电子支付体系安全与风险防范.ppt

第五讲 电子支付体系安全与风险防范,电子支付与结算,金融风险通常具有以下特征，即不确定性、普遍性、扩散性、隐蔽性和突发性。,1、操作风险成为电子支付系统主要风险之一,巴塞尔新资本协议将操作性风险界定为“因为内部流程、人力和系统的不足或者失误、以及外部事件冲击所导致的直接或者间接的损失的风险。,操作风险可以分为几类：即信息系统安全风险、交易安全风险和货币洗钱的风险。,2、安全风险分析与评估,电子支付信息安全具有系统性，动态性、层次性和过程性。,风险目标和原则 风险分析的目标是：了解网络的系统结构和管理水平，及可能存在的安全隐患；了解网络所提供的服务及可能存在的安全问题;了解各应用系统与网络层的接口及其相应的安全问题;网络攻击和电子欺骗的检测、模拟及预防；分析信息网络系统对网络的安全需求，找出目前的安全策略和实际需求的差距，为保护信息网络系统的安全提供科学依据。 多层面、多角度的原则,对象和范围 1、系统基本情况分析 2、系统基本安全状况调查 3、系统安全组织、策略分析 4、相关安全技术和措施以及安全隐患分析 5、系统访问控制和加密体系分析 6、系统的抗攻击能力与数据传输的安全性分析： 7、动态安全管理状况分析 8、灾难备份以及危机管理安排状况分析,方法与手段 风险分析可以使用以下方式实现：问卷调查、访谈、文档审查、黑盒测试、操作系统的漏洞检查和分析、网络服务的安全漏洞和隐患的检查和分析、抗攻击测试、综合审计报告等。 风险分析的过程可以分为以下四步： (1)确定要保护的资产及价值 (2)分析信息资产之间的相互依赖性 (3)确定存在的风险和威胁 (4)分析可能的入侵者 结果与结论,安全策略的制定原则和需求分析 安全策略的制定原则 (1)抽象安全策略 (2)全局自动安全策略 (3)局部执行策略 安全策略包含的内容： （1）保护的内容和目标 （2）实施保护的方法 （3）明确的责任 （4）事故的处理,需求分析 (1)管理层： (2)物理层： (3)系统层： (4)网络层： (5)应用层：,网络安全系统设计原则 木桶原则 整体性原则 实用性原则 等级性原则 动态化原则 设计为本原则,3、电子支付系统的安全管理策略,一、信息安全法规与标准策略 二、信息安全的组织管理策略 三、信息安全技术支持策略 四、信息安全应急响应策略 五、信息安全实施策略,4、常用技术手段,从技术角度来讲，用户应该做好网络层、系统级和应用级3个方面的防护 1、网络层安全防护 - -隔离与访问控制 - 地址转换 - 入侵检测,2、系统级安全防护 - 使用漏洞扫描技术 加强操作系统用户认证授权管理 增强访问控制管理 -病毒防范 - Web服务器的专门保护,3、应用级安全保护 实施单一的登录机制 统一的用户和目录管理机制,安全解决方案5个关键技术点 防毒 控制访问 加密与认证 漏洞扫描 入侵检测,病毒防护 反病毒技术包括预防、检测和攻杀3项功能 网络防毒软件划分为客户端防毒、服务器端防毒、群件防毒和Internet防毒4大类,防火墙技术 第一代产品主要为包过滤型防火墙 第二代产品则为混合型防火墙（即综合了包过滤型和应用网关的防火墙）。,加密与认证 加密包括两个元素：算法和密钥 对称加密以数据加密标准（DNS，DataEncryptionStandard）算法为典型代表，非对称加密通常以RSA（RivestShamirAd1eman）算法为代表,对称加密算法存在的问题： （1）要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥。 （2）密钥的数目难于管理。 （3）对称加密算法一般不能提供信息完整性的鉴别，它无法验证发送者和接受者的身份； （4）对称密钥的管理和分发工作是一件具有潜在危险的和烦琐的过程。,2非对称加密技术 与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。,使用公开密钥对文件进行加密传输的实际过程： （1）发送方生成一个自己的私有密钥并用接收方的公开密钥对自己的私有密钥进行加密，然后通过网络传输到接收方； （2）发送方对需要传输的文件用自己的私有密钥进行加密，然后通过网络把加密后的文件传输到接收方； （3）接收方用自己的公开密钥进行解密后得到发送方的私有密钥； （4）接受方用发送方的私有密钥对文件进行解密得到文件的明文形式。,认证技术： PKI：公开密钥基础设施 PKI具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,（1）认证机关 （CA）的职责: 1，验证并标识证书申请者的身份; 2，确保CA用于签名证书的非对称密钥的质量; 3，确保整个签证过程的安全性,签名私钥的安全性; 4，证书材料信息的管理; 5，确定并检查证书的有效期限; 6，确保证书主体标识的唯一性,防止重名; 7，发布并维护作废证书表; 8，对整个证书签发过程做日志记录; 9，向申请人发通知。,（2）证书库 证书库是证书的集中存放地。系统必须确保证书库的完整性,防止伪造、篡改证书。 （3）密钥备份及恢复系统 提供备份与恢复解密密钥的机制。密钥的备份与恢复应该由可信的机构来完成，例如CA可以充当这一角色。值得强调的是，密钥备份与恢复只能针对解密密钥，签名私钥不能够作备份。,（4）证书作废处理系统（X.509 Version 3、CRL Version 2） 证书作废处理系统是PKI的一个重要组件。作废证书有如下三种策略: 作废一个或多个主体的证书; 作废由某一对密钥签发的所有证书; 作废由某CA签发的所有证书。,PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 PKI体系结构的组织方式： 按日常职能分类的COI方式(Communityofinterest)，将PKI体系建立在现有的政府组织机构管理基础之上的组织化方式 按安全级别划分的担保等级方式 PKI在全球互通可以有两种实现途径： 1.交叉认证方式 2.全球建立统一根方式,PKI的操作功能 1产生、验证和分发密钥 2.签名和验证 3.证书的获取 4.验证证书 5.保存证书 6.本地保存证书的获取,7.证书废止的申请 8.密钥的恢复 9.CRL的获取 10.密钥更新 11.审计 12.存档,漏洞扫描 安全扫描采用模拟攻击的形式对可能存在的已知安全漏洞进行逐项检查,入侵检测 网络入侵检测系统分为基于网络数据包分析和基于主机检测2种方式,安全协议SSL、SET、3D,（1） SSL安全协议（Secure Sockets Layer） SSL安全协议主要提供三方面的服务： 1，认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上； 2，加密数据以隐藏被传送的数据； 3，维护数据的完整性，确保数据在传输过程中不被改变。,SSL的缺陷是只能保证传输过程的安全，无法知道在传输过程中是否受到窃听，黑客可以此破译SSL的加密数据，破坏和盗窃WEB信息。SSL产品的出口受到美国国家安全局（NSA）的限制，,（2）SSL安全协议的运行步骤 （1）接通阶段。 （2）密码交换阶段。 （3）会谈密码阶段。 （4）检验阶段。 （5）客户认证阶段。 （6）结束阶段。,（2）SET安全协议 SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。,SET安全协议运行的目标 1）保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。 2）保证电子商务参与者信息的相互隔离。 3）解决多方认证问题 4)保证了网上交易的实时性，使所有的支付过程都是在线的。 5)效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。,. SET安全协议涉及的所涉及的对象： 1)消费者 2)在线商店 3)收单银行 4)电子货币 5)认证中心（CA）,SET协议的工作流程分为下面七个步骤： （1）消费者选定所要购买的物品，并在计算机上输入订货单。 （2）通过电子商务服务器与有关在线商店联系，在线商店作出应答，告诉消费者所填订货单的货物单价、应付款数。交货方式等信息是否准确，是否有变化。 （3）消费者选择付款方式，确认订单，签发付款指令。此时SET开始介入。,（4）在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的账号信息。 （5）在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。,（6）在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。 （7）在线商店发送货物或提供服务，并通知收单银行将钱从消费者的账号转移到商店账号，或通知发卡银行请求支付。,SET协议的缺陷 （1）协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书。 （2）协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是由签署证书的消费者发出的。 （3）协议提供了多层次的安全保障，但显著增加了复杂程度，因而变得昂贵，互操作性差，实施起来有一定难度。 （4）SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。,（3）3D协议 3D安全协议涉及5个实体，包括持卡人、发卡行、商户、收单行和VISA组织。3D安全协议将这5个实体逻辑地分到3个域中。其中，发卡机构域指发卡行和持卡人；中间运行域是使发卡机构域和收单机构域在全球范围内协同运行的系统和功能设施；收单机构域指收单行和商户。 3D安全协议中一个重要的组成部分是发卡行认证服务器访问控制服务器ACS。,持卡人,发卡机构,访问控制,发卡机构域 中间操作域 收单机构域,商户,收单 机构,收单机构,支付网关,VISA目录服务器,插件,历史验证,VISANET,（1）,（2）,（3）,（4）,（5）,（6）,（7）,（8）,（9）,（12）,（13）,（10）,（11）,（14）,（1）持卡人登陆商户网站，浏览商品，输入口令及卡号，输入订购信息及支付信息。 （2）商户软件插件通过VISA的目录服务器检查卡号所示的发卡机构是否参与了3D安全协议。 （3）VISA目录服务器将卡号传送给发卡机构的访问控制服务器，通过发卡机构检查认证该卡是否已参与3D安全协议。 （4）发卡机构的ACS确认该卡是否已参与3D安全协议。 （5）VISA目录服务器将发卡机构的ACS的地址告知商户插件。 （6）商户插件将持卡人浏览器定位到ACS，同时附上交易信息待持卡人进一步确认。 （7）发卡机构的ACS要求持卡人输入用户名和密码。 （8）持卡人向发卡机构中输入用户名和密码。 （9）发卡方的ACS验证密码，产生回应信息，然后将客户重新定位向商户插件；与此同时将有关信息发送给VISA的历史验证服务器。 （10）商户将交易信息提交给收单机构。 （11）收单机构向发卡机构要求授权。 （12）发卡机构通过VISANET向收单机构发送授权（这里的交易流与传统刷卡交易一样）。 （13）收单机构将交易回应信息返回到商户。 （14）商户确认交易并向持卡人提供收据。,SSL、SET与3D安全协议比较 一、 功 能 方 面 的 异 同 二、 安 全 方 面 的 异 同 三、 系 统 负 载 能 力,