資源描述:
《電子支付與網(wǎng)絡(luò)銀行6》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫���。
1����、電子支付與網(wǎng)絡(luò)銀行中國人民大學(xué)財(cái)政金融學(xué)院周虹第六講電子支付體系安全策略一��、信息安全概述1�、信息安全含義保密性完整性可用性可控性不可否認(rèn)性2、金融信息安全現(xiàn)狀及發(fā)展趨勢二��、安全風(fēng)險(xiǎn)分析與評估電子支付信息安全具有系統(tǒng)性,動(dòng)態(tài)性、層次性和過程性���。風(fēng)險(xiǎn)目標(biāo)和原則風(fēng)險(xiǎn)分析的目標(biāo)是:了解網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)和管理水平���,及可能存在的安全隱患;了解網(wǎng)絡(luò)所提供的服務(wù)及可能存在的安全問題;了解各應(yīng)用系統(tǒng)與網(wǎng)絡(luò)層的接口及其相應(yīng)的安全問題;網(wǎng)絡(luò)攻擊和電子欺騙的檢測�、模擬及預(yù)防�;分析信息網(wǎng)絡(luò)系統(tǒng)對網(wǎng)絡(luò)的安全需求��,找出目前的安全策略和實(shí)際需求的差距�,為保護(hù)信息網(wǎng)絡(luò)系統(tǒng)的安全
2�、提供科學(xué)依據(jù)���。多層面����、多角度的原則對象和范圍1、系統(tǒng)基本情況分析2����、系統(tǒng)基本安全狀況調(diào)查3、系統(tǒng)安全組織����、策略分析4、相關(guān)安全技術(shù)和措施以及安全隱患分析5、系統(tǒng)訪問控制和加密體系分析6�����、系統(tǒng)的抗攻擊能力與數(shù)據(jù)傳輸?shù)陌踩苑治觯?�����、動(dòng)態(tài)安全管理狀況分析8�、災(zāi)難備份以及危機(jī)管理安排狀況分析方法與手段風(fēng)險(xiǎn)分析可以使用以下方式實(shí)現(xiàn):問卷調(diào)查�����、訪談���、文檔審查����、黑盒測試����、操作系統(tǒng)的漏洞檢查和分析、網(wǎng)絡(luò)服務(wù)的安全漏洞和隱患的檢查和分析��、抗攻擊測試���、綜合審計(jì)報(bào)告等��。風(fēng)險(xiǎn)分析的過程可以分為以下四步:(1)確定要保護(hù)的資產(chǎn)及價(jià)值(2)分析信息資產(chǎn)之間的相互依賴性
3��、(3)確定存在的風(fēng)險(xiǎn)和威脅(4)分析可能的入侵者結(jié)果與結(jié)論安全策略的制定原則和需求分析安全策略的制定原則(1)抽象安全策略(2)全局自動(dòng)安全策略(3)局部執(zhí)行策略安全策略包含的內(nèi)容:(1)保護(hù)的內(nèi)容和目標(biāo)(2)實(shí)施保護(hù)的方法(3)明確的責(zé)任(4)事故的處理需求分析(1)管理層:(2)物理層:(3)系統(tǒng)層:(4)網(wǎng)絡(luò)層:(5)應(yīng)用層:網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)原則木桶原則整體性原則實(shí)用性原則等級性原則動(dòng)態(tài)化原則設(shè)計(jì)為本原則三�����、電子支付系統(tǒng)的安全管理策略1���、信息安全法規(guī)與標(biāo)準(zhǔn)策略2��、信息安全的組織管理策略3���、信息安全技術(shù)支持策略4、信息安全應(yīng)急響應(yīng)策略5���、
