第一章网络金融安全.pptVIP

第一章 网络金融安全 金融机构在安全方面需解决以下问题： 防止数据被窃听。防止用户名、密码等信息在传输过程中被告窃听。 专用数据的保护。防火墙技术、数据库加密技术来防止恶意攻击。 验证用户。防止伪造、假冒行为。 数据完整性检验。保证接收的数据在传输过程中未被篡改。可通过数据加密、数字签名来识别。 安全访问能力。为个人用户在开放网络上安全访问。 系统可靠性。确保7*24运行。 系统灵活性。能扩展各种新兴业务。如家庭银行等。 标准化支持。市场上各种电子货币必须具有标准化的模式才能相互通用并保证安全。 第一节　网络金融用户 一、网络金融用户就是通过网络获得金融服务的客户。 分个人用户和企业用户 主要活动： 1.网络银行 账户查询、电子支付、代收代缴、理财等等。 2.网络证券 股票交易、债券交易 3.网络保险 咨询、评估、购买、理赔 二、网络金融用户面临的安全问题 1.资金安全性。在网络金融活动中涉及资金的支付和划拨，一旦资金被窃取，损失巨大。 2.信息保密性。网络金融活动中的支付信息、合同条款及个人信息的保密性。 3.协议有效性。网络金融活动中交易双方不能直接面对面，也就可能存在恶意欺诈等行为，如何确保协议的有效性。 三、网络金融活动中的密码安全措施。 1.软件键盘技术 主在是防止计算机中可能存在的木马程序恶意记录键盘输入的密码。 简单键盘记录器 下载： /softdown/90968_2.htm 2.动态口令卡 动态口令是根据专门的算法生成一个不可预测的随机数字组合，一个密码使用一次有效，目前被广泛运用在网银、网游、电信运营商、电子政务、企业等应用领域。动态口令是一种安全便捷的账号防盗技术，可以有效保护交易和登录的认证安全，采用动态口令就无需定期密码，安全省心，这是这项技术的一个额外价值，对企事业内部应用尤其有用。 动态令牌即是用来生成动态口令终端。 共分 短信密码： 动态令牌： 动态令牌从技术来分有三种形式，时间同步、事件同步、挑战/应答。 主流的动态令牌技术是时间同步和挑战/应答两种形式。动态令牌从终端来分类包含硬件令牌和手机令牌两种，手机令牌是安装在手机上的客户端软件。 动态口令卡 3.USB key 对于银行来讲叫U盾。对于其他行业讲叫加密狗。 帮助实现安全的互联网应用和系统应用： （1）将客户端登录时所需的认证信息，（如用户名，密码，QQ，邮箱，电话，身份证号等等）均可写入到usb key内，可以写入算法，也可写入代码，从而让 key取代传统的“用户名+密码”的登录方式，实现插上Key才能登录网站或应用系统的目标。 （2）用usb key做权限控制，设定不同的客户端拥有不同的权限。如某些客户端，只能使用网站或系统的部分功能，或不同的客户端，使用不同的网站或系统模块等，同时可以设定网站或系统使用时，是否一定要一直插着usb key或拔下usb key后多久网站或系统自动退出。 （3）客户端第一次插上usb key登录时，（以后登录不需再做此设置）会自动下载身份识别控件，可以根据需要，设定客户端是自动安装控件，还是手动安装。如淘宝的支付宝盾、网上银行的U盾等都是这种认证识别方式。 （4）usb key都有全球唯一ID，可以将ID与客户端整合，通过读ID来获取客户端的登录和使用信息。 第二节 网络金融的安全管理 网络金融安全问题 网络金融安全问题是与计算机及其网络的安全性密切相关。 计算机网络安全是指系统内的硬件、软件及系统中的数据受到保护，不被破坏、更改和泄露。 1．网络金融面临的安全威胁： （1）内部人员的攻击破坏。内部人员对网络结构、安全措施比较熟悉，比较容易出动攻击。 （2）因特网威胁。各种网络金融活动都是通过金融内部网与因特网直接互联实现的。但因特网的开放性可能带来威胁。 （3）网络病毒和黑客攻击。 2．网络金融的安全控制需求。 （1）真实有效性。确保金融活动中的交易数据真实有效，同时确保网络金融活动中的交易双方的身份信息真实有效。 （2）机密性。政府、企业和个人的金融信息属于商业机密，不能被他人非法获取。 （3）完整性。防止数据传送过程中信息的丢失和重复，并保证信息传送的次序也一致。 （4）不可否认性。在无纸化网络交易活动中，如何防范交易双方发生抵赖。 3.网络金融安全问题的具体表现 （1）病毒感染和木马攻击，账号或密码被盗 （2）非法入侵网络银行信息系统 （3）钓鱼网站，植入病毒，成为肉鸡或系统入侵。 （4）网络洗钱 网络洗钱的途径主要有电子商务、网上拍卖、网上银行、网络赌博和网络保险。而其中利用电子商务交易，通过在线支付实现网络洗钱的方式就是利用网上支付洗钱。 网上支付洗钱的特点 ??????? 1.隐蔽性。通过Internet登录网上银行服务器进行网上支付交易，洗钱者无需面对银行业务人员和柜台。如果银行