电子银行系统和网络支付安全管理指南

电子银行系统和网络支付安全管理指南TOC\o"1-2"\h\u7475第1章电子银行系统概述 4127891.1系统简介 4145771.2安全风险与挑战 5196191.3安全管理体系构建 528237第2章网络支付安全基础 6120352.1支付系统架构 620332.1.1系统架构概述 6182782.1.2用户端 661372.1.3传输网络 6287652.1.4支付处理平台 6256092.1.5发卡行与收单行 6166192.2支付流程与安全机制 6141502.2.1支付流程 6202602.2.2安全机制 6289032.3支付业务风险分析 72452.3.1用户身份伪造 772872.3.2数据泄露 791862.3.3系统漏洞 723032.3.4网络攻击 730692.3.5法律合规风险 716051第3章用户身份认证与授权 7152133.1身份认证技术 7283783.1.1密码认证 7243703.1.2二维码认证 761423.1.3数字证书认证 848793.1.4生物识别技术 8104173.1.5动态口令认证 8117113.2授权与访问控制 8321043.2.1基于角色的访问控制（RBAC） 881633.2.2基于属性的访问控制（ABAC） 8149063.2.3访问控制列表（ACL） 88443.2.4访问控制策略 8183083.3用户行为分析与监控 896023.3.1用户行为分析 9124823.3.2操作审计 9286153.3.3安全态势感知 9243483.3.4数据挖掘与机器学习 9245433.3.5异常交易监测 913692第4章数据加密与传输安全 982924.1加密算法与应用 95474.1.1对称加密算法 911364.1.2非对称加密算法 966814.1.3混合加密算法 925304.2数字证书与密钥管理 10217394.2.1数字证书 10242074.2.2密钥管理 1050164.2.3密钥分发与备份 1020654.3安全传输协议 1050174.3.1SSL/TLS协议 1028474.3.2SSH协议 1059844.3.3IPSec协议 105777第5章网络安全技术应用 11306775.1防火墙技术 1160025.1.1防火墙概述 1137245.1.2防火墙的分类 1117565.1.3防火墙配置策略 1199265.2入侵检测与防御 1118985.2.1入侵检测系统（IDS） 11213825.2.2入侵防御系统（IPS） 11224065.2.3入侵检测与防御技术发展趋势 11151655.3虚拟专用网络（VPN） 1117595.3.1VPN概述 11117355.3.2VPN关键技术 1142925.3.3VPN部署与运维 12164325.3.4VPN发展趋势 1219009第6章应用程序安全 12164456.1程序设计与编码规范 12189886.1.1设计原则 12121396.1.2编码规范 12252156.2应用层安全漏洞防护 1274226.2.1输入验证 13158036.2.2认证与授权 13185626.2.3加密与签名 1320876.2.4安全配置 13298216.3安全开发框架与工具 1331006.3.1安全开发框架 13215146.3.2安全测试工具 1386546.3.3安全编码培训 134619第7章银行卡与支付终端安全 1456717.1银行卡安全 1499927.1.1银行卡发行与风险管理 1424827.1.2银行卡个人信息保护 1469117.1.3银行卡交易安全 1440097.1.4银行卡丢失与盗刷防范 14314027.2支付终端设备安全 14221747.2.1支付终端设备概述 14174177.2.2支付终端设备硬件安全 14121317.2.3支付终端设备软件安全 14277017.2.4支付终端设备操作与维护安全 14112787.3移动支付安全 15288677.3.1移动支付技术概述 1582777.3.2移动支付客户端安全 15146557.3.3移动支付通信安全 