项目二 网上支付的安全使用.ppt

项目二网上支付的安全使用 项目介绍 了解网上支付的安全风险与需求分析 任务二 任务三 任务四 网上支付的安全管理 了解网上支付的相关安全技术 网上支付的SSL与SET协议机制 网上支付的安全使用 任务一 应知目标了解网上支付面临的安全问题与安全需求了解并掌握网络支付的安全策略及解决方法了解并掌握网上支付的安全技术 防火墙技术 数字机密技术 数字摘要技术 数字签名技术 数字时间戳的工作机理了解数字证书的基本概念与CA中心的功能了解并掌握SSL和SET安全协议的基本原理与工作程序 应会目标能够识别网上支付安全风险掌握网上支付数字证书的申请 安装与使用能够掌握网上支付的安全使用方法 任务一了解网上支付的安全风险与需求分析 知识点 能力点了解网上支付面临的安全风险了解网上支付的安全需求 任务情境2005年2月份发现的一种骗取美邦银行 SmithBarney 用户的账号和密码的 网络钓鱼 电子邮件 该邮件利用了IE的图片映射地址欺骗漏洞 并精心设计脚本程序 用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏 使用户无法看到此网站的真实地址 当用户使用未打补丁的Outlook打开此邮件时 状态栏显示的链接是虚假的 当用户点击链接时 实际连接的是钓鱼网站 国内曾网上传得沸沸扬扬的 光大证券网银木马 newup exe 病毒着实让大家紧张了一把 甚至某些媒体做出 多款证券交易软件捆绑网银木马程序 这样的报道 面对诸多网上偷盗事件 网上支付中的安全威胁有哪些 我们该如何识别与预防网上支付时出现各种安全风险呢 本任务将对网上支付的安全风险的识别与防范方法进行一个全面的认识与学习 任务分析在网上支付与结算中 资金支付结算体系问题是电子商务中主要的安全隐患发生点 基于Internet平台的电子商务必然涉及客户 商家 银行及相关管理认证部门等多方机构 以及它们之间可能的资金划拨 使得客户和商家必须充分考虑支付体系是否安全 因此 保证安全是推广应用网上支付与结算方式的根本基础 本学习任务中 我们将了解网上支付面临的安全风险与网上支付的安全需求 任务实施一 了解网上支付面临的安全风险1 互联网环境的安全隐患2 黑客对网上支付的主要攻击方式 1 钓鱼网站和服务器攻击 2 键盘记录 3 嵌入浏览器执行 4 屏幕 录像 5 窃取数字证书文件 6 伪装窗口3 信息安全风险 二 网上支付的安全需求1 保证网络上资金流数据的保密性2 保证相关网络支付信息的完整性3 保证网络上资金结算双方身份的真实性4 保证网络上有关资金的支付结算行为发生的事实及发生内容的不可抵赖性5 保证网上支付系统运行的稳定可靠 快捷 任务完成结论通过本任务的学习 使大家了解网上支付面临的安全风险 并结合目前电子商务的开展状况与需求 分析了电子商务实体各方对网上支付的安全需求 课堂训练与测评结合身边网上支付实例或所了解的案例 分析目前常出现的网上支付安全问题与特点 任务二网上支付的安全管理 知识点 能力点了解网上支付安全衡量指标了解制订网上支付的安全管理策略的原则了解并掌握网上支付的安全管理措施 任务情境实时在线的网上支付行为对网上支付系统的性能要求很高 网上支付的支撑网络需有较好的安全防护能力 如防火墙系统的配置 网络通道速度的检测 管理机制的制定与确立等 随着网上支付的快速发展 很多内部 外部的风险管理问题开始显现 内部控制无效 客户资金保管不善 交易对手风险无法防范 以及 违反法律法规 等因素 都有可能引发网上支付的重大风险事件 阻碍网上支付持续健康发展 因此面对网上支付面临的安全风险的威胁 除了不断完善系统的安全技术外 还必须花大力气加强网上支付的安全管理 因为诸多的不安全因素恰恰反映在组织管理和人员管理等方面 