考拉超收
您当前的位置:主页 > 行业资讯 >

网上支付信息安全及其内涵

2019-10-31

  网上支付面临的安全问题,也是客户最担心的问题,必须从制度、法律法规及技术上寻找解决这个问题的方法。

  一、信息安全

  信息安全的概念在20世纪经历了一个漫长的历史演变过程。从20世纪40年代计算机技术的出现开始直到60年代末,通讯保密一直是信息安全的重点。

  90年代以来,由于网络的逐渐普及,信息安全的概念得到了进一步的深化。从信息的保密性,拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否认性等。

  信息安全工程:信息安全工程是采用工程的概念、原理、技术和方法,来研究、开发、实施与维护企业及信息与网络系统安全的过程。

  信息安全保障体系:包括安全法规体系、标准规范体系、安全组织体系、安全管理体系、技术支持体系和应急服务体系,是一个复杂的系统工程。

  安全策略:是网络信息安全的灵魂和核心,包括金融信息安全的组织管理策略、风险管理策略、技术管理策略、质量管理策略、标准化策略和技术策略。

  安全技术:指的是充分利用高新技术,采用安全的技术防范措施和技术安全机制建立现代化防范体系,

       其技术要求主要包括:

  (1)安全管理组织。包括建立安全管理组织,确定安全组织职能,明确安全岗位职责,安全人员审查等。

  (2)环境安全。包括网络设备环境安全,通讯设备与线路环境安全,机房环境安全,软件开发和测试安全等。

  (3)网络安全。包括网络通信协议安全,网络管理平台安全,网络传输信道安全,网络运行安全监督,网络路由控制安全,网点合法性等。

  (4)软件的运行安全。包括软件平台选型与购置审查,安全检测与验收,安全报告与跟踪,版本管理安全,使用与维护安全、安全核查等。

  (5)应用软件的开发安全。主要包括开发平台安全,开发环境安全,开发人员安全,应用软件测试与评估安全等。

  (6)操作安全。主要包括操作权限安全,规范管理安全,岗位责任安全,操作监督安全,操作回复安全等。

  (7)数据安全。包括数据载体安全, 数据密集安全,数据存储的时限安全,数据存储的备份安全.数据存储的有效性,存储信息的完整性。

  (8)应急安全。包括应急管理原则,应急计划制订,应急计划实施,应急备用管理,应急恢复管理等。

  (9)密码与密钥安全。包括加密算法强度及业务分类管理安全,加密算法选用权限安全,密码算法启用和退役管理安全,密钥管理原则制定,密钥管理与生成安全,密钥传送与分配安全,密钥使用及注入管理安全等。

  信息安全至少应该具有以下特征:

  (1)保密性。保证信息不泄露给未经授权的人,确保只有经过授权的人才能访问信息,即使信息被他人截获,也无法理解其内容。

  (2)完整性。防止信息被未经授权地篡改,保证真实的信息从真实的信源无失真地到达真实的信宿,信息的内容不会被破坏或篡改。

  (3)可用性。保证信息确实为授权使用者所用,防止由于计算机病毒或其他人为因素造成的系统拒绝服务,确保经过授权的用户在需要时可以访问信息并使用相关信息资源。

  (4)可控性。信息系统的管理者可以控制管理系统和信息。

  (5)不可否认性。保证信息行为人不能否认自己的行为。

  二、信息安全的内涵

  信息安全的内涵包括以下几个方面:

  (1)物理安全(physical security)

  物理安全手段主要针对各类物理攻击活动,通过必要的监控、保安和灾难预防措施确保目标系统中各类设备的安全。对于诸如脱机备份数据而言,物理攻击是唯一能奏效的攻击手段。自然灾害所形成的物理破坏由于损失特别巨大同样不能忽视。

  (2)电磁安全(electromagnetic security)

  现代的信息技术借助于电磁信号传输信息,在传输过程中将不可避免地形成空间电磁辐射信号,并通过开放的空间电磁场构成对用户信息的安全威胁,因此必须对目标系统中使用的各类设备的电磁兼容性进行设计和处理,或采用光纤等空间辐射小的传输介质。

  (3)网络安全(network security)

  网络安全主要是针对用户应用数据在网络传输过程中的安全保护问题。网络安全攻击包括直接针对传输的用户数据本身的攻击(即通过对数据传输流进行窃听、篡改或假冒等方式),以及针对网络传输服务机制的攻击(即破坏地址解析、路由、网络管理等)。

  (4)数据安全(data security)

  数据安全是针对用户信息资源在存储和使用过程的安全保护手段,主要通过加密、认证和数据备份技术对存储信息的机密性和完整性进行保护,以及通过访问控制、事务处理和残留数据处理等技术对操作系统或数据库实现不同等级的安全保护。

  (5)系统安全(system security)

  用户端应用系统是相对于数据传输网络而言的,端系统应根据管理员设定的安全策略对用户的访问请求进行授权,确保只有经过授权的合法用户才能使用系统资源,并通过人侵检测机制对各种来自外部网络的安全威胁进行识别、控制和监视。

  (6)操作安全(operation security)

  操作安全是对一般业务操作流程的安全保护。信息技术的普及和应用使传统的业务流程发生了改变,形成信息技术手段和非信息技术手段相互渗透的局面。单纯依靠信息技术安全手段难以保证整个操作过程的安全性,必须对操作流程的每个环节进行安全防范并制定所需的操作规范。

  (7)人员安全(personnel security)

  由于信息技术安全是多样化的,必须通过一定的安全职责分配将整体的安全防范任务逐级落实到每一个操作人员的每一个日常操作过程,通过管理手段强制其实施,并对各级人员针对其安全责任进行相应的安全教育和操作培训。

  信息安全的基本安全技术有加密技术、访问控制与安全认证技术、防火墙技术、人侵检测技术、漏洞扫描技术等。

  (1)加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成无意义的密文,阻止非法用户获取和理解原始数据,从而确保数据的保密性。目前最典型的两种加密技术是对称加密(私人密钥加密)和非对称加密(公开密钥加密)。

  (2)访问控制机制根据实体的身份及其有关信息来源解决实体的访问权限。

  访问控制机制的实现常基于以下某一或某几个措施:访问控制信息库、认证信息、安全标签等。访问控制一般包括:物理访问控制、网络访问控制和系统访问控制。

  (3)防火墙是在Internet上,出于安全的考虑,在内部网和Internet之间插人的一个中介系统,它可以阻断来自外部通过网络对内部网的威胁和人侵,提供扼守内部网的安全和审计的关卡。

  (4)入侵检测系统是用于检测任何损害或企图损害系统保密性、完整性的人侵行为,特别是用于检测黑客通过网络进行入侵行为的管理软件。入侵检测系统的运行方式有两种:一种是在目标主机上运行以监测其本身的通讯信息;另一种是在一台单独的机器_上运行以监测所有网络设备的通讯信息,比如Hub、路由器等。

  (5)漏洞扫描,探查网络的薄弱环节。安全扫描采用模拟攻击的形式对可能存在的已知安全漏洞进行逐项检查,扫描目标可以是工作站、服务器、交换机和数据库应用等。通过扫描,可以为系统管理员提供周密可靠的安全性分析报告,从而提高网络安全整体水平。