网络安全导论 课件 第16、17章 安全电子支付、网络安全管理

2024/6/1第十六章

安全电子支付

$1电子货币与电子支付$2银行卡支付与set协议$3电子现金与数字人民币讨论议题$1电子货币与电子支付$1电子货币与电子支付信用卡可以透支消费，借记卡没有透支功能$1电子货币与电子支付电子货币是以金融电子化网络为基础，以电子计算机技术和通信技术为手段，以电子数据（二进制数据）形式存储在银行的计算机系统中，并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币$1电子货币与电子支付电子货币是指以电子信息传递形式实现流通和支付功能的货币。目前，我国流行的电子货币主要有4种类型：（1）储值卡型电子货币。一般以IC卡形式出现，其发行主体除了商业银行之外，还有电信部门的电话卡、商业零售企业各类消费卡和学校校园IC卡等。（2）信用卡应用型电子货币。指商业银行、信用卡公司等发行主体发行的贷记卡或准贷记卡。（3）存款利用型电子货币。主要有借记卡、电子支票等，用于对银行存款以电子化方式支取现金、转账结算、划拨资金。（4）现金模拟型电子货币。主要有两种：一种是基于互联网络环境使用的且将代表货币价值的二进制数据保管在用户端的电子现金；一种是将货币价值保存在IC卡内并可脱离银行支付系统流通的电子钱包。$1电子货币与电子支付

国家打击虚拟货币

虚拟货币是指非真实的货币。比特币，以太坊，莱特币等都是比较著名的虚拟货币。比特币是一种建立在P2P网络之上虚拟货币。与大多数货币不同，比特币不依靠特定货币机构发行，它依据特定算法，通过大量的计算产生，并使用密码学的设计来确保其流通各个环节安全性。比特币总数量非常有限，具有稀缺性。比特币保证了流通交易的匿名性，但在其产生和交易计算中，会消耗大量的电力能源和算力。$1电子货币与电子支付电子支付电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为。$1电子货币与电子支付电子支付按运营主体划分的电子支付主要可以归纳为三种方式：银行电子支付、第三方支付平台、以运营商为主体的电子支付。$1电子货币与电子支付第三方电子支付交易流程$1电子货币与电子支付$1电子货币与电子支付安全电子商务环境建设安全的电子商务环境是开展电子商务的前提，支付安全是树立和维护客户对电子商务信心的关键。安全电子商务环境建设包括网络诚信体系建设、建立安全的支付系统和公正、及时、争端解决和纠错机制以及保护隐私等多方面内容。$1电子货币与电子支付安全支付的新技术层出不穷行为序列技术能够对用户购物行为、地址位置信息、过往订单信息、信用卡交易详情等信息进行实时监测，形成多维度用户画像，能够对异常购买行为进行预警。生物探针技术能够根据用户使用APP的按压力度、手指触面、滑屏速度等120多个指标，判断用户的使用习惯，检测购物中的异常使用情况。关系图谱技术通过记录用户节点信息，以及所有在这些节点上发生行为的相关行为的连接，最终把与之相关的一系列用户和行为都描述出来。关系图谱技术能够通过用户关系估算用户信用，能够发现用户对所购买商品的需求程度，因而也可触发预警。$1电子货币与电子支付安全问题依然存在目前支付领域最大的安全问题是用户隐私泄露问题：SSL协议是保护用户通信安全的协议，第三方支付平台在安全接收到用户的购物信息后，对用户的隐私信息保护不力甚至非法利用。$2银行卡支付与set协议$2银行卡支付与set协议一、银行卡支付的参与方二、网上银行卡支付方案的安全性要求确保持卡人的身份合法。确保持卡人能够核实商家的身份合法。要求对支付信息和订单信息保密：应该能够向持卡人确保参与者仅能访问自己应该获得的信息，无关人员不能获知支付和订单信息。确保传送数据的完整性：数据在传送过程中没有被改变不依赖于传输层安全机制，也不妨碍传输层安全机制的使用。独立于平台，互操作能力强。$2银行卡支付与set协议三、基于SSL协议的网络银行卡支付方案SSL协议工作在传输层，能实现两台机器间的安全连接。实际上，

