金融事业部支付风险与安全改进建议(ppt 81页)

主要内容
改进建议制定思路
风险与安全现状分析
银行支付安全模式分析
安全模型设计

 

 

主要内容
基于现有风险与安全管控现状，结合银行模式，提出改进建议
金融支付相关的安全及风险现状已初成体系
银行的支付安全模式是基于国际国内规范的体系化成熟模型
其中PCI DSS是国际公认的卡支付安全规范，被银行业广泛应用
PCI DSS中规定了12项安全要求
要求1：安装并维护防火墙配置，以保护持卡人数据的详细规定及分析
要求1：安装并维护防火墙配置，以保护持卡人数据的详细规定及分析（2）
要求2：系统密码和其他安全参数不使用供应商提供的默认设置的详细规定及分析
要求3：保护存储持卡人的数据的详细规定及分析
要求3：保护存储持卡人的数据的详细规定及分析 （2）
要求3：保护存储持卡人的数据的详细规定及分析 （3）
要求4：在开放型的公共网络中传输持卡人数据时会加密的详细规定及分析
要求5：使用并定期更新杀毒软件或程序的详细规定及分析
要求6：开发、维护安全系统和应用程序的详细规定及分析
要求6：开发、维护安全系统和应用程序的详细规定及分析 （2）
要求6：开发、维护安全系统和应用程序的详细规定及分析 （3）
要求7：限制为只有业务需要知道的人才能访问持卡人数据的详细规定及分析
要求8：为每位拥有计算机访问权限的用户分配唯一的 ID的详细规定及分析
要求8：为每位拥有计算机访问权限的用户分配唯一的 ID的详细规定及分析（2）
要求9：限制对持卡人数据的物理访问的详细规定及分析
要求9：限制对持卡人数据的物理访问的详细规定及分析(2)
要求10：跟踪和监控访问网络资源和持卡人数据的所有操作的详细规定及分析
要求10：跟踪和监控访问网络资源和持卡人数据的所有操作的详细规定及分析(2)
要求11：定期测试安全系统和流程的详细规定及分析
要求12：维护针对雇员和承包商信息安全的政策的详细规定及分析
要求12：维护针对雇员和承包商信息安全的政策的详细规定及分析（2）
要求12：维护针对雇员和承包商信息安全的政策的详细规定及分析（3）
要求12：维护针对雇员和承包商信息安全的政策的详细规定及分析（4）
CUPSecure是银联制定的网上交易支付安全标准
由于CUPSecure处理逻辑复杂，其基本原理可以通过Visa 3DSecure说明
CUPSecure支付流程符合3DSecure的基本原理，并提供发卡机构代理服务（SC模式，银联安全输入模式）
基于 的实际情况，不会照搬银行的做法，但是可以参考银行网上支付安全体系适当修正。
在多年的实践过程中，网上银行遇到了一些安全问题 ，同时也采取了众多的安全措施。
网银的安全重点在身份认证和网络传输。
人民银行的网银安全规范可以作为 的参考
可以分析一下网银比较成功的几个大银行的网银系统安全：工商银行、建设银行、中国银行、农业银行、招商银行。
基于以上分析， 可以借鉴其中的一些做法
银行常用密钥体系分为两大类：对称密钥体系，非对程密钥体系
对称算法简介
对称密钥体系安全管理基本概念
硬件加密机相关的安全管理
对称密钥体系密钥的管理
非对称算法简介
非对称密钥体系离不开CA证书申请，在中国金融机构的证书申请单位为CFCA
SSL是非对称密钥体系的一种，常用于Web应用
数字签名是非对称密钥体系的另一种应用，用于防抵赖性
IC卡标准体系
VSDC (EMV) 功能概述
EMV交易流
在线交易流 – 授权
SDA 安全体系说明
SDA 初始化流程
SDA工作流程
SDA 处理要求
DDA安全体系说明
DDA初始化流程
DDA工作流程
DDA 处理要求

..............................