收藏
下载资源

第二章网络支付的安全及相关安全技术精编版

上传人:ahu****ng1 文档编号:145340071 上传时间:2020-09-19 格式:PPTX 页数:89 大小:4.65MB
返回 下载 相关 举报
第二章网络支付的安全及相关安全技术精编版_第1页
第1页 / 共89页
第二章网络支付的安全及相关安全技术精编版_第2页
第2页 / 共89页
第二章网络支付的安全及相关安全技术精编版_第3页
第3页 / 共89页
第二章网络支付的安全及相关安全技术精编版_第4页
第4页 / 共89页
第二章网络支付的安全及相关安全技术精编版_第5页
第5页 / 共89页
点击查看更多>>
资源描述

《第二章网络支付的安全及相关安全技术精编版》由会员分享,可在线阅读,更多相关《第二章网络支付的安全及相关安全技术精编版(89页珍藏版)》请在金锄头文库上搜索。

1、第一章:知识点与复习,网上支付的概念 网上支付系统的体系结构 网络支付的支撑网络平台(大众化网络平台) 网上支付的基本流程 网上支付的国内外发展状况,第二 章网络支付的安全及相 关安全技术,通过第一章的学习,我们已经知道了网络支付的一些基础知识内容,知道了网络支付的基本运作过程和模型、网络支付的支撑网络平台和目前网络支付方式的分类,最后结合国内外的资料,介绍了目前网络支付手段的发展状况。这是我们进一步深层次学习下面有关网络支付内容的基础。 从前面知道,网络支付结算是电子商务的一个重要环节,快捷、方便、可靠的网络支付方式的普及应用正是体现电子商务魅力的地方。因此,保证网络支付过程中的快捷、方便和

2、可靠安全,是保证网络交易顺利完成的根本保证。保证电子商务的安全其实很大部分就是保证电子商务过程中网络支付结算的安全,这正是银行、商家,特别是客户关心的焦点。 本章主要对网络支付的问题及安全需求、网络支付的安全策略以及较主要的解决方法手段作一介绍,最后叙述了目前流行的保证安全交易和网络支付的SET机制和SSL机制。,2.1网络支付的安全风险与需求分析 2.2网络支付的安全管理 2.3网上支付的相关安全技术 2.4安全网上交易协议SET机制与SSL机制,本章主要内容共有四节,如下:,第一节网络支付的安全问题与需求,一、网络支付面临的安全问题,众所周知,Internet是一个完全开放的网络,任何一台

3、计算机、任何一个网络都可以与因特网联接,通过因特网发布信息,通过因特网获取各网站的信息,通过因特网发送Email,通过因特网进行各种通讯,通过因特网进行各种商务活动,即电子商务活动。 但同时,有很多别有用心的单位或人或黑客(Hacker)经常在因特网上四处活动,寻求机会,窃取别人的各种机密,甚至防碍或毁坏别人的网络系统运行等。在这种情况下,如果没有严格的安全保证,商户和客户、消费者就极有可能因为担心网上的安全问题而放弃电子商务,阻碍了电子商务的发展。因此保证电子商务的安全是电子商务的核心问题,也是难点。 具体到电子商务中的网络支付结算,因为网上交易必然涉及到客户、商家、银行及相关管理认证部门等

4、多方机构及他们之间的系统配合,涉及资金的划拨,更使客户和商户必须考虑是否安全。因此,保证安全是推广应用网络支付结算的根本基础。网络支付与结算由于涉及到资金的问题,更是电子商务中主要安全发生点。,网络支付结算目前面临的主要安全问题可能主要有如下5个方面的现象: 1. 支付帐号和密码等隐私信息在网络上传送过程中被窃取或盗用。 如信用卡号码和密码被窃取盗用给购物者造成损失。 2. 支付金额被更改。 如本来总支付额为250美元,结果支付命令在网上发出后,由于不知哪一方的原因从帐号中划去了1250美元,给网上交易一方造成了困惑。 3. 支付方不知商家到底是谁,商家不能清晰确定如信用卡等网络支付工具是否真

5、实、资金何时入帐等。 一些不法商家或个人利用网络贸易的非面对面性,利用Internet上站点的开放性和不确定性,进行欺骗。 4. 随意否认支付行为的发生及发生金额,或更改发生金额等,某方对支付行为及内容的随意抵赖、修改和否认。 5. 网络支付系统故意被攻击、网络支付被故意延迟等 如病毒等造成网络支付系统的错误或瘫痪、网络病毒造成网络支付结算过程被故意拖延等,造成客户或商家的损失或流失等。,1、互联网环境的安全隐患,计算机病毒 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。具有破

