电子商务与电子支付教辅及习题第9章.docxVIP

第9章电子支付安全管理 主要内容与重点 本章主要讲述以下3部分的内容： 电子支付安全技术保障的主要手段和一般应用方法。其中分为电子支付网络平 台、建立基于身份认证技术的密钥系统、落实网络安全等级保护制度三方面分别列举了电子 支付安全目前的技术支持； 电子银行安全管理的内容。首先介绍了电子银行如何进行安全评估，对评估的 机构、标准、内容等进行了总结。其次是针对《电子银行业务管理办法》，对电子银行业务 进行有关规定的介绍。最后讨论电子银行信用体系建设的重要性和需要注意的方面。 加强电子支付安全综合管理。梳理了电子支付管理的基本思路，提出要通过营 造电子支付应用安全环境，健全电子支付安全体系，完善电子支付法律规范等方面进行电子 支付管理。 通过对本章的学习，学生应明确电子支付网络平台、身份认证、单因子认证、双因子认 证等概念。了解电子支付安全管理的主要内容及目的，了解电子支付安全技术保障的主要手 段和一般应用方法。掌握电子支付安全管理保障的内容及存在问题。了解《电子支付指引(第 一号)》内容，掌握其适用范围及存在意义。了解《电子银行业务管理办法》，掌握其中关键 问题。 学习流程 本章学习流程见图9-1。 f 电子支付网络平台的技术管理 电子支付安全技术保障 一一 建立基于身份认证技术的密钥系统 落实网络安全等级保护制度 电子银行安全评估 电子银行安全管理 一- 电子银行业务管理 电子银行信用体系建设 电子支付管理的基本思路 f 营造电子支付应用安全环境 — 加强电子支付安全综合管理 — — - 健全电子支付安全体系 完善电子支付法律规范 图9T第九章学习流程 考核要点提示 电子支付过程中的安全隐患 电子支付过程中面临的安全隐患大体上有这样几种：信息的窃取、盗用及篡改；无法有 效确认身份；否认、修改、隐瞒支付行为和支付信息；网络支付系统的中断。 电子支付网络平台的技术管理 （1） 互联网金融行业的安全状况 近年来，随着互联网金融行业的发展，互联网金融平台运营者的网络安全意识有所提 升，互联网金融平台的网络安全防护能力有所加强，特别是规模较大的平台，但仍有部分平 台安全防护能力不足，安全隐患较多。 （2） 电子支付网络平台系统的安全措施 ①保护网络安全。根据自身的安全需求，制定相应的安全策略；制定网络安全的管理 措施；使用防火墙，这也最主要的防护措施之一；尽可能纪录网络上的一切活动；注意对网 络设备的物理保护；定期检查系统的脆弱性；建立可靠的识别和鉴别机制。 0保护应用服务安全。应用安全指的是针对特定应用（如WEB服务器、网络支付专用 软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护 措施可能是网络安全业务的一种替代或重叠。 ③保护系统安全。所谓系统安全，是指从整体电子商务系统或网络支付系统的角度进 行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。 （3） 电子支付中防火墙的应用 ①业务Web服务器设置在防火墙之内。将业务Web服务器装在防火墙内的好处是它可 以得到安全防护，不容易被外界攻击，但Web服务器本身不易被外界应用，这种防火墙是创 建一个“内部网络站点”，它仅能由内部网中的用户访问。由于电子商务业务的需要，它仅 用于企业面向职员的网络服务的专门站点中。因此，一般性电子商务业务中将Web服务器设 置在防火墙外更为常见。 0业务Web服务器设置在防火墙之外。为了能使互联网上的所有用户都能够访问本业 务Web服务器，就要将Web服务器放到防火墙外面。这种配置方式主要为了保护内部网络的 安全，虽然Web服务器不受保护，但内部网处于良好的保护下，即使外部攻击者进入了该 Web站点，而内部网络仍然是安全的。这时Web服务器为了保护内部网络做出一定牺牲。虽 然防火墙在这种配置中对Web业务服务器并未起到一点保护作用，但是，可以通过系统软件 和操作系统自身的病毒检测和安全控制功能来对Web服务器进行防护。 ③除此以外，一些安全性较高的站点会采用一内一外，两个防火墙来保证站点的安全。 基于身份认证技术的密钥系统 综合应用身份认证技术是当前电子支付技术管理中的一个趋势。我国铁路电子支付行 业密钥系统的建立中综合应用加密技术，通过PSAM卡控制行业密钥文件的读写，达到了保 护行业密钥的目的，能够满足行业信息保护需求。 （1）系统结构 铁路电子支付行业密钥系统包括密钥管理系统、PSAM（销售点终端安全存款模块， Purchase Secure Access Module）卡发卡系统和行业密钥传递程序3个部分。密钥管理系 统生成各级密钥，行业密钥传递程序负责将密钥管理系统生成的行业密钥卡导入到其它系 统，PSAM卡发卡系统实现将PSAM卡母卡中的密钥导入到PSAM卡发卡系统和发行PSAM卡 功能，