返回
基于威胁树第三方支付信息安全风险评估

基于威胁树第三方支付信息安全风险评估

ID:5996312

大小:28.00 KB

页数:6页

时间:2017-12-30

基于威胁树第三方支付信息安全风险评估_第1页
基于威胁树第三方支付信息安全风险评估_第2页
基于威胁树第三方支付信息安全风险评估_第3页
基于威胁树第三方支付信息安全风险评估_第4页
基于威胁树第三方支付信息安全风险评估_第5页
资源描述:

《基于威胁树第三方支付信息安全风险评估》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、基于威胁树第三方支付信息安全风险评估  【摘要】基于对第三方支付流程和相关安全事件的分析,运用威胁树方法学,从信息安全评估的角度构建了第三方支付系统的威胁树分析模型,并运用德尔菲法选择典型的第三方支付系统进行了实例评估,最终得出第三方支付系统的最小威胁树,并基于此提出针对第三方支付系统的安全建议和对策,以期对第三方支付系统安全的改进和用户选择提供参考。【关键词】第三方支付系统;风险评估;支付流程;威胁树;最小威胁树【中图分类号】TP393【文献标识码】A1引言第三方支付行业在近几年迎来了快速发展,特别是2011年对于我国的第三方支付行业

2、来说是具有里程碑意义的一年,央行在2011年开始颁发非金融机构支付业务许可证,支付许可证的颁发反映出国家开始从制度政策层面规范第三方支付行业的发展,同时也对第三方支付行业的安全性提出了要求。因此,如何从信息系统安全角度对诸多第三方支付工具进行全面的评价,这将对网上支付以及网络购物的发展具有十分重要的现实意义。6当前国内外第三方支付行业的发展存在巨大差异,国外专门针对第三方支付安全的研究较少,而国内也只是部分学者在进行研究时内容会涉及到第三方支付的信息安全。赵德志基于项目管理视角对第三方支付进行了风险识别,认为第三方支付系统存在几种风险,

3、分别是外部风险、组织风险、项目管理风险、技术管理风险,并对风险来源进行了细化,但该研究并未深入对第三方支付系统的安全风险进行有效评价。以上研究对第三方支付市场存在的风险进行了一定的分析,但上述研究仍存在着一定的不足,主要体现在相关研究并未从信息安全的角度深入剖析第三方支付平台自身支付业务流程所可能存在的脆弱性以及防范重点,也没有对第三方支付进行流程再造提出相关建议,因此对于第三方支付安全事件的发生无法起到实质性的遏制,本文将从信息安全风险评估的角度对第三方支付系统进行深入研究。下文将基于对第三方支付平台的一般支付流程和相关案例的定性分析

4、,运用威胁树方法学,构建针对第三方支付的威胁树分析模型,并基于德尔菲法选择当前主流第三方支付平台进行信息安全评估,从而为用户从安全视角对第三方支付平台进行选择提供参考依据。2威胁树模型2.1威胁树定义及基本结构2.2威胁树的修剪6一个威胁的实现需要威胁代理即攻击者具有一定级别的能力。攻击者取决于下列因素:攻击成本、专门技术知识或工具、被逮捕和惩罚的概率等。叶子结点的指标值由分析者直接输入,数据来源可以是调研数据,历史事件资料以及方法评估获取,非叶子结点通过指标函数获取,根据并联关系和串联关系的不同而不同。可以根据结点某一指标作为阈值对威

5、胁树进行修剪,“剪去”所有超过或低于某一阈值的路径,修剪过的树的集合(可以认为是图形的覆盖图)代表着所有威胁代理可能使用的可行的威胁完全集,从攻击的角度来讲是一个可行的攻击集,也就是最小威胁树。从预防的角度讲,是采取安全策略时应重点考虑的。3威胁树模型3.1基于威胁树的第三方支付系统信息安全评价模型构建通过第三方支付业务流程以及对收集到的大量安全事件的定性分析,第三方支付系统信息安全事件的典型特征有几点:1)第三方支付系统面临的最大风险是账户操作过程中的可支付余额;2)第三方支付系统安全事件的发生一般是该两项密码通过各种手段如钓鱼网站、

6、促销信息、升级提醒等手段被盗取;63)某些木马病毒如支付宝大盗、浮云木马病毒,在支付环节通过篡改支付协议交换过程中的付款账户和金额等方式实现更具隐蔽性盗取;4)部分案例显示数字证书可以通过一定手段绕过从而盗取用户资金,此环节可能存在重大安全隐患。因此,根据威胁树方法学,可得到以下第三方支付的威胁树分析模型。a)第三方支付系统威胁树的修剪根据威胁树方法学,可以通过某种指标比如攻击成本、攻击能力、成功概率等对威胁树进行修剪,本文拟采取德尔菲法的形式,邀请相关业内专家针对威胁代理攻击系统的可能性进行打分,从而对第三方支付系统的威胁树进行修剪,

7、具体实施将在下文讨论。4第三方支付系统信息安全风险评估的实施根据易观国际发布的最新数据显示,本文拟选取两个典型的第三方支付工具,支付宝和快钱进行对比分析。5第三方支付平台的风险管理结合上述两个具体的第三方支付工具的最小威胁树,提出若干风险管理建议。6第一,加强用户操作的主体性认证,增加实时性主体认证手段,如手机短信,动态口令等手段。特别改变账户操作仅依靠密码进行的流程,从而增强安全性;目前一些主流的第三方支付工具,仅在安装数字证书,快捷支付等情况下才使用手机验证码,因此建议在转账、更换手机、提现等操作关键操作时,额外增加实时身份验证手段

8、。第二,针对数字证书用户,应加强对数字证书申请、取消环节的管理,进行必要的身份认证;并且建议增加对账户登录、异地操作的实时提醒,以提高账户的安全性,而此种服务目前多数第三方支付工具尚未提供。第三,加强对用户

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。