网上支付与结算教案-网络支付安全及相关安全技术(四）.pptVIP

第四章　网络支付的安全及相 关安全技术 　　通过第三章的学习，我们已经知道了网络支付的一些基础知识内容，知道了网络支付的基本运作过程和模型、网络支付的支撑网络平台和目前网络支付方式的分类，最后结合国内外的资料，介绍了目前网络支付手段的发展状况。这是我们进一步深层次学习下面有关网络支付内容的基础。 　　从前面知道，网络支付结算是电子商务的一个重要环节，快捷、方便、可靠的网络支付方式的普及应用正是体现电子商务魅力的地方。因此，保证网络支付过程中的快捷、方便和可靠安全，是保证网络交易顺利完成的根本保证。保证电子商务的安全其实很大部分就是保证电子商务过程中网络支付结算的安全，这正是银行、商家，特别是客户关心的焦点。 　　本章主要对网络支付的问题及安全需求、网络支付的安全策略以及较主要的解决方法手段作一介绍，最后叙述了目前流行的保证安全交易和网络支付的SET机制和SSL机制。 5. 保证网络支付系统的运行可靠、快捷，保证支付结算速度。 　　实事的网络支付行为对网络支付系统的性能要求很高，如电子钱包软件；网络支付支撑网络本身的安全防护能力，如防火墙系统的配置；网络通道速度的检测；管理机制的制定确立等。 3. 安全策略的基本原则 　(1)预防为主。为了掌握主动权，就必须有齐全的预防措施，使系统得到有效的保护。 　(2)必须根据网络支付结算的安全需要和目标来制定安全策略。在制定安全策略之前，首先要确定保护的内容：再确定谁有权访问系统的哪些部分，不能访问哪些部分：然后确定有哪些手段可用来保护这些资产。应当估计和分析风险。 　(3)根据掌握的实际信息分析。例如可以根据服务器已经运行的记录中收到的每一次链接和访问进行分析，这些记录通常包括IP地址和主机名以及用户名，可能还有用户在逗留期间填写的表格，该表格中所有变量的值都会被记录在案：请求的状态、传递数据的大小、用户E—mail地址等等都会被记录下来。这些记录对于分析服务器的性能，发现和跟踪黑客袭击是很有用的。总之，需要了解实际的与安全有关的各种信息，特别对资金流敏感的进行分析。 思考题 见P.196 防火墙的应用示意图为： Internet 企业内部网络（如Intranet) 防火墙系统（堡垒主机+路由器等） 非安全网络 安全网络 　　防火墙(Firewall)是借用词，其本意是“网络门”。好像两个网络之间的一道安全门，好像房屋的门、建筑物的大门、国境线上检查站，只让规定的事物通过，而阻止“非法”东西的流通。 图4-2 防火墙作用示意图 　　防火墙(Firewall)是借用词，其本意是“网络门”。好像两个网络之间的一道安全门，好像房屋的门、建筑物的大门、国境线上检查站，只让规定的事物通过，而阻止“非法”东西的流通。 　　确切地说，防火墙是一个或一组系统，包括硬件和软件，它在两个网络之间执行双向访问控制策略。 2. 防火墙的组成 　　防火墙由下列几个基本部分组成：外部过滤器、网关和内部过滤器。如图4－3所示。 图4-3 防火墙的基本组成框图 其中： 过滤器filter：用于阻断某些类型信息的通过。通常，外部过滤器用于保护网关免受来自Internet的攻击。当网关遭到来自Internet的攻击而受到破坏时，内部过滤器用于对付网关受破坏后的后果。 过滤器执行由防火墙管理机构制订的一组规则，检验各数据组决定是否允许放行。这些规则按IP地址、端口号码和各类应用等参数确定。 网关Gateway：提供中继服务，以补偿过滤器的影响，辅助过滤器控制业务流，网关往往是一台或一组机器。一个暴露的网关计算机通常叫“堡垒机”。 　　当然上述组成不是固定的，实际上按需要改变配置。有的防火墙还包括域名服务和Email过滤处理等，辅助过滤器控制业务流，如图4－4所示。 图4-4 实际防火墙组成示例 3. 防火墙的功能 作为防火墙的计算机设备具有以下功能： · 　(1)由内Intranet到外Internet和由外到内的所有访问都必须通过它； 　(2)只有本地安全策略所定义的合法访问才被允许通过它； 　(3)防火墙本身无法被穿透。 　　防火墙能保护站点不被任意链接，甚至能建立跟踪工具，帮助总结并记录有关正在进行的连接资源、服务器提供的通信量以及试图闯入者的任何企图。 4. 防火墙的安全业务 (1)用户认证。对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员对防火墙的认证。 (2)域名服务。防火墙不能将内部网内主机的IP地址泄露出去。 (3)EMAIL处理。电子邮件是一个主要业务，这些邮件都要通过防火墙检验与过滤。 (4)防火墙的IP安全性。防火墙可以提供机密性和完整性。一个Externet网可能由多个内部网通过Internet相互连接而成。这些网之间要求数据机密性和完整性。 5. 防火墙