输的数据的保护可以采用加密技术来实现，新一代的安全网络协议正在设计和实验阶段。那么，根据信息系统的业务方向，分析系统的网络安全需求，再确定应该采用什么样的防护方式。根据网络层安全需求我要付网上支付系统实施：1） 采用多台Netscaler实施GSLB，从而保证站点级的冗灾。2） 采用多台Netscaler防DDOS、实现内容交换，SSL加速等技术加快站点访问3） 使用多台Netscreen做硬件防火墙，从而实现生产系统攻击保护、访问控制、管理控制。4） 使用多台Cisco高端交换机构成生产系统核心交换网络，从而实现vlan划分、访问控制、标准化的交换结构、良好的扩展性和安全管理5） 部署多台IPS，进行入侵追踪、防御，从而保护生产系统，防止黑客入侵。6） 在北京多个高质量的IDC机房设立CDN站点，从而加速全国用户、商户访问99Bill站点。

7）因为我要付网上支付系统直接和钱打交道，安全性上要求非常高，所以我要付网上支付系统对用户和商户的访问使用全程SSL加密保护，防止用户的操作信息被截取和解密。1.1.2.5.应用层安全分析及对策应用层是网络分层结构的最上层，是用户直接接触的部分。由于基于网络的应用很多，供应商也很多，所以存在的安全问题也很多，相应的安全防护技术也很多，需要根据实际情况来衡量对它们的需求程度。根据应用层安全需求我要付网上支付系统采用1） 对关键服务如Oracle数据库、Email服务器、Web服务器、App服务器、消息服务器实施HA方案和LoadBalance方案，使服务持续安全运行。2） 程序完全自行开发，在上线之前需经过一系列全面严格的测试：功能、性能、安全、压力等，保证在线系统的安全可靠。3） 我要付网上支付系统自行开发软件对注册用户的信息进行验证，做到不可抵赖，防止欺诈的发生。4） 交易信息需要有专门的部门进行审核，对于用户交易过程必须在应用层全程跟踪，对账户随时可以做出可控处理。我要付风险控制体系我要付设有以CEO为核心的风险控制委员会，下设风险控制部门，并制定了完善的风险控制机制。P3风险控制系统架构如下:登家IP弛址 ♦炳普禧用等级用户的认证和实时的登陆/交易, 仲明.登家IP弛址 ♦炳普禧用等级用户的认证和实时的登陆/交易, 仲明.引导情况短信通知’，安全保性用户升级验证.缪"冲组•基本数据的安走 P3—富快锻尽塾诈系统数据加密数字签名每日交易审计•欺诈分类~*高度风险帐户跟踪•风险识别模块内部调查•交易链路分析•T+3的取现金霉和流程」•数据真实性黑H流程控制•帐户限制*•银行反欺诈.*•犯罪案例研究■- ♦. •阻断程序司法合作数据共享♦公告和信息、共享我要付安全机制实现账户安全注册安全采用具有广泛适用性和唯一性的电子邮件作为用户ID,只有经过邮件验证后才能成为我要付注册用户。登录安全登录分为两步，第一步输入账户与附加码，第二步显示用户自行定制的登录问候语，用户确认后输入账户密码，校验正确后才能登录。监控安全我要付提供通知订阅功能，我要付账户信息的变化和账户资金的变动，都会邮件通知到我要付用户。硬件安全措施一我要付盾我要付盾有效保护商家我要付账户及其资金的安全。详见“硬件安全产品介绍一我要付盾”。安全账户体系个人大众账户-personalregularaccount(PRA)一般个人账户，适用于以消费为主的个人客户。个人专业账户-Personalpremieraccount(PPA)个人大众版功能基础上，增加我要付盾保护及登陆、资金转出的短信提醒，适用于有收款需要的个人用户。企业大众账户-corporateregularaccount(CRA)一般企业账户，适用于只使用我要付基本收款和指定账户提现的企业，满足小型企业用户的基本安全保障要求。企业专业账户-corporatepremieraccount(CPA)在企业大众账户基础上，增加我要付盾保护及登陆、资金转出的短信提醒，适用于需要开通我要付账户并需要安全保障功能的中小型企业用户企业加强专业账户-corporatepremierplusaccount(CPA+)在企业专业账户基础上，更增加企业复核、操作员权限分配等特有功能，加强企业资金管理能力，适用于有完善财务管理制度的大型企业用户。结算安全只能结算到指定的同名银行账户，如果申请结算到其他银行账户，操作不能通过，结算申请必须由指定操作员发起，结算权限可单独设置。支付安全1） 所有的支付行为都是在SSL加密通道下完成。2） 我要付和银行之间有证书安全校验。3） 使用我要付账户支付时，可以看到对方的认证结果信息。4） 使用我要付账户支付时，可以设置交易验证通知，收款方必须验证后才能完成支付。系统安全1） 128位SSL加密我要付对全部用户信息、账户信息、加密、签名等进行128位SSL加密，SSL加密是目前银行业采用的最高级别的加密及身份认证通信协议。