網(wǎng)絡(luò)安全導(dǎo)論 課件 第16、17章 安全電子支付、網(wǎng)絡(luò)安全管理

2024/6/1第十六章

安全電子支付

$1電子貨幣與電子支付$2銀行卡支付與set協(xié)議$3電子現(xiàn)金與數(shù)字人民幣討論議題$1電子貨幣與電子支付$1電子貨幣與電子支付信用卡可以透支消費(fèi)，借記卡沒有透支功能$1電子貨幣與電子支付電子貨幣是以金融電子化網(wǎng)絡(luò)為基礎(chǔ)，以電子計(jì)算機(jī)技術(shù)和通信技術(shù)為手段，以電子數(shù)據(jù)（二進(jìn)制數(shù)據(jù)）形式存儲(chǔ)在銀行的計(jì)算機(jī)系統(tǒng)中，并通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)以電子信息傳遞形式實(shí)現(xiàn)流通和支付功能的貨幣$1電子貨幣與電子支付電子貨幣是指以電子信息傳遞形式實(shí)現(xiàn)流通和支付功能的貨幣。目前，我國(guó)流行的電子貨幣主要有4種類型：（1）儲(chǔ)值卡型電子貨幣。一般以IC卡形式出現(xiàn)，其發(fā)行主體除了商業(yè)銀行之外，還有電信部門的電話卡、商業(yè)零售企業(yè)各類消費(fèi)卡和學(xué)校校園IC卡等。（2）信用卡應(yīng)用型電子貨幣。指商業(yè)銀行、信用卡公司等發(fā)行主體發(fā)行的貸記卡或準(zhǔn)貸記卡。（3）存款利用型電子貨幣。主要有借記卡、電子支票等，用于對(duì)銀行存款以電子化方式支取現(xiàn)金、轉(zhuǎn)賬結(jié)算、劃撥資金。（4）現(xiàn)金模擬型電子貨幣。主要有兩種：一種是基于互聯(lián)網(wǎng)絡(luò)環(huán)境使用的且將代表貨幣價(jià)值的二進(jìn)制數(shù)據(jù)保管在用戶端的電子現(xiàn)金；一種是將貨幣價(jià)值保存在IC卡內(nèi)并可脫離銀行支付系統(tǒng)流通的電子錢包。$1電子貨幣與電子支付

