信用卡需要保护好哪些信息
信用卡需要保护好自己的身份证和相关资料,如姓名、生日、证件号码、家庭电话、住址、婚姻状况、家庭成员、教育程度、职业等信息,不要轻易将相关资料交给他人。在接到自称银行工作人员电话时,要核实对方身份,或拨打银行指定的客服电话办理业务。
1、办卡时要设定密码,并在信用卡背面签名。很多持卡人都觉得信用卡背面签名可有可无,其实不然,签名主要是为了验证持卡人的身份并保护持卡人的用卡安全。现在比较常见的一种盗用信用卡的手段就是复制卡,但骗子们一般只通过某些技术手段,窃取磁条内的信息及刷卡的交易密码,很难精确模仿持卡人的签名。如果有了卡后面的签名,就可以有效避免复制卡的危害。
2、要保留好消费单据和使用凭条。ATM机上的取款凭条、消费单据以及对账单等信用卡原始凭证,应注意妥善保管或定期销毁,不要随意丢弃,以避免泄露信用卡卡号、有效期等关键信息。
3、网购时要选择正规的购物网站,并在使用信用卡支付时,最好选用提供随时开通关闭网上支付功能的信用卡,随用随开通,支付完毕后尽快关闭网上支付功能。
4、刷卡消费要核对消费金额及卡号。用POS机刷卡消费签名前,要核对消费金额和卡号,完成交易后,还要确认收银员交还的信用卡是本人卡片,防止“掉包”。
5、信用卡丢失要及时挂失。如果信用卡丢失或者被ATM机吞卡,应及时到银行办理挂失,绝对不要轻信ATM机周围张贴的公告或通知,必要时应与银行客服联系。
6、认真阅读对账单。银行每月会邮寄对账单,持卡人应认真阅读并妥善保管,及时发现错账或盗刷情况。
7、要了解所持信用卡的最高透支额度,避免无意的“恶意透支”。 一般情况下,普卡和金卡的额度上限为5万元,如果想要获得更高额度的信用卡,就要向银行申请白金及白金以上级别的信用卡。如果多次透支消费及提取现金数额较大并经金融机构多次催要超过三个月仍未还款的,属恶意透支信用卡,会受到法律的制裁。
如何加强信用卡业务风险防范
(一)做好审批工作,确保申请信息真实、额度合理、信息准确完整
1、确保申请人信息的真实性
审批人员应对银行审批政策做到非常了解,并严格根据信用卡审批政策进行审批。仔细检查申请材料的完整性和逻辑性,通过电话核实等方式确保申请信息真实;
2、确认申请人经济实力的真实性
审批人员要分析客户提供的财力证明资料的真实性和合理性,根据申请人职业情况判断其合理收入水平,根据授信政策要求,合理给予额度;
(二)确认邮寄信息的准确性[JP2]
审批人员应仔细检查客户申请资料填写的完整性,与客户确认邮寄地址是否正确,确保客户邮寄信息无误。对于因邮寄递送公司的问题而导致客户未收到卡,应及时补寄卡片。
(三)做好异常交易监控,防范恶意tx ,确保用途合理
逾期欠款、恶意tx 和非消费额用途,都可以通过分析持卡人的交易行为来判断。重点要做好以下几类客户的异常交易监控:
1、高额度客户
要对此类客户做好交易分析,查看其是否存在大额透支、异常消费和还款、持续集中在几家商户交易等情况。
2、顶额消费客户
顶额消费客户即每期消费金额接近卡片额度的持卡人。特别是每期仅还最小还款额的持卡人,存在较大逾期风险,银行应加强对此类客户的交易情况监控,通过分析其交易用途、交易商户特点以及最近几期还款情况,确认是否存在逾期风险。
3、集中交易客户
出现集中交易,银行要了解客户情况,同时了解商户性质,分析客户交易记录。若客户本身为批发零售行业,则很可能将信用卡用于经营用途;若客户经营范围与洗发水没有关系,而交易商品为大量洗发水,则该客户可能存在tx 行为。
4、大额分期客户
大额分期一般是商业银行为消费汽车、家装、车位等金额较大商品的持卡人提供的收取一定手续费的分期付款业务。一般在客户准入环节,商业银行会作出详尽的调查,判断客户资质。但是,不排查部分客户由于突发的经济状况恶化,导致无法及时还款。此类现象一旦发生,则会对银行造成较大损失,因此银行应及时查看客户还款情况,并做好提醒。另外,部分银行的大额分期业务,会采取担保公司提供担保的形式以降低风险。
(四)做好商户准入和回访,确保商户无恶意tx 行为
为降低恶意tx 带来的损失,商业银行应在选择合作商户时,应按照银监会2011年发布的《商业银行信用卡业务监督管理办法》对商户的要求,严格审批准入条件,详细审核商户资质,排除虚假和高风险商户。同时做好商户的回访和维护工作,及时检查商户的POS机具摆放和使用情况,对于未按照监管要求和协议规定开展业务的商户,及时予以清退。
(五)做好卡片升级,提醒客户注意保护个人信息,防范恶意盗刷
2013年以来,为提高持卡人用卡安全,各大商业银行积极发行芯片信用卡。由于芯片卡加密技术更强,因此具有更好的安全性,成为商业银行应对恶意盗刷的方式之一。商业银行应积极提高自身产品的安全性,同时积极提醒客户注意个人信息的安全,尽量避免信息泄露。
(六)保持优质的客户服务
优质的客户服务,是商业银行保持客户忠诚度,避免客户流失,防范由于客户投诉带来声誉风险的保障。商业银行应确保客户服务工作人员的专业素质,对相关信用卡产品充分了解。同时,应确保客户服务工作人员对待客户提出的问题能够快速响应,在最短的时间内提出有效的解决办法。另外,客户服务工作人员在处理客户提出的问题时应耐心、平和,不推诿、不激怒客户。
(七)保证催收工作质量
催收工作对于信用卡损失的减少具有重要意义。好的催收工作可以大大降低商业银行坏账水平,相反,低效率的催收工作只会增加商业银行坏账损失的风险。商业银行在催收过程中,应根据逾期期限,采取不同催收策略。另外,对于聘请专业催收公司的银行,应选择专业化、催收经验丰富、催收效果好的催收公司,同时加强与催收公司的联系,及时了解催收进度和效果。
(八)信用卡资产证券化
