当前位置:文档之家 › 第12章网络支付的安全技术

第12章网络支付的安全技术

  • 格式:ppt
  • 大小:3.90 MB
  • 文档页数:94

下载文档原格式

  / 94

合集下载

中国支付清算协会关于印发《支付技术产品认证自律管理规则》及《支付技术产品认证目录》的通知

中国支付清算协会关于印发《支付技术产品认证自律管理规则》及《支付技术产品认证目录》的通知

中国支付清算协会关于印发《支付技术产品认证自律管理规则》及《支付技术产品认证目录》的通知文章属性•【制定机关】中国支付清算协会•【公布日期】2017.12.29•【文号】中支协发〔2017〕117号•【施行日期】2018.01.01•【效力等级】行业规定•【时效性】失效•【主题分类】银行业监督管理正文中国支付清算协会关于印发《支付技术产品认证自律管理规则》及《支付技术产品认证目录》的通知中支协发〔2017〕117号各会员单位:为落实中国人民银行和国家认证认可监督管理委员会对支付技术产品认证工作的相关要求,中国支付清算协会安全与技术标准专业委员会制定了《支付技术产品认证自律管理规则》及《支付技术产品认证目录》。

经安全与技术标准专业委员会第一届常务委员会第四次会议审议通过,现予以发布,自2018年1月1日起实施。

特此通知中国支付清算协会2017年12月29日支付技术产品认证自律管理规则第一章总则第一条为规范支付技术产品认证流程,明确认证活动相关参与方的责任,保证支付技术产品检测认证的客观性、公正性和有效性,根据《中华人民共和国认证认可条例》、《国家认证认可监督管理委员会中国人民银行关于开展支付技术产品认证工作的实施意见》(国认证联〔2017〕91号)、《中国人民银行国家认证认可监督管理委员会关于加强支付技术产品标准实施与安全管理的通知》(银发〔2017〕208号)、《中国支付清算协会章程》等规范性要求,制定本规则。

第二条支付技术产品是指商业银行、非银行支付机构、清算机构开展支付服务所采用的软硬件等信息技术产品,包括但不限于支付受理终端(ATM、POS、扫码设备、显码设备等)、移动支付安全单元(SE)、移动终端可信执行环境(TEE)、客户端软件等。

第三条支付技术产品认证是指对上述支付技术产品依照国家标准、金融行业标准以及中国支付清算协会(以下简称“协会”)制定的团体标准进行技术标准符合性和安全性的合格评定活动。

支付基础理论

支付基础理论

网上支付与安全
20
(八)经理国库; 经理国库; 维护支付、清算系统的正常运行; (九)维护支付、清算系统的正常运行; 指导、部署金融业反洗钱工作, (十)指导、部署金融业反洗钱工作,负责反 洗钱的资金监测; 洗钱的资金监测; 十一)负责金融业的统计、调查、 (十一)负责金融业的统计、调查、分析和预 测; 十二)作为国家的中央银行, (十二)作为国家的中央银行,从事有关的国 际金融活动; 际金融活动; 十三)国务院规定的其他职责。 (十三)国务院规定的其他职责。
网上支付与安全
39
① 借记卡(储蓄卡) 借记卡(储蓄卡)
借记卡是指由商业银行向社会发行的具有消 费信用、转账结算、存取现金等全部或部分 功能的支付工具,不能透支,必须依托于持 卡人的存款账户,具有电子存折的性质,在 一定程度上是支票的替代品。它的特点是 “先存款,后消费”,不允许透支。
网上支付与安全
40
② 贷记卡(信用卡) 贷记卡(信用卡)
网上支付与安全
当事人 付款人和收款人 出票人和收款人 出票人、 出票人、付款人和收 款人 出票人和收款人
支票
出票人、 出票人、付款人和收 款人
36
网上支付与安全
37
1.3.2 现代支付工具(电子支付工具) 现代支付工具(电子支付工具)
目前,电子支付工具包括: 由商业银行发行的银行卡 由非金融机构发行的储值卡 由电子商务公司发行的虚拟卡 等。
网上支付与安全 21
2.支付活动的特点
①支付活动的方式随参与主体的不同而不同 ②支付活动的方式随参与主体选择的市场行为方 式不同而不同 ③支付活动的方式随债权债务关系的不同而不同 ④支付活动的方式随支付方式的不同而不同
网上支付与安全