國(guó)家打擊虛擬貨幣

虛擬貨幣是指非真實(shí)的貨幣。比特幣，以太坊，萊特幣等都是比較著名的虛擬貨幣。比特幣是一種建立在P2P網(wǎng)絡(luò)之上虛擬貨幣。與大多數(shù)貨幣不同，比特幣不依靠特定貨幣機(jī)構(gòu)發(fā)行，它依據(jù)特定算法，通過大量的計(jì)算產(chǎn)生，并使用密碼學(xué)的設(shè)計(jì)來確保其流通各個(gè)環(huán)節(jié)安全性。比特幣總數(shù)量非常有限，具有稀缺性。比特幣保證了流通交易的匿名性，但在其產(chǎn)生和交易計(jì)算中，會(huì)消耗大量的電力能源和算力。$1電子貨幣與電子支付電子支付電子支付是指單位、個(gè)人直接或授權(quán)他人通過電子終端發(fā)出支付指令，實(shí)現(xiàn)貨幣支付與資金轉(zhuǎn)移的行為。$1電子貨幣與電子支付電子支付按運(yùn)營(yíng)主體劃分的電子支付主要可以歸納為三種方式：銀行電子支付、第三方支付平臺(tái)、以運(yùn)營(yíng)商為主體的電子支付。$1電子貨幣與電子支付第三方電子支付交易流程$1電子貨幣與電子支付$1電子貨幣與電子支付安全電子商務(wù)環(huán)境建設(shè)安全的電子商務(wù)環(huán)境是開展電子商務(wù)的前提，支付安全是樹立和維護(hù)客戶對(duì)電子商務(wù)信心的關(guān)鍵。安全電子商務(wù)環(huán)境建設(shè)包括網(wǎng)絡(luò)誠(chéng)信體系建設(shè)、建立安全的支付系統(tǒng)和公正、及時(shí)、爭(zhēng)端解決和糾錯(cuò)機(jī)制以及保護(hù)隱私等多方面內(nèi)容。$1電子貨幣與電子支付安全支付的新技術(shù)層出不窮行為序列技術(shù)能夠?qū)τ脩糍?gòu)物行為、地址位置信息、過往訂單信息、信用卡交易詳情等信息進(jìn)行實(shí)時(shí)監(jiān)測(cè)，形成多維度用戶畫像，能夠?qū)Ξ惓Ｙ?gòu)買行為進(jìn)行預(yù)警。生物探針技術(shù)能夠根據(jù)用戶使用APP的按壓力度、手指觸面、滑屏速度等120多個(gè)指標(biāo)，判斷用戶的使用習(xí)慣，檢測(cè)購(gòu)物中的異常使用情況。關(guān)系圖譜技術(shù)通過記錄用戶節(jié)點(diǎn)信息，以及所有在這些節(jié)點(diǎn)上發(fā)生行為的相關(guān)行為的連接，最終把與之相關(guān)的一系列用戶和行為都描述出來。關(guān)系圖譜技術(shù)能夠通過用戶關(guān)系估算用戶信用，能夠發(fā)現(xiàn)用戶對(duì)所購(gòu)買商品的需求程度，因而也可觸發(fā)預(yù)警。$1電子貨幣與電子支付安全問題依然存在目前支付領(lǐng)域最大的安全問題是用戶隱私泄露問題：SSL協(xié)議是保護(hù)用戶通信安全的協(xié)議，第三方支付平臺(tái)在安全接收到用戶的購(gòu)物信息后，對(duì)用戶的隱私信息保護(hù)不力甚至非法利用。$2銀行卡支付與set協(xié)議$2銀行卡支付與set協(xié)議一、銀行卡支付的參與方二、網(wǎng)上銀行卡支付方案的安全性要求確保持卡人的身份合法。確保持卡人能夠核實(shí)商家的身份合法。要求對(duì)支付信息和訂單信息保密：應(yīng)該能夠向持卡人確保參與者僅能訪問自己應(yīng)該獲得的信息，無關(guān)人員不能獲知支付和訂單信息。確保傳送數(shù)據(jù)的完整性：數(shù)據(jù)在傳送過程中沒有被改變不依賴于傳輸層安全機(jī)制，也不妨礙傳輸層安全機(jī)制的使用。獨(dú)立于平臺(tái)，互操作能力強(qiáng)。$2銀行卡支付與set協(xié)議三、基于SSL協(xié)議的網(wǎng)絡(luò)銀行卡支付方案SSL協(xié)議工作在傳輸層，能實(shí)現(xiàn)兩臺(tái)機(jī)器間的安全連接。實(shí)際上，

