网络金融安全课件

1、,单击此处添加标题,TEXT,网络金融安全与个人,一.网络金融安全概述 二.网络金融安全技术 三.网络金融重要安全事件,Security,一.网络金融安全概述,网络金融安全包括网络安全，数据安全，应用系统安全，通俗来讲，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改和泄漏。,1.网络金融用户分类：,(1) 个人用户 (2) 企业用户,2.网络金融主要活动：,(1)网络银行 包括账户查询，电子支付，代收代缴，理财等等。,(2)网络证券 包括股票交易、债券交易 (3)网络保险 咨询、评估、购买、理赔,3.网络金融用户面临的问题,资金安全性 信息保密性 协

2、议有效性,4.网络金融活动中的密码安全措施,(1)软键盘技术 主在是防止计算机中可能存在的木马程序恶意记录键盘输入的密码。,(2)动态口令可以有效保护交易和登录的认证安全，采用动态口令无需定期密码，对企事业内部应用尤其有用。 动态令牌即是用来生成动态口令终端。,(3)USB key 对于银行来讲叫U盾。对于其他行业讲叫加密狗。将客户端登录时所需的认证信息均可写入到usb key内，从而让 key取代传统的“用户名+密码”的登录方式。,二.网络金融安全技术,网络金融安全安全技术包括防火墙技术，入侵检测技术IDS，网络加密安全协议SSL和SET等，这些技术随着网络的发展也在不断进步。,单击此处添加

3、标题,TEXT,防火墙和入侵检测系统IDS,1.防火墙,(1) 定义 (2) 特性 (3) 设计原则 (4) 作用,(5) 组成,内联网,Email处理 域名服务 网关代理认证SOCKS 过滤器,因特网,安全操作系统,(6) 分类,数据包过滤 应用级网关 代理服务,2.入侵检测系统IDS,(1) 定义 (2) 分类：,基于主机模型 基于网络模型 基于标识 基于异常情况 实时入侵检测 事后入侵检测,缺点： IDS对数据的检测 对IDS自身攻击的防护,单击此处添加标题,TEXT,网络安全加密协议SSL和SET,1.SSL协议,全称是Security Socket Layer，为Netscape所研

4、发，用以保障在Internet上数据传输的安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。,(1)SSL协议提供的主要服务:,认证用户和服务器，确保数据发送到正确的客户机和服务器,加密数据以防止数据中途被窃取,维护数据的完整性，确保数据在传输过程中不被改变,(2)基于SSL的电子交易过程:,持卡人,特约商店,收单银行,，选购商品生成订单,认证商家建立连接,发送订单支付信息,通知交易成功,请求响应支付,2.SET协议,Secure Electronic Transaction，被称之为安全电子交易协议，是由Master Card和Visa联合Net

5、scape，Microsoft等公司，于1997年6月1日推出的一种新的电子支付模型，主要是为了解决用户，商家，银行之间通过信用卡的交易而设计的，目前成为目前公认的信用卡网上交易的国际标准。,基于SET的电子交易过程:,持卡人,特约商户,收单银行,订单确认,确认签发付款指令,订单支付确认,提供货物或服务,输入订单,请求支付许可,返回确认信息,请求支付,支付完成,3.SET与SSL协议交易过程对比:,三.网络金融重要安全事件,随着我国网络经济的迅速发展，一些安全事件频频发生，折射出我国网络金融发展过程中所面对的巨大挑战。,超级网银授权漏洞,2013年6月，“超级网银”授权漏洞风波爆发，安徽的陈女

6、士在网购时被骗子诱导进行了“超级网银”授权支付操作，短短24 秒内 10 万元被骗。,陈女士,店家,厂家,200元衣服,QQ号,代付链接,订货,支付货款,“QQ客服”,链接,签约授权,陈女士并未泄露密码，骗子如何得逞？,那么，问题来了：,骗子登陆本人网银账户,选择“签约他行账户”,陈女士户名、账号、开户行信息,跳转到陈女士开户行的网银界面,陈女士,链接,证件号码、登陆密码、附加码,插入U盾,确认支付协议 完成交易,取得账户操作权包括转账,“超级网银”的授权操作存在的安全风险,第一，“超级网银”授权不会对双方身份和关系进行验证,第二，授权操作的过程比较简单，只需将授权页面的链接复制下来，通过聊天软件发送给他人“签约”，就可以在不同电脑上实现授权。,第三，部分银行没有在授权界面中提醒