资产证券化是将流通性较差、短期内难以变现的资产转化为流动性好、便于交易的证券产品出售给投资人,用以分散风险的行为。随着信用卡发卡规模的增加,累积的风险也不断提高。商业银行可以通过将信用卡应收账款打包为资产化证券出售给投资者的方式进行资产证券化,在提前收回应收账款的同时,可以有效分散风险。资产证券化在国外已经是较为成熟的产品,但在我国发展较为缓慢,前期的证券化产品主要是关于住房贷款资产的证券化产品。近期,随着国家对资产证券化的鼓励,部分商业银行已开始尝试以信用卡专向分期应收账款作为基础资产进行证券化,在快速回收资金的同时,达到分散风险的效果。我们相信,随着资产证券化业务在我国的不断成熟和完善,会有越来越多的商业银行通过信用卡资产证券化业务进行风险管理。
广发信用卡中心安全政策方针是什么
广发银行股份有限公司特别为广发信用卡客户推出 “交易安全卫士服务 ” ,客户开通本服务,即可享受本行提供的用卡安全保障。
(一)保障范围
保障范围可包括:
1、因信用卡丢失、失窃、被克隆后发生盗用的交易;
2、非因客户过错造成信息泄露而发生被盗用的互联网、电购、邮购交易;
3、包括通过密码验证的盗用交易;
4、以上交易不包括电子现金交易或其它本行认定不符合保障范围的交易。
(二)保障金额
每卡最高保障金额为盗用交易发生当日该卡的信用额度(信用额度可包括固定信用额、临时信用额和超限额,但自有存款部分除外)。
(三)保障时效
1、客户订购或获赠本服务的次日零点起即享本服务及保障;
2、客户取消本服务次日零点起即不再享受本服务提供的保障;
3、免费获赠本服务的卡片若连续6个月没有发生交易将被自动取消本服务,取消次日零点起即不再享受本服务提供的保障。
信用卡的安全性和保障
; 信用卡的安全问题,不光只是靠银行对账户的的安全保护,最重要的还需要持卡人对自己信用卡和信息的妥善保管,一定要提高防范意识,不要被一些不法分子钻了空子。
建行信用卡中心实时侦测预警保障网络支付安全,实时侦测预警到底有什么用处,下面我给大家举个实例。
某天中午,建行信用卡中心反欺诈侦测专员小张结束早班的工作,正打算去吃早餐,忽然收到欺诈侦测系统警报,显示客户刘先生的信用卡发生可疑交易,系统预警该卡片于5分钟内连续发生三笔网络支付交易,交易商户为某第三方支付机构,消费金额总计万元。侦测工作经验丰富的小张立马感觉到了不寻常:这三笔交易发生得过于频繁,且单笔交易金额均接近于网络支付限额标准。首笔已交易成功,小张立后两笔交易进行暂挂处理的操作,并及时联系刘先生进行交易核实。
果不其然,这三笔网络交易并非刘先生本人操作。原来就在10分钟前,刘先生收到“10086”发送的积分兑换礼品的短信,由于发送号码显示为“10086”,刘先生便毫不怀疑地点击了短信中的网址链接,并按要求输入了信用卡卡号、有效期等信息,随后“10086”又发来信息声称将产生一笔“虚拟扣款”,要求提交动态验证码。刘先生回复了验证码后,几分钟内就产生了这三笔大额网络盗刷。
刘先生表达感谢后,向侦测员小张道出了心中的疑惑,这短信明明就是“10086”发送的,还会有假?小张耐心地向刘先生解释了其中的“奥秘”。其实,刘先生收到的短信是不法分子利用伪基站修改号码后,伪冒10086发送的。通过诱导持卡人登录短信中的钓鱼网站,骗取客户的信用卡信息以及动态验证码后,立马进行网络盗刷。幸好,建行掌握相关信息后,立即联动第三方支付机构进行交易拦截。由于发现及时,不法分子盗刷购买的实体物品并未发货,商户成功拦截首笔欺诈交易,并对另两笔暂挂交易进行取消,刘先生才避免了损失。
(首刷送25元白条消费券;享受白条免分期费购物;4小时1000元航班延误险)
银行如何防范信用卡案件风险
央行、银监会专门通知采取措施防范信用卡风险
《中国人民银行、中国银行业监督管理委员会关于防范信用卡风险有关问题的通知》
银发[2006]第84号
一、 信用卡发卡机构应严格审核申请人的资料,加强风险控制与管理,做好对持卡人的安全用卡宣传教育
(一) 信用卡发卡机构应对申请人的资料进行严格的资信审核,尤其要通过多种方式核实申请人资料的真实性。对于发卡营销外包服务商或单位批量提交的申请资料,发卡机构应加大资信审核力度。发卡机构要根据申请人的资信状况,严格审批信用额度,加强发卡源头的风险控制。
(二) 信用卡发卡机构应慎重选择发卡营销外包服务商,并严格约束与发卡营销外包服务商之间的外包关系。
1、 发卡机构在选择发卡营销外包服务商前,应充分审查、了解发卡营销外包服务商的经营状况、财务状况以及实际的风险控制与责任承担能力。
2、 发卡机构确定发卡营销外包服务商后,要与发卡营销外包服务商签订书面合同,明确双方的责任、权利和义务。合同中要明确规定,发卡营销外包服务商对申请人信息负有保密义务,不得申请成为特约商户,不得将代理营销业务再转包其他单位。
3、 发卡机构应针对发卡营销外包服务商制定严格的内部控制制度,监督其建立完整的人员档案以及制作相关营销宣传材料。
(三) 发卡机构一旦发现信用卡申请材料属于未与其签订发卡营销外包协议的中介公司递交的,不得受理相关业务。
对于代领卡、邮寄卡等非本人领卡的卡片发放方式,发卡机构应通过制定风险防控措施等相关业务规则防范业务风险。
(四) 发卡机构应加强对持卡人用卡情况的监控,对于已确认存在tx 行为的信用卡持卡人,有权采取降低授信额度、止付等措施。
(五) 发卡机构发现不法中介、个人骗领信用卡或违规使用信用卡的,应立即与工商、公安等有关部门进行沟通协调,并协助有关部门对其进行打击和处理。
(六) 发卡机构应对公众加强有关信用卡知识的宣传教育和普及工作,使公众了解信用卡申请和使用的基本常识,提高风险防范意识,增强诚信观念。
扩展资料:
银行防范措施各异:
1、广发银行对信用卡的风险管控则主要是依靠“三大法宝”,首先是构建广发信用卡“交易开关”系统,这是业内首个提供给持卡用户进行信用卡交易功能全面设置的自主管理风险平台。
该系统目前已具备交易限额管理、境内无卡交易管理、港澳台交易管理、境外交易管理等四大管控功能,持卡人可通过95508、手机银行、上行短信等渠道“一键式”自主设置所需交易功能。
信审方面,广发信用卡创新采用智能化系统审核,来应对人工信审的弊端。此外,广发信用卡还加强分区管理,对高风险的长三角、环渤海地区重点治理,针对该片区域的持卡人消费特性,广发信用卡采取了从源头控制风险、缩小风险敞口、建立失联客户管理体系等三大方面控制措施。
广发信用卡中心工作人员透露,经过各业务条线的管控,长三角地区的风险指标下降明显,尤其是2014年新发卡早期风险相较于2013年发卡下降了近40%。
2、其余银行也都有不同的方式来进行信用卡风险管控,招商银行、浦发银行均建立了“前中后”的风险管控体系。以招商银行为例,该行为防范信用卡欺诈,建立了“前-中-后”的风险管理体系。
在申请时,对不同的申请人采取差异化的审核策略;在客户使用过程中进行实时侦测;在发生意外盗用情况时,招商银行的专业调查团队做后续的跟踪处理,确保客户资金安全。
参考资料来源:人民网-银行信用卡风控招数各异
信息安全的相关技术
在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:
◆ 用户身份认证:是安全的第一道大门,是各种安全措施可以发挥作用的前提,身份认证技术包括:静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。
◆防火墙:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈。
◆网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。网络安全隔离与防火墙的区别可参看参考资料。
◆安全路由器:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。
◆虚拟专用网(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。
◆ 安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。
◆ 电子签证机构--CA和PKI产品:电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。
◆ 安全管理中心:由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
◆入侵检测系统(IDS):入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。
◆入侵防御系统(IPS):入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。
◆安全数据库:由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。
◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。
◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密
信息安全行业中的主流技术如下: 1、病毒检测与清除技术 2、安全防护技术 包含网络防护技术(防火墙、UTM、入侵检测防御等);应用防护技术(如应用程序接口安全技术等);系统防护技术(如防篡改、系统备份与恢复技术等),防止外部网络用户以非法手段进入内部网络,访问内部资源,保护内部网络操作环境的相关技术。 3、安全审计技术 包含日志审计和行为审计,通过日志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理性、安全策略的有效性,追溯分析安全攻击轨迹,并能为实时防御提供手段。通过对员工或用户的网络行为审计,确认行为的合规性,确保信息及网络使用的合规性。 4、安全检测与监控技术 对信息系统中的流量以及应用内容进行二至七层的检测并适度监管和控制,避免网络流量的滥用、垃圾信息和有害信息的传播。 5、解密、加密技术 在信息系统的传输过程或存储过程中进行信息数据的加密和解密。 6、身份认证技术 用来确定访问或介入信息系统用户或者设备身份的合法性的技术,典型的手段有用户名口令、身份识别、PKI 证书和生物认证等。
信息安全服务
信息安全服务是指为确保信息和信息系统的完整性、保密性和可用性所提供的信息技术专业服务,包括对信息系统安全的的咨询、集成、监理、测评、认证、运维、审计、培训和风险评估、容灾备份、应急响应等工作 信息安全可以建立、采取有效的技术和管理手段,保护计算机信息系统和网络内的计算机硬件、软件、数据及应用等不因偶然或恶意的原因而遭到破坏、更改和泄漏,保障信息系统能够连续、正常运行。
一个安全有效的计算机信息系统可以同时支持机密性、真实性、可控性、可用性这四个核心安全属性,而提供信息安全业务的基本目标就是帮助信息系统实现上述全部或大部分内容。 电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全
(一)计算机网络安全的内容包括:
(1)未进行操作系统相关安全配置
不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。
(2)未进行CGI程序代码审计