15219087.3.4移动支付用户身份验证 15290657.3.5移动支付应用场景安全 1562047.3.6移动支付安全监测与应急处置 153102第8章安全运维管理 15126668.1安全策略制定与实施 15213878.1.1策略制定原则 15141698.1.2安全策略内容 15278088.1.3安全策略实施 15119458.2安全事件监控与应急响应 16304968.2.1安全事件监控 1654928.2.2应急响应组织架构 16104938.2.3应急响应流程 16250338.2.4应急预案管理 16246708.3安全审计与合规性检查 1682258.3.1安全审计目标与范围 16192098.3.2安全审计方法与工具 16301228.3.3合规性检查 16301838.3.4审计报告与改进措施 16118428.3.5持续改进与优化 1628078第9章用户安全教育与培训 17314599.1安全意识培养 1787099.1.1安全意识的重要性 17278539.1.2安全意识培养方法 1716909.1.2.1常见网络风险认知 17232259.1.2.2案例分析教育 1725549.1.2.3定期安全提示与更新 1722559.1.3安全意识评估与改进 17307739.2安全知识培训 17289949.2.1电子银行系统安全知识 17203699.2.1.1账户保护措施 17150259.2.1.2交易验证方法 17327269.2.1.3防范网络钓鱼与诈骗 1748109.2.2网络支付安全知识 1743459.2.2.1支付工具的安全使用 1758189.2.2.2支付密码与生物识别技术 17215589.2.2.3支付风险识别与应对 171179.2.3培训方式与实施 1768679.2.3.1线上线下相结合的培训模式 17181349.2.3.2定制化培训课程 1720859.2.3.3培训效果评估与反馈 1741349.3用户安全行为引导 171389.3.1安全操作习惯培养 1745029.3.1.1复杂密码设置与定期更换 1714039.3.1.2二维码与的安全使用 1729769.3.1.3公共网络环境下安全操作 1738119.3.2用户隐私保护 17211119.3.2.1个人信息保护意识 17133949.3.2.2防范社交工程攻击 1727959.3.2.3应用权限管理与隐私设置 18196699.3.3安全事件应对与报告 18182799.3.3.1安全事件识别与初步处理 1888189.3.3.2事件报告流程与途径 18199629.3.3.3用户损失补偿与法律支持 1832410第10章法律法规与合规要求 182240510.1法律法规体系 181614110.1.1法律层面 182292210.1.2行政法规与部门规章 182432610.1.3规范性文件 181412110.2支付行业合规要求 183242910.2.1支付机构资质要求 182337310.2.2用户资金安全 1879210.2.3信息安全与隐私保护 19336410.2.4风险管理与内部控制 193159410.3国内外监管趋势与应对策略 19647210.3.1国内外监管趋势 19711910.3.2应对策略 19第1章电子银行系统概述1.1系统简介电子银行系统作为金融行业与信息技术相结合的产物，为广大用户提供了一个便捷、高效、24小时不间断的金融服务平台。它通过互联网、移动互联网、手机短信等多种渠道，实现了用户与银行之间资金转账、支付、查询、投资理财等业务的在线办理。电子银行系统主要包括网上银行、手机银行、自助银行等，这些服务模式在提升用户体验、降低银行运营成本、扩大金融服务范围等方面发挥了重要作用。1.2安全风险与挑战电子银行系统业务的不断发展和用户规模的扩大，其面临的安全风险与挑战也日益严峻。主要包括以下几个方面：（1）网络攻击：黑客利用系统漏洞、恶意软件等手段，对电子银行系统进行攻击，窃取用户信息和资金。（2）用户信息泄露：由于用户操作不当、系统漏洞等原因，可能导致用户敏感信息泄露，给用户带来损失。（3）伪基站和钓鱼网站：不法分子通过伪基站和钓鱼网站，诱导用户输入银行账号、密码等敏感信息，进而实施诈骗。