《《電子支付第九章》PPT課件.ppt》由會員分享,可在線閱讀,更多相關(guān)《《電子支付第九章》PPT課件.ppt(17頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、,,第九章 電子支付安全管理,,,學(xué)習(xí)目標(biāo),(1)了解電子支付安全管理的主要內(nèi)容及目的。 (2)了解電子支付安全技術(shù)保障的主要手段和一般應(yīng)用方法。 (3)掌握電子支付安全管理保障的內(nèi)容及存在問題。 (4)了解電子支付指引(第一號)內(nèi)容,掌握其適用范圍及存在意義。 (5)大致了解電子銀行業(yè)務(wù)管理辦法,掌握其中關(guān)鍵問題。,,,9.1電子支付安全技術(shù)保障,電子支付過程中面臨的安全隱患大體上有這樣幾種:信息的竊取、盜用及篡改;無法有效確認(rèn)身份;否認(rèn)、修改、隱瞞支付行為和支付信息;網(wǎng)絡(luò)支付系統(tǒng)的中斷。 為保證電子支付的安全進行,可采用相應(yīng)的技術(shù)手段避免這些常見問題的發(fā)生。本書第二章已經(jīng)介紹了有關(guān)公鑰加密
2、、私鑰加密、數(shù)字簽名、數(shù)字證書以及防火墻等技術(shù)手段。在這一節(jié)中,我們將從電子支付系統(tǒng)安全技術(shù)的角度出發(fā),鞏固前面所學(xué)的知識,并對部分問題進行更有針對性的探討。,,,9.1.1防火墻技術(shù)9.1.1.1電子支付網(wǎng)絡(luò)平臺的構(gòu)成,一般情況下,電子支付網(wǎng)絡(luò)平臺由以下幾個部分構(gòu)成: 客戶機 Internet Intranet 銀行專網(wǎng),,,9.1.1.2電子支付網(wǎng)絡(luò)平臺系統(tǒng)的安全措施,電子支付網(wǎng)絡(luò)平臺的安全措施主要從保護網(wǎng)絡(luò)安全、保護應(yīng)用服務(wù)安全和保護系統(tǒng)安全三個方面來闡述。 保護網(wǎng)絡(luò)安全 保護應(yīng)用服務(wù)安全 保護系統(tǒng)安全,,,9.1.1.3電子支付中的防火墻應(yīng)用,1)業(yè)務(wù)Web服務(wù)器設(shè)置在防火墻之內(nèi),如圖
3、9-1所示。 2)業(yè)務(wù)Web服務(wù)器設(shè)置在防火墻之外,參見圖9-2。 3 )除此以外,一些安全性較高的站點會采用一內(nèi)一外,兩個防火墻來保證站點的安全(參見圖9-3)。,,,圖 91 業(yè)務(wù)Web服務(wù)器放在防火墻內(nèi)的配置,,,防火墻和路由器,Web服務(wù)器,安全網(wǎng)絡(luò),不安全網(wǎng)絡(luò),,,圖 92業(yè)務(wù)Web服務(wù)器放在防火墻外的配置,,,Web服務(wù)器,防火墻和路由器,安全網(wǎng)絡(luò),不安全網(wǎng)絡(luò),,,圖 93 防火墻內(nèi)外的Web服務(wù)器,請看書P191圖9-3,,,9.1.2身份認(rèn)證技術(shù),9.1.2身份認(rèn)證技術(shù) 2)IC卡認(rèn)證 3)動態(tài)口令 4)生物特征認(rèn)證 5)移動數(shù)字證書認(rèn)證,,,9.1.3電子銀行安全評估,200