4�����、信息安全實(shí)施策略四��、常用技術(shù)手段從技術(shù)角度來講���,用戶應(yīng)該做好網(wǎng)絡(luò)層、系統(tǒng)級和應(yīng)用級3個(gè)方面的防護(hù)1����、網(wǎng)絡(luò)層安全防護(hù)---隔離與訪問控制-地址轉(zhuǎn)換-入侵檢測2�、系統(tǒng)級安全防護(hù)--使用漏洞掃描技術(shù)加強(qiáng)操作系統(tǒng)用戶認(rèn)證授權(quán)管理增強(qiáng)訪問控制管理--病毒防范--Web服務(wù)器的專門保護(hù)3����、應(yīng)用級安全保護(hù)實(shí)施單一的登錄機(jī)制統(tǒng)一的用戶和目錄管理機(jī)制安全解決方案5個(gè)關(guān)鍵技術(shù)點(diǎn)防毒控制訪問加密與認(rèn)證漏洞掃描入侵檢測病毒防護(hù)反病毒技術(shù)包括預(yù)防�����、檢測和攻殺3項(xiàng)功能網(wǎng)絡(luò)防毒軟件劃分為客戶端防毒�����、服務(wù)器端防毒����、群件防毒和Internet防毒4大類防火墻技術(shù)第一代產(chǎn)品主要
5、為包過濾型防火墻第二代產(chǎn)品則為混合型防火墻(即綜合了包過濾型和應(yīng)用網(wǎng)關(guān)的防火墻)��。加密與認(rèn)證加密包括兩個(gè)元素:算法和密鑰對稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn)(DNS����,Data-Encryption-Standard)算法為典型代表,非對稱加密通常以RSA(Rivest-Shamir-Ad1eman)算法為代表對稱加密算法存在的問題:(1)要求提供一條安全的渠道使通訊雙方在首次通訊時(shí)協(xié)商一個(gè)共同的密鑰�����。(2)密鑰的數(shù)目難于管理。(3)對稱加密算法一般不能提供信息完整性的鑒別����,它無法驗(yàn)證發(fā)送者和接受者的身份;(4)對稱密鑰的管理和分發(fā)工作是一件具有潛在危險(xiǎn)的和
6��、煩瑣的過程��。2.非對稱加密技術(shù)與對稱加密算法不同���,非對稱加密算法需要兩個(gè)密鑰:公開密鑰(publickey)和私有密鑰(privatekey)�。公開密鑰與私有密鑰是一對���,如果用公開密鑰對數(shù)據(jù)進(jìn)行加密����,只有用對應(yīng)的私有密鑰才能解密����;如果用私有密鑰對數(shù)據(jù)進(jìn)行加密,那么只有用對應(yīng)的公開密鑰才能解密。因?yàn)榧用芎徒饷苁褂玫氖莾蓚€(gè)不同的密鑰����,所以這種算法叫作非對稱加密算法。使用公開密鑰對文件進(jìn)行加密傳輸?shù)膶?shí)際過程:(1)發(fā)送方生成一個(gè)自己的私有密鑰并用接收方的公開密鑰對自己的私有密鑰進(jìn)行加密��,然后通過網(wǎng)絡(luò)傳輸?shù)浇邮辗?�;?)發(fā)送方對需要傳輸?shù)奈募米约旱?/p>
7��、私有密鑰進(jìn)行加密���,然后通過網(wǎng)絡(luò)把加密后的文件傳輸?shù)浇邮辗剑唬?)接收方用自己的公開密鑰進(jìn)行解密后得到發(fā)送方的私有密鑰�����;(4)接受方用發(fā)送方的私有密鑰對文件進(jìn)行解密得到文件的明文形式�����。認(rèn)證技術(shù):PKI:公開密鑰基礎(chǔ)設(shè)施PKI具有認(rèn)證機(jī)關(guān)(CA)�����、證書庫、密鑰備份及恢復(fù)系統(tǒng)����、證書作廢處理系統(tǒng)、客戶端證書處理系統(tǒng)等基本成分(1)認(rèn)證機(jī)關(guān)(CA)的職責(zé):1�,驗(yàn)證并標(biāo)識證書申請者的身份;2,確保CA用于簽名證書的非對稱密鑰的質(zhì)量;3����,確保整個(gè)簽證過程的安全性,簽名私鑰的安全性;4,證書材料信息的管理;5�,確定并檢查證書的有效期限;6,確保證書主體標(biāo)識的
8�、唯一性,防止重名;7,發(fā)布并維護(hù)作廢證書表;8�,對整個(gè)證書簽發(fā)過程做日志記錄;9,向申請人發(fā)通知�。(2)證書庫證書庫是證書的集中存放地。系統(tǒng)必須確保證書庫的完整性,