（4）移动设备安全：手机银行等移动金融服务的发展，移动设备面临的安全风险也日益突出，如恶意应用、系统漏洞等。（5）法律和合规要求：电子银行系统需遵循相关法律法规和监管要求，保证业务合规，防范法律风险。1.3安全管理体系构建针对上述安全风险与挑战，电子银行系统需构建一套完善的安全管理体系，以保证用户资金安全和业务稳定运行。以下是几个关键方面的安全管理措施：（1）技术安全防护：采用先进的加密技术、安全认证、防火墙、入侵检测和防御系统等，提高系统安全性。（2）安全运维管理：建立严格的运维管理制度，对系统进行定期检查和维护，保证系统安全稳定运行。（3）用户身份认证：采用多因素认证、生物识别等技术，提高用户身份认证的准确性和安全性。（4）用户安全教育：加强用户对电子银行安全知识的宣传和培训，提高用户的安全意识和防范能力。（5）风险监测与应急处置：建立风险监测机制，对异常交易进行实时监控，发觉风险及时处置。（6）合规与审计：遵循法律法规和监管要求，加强内部审计，保证业务合规。通过以上措施，构建一个全面、高效的电子银行系统安全管理体系，为用户提供安全、便捷的金融服务。第2章网络支付安全基础2.1支付系统架构2.1.1系统架构概述支付系统架构是保证网络支付安全的基础，主要包括用户端、传输网络、支付处理平台、发卡行、收单行及第三方服务机构等组成部分。各部分相互协作，共同保障支付业务的顺畅与安全。2.1.2用户端用户端主要包括个人电脑、手机等设备，用户通过支付客户端软件（如网银、第三方支付平台等）发起支付请求。为保障安全，用户端需采取加密技术、安全认证等措施。2.1.3传输网络传输网络是连接用户端与支付处理平台的桥梁，采用安全协议（如SSL/TLS等）对传输数据进行加密，防止数据在传输过程中被窃取、篡改。2.1.4支付处理平台支付处理平台负责处理支付请求，对交易进行风险管理、身份验证等操作。平台需具备高可用性、高安全性，并遵循国家相关法律法规及标准。2.1.5发卡行与收单行发卡行负责发行银行卡，并为用户提供账户管理、风险控制等服务。收单行则负责处理支付请求，与商户进行结算。两者需严格遵守银行支付业务规范，保证支付安全。2.2支付流程与安全机制2.2.1支付流程支付流程主要包括用户登录、支付请求、身份验证、风险控制、交易处理、通知反馈等环节。各环节相互关联，共同保障支付业务的顺利进行。2.2.2安全机制（1）用户身份验证：采用密码、短信验证码、生物识别等多种方式，保证用户身份的真实性。（2）风险控制：通过交易数据分析、行为模式识别等技术手段，对异常交易进行实时监控和预警。（3）数据加密：对敏感数据进行加密处理，保证数据在传输和存储过程中的安全性。（4）安全认证：采用数字证书、CA认证等手段，验证支付参与方的合法性。2.3支付业务风险分析2.3.1用户身份伪造用户身份伪造可能导致资金被盗用。为防范此类风险，应加强对用户身份的验证措施，如采用多因素认证等。2.3.2数据泄露数据泄露可能导致用户隐私被侵犯、资金安全受到威胁。为降低风险，需对数据进行加密处理，并加强系统安全防护。2.3.3系统漏洞系统漏洞可能导致支付业务中断、数据泄露等风险。为避免此类风险，应定期对系统进行安全检查和升级，及时修复漏洞。2.3.4网络攻击网络攻击可能导致支付系统瘫痪，影响支付业务的正常运行。为防范网络攻击，应采取防火墙、入侵检测等安全措施。2.3.5法律合规风险支付业务需遵循国家相关法律法规，否则可能导致合规风险。企业应密切关注法律法规变化，保证业务合规性。第3章用户身份认证与授权3.1身份认证技术身份认证是保证电子银行系统和网络支付安全的首要环节，有效的身份认证技术能够保障用户信息的安全。本章首先介绍几种常见的身份认证技术。3.1.1密码认证密码认证是用户身份验证中最常见的方法，用户需输入正确的用户名和密码才能访问系统。为提高安全性，应采用复杂度要求较高的密码策略。3.1.2二维码认证二维码认证是通过手机或其他移动设备扫描的二维码，以实现用户身份的快速认证。此方法安全性较高，且操作简便。3.1.3数字证书认证数字证书认证采用公钥基础设施（PKI）技术，为用户颁发数字证书，通过证书验证用户的身份。