第12章 电子商务安全法律制度

第12章 电子商务安全法律制度

第12章电子商务安全法律制度第12章电子商务安全法律制度
1:电子商务基本概念和定义
1.1 电子商务的定义和特点
1.2 电子商务的发展历程
1.3 电子商务的类型和模式
2:电子商务安全法律框架
2.1 国际电子商务安全法律制度概述
2.2 国家电子商务安全法律制度概述
2.3 电子商务安全法律制度的层次结构
3:电子商务交易安全法律制度
3.1 电子商务合同法规定
3.2 电子签名法规定
3.3 网络支付安全法规定
3.4 消费者权益保护法规定
4:电子商务信息安全法律制度
4.1 信息安全法规定
4.2 数据保护和隐私保护法规定
4.3 成功安全防护法规定
4.4 网络安全法规定
5:电子商务知识产权保护法律制度
5.1 商标法和专利法的适用
5.2 著作权法的适用
5.3 网络侵权问题的法律规定
附件:
1:电子商务安全检查表
3:电子商务隐私政策范本
4:电子商务知识产权保护指南
法律名词及注释:
1:电子商务:利用电子技术进行商务活动2:电子合同:通过电子方式达成的合同
3:电子签名:在电子文件上表示认可的数据4:网络支付:通过网络进行的支付方式
5:消费者权益保护:维护消费者权益的法律制度6:信息安全:保护信息的机密性、完整性和可用性7:数据保护:保护个人数据的安全和隐私
8:隐私保护:保护个人隐私的法律制度
9:成功安全防护:防止未经授权的访问和使用10:网络安全:保护网络不受攻击和破坏
11:商标法:保护商标权益的法律制度
12:专利法:保护发明创造的法律制度
13:著作权法:保护作品权益的法律制度
14:网络侵权:在网络上侵犯他人权益的行为。

中国人民银行关于印发《条码支付业务规范(试行)》的通知-银发〔2017〕296号

中国人民银行关于印发《条码支付业务规范(试行)》的通知-银发〔2017〕296号

中国人民银行关于印发《条码支付业务规范(试行)》的通知正文:----------------------------------------------------------------------------------------------------------------------------------------------------中国人民银行关于印发《条码支付业务规范(试行)》的通知银发〔2017〕296号中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;各国有商业银行、股份制商业银行,中国邮政储蓄银行;各非银行支付机构;中国银联股份有限公司,中国支付清算协会,网联清算有限公司:为规范条码支付业务,保护消费者合法权益,维护市场公平竞争环境,促进移动支付业务健康可持续发展,现将《条码支付业务规范(试行)》(附件)印发给你们,并将有关工作要求通知如下,请一并遵照执行。

一、严格遵循业务资质及清算管理要求非银行支付机构(以下简称支付机构)向客户提供基于条码技术的付款服务的,应当取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。

银行业金融机构(以下简称银行)、支付机构开展条码支付业务涉及跨行交易时,应当通过人民银行跨行清算系统或者具备合法资质的清算机构处理。

自本通知发布之日起,银行、支付机构不得新增不同法人机构间直连处理条码支付业务;存量业务应按照人民银行有关规定加快迁移到合法清算机构处理。

二、规范条码支付收单业务管理条码支付收单业务,是指收单机构与特约商户签订受理协议,在特约商户按约定受理基于条码技术的支付方式并与付款人达成交易后,为特约商户提供交易资金结算服务的行为。

银行和支付机构在为特约商户提供条码支付收单服务时,应执行《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号公布)、《中国人民银行关于加强银行卡收单业务外包管理的通知》(银发〔2015〕199号)等规定。