SSL安全協(xié)議是國(guó)際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議，它運(yùn)行的基本點(diǎn)是商家對(duì)客戶信息保密的承諾，如全球最大的網(wǎng)上書店—亞馬遜（Amazon），它在給用戶的購(gòu)買說明中明確表示：“當(dāng)你在亞馬遜公司購(gòu)書時(shí)，受到‘亞馬遜公司安全購(gòu)買保證’保護(hù)，所以，你永遠(yuǎn)不用為你的信用卡安全擔(dān)心”。$2銀行卡支付與set協(xié)議基于SSL的銀行卡支付過程SSL安全協(xié)議利于了商家卻不利于客戶，客戶的信息首先被傳到商家，商家閱讀后再傳到銀行，這樣，客戶資料的安全性就受到了威脅。商家認(rèn)證客戶是必要的，但整個(gè)過程中缺少了客戶對(duì)商家的認(rèn)證。$2銀行卡支付與set協(xié)議四、基于SET協(xié)議的網(wǎng)絡(luò)銀行卡支付方案安全電子交易SET（SecureElectronicTransaction）協(xié)議是維薩（VISA）、萬事達(dá)（MasterCard）等國(guó)際組織創(chuàng)建的安全電子交易國(guó)際標(biāo)準(zhǔn)，其主要目的是解決信用卡電子付款的安全問題。SET協(xié)議提供如下三種安全服務(wù)：與所有參與者提供安全的通信信道。使用X.509V3數(shù)字證書為各方提供信任支持。保護(hù)隱私：執(zhí)行SET協(xié)議的相關(guān)參與者僅能知道自己應(yīng)該知道的信息，例如，商家僅能知道訂單信息而不知道客戶的銀行卡信息，銀行僅知道客戶的銀行卡信息而不知道客戶的訂單信息。$2銀行卡支付與set協(xié)議SET-SecureElectronicTransactionsAnopenencryptionandsecurityspecification.ProtectcreditcardtransactionontheInternet.Companiesinvolved:MasterCard,Visa,IBM,Microsoft,Netscape,RSA,TerisaandVerisignNotapaymentsystem.Setofsecurityprotocolsandformats.SETServicesProvidesasecurecommunicationchannelinatransaction.ProvidestrustbytheuseofX.509v3digitalcertificates.Ensuresprivacy.SETOverviewKeyFeaturesofSET:ConfidentialityofinformationIntegrityofdataCardholderaccountauthenticationMerchantauthenticationSETParticipantsSequenceofeventsfortransactionsThecustomeropensanaccount.Thecustomerreceivesacertificate.Merchantshavetheirowncertificates.Thecustomerplacesanorder.Themerchantisverified.Theorderandpaymentaresent.Themerchantrequestpaymentauthorization.Themerchantconfirmtheorder.Themerchantprovidesthegoodsorservice.Themerchantrequestspayments.DualSignatureDS=EKRC[H(H(PI)||H(OI))]SET交易類型PaymentprocessingPaymentprocessingPaymentAuthorization:AuthorizationRequestAuthorizationResponsePaymentCapture:CaptureRequestCaptureResponse雙簽名是SET協(xié)議的創(chuàng)新亮點(diǎn)。通過雙簽名的實(shí)施，協(xié)議達(dá)到了下述效果：商家收到了訂單信息OI并能夠驗(yàn)證客戶的簽名。銀行收到了支付信息PI并能夠驗(yàn)證客戶的簽名?？蛻裟軌虬讯▎涡畔I和支付信息PI綁定在一起并能夠證明這個(gè)綁定。例如，在一筆交易中，假設(shè)商家想把定單OI替換成另外一張訂單

，那么

的hash值必須要和OI的hash值OIMD相同，這是不可能的。$2銀行卡支付與set協(xié)議$3電子現(xiàn)金與數(shù)字人民幣電子現(xiàn)金（E-Cash）又稱為數(shù)字現(xiàn)金，是一種表示現(xiàn)金的加密序列數(shù)，它可以用來表示現(xiàn)實(shí)中各種金額的幣值。在購(gòu)買個(gè)人用品等一些場(chǎng)合，消費(fèi)者是不愿意讓人知道個(gè)人的生活習(xí)慣的?；阢y行卡和電子支票的支付協(xié)議，如SET協(xié)議、iKP協(xié)議等，在進(jìn)行支付時(shí)要互相出示個(gè)人身份.$3電子現(xiàn)金與數(shù)字人民幣在設(shè)計(jì)一個(gè)電子現(xiàn)金系統(tǒng)時(shí)還要考慮避免以下的可能威脅行為：1.用戶欺騙，如偽造、重復(fù)使用、洗黑錢、綁架他人提取電子現(xiàn)金歸自己所有等。2.發(fā)行銀行欺騙，如惡意跟蹤用戶、陷害用戶、盜用。$3電子現(xiàn)金與數(shù)字人民幣DavidChaum最早提出了利用數(shù)字盲簽名實(shí)現(xiàn)電子現(xiàn)金的思想。目前比較實(shí)用的電子現(xiàn)金系統(tǒng)主要算法是基于RSA的盲簽名算法和Schonnor盲簽名算法，例如，eCash公司利用基于RSA的盲簽名算法開發(fā)了eCash電子現(xiàn)金系統(tǒng)。$3電子現(xiàn)金與數(shù)字人民幣電子支票