SSL安全协议是国际上最早应用于电子商务的一种网络安全协议，它运行的基本点是商家对客户信息保密的承诺，如全球最大的网上书店—亚马逊（Amazon），它在给用户的购买说明中明确表示：“当你在亚马逊公司购书时，受到‘亚马逊公司安全购买保证’保护，所以，你永远不用为你的信用卡安全担心”。$2银行卡支付与set协议基于SSL的银行卡支付过程SSL安全协议利于了商家却不利于客户，客户的信息首先被传到商家，商家阅读后再传到银行，这样，客户资料的安全性就受到了威胁。商家认证客户是必要的，但整个过程中缺少了客户对商家的认证。$2银行卡支付与set协议四、基于SET协议的网络银行卡支付方案安全电子交易SET（SecureElectronicTransaction）协议是维萨（VISA）、万事达（MasterCard）等国际组织创建的安全电子交易国际标准，其主要目的是解决信用卡电子付款的安全问题。SET协议提供如下三种安全服务：与所有参与者提供安全的通信信道。使用X.509V3数字证书为各方提供信任支持。保护隐私：执行SET协议的相关参与者仅能知道自己应该知道的信息，例如，商家仅能知道订单信息而不知道客户的银行卡信息，银行仅知道客户的银行卡信息而不知道客户的订单信息。$2银行卡支付与set协议SET-SecureElectronicTransactionsAnopenencryptionandsecurityspecification.ProtectcreditcardtransactionontheInternet.Companiesinvolved:MasterCard,Visa,IBM,Microsoft,Netscape,RSA,TerisaandVerisignNotapaymentsystem.Setofsecurityprotocolsandformats.SETServicesProvidesasecurecommunicationchannelinatransaction.ProvidestrustbytheuseofX.509v3digitalcertificates.Ensuresprivacy.SETOverviewKeyFeaturesofSET:ConfidentialityofinformationIntegrityofdataCardholderaccountauthenticationMerchantauthenticationSETParticipantsSequenceofeventsfortransactionsThecustomeropensanaccount.Thecustomerreceivesacertificate.Merchantshavetheirowncertificates.Thecustomerplacesanorder.Themerchantisverified.Theorderandpaymentaresent.Themerchantrequestpaymentauthorization.Themerchantconfirmtheorder.Themerchantprovidesthegoodsorservice.Themerchantrequestspayments.DualSignatureDS=EKRC[H(H(PI)||H(OI))]SET交易类型PaymentprocessingPaymentprocessingPaymentAuthorization:AuthorizationRequestAuthorizationResponsePaymentCapture:CaptureRequestCaptureResponse双签名是SET协议的创新亮点。通过双签名的实施，协议达到了下述效果：商家收到了订单信息OI并能够验证客户的签名。银行收到了支付信息PI并能够验证客户的签名。客户能够把定单信息OI和支付信息PI绑定在一起并能够证明这个绑定。例如，在一笔交易中，假设商家想把定单OI替换成另外一张订单

，那么

的hash值必须要和OI的hash值OIMD相同，这是不可能的。$2银行卡支付与set协议$3电子现金与数字人民币电子现金（E-Cash）又称为数字现金，是一种表示现金的加密序列数，它可以用来表示现实中各种金额的币值。在购买个人用品等一些场合，消费者是不愿意让人知道个人的生活习惯的。基于银行卡和电子支票的支付协议，如SET协议、iKP协议等，在进行支付时要互相出示个人身份.$3电子现金与数字人民币在设计一个电子现金系统时还要考虑避免以下的可能威胁行为：1.用户欺骗，如伪造、重复使用、洗黑钱、绑架他人提取电子现金归自己所有等。2.发行银行欺骗，如恶意跟踪用户、陷害用户、盗用。$3电子现金与数字人民币DavidChaum最早提出了利用数字盲签名实现电子现金的思想。目前比较实用的电子现金系统主要算法是基于RSA的盲签名算法和Schonnor盲签名算法，例如，eCash公司利用基于RSA的盲签名算法开发了eCash电子现金系统。$3电子现金与数字人民币电子支票