快捷支付的分析

快捷支付的分析
电子支付与网络金融课程小论文
快捷支付的分析
学生姓名:学 号:
所在学院:经济与管理学院
专 业:电子商务
指导教师:戴 槟
2014年6月13日
摘要
当前,电子商务飞速发展,与此同时,电子支付也在快速发展,并已经出现了多种电子支付方式。本文则选择了当下发展势头迅猛的快捷支付进行分析,从快捷支付的产生,发展,应用以及其安全性等方便对快捷支付做了一定的分析和阐述。
第五章
中国互联网络信息中心(CNNIC)《2013年中国网络支付安全状况报告》显示,目前国内网上支付用户中快捷支付的渗透率已经接近半数,用户网上支付越来越倾向于这种快捷的新方式。
因此,针对上述的安全隐患,应制定相应的措施。
关键词 :快捷支付安全性 发展对策
ABSTRACT
At present, the rapid development of e-commerce, at the same time, also in the rapid development of electronic payment, and there have been many electronic payment.This paper chose the present rapid development momentum fast payment analysis, development from fast payment, production, application and safety convenient for fast pay to do the analysis and elaboration.
fastpaymentsecuritydevelopmentcountermeasures网上支付与电子银行课程小论文目录第一章产生背景31开通快捷支付32使用快捷支付33关闭快捷支付41支付环节身份认证强度较弱42敏感信息存储与传输存在泄漏风险43支付应用的可靠性难以认定51强化用户身份认证机制52保证敏感信息安全53完善风险防控系统建设54在支付应用提供方与发布方之间建立互信机制10第三章快捷支付的实现过程第一章产生背景截至201312月我国使用网上支付的用户规模达到260亿用户年增长3955万增长率为179使用率提升至421

《网上支付与结算》教案

《网上支付与结算》教案

《网上支付与结算》教案第一章网上支付与结算概述一、教学目标1.了解网上支付及其与电子商务的关系;2.理解网上支付的过程和特点;3.了解我国网上支付与结算的发展历程和现状;4.了解我国网上支付与结算面临的问题。

二、课时分配5.节,每节安排2个课时三、教学重点难点1.网上支付与结算的过程和功能2.网上支付与结算和传统支付结算方式特点及其比较3.我国网上支付与结算面临的问题四、教学大纲第一节网上支付与电子商务一、网上支付概述二、网上支付与电子商务的结合第二节网上支付与结算简介一、网上支付与结算的过程和功能1.网上支付与结算的过程2.网上支付与结算的基本功能二、网上支付与结算的特点三、网上支付与结算和传统支付结算方式1.传统的支付结算方式2.两者的比较四、我国的结算制度存在的问题L银行结算方式中存在的难题2.结算资金运行中存在的问题3.结算制度和结算纪律执行中存在的问题第三节我国网上支付与结算的现状与面临的问摩一、我国网上支付与结算的现状二、我国网上支付与结算系统L同城清算系统4.全国手工联行系统5.全国电子联行系统6.中国国家现代化支付系统7.电子汇总系统8.银行卡支付系统9.邮政储蓄和汇总系统三、我国银行支付系统的现状四、我国网上支付与结算面临的问题L整体信用制度落后,社会公众对网上支付信用度不高10银行的业务能力有限11网上支付与结算的安全问题12法律法规的不健全五、主要概念1.网上支付2.同城清算系统3.电子汇总系统4.银行卡支付系统六、教学案例京东一电子商务的典范360buy京东商城是中国市场较大的网购专业平台,秉承“以人为本”的服务理念,全程为个人用户和企业用户提供人性化的“亲情360”全方位服务,努力为用户创造亲切、轻松和愉悦的购物环境;不断丰富产品结构,以期最大化地满足消费者日趋多样的购物需求。

相较于同类电子商务网站,360buy京东商城拥有更为丰富的商品种类,并凭借更具竞争力的价格和逐渐完善的物流配送体系等各项优势,赢得市场占有率多年稳居行业首位的骄人成绩。

