1 / 19

第九章 电子支付安全管理

第九章 电子支付安全管理. 9.1 电子支付安全技术保障 9.2 电子支付安全管理保障 9.3 电子支付安全法律保障. 学习目标. (1) 了解电子支付安全管理的主要内容及目的。 (2) 了解电子支付安全技术保障的主要手段和一般应用方法。 (3) 掌握电子支付安全管理保障的内容及存在问题。 (4) 了解 《 电子支付指引(第一号) 》 内容,掌握其适用范围及存在意义。 (5) 大致了解 《 电子银行业务管理办法 》 ,掌握其中关键问题。. 基本概念. 电子支付网络平台 身份认证 单因子认证 双因子认证. 9.1 电子支付安全技术保障.

illana-wong
Download Presentation

第九章 电子支付安全管理

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第九章电子支付安全管理 9.1 电子支付安全技术保障 9.2 电子支付安全管理保障 9.3 电子支付安全法律保障

  2. 学习目标 (1) 了解电子支付安全管理的主要内容及目的。 (2) 了解电子支付安全技术保障的主要手段和一般应用方法。 (3) 掌握电子支付安全管理保障的内容及存在问题。 (4) 了解《电子支付指引(第一号)》内容,掌握其适用范围及存在意义。 (5) 大致了解《电子银行业务管理办法》,掌握其中关键问题。

  3. 基本概念 • 电子支付网络平台 • 身份认证 • 单因子认证 • 双因子认证

  4. 9.1电子支付安全技术保障 • 电子支付过程中面临的安全隐患大体上有这样几种: • 信息的窃取、盗用及篡改;无法有效确认身份;否认、修改、隐瞒支付行为和支付信息;网络支付系统的中断。 • 为保证电子支付的安全进行,可采用相应的技术手段避免这些常见问题的发生。本书第二章已经介绍了有关公钥加密、私钥加密、数字签名、数字证书以及防火墙等技术手段。在这一节中,我们将从电子支付系统安全技术的角度出发,巩固前面所学的知识,并对部分问题进行更有针对性的探讨。

  5. 9.1.1防火墙技术 1.电子支付网络平台的构成 • 一般情况下,电子支付网络平台由以下几个部分构成: • 客户机 • 客户端软件、操作系统、Web浏览器及客户端网络,或是与商家的Intranet构成的Extranet • Internet:公共通信信道 • Intranet • 商家Intranet网络及电子商务服务器、数据库服务器 • 银行专网 :银行网络及其与因特网相连的支付网关

  6. 1.电子支付网络平台的构成 • 因特网的安全威胁 P/189 • 截断堵塞 • 伪造 • 篡改 • 介入 • Intranet的安全威胁,其最基本的安全要求: • 网络边界的安全 • 内部网络的安全 • 身份验证 • 授权管理 • 信息传输时实现数据的保密性和完整性 • 建立一套完整的审计、记录、备份机制,以便于工作分析处理

  7. 2.电子支付网络平台系统的安全措施 • 电子支付网络平台的安全措施主要从保护网络安全、保护应用服务安全和保护系统安全三个方面来阐述。 • 保护网络安全 • 保护应用服务安全 • 保护系统安全 • 所谓系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。

  8. 3. 电子支付中的防火墙应用 1)业务Web服务器设置在防火墙之内,如图9-1所示,不易被外界攻击,但仅能由内部网中用户访问。 2)业务Web服务器设置在防火墙之外,参见图9-2。 3 )除此以外,一些安全性较高的站点会采用一内一外,两个防火墙来保证站点的安全(参见图9-3)。

  9. Web服务器 安全网络 不安全网络 防火墙和路由器 Web服务器 安全网络 不安全网络 防火墙和路由器 图 9‑1 业务Web服务器放在防火墙外的配置 图 9‑2业务Web服务器放在防火墙外图的配置

  10. 9.1.2身份认证技术 1、用户名/密码方式(what you know) • 使用方便,但每次验证信息相同,易被驻留在计算机内存中的木马程序或网络中的监听设备截获。相对来说是一种极不安全的身份认证技术。 2、IC卡认证(what you have) • 是不可复制的硬件,每次读IC信息是静态的;通过扫描或网络监听也较容易截取用户的身份验证信息。 3、动态口令 • 是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术 4、生物特征认证 • 指采用每个人独一无二的生物特征来验证用户身份的技术,常见的有指纹识别、虹膜识别等。 5、移动数字证书认证