電子支票以傳統(tǒng)的紙質(zhì)支票處理系統(tǒng)為基礎(chǔ)，通過利用數(shù)字簽名代替?zhèn)鹘y(tǒng)的手寫簽名，借助互聯(lián)網(wǎng)或其他專用網(wǎng)絡(luò)將錢款從一個(gè)賬戶轉(zhuǎn)移到另一個(gè)賬戶，是最具發(fā)展?jié)摿Φ碾娮又Ц妒侄沃?。與電子現(xiàn)金系統(tǒng)相比，電子支票的優(yōu)點(diǎn)是每次購(gòu)物只需支付一張支票。$3電子現(xiàn)金與數(shù)字人民幣美國(guó)金融服務(wù)技術(shù)聯(lián)盟FSTC提出了一個(gè)電子支票支付系統(tǒng)，它系統(tǒng)地對(duì)電子支票的支付模式、系統(tǒng)安全、系統(tǒng)架構(gòu)等進(jìn)行了研究和探討，能在不同的支付環(huán)境下成功地完成大多數(shù)支付任務(wù)更重要的是這項(xiàng)研究獲得了各大銀行和金融機(jī)構(gòu)的支持被認(rèn)為是最具有發(fā)展?jié)摿Φ碾娮又毕到y(tǒng)之一。$3電子現(xiàn)金與數(shù)字人民幣數(shù)字人民幣經(jīng)國(guó)務(wù)院批準(zhǔn)，人民銀行自2017年底開始數(shù)字人民幣研發(fā)工作。截至2021年6月30日，數(shù)字人民幣試點(diǎn)場(chǎng)景已超132萬個(gè)。$3電子現(xiàn)金與數(shù)字人民幣數(shù)字人民幣的特點(diǎn)：（1）數(shù)字人民幣采取中心化管理、雙層運(yùn)營(yíng)。（2）匿名性（可控匿名）。（3）安全性。（4）可編程性。（5）數(shù)字人民幣的載體是數(shù)字錢包。$3電子現(xiàn)金與數(shù)字人民幣1．使用SSL協(xié)議進(jìn)行支付可能會(huì)存在哪些問題？2．簡(jiǎn)述采用第三方支付可能存在的安全問題。3．閱讀中國(guó)人民銀行《電子支付指引》，談?wù)勀銓?duì)安全電子商務(wù)環(huán)境建設(shè)的理解。4．在基于SET協(xié)議的支付中，商家能否看到銀行卡信息？銀行能否看到訂單信息？5．在基于SET協(xié)議的支付方案中，訂單和支付信息是如何綁定在一起的？6．電子現(xiàn)金有哪些安全性要求？電子現(xiàn)金采用的密碼技術(shù)有哪些？思考題

第十七章網(wǎng)絡(luò)安全管理17.1網(wǎng)絡(luò)安全管理概述 17.2網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn) 17.3網(wǎng)絡(luò)安全管理的關(guān)鍵環(huán)節(jié)17.4網(wǎng)絡(luò)監(jiān)控 計(jì)劃管理的基本職能控制組織領(lǐng)導(dǎo)北京科技大學(xué)經(jīng)濟(jì)管理學(xué)院計(jì)劃定義目標(biāo)制定戰(zhàn)略構(gòu)建具體執(zhí)行計(jì)劃并協(xié)調(diào)行動(dòng)北京科技大學(xué)經(jīng)濟(jì)管理學(xué)院組織

決定要執(zhí)行哪些任務(wù)決定誰來完成，任務(wù)如分配

決定誰向誰匯報(bào)，在哪里制定決策

北京科技大學(xué)經(jīng)濟(jì)管理學(xué)院領(lǐng)導(dǎo)

激勵(lì)員工

指揮行動(dòng)

解決員工之間的沖突選擇有效的溝通渠道北京科技大學(xué)經(jīng)濟(jì)管理學(xué)院控制監(jiān)督活動(dòng)實(shí)際績(jī)效與標(biāo)準(zhǔn)比較糾正實(shí)際績(jī)效與標(biāo)準(zhǔn)的偏差17.1、網(wǎng)絡(luò)安全管理概述一、什么是網(wǎng)絡(luò)安全管理