《电子商务安全与支付》考纲、试题、答案

《电子商务安全与支付》考纲、试题、答案一、考试说明《电子商务安全与支付》是电子商务的分支学科,它主要针对翻新的网络破坏和犯罪形式,新的安全技术不断出现和被采用,有力地保障了电子商务的正常开展,本门课程重点探讨信息系统安全防范技术、虚拟专用网络技术、数据备份与灾难恢复技术、安全交易加密技术、安全交易认证技术、安全交易协议技术等问题,同时涉及交易系统安全管理,介绍电子商务安全的相关法律和电子商务安全解决方案。

本课程闭卷考试,满分100分,考试时间90分钟。

考试试题题型及答题技巧如下:一、单项选择题 (每题2分,共20分)二、多选选择题 (每题3分,共15分)三、名词解释题 (每题5分,共20分)四、简答题(每题9分,共27分)答题技巧:能够完整例举出所有答题点,不需要全部展开阐述,适当展开一些,但一定要条理清晰,字迹工整,结构明朗。

五、分析题 (每题9分,共18分)答题技巧:对所考查的问题进行比较详尽的分析,把握大的方向的同时要尽可能的展开叙述,对问题进行分析,回答问题要全面,同时注意书写流畅、条理清晰。

二、复习重点内容第1章电子商务安全概述1. 网络攻击的分类(重点掌握):WEB欺骗、网络协议攻击、IP欺骗、远程攻击2.电子商务的安全性需求(了解):有效性、不可抵赖性、严密性3.因特网的主要安全协议(了解):SSL协议、S-HTTP协议、 SET 协议4. 数字签名技术、防火墙技术(了解)第2章信息系统安全防范技术、1.电子商务的安全性需求(重点掌握):有效性、不可抵赖性、严密性2. 计算机病毒按入侵方式分为操作系统型病毒、文件型病毒(了解)3.计算机病毒的传播途径(重点掌握):(1)因特网传播:①通过电子邮件传播,②通过浏览网页和下载软件传播,③通过及时通讯软件传播;(2)局域网传播;(3)通过不可转移的计算机硬件设备传播;(4)通过移动存储设备传播;(5)无线设备传播。

4.特洛伊木马种类(重点掌握):破坏型特洛伊木马、破坏型特洛伊木马、远程访问型特洛伊木马、键盘记录型特洛伊木马5.常规的计算机病毒的防范措施(重点掌握):(1)建立良好的安全习惯;(2)关闭或删除系统中不需要的服务;(3)经常升级操作系统的安全补丁;(4)使用复杂的密码;(5)迅速隔离受感染的计算机;(6)安徽专业的防病毒软件进行全面监控;(7)及时安装防火墙6. 防火墙的类型(重点掌握):包过滤防火强、代理服务器防火墙7. 防火墙的安全业务(重点掌握):用户认证、域名服务、邮件处理、IP安全保护第3章虚拟专用网络技术1. VPN网络安全技术包括(了解):隧道技术、数据加解密技术、秘钥管理技术、设备身份认证技术。

电子商务各章练习题带答案版本

第一章练习题一、判断题(√)1. 从电子商务服务对象的范围来看,企业与消费者间的电子商务称之为B2C。

(√)2. 只要是有形货物的电子订货和付款,就属于间接电子商务。

(√)3. 可以说,电子商务(EC)是指实现整个贸易活动的自动化和电子化。

(⨯)4. HP公司将电子商务的概念分为了三个部分,分别是企业内部网(Intranet)、企业外部网(Extranet)、电子商贸(E-commerce)。

(⨯)5. E-Commerce等于E-Business,E-Business活动就是E-Commerce活动。

(⨯)6. 根据市场要素的组合,海尔开展的电子商务属于:网络公司+实物商品/服务+在线过程。

(⨯)7. 根据市场要素的组合,百度开展的电子商务属于:实物公司+实物商品/服务+在线过程。

(√)8.可以说现代意义的电子商务经历了两个阶段,一是专用网上的电子交易阶段,二是基于互联网的电子商务阶段。

二、单项选择题1. 电子数据交换的简称是( B )A.EFTB.EDID.EC2. 电子商务的概念模型包含了交易主体、交易事物和电子市场三个部分,为了完成交易活动需要物流、( A )和信息流。

