电子支付系统安全需求

安全需求定义是指采用某种方法描述用户对信息系统安全的要求。定义方法有形式化和非形式化两种。传统的做法把安全作为非功能需求之一附加在系统需求分析之后进行。目前大多采用非形式化定义方法。电子支付系统的各种安全需求在整体考虑的基础上，采取综合的安全解决办法，建立起完整的安全控制体系和保证体系，以保障支付信息的保密性、完整性、可用性和可靠性等安全指标。目前电子支付的安全需求如下:

1.保密性

电子支付保密性主要指保证数据不受未授权的非法访问而导致数据失密，主要分为数据存储保密性和数据网络传输的保密性。系统需要及时对传输信息进行加密处理，防止交易中信息波非法截获或者读取，就是防止通过非法拦截会话数据获得账户、金额等有效信息。保密性意味着在参与者之间的通信通道具有保密性，仅允许目标支付方可以看到支付数据。常见的保密技术包括:防侦收、防辐射、信息加密、物理保密、信息隐藏等。

2.完整性

电子支付完整性是指数据不接受未授权的非法修改,从而使得数据保持未受损害的完整状态，主要分为数据存储完整性和数据网络传输的完整性。系统需要防止未经授权者对支付信息的随意改动，防止数据传输过程中支付信息的丢失或者重复,并且保证信息传递次序的统一。完整性意味着在电子支付系统中的支付数据，不能被未经授权的参与者修改或者破坏，保证一旦支付交易提交，支付数据不能非法修改,同时也确定了支付数据的一致。保护电子支付完整性的方法主要有:协议、纠错编码、密码效验、数字签名、公证等。

3.可靠性

电子支付系统能够提供对用户身份的鉴别方法，确保用户身份信息的可靠与合法，实现系统对用户身份的有效确认,对私有密钥和口令有效保护，对非法攻击能够防范，防止假冒身份进行交易和诈骗，确保系统的无故障和无差错。

4.可用性

可用性是指信息可被授权实体访问并按需求使用的特性。电子支付存在着由于计算机病毒或者其他人为的原因可能造成对合法使用人的拒绝服务，也可能存在被他人滥用机器或者信息的情况，这就是可用性需求。电子支付的可用性与硬件的可用性、软件的可用性、人员的可用性、环境的可用性等方面有关。

5.抗否认性

抗否认性也称抗抵赖性，系统应该有效防止支付欺诈行为的发生，保证支付信用和行为的不可否认性，保证支付参与方对已做交易无法抵赖。

6.有效性

电子支付系统需要有效防止延迟和拒绝服务情况的发生。要对网络故障、硬件故障、操作错误、应用程序错误、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，保证交易数据在确定的时刻、确定的地点是有效的。

7.人员管理与安全技术结合

电子支付根据其实际情况，在系统开发、网络建设等方面均做了相应的规范，但是仍然存在一些问题。目前的安全管理大部分停留在数据应用层，对整体网络安全的角度考虑不足，针对组织或者流程的管理方法尚未和信息系统安全技术进行有机的结合支付系统安全，无法体现对整个系统安全链进行统一管理的思想，同时也导致针对内部人员的管理尚存在问题。

8.安全资源的整合与集中管理

电子支付对安全的特定组成部分，例如密码技术等方面有了一些应用，在网络通信、应用系统等方面，使用了高安全性的加密设备，例如防火墙设备、可信操作系统、数字签名和身份认证等。不同类型的安全产品，例如各种型号的加密机、支付密码器、VPN 设备等得到了应用。但是仅依赖于某些安全产品，不可能有效保护整体的系统安全，还必须认识到，安全是-个整体,需要把安全相关各方面和各层次的安全产品、分支机构、运营网络、客户等纳人到一个紧密的安全链中，才能有效地保障系统安全。

9.应用软件的安全性

在应用软件的评测过程中，发现由于某些原因，如软件编写缺乏严格的质量控制、程序设计人员对安全了解程度不足等，经常会导致一些严重后果。例如可以绕过程序的风险管理限制对数据进行操作等，这些都需要相应的安全服务来解决。

在现实生活中，电子支付系统的安全需求是通过利用先进的信息安全技术和安全支付协议得到保证的。下一节将介绍与电子支付相关的安全技术。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!