信息安全技术(1).ppt

,,信息安全技术在电子支付领域的应用与创新,,信息安全技术在电子支付领域的应用,■电子支付与网络信息安全■电子支付安全的重要性■电子支付安全隐患■电子支付安全需求■电子支付安全构架■虚拟账户运营项目中的应用建议,,信息安全技术在电子支付领域的应用,随着网络的日益普及，尤其是电子商务的快速发展，电子支付的重要性越来越明显，已经成为整个电子商务产业链中的核心环节。正因为基于广泛互联且完全开放的网络平台，电子支付实现了低成本、高效率、全球性的资金流转模式。但是，这种便捷开放的信息交互方式同时也表现出在网络安全方面的脆弱性。所以，研究和开发信息安全技术在电子支付领域的应用与创新，已成为当前发展我国电子商务的关键所在。,■电子支付与网络信息安全,,信息安全技术在电子支付领域的应用,艾瑞市场咨询2005年中国网上支付研究报告显示，在不使用网上支付的网民中，有超过60的人由于担心交易过程的安全性而不愿进行在线支付操作。无论个人、公司或商业机构甚至银行，都不会通过一个不安全的网络进行钱款交易，这样会引发商业机密信息或个人隐私的泄漏，从而导致巨大的经济利益损失。由此可见，网络信息安全技术的发展直接决定了电子商务的成败。,■电子支付安全的重要性,,,电子支付安全的重要性,,信息安全技术在电子支付领域的应用,●信息的截获和窃取●信息的篡改、删除、插入●信息假冒●交易抵赖,■电子支付安全隐患,,信息安全技术在电子支付领域的应用,要构筑一个安全可靠的电子支付交易系统，合理规避上述安全隐患的出现，应满足相应的安全控制要求,■电子支付安全需求,,信息安全技术在电子支付领域的应用,●信息机密性防止非授权用户使用系统资源，预防非法的信息存取或信息在传输过程中被非法窃取而导致泄密。●数据完整性阻止非法实体对交换数据的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证传送次序的统一。●身份认证性交易双方对各自身份合法性、真实性进行鉴别、确认，以防第三者假冒。,■电子支付安全需求,,信息安全技术在电子支付领域的应用,●不可抵赖性在信息的传输过程中，为交易双方提供可靠的标识，用于证实已发生过的操作，保证电子定单等信息的不可否认性，防止抵赖行为。●防控有效性对网络故障、硬件故障、系统软件错误、应用程序错误、操作错误及计算机病毒所产生的潜在风险加以控制和预防，以保证交易数据在确定的时刻和地点是有效的。,■电子支付安全需求,,信息安全技术在电子支付领域的应用,电子支付安全是网络信息安全技术的上层应用，其安全管理体系主要可划分为两大部分计算机网络安全和商务交易安全，如图所示,■电子支付安全构架,电子支付安全构架,,,业务管理与信息安全技术在虚拟账户运营项目中的应用建议,,关于信息安全技术应用,通过业务管理与技术安全体系保障相结合，共同保障业务运营及实施的安全■业务逻辑的设计■内部运营管理■硬件安全技术保障■软件安全加密措施■系统运维保障,,业务逻辑的制定,业务逻辑的合理化制定■业务流程的设计符合正常心态操作流程■多层次验证业务申请及发起■业务逻辑设计符合市场化推广需要,,内部运营管理,内部运营管理的流程化、规范化制定■业务流程的设计与岗位配置的结合市场、运营及财务的独立管理■运营管理的分工与互为监督客户功能的设置后台管理功能的健全（商户管理、操作权限的设置、证书管理、交易查询、报表查询）■财务制度的健全资金管理的权限设置与监管；资金流与信息流的对称。■信息技术处理与传统财务复核的相结合业务测试的重要性；定期的业务流程回顾与完善；财务审计,,硬件/软件安全保障体系,■硬件安全技术保障●网络层●系统层●应用层■软件安全加密措施●协议模式●加密算法●安全认证,,硬件安全技术保障,■硬件安全技术保障,●网络层采用整合型的防火墙体系屏蔽病毒和攻击，同时配合防黑客入侵、防病毒、漏洞扫描等工作。●系统层平台开发采用目前公认的前沿技术，充分保证系统的安全性和稳定性；该技术具有跨平台以及优秀的承载性，轻松驾驭企业的应用需求。●应用层稳健的安全技术构架，使服务器系统具有极强的可扩展性，可以负荷千万用户级别。,,软件安全加密措施,■软件安全加密措施,●协议模式--SSL与SET相结合支付网关与银行端通讯使用SSL加密传输和SET协议，并通过国际认证机构VeriSign的128位服务器加密认证，以保障B2C电子支付的安全实施。,,●协议模式,,网银在线安全制胜,●对比SSL协议和SET协议,,■软件安全加密措施,●加密算法--PKI数字签名技术支付平台本身使用PKI（PublicKeyInfrastructure，公钥基础设施）作为安全架构，订单信息传输采用数字签名技术进行加密和校验，从而确保数据在网络传输过程中的机密性、真实性、完整性和不可抵赖性。,,网银在线安全制胜,,●加密算法--PKI数字签名技术,,■软件安全加密措施,●安全认证--CA机构数字证书支付网关在业内率先支持国家授权认可的第三方电子认证服务体系，完全符合中国电子签名法要求，所有交易数据受到法律保护；交易信息经过CA（CertificateAuthority，证书授权中心）颁发的数字证书签名、加密并记录保留，可以有效预防黑客的篡改和窃取，最大限度地保障商户的交易安全。,,●CA机构安全认证流程,发放,发放,CA认证中心,支付网关,商家,,,数字证书加密、签名,企业数字证书,服务器身份证书,确保网上支付信息私密性、真实性、完整性和不可抵赖性,虚拟账户,,银行账户,,,■软件安全加密措施,●安全认证--VBV验证服务在国际信用卡安全支付方面，网银在线与VISA国际组织结成战略合作伙伴关系，推广采用“3D”安全标准的『VISA验证』服务。,VBVVerifiedbyVISA）简称VISA验证服务，是VISA国际组织为提高信用卡网上支付安全性，维护用户利益而推出的新一代全球通用支付标准。,,●VISA验证服务--确保信用卡网上支付安全,,系统运维保障,■双机热备■岗位设置的互为监督（开发人员与运维人员的互为监督）■系统运维制度（日志检查、定期重启、系统监控）■双机热备或双数据中心管理（对数据库安全的硬件保障措施）■网络线路的备份,,,