财务中心网上支付安全解决方案1Word格式.docx

1、4.1. 公司简介 4.2. 公司成功案例与荣誉 5. 产品报价单 1. 前言随着网络技术的发展，越来越多的交易以电子形式发生，网上商店，网上证券，网上银行纷纷登场，人们在Internet上购买商品、交割证券、转帐划帐。但是Internet的开放性、国际性和自由性在增加应用自由度的同时，也使安全成为一个日益重要的问题。这主要表现在：开放性的网络，导致网络的技术是全开放的，因而网络所面临的破坏和攻击也是多方面的，如何保护网络中的重要信息不被非法获取、盗用、篡改和破坏，已成为所有Internet参与者共同关心的重要问题。目前安全技术正在迅速地发展着，网上交易也面临着新的机遇和挑战。为适应新时代的网

2、络技术，提供全面的网上交易服务将成为必然的趋势。按照安全策略的要求及风险分析的结果，整个网络应建立的安全控制系统包括物理安全、网络安全以及信息安全。对于电子交易而言，信息安全则是最为重要的。信息安全涉及到信息传输的安全，传输方及接受方的鉴别和授权，信息传输内容的完整性和不可否认性。而基于公开密钥体制的数字证书技术是用于解决这些问题的通用方案。XXX作为被国家密码管理委员会认可的信息安全服务提供商，凭借在安全领域的独特优势和强大的开发力量提供可靠的网上交易安全方案，能够为用户的网上交易服务体系提供高强度的信息安全保护，具有安全性高、通用性好、可扩展、易于维护等特点。本方案详细介绍了网上支付安全的

3、实现功能和安全机制，可以为财务中心的网上支付提供参考和帮助。 2. 网上支付安全分析2.1. 网上支付安全需求网上支付系统可以提供各种服务，主要归纳为以下四类：1. 公共信息发布 公共信息发布功能主要完成： 发布内部公告 发布公司资料 发布新闻与评述2. 网上帐户查询网上帐户查询功能，实现通过Internet进行帐户实时查询，主要包括： 资金余额查询 成交回报查询 修改帐号密码3. 实时网上支付实时网上支付功能,实现通过Internet完成支付全过程,主要包括： 网上支付 交易签名4专项信息传递专项信息传递功能,实现通过电子邮件方式完成财务中心与相关会员之间的特定信息（如：内部信息，交易数据回

4、报等）的传递过程,主要包括： 邮件传输 邮件签名2.2. 网上支付安全保障以下就结合网上支付的安全需求来分析如何保障网上支付的安全。通常网上支付系统的一个基本功能是在网上发布有关的交易信息以及新闻公告，由于信息对所有Internet用户公开，所以安全重点不在于信息的安全性，而是需要保证公共信息不会被有恶意企图的人非法篡改，造成各种不良影响。这种防护基本上可以通过合理的网络布局，完善的网络管理来实现。网上支付系统的另一个基本功能是通过网络查询帐户信息。由于涉及到用户敏感信息如帐号、口令等在公开网络上传输，需要实现在传输时对这些信息加密，同时支付平台和用户在不直接见面的情况下对私有信息进行查询，就

5、需要对其真实身份进行双向验证。因此安全保证的重点是保证数据传输安全和双方身份识别。网上支付系统最根本的功能是在网上实现转帐划帐。同样由于敏感信息的传输以及支付平台与用户不直接见面，需要保证信息传输安全和用户身份认证；同时由于涉及资金转移，支付平台需要保留不可抵赖的用户交易凭证；此外为了防止用户误操作或数据包被黑客截获后再次发送给支付平台，造成二次交易，给用户造成损失，网上支付系统还需要保证对用户请求处理的事务的一致性。因此安全保证的重点除上述的数据传输安全和双方身份识别以外，还包括用户请求的不可抵赖性和请求处理的事务一致性。4. 专项信息传递网上支付系统还可实现专项信息的传递功能。由于涉及一些

