《项目二网上支付的安全使用.ppt》由会员分享,可在线阅读,更多相关《项目二网上支付的安全使用.ppt(31页珍藏版)》请在三一办公上搜索。
1、项目二 网上支付的安全使用,应知目标了解网上支付面临的安全问题与安全需求了解并掌握网络支付的安全策略及解决方法了解并掌握网上支付的安全技术 防火墙技术、数字机密技术、数字摘要技术、数字签名技术、数字时间戳的工作机理 了解数字证书的基本概念与CA中心的功能了解并掌握SSL和SET安全协议的基本原理与工作程序 应会目标能够识别网上支付安全风险掌握网上支付数字证书的申请、安装与使用能够掌握网上支付的安全使用方法,任务一 了解网上支付的安全风险与需求分析,知识点、能力了解网上支付面临的安全风险了解网上支付的安全需求,任务情境 2005年2月份发现的一种骗取美邦银行(Smith Barney)用户的账号
2、和密码的“网络钓鱼”电子邮件,该邮件利用了IE的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏,使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时,状态栏显示的链接是虚假的。当用户点击链接时,实际连接的是钓鱼网站 国内曾网上传得沸沸扬扬的“光大证券网银木马(newup.exe)”病毒着实让大家都紧张了一把,甚至某些媒体做出了“多款证券交易软件捆绑网银木马程序”这样的报道。面对越来越多的网上偷盗事件,网上支付中的安全威胁有哪些?我们该如何识别与预防网上支付时出现各种安全风险呢?本任务我们将对网上支付的安全风险的识别与防范
3、方法进行一个全面的认识与学习。,任务分析 在网上支付与结算中,资金支付结算体系问题是电子商务中主要的安全隐患发生点。基于Internet平台的电子商务必然涉及客户、商家、银行及相关管理认证部门等多方机构,以及它们之间可能的资金划拨,使得客户和商家必须充分考虑支付体系是否安全。因此,保证安全是推广应用网上支付与结算方式的根本基础。本学习任务中,我们将了解网上支付面临的安全风险与网上支付的安全需求。,任务实施一、了解网上支付面临的安全风险1互联网环境的安全隐患2黑客对网上支付的主要攻击方式(1)钓鱼网站和服务器攻击(2)键盘记录(3)嵌入浏览器执行(4)屏幕“录像”(5)窃取数字证书文件(6)伪装
4、窗口3信息安全风险,二、网上支付的安全需求1保证网络上资金流数据的保密性2保证相关网络支付信息的完整性3保证网络上资金结算双方身份的真实性4保证网络上有关资金的支付结算行为发生的事实及发生内容的不可抵赖性5保证网上支付系统运行的稳定可靠、快捷,任务完成结论 通过本任务的学习,使大家了解网上支付面临的安全风险,并结合目前电子商务的开展状况与需求,分析了电子商务实体各方对网上支付的安全需求。课堂训练与测评 结合身边网上支付实例或所了解的案例,分析目前常出现的网上支付安全问题与特点。,任务二 网上支付的安全管理,知识点、能力点了解网上支付安全衡量指标了解制订网上支付的安全管理策略的原则了解并掌握网上
5、支付的安全管理措施,任务情境 实时在线的网上支付行为对网上支付系统的性能要求很高,网上支付的支撑网络需有较好的安全防护能力,如防火墙系统的配置,网络通道速度的检测,管理机制的制定与确立等。随着网上支付的快速发展,很多内部、外部的风险管理问题开始显现。“内部控制无效”、“客户资金保管不善”、“交易对手风险无法防范”以及“违反法律法规”等因素,都有可能引发网上支付的重大风险事件,阻碍网上支付持续健康发展。因此面对网上支付面临的安全风险的威胁,除了不断完善系统的安全技术外,还必须花大力气加强网上支付的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员管理等方面,例如客户随意放置自己的信用卡号码与