6、坏性,复制性和传染性。 木马 利用计算机程序漏洞侵入后窃取文件的程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主。,黑客,黑客最早源自英文hacker,早期在美国的电脑界是带有褒义的。但在媒体报导中,黑客一词往往指那些“软件骇客”(software cracker)。黑客一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。,(1)钓鱼网站和服务器攻击 (2)键盘记录 (3)嵌入浏览

7、器执行 (4)屏幕“录像” (5)窃取数字证书文件 (6)伪装窗口,2、黑客对网上支付的主要攻击方式,(1)指令终端的安全性 (2)指令传递渠道的安全性 (3)指令支付网关的安全性,3、主要信息安全风险,针对以上在网络支付过程中有可能发生的安全问题,为保证网络支付的可靠快捷,结合电子商务系统的安全,具体到网络支付结算,总结一下,我们认为网络支付的安全需求为: (也可对应为5个方面) 1. 保证网络上资金流数据的保密性 由于交易是在Internet上进行的,在因特网上传送的信息是很容易被别人获取的,所以必须对传送的资金数据进行加密。 所谓加密是使在网上传送的数据如信用卡号及密码运算成为一堆乱七八

8、糟的谁也看不懂的数据,只有通过特定的解密方法对这堆乱七八糟的数据进行解密才能看到数据的原文,即由消息发送者加密的消息只有消息接收者才能够解密得到,别人无法得到,而且,这些加密的方法必须是很难破解的。,二、网络支付的安全需求(详见P29),2. 保证网络上资金结算数据不被随意篡改,即保证相关网络支付结算数据的完整性。 数据在传送过程中不仅要求不被别人窃取,还要求数据在传送过程中不被篡改,能保持数据的完整。如果王先生在商店里订购了一套家具,本开填写支付金额为250美元,最后发现被划去1250美元,当然会引起纠纷,并失去客户。因此,在通过Internet进行网络支付结算时,消息接收方收到消息后,必定

9、会考虑收到的消息是否就是消息发送者发送的,在传送过程中这数据是否发生了改变。在支付数据传送过程中,可能会因为各种通讯网络的故障,造成部分数据遗失,也可能因为人为因素,如有人故意破坏,造成传送数据的改变。如果无法证实网上支付信息数据是否被篡改,是无法长久在网上进行交易活动的。 一些加密方法或手段就用来解决数据的完整性的。,3. 保证网络上资金结算双方身份的认定。 在实际商店里买东西,商店营业员与顾客是面对面进行交易的,营业员要检查持卡人的信用卡是否真实,是否上了黑名单,信用卡是不是持卡人本人的,还要核对持卡人的签名、持卡人的身份证等,证实持卡人的身份。持卡人亲自来到商店,看到商店真实存在。 而在

10、网上进行交易,交易双方互不见面,持卡人只知道商店的网址,不知道这个商店开在哪里。在网上没有方向,没有距离,也没有国界。有可能你在网上看到的一家大规模的商场,实际上只是2个年轻人用一台计算机制造的一场骗局。 所以持卡人要与网上商店进行交易,必须先确定商店是否真实存在,付了钱是否能拿到东西。商店和银行都要担心上网购物的持卡人是否持卡人本人,否则,扣了张三的款,却将货送给李四,结果持卡人上门来说没买过东西为什么扣我的钱,而商户却已经将货物送走了。这样的网上交易是不能进行下去的。所以网上交易中,参加交易的各方,包括商户、持卡人和银行必须要采取如CA认证等措施能够认定对方的身份。,4. 保证网络上资金支

11、付结算行为发生及发生内容的不可抵赖。 在传统现金交易中,交易双方一手交钱,一手交货,没有多大问题。如果在商店里用信用卡付款,也必须要持卡人签名,方能取走货物。 在网上交易中,持卡人与商店通过网上传送电子信息来完成交易,也需要有使交易双方对每笔交易都认可的方法。否则,持卡人购物后,商户将货送到他家里,他却说自己没有在网上下过订单,银行扣了持卡人的购物款,持卡人却不认账。反过来,持卡人已付款,可商家却坚持说没有接收到货款,或者说,没有在大家认可的日子接收到资金,而有你有故意延迟或否认物品的配送,造成客户的损失。还有明明收到了1000美元,却说只收到500美元,等等。 如果客户或商店或银行经常碰到对