6、重要信息和机密数据在网上的传输，因此需要实现在传输时对这些信息加密及防篡改，同时，必须确保发件方和收件方的身份识别。因此安全保证的重点是保证以邮件方式传输的信息安全及双方身份的识别。综上所述，网上支付系统的安全问题主要由以下几个方面来保证： 完善的网络管理 用户身份验证 公开网络通信加密 用户请求的事务一致性 用户请求的不可抵赖性 电子邮件的传输安全3. 网上支付系统安全解决方案合理的安全策略是保证网上支付系统安全的关键。通过合理的网络管理配合合适的技术手段可以满足网上支付的安全需求。3.1. 公共信息发布安全公共信息发布安全主要依靠完善的系统管理来实现。公共信息由于面向公开发布，不需要保证信

7、息只能被特定团体或个人访问，需要的是保护信息不会被非法篡改。对于财务中心来说，交易信息虽然是公开的，但是如果被篡改某些敏感数据，很可能会造成不必要的麻烦，对财务中心的名誉也会造成不利的影响。因此，对这些内容的保护也是不能够忽视的。Web站点内容被黑客篡改，是这些黑客通过主动攻击实现的。黑客通过密码字典猜测信息系统的特权口令，在获得特权口令之后，登录进入系统，篡改发布内容，制造不良影响。对于这种情况，我们可以通过改进系统配置、完善网络管理和安全策略来实现安全保护，避免站点被非法篡改。3.1.1. 完善系统配置大多数情况下的黑客入侵成功的原因是由于系统管理员没有很好的配置自己的系统，采用的配置参数

8、仍旧是系统供应商出厂时的缺省配置。这种配置肯定无法满足用户自己的安全配置需要。由于缺省配置的安全目标与用户系统的安全目标不一致，导致了用户系统的安全隐患。如果采用Windows NT系统，由于NT缺省情况下没有提供Internet黑客赖以攻击的TCP服务。所以，从某个方面来说，缺省情况下，NT系统被攻破的机会要小一些。从NT的发展来说，其主要开发人就是从事多年Unix（VMS）开发的开发人，所以NT中的安全漏洞要小得多。迄今为止，NT系统的数据和口令失密只有在特洛伊木马的攻击下出现过。绝大多数的NT攻击只能够使NT的某些服务无法正常运转。对于Unix系统，由于制造厂商在出厂时的设置均是为了方便

9、用户的网络使用，存在着非常多的配置漏洞。目前的Unix系统攻击很多都是通过配置方面的漏洞来实现的。实际上，NT和Unix系统在设计时都对安全问题考虑得非常全面，就系统本身来说是足够安全的。问题在于具体到每个用户系统，各自的安全配置决定了系统的安全水平。经统计，完备的安全配置足可以抵挡超过95%以上的普通攻击。3.1.2. 完善网络管理黑客通过分析网络管理上的漏洞以达到其攻击目的。很难定义怎样的系统管理才是完善的，因为完善的系统管理是各方面的总和。例如对路由器以及其他主机定期更改密码，采用不规则密码，关闭不必要的服务，关闭防火墙任何不使用的端口等。因此一个优秀的系统管理员对于一个网上交易系统而言

10、是必不可少的。并且，在必要的情况下，还可通过添加安全审计、入侵检测及漏洞扫描等软硬件措施来完善网络系统的安全管理。良好的安全管理策略对系统的安全水平起着至关重要的作用。我们建议：系统配置仔细研究最新的系统维护文档，完善系统各方面的安全配置，降低安全风险。同时，周期性的维护系统，包括备份和安装更新程序、订阅安全电子新闻。系统隔离保证Web服务器和数据库服务器位于不同的网段，最好使用两块网卡将Web服务器分别连接到Internet和内部网段。切断共享Web服务器上的系统配置尽可能地保证安全。如果是NT系统，最好不要共享任何目录。如果是Unix系统，尽可能减少TCP相关的Deamon进程，如Teln

11、et、SMTP和FTP等服务器守护进程。日志记录打开日志记录功能，保存系统的访问日志记录，对其进行分析，可以有助于发现有问题的访问情况。文件系统如果使用的是NT系统，最好使用NTFS安全文件系统，可以确保只有管理员才能够修改文件。如果使用Unix系统，最好对每个HTML页面制定特定的安全访问策略，确保非法修改的可能性最小。口令策略制定完善的口令策略，确保口令的最少长度、最长有效期和口令内容的复杂程度。专人专权由专人负责系统安全和系统维护，减少不必要的用户管理权限，严格控制非系统管理员的权限和系统管理员的数量。3.2. 网上帐户查询安全帐户查询系统中，需要提供各方面信息的查询工作。由于涉及到用户