6、密码,纵使银行应用最尖端的加密技术,又有什么用呢?因此光有高尖的技术手段是不够的,还需要建立良好的管理机制,这样的安全机制才是有效的。,任务分析 安全管理是网上支付系统安全所必须考虑的基本问题,所以应引起重视。本学习任务,我们将了解网上支付的安全衡量指标、制订网上支付安全管理策略原则、并且我们将分别从金融机构和客户的角度来了解网上支付安全体系建立的安全管理对策。,任务实施一、网上支付安全衡量指标1技术手段2管理方面,二、制订网上支付安全管理策略的基本原则1预防为主2实际安全需求分析3多人负责原则4任期有限原则5职责分离原则,三、网上支付安全管理的措施1金融机构的安全管理措施2客户的自我安全保护
7、措施,任务完成结论 网上支付的安全保障仅仅依靠高尖的技术手段是不够的,还需要建立良好的管理机制,这样的安全机制才是有效的。通过本学习的任务,我们对网上支付的安全衡量指标、制订网上支付安全管理策略原则、以及金融机构和客户的网上支付的安全管理对策有了一个全面的认识。课堂训练与测评 分析一个实际开展电子商务的企业,如Dell公司、海尔商城、淘宝网站等保证网上支付的安全管理策略。,任务三 了解网上支付的相关安全技术,知识点、能力点了解并掌握访问控制技术的原理与应用了解并掌握数据机密技术的原理与应用了解并掌握数据抗抵赖技术的原理与应用了解并掌握身份认证技术的原理与应用 能够熟练使用网上支付中安全技术工具
8、,任务情境 艾瑞市场咨询分析认为,安全性一直是非常困扰广大网民使用网上银行服务的一个问题,最近出现的因使用支付工具等发生的洗钱、盗窃等案件,一直让人心有余悸。由于对网上支付安全性的担忧,有80.9%的网民希望网上支付服务安全更有保障。支付安全是支付企业的生命线,是支付行业的发展瓶颈,是广大网民最最关心的问题。“工欲善其事,必先利其器。”网络信息安全的先进安全技术是网上支付平台的安全性保障。基于此,支付行业尤其是支付企业对网上支付的安全问题也做出了不懈的努力。同时有些风险防范技术措施是大多数网民在使用,只是没有意识到它的存在和价值。那可以采用哪些网络安全技术来防范网上支付的安全风险?本任务我们将
9、对网上支付的安全技术进行一个全面的了解与学习。,任务分析 安全技术是信息网络技术中较为尖端的技术,只要运用得当,配合相应的安全管理措施,基本能保证电子商务中的网上支付的安全。应用了这些安全技术的网上支付是非常安全的,并随着信息网络安全技术的进步与信用机制的完善,网上支付与结算一定会越来越安全。因此我们必须对网上支付的安全技术有一个全面的认识。本任务我们将学习保证网上支付平台安全的防火墙技术,保证数据机密性的私有/公开密钥加密技术,保证数据完整性的数字摘要与数字签名技术,能在Internet上有效认证网上支付双方真实身份,安全有效传递公开密钥的数字证书的等安全保障技术及其安全协议的基本知识。,任
10、务实施一、访问控制技术与应用1防火墙技术(1)防火墙的定义(2)防火墙的功能(3)防火墙的种类2基于角色的访问控制技术,二、数据机密性技术1对称密钥加密法(1)对称密钥加密法的定义与应用原理(2)对称密钥加密法的常用算法:DES、IDEA、AES以及RC4、RC5等算法(3)对称密钥加密法的优缺点2非对称密钥加密法(1)非对称密钥加密法的定义与应用原理(2)非称密钥加密法的常用算法:RSA算法、ECC算法、DSA算法(3)非称密钥加密法的优缺点,三、抗抵赖技术1数字摘要(1)数字摘要(Digital Digest)的定义(2)数字摘要的应用原理(3)常用的Hash算法:MD4、MD5、SHA1
11、等2数字签名技术(1)数字签名的定义(Digital Signature)(2)数字签名的应用原理3数字时间戳(DTS,Digital Time-Stamp),四、身份认证技术1动态密码技术(1)动态口令卡(2)动态口令系统2预留信息验证技术3数字证书(Digital Certificate或Digital ID)(1)数字证书的基本概念(2)数字证书的内容(3)数字证书的分类(4)认证机构(Certificate Authority,CA)(5)数字证书的申请,五、资源控制技术 网上支付系统的资源控制技术典型包括:链路负载均衡技术和应用负载均衡技术。六、入侵防范技术 入侵检测技术是一种主动保