4、6年3月1日中國銀監(jiān)會頒布了電子銀行安全評估指引涉及的有關(guān)電子銀行安全評估的主要內(nèi)容包括以下幾點。 1)電子銀行評估的基本要求 2)電子銀行安全評估機構(gòu) 3)電子銀行安全評估的主要內(nèi)容,,,9.2電子支付安全管理保障9.2.1信用體系建設(shè),為進一步貫徹十六大提出的“健全現(xiàn)代市場經(jīng)濟的社會信用體系”的要求,落實國家信息化領(lǐng)導(dǎo)小組布置的“推動部門間信息資源共享與整合,促進部門間政務(wù)協(xié)同”的工作任務(wù),加快企業(yè)和個人征信體系建設(shè),促進銀行和電信企業(yè)業(yè)務(wù)發(fā)展,提高社會誠信水平,針對商業(yè)銀行和電信企業(yè)共享企業(yè)和個人信用信息等有關(guān)問題,中國人民銀行與信息產(chǎn)業(yè)部于2006年4月,發(fā)布了中國人民銀行、信息產(chǎn)業(yè)部
5、關(guān)于商業(yè)銀行與電信企業(yè)共享企業(yè)和個人信用信息有關(guān)問題的指導(dǎo)意見。,,,9.2.2電子銀行業(yè)務(wù)管理,1)申請與變更 2)風(fēng)險管理 3)數(shù)據(jù)交換轉(zhuǎn)移管理 4)業(yè)務(wù)監(jiān)督,,,9.3電子支付安全法律保障,2005年10月26日,中國人民銀行發(fā)布了電子支付指引(第一號)(簡稱指引),對銀行從事電子支付業(yè)務(wù)提出指導(dǎo)性要求,以規(guī)范和引導(dǎo)電子支付的發(fā)展。,,,9.3.2指引的適用范圍,指引的規(guī)范主體主要是銀行及接受其電子支付服務(wù)的客戶。根據(jù)參與主體的不同,電子支付分為發(fā)生在銀行之間的電子支付、銀行與其客戶間的電子支付以及其他支付服務(wù)組織與其客戶之間的電子支付。隨著電子商務(wù)的發(fā)展,作為銀行向客戶提供的新型金融服
6、務(wù)產(chǎn)品,大量的電子支付服務(wù)面對的是個人消費者和商業(yè)企業(yè)在經(jīng)濟交往中產(chǎn)生的一般性支付需求,服務(wù)的對象數(shù)量眾多、支付需求千差萬別,與人們?nèi)粘I钕⑾⑾嚓P(guān),對社會影響廣泛。保證這類電子支付系統(tǒng)的獨立性和效率,非常重要。,,,9.3.3指引對電子支付活動中客戶和銀行權(quán)利義務(wù)的基本規(guī)定,指引要求客戶應(yīng)按照其與發(fā)起行的協(xié)議規(guī)定,發(fā)起電子支付指令;要求發(fā)起行建立必要的安全程序,對客戶身份和電子支付指令進行確認(rèn),并形成日志文件等記錄;要求銀行按照協(xié)議規(guī)定及時發(fā)送、接收和執(zhí)行電子支付指令,并回復(fù)確認(rèn)。同時還明確了電子支付差錯處理中,銀行和客戶應(yīng)盡的責(zé)任。,,,9.3.4指引對電子支付和信息安全的要求,安全性是電子支付的重中之重。指引要求銀行采用符合有關(guān)規(guī)定的信息安全標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、業(yè)務(wù)標(biāo)準(zhǔn);建立針對電子支付業(yè)務(wù)的管理制度,采取適當(dāng)?shù)膬?nèi)部制約機制;保證電子支付業(yè)務(wù)處理系統(tǒng)的安全性,以及數(shù)據(jù)信息資料的完整性、可靠性、安全性、不可抵賴性;提倡使用第三方認(rèn)證,并應(yīng)妥善保管密碼、密鑰等認(rèn)證數(shù)據(jù);明確銀行對客戶的責(zé)任不因相關(guān)業(yè)務(wù)的外包關(guān)系而轉(zhuǎn)移,并應(yīng)與開展電子支付業(yè)務(wù)相關(guān)的專業(yè)化服務(wù)機構(gòu)簽訂協(xié)議,并確立綜合性、持續(xù)性的程序,以管理其外包關(guān)系;同時還要求銀行具有一定的業(yè)務(wù)容量、業(yè)務(wù)連續(xù)性、應(yīng)急計劃等。,