12、敏感信息如帐号、口令等在公开网络上传输，需要实现在传输时对这些信息加密；同时财务中心和用户在不直接见面的情况下对私有信息进行查询，就需要对其真实身份进行验证。因此需要确保：（一） 数据在Internet环境中传输无法被破解，也就是数据的加密问题；（二） 帐号和口令的确是真实用户输入的，也就是用户的身份认证问题。3.2.1. 用户身份认证对于用户身份认证常见的解决方法是采用“用户名+口令”的方式。这种方式简便易行但是存在着诸多的隐患。首先口令在公开网络上以明文的方式传送容易被截获，例如：普遍使用的远程登录（Telnet），其口令的验证方式为明文传递口令至服务器，在服务器进行口令验证，此方式在一种

13、名为“嗅探器（Sniffer）”的黑客工具的攻击下，极易造成用户口令的泄漏，使“用户名口令”的身份验证机制失效，并且一旦口令泄密，所有安全机制立即失效；同时，由于内部网方面需要维护庞大的用户口令列表并负责全部口令的保存，工程庞大且安全性较低，所以采用口令的方式是不可取的。另一种方法是完全采用数字证书标准进行用户身份验证，在数字证书中包含了用户的身份信息和公钥，然后由CA机构签名。在用户登录时通过验证对方数字证书的有效性来确认用户身份。当用户通过Internet进行查询时，采用数字证书能够确保即使知道帐号和口令的人也无法冒充帐号持有人进行查询。因此在这里我们建议建立自己的CA系统，这种方式有利于

14、对证书的发放进行统一的管理，而且对于证书发放政策的制定也拥有极大的自主权，由于使用标准的证书格式，在需要的时候也能够方便的升级到国家的CA体系中，或者与其他的CA体系进行交叉认证。为了提高CA的安全性，需要有一台硬件加密机做密钥保存及运算。密钥在硬件加密机中产生，而且永不会被导出，防止了密钥泄露等情况的发生。同时，为了提高数字证书技术使用的可靠性和方便性，我们还可以结合IC卡技术，以此作为存放私钥的媒介来进行用户身份识别。通过对密钥进行硬件级的保护，提供更严格的访问权限控制，实现机密文件的使用者的身份鉴定。由于采用基于PKI技术，它能够满足以下的需求： 用户身份识别的唯一性，具有数字证书和用户

15、帐号口令相结合的双重身份识别手段； 身份识别产品的客户端可以随身携带或能够安全方便地以物理方式保存在硬件中； 用户在进入网络系统以后，能够和其他用户、服务器或防火墙进行相互身份识别； 网络用户对自己行为的不可否认性； 支持用户对IPSEC/SSL以及安全网络信息传输过程中的数字签名和数字信封加密。3.2.2. 网络通信加密为了保障网络通信的安全有必要对通信通道进行加密保护。在现有系统中，通常采用传输密钥（TK）和数据校验码（MAC）的方式来保证数据的秘密性和完整性，但是，由于此方式建立在对称密钥算法的基础上，不可避免地面临密钥安全交换和密钥安全管理的问题。随着计算机安全技术的发展，有经验的攻击

16、者可以通过在密钥交换过程中截获传输密钥，破坏数据的秘密性和完整性，甚至可能对数据进行篡改。可以采用SSL建立安全通道的方式，SSL被视为 Internet 上 Web 浏览器和服务器的安全标准，为 TCP/IP 连接提供数据加密、服务器身份验证和消息完整性验证。我们建议采用SSL安全代理的方式，在这种方式中通过代理Web Server端和浏览器端的安全通讯端口，在两者之间建立128位的高强度加密通道，具有更高的安全性。XXX的SSL安全代理还具有其他多方面的优势： 支持多种高强度通用加密算法，并可对加密算法进行配置，针对不同的应用提高或降低加密强度； 具有良好的兼容性，不但支持Windows和

17、Unix平台，也支持各种Web Server； 对不同的应用具有完全相同的功能，对用户来说，SSL代理完全无缝地提高了浏览器的SSL加密强度，并不需要为不同的应用安装不同的SSL代理； SSL代理通过XXX公司自主开发的PKCS加密模块提供加密和个人证书及私有密钥的管理能力，使用户可以在同一个应用的不同层次使用相同的证书，因此用户的每张证书都可能为多种应用共享，进一步降低了用户的开销。而且PKCS加密模块可以用IC卡来代替软件加密，私钥终身不离开IC卡，增强其安全性。3.3. 网上支付安全和网上帐户查询相比，网上支付除了必须具备查询所需要的安全性之外，还需要提供不可否认性和事务一致性。不可否认

