储值卡，何以保安全.pdf

《储值卡，何以保安全.pdf》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、储值卡，何以保安全2006年11月11日海鼎公司：田磊大纲1、储值卡系统常见的问题2、构筑安全的储值卡系统3、共同构筑安全的管理流程4、案例分析一、储值卡系统常见问题1、系统本身的安全问题问题：系统没有防止卡号复制的功能案例1：某储值卡系统以IC卡为卡介质，对芯片写入的信息没有经过加密处理，而且写卡密码和读卡密码相同。隐患：一张IC卡被破解，则很容易复制多张IC卡。案例2：某储值卡系统以磁卡为卡介质，对于磁条写入的信息以明码的方式在数据库中存储。隐患：如果有人能够有数据库读取权限，则可以读取卡号，进行储值卡的大批量的复制。一、储值卡系统常见问题2、流程管理不利造成安全

2、问题问题：数据库口令管理不善案例：某商业企业在使用储值卡的时候，对数据库口令没有进行严格的管理，造成口令外泄。内部员工使用程序，对储值卡进行充值操作，然后对数据库中的数据进行删除。一、储值卡系统常见问题3、其它原因造成的安全问题1）数据库文件意外损坏2）硬件的异常错误二、构筑安全的储值卡系统1、应用模式两种：本地校验、集中式校验应用模式一：本地校验根据卡片信息和本地信息对卡进行校验二、构筑安全的储值卡系统1、应用模式一：本地校验网络数据交换二、构筑安全的储值卡系统1、应用模式一：本地校验约束：卡介质要求为IC卡安全性保障：每天最大消费金额限制二、构筑安全的储值卡系统1

3、、应用模式二：集中式校验根据储值卡数据中心数据校验卡的有效性二、构筑安全的储值卡系统1、应用模式二：集中式校验发送应用服务器连接信息发送应用服务器连接信息门店DBMS应用服务器储值卡DBMSternteInNVPPos机Pos机工作站工作站二、构筑安全的储值卡系统1、应用模式二：集中式校验约束：实时连通储值卡数据中心安全性保障：卡信息实时校验每天最大消费金额限额单笔最大消费金额限额本地校验与集中式校验的比较本地校验集中式校验校验数据在本地存储校验数据在储值卡数据中心统一存储校验数据通过数据交换到数据统一方便管理本地安全性保障依赖本地数据卡信息实时校验应用模式（本地校验

4、/集中式校验）案例案例：卡挂失后，采用本地校验和集中式校验不同模式，会有什么样的不同结果？应用模式（本地校验/集中式校验）案例本地校验：A卡已经被挂失，由于储值卡中心和门店S数据交换不够及时，A卡挂失的信息没有及时的更新到门店S。有人拾到A卡，在门店S消费。应用模式（本地校验/集中式校验）案例集中式校验：A卡挂失，储值卡数据中心A卡进入黑名单。有人拾到A卡在门店S消费，到储值卡数据中心校验，发现A卡已经挂失，不能进行消费。二、构筑安全的储值卡系统2、安全保障措施（1）防止批量复制卡IC卡：1、单卡单密2、读卡密码和写卡密码分开磁卡：磁条信息随机性和复杂性二、构筑安全的

5、储值卡系统2、安全保障措施（2）信息加密IC卡：芯片信息加密存储磁卡：磁条信息加密存储数据库：余额字段加密二、构筑安全的储值卡系统2、安全保障措施（3）使用令牌用于1：登录系统用于2：进入模块二、构筑安全的储值卡系统2、安全保障措施（3）使用令牌——传统登录方式二、构筑安全的储值卡系统2、安全保障措施（3）使用令牌——令牌登录方式三、共同构筑安全的管理流程步骤1、系统对账常用的报表：（1）卡金额进销存每天有发生额的卡进销存（2）门店卡消费日报三、构筑安全的管理流程步骤2、流程监督开始卡类型维护制发卡制发卡核对领用发售卡可以在Pos机消费三、共同构筑安全的管理流程2、流

6、程监督（1）制发卡核对核对卡号与金额、系统数据与实物三、共同构筑安全的管理流程2、流程监督（2）门店卡发售核对每天核对卡发售单与实物及销售金额三、共同构筑安全的管理流程2、流程监督（3）收银核对每天核对前台卡消费金额与储值卡数据中心消费数据三、共同构筑安全的管理流程2、流程监督（4）卡异常流程监督补发卡：核对卡流水账挂失七天补发三、共同构筑安全的管理流程3、重要手段——数据库口令安全方法1：定期变换数据库口令方法2：口令只开放部分人员三、共同构筑安全的管理流程4、重要手段——系统灾难容错能力方法：日常备份双机热备四、案例分析某商业企业使用储值卡时，对数据库口令没有进行

7、严格管理，造成口令外泄。内部员工使用程序，对储值卡进行充值操作，然后对数据库中的数据进行删除。——安全漏洞？如何杜绝？四、案例分析方法与对策：1、定期变换数据库密码2、使用令牌3、每天检查系统对账数据小结1、储值卡系统常见的问题2、构筑安全的储值卡系统3、共同构筑安全的管理流程4、案例分析谢谢！