电子支票以传统的纸质支票处理系统为基础，通过利用数字签名代替传统的手写签名，借助互联网或其他专用网络将钱款从一个账户转移到另一个账户，是最具发展潜力的电子支付手段之一。与电子现金系统相比，电子支票的优点是每次购物只需支付一张支票。$3电子现金与数字人民币美国金融服务技术联盟FSTC提出了一个电子支票支付系统，它系统地对电子支票的支付模式、系统安全、系统架构等进行了研究和探讨，能在不同的支付环境下成功地完成大多数支付任务更重要的是这项研究获得了各大银行和金融机构的支持被认为是最具有发展潜力的电子支票系统之一。$3电子现金与数字人民币数字人民币经国务院批准，人民银行自2017年底开始数字人民币研发工作。截至2021年6月30日，数字人民币试点场景已超132万个。$3电子现金与数字人民币数字人民币的特点：（1）数字人民币采取中心化管理、双层运营。（2）匿名性（可控匿名）。（3）安全性。（4）可编程性。（5）数字人民币的载体是数字钱包。$3电子现金与数字人民币1．使用SSL协议进行支付可能会存在哪些问题？2．简述采用第三方支付可能存在的安全问题。3．阅读中国人民银行《电子支付指引》，谈谈你对安全电子商务环境建设的理解。4．在基于SET协议的支付中，商家能否看到银行卡信息？银行能否看到订单信息？5．在基于SET协议的支付方案中，订单和支付信息是如何绑定在一起的？6．电子现金有哪些安全性要求？电子现金采用的密码技术有哪些？思考题

第十七章网络安全管理17.1网络安全管理概述 17.2网络安全管理标准 17.3网络安全管理的关键环节17.4网络监控 计划管理的基本职能控制组织领导北京科技大学经济管理学院计划定义目标制定战略构建具体执行计划并协调行动北京科技大学经济管理学院组织

决定要执行哪些任务决定谁来完成，任务如分配

决定谁向谁汇报，在哪里制定决策

北京科技大学经济管理学院领导

激励员工

指挥行动

解决员工之间的冲突选择有效的沟通渠道北京科技大学经济管理学院控制监督活动实际绩效与标准比较纠正实际绩效与标准的偏差17.1、网络安全管理概述一、什么是网络安全管理

国家、组织或个人为了实现信息安全目标，运用一定的手段或技术体系，对涉及信息安全的非技术因素进行系统管理的活动称为信息安全管理。网络安全管理具有广义和狭义之分，广义的信息安全管理是指宏观层面上的国家的信息安全管理，狭义的网络安全管理则指微观层面上的组织或个体的信息安全管理。二、人们对信息安全管理重要性的认识

随着对信息安全问题认识的不断深入，人们越来越认识到，做好信息安全工作不仅要靠信息安全技术，更要靠信息安全管理。这种思想的深化，能从信息安全的实践活动可明显的划分为3个阶段来体现。第一阶段，技术浪潮。这个阶段主要通过技术手段保障信息的安全。第二阶段，管理浪潮。高层管理人员开始关注安全问题，关于信息安全的文件化规定迅速发展起来，信息安全方针、信息安全架构等都成了重要的方面。第三阶段，制度浪潮。人们很自然地关心自己的组织比其他的组织在信息安全活动上是否更成功。信息安全标准化可以解决用户“如何得知在实践中漏掉了哪些方面”，信息安全认证可以解决“怎么向合作伙伴证明组织的信息安全”，培育组织自己的信息安全文化可以消除“组织内部用户是组织的最大敌人”等问题。三、信息安全管理的内容构成

国家层面，主要致力于信息安全战略、信息安全政策及法律法规、信息安全标准与认证、信息安全治理、信息安全国际合作等方面的规划与实施；对于公司、企业、学校这种普通组织机构而言，其信息安全管理的的主要任务则是通过信息安全策略的制订、信息安全风险管理、信息安全措施实施与协调、信息安全危机与应急管理、信息安全文化培育等来保障组织业务的连续性；而对于用户而言，则更侧重于个人权力的行使和个人财产和隐私的保护。安全管理模型遵循管理的一般循环模式，即计划（Plan）、执行（Do）、检查（Check）和行动（Action）的持续改进模式，简称PDCA模式。每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的，每次循环都会通过检查环节发现新的问题，然后采取行动予以改进，从而形成了安全管理策略和活动的螺旋式提升。四、组织的网络安全管理模型图1组织的安全管理模型PDCA法律法规要求

17.2、

网络安全管理标准 国家法律与标准《中华人民共和国网络安全法》第二十一条明确规定，国家实行网络安全等级保护制度。GB/T22239-2019《网络安全等级保护基本要求》GB/T22240-2020《信息安全技术网络安全等级保护定级指南》。等级保护国际标准

ISO/IEC27000系列标准中的27001《网络安全管理体系要求》27002《网络安全管理实用规则》安全认证从网络安全管理体系国际标准的发展形势来看，27000将用于国际互认，可以使面向市场的社会企业向合作方及用户证明其网络安全管理水平，成为组织彼此之间信任的基础。就其