18、性可以保证每个帐户用户的委托过程具有法律效力。采用数字签名技术可以实现信息的不可否认性，由于标准的SSL协议并没有提供这一机制，这就需要结合其他手段来解决。XXX公司针对SSL协议的不足，提供额外的数据签名功能。用户在网上委托单中填写的内容在发送给网上交易主机时可以附带一个数字签名，这样网上交易主机收到用户请求时就可以验证该请求的真实性，同时该请求可以作为不可抵赖的凭证保存到数据库以提供交易记录安全审计。在网上支付交易中采用流水号的方式来解决用户请求有效性的识别。客户通过浏览器连接到网上交易主机，网上交易主机对用户每次委托请求分配一个唯一标识号即流水号，而且流水号作为委托单的一部分由用户数字签

19、名后发送到网上交易主机，从而保证每次请求只被处理一次。如果黑客截获该请求，再次发送给网上交易主机，由于申请已经被处理过了，该申请无效，如果黑客篡改该流水号，由于表单数据经过签名，导致签名验证失败，网上支付系统会将黑客的IP地址等信息记录到系统日志中。同样如果用户不小心按了两次发送按钮，由于两次申请的标识号重复，系统不会接受第二次委托请求。3.4. 专项信息传递安全作为网络安全的重要组成部分电子邮件的安全性是不容忽视的。从技术角度来说打开任何一封电子邮件，在邮件的头部我们都可以看到这封邮件是以明文的形式经过多个网络节点才传送到收信人的计算机，其中每个节点都有可能偷窥电子邮件，甚至修改信件的内容。

20、由于整个网上支付系统将使用XXX公司的ECA证书认证系统，则邮件的安全性问题也可以采用XXX公司的安全电子邮件系统SMS来解决。通过采用证书机制建立严格的身份验证体系，确保发件方和收件方的身份识别。同时，采用数字证书确保信息的防篡改和不可否认性。用户通过接收CA系统发行的证书，再调用安全电子邮件程序完成用户的电子邮件签名和电子邮件加密功能，整个过程简便易行并且对于用户是透明的。XXX公司的安全电子邮件系统SMS，同时也支持IC卡，对用户而言，真正体现了一卡多用的方便性。3.5. 安全系统解决方案根据以上的设计思想，网上支付安全解决方案主要由ECA身份认证系统、SSL安全代理、SMS安全电子邮件

21、、IC卡身份识别系统以及硬件加密机几部分组成。采用本解决方案后，原有的系统结构中，在服务器端需要添加以下安全产品： XXX证书认证系统CA服务器； SSL安全代理服务器端； 电子邮件系统SMS； 硬件加密机（CA使用）。在客户端需要添加以下的安全产品： SSL安全代理客户端； 电子邮件系统客户端插件； IC卡读卡机具。本方案中的ECA服务器可向网上支付系统的合法用户提供个人证书发放、更新、广播和黑名单的管理等服务。 通过ECA系统软件为参加连接的各方发放数字证书。采用在线或离线的方式用户可以申请所需要的证书，管理方只需制订证书的发放规则，凡符合规则的用户请求即被响应，这种方式较为简便。为了保证

22、CA系统的安全性，CA的密钥由硬件加密机产生并保存在硬件加密机中，所有的密钥运算均在硬件加密机中完成，密钥永远不会出硬件加密机。以防止密钥泄露。用户通过IC卡登陆网上支付系统，并通过SSL代理实现与网上支付系统间的高加密位数的安全信息传输，结合XXX的安全模块提供的签名机制，为相关信息提供签名服务，以保证信息传输的完整性和不可否认性。同时，在本机上安装安全电子邮件系统SMS，实现电子邮件的签名和加密功能，并确保发件人和收件人的身份确认。综上所述，在此方案中，实现的安全功能有： 支持数据传输和查询功能（SSL加密强度为128位）； 权限控制及支持IC卡的双因子身份识别系统； 电子邮件的安全传输功能； 信息的签名机制。