例如客户随意放置自己的信用卡号码与密码 纵使银行应用最尖端的加密技术 又有什么用呢 因此光有高尖的技术手段是不够的 还需要建立良好的管理机制 这样的安全机制才是有效的 任务分析安全管理是网上支付系统安全所必须考虑的基本问题 所以应引起重视 本学习任务 我们将了解网上支付的安全衡量指标 制订网上支付安全管理策略原则 并且我们将分别从金融机构和客户的角度来了解网上支付安全体系建立的安全管理对策 任务实施一 网上支付安全衡量指标1 技术手段2 管理方面 二 制订网上支付安全管理策略的基本原则1 预防为主2 实际安全需求分析3 多人负责原则4 任期有限原则5 职责分离原则 三 网上支付安全管理的措施1 金融机构的安全管理措施2 客户的自我安全保护措施 任务完成结论网上支付的安全保障仅仅依靠高尖的技术手段是不够的 还需要建立良好的管理机制 这样的安全机制才是有效的 通过本学习的任务 我们对网上支付的安全衡量指标 制订网上支付安全管理策略原则 以及金融机构和客户的网上支付的安全管理对策有了一个全面的认识 课堂训练与测评分析一个实际开展电子商务的企业 如Dell公司 海尔商城 淘宝网站等保证网上支付的安全管理策略 任务三了解网上支付的相关安全技术 知识点 能力点了解并掌握访问控制技术的原理与应用了解并掌握数据机密技术的原理与应用了解并掌握数据抗抵赖技术的原理与应用了解并掌握身份认证技术的原理与应用能够熟练使用网上支付中安全技术工具 任务情境艾瑞市场咨询分析认为 安全性一直是非常困扰广大网民使用网上银行服务的一个问题 最近出现的因使用支付工具等发生的洗钱 盗窃等案件 一直让人心有余悸 由于对网上支付安全性的担忧 有80 9 的网民希望网上支付服务安全更有保障 支付安全是支付企业的生命线 是支付行业的发展瓶颈 是广大网民最最关心的问题 工欲善其事 必先利其器 网络信息安全的先进安全技术是网上支付平台的安全性保障 基于此 支付行业尤其是支付企业对网上支付的安全问题也做出了不懈的努力 同时有些风险防范技术措施是大多数网民在使用 只是没有意识到它的存在和价值 那可以采用哪些网络安全技术来防范网上支付的安全风险 本任务我们将对网上支付的安全技术进行一个全面的了解与学习 任务分析安全技术是信息网络技术中较为尖端的技术 只要运用得当 配合相应的安全管理措施 基本能保证电子商务中的网上支付的安全 应用了这些安全技术的网上支付是非常安全的 并随着信息网络安全技术的进步与信用机制的完善 网上支付与结算一定会越来越安全 因此我们必须对网上支付的安全技术有一个全面的认识 本任务我们将学习保证网上支付平台安全的防火墙技术 保证数据机密性的私有 公开密钥加密技术 保证数据完整性的数字摘要与数字签名技术 能在Internet上有效认证网上支付双方真实身份 安全有效传递公开密钥的数字证书的等安全保障技术及其安全协议的基本知识 任务实施一 访问控制技术与应用1 防火墙技术 1 防火墙的定义 2 防火墙的功能 3 防火墙的种类2 基于角色的访问控制技术 二 数据机密性技术1 对称密钥加密法 1 对称密钥加密法的定义与应用原理 2 对称密钥加密法的常用算法 DES IDEA AES以及RC4 RC5等算法 3 对称密钥加密法的优缺点2 非对称密钥加密法 1 非对称密钥加密法的定义与应用原理 2 非称密钥加密法的常用算法 RSA算法 ECC算法 DSA算法 3 非称密钥加密法的优缺点 三 抗抵赖技术1 数字摘要 1 数字摘要 DigitalDigest 的定义 2 数字摘要的应用原理 3 常用的Hash算法 MD4 MD5 SHA1等2 数字签名技术 1 数字签名的定义 DigitalSignature 2 数字签名的应用原理3 数字时间戳 DTS DigitalTime Stamp 四 身份认证技术1 动态密码技术 1 