《电子银行业务管理办法》，为电子银行的业务安全、风险管理.ppt

* 第九章电子支付安全管理 9.1 电子支付安全技术保障 9.2 电子支付安全管理保障 9.3 电子支付安全法律保障 * 学习目标 (1) 了解电子支付安全管理的主要内容及目的。 (2) 了解电子支付安全技术保障的主要手段和一般应用方法。 (3) 掌握电子支付安全管理保障的内容及存在问题。 (4) 了解《电子支付指引（第一号）》内容，掌握其适用范围及存在意义。 (5) 大致了解《电子银行业务管理办法》，掌握其中关键问题。 * 基本概念 电子支付网络平台 身份认证 单因子认证 双因子认证 * 9.1电子支付安全技术保障 电子支付过程中面临的安全隐患大体上有这样几种： 信息的窃取、盗用及篡改；无法有效确认身份；否认、修改、隐瞒支付行为和支付信息；网络支付系统的中断。 为保证电子支付的安全进行，可采用相应的技术手段避免这些常见问题的发生。本书第二章已经介绍了有关公钥加密、私钥加密、数字签名、数字证书以及防火墙等技术手段。在这一节中，我们将从电子支付系统安全技术的角度出发，巩固前面所学的知识，并对部分问题进行更有针对性的探讨。 * 9.1.1防火墙技术 1.电子支付网络平台的构成 一般情况下，电子支付网络平台由以下几个部分构成： 客户机 客户端软件、操作系统、Web浏览器及客户端网络，或是与商家的Intranet构成的Extranet Internet:公共通信信道 Intranet 商家Intranet网络及电子商务服务器、数据库服务器 银行专网 ：银行网络及其与因特网相连的支付网关 1.电子支付网络平台的构成 因特网的安全威胁 P/189 截断堵塞 伪造 篡改 介入 Intranet的安全威胁，其最基本的安全要求： 网络边界的安全 内部网络的安全 身份验证 授权管理 信息传输时实现数据的保密性和完整性 建立一套完整的审计、记录、备份机制，以便于工作分析处理 * * 2.电子支付网络平台系统的安全措施 电子支付网络平台的安全措施主要从保护网络安全、保护应用服务安全和保护系统安全三个方面来阐述。 保护网络安全 保护应用服务安全 保护系统安全 所谓系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。 * 3. 电子支付中的防火墙应用 1）业务Web服务器设置在防火墙之内,如图9-1所示，不易被外界攻击，但仅能由内部网中用户访问。 2）业务Web服务器设置在防火墙之外,参见图9-2。 3 ）除此以外，一些安全性较高的站点会采用一内一外，两个防火墙来保证站点的安全（参见图9-3）。 * 图 9?1 业务Web服务器放在防火墙外的配置 不安全网络 防火墙和路由器 Web服务器 安全网络 不安全网络 防火墙和路由器 Web服务器 安全网络 图 9?2业务Web服务器放在防火墙外图的配置 * 9.1.2身份认证技术 1、用户名/密码方式（what you know) 使用方便，但每次验证信息相同，易被驻留在计算机内存中的木马程序或网络中的监听设备截获。相对来说是一种极不安全的身份认证技术。 2、IC卡认证 (what you have) 是不可复制的硬件，每次读IC信息是静态的；通过扫描或网络监听也较容易截取用户的身份验证信息。 3、动态口令 是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术 4、生物特征认证 指采用每个人独一无二的生物特征来验证用户身份的技术，常见的有指纹识别、虹膜识别等。 5、移动数字证书认证 9.1.3电子银行安全评估 2006年3月1日中国银监会颁布了《电子银行安全评估指引》涉及的有关电子银行安全评估的主要内容包括以下几点。 1）电子银行评估的基本要求 电子银行的安全评估，是指金融机构在开展电子银行业务过程中，对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价 金融机构应建立电子银行安全评估的规章制度体系和工作规程，保证电子银行安全评估能够及时、客观地得以实施 开展电子银行业务的金融机构，应根据其电子银行发展和管理的需要，至少每两年对电子银行进行一次全面的安全评估。 2）电子银行安全评估机构 可以是金融机构以外的社会专业化机构或是金融机构内部具备相应条件的相对独立部门 3）电子银行安全评估的主要内容 安全策略、内控制制度建设、风险管理状况、系统安全性、业务运行连续性、业务运行应急能力、风险预警体系、其他重要安全环节和机制的管理。 * * 9.2电子支付安全管理保障 9.2.1信用体系建设 中国人民银行与信息产业部于2006年4月，发布了《中国人民银行、信息产业部关于商业银行与电信企业共享企业和个人信用信息有关问题的指导意见》