ch-网络支付的安全及相关安全技术.ppt

4.1 网络支付的安全问题与需求 4.1.1 网络支付面临的安全问题 1. 电子商务的主要安全隐患 1）系统的中断与瘫痪 2）信息被盗听 3）信息被篡改 4）信息被伪造 5）对交易行为抵赖 4.1.1 网络支付面临的安全问题 2. 网络支付面临的安全问题 1) 支付账号和密码等隐私支付信息被盗取或盗用 2) 支付金额被更改 3) 无法有效验证收款方的身份 4) 对支付行为进行抵赖、修改或否认 5) 网络支付系统瘫痪 4.1.2 网络支付的安全需求 1) 网络上资金流数据的必威体育官网网址性 2) 网络支付结算数据的完整性 3) 网络上资金结算双方身份的认定 4) 不可抵赖性 5) 保证网络支付系统的运行可靠、快捷，做好 数据备份与灾难恢复功能 4.2 网络支付的安全策略及解决方法 4.2.1 网络支付安全策略制定的目的、涵义和原则 1. 制定网络支付安全策略的目的 保障相关支付结算信息的机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏； 能够有序地、经常地鉴别和测试安全状态； 能够对可能的风险做基本评估； 系统的安全被破坏后的恢复工作。 4.2.1 网络支付安全策略制定的目的、涵义和原则 2. 网络支付安全策略的涵义 安全策略必须包含对安全问题的多方面考虑因素。安全策略一般要包含以下内容： ①认证 ②访问控制 ⑧必威体育官网网址 ④数据完整性 ⑤审计 4.2.1 网络支付安全策略制定的目的、涵义和原则 3. 制定网络支付安全策略的基本原则 1) 预防为主 2) 必须根据网络支付结算的安全需要和目标来制定安全策略 3) 根据掌握的实际信息分析 4.2.2 网络支付的安全策略及解决方法 2. 网络支付安全策略的主要内容 安全策略具体内容中要定义保护的资源，要定义保护的风险，要吃透电子商务安全的法律法规，最后要建立安全策略和确定一套安全机制。 1) 定义实现安全的网络支付结算的保护资源 4.2.2 网络支付的安全策略及解决方法 2) 定义保护的风险 每一新的网络支付方式推出与应用，均有一定的风险，要进行相关风险分析。 3) 吃透电子商务安全与网络支付安全的法律法规 4) 建立相关安全策略和确定一套安全机制 安全策略中最后要根据定义的保护资源、定义的保护风险、电子商务安全的法律法规，建立安全策略和确定一套安全机制。 安全策略是由个人或组织针对网络支付结算安全全面制定的，安全机制是实现安全策略的手段或技术、整套规则和决策 4.2.3 保证网络支付安全的解决方法 (1) 交易方身份认证 (2) 网络支付数据流内容必威体育官网网址 (3) 网络支付数据流内容完整性 (4) 保证对网络支付行为内容的不可否认性 (5) 处理多方贸易业务的多边支付问题 (6) 网络支付系统软件、支撑网络平台的正常运行 (7) 政府支持相关管理机构的建立和电子商务法律的制定 4.3 网络支付平台的安全及防火墙技术 4.3.1 网络平台系统的构成及其主要安全威胁 1. 网络平台系统的构成 4.3.1 网络平台系统的构成及其主要安全威胁 2. 公共通信通道Internet的安全威胁 截断堵塞：如切断通讯线路、毁坏硬件、病毒瘫痪软件系统、冗余信息堵塞网络通道等） 伪造：伪造客户或商家信息，假冒身份以骗取财物。 篡改：为某目的对相关网络支付信息进行篡改 介入：利用特殊软件工具提取Internet上通信的数据，以期破解信息；或进行信息流量分析，对信息的流动情况进行分析；或非法进入系统或数据库，进行破坏、COPY等。 4.3.1 网络平台系统的构成及其主要安全威胁 3. Intranet的最基本安全需求 网络边界的安全 内部网络的安全 身份验证 授权管理 数据的必威体育官网网址性和完整性 完整的审计、记录、备份机制，以便分析处理 4.3.2 Internet网络平台系统的安全措施 Internet网络平台上安全措施主要从保护网络安全、保护应用的安全和保护系统安全三个方面来叙述。 1. 保护网络安全 (1) 全面规划网络平台的安全策略 (2) 制定网络安全管理措施 (3) 使用防火墙。 (4) 尽量记录网络上的一切活动 (5) 注意对设备的物理保护 (6) 检查网络平台系统脆弱性 (7) 可靠的识别和鉴别 4.3.2 Internet网络平台系统的安全措施 2. 保护应用的安全 应用安全是针对特定应用(如Web服务器、网络支付专用软件系统)中所建立的安全防护措施，独立于任何网络的安全措施。 网络支付协议就很复杂，它涉及购货人、零售商和银行之间的转账，不同参与者之间的通信需