12、方造成这样的事,就要忙不过来了。所以,必须为网络支付结算提供一种使交易双方在支付过程中都无法抵赖的手段,使网上交易能正常开展下去。比如数字认证、数字时间戳等手段,与保证网络交易不可否认的需求差不多。,5. 保证网络支付系统的运行可靠、快捷,保证支付结算速度。 实事的网络支付行为对网络支付系统的性能要求很高,如电子钱包软件;网络支付支撑网络本身的安全防护能力,如防火墙系统的配置;网络通道速度的检测;管理机制的制定确立等。,第二节网络支付的安全管理,本节主要介绍为应对前面网络支付结算的安全需求而采取的安全策略,已经为实施安全策略采取的常用方法与手段。,一、网络支付安全策略制定的目的、涵义和原则,电

13、子商务中的网络支付结算体系应该是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在的金融体系为一体的综合大系统。也由此可以看出,网络支付安全体系的建立不是一蹴而就的事,它受多种因素的影响,并与这些因素相互促进,动态地发展,共同走向成熟。 (在目前各方面的条件还不完全成熟的情况下,坐等时机的到来不现实,也不符合事物发展的规律。承担一定风险推动网络支付系统的发展,以期与其他因素相互作用、相互促进,这也许是信息社会中的一种新方法或新思维。),针对上一章节讲述的有关网络支付结算相关安全需求,开展电子商务的商家和后台的支撑银行必须相互配合,首先建立一套相关的安全策略,在实践中慢慢完善,以保证电子

14、商务下网络支付结算的顺利进行。电子商务中网络支付安全策略是整个电子商务安全策略的子集,即一个机构在从事电子商务中关于安全的纲要性条例,它是用书面形式明确描述所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受等。要保护以网络支付系统等为代表的电子商务资产,所有组织都要有一个明确的安全策略。 网络支付结算的安全策略其实与电子商务的安全策略基本类似,有些应该在电子商务的安全中已经涉及。这里再具体讲一下。 1. 制定安全策略的目的 制定电子商务安全策略的目的是为了保障机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏;能够有序地、经常地鉴别和测试安全状态;能够

15、对可能的风险有一个基本评估;系统的安全被破坏后的恢复措施和手段以及所需的代价。 (具体结合网络支付),2. 安全策略的涵义 安全策略一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容,这个策略会随时间而变化,公司负责安全的人员必须定期修改安全策略。 安全策略必须包含对安全问题的多方面考虑因素。安全策略一般要包含以下内容:认证;访问控制:保密;数据完整性;审计。,3. 安全策略的基本原则 (1)预防为主。为了掌握主动权,就必须有齐全的预防措施,使系统得到有效的保护。 (2)必须根据网络支付结算的安全需要和目标来制定安全策略。在制定安全策略之前,首先要确定保护的内容:再确定谁有权访问

16、系统的哪些部分,不能访问哪些部分:然后确定有哪些手段可用来保护这些资产。应当估计和分析风险。 (3)根据掌握的实际信息分析。例如可以根据服务器已经运行的记录中收到的每一次链接和访问进行分析,这些记录通常包括IP地址和主机名以及用户名,可能还有用户在逗留期间填写的表格,该表格中所有变量的值都会被记录在案:请求的状态、传递数据的大小、用户Email地址等等都会被记录下来。这些记录对于分析服务器的性能,发现和跟踪黑客袭击是很有用的。总之,需要了解实际的与安全有关的各种信息,特别对资金流敏感的进行分析。,二、网络支付安全的安全策略内容,安全策略具体内容中要定义保护的资源,要定义保护的风险,要吃透电子商务安全的法律法规,最后要建立安全策略和确定一套安全机制。每个机构都必须制定一个安全策略以满足安全需要。 1.要定义实现安全的网络支付结算的保护资源 定义资源是与本机构的具体身份、任务、性质有关。同一机构在不同的经营期对资源的定义也是不同的。安全电子商务以Internet为信息交换通道,由CA中心、银行、发卡机构、商家和用户组成,是实现安全网络支付结算的基础。 系统组成见图41所示

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号