《《電子支付第九章》PPT課件.ppt》由會員分享，可在線閱讀，更多相關《《電子支付第九章》PPT課件.ppt（17頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、,,第九章 電子支付安全管理,,,學習目標,(1)了解電子支付安全管理的主要內(nèi)容及目的。 (2)了解電子支付安全技術保障的主要手段和一般應用方法。 (3)掌握電子支付安全管理保障的內(nèi)容及存在問題。 (4)了解電子支付指引（第一號）內(nèi)容，掌握其適用范圍及存在意義。 (5)大致了解電子銀行業(yè)務管理辦法，掌握其中關鍵問題。,,,9.1電子支付安全技術保障,電子支付過程中面臨的安全隱患大體上有這樣幾種：信息的竊取、盜用及篡改；無法有效確認身份；否認、修改、隱瞞支付行為和支付信息；網(wǎng)絡支付系統(tǒng)的中斷。 為保證電子支付的安全進行，可采用相應的技術手段避免這些常見問題的發(fā)生。本書第二章已經(jīng)介紹了有關公鑰加密

2、、私鑰加密、數(shù)字簽名、數(shù)字證書以及防火墻等技術手段。在這一節(jié)中，我們將從電子支付系統(tǒng)安全技術的角度出發(fā)，鞏固前面所學的知識，并對部分問題進行更有針對性的探討。,,,9.1.1防火墻技術9.1.1.1電子支付網(wǎng)絡平臺的構成,一般情況下，電子支付網(wǎng)絡平臺由以下幾個部分構成： 客戶機 Internet Intranet 銀行專網(wǎng),,,9.1.1.2電子支付網(wǎng)絡平臺系統(tǒng)的安全措施,電子支付網(wǎng)絡平臺的安全措施主要從保護網(wǎng)絡安全、保護應用服務安全和保護系統(tǒng)安全三個方面來闡述。 保護網(wǎng)絡安全 保護應用服務安全 保護系統(tǒng)安全,,,9.1.1.3電子支付中的防火墻應用,1）業(yè)務Web服務器設置在防火墻之內(nèi),如圖

3、9-1所示。 2）業(yè)務Web服務器設置在防火墻之外,參見圖9-2。 3 ）除此以外，一些安全性較高的站點會采用一內(nèi)一外，兩個防火墻來保證站點的安全（參見圖9-3）。,,,圖 91 業(yè)務Web服務器放在防火墻內(nèi)的配置,,,防火墻和路由器,Web服務器,安全網(wǎng)絡,不安全網(wǎng)絡,,,圖 92業(yè)務Web服務器放在防火墻外的配置,,,Web服務器,防火墻和路由器,安全網(wǎng)絡,不安全網(wǎng)絡,,,圖 93 防火墻內(nèi)外的Web服務器,請看書P191圖9-3,,,9.1.2身份認證技術,9.1.2身份認證技術 2）IC卡認證 3）動態(tài)口令 4）生物特征認證 5）移動數(shù)字證書認證,,,9.1.3電子銀行安全評估,200

4、6年3月1日中國銀監(jiān)會頒布了電子銀行安全評估指引涉及的有關電子銀行安全評估的主要內(nèi)容包括以下幾點。 1）電子銀行評估的基本要求 2）電子銀行安全評估機構 3）電子銀行安全評估的主要內(nèi)容,,,9.2電子支付安全管理保障9.2.1信用體系建設,為進一步貫徹十六大提出的“健全現(xiàn)代市場經(jīng)濟的社會信用體系”的要求，落實國家信息化領導小組布置的“推動部門間信息資源共享與整合，促進部門間政務協(xié)同”的工作任務，加快企業(yè)和個人征信體系建設，促進銀行和電信企業(yè)業(yè)務發(fā)展，提高社會誠信水平，針對商業(yè)銀行和電信企業(yè)共享企業(yè)和個人信用信息等有關問題，中國人民銀行與信息產(chǎn)業(yè)部于2006年4月，發(fā)布了中國人民銀行、信息產(chǎn)業(yè)部

5、關于商業(yè)銀行與電信企業(yè)共享企業(yè)和個人信用信息有關問題的指導意見。,,,9.2.2電子銀行業(yè)務管理,1）申請與變更 2）風險管理 3）數(shù)據(jù)交換轉移管理 4）業(yè)務監(jiān)督,,,9.3電子支付安全法律保障,2005年10月26日，中國人民銀行發(fā)布了電子支付指引（第一號）（簡稱指引），對銀行從事電子支付業(yè)務提出指導性要求，以規(guī)范和引導電子支付的發(fā)展。,,,9.3.2指引的適用范圍,指引的規(guī)范主體主要是銀行及接受其電子支付服務的客戶。根據(jù)參與主體的不同，電子支付分為發(fā)生在銀行之間的電子支付、銀行與其客戶間的電子支付以及其他支付服務組織與其客戶之間的電子支付。隨著電子商務的發(fā)展，作為銀行向客戶提供的新型金融服

6、務產(chǎn)品，大量的電子支付服務面對的是個人消費者和商業(yè)企業(yè)在經(jīng)濟交往中產(chǎn)生的一般性支付需求，服務的對象數(shù)量眾多、支付需求千差萬別，與人們?nèi)粘Ｉ钕⑾⑾嚓P，對社會影響廣泛。保證這類電子支付系統(tǒng)的獨立性和效率，非常重要。,,,9.3.3指引對電子支付活動中客戶和銀行權利義務的基本規(guī)定,指引要求客戶應按照其與發(fā)起行的協(xié)議規(guī)定，發(fā)起電子支付指令；要求發(fā)起行建立必要的安全程序，對客戶身份和電子支付指令進行確認，并形成日志文件等記錄；要求銀行按照協(xié)議規(guī)定及時發(fā)送、接收和執(zhí)行電子支付指令，并回復確認。同時還明確了電子支付差錯處理中，銀行和客戶應盡的責任。,,,9.3.4指引對電子支付和信息安全的要求,安全性是電子支付的重中之重。指引要求銀行采用符合有關規(guī)定的信息安全標準、技術標準、業(yè)務標準；建立針對電子支付業(yè)務的管理制度，采取適當?shù)膬?nèi)部制約機制；保證電子支付業(yè)務處理系統(tǒng)的安全性，以及數(shù)據(jù)信息資料的完整性、可靠性、安全性、不可抵賴性；提倡使用第三方認證，并應妥善保管密碼、密鑰等認證數(shù)據(jù)；明確銀行對客戶的責任不因相關業(yè)務的外包關系而轉移，并應與開展電子支付業(yè)務相關的專業(yè)化服務機構簽訂協(xié)議，并確立綜合性、持續(xù)性的程序，以管理其外包關系；同時還要求銀行具有一定的業(yè)務容量、業(yè)務連續(xù)性、應急計劃等。,