电子商务安全与支付2015(第9章-电子支付安全管理)试题.ppt

第9章电子支付安全管理 * 学习目标 (1) 了解电子支付安全管理的主要内容及目的。 (2) 了解电子支付安全技术保障的主要手段和一般应用方法。 (3) 掌握电子支付安全管理保障的内容及存在问题。 (4) 了解《电子支付指引（第一号）》内容，掌握其适用范围及存在意义。 (5) 大致了解《电子银行业务管理办法》，掌握其中关键问题。 * 基本概念 电子支付网络平台 身份认证 单因子认证 双因子认证 * 9.1电子支付安全技术保障 电子支付过程中面临的安全隐患大体上有这样几种：信息的窃取、盗用及篡改；无法有效确认身份；否认、修改、隐瞒支付行为和支付信息；网络支付系统的中断。 为保证电子支付的安全进行，可采用相应的技术手段避免这些常见问题的发生。本书第二章已经介绍了有关公钥加密、私钥加密、数字签名、数字证书以及防火墙等技术手段。在这一节中，我们将从电子支付系统安全技术的角度出发，巩固前面所学的知识，并对部分问题进行更有针对性的探讨。 * 9.1.1防火墙技术9.1.1.1电子支付网络平台的构成 一般情况下，电子支付网络平台由以下几个部分构成： 客户机 Internet Intranet 银行专网 * 9.1.1.2电子支付网络平台系统的安全措施 电子支付网络平台的安全措施主要从保护网络安全、保护应用服务安全和保护系统安全三个方面来阐述。 保护网络安全 保护应用服务安全 保护系统安全 * 9.1.1.3电子支付中的防火墙应用 1）业务Web服务器设置在防火墙之内,如图10-1所示。 2）业务Web服务器设置在防火墙之外,参见图10-2。 3 ）除此以外，一些安全性较高的站点会采用一内一外，两个防火墙来保证站点的安全。 * 9.1.2身份认证技术 9.1.2身份认证技术 2）IC卡认证 3）动态口令 4）生物特征认证 5）移动数字证书认证 * 9.1.3电子银行安全评估 2006年3月1日中国银监会颁布了《电子银行安全评估指引》涉及的有关电子银行安全评估的主要内容包括以下几点。 1）电子银行评估的基本要求 2）电子银行安全评估机构 3）电子银行安全评估的主要内容 * 9.2电子支付安全管理保障9.2.1信用体系建设 为进一步贯彻十六大提出的“健全现代市场经济的社会信用体系”的要求，落实国家信息化领导小组布置的“推动部门间信息资源共享与整合，促进部门间政务协同”的工作任务，加快企业和个人征信体系建设，促进银行和电信企业业务发展，提高社会诚信水平，针对商业银行和电信企业共享企业和个人信用信息等有关问题，中国人民银行与信息产业部于2006年4月，发布了《中国人民银行、信息产业部关于商业银行与电信企业共享企业和个人信用信息有关问题的指导意见》。 * 9.2.2电子银行业务管理 1）申请与变更 2）风险管理 3）数据交换转移管理 4）业务监督 * 9.3电子支付安全法律保障 2005年10月26日，中国人民银行发布了《电子支付指引（第一号）》（简称《指引》），对银行从事电子支付业务提出指导性要求，以规范和引导电子支付的发展。 * 9.3.1制定《指引》的目的和意义 《指引》的实施将有利于规范电子支付活动，推动电子银行业务和电子商务的健康、有序发展；有利于明确电子支付活动参与各方的权利义务，防范支付风险；有利于推动支付工具创新，提升支付服务质量；有利于防范和打击洗钱及其他金融违法犯罪活动。 * 9.3.2《指引》的适用范围 《指引》的规范主体主要是银行及接受其电子支付服务的客户。根据参与主体的不同，电子支付分为发生在银行之间的电子支付、银行与其客户间的电子支付以及其他支付服务组织与其客户之间的电子支付。随着电子商务的发展，作为银行向客户提供的新型金融服务产品，大量的电子支付服务面对的是个人消费者和商业企业在经济交往中产生的一般性支付需求，服务的对象数量众多、支付需求千差万别，与人们日常生活息息相关，对社会影响广泛。保证这类电子支付系统的独立性和效率，非常重要。 * 9.3.3《指引》对电子支付活动中客户和银行权利义务的基本规定 《指引》要求客户应按照其与发起行的协议规定，发起电子支付指令；要求发起行建立必要的安全程序，对客户身份和电子支付指令进行确认，并形成日志文件等记录；要求银行按照协议规定及时发送、接收和执行电子支付指令，并回复确认。同时还明确了电子支付差错处理中，银行和客户应尽的责任。 * 本章小结 针对电子支付本身的情况，专门对电子支付安全的技术保障、技术保障和法律保障进行了分析。 在技术保障工作中，需要对电子银行的安全评估给予高度重视。需要对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。 在管理保障工作中，要加强申请