网支付与安全.pdf

网上支付与安全网上支付与安全 1.1.网上支付网上支付 网上支付（网络支付） ：指通过互联网实现的用户和商户、商户和商户之间在线货币支付、资金清算、查询统计等过程。 网上支付完成了使用者信息传递和资金转移的过程。 广义的网上支付包括直接使用网上银行进行的支付和通过第三方支付平台间接使用网上银行进行的支付。 狭义的网上支付仅包括通过第三方支付平台实现的支付。 2.2.网络支付系统的基本构成网络支付系统的基本构成 网络支付系统构成要素：客户、商家、客户开户行、商家开户行、支付网关、金融专用网络、CA 认证中心。 4.电子支付常见的网络平台有 PSTN，公用数据网，专用数据网，EDI 专用网以及 Internet 等。 目前，网络支付的支撑平台主要有两类：一类是传统成熟的 EDI 专用网络支付平台，另一类是大众化网络平台。 5.网络支付的基本系统模式基本系统模式: 类支票电子货币支付系统模式、类现金电子货币支付系统模式 6.网络支付方式的分类分类 按开展电子商务的实体性质分类： （1）B to C 型网络支付方式、B to B 型网络支付方式 按支付数据流的内容性质分类：指令传递型网络支付方式、电子现金传递型网络支付 按网络支付金额的规模分类：微支付、消费者级网络支付（5-1000） 、 （3）商业级网络支付（1000） 7.电子货币的特征特征 形式方面的特征：传统货币形式单一,电子货币形式不断变化 技术方面的特征：电子货币采用安全对策,防止其发行、流通、回收过程中伪造。 结算方面的特征：预付型结算、即付型结算、后付型计算 流通规律的特征：电子货币有的只允许一次换手，即只能使用一次支付就得返回发行者流通形式，如电子支票；也有多次换 手，如电子现金。 电子化方法的特征： 可分为支付手段的电子化和支付方法的电子化 8.电子货币的分类分类 9. 11.支付系统支付系统是指联系客户、商行和央行的系统。分为支付服务系统和支付资金清算系统。 12.支付系统分类：同城支付系统、异地支付系统、我国的支付资金清算系统 同城支付系统同城支付系统 自动化清算所：以处理支票为主体的自动化票据交换算，并按规定时间轧差结算资金（小额） 跨行财务系统：处理借记、贷记电子支付（小额） 大额实时支付系统：处理贷记支付的大额实时资金划拨系统 ATM/POS 授权系统（早期的电子化支付系统） 异地支付系统异地支付系统 小额批量支付系统、大额实时支付系统、ATM/POS 授权系统、证券簿记系统、国际支付 我国的支付系统我国的支付系统 两层结构的银行体制 中国人民银行（作为中央银行） 、四大国有商业银行、股份制商业银行、合作银行、政策性银行以及外国银行的分行和 代表处 商业银行的每一家分支机构在当地人民银行分支机构开设储备金账户、备付金账户、贷款账户等三种账户 （1）储备金账户 目前，法定储备要求为吸收存款的 11%，是封存资金，不得用于支付清算 （2）备付金账户 备付金账户用于支付清算和结算、商业银行的缴存款。目标是吸收存款的 5%-7%。目前，备付金是指商业银行存在 中央银行的，超过存款准备金的那部分存款，一般称为超额准备金。 12.支付宝支付宝的支付方式支付方式有哪些？ 13.制定网络支付安全策略的目的目的 保障相关支付结算信息的机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏； 能够有序地、经常地鉴别和测试安全状态；能够对可能的风险做基本评估；系统的安全被破坏后的恢复工作。 14.14.14.14.防火墙的定义防火墙的定义 防火墙(Firewall)，是一种由计算机软件和硬件组成的隔离系统设备，用于在 Intranet 和 Internet 之间构筑一道防护屏障，能按 设置的条件进行区分，实现内外有别。其主要目标是保护 Intranet 中的信息、资源等不受来自 Internet 中非法用户的侵犯， 它 控制 Intranet 与 Internet 之间的所有数据流量。 15.防火墙的类型类型 包过滤式防火墙、应用级网关（应用防火墙） 、状态监测防火墙 16.防火墙的优缺点优缺点 缺点 1.限制了一些有用的网络服务的使用，降低了网络性能 2.只能限制内部用户对外的访问，无法防护来自内部网络用户 的攻击 3.不能完全防止传送感染病毒的软件或文件，特别是一些数据驱动型的攻击数据 4.被动防守，不能防备新的网络安全问题 优点 1.遏制来自 Internet 各种路线的攻击 2.借助网络服务选择，保护网络中脆弱的易受攻击的服务 3.监视整个网络的安全性，具有实时报警提醒功能 4.作为部署 NAT的逻辑地址 5.增强内部网中资源的保密性，强化私有权 18.数据加密数据加密 DES（对称） ，RSA（非对称） ，RSA 商业密钥长度一般为 1024b，数字证书包含公开密钥。 19.19.19.19.CACACACA的功能的功能 1.生成密钥对及 CA 证书 2.