此方法具有很高的安全性和可靠性。3.1.4生物识别技术生物识别技术包括指纹识别、面部识别、虹膜识别等，通过验证用户的生物特征来实现身份认证。此类方法具有唯一性和难以复制性，安全性较高。3.1.5动态口令认证动态口令认证采用动态的一次性密码，有效防止密码被破解。常见的方式有短信验证码、动态令牌等。3.2授权与访问控制在用户身份认证的基础上，授权与访问控制是限制用户操作权限，保证系统安全的关键环节。3.2.1基于角色的访问控制（RBAC）基于角色的访问控制将用户划分为不同角色，根据角色分配相应的权限。此方法便于管理，能够有效控制用户的操作权限。3.2.2基于属性的访问控制（ABAC）基于属性的访问控制根据用户的属性、资源属性和环境属性进行访问控制决策。此方法具有更高的灵活性和动态适应性。3.2.3访问控制列表（ACL）访问控制列表记录了用户或用户组与资源的访问权限关系，通过检查列表来确定用户是否有权访问某资源。3.2.4访问控制策略访问控制策略是对访问控制规则的集合，包括权限的分配、审批流程等。制定合理的访问控制策略，有助于保证系统安全。3.3用户行为分析与监控用户行为分析与监控是发觉异常行为、预防潜在风险的重要手段。以下为几种常见的用户行为分析与监控方法。3.3.1用户行为分析通过收集用户操作数据，分析用户的行为特征，建立用户行为模型。对异常行为进行实时预警，提高系统的安全性。3.3.2操作审计对用户的关键操作进行审计，记录操作时间、操作内容等信息，以便在发生安全事件时追踪原因。3.3.3安全态势感知通过分析系统日志、网络流量等信息，实时监测系统的安全状态，发觉潜在的安全威胁。3.3.4数据挖掘与机器学习运用数据挖掘与机器学习技术，对用户行为进行智能化分析和预测，提高安全防护能力。3.3.5异常交易监测对用户交易行为进行实时监测，发觉异常交易并及时采取相应措施，防范欺诈行为。第4章数据加密与传输安全4.1加密算法与应用在本章节中，我们将重点讨论电子银行系统和网络支付过程中所涉及的数据加密算法及其应用。加密算法是保障数据安全的核心技术，通过对数据进行加密处理，保证信息在传输过程中不被非法篡改和窃取。4.1.1对称加密算法对称加密算法是指加密和解密使用相同密钥的算法。其特点是计算速度快，适用于大量数据的加密。常见的对称加密算法有AES（高级加密标准）、DES（数据加密标准）和3DES（三重数据加密算法）等。4.1.2非对称加密算法非对称加密算法是指加密和解密使用不同密钥的算法，分别为公钥和私钥。其特点是安全性高，但计算速度较慢。常见的非对称加密算法有RSA（RivestShamirAdleman）、ECC（椭圆曲线密码学）等。4.1.3混合加密算法混合加密算法将对称加密算法和非对称加密算法相结合，取长补短，既保证了加密速度，又提高了安全性。在电子银行系统和网络支付中，混合加密算法被广泛应用。4.2数字证书与密钥管理数字证书和密钥管理是保障数据安全传输的关键环节。本节将详细介绍数字证书和密钥管理的基本概念、原理及方法。4.2.1数字证书数字证书是一种用于验证身份的电子文档，由权威的第三方证书机构（CA）签发。它包含证书持有者的公钥、身份信息以及CA的签名。数字证书可以有效防止中间人攻击，保证通信双方的身份真实性。4.2.2密钥管理密钥管理是指对加密密钥的、存储、分发、更新和销毁等过程进行严格控制的措施。合理的密钥管理策略可以有效降低密钥泄露的风险，提高数据安全性。4.2.3密钥分发与备份密钥分发和备份是密钥管理的重要组成部分。应采取安全可靠的方式，如使用数字证书、硬件安全模块（HSM）等技术，保证密钥在传输和存储过程中的安全性。4.3安全传输协议为了保证数据在传输过程中的安全，电子银行系统和网络支付广泛采用了安全传输协议。本节将介绍几种常见的安全传输协议。4.3.1SSL/TLS协议SSL（安全套接层）和TLS（传输层安全）协议是用于在互联网上实现安全通信的协议。它们通过加密和认证机制，为数据传输提供安全保护。4.3.2SSH协议SSH（安全外壳协议）是一种专为远程登录和其他网络服务提供安全性的协议。它采用公钥加密和密钥交换技术，保证数据传输的安全。