12、护自己免受攻击的一种网络安全技术。入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。,任务完成结论 本任务我们对网上支付的安全技术进行一个全面的了解与学习。应用以上先进的安全技术的网上支付是非常安全的,但不是100%的绝对安全,而是相对安全。随着信息网络技术的进步与信用机制的完善,网上支付与结算一定会越来越安全。课堂训练与测评(1)登录 掌握数字证书的申请流程与数字证书导入与导出的具体操作;并会利用数字证书的密钥对代码进行签名,要求操作方法正确。(2)分析一个实际开展电子商务的企业,如Dell公司、海尔商
13、城、淘宝网站等保证网上支付的安全技术策略。,任务四 网上支付的SSL与SET协议机制,知识点、能力点了解网上支付的SSL与SET协议机制的原理能够理解SSL协议与SET协议参与方、应用系统框架、特点能够描述SSL与SET 协议下的网络支付的流程,并能够对两者之间进行分析比较,任务情境 上个任务主要介绍了为保证安全的网上支付而应用的各种安全技术,如何将电子商务网上支付的各参与方与这些先进的信息网络安全技术充分地结合起来,来保证安全、有序、快捷地完成网上支付流程,需要一个协议来规范各方的行为与各种技术的运用。这个协议就是安全的网上交易协议,电子商务的安全标准协议正在走向成熟,并逐渐形成了一些国际规
14、范。目前国际上比较有代表的是SSL与SET两种安全交易协议机制。,任务分析 电子商务的安全不仅需要每一个交易个体采用相应的安全技术和对策,它还需要一套广大交易参与者都遵守的安全规则,即电子商务中的常用安全标准协议。本任务我们就来了解SSL与SET两种安全交易协议机制的原理与交易流程。,任务实施一、安全套接层协议SSL(Secure Sockets Layer Protocol)1SSL协议简介2SSL协议的特点3建立SSL安全连接的过程,二、安全电子交易协议SET(Secure Electronic Transaction)1SET协议简介2SET协议的目标:机密性、保护隐私、多方认证性、标准
15、性3SET协议的参与方:持卡客户(CardHolder)、商家(Merchant)、发卡银行(Issuing Bank)、收单银行(Acquiring Bank)、支付网关(Payment Gateway)、认证中心(Certificate Authority)4SET协议的工作流程5SET协议的特点,三、SET协议和SSL协议的比较SSL 与SET都采用公开密钥加密法、私有密钥加密法、数字摘要等加密技术与数字证书等认证手段。在支持技术上,可以说两者是一致的。对信息传输的机密性来说,两者的功能是相同的,且都能保证信息在传输过程中的保密性与完整性。但SSL与SET两种协议在网络中层次不一样。SS
16、L是基于传输层的协议,而SET则是基于应用层的协议。SSL在建立双方的安全通信通道之后,所有传输的信息都被加密,而SET则会有选择地加密一部分敏感信息。SET系统给银行、商家、持卡客户带来了更多,使他们在进行网上交易时更加放心,但实现复杂、成本较高;而SSL则相应地简单快捷,但存在一定安全漏洞。目前SSL的应用面比SET广泛。,任务完成结论 通过对本任务的学习,我们了解了为综合应用网络安全技术而保证网上支付安全的SSL协议机制与SET协议机制,主要在学习了这两种安全协议的基本工作与应用原理,并结合具体网上支付业务流程来掌握SSL与SET协议在网上支付中的应用。课堂训练与测评(1)通过分析网络支付的实际案例,运用所学知识,描述SSL协议与SET协议下的网络支付的流程,比较两者的不同。(2)分析在基于SSL安全协议机制的信用卡网上支付中,是如何应用本项目所述的系列安全技术的?,