2） VeriSign全球安全证书VeriSign国际认证体系证书是由全球最大的信息安全服务商VeriSign颁发的，被银行业广泛采用。3） 支持VisaUSA的CISP、VisaInternational的AIS，AmericanExpressDSS和DiscoverCardDISC技术安全标准。4） 我要付通过PCI第四级资格认证PCI认证，全称PaymentCardIndustry认证，由VISA、美国运通公司、发现金融服务公司、JCB和万事达国际组织等五家国际信用卡组织联合推出，从金融机具的物理安全性、逻辑安全性、联机安全性、脱机安全性、生产期间的设备安全管理、初始密钥注入前的设备安全管理等六个方面进行严格细致的检测，保证支付卡的设备安全，是目前全球最严格、级别最高的金融机具安全认证标准。运行保障体系灾难应对解决方案1） 我要付支付平台无故障设计我要付支付系统采用世界领先的Netscaler设备的网站综合解决方案，设计我要付网站的访问入口。其中包括了LLB（线路负载均衡技术），GSLB（全球负载均衡技术），SLB（服务器负载均衡技术），SSLoffload（SSL加密加速技术），CONTENTSWITCHING（内容交换技术）等。能够保证我要付支付平台99.99%以上的正常运行。应用和数据库采用ORACLE+JAVA的综合解决方案，采用全CLUSTER的结构，能够提供我要付支付平台99.99%的应用级无故障率。2） 具体方案：我要付支付平台在上海设立2个核心应用数据处理节点，在西安，上海各设立1个用于处理各地各ISP用户请求的CDN加速站点。这些站点统一由NETSCALER设备进行监控和负载分配。NETSCALER设备会根据用户所使用的LOCALDNS，将用户分配到最适合他们访问的CDN站点或者主干处理节点，当某个节点出现故障时，NETSCALER会将该节点踢出分配列表，将正常运行的节点分配给用户。我要付支付平台内部交换网络采用CISCO的3层交换设备，采用标准的CISCO网络模型进行规划，可以很容易的进行设备的升级和结构的扩展。并根据服务器的不同功能将服务器分为3个VLAN。分别是网站区域、应用区域、数据区域，3个区域之间通过ACL来进行严格的访问控制。我要付支付平台采用的防火墙和IPS设备，能够对部分的DOS攻击做出判断，有效的阻止外部的攻击。能够提供内容过滤的访问入口，阻止嗅探和非业务数据的流入、流出。我要付支付平台2个核心应用数据处理节点之间采用SDH专线相连，内部使用OSPF协议将2个处理节点的内部连通。应用层可以很轻易的通过私有的IP网络访问到数据库资源。数据库容灾和恢复对公司来说，如果发生数据丢失，轻则影响业务的开展以及客户满意度造成一定的经济损失，更会造成不可估算的社会效益损失。因此，在限定尽可能短的时间内成功完成灾难恢复和备份是为了保证数据的正确性。所以对主生产数据库的容灾/备份/恢复是我们公司企业战略中的一个关键组成部分。我要付公司对于数据库容灾和备份恢复上采用非常安全可靠的多种方式。目前在生产的主数据库上配置了2套容灾的备份数据库和严密的RMAN多级备份策略，用来保证网站数据的安全性，避免意外丢失数据和减少停机时间。为了防范地震、火灾、水灾等自然灾害、电力中断、阵列设备崩溃、以及人为破坏而导致系统遭到严重损坏、数据丢失、业务中断的异常情况，我们制定了两套容灾方案。即我们有2个备用数据库，分别放在不同的IDC中，同时用来同步主数据库的数据，以应付主数据库意外状况下停机的容灾恢复。•备份方式目前我要付的数据库采用的是归档方式（ARCHIVELOG），并且采用RMAN的多级备份方式。归档方式的目的是当数据库发生故障时最大限度恢复数据库，可以保证不丢失任何已提交的数据。采用RMAN多级备份就是为了减少每天备份所需要的时间，而又保证系统有良好的恢复性。恢复时间与备份时间要有一个权衡。•备份策略每个月做一次数据库的全备份（包括所有的数据和只读表空间）每周一凌晨做数据库的零级备份（不包含只读表空间）同时备份所有的归档日志，备份成功后删除原始归档日志。每周二至周日凌晨做数据库的一级备份，同时备份所有的归档日志，备份成功后删除原始归档日志。任何数据库的更改需要重新同步至CATALOG目录并重新备份（如添加数据文件）或重新备份（如修改表空间为只读）每次备份后都可以备份归档日志或定期备份归档日志。所有的备份数据暂时存放在磁盘阵列上，每个月定期把备份传到到磁带上。我要付支付平台7*24小时（计划停机除外）对外运营提供服务。所有服务器都是集群架构配置，单台服务器宕机不会造成服务中断，日常的部署维护也不会造成服务中断。•数据库的结构示意图如下（RAC+Dataguard）:光纤交换机数据库结构示意图掉单交易解决方案掉单交易的通常引起因素在电子支付交易中，由于网络通讯异常、商业银行系统异常等因素可能出现小几率的掉单现象，即消费者银行卡扣款，但商户端显示支付不成功，上述情况的发生易造成消费者的投诉，给电子商务企业的业务拓展带来诸多不确定因素。