  11. 9.1.3电子银行安全评估 • 2006年3月1日中国银监会颁布了《电子银行安全评估指引》涉及的有关电子银行安全评估的主要内容包括以下几点。 1)电子银行评估的基本要求 • 电子银行的安全评估,是指金融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价 • 金融机构应建立电子银行安全评估的规章制度体系和工作规程,保证电子银行安全评估能够及时、客观地得以实施 • 开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每两年对电子银行进行一次全面的安全评估。 2)电子银行安全评估机构 • 可以是金融机构以外的社会专业化机构或是金融机构内部具备相应条件的相对独立部门 3)电子银行安全评估的主要内容 • 安全策略、内控制制度建设、风险管理状况、系统安全性、业务运行连续性、业务运行应急能力、风险预警体系、其他重要安全环节和机制的管理。

  12. 9.2电子支付安全管理保障 9.2.1信用体系建设 • 中国人民银行与信息产业部于2006年4月,发布了《中国人民银行、信息产业部关于商业银行与电信企业共享企业和个人信用信息有关问题的指导意见》。内容包含 • 信息共享 • 密切配合 • 保护用户合法权益,依法使用企业和个人信用信息 • 商业银行和电信企业依托企业和个人信用信息基础数据库进行信息共享

  13. 9.2.2电子银行业务管理 • 2006年2月,中国银监会颁布了《电子银行业务管理办法》,为电子银行的业务安全、风险管理、风险控制、安全控制提供了一定的标准。《管理办法》对以下关键问题作了规定 1、申请与变更 2、风险管理 3、数据交换转移管理 4、业务监督

  14. 9.3电子支付安全法律保障 • 2005年10月26日,中国人民银行发布了《电子支付指引(第一号)》(简称《指引》),对银行从事电子支付业务提出指导性要求,以规范和引导电子支付的发展。

  15. 9.3.1制定《指引》的目的和意义 • 《指引》的实施将: • 有利于规范电子支付活动,推动电子银行业务和电子商务的健康、有序发展; • 有利于明确电子支付活动参与各方的权利义务,防范支付风险; • 有利于推动支付工具创新,提升支付服务质量; • 有利于防范和打击洗钱及其他金融违法犯罪活动。

  16. 9.3.2《指引》的适用范围 • 《指引》的规范主体主要是银行及接受其电子支付服务的客户。 • 根据参与主体的不同,电子支付分为 • 发生在银行之间的电子支付 • 银行与其客户间的电子支付 • 其他支付服务组织与其客户之间的电子支付。 • 《指引》以调整银行和客户之间的关系为主线,引导和规范境内发生的银行为客户提供的电子支付业务。

  17. 9.3.3《指引》对电子支付活动中客户和银行权利义务的基本规定9.3.3《指引》对电子支付活动中客户和银行权利义务的基本规定 • 《指引》明确要求 • 客户申请电子支付业务,必须与银行签订相关协议;客户应按照其与发起行的协议规定,发起电子支付指令。 • 银行有权要求客户提供其身份证明资料;有义务向客户披露有关电子支付业务的初始信息并妥善保管客户资料。 • 要求发起行建立必要的安全程序,对客户身份和电子支付指令进行确认,并形成日志文件等记录;要求银行按照协议规定及时发送、接收和执行电子支付指令,并回复确认。

  18. 9.3.4《指引》对电子支付和信息安全的要求 • 《指引》要求银行采用符合有关规定的信息安全标准、技术标准、业务标准; • 建立针对电子支付业务的管理制度,采取适当的内部制约机制; • 保证电子支付业务处理系统的安全性,以及数据信息资料的完整性、可靠性、安全性、不可抵赖性; • 提倡使用第三方认证,并应妥善保管密码、密钥等认证数据; • 明确银行对客户的责任不因相关业务的外包关系而转移,并应与开展电子支付业务相关的专业化服务机构签订协议,并确立综合性、持续性的程序,以管理其外包关系; • 同时还要求银行具有一定的业务容量、业务连续性、应急计划等。 • 根据审慎性原则,针对不同客户,在电子支付类型、单笔支付金额和每日累计支付金额等方面做出合理限制。

  19. 本章小结 • 针对电子支付本身的情况,专门对电子支付安全的技术保障、技术保障和法律保障进行了分析。 • 在技术保障工作中,需要对电子银行的安全评估给予高度重视。需要对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。 • 在管理保障工作中,要加强申请与变更管理、风险管理、数据交换转移管理和业务监督管理。 • 在法律保障中,要明确电子支付活动中客户和银行的权利义务,落实中国人民银行《电子支付指引(第一号)》关于安全标准、管理制度、操作规范的要求。

More Related