國(guó)家、組織或個(gè)人為了實(shí)現(xiàn)信息安全目標(biāo)，運(yùn)用一定的手段或技術(shù)體系，對(duì)涉及信息安全的非技術(shù)因素進(jìn)行系統(tǒng)管理的活動(dòng)稱為信息安全管理。網(wǎng)絡(luò)安全管理具有廣義和狹義之分，廣義的信息安全管理是指宏觀層面上的國(guó)家的信息安全管理，狹義的網(wǎng)絡(luò)安全管理則指微觀層面上的組織或個(gè)體的信息安全管理。二、人們對(duì)信息安全管理重要性的認(rèn)識(shí)

隨著對(duì)信息安全問題認(rèn)識(shí)的不斷深入，人們?cè)絹碓秸J(rèn)識(shí)到，做好信息安全工作不僅要靠信息安全技術(shù)，更要靠信息安全管理。這種思想的深化，能從信息安全的實(shí)踐活動(dòng)可明顯的劃分為3個(gè)階段來體現(xiàn)。第一階段，技術(shù)浪潮。這個(gè)階段主要通過技術(shù)手段保障信息的安全。第二階段，管理浪潮。高層管理人員開始關(guān)注安全問題，關(guān)于信息安全的文件化規(guī)定迅速發(fā)展起來，信息安全方針、信息安全架構(gòu)等都成了重要的方面。第三階段，制度浪潮。人們很自然地關(guān)心自己的組織比其他的組織在信息安全活動(dòng)上是否更成功。信息安全標(biāo)準(zhǔn)化可以解決用戶“如何得知在實(shí)踐中漏掉了哪些方面”，信息安全認(rèn)證可以解決“怎么向合作伙伴證明組織的信息安全”，培育組織自己的信息安全文化可以消除“組織內(nèi)部用戶是組織的最大敵人”等問題。三、信息安全管理的內(nèi)容構(gòu)成

國(guó)家層面，主要致力于信息安全戰(zhàn)略、信息安全政策及法律法規(guī)、信息安全標(biāo)準(zhǔn)與認(rèn)證、信息安全治理、信息安全國(guó)際合作等方面的規(guī)劃與實(shí)施；對(duì)于公司、企業(yè)、學(xué)校這種普通組織機(jī)構(gòu)而言，其信息安全管理的的主要任務(wù)則是通過信息安全策略的制訂、信息安全風(fēng)險(xiǎn)管理、信息安全措施實(shí)施與協(xié)調(diào)、信息安全危機(jī)與應(yīng)急管理、信息安全文化培育等來保障組織業(yè)務(wù)的連續(xù)性；而對(duì)于用戶而言，則更側(cè)重于個(gè)人權(quán)力的行使和個(gè)人財(cái)產(chǎn)和隱私的保護(hù)。安全管理模型遵循管理的一般循環(huán)模式，即計(jì)劃（Plan）、執(zhí)行（Do）、檢查（Check）和行動(dòng)（Action）的持續(xù)改進(jìn)模式，簡(jiǎn)稱PDCA模式。每一次的安全管理活動(dòng)循環(huán)都是在已有的安全管理策略指導(dǎo)下進(jìn)行的，每次循環(huán)都會(huì)通過檢查環(huán)節(jié)發(fā)現(xiàn)新的問題，然后采取行動(dòng)予以改進(jìn)，從而形成了安全管理策略和活動(dòng)的螺旋式提升。四、組織的網(wǎng)絡(luò)安全管理模型圖1組織的安全管理模型PDCA法律法規(guī)要求

17.2、

網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn) 國(guó)家法律與標(biāo)準(zhǔn)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定，國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。GB/T22239-2019《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》。等級(jí)保護(hù)國(guó)際標(biāo)準(zhǔn)

ISO/IEC27000系列標(biāo)準(zhǔn)中的27001《網(wǎng)絡(luò)安全管理體系要求》27002《網(wǎng)絡(luò)安全管理實(shí)用規(guī)則》安全認(rèn)證從網(wǎng)絡(luò)安全管理體系國(guó)際標(biāo)準(zhǔn)的發(fā)展形勢(shì)來看，27000將用于國(guó)際互認(rèn)，可以使面向市場(chǎng)的社會(huì)企業(yè)向合作方及用戶證明其網(wǎng)絡(luò)安全管理水平，成為組織彼此之間信任的基礎(chǔ)。就其