电子支付第九章.pptVIP

第九章 电子支付安全管理 学习目标 (1) 了解电子支付安全管理的主要内容及目的。 (2) 了解电子支付安全技术保障的主要手段和一般应用方法。 (3) 掌握电子支付安全管理保障的内容及存在问题。 (4) 了解《电子支付指引（第一号）》内容，掌握其适用范围及存在意义。 (5) 大致了解《电子银行业务管理办法》，掌握其中关键问题。 9.1电子支付安全技术保障 电子支付过程中面临的安全隐患大体上有这样几种：信息的窃取、盗用及篡改；无法有效确认身份；否认、修改、隐瞒支付行为和支付信息；网络支付系统的中断。 为保证电子支付的安全进行，可采用相应的技术手段避免这些常见问题的发生。本书第二章已经介绍了有关公钥加密、私钥加密、数字签名、数字证书以及防火墙等技术手段。在这一节中，我们将从电子支付系统安全技术的角度出发，巩固前面所学的知识，并对部分问题进行更有针对性的探讨。 9.1.1防火墙技术9.1.1.1电子支付网络平台的构成 一般情况下，电子支付网络平台由以下几个部分构成： 客户机 Internet Intranet 银行专网 9.1.1.2电子支付网络平台系统的安全措施 电子支付网络平台的安全措施主要从保护网络安全、保护应用服务安全和保护系统安全三个方面来阐述。 保护网络安全 保护应用服务安全 保护系统安全 9.1.1.3电子支付中的防火墙应用 1）业务Web服务器设置在防火墙之内,如图9-1所示。 2）业务Web服务器设置在防火墙之外,参见图9-2。 3 ）除此以外，一些安全性较高的站点会采用一内一外，两个防火墙来保证站点的安全（参见图9-3）。 图 9?1 业务Web服务器放在防火墙内的配置 防火墙和路由器 Web服务器 安全网络 不安全网络 图 9?2业务Web服务器放在防火墙外的配置 Web服务器 防火墙和路由器 安全网络 不安全网络 图 9?3 防火墙内外的Web服务器 请看书P191图9-3 9.1.2身份认证技术 9.1.2身份认证技术 2）IC卡认证 3）动态口令 4）生物特征认证 5）移动数字证书认证 9.1.3电子银行安全评估 2006年3月1日中国银监会颁布了《电子银行安全评估指引》涉及的有关电子银行安全评估的主要内容包括以下几点。 1）电子银行评估的基本要求 2）电子银行安全评估机构 3）电子银行安全评估的主要内容 9.2电子支付安全管理保障9.2.1信用体系建设 为进一步贯彻十六大提出的“健全现代市场经济的社会信用体系”的要求，落实国家信息化领导小组布置的“推动部门间信息资源共享与整合，促进部门间政务协同”的工作任务，加快企业和个人征信体系建设，促进银行和电信企业业务发展，提高社会诚信水平，针对商业银行和电信企业共享企业和个人信用信息等有关问题，中国人民银行与信息产业部于2006年4月，发布了《中国人民银行、信息产业部关于商业银行与电信企业共享企业和个人信用信息有关问题的指导意见》。 9.2.2电子银行业务管理 1）申请与变更 2）风险管理 3）数据交换转移管理 4）业务监督 9.3电子支付安全法律保障 2005年10月26日，中国人民银行发布了《电子支付指引（第一号）》（简称《指引》），对银行从事电子支付业务提出指导性要求，以规范和引导电子支付的发展。 9.3.2《指引》的适用范围 《指引》的规范主体主要是银行及接受其电子支付服务的客户。根据参与主体的不同，电子支付分为发生在银行之间的电子支付、银行与其客户间的电子支付以及其他支付服务组织与其客户之间的电子支付。随着电子商务的发展，作为银行向客户提供的新型金融服务产品，大量的电子支付服务面对的是个人消费者和商业企业在经济交往中产生的一般性支付需求，服务的对象数量众多、支付需求千差万别，与人们日常生活息息相关，对社会影响广泛。保证这类电子支付系统的独立性和效率，非常重要。 9.3.3《指引》对电子支付活动中客户和银行权利义务的基本规定 《指引》要求客户应按照其与发起行的协议规定，发起电子支付指令；要求发起行建立必要的安全程序，对客户身份和电子支付指令进行确认，并形成日志文件等记录；要求银行按照协议规定及时发送、接收和执行电子支付指令，并回复确认。同时还明确了电子支付差错处理中，银行和客户应尽的责任。 9.3.4《指引》对电子支付和信息安全的要求 安全性是电子支付的重中之重。《指引》要求银行采用符合有关规定的信息安全标准、技术标准、业务标准；建立针对电子支付业务的管理制度，采取适当的内部制约机制；保证电子支付业务处理系统的安全性，以及数据信息资料的完整性、可靠性、安全性、不可抵赖性；提倡使用第三方认证，并应妥善保管密码、密钥等认证数据；明确银行对客户的责任不因相关业务的外包关系而转移，并应与开展电子支付业务相关的专业化服务机构签订协议，并确立