7网上金融安全.ppt.ppt

张卓其2005年11月制作 电子金融 第七章 网上金融安全与网上支付机制 第七章 网上金融安全与网上支付机制 Physical Layer - 物理层：是OSI参考模型的第一层。物理层定义了电气、机械、有关程序的和功能的技术规范，目的是为了激活、维护和去激活终端系统之间的物理链接。　　 Data Link Layer -数据链路层：OSI参考模型的第二层。这一层提供物理链路上的可靠的数据传输。数据链路层关心物理寻址、网络拓扑结构、线路规程、错误通告、帧的顺序传递和流量控制。　　 Network Layer -网络层：OSI模型的第三层。本层提供两个终端系统之间的连接和路径选择。路由选择是在网络层发生的。　　 Transport Layer - 传输层：是OSI参考模型的第4层。本层负责两个端节点之间的可靠网络通信。传输层提供机制来建立、维护和终止虚电路，并传输错误检测和恢复，以及信息流量控制。 Session Layer -会话层：是OSI参考模型的第5层。此层负责建立、管理和停止应用程序会话和管理表示层实体之间的数据交换。 Presentation Layer -表示层：是OSI参考模型得第6层。此层保证某系统应用层发出的信息能被另一系统的应用层读懂。表示层与程序使用的数据结构有关，从而作为应用层处理数据传输语法。 Application Layer -应用层：OSI参考模型的第七层。此层为处于OSI模型之外的应用程序(如电子邮件、文件传输和终端仿真)提供服务。应用层识别并确认欲通信合作伙伴的有效性(和连接它们所需要的资源)，以及同步合作的应用程序，并建立关于差错恢复和数据完整性控制步骤的协议。 第一节 IP网络的安全 一、IP网络的运行环境 IP网络是基于Internet协议（IP）的网络。 金融电子商务的发展，金融企业纷纷采用IP技术重新构造内联网和外联网 IP商业网的网络结构 IP商业网是部分专用网络与Internet公用网络的重叠 网络部分的重叠，为公网和专用网的互通提供物理连接通道 应用的重叠，使专用网的应用可直接提供到Internet上 二、现代电子银行的两种信息安全环境 电子银行有金融专用网络（包括内联网和外联网）和Internet两种网络环境，不同网络环境的用户存在着清晰的分界线，需要采用不同的安全机制 金融专用网络 电子银行开始时是直接通过金融专用网络为客户提供服务的 金融专用网络的发展 从专有系统发展成共享系统 从地区性金融系统互联成全国性的金融通信体系 从一国系统发展成全球金融通信体系 金融专用网络性质 金融专用系统虽然服务于社会上的所有企事业单位和社会公众，但都专门服务于金融业、而不为其他行业所共享 它有一个边界确定、结构严谨、控制严格的环境，整个网络实行强制性的集中安全控制，金融交易过程受到严格监控 网络中的用户是已知的，可事先定义每个用户的操作权限 金融专用网络采用的通信协议种类繁多，但都逐步向TCP/IP迁移 开放性的Internet 银行将银行专用网络延伸到开放的Internet后，才能为广大客户提供网上支付和网上银行服务 Internet是一种没有边界、无组织、全开放的公用网络环境，使得金融电子商务的安全问题更严重、更复杂化了 Internet上互不了解对方的两个用户要相互通信，需要首先建立一种安全的临时互相信任关系 Internet的安全模型必须向通信双方提供这种相互信任的手段，但要允许用户自己决定是否信任对方 当金融企业连上互联网，面对无限的信息和商机的时候，也将自己暴露于竞争对手和蓄意破坏者的视线之内 三、金融电子商务的安全 采用防火墙技术将应用系统同Internet隔离开来，允许合法服务畅通无阻，拒绝不相关服务和非法访问 在Internet上建立基于VPN技术的金融网 网上金融交易的交易双方必须能识别对方的身份，交易中必须能识别交易电文和验证电文的完整性 金融系统应建立基于PKI技术的 CA系统 第二节 防火墙 一、防火墙的防护机制 防火墙的作用 在应用系统和Internet之间安装防火墙，可保护本地系统避免来自Internet的安全威胁 基本特点 网络外部与内部之间的所有通信业务，全部必须经过防火墙 防火墙能实施安全策略所要求的安全功能 只有经过授权的通信业务才能通过防火墙进出 系统自身对入侵是免疫的 防火墙提供的控制服务：服务控制，方向控制，用户控制，行为控制 防火墙的安全机制 过滤机制 代理服务机制 数据加密机制 审查跟踪机制 第三节 安全网上支付的核心技术 一、Web的安全 通过Internet在 Web站点上进行的网上交易是一种全新的交易方式 Web服务器可作进入内部计算机系统的入口。它一旦被破坏，攻击者不仅可访问Web本身