验证申请人身份 3.颁发数字证书 4.证书以及持有者身份认证查询 5.吊销证书 6.证书管理与更新 7.制定相关政策 8.有能力保护数字证书服务器的安全 20.SETSETSETSET 协议和协议和 SSLSSLSSLSSL协议的主要不同是什么？协议的主要不同是什么？ SSL协议中文名字是：安全套接层协议。他提供在 internet 上的安全通信服务，也是目前包括网络支付在内的电子商务业务 中官方应用的安全通信协议。 SET 协议中文名是：安全电子交易协议。他是为使银行卡在 Internet 上安全地进行交易提出的一整套完整的安全解决方案。 SSL和 SET 两者的不同之处主要有以下几点： 网络层次不同：网络层次不同：SSL 是基于传输层的协议，而 SET 则是基于应用层的协议。 主要针对对象不同：主要针对对象不同：SSL 协议支持较多的网络支付手段，如网银服务等，而 SET 协议主要是针对信用卡服务的。 绑定证书方式不同：绑定证书方式不同：SSL 协议中，证书是发给浏览器软件的，而 SET 则是将数字证书与客户的信用卡绑定在一起。 签名方式：签名方式：SSL 协议签名后，在网络交易信息经过商家中转时，商家有时可以看到客户的信用卡账号等信息，在一定程度上 增加了信用卡的不安全性。而 SET 协议采用双重签名方法，保证商家看不到持卡人传送给网关的信息，而且银行也看不到商 户的需求商品信息，保护了客户的隐私权。 实际应用问题实际应用问题 市场上， 已经有了 SSL 相关产品和工具， 而有关 SET 的相关产品较少， SSL已被大部分 WEB 浏览器和 WEB 服务器所内置， 因而已被接受，应用比较简单，应用过程十分透明。而 SET 要求在银行建立支付网关，在商家的 WEB 服务器上安装服务器 端软件，在客户的计算机上安装客户端（电子钱包）软件等，而且 SET 还必须向交易的各方发放数字证书，比较麻烦，成 本也较高。 21.21.21.21.SSL 协议由两层组成，分别是握手协议层握手协议层和记录协议层记录协议层 22.SSL 协议用到了对称密钥加密法、 公开密钥加密法、 数字签名和数字证书等安全保障手段。 SET 协议采用数字证书的方法。 24.在通过信用卡在网上进行交易时，要使用到数据机密性技术（保证用户的支付信息在传输的途中不被窃取） 、数据完整性 技术（保证支付信息完整传输，不被篡改） 、数据摘要技术（保证支付信息在传输时不被伪造等） 、数字证书（用于核实用户 信息。 ） 25.中国第一张银行卡：中国银行 26.电子现金的电子现金的属性属性：货币价值、可分性、可交换性、不可重复性、可存储性 27.电子钱包的组成体系组成体系：Visa Cash, Mondex, Proton，Clip。 28.电子钱包网络支付的特点网络支付的特点：个人资料管理与应用方便；客户可用多张信用卡；使用多个电子钱包；购物记录的保存与查询 多台电脑使用同一套电子钱包，共用同一张数字证书；较强的安全性；快速、高效 29.智能卡在线支付在线支付指通过网络和银行连接,离线支付离线支付指通过读卡器的读/写功能完成支付结算。 30.个人网络银行分为大众版大众版和专业版专业版 31.熟悉网上购物流程。 32.电子支票的属性电子支票的属性：货币价值、价值可控性、可交换性、不可重复性、可存储性、安全、方便 33.电子支票簿的功能电子支票簿的功能：密钥生成、签名和背书、存取控制 34电子汇兑系统的类型：按照作业性质的不同分为：通信系统、资金调拨系统、清算系统 35.SP 负责范围RP 38.网络银行的特征 以客户为中心,以技术为基础,体现品牌独特性 业务信息管理的控制能力要求高,集成性强,追求信息管理和知识管理 需要良好的社会基础设施与客户的网络应用意识的支持 无需物理银行分支机构,人员少，运作费用低，体现绿色银行理念 强调信息共享与团队精神 跨区域 24 小时服务 39. . . .网络银行的分类网络银行的分类 按主要服务对象分类：企业网络银行、个人网络银行 按组成架构分类：纯网络银行、以传统银行拓展网络业务为基础的网络银行 40.大银行的网络银行发展模式：收购现有的纯网络银行作为自己的分支、成立与发展自己的网络银行 社区银行的网络银行发展模式 纯网络银行的发展模式： 全方位发展模式、特色化发展模式 41.网络银行中心是网络银行顺利运作的核心，其架构一般由 Web 服务器、应用服务器、数据库服务器（DB） 、 防火墙及内部管理和业务操作工作台组成。 企业网络银行支付方式 42.网络银行与传统银行的比较 网络银行的优势优势 1.实现了无纸化网络化运作，大幅提高了服务的准确性和时效性 2.通过 Internet 提供内容更加丰富的高质量金融服务 3.网络银行打破地域与时间的限制，实现银行机构虚拟化，优化传统金融机构的结构和运行模式 4.降低了银行的金融服务成本，简化了银行系统的维护升级 5.拓展银行的金融服务领域 6.辅助企业强化金融管