电子支付体系安全与风险防范

电子支付体系安全与风险防范

ID:39981450

大小:111.50 KB

页数:45页

时间:2019-07-16

电子支付体系安全与风险防范_第1页
电子支付体系安全与风险防范_第2页
电子支付体系安全与风险防范_第3页
电子支付体系安全与风险防范_第4页
电子支付体系安全与风险防范_第5页
资源描述:

《电子支付体系安全与风险防范》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第五讲电子支付体系安全与风险防范电子支付与结算金融风险通常具有以下特征,即不确定性、普遍性、扩散性、隐蔽性和突发性。1、操作风险成为电子支付系统主要风险之一巴塞尔新资本协议将操作性风险界定为“因为内部流程、人力和系统的不足或者失误、以及外部事件冲击所导致的直接或者间接的损失的风险。操作风险可以分为几类:即信息系统安全风险、交易安全风险和货币洗钱的风险。2、安全风险分析与评估电子支付信息安全具有系统性,动态性、层次性和过程性。风险目标和原则风险分析的目标是:了解网络的系统结构和管理水平,及可能存在的安全隐患;了解网络所提供的服务及可能存在的安全问题;了解各应用系统与网络层的接

2、口及其相应的安全问题;网络攻击和电子欺骗的检测、模拟及预防;分析信息网络系统对网络的安全需求,找出目前的安全策略和实际需求的差距,为保护信息网络系统的安全提供科学依据。多层面、多角度的原则对象和范围1、系统基本情况分析2、系统基本安全状况调查3、系统安全组织、策略分析4、相关安全技术和措施以及安全隐患分析5、系统访问控制和加密体系分析6、系统的抗攻击能力与数据传输的安全性分析:7、动态安全管理状况分析8、灾难备份以及危机管理安排状况分析方法与手段风险分析可以使用以下方式实现:问卷调查、访谈、文档审查、黑盒测试、操作系统的漏洞检查和分析、网络服务的安全漏洞和隐患的检查和分析、

3、抗攻击测试、综合审计报告等。风险分析的过程可以分为以下四步:(1)确定要保护的资产及价值(2)分析信息资产之间的相互依赖性(3)确定存在的风险和威胁(4)分析可能的入侵者结果与结论安全策略的制定原则和需求分析安全策略的制定原则(1)抽象安全策略(2)全局自动安全策略(3)局部执行策略安全策略包含的内容:(1)保护的内容和目标(2)实施保护的方法(3)明确的责任(4)事故的处理需求分析(1)管理层:(2)物理层:(3)系统层:(4)网络层:(5)应用层:网络安全系统设计原则木桶原则整体性原则实用性原则等级性原则动态化原则设计为本原则3、电子支付系统的安全管理策略一、信息安全法

4、规与标准策略二、信息安全的组织管理策略三、信息安全技术支持策略四、信息安全应急响应策略五、信息安全实施策略4、常用技术手段从技术角度来讲,用户应该做好网络层、系统级和应用级3个方面的防护1、网络层安全防护---隔离与访问控制-地址转换-入侵检测2、系统级安全防护--使用漏洞扫描技术加强操作系统用户认证授权管理增强访问控制管理--病毒防范--Web服务器的专门保护3、应用级安全保护实施单一的登录机制统一的用户和目录管理机制安全解决方案5个关键技术点防毒控制访问加密与认证漏洞扫描入侵检测病毒防护反病毒技术包括预防、检测和攻杀3项功能网络防毒软件划分为客户端防毒、服务器端防毒、群

5、件防毒和Internet防毒4大类防火墙技术第一代产品主要为包过滤型防火墙第二代产品则为混合型防火墙(即综合了包过滤型和应用网关的防火墙)。加密与认证加密包括两个元素:算法和密钥对称加密以数据加密标准(DNS,Data-Encryption-Standard)算法为典型代表,非对称加密通常以RSA(Rivest-Shamir-Ad1eman)算法为代表对称加密算法存在的问题:(1)要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥。(2)密钥的数目难于管理。(3)对称加密算法一般不能提供信息完整性的鉴别,它无法验证发送者和接受者的身份;(4)对称密钥的管理和分发

6、工作是一件具有潜在危险的和烦琐的过程。2.非对称加密技术与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。使用公开密钥对文件进行加密传输的实际过程:(1)发送方生成一个自己的私有密钥并用接收方的公开密钥对自己的私有密钥进行加密,然后通过网络传输到接收方;(2)发送方对需要传输的文件用自己的私有密

7、钥进行加密,然后通过网络把加密后的文件传输到接收方;(3)接收方用自己的公开密钥进行解密后得到发送方的私有密钥;(4)接受方用发送方的私有密钥对文件进行解密得到文件的明文形式。认证技术:PKI:公开密钥基础设施PKI具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分(1)认证机关(CA)的职责:1,验证并标识证书申请者的身份;2,确保CA用于签名证书的非对称密钥的质量;3,确保整个签证过程的安全性,签名私钥的安全性;4,证书材料信息的管理;5,确定并检查证书的有效期限;

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。