4.3.3IPSec协议IPSec（Internet协议安全性）是一种用于在IP网络层提供安全传输的协议。它可以为传输的数据提供加密、认证和完整性保护。通过以上几种安全传输协议的应用，电子银行系统和网络支付可以有效防范非法监听、篡改和攻击，保证数据传输的安全。第5章网络安全技术应用5.1防火墙技术5.1.1防火墙概述防火墙作为网络安全的第一道防线，主要负责对网络流量进行监控和控制，以防止未经授权的访问和潜在的网络攻击。本节将介绍防火墙的类型、工作原理及其在电子银行系统和网络支付中的应用。5.1.2防火墙的分类根据防火墙的技术特点和应用场景，可分为包过滤防火墙、应用层防火墙、状态检测防火墙和统一威胁管理（UTM）防火墙等。5.1.3防火墙配置策略合理的防火墙配置是保证网络安全的关键。本节将讨论如何制定和实施有效的防火墙配置策略，包括访问控制规则、网络地址转换（NAT）和端口转发等。5.2入侵检测与防御5.2.1入侵检测系统（IDS）入侵检测系统（IDS）用于实时监测网络流量，识别潜在的攻击行为。本节将介绍IDS的分类、工作原理及其在电子银行系统和网络支付中的应用。5.2.2入侵防御系统（IPS）入侵防御系统（IPS）在IDS的基础上增加了主动防御功能，能够对检测到的攻击行为进行实时阻断。本节将探讨IPS的技术特点、部署方式和应用场景。5.2.3入侵检测与防御技术发展趋势网络攻击手段的不断升级，入侵检测与防御技术也在不断发展。本节将介绍当前入侵检测与防御技术的研究热点和发展趋势，如机器学习、大数据分析等。5.3虚拟专用网络（VPN）5.3.1VPN概述虚拟专用网络（VPN）通过加密技术在公共网络上建立安全的通信隧道，实现数据传输的加密和身份认证。本节将介绍VPN的基本原理、分类和应用场景。5.3.2VPN关键技术VPN的关键技术包括加密算法、身份认证、隧道协议等。本节将详细阐述这些技术的工作原理及其在电子银行系统和网络支付中的应用。5.3.3VPN部署与运维为保障电子银行系统和网络支付的安全性，本节将探讨VPN的部署策略、运维管理以及可能面临的风险和应对措施。5.3.4VPN发展趋势互联网技术的不断发展，VPN技术也在不断演进。本节将简要介绍VPN技术当前的研究热点和发展趋势，如基于云计算的VPN、基于物联网的VPN等。第6章应用程序安全6.1程序设计与编码规范6.1.1设计原则在电子银行系统及网络支付应用的设计阶段，应遵循安全设计原则，保证系统的安全性。主要包括以下方面：（1）最小权限原则：保证程序运行时，仅拥有完成当前任务所需的最低权限。（2）分层设计原则：将系统划分为多个层次，各层次之间明确分工，降低层次间耦合度，提高系统安全性。（3）模块化设计原则：将系统划分为多个模块，各模块具有独立的功能，便于维护和更新。6.1.2编码规范（1）遵循编程语言官方推荐的编码规范，提高代码可读性和可维护性。（2）避免使用有安全风险的函数和类库，如不安全的字符串处理函数、文件操作函数等。（3）对输入数据进行严格的验证和过滤，防止恶意输入引发安全漏洞。（4）使用安全编码方法，如使用trycatch语句处理异常，避免程序因异常而崩溃。（5）及时修复已知的安全漏洞，关注安全社区发布的漏洞信息，定期更新代码。6.2应用层安全漏洞防护6.2.1输入验证（1）对用户输入进行严格的验证，包括数据类型、长度、范围等。（2）使用白名单机制，仅允许合法的输入，过滤非法输入。（3）对输入数据进行编码，防止恶意脚本执行。6.2.2认证与授权（1）采用强认证机制，如双因素认证、短信验证码等。（2）合理设置用户权限，遵循最小权限原则。（3）对用户会话进行有效管理，如设置合理的会话超时时间，防止会话劫持。6.2.3加密与签名（1）使用安全的加密算法，如AES、RSA等。（2）对敏感数据进行加密存储和传输。（3）使用数字签名技术，保证数据的完整性和真实性。6.2.4安全配置（1）遵循安全配置规范，关闭不必要的服务和端口。（2）定期检查和更新系统软件，修复安全漏洞。（3）配置合理的日志记录，便于安全事件的分析和追踪。6.3安全开发框架与工具6.3.1安全开发框架（1）使用成熟的安全开发框架，如SpringSecurity、ApacheShiro等。