2019年第六章-电子支付体系的安全策略.docVIP

第六章 电子支付体系的安全策略 信息安全：信息安全的概念在20世纪经历了一个漫长的历史演变过程。从20世纪40年代计算机技术的出现，知道60年代末，通讯保密一直是信息安全的重点，儿90年代以来，由于网络的逐渐普及，使得信息安全的概念得到了进一步的深化。从信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否认性等。 信息安全工程：信息安全工程是采用工程的概念、原理、技术和方法，来研究、开发、实施与维护企业及信息与网络系统安全的过程。 信息安全保障体系：包括安全法规体系、标准规范体系、安全组织体系、安全管理体系、技术支持体系和应急服务体系，是一个复杂的系统工程。 安全策略：是网络信息安全的灵魂和核心，包括金融信息安全的组织管理策略、风险管理策略、技术管理策略、质量管理策略、标准化策略和技术策略。 安全技术：指的是充分利用高新技术，采用安全的技术防范措施和技术安全机制建立现代化防范体系，其技术要求主要包括： （1）安全管理组织，包括建立安全管理组织、确定安全组织职能、明确安全岗位职责、安全人员审查等； （2）环境安全。包括网络设备环境安全、通讯设备与线路环境安全、机房环境安全、软件开发和测试安全等； （3）网络安全。包括网络通信协议安全、网络管理平台安全、网络传输信道安全、网络运行安全监督、网络路由控制安全、网点合法性等； （4）软件的运行安全。包括软件平台和应用软件：软件平台选型与购置审查、安全检测与验收、安全报告与跟踪、版本管理安全、使用与维护安全、安全核查等； （5）应用软件的开发安全。主要是开发平台安全，开发环境安全，开发人员安全，应用软件测试与评估安全； （6）操作安全。主要是操作权限安全、规范管理安全、岗位责任安全、操作监督安全、操作回复安全； （7）数据安全。包括数据载体安全、数据密集安全、数据存储的时限安全、数据存储的备份安全、数据存储的有效性、存储信息的完整性； （8）应急安全。包括应急管理原则、应急计划制定、应急计划实施、应急备用管理、应急回复管理等； （9）密码与密钥安全。包括加密算法强度及业务分类管理安全、加密算法选用权限安全、密码算法启用和退役管理安全、密钥管理原则制定、密钥管理与生成安全、密钥传送与分配安全、密钥使用及注入管理安全等。 信息安全应当具有哪些特征。 信息安全至少应该具有以下特征： （1）保密性。保证信息不泄露给未经授权的人，确保只有经过授权的人才能访问信息，即使信息被他人截获，也无法理解其内容。 （2）完整性。防止信息被未经授权的篡改，保证真实的信息从真实的信源无失真地到达真实的信宿，信息的内容不会被破坏或篡改。 （3）可用性。保证信息确实为授权使用者所用，防止由于计算机病毒或其他人为因素造成的系统拒绝服务，确保经过授权的用户在需要时可以访问信息并使用相关信息资源。 （4）可控性。信息系统的管理者可以控制管理系统和信息。 信息行为的不可否认性。保证信息行为人不能否认自己的行为。 信息安全的内涵包括哪些内容？ 信息安全的内涵包括以下几个方面： （1）物理安全（physical security） 物理安全手段主要针对各类物理攻击活动，通过必要的监控，保安和灾难预防措施确保目标系统中各类设备的安全。对于诸如脱机备份数据而言，物理攻击是唯一能奏效的攻击手段。自然灾害所形成的物理破坏由于损失特别巨大同样不能忽视。 （2）电磁安全（electromagnetic security） 现代的信息技术借助于电磁信号传输信息，在传输过程中将不可避免地形成空间电磁辐射信号，并通过开放的空间电磁场构成对用户信息的安全威胁，因此必须对目标系统中使用的各类设备的电磁兼容性进行设计和处理或采用光纤等空间辐射小的传输介质。 （3）网络安全（network security） 网络安全主要是针对用户应用数据在网络传输过程中的安全保护问题。网络安全攻击包括直接针对传输的用户数据本身的攻击（即通过对数据传输流进行窃听，篡改和假冒等方式），以及针对网络传输服务机制的攻击（即破坏地址解析，路由，网络管理等）。 （4）数据安全（data security） 数据安全是针对用户信息资源在存储和使用过程的安全保护手段，主要通过加密，认证和数据备份技术对存储信息的机密性和完整性进行保护，以及访问控制，事物处理和残留数据处理等技术在操作系统或数据库级上实现不同等级的安全保护。 （5）系统安全（system security） 用户的端应用系统是相对于数据传输网络而言的，端系统应根据管理员设定的安全策略对用户的访问请求进行授权，确保只有经过授权的合法用户才能使用系统资源，并通过入侵检测机制对各种来自外部网络的安全威胁进行识别，控制和监视。 （6）操作安全（operation security） 操作安全是对一般业务操作