动态口令卡 2 动态口令系统2 预留信息验证技术3 数字证书 DigitalCertificate或DigitalID 1 数字证书的基本概念 2 数字证书的内容 3 数字证书的分类 4 认证机构 CertificateAuthority CA 5 数字证书的申请 五 资源控制技术网上支付系统的资源控制技术典型包括 链路负载均衡技术和应用负载均衡技术 六 入侵防范技术入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术 入侵检测技术能够帮助系统对付网络攻击 扩展了系统管理员的安全管理能力 包括安全审计 监视 攻击识别和响应 提高了信息安全基础结构的完整性 七 网上支付与安全操作实例1 浏览器的安全设置2 安装根证书3 申请证书4 保存密钥和证书5 发送签名和加密邮件6 对控件进行签名 任务完成结论本任务我们对网上支付的安全技术进行一个全面的了解与学习 应用以上先进的安全技术的网上支付是非常安全的 但不是100 的绝对安全 而是相对安全 随着信息网络技术的进步与信用机制的完善 网上支付与结算一定会越来越安全 课堂训练与测评 1 登录掌握数字证书的申请流程与数字证书导入与导出的具体操作 并会利用数字证书的密钥对代码进行签名 要求操作方法正确 2 分析一个实际开展电子商务的企业 如Dell公司 海尔商城 淘宝网站等保证网上支付的安全技术策略 任务四网上支付的SSL与SET协议机制 知识点 能力点了解网上支付的SSL与SET协议机制的原理能够理解SSL协议与SET协议参与方 应用系统框架 特点能够描述SSL与SET协议下的网络支付的流程 并能够对两者之间进行分析比较 任务情境上个任务主要介绍了为保证安全的网上支付而应用的各种安全技术 如何将电子商务网上支付的各参与方与这些先进的信息网络安全技术充分地结合起来 来保证安全 有序 快捷地完成网上支付流程 需要一个协议来规范各方的行为与各种技术的运用 这个协议就是安全的网上交易协议 电子商务的安全标准协议正在走向成熟 并逐渐形成了一些国际规范 目前国际上比较有代表的是SSL与SET两种安全交易协议机制 任务分析电子商务的安全不仅需要每一个交易个体采用相应的安全技术和对策 它还需要一套广大交易参与者都遵守的安全规则 即电子商务中的常用安全标准协议 本任务我们就来了解SSL与SET两种安全交易协议机制的原理与交易流程 任务实施一 安全套接层协议SSL SecureSocketsLayerProtocol 1 SSL协议简介2 SSL协议的特点3 建立SSL安全连接的过程 二 安全电子交易协议SET SecureElectronicTransaction 1 SET协议简介2 SET协议的目标 机密性 保护隐私 多方认证性 标准性3 SET协议的参与方 持卡客户 CardHolder 商家 Merchant 发卡银行 IssuingBank 收单银行 AcquiringBank 支付网关 PaymentGateway 认证中心 CertificateAuthority 4 SET协议的工作流程5 SET协议的特点 三 SET协议和SSL协议的比较SSL与SET都采用公开密钥加密法 私有密钥加密法 数字摘要等加密技术与数字证书等认证手段 在支持技术上 可以说两者是一致的 对信息传输的机密性来说 两者的功能是相同的 且都能保证信息在传输过程中的保密性与完整性 但SSL与SET两种协议在网络中层次不一样 SSL是基于传输层的协议 而SET则是基于应用层的协议 SSL在建立双方的安全通信通道之后 所有传输的信息都被加密 而SET则会有选择地加密一部分敏感信息 SET系统给银行 商家 持卡客户带来了更多 使他们在进行网上交易时更加放心 但实现复杂 成本较高 而SSL则相应地简单快捷