A.资金流B.商流C. 交换物D.渠道流3. 在电子商务的应用框架中,可以把电子商务的技术设施分为三层来理解,分别是网络层、信息发布与传输层和( C )。

A.数据链路层B.会话层C. 应用服务层D.物理层4.一个完整的网络交易安全体系,不必须包括( C )A.法律健全B.技术安全C.福利保障D.管理安全5. 电子商务的任何一笔交易都包含( B )。

A. 物流、资金流、事务流B. 资金流、物流、信息流C. 资金流、物流、人才流D. 交易流、信息流、物流6. 企业间网络交易使电子商务的哪一种基本形式( C )。

A. G2CB. G2BC. B2BD. B2C7. 消费者间网络交易使电子商务的哪一种基本形式( A )。

A. C2CB. G2BC. B2BD. B2C8. 以下商品买卖属于直接电子商务的是( C )。

习题册参考答案-《电子商务安全技术(第三版)习题册》-A24-4085

答案第1章电子商务安全概述一、填空题1.计算机网络安全、商务交易安全2.商务交易安全隐患,人员、管理、法律的安全隐患3.鉴别、确认4.网络实体5.被他人假冒6.网络操作系统、网络协议二、选择题1.A2.C3.C4.D5.D三、判断题1.X2.√3. X4.√5.X四、简答题1.答:Internet是一个开放的、无控制机构的网络,黑客经常会侵入网络中的计算机系统,或窃取机密数据、或盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。

2.答:为真正实现安全的电子商务必须要求电子商务能做到机密性、完整性、认证性、有效性和不可否认性,只有满足了这些条件的电子商务才能称的上是安全的电子商务。

3.答:这个安全体系至少应包括三类措施,并且三者缺一不可。

一是技术方面的措施,技术又可以分为网络安全技术,如防火墙技术、网络防黑、防毒、虚拟专用网等,以及交易安全技术,如信息加密、安全认证和安全应用协议等。

但只有技术措施并不能保证百分之百的安全。

二是管理方面的措施,包括交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。

三是社会的法律政策与法律保障。

电子商务安全性首先依托于法律、法规和相关的管理制度这个大环境,在这个大环境中,运用安全交易技术和网络安全技术建立起完善的安全管理体制,对电子商务实行实时监控,并加强安全教育等,从而保证电子商务的安全性。

4.答:(1)网上预订飞机票、火车票(2)网上客房预订(3)网上购物、购书(4)网上拍卖(5)网上旅游交易会、农副产品交易(6)网上销售娱乐、游戏、电子书籍、软件等知识产品(7)提供 ISP、ICP、IDP 等网络技术服务五、案例分析题略第2章计算机与网络系统安全技术一、填空题1.正常运行篡改泄露2.程序3.非法入侵者4.端口、漏洞5.拒绝服务攻击(DDoS)6.缓冲区溢出攻击、欺骗攻击7.安全策略8.日志记录9.代理型、状态监测10.网络,主机11.外存储器12.备份13.资源共享、互联服务14.网络隧道二、选择题1.B2.D3.A4.B5.B6.A7.D8.C9.C 10.D 11.A 12.B 13.B三、判断题1.√2. X3.√4.X5.√6.X7.√8.√9.√ 10.√ 11.X四、简答题1.答:破坏性、寄生性、传染性、潜伏性、针对性。