交易掉单的解决方案1） 通讯线路保障我要付的业务处理系统同时由网通、电信的线路进行通讯，系统按地区，自动调用最优的通讯线路，确保由于不用运营商通讯线路切换引起的可能通讯异常。2） 商业银行-我要付支付平台-商户的交易状态的同步综述我要付通过与各商业银行合作，利用先进的IT技术和强大的技术运行平台，确保我要付支付平台、商业银行生产系统、商户等三方交易状态一致，避免掉单给商户带来的投诉等运营事件。我要付支付平台与各商业银行交易状态的同步我要付支付平台与各商业银行后台连接，系统每3分钟自动查询商业银行后台交易状态，一旦商业银行由于自身系统原因或通讯原因，未发送正确交易状态，则对掉单自动予以处理，消除小几率的掉单现象。我要付支付平台与商户平台交易状态的同步我要付支付平台向商户提供交易双向重发机制及联机对账机制，确保我要付支付平台与商户平台交易状态始终一致，杜绝掉单现象。数据核对的处理流程、网络连接方式和安全机制业务流程综述业务处理流程图银行卡业务处理系统是我要付网的一个主要业务系统，上图的业务处理流程也反映了我要付公司的主要业务流程和处理方法。在每个处理环节也包含许多安全技术环节，也是我要付公司将安全技术与具体业务相结合的具体应用。信息系统安全数据和机制的保护信息系统内部数据传送我要付网上支付系统内部数据传送在应用层使用MD5等多种加密算法，保护商户和用户的敏感数据如用户名，用户密码，账户金额等不被篡改，窃取。篡改保护我要付网上支付系统在用户登陆接口使用我要付盾产生随机密钥保护用户登陆，防止未授权用户访问我要付网上支付系统，在应用层使用加密保护重要数据，防止被内部或外部人员截取篡改重要数据。在网络层商户用户到我要付网上支付系统全程使用SSL加密保护，防止数据被篡改或截取。在数据库层也使用加密算法对重要数据进行加密处理，防止重要数据在数据库里被篡改。安全策略执行的模块化和连续化1） 我要付网上支付系统所有服务器都放在全国IDC主要节点，保证服务器物理位置的安全。单台服务器使用bonding做物理层网线冗余，使用冗余电源做物理层电源冗余2） 我要付网上支付系统在数据链路层使用独享100M线路，保证正常业务不受同一网段的其他公司服务器攻击。3） 在网络层使用Netscaler设备做GSLB站点级冗灾，保证在主IDC站点不可用时还能正常访问我要付网上支付系统。同时使用Netscaler设备做DDOS防护，使用Netscreen企业级防火墙对所有进出我要付网上支付系统的数据进行过滤。4） 在应用层使用多种加密算法保护用户商户重要数据不被篡改，窃取。可信恢复1） 定期检查我要付网上支付系统服务数据的可用性，完整性。2） 确定数据可用性，完整性正确无误后进行多份数据备份归档。3） 定期对已经备份归档的数据进行校验，确保数据在发生故障时可以正常使用。参照仲裁我要付网上支付系统所有新安装Linux机器需要使用Tripwire保留系统文件的初始状态（快照），以防系统系统出现安全问题时有可靠的参照点。域分离我要付网上支付系统按机器使用服务不同把生产系统划分为Web、App、DB等多个Vlan，并且使用访问控制列表，防火墙访问策略控制多个域之间的访问。时间戳数字时间戳服务是网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保护，由专门的机构提供。如果在签名时加上一个时间标记，即是有数字时间戳。在我要付网上支付系统中所有程序都使用数据库时间统一打上时间戳，用于追踪用户操作作时间及防止用户抵赖操作过程。信息系统自检我要付网上支付系统定期检查托管在IDC机房的所有机器工作状态是否正常，如发现异常立即使用专门检测程序对所有硬件进行完整检查，保护硬件系统安全。我要付网上支付系统定期对生产系统进行rkhunter，Tripwire扫描保护软件系统安全。在信息系统业务应用层中使用的安全功能、安全技术及其实现的描述3.3.1.数字签名与数字证书我要付网上支付系统和商户之间数字签名使用了MD5和DSA两种加密技术，DSA（DigitalSignatureAlgorithm，数字签名算法，用作数字签名标准的一部分），它是一种公开密钥算法，它不能用作加密，只用作数字签名°DSA使用公开密钥，为接受者验证数据的完整性和数据发送者的身份。它也可用于由第三方去确定签名和所签数据的真实性。DSA算法的安全性基于解离散对数的困难性，这类签字标准具有较大的兼容性和适用性，成为网络安全体系的基本构件之一。基于MD5加密的安全性，和数据签名的真实性，完整性和不可否认性，所以我要付网上支付系统和商户之间的通信是足够安全可靠和不可否认的.我要付平台系统对全部用户信息、账户信息、加密、签名等进行128位SSL加密。SSL是一种国际标准的加密及身份认证通信协议。SSL协议使用通讯双方的客户证书以及CA根证书，允许客户/服务器应用以一