如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
(3)拒绝服务(DoS,Denial of Service)攻击
随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。
(4)安全产品使用不当
虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
(5)缺少严格的网络安全管理制度
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
(二)计算机商务交易安全的内容包括:
(1)窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
(2)篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
(3)假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
(4)恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。 电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此,电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。
1.计算机网络安全措施
计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。
(一)保护网络安全。
网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:
(1)全面规划网络平台的安全策略。
(2)制定网络安全的管理措施。
(3)使用防火墙。
(4)尽可能记录网络上的一切活动。
(5)注意对网络设备的物理保护。
(6)检验网络平台系统的脆弱性。
(7)建立可靠的识别和鉴别机制。
(二)保护应用安全。
保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。
虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
(三)保护系统安全。
保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:
(1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。
(2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。
(3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。
各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。
(一)加密技术。
加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。
(1)对称加密。
对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。
(2)非对称加密。
非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。
(二)认证技术。
认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。
(1)数字签名。
数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;
(2)数字证书。
数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。
(三)电子商务的安全协议。
除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。比较成熟的协议有SET、SSL等。
(1)安全套接层协议SSL。
SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。
(2)安全电子交易协议SET。
SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。
SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。 信息安全工程的监理是在信息安全工程的开发采购阶段和交付实施阶段为业主单位提供的信息安全保障服务。主要是在项目准备阶段、项目实施阶段和项目验收阶段通过质量控制、进度控制、合同管理、信息管理和协调,来促使信息安全工程以科学规范的流程,在一定的成本范围内,按时保质保量地完成,实现项目预期的信息安全目标。
信息安全工程监理的信息安全工程监理模型由三部分组成,即咨询监理支撑要素(组织结构、设施设备、安全保障知识、质量管理)、监理咨询阶段过程和控制管理措施(“三控制、两管理、一协调”,即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调)。
信用卡中心质量信息安全目标的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于信用卡中心质量信息安全目标是什么、信用卡中心质量信息安全目标的信息您可以在本站进行搜索查找阅读喔。
还没有评论,来说两句吧...