网上支付与结算课程教学PPT


3、实体市场面临的主要问题 受人类活动的地域限制,交易有了时间和空 间上的局限性,市场需求的信息总量由于范 围的限制总是有限的,这就又增大了交易的 机会成本。 电子商务成为未来发展的商务主要形式
1.2.4 媒介
减少中间环节降低交换的机会成本是交易 过程基本职能 交易中间媒介的形成 经济因素是市场交易分析的基本准则
3、电子商务的分类 (1)按业务处理范围
电子政务 电子商务 电子事务 电子医务、电子教务、电子家务等 (2)按服务的对象 企业内部的电子商务 企业间的电子商务 企业与消费者间的电子商务B TO C 模式 未来的 C TO C 模式 (3)按交易过程 售前电子商务 售中电子商务 售后电子商务
(4)按业务性质的应用层次 电子商情(电子市场) 电子交易(电子商店) 电子支付与结算(电子银行) (5)按实施方式 基于EDI 非EDI 服务赢利性
(1)商业市场全球化特点 (2)交易方便快捷性特点 (3)能满足消费者个性化需求的特点 (4)高效率与多选择性特
1、EDI概念 EDI是Electronic Data Interchange的英文缩写,即“电子数据交换”。国 际标准化组织(ISO)对EDI的定义是:为商务或行政事物处理,按照一个 公认的标准 标准,形成结构化的事物处理或消息报文格式 报文格式,从计算机到计算机 标准 报文格式 的数据传输 数据传输方法。 数据传输 2、 EDI的发展 点对点直接专用方式->基于增值网的间接方式和基于Internet的互联网EDI 方式。
讨论题
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14.
电子商务是在什么样的背景下出现的?能否说电子商务是今后商务活动的主流发展趋势? 电子数据交换(EDI)的含义是什么?它有什么用途? 什么是电子商务的发展模式,你如何划分,谈谈自己的看法? 从电子商务的概念分析出发,你认为电子商务在中国的发展存在什么主要问题? 分析下交易活动的基本过程? 市场是如何形成的? 媒介是如何产生的?它的作用是什么? 什么是货币?它的作用是什么?今后可能会出现什么新的货币形态? 为什么会形成支付系统?它的作用是什么? 你怎样认识支付的过程,能不能谈谈自己的看法? 电子商务网上支付存在什么问题?通过自己分析谈谈自己的看法? 谈谈自己对学习本章的支付与结算问题后的一些看法?今后可能出现一些什么发展趋势? 为什么要研究支付的信用问题? 支付的法律问题包括那些可能的内容?
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

三、网络支付平台的安全及防火墙技术
1. 网络平台系统的构成及其主要安全威胁

网络平台系统的构成
客户机
Internet 支付网关 银行专网 Intranet 电子商务服务器
支持网络支付的Internet网络平台系统组成示意图
三、网络支付平台的安全及防火墙技术
1. 网络平台系统的构成及其主要安全威胁
性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
(3)保护系统安全
系统安全性是指从整体系统的角度来进行保护, 它与网络系统硬件平台、操作系统、各种应用软件等 互相关联。涉及网络支付结算的系统安全包含下述一
些措施:
(1)检查和确认安装软件中未知的安全漏洞 (2)使系统具有最小穿透风险性 (3)对入侵进行检测、审计、追踪
二、网络支付的安全策略及解决方法
1.网络支付安全策略制定的目的、涵义和原则
(3)制定网络支付安全策略的基本原则
(1)预防为主 (2)必须根据网络支付结算的安全需要和目标来制定安全策略 (3)根据掌握的实际信息分析
二、网络支付的安全策略及解决方法
2.网络支付安全策略的主要内容
安全策略具体内容中要定义保护的资源,要定义保护的风险,要吃透 电子商务安全的法律法规,最后要建立安全策略和确定一套安全机制。
(1)定义实现安全的网络支付结算的保护资源
公正第三方
金融机构
税务等政府机构
安全的通信通道 交易方B:机 密支付信息 安全的网络支付系统组成示意图
交易方A:机 密支付信息
(2)定义保护的风险
⑤ 应用相应法律法规来保护安全利益
二、网络支付的安全策略及解决方法
1.网络支付安全策略制定的目的、涵义和原则
(2)网络支付安全策略的涵义
安全策略必须包含对安全问题的多方面考虑因素。安全策 略一般要包含以下内容: 认证; 访问控制: 保密; 数据完整性; 法律法规等 审计。
(2)保护应用的安全
应用安全是针对特定应用(如Web服务器、网络支付专用软件系统)
中所建立的安全防护措施,独立于任何网络的安全措施。 网络支付协议就很复杂,它涉及购货人、零售商和银行之间的转账, 不同参与者之间的通信需要不同水平的保护,需要在应用层上处理。 由于现在电子商务中的应用层对安全的要求最严格、最复杂,因此 更倾向于在应用层而不是在网络层采取各种安全措施。 应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整
第六章 网络支付的安全技术
1 网络支付的安全问题与需求 2 网络支付的安全策略及解决方法 3 网络支付平台的安全及防火墙技术 4 病毒的防治和管理 5 数据机密性技术 6 数字证书 7 公钥基础PKI