（2）根据业务需求，定制安全策略，实现权限控制、访问审计等功能。（3）利用框架提供的安全组件，提高开发效率，降低安全风险。6.3.2安全测试工具（1）使用静态代码分析工具，如SonarQube，检查代码中的安全漏洞。（2）利用动态测试工具，如OWASPZAP、AppScan等，对应用程序进行安全测试。（3）采用自动化测试工具，提高安全测试的效率，保证及时发觉和修复安全漏洞。6.3.3安全编码培训（1）组织安全编码培训，提高开发人员的安全意识和技能。（2）分享安全编码最佳实践，促进团队内部交流与学习。（3）关注行业安全动态，及时更新安全知识和技能。第7章银行卡与支付终端安全7.1银行卡安全7.1.1银行卡发行与风险管理银行卡发行流程与安全措施风险评估与控制策略7.1.2银行卡个人信息保护个人信息收集与存储安全银行卡数据加密与脱敏处理7.1.3银行卡交易安全交易验证机制与身份认证防欺诈系统与异常交易监测7.1.4银行卡丢失与盗刷防范卡片丢失后的应急处理措施盗刷风险防范与后续处理7.2支付终端设备安全7.2.1支付终端设备概述设备类型与功能特点安全标准与合规要求7.2.2支付终端设备硬件安全硬件设计与制造安全防破坏与防篡改措施7.2.3支付终端设备软件安全软件开发与安全测试漏洞防护与安全更新7.2.4支付终端设备操作与维护安全设备操作规范与人员培训设备维护与管理策略7.3移动支付安全7.3.1移动支付技术概述移动支付业务模式与流程移动支付安全风险分析7.3.2移动支付客户端安全客户端应用程序安全开发密码学与安全协议的应用7.3.3移动支付通信安全数据传输加密与完整性保护网络攻击防范与应对措施7.3.4移动支付用户身份验证生物识别与行为分析多因素认证与风险控制7.3.5移动支付应用场景安全线上支付与线下支付安全措施预防钓鱼与欺诈行为策略7.3.6移动支付安全监测与应急处置安全事件监测与预警应急处置与灾难恢复计划第8章安全运维管理8.1安全策略制定与实施8.1.1策略制定原则本节阐述电子银行系统和网络支付安全策略的制定原则，包括合规性、全面性、可操作性、动态性和持续性。8.1.2安全策略内容详细描述安全策略的具体内容，包括物理安全、网络安全、主机安全、应用安全、数据安全、用户身份认证、权限管理、加密技术等方面的规定。8.1.3安全策略实施介绍安全策略的实施过程，包括制定、审批、发布、培训、监督和评估等环节。8.2安全事件监控与应急响应8.2.1安全事件监控阐述安全事件监控的目标、方法和流程，包括实时监控、日志分析、异常检测等。8.2.2应急响应组织架构介绍应急响应组织的构成、职责和协同工作方式，保证在发生安全事件时能够迅速、高效地应对。8.2.3应急响应流程详细描述应急响应的流程，包括事件报告、初步判断、应急启动、调查分析、处置措施、信息通报、后续跟踪等环节。8.2.4应急预案管理介绍应急预案的制定、评审、更新和演练等环节，保证应急预案的有效性和实用性。8.3安全审计与合规性检查8.3.1安全审计目标与范围明确安全审计的目标、范围和内容，保证审计工作全面、深入地进行。8.3.2安全审计方法与工具介绍安全审计的方法、工具和流程，包括现场审计、远程审计、文档审查等。8.3.3合规性检查阐述合规性检查的目的、依据和流程，保证电子银行系统和网络支付业务符合国家法律法规及行业标准。8.3.4审计报告与改进措施详细描述审计报告的编制、发布和整改过程，对审计发觉的问题制定改进措施，并跟踪整改效果。8.3.5持续改进与优化介绍安全运维管理中持续改进与优化的方法，包括定期评估、经验总结、技术创新等，以提高电子银行系统和网络支付安全管理的水平。第9章用户安全教育与培训9.1安全意识培养9.1.1安全意识的重要性9.1.2安全意识培养方法9.1.2.1常见网络风险认知9.1.2.2案例分析教育9.1.2.3定期安全提示与更新9.1.3安全意识评估与改进9.2安全知识培训9.2.1电子银行系统安全知识9.2.1.1账户保护措施9.2.1.2交易验证方法9.2.1.3防范网络钓鱼与诈骗9.2.2网络支付安全知识9.2.2.1支付工具的安全使用9.2.2.2支付密码与生物识别技术9.2.2.3支付风险识别与应对9.2.3培训方式与实施9.2.3.