电子商务安全与支付-电子商务安全技术.pdf

《电子 商务安全 与支付 》 第二章 电子商务安全技术 第二章 电子商务安全技术 本章导入 2018年8月,全国金融标准化技术委员会秘书处发布关于征求《聚合支付安全技术规范 》（征求意见稿）地通知,正式对外宣布,聚合支付标准地推出正在路上。该规范提出了聚 技术平台地基本框架,规定了聚合支付系统实现,安全技术,安全管理,风险控制等要求。适用 于从事聚合支付系统建设,服务运营地聚合技术服务商。规范在各个方面对聚合支付进行了 较高地要求。值得一提地是,该标准地工作组由商业银行,支付机构,中国银联,检测机构等角 色组成。 在规范中,聚合技术服务商被定义为经工商行政管理部门批准成立,接受支付服务机构, 商户委托,利用自身地技术与服务集成能力,提供商户拓展,支付渠道整 ,技术对接,系统运维, 集合对账等服务地机构。除了对聚合支付地固态码,动态码,线上业务等业务进行基本定义之 外,标准还对聚合支付地数据留存问题有较高地要求。 第二章 电子商务安全技术 本章导入 聚与交易安全基本要求是,聚合技术服务商应采取加密存储,访问控制,信息安全审计等 措施,可以防范拖库撞库攻击。聚合支付系统应能够通过支付标记化技术,应定期开展敏感信 息安全地内部审计。在应用软件地数据安全方面,聚合技术服务商应用宜支持页面回退清除 敏感信息地机制。残余信息保护方面,聚合技术服务商应用软件退出时,应清除非业务功能运 行所必需留存地业务数据,保证客户信息地安全性;软件卸载后,文件系统中不应残留任何与 用户有关地个人信息及敏感数据等。 目录 CONTENTS 第一节计算机系统安全技术应用 第二节网络安全技术应用 第三节数据安全应用 第二章 电子商务安全技术 知识目的 Ø 1.熟悉服务器地安全防范。 Ø 2.掌握软件系统地安全维护策略。 技能目的 Ø 学会对计算机系统地优化设置 第二章 电子商务安全技术 第一节计算机系统安全技术应用 一,计算机系统安全地定义 n国际标准化组织（ISO）对计算机系统安全地定义是"为数据处理系统与采取地技术地与管理地安 全保护,保护计算机硬件,软件,数据不因偶然地或恶意地原因而遭到破坏,更改,显露"。由此可以将 计算机网络地安全理解为通过采用各种技术与管理措施,使网络系统正常运行,从而确保网络数据 地可用性,完整性与保密性。所以,建立网络安全保护措施地目地是确保经过网络传输与交换地数 据不会发生增加,修改,丢失与泄露等。 n互联网是遍布全球地计算机互联形成地网络,作为节点地计算机是互联网地重要组成部分。计算机 包括基本地硬件,系统软件与各种应用程序。硬件平台地安全性主要指防火,防水,防盗等物理危险 地防护,系统软件地安全主要指各种操作系统防范攻击,保障工作安全。 第二章 电子商务安全技术 第一节电子商务地发展与应用 二,硬件平台地安全防范 n硬件平台安全最重要地部分在于服务器硬件安全,因为服务器要长时间高速度运行,承载了海量数 据地吞吐工作,所以要尽最大可能保证服务器安全。在服务器硬件方面,可以通过高可用集群,双机 热备策略,应对服务器瘫痪,被黑,负载过重给系统带来地影响。 n （1）高可用集群,英文原文为HighAvailabilityCluster,简称HACluster n （2）双机热备 n提高服务器地使用效率,也不影响服务器地性能,在工作方式选择上,有如下地选择。 n1 ．主/主(Active/active) n2 ．主/从(Active/passive) n3 ．混合型(Hybrid)