CONTENTS

一、网络支付的安全问题与需求
1、网络支付面临的安全问题
(1)电子商务的主要安全隐患
三、网络支付平台的安全及防火墙技术
3. 防火墙技术与应用
(1)防火墙的定义
防火墙(Firewall),是一种由计算机软件和硬件组成的隔离
系统设备,用于在 Intranet 和 Internet 之间构筑一道防护屏障,
能按设臵的条件进行区分,实现内外有别。其主要目标是保护 Intranet 中的信息、资源等不受来自 Internet 中非法用户的侵 犯,它控制Intranet与Internet之间的所有数据流量。
1)系统的中断与瘫痪 2)信息被盗听 3)信息被篡改 4)信息被伪造 5)对交易行为抵赖
一、网络支付的安全问题与需求
1、网络支付面临的安全问题
(2)网络支付的主要安全隐患
1)支付账号和密码等隐私支付信息被盗取或盗用 2)支付金额被更改 3)无法有效验证收款方的身份 4)对支付行为进行抵赖、修改或否认 5)网络支付系统瘫痪
(1)公开密钥加密法的定义与应用原理
原理:共用2个密钥,在数学上相关,称作密钥对。用密钥对中 任何一个密钥加密,可以用另一个密钥解密,而且只能用此密钥 对中的另一个密钥解密。 商家采用某种算法(秘钥生成程序)生成了这2个密钥后,将其 中一个保存好,叫做私人密钥(Private Key),将另一个密钥公开 散发出去,叫做公开密钥(Public Key)。 非对称密钥技术的优点是:易于实现,使用灵活,密钥较少。弱 点在于:要取得较好的加密效果和强度,必须使用较长的密钥。
每一新的网络支付方式推出与应用,均有一定的风险,因为 绝对安全的支付手段是没有的,要进行相关风险分析。还要注意 网络支付工具使用安全与使用便利、快捷之间的辩证关系。
(3)完全理解、遵循和利用有关电子商务安全与网
络支付安全的法律法规 (4)建立相关安全策略和确定一套安全机制
安全策略中最后要根据定义的保护资源、定义的保护风险、 电子商务安全的法律法规,建立安全策略和确定一套安全机制。 安全策略是由个人或组织针对网络支付结算安全全面制定的, 安全机制是实现安全策略的手段或技术、整套规则和决策
客户甲
支付通知明文
支付通知明文 客户甲
五、 数据机密性技术
2. 公开密钥加密法
(2)公开密钥加密法的使用过程
公钥 B 客户甲: 本行已将 20 000元 资金从你账 号转移至 解密 12345账号上 网络传输 私钥A 客户甲: 本行已将 20 000元 资金从你账 号转移至 加密 12345账号上
接收方能用同样的密钥解密,而且只能用这一密钥解密。
由于双方所用加密和解密的密钥相同,所以叫作对称密钥 加密法。 对称密钥密码体系的优点是加密、解密速度很快(高效),但 缺点也很明显:密钥难于共享,需太多密钥。
目前比较著名的对称密码加密算法有:DES和IDEA
五、数据机密性技术
1. 私有密钥加密法
公共通信通道Internet的安全威胁
截断堵塞:如切断通讯线路、毁坏硬件、病毒瘫痪软件系
统、垃圾信息堵塞网络通道等) 伪造:伪造客户或商家信息,假冒身份以骗取财物。 篡改:为某目的对相关网络支付信息进行篡改 介入:利用特殊软件工具提取Internet上通信的数据,以 期破解信息;或进行信息流量分析,对信息的流动情况进行 分析;或非法进入系统或数据库,进行破坏、COPY等。
Internet
数据包过滤防应用原理示意图
优点:比包过滤式 应用级网关 防火墙更为安全、 应用级防火墙通常是运行在防火墙上的运行代理服务器软 可靠,详细记录所 缺点:速度慢,不 件部分(又名称为应用网关) 有访问状态信息 允许用户直接访问 网络,透明性差
三、网络支付平台的安全及防火墙技术
3. 防火墙技术与应用
(4)防火墙的优缺点
缺点
① 限制了一些有用的网络服务的使用,降低了网络性能; ② 只能限制内部用户对外的访问,无法防护来自内部网络用户的
攻击;
③ 不能完全防止传送感染病毒的软件或文件,特别是一些数据 ④ 驱动型的攻击数据;
⑤ 被动防守,不能防备新的网络安全问题;
二、网络支付的安全策略及解决方法
1.网络支付安全策略制定的目的、涵义和原则
(1)制定网络支付安全策略的目的
① 保障相关支付结算信息的机密性、完整性、认证 性、不可否认性、不可拒绝性和访问控制性不被 破坏; ② 能够有序地、经常地鉴别和测试安全状态; ③ 能够对可能的风险做基本评估; ④ 系统的安全被破坏后的恢复工作。
⑨ 玩笑病毒
⑩ 捆绑机病毒
四、病毒的防治和管理
3. 计算机病毒的防治方法
① 防病毒软件 ② 查漏补缺
③ Windows update 自动更新
④ 防止下载病毒
五、数据机密性技术
1. 私有密钥加密法
(1)私用密钥加密法的定义与应用原理
信息发送方用一个密钥对要发送的数据进行加密,信息的
(2)私用密钥加密法的使用过程
密钥A
乙银行: 有一笔 20 000元 资金转帐 至贵行12345 加密 账号上 网络传输
密钥A
乙银行: 有一笔 20 000元 资金转帐 至贵行12345 解密 账号上
甲银行
信息明文 甲银行
信息密文
信息密文 乙银行
甲银行
信息明文
五、 数据机密性技术
2. 公开密钥加密法
三、网络支付平台的安全及防火墙技术
1. 网络平台系统的构成及其主要安全威胁

Intranet的最基本安全需求
① 网络边界的安全 ② 内部网络的安全 ③ 身份验证
④ 授权管理
⑤ 数据的保密性和完整性 ⑥ 完整的审计、记录、备份机制,以便分析处理
三、网络支付平台的安全及防火墙技术
2. Internet网络平台系统的安全措施
一、网络支付的安全问题与需求
2.网络支付的安全需求
① ② ③ ④ ⑤ ⑥ 网络上资金流数据的保密性 相关网络支付结算数据的完整性 网络上资金结算双方身份的认定 不可抵赖性 保证网络支付系统的运行可靠、快捷,做好 数据备份与灾难恢复功能
⑦ 建立共同的网络支付行为规范,进行相关立法,以强制力手段 要求网络支付相关各方严格遵守
四、病毒的防治和管理
1. 计算机病毒的发作现象
① 死机、黑屏、蓝屏或者非法运行;
② 应用软件不能运行;
③ 计算机速度明显下降; ④ 设备被禁用,数据不能保存; ⑤ 局域网环境下,能造成网络堵塞,服务器不能正常工作;
四、病毒的防治和管理
2. 计算机病毒的种类
① 系统病毒 ② 蠕虫病毒 ③ 木马病毒 ④ 脚本病毒 ⑤ 宏病毒 ⑥ 后门病毒 ⑦ 病毒种植程序病毒 ⑧ 破坏性病毒
五、 数据机密性技术
2. 公开密钥加密法
(2)公开密钥加密法的使用过程
公钥 B 乙银行: 有一笔 20 000元 资金转帐 至贵行12345 加密 账号上 网络传输 私钥A 乙银行: 有一笔 20 000元 资金转帐 至贵行12345 解密 账号上