第四章 网上支付的安全问题
第一节 安全体系
第二节 加密系统
第三节 个人隐私保护
第四节 安全管理
第五节 案例讨论
安全性包括:
? 完整认证
? 信息完整
? 无拒绝支付
? 有效的查账机制
? 隐私权
第一节 安全体系
一、网络安全问题:金融机构和客户关心的
焦点。
? 用户登陆保护:用户使用 ID和密码,三次
机会(以减少黑客侵袭)
? 传输安全:使用加密或解密的方式
? 服务器安全和数据可靠性;用相关技术防
止金融机构数据受到外来威胁(防火墙、
独立服务器、路由器等)
二、银行的自我保护
? 杀毒软件
? 网络系统的连接安全
? 确保调制解调器是安全和正常登记的
? 监控电子邮件和附件
? 对客户和员工进行教育 ( 不要随意下载等 )
二, 银行的自我保护
? 建立完善的口令系统和控制口令的变更
? 屏蔽客户账号信息
? 超时离线功能
? 对外地雇员和客户提供远程登陆的安全系

? 定时从黑客处了解安全问题
? 杀毒软件
? 限制无关人员接近个人计算机
? 保护个人 ID和密码
? ID和密码的使用以不以别人猜中为
原则
三、客户的自我保护
三、客户的自我保护
? 使用安全易用的,有加密功能的浏览器
? 不打开来历不明的邮件和附件
? 不安装过期软件和来历不明的软件
? 完成一次银行服务后,彻底退出,并关
闭浏览器,然后再启动浏览器进行其他
浏览
第二节 加密系统
一、加密技术:数据的加密和密钥,将信息数据
进行不规则的编码,使在传输中,发送端和接
受端都能保持隐秘
? 密码:使用程序对两个和两个以上部分敏感数
据地传输进行加密
? 加密:将正常的话转化为密文格式
Watson,come here I need you---
adgdbqznccudkjewssxarf(二战时的德国爱玛
加密技术)
数据加密解密过程
D
解密
E
加密
明文 X 明文 X密文 C 密文 C
截取者
解密密钥 Kd加密密钥 Ke
? 数据加密技术:对称密钥加密、非对称
密钥加密算法
? 安全认证技术:数字摘要、数字信封、
数字签名、数字时间戳、数字证书
? 安全应用协议,SET,SSL,S-HTTP
? 防火墙,VPN....
二、防火墙:提供互联网和内部网隔离带
的计算机系统
? 保护那些易受攻击的服务
? 控制对特殊站点的访问
? 集中化的安全管理
? 对网络访问进行记录和统计
? 网络地址翻译器
二、防火墙
三、设置口令
不易作为口令设置的方式(避免黑客穷举法破
译):
? 名字、生日,识别号、个人信息
? 词汇、地名、名字的外语表示
? 行话、俚语、字母首字、电影名或庆典名
? 与名字、地址、信用卡号、电话号码相连的信

? 宠物名字、家庭成员名字
? 一组词的首字,如 IWG代表 I WILL GO
www.diceware.com专门产生随机口令的 网站
第三节 个人隐私保护
一、个人资料和个人隐私
? 个人资料
? 个人隐私:身份证明、证件号码、生日
二、个人隐私问题
? 盗用
? 利益交换
? 不法雇员出卖
? 交叉行业的并购和联合
? 设备(计算机)的更新
讨论:危害
三、个人隐私保护的相关措施
,欧盟隐私保护指令,
,互联网保护个人隐私的政策,
? 禁止提供客户帐号和编号给第三方
? 金融机构每年必须将个人隐私政策告诉客户
? 防止信息丢失、为非法组织获取或暴露
? 严格限制客户信息被转让
? 为可能的受害者补偿
第四节 安全管理
一、个人安全管理
? 安全的使用(用后退出)
? 确保业务银行的信用
? 使用安全支持个人交易的浏览器
? 杀毒
? 坚持网上最基本的安全措施(保护身份
证号、口令、限制打开附件和邮件等)
二、金融机构的安全管理
? 防止数据被窃听
? 专用数据的保护
? 验证用户
? 数据完整性检验
? 安全访问能力
? 系统可靠性
? 系统灵活性
? 标准化支持
第五节 案例讨论
? 网上购物人数和金额正与日俱增。据调查,全
球有 40%的互联网用户至少进行过一次网上购

? 网上欺诈行为正愈演愈烈。据估算,2000年全
球利用网上支付方式进行欺诈所涉及的金额高
达 16亿美元
? 90%的消费者对网上使用信用卡表示不放心,
只有 5%的人对电子商务完全信任
? 在经营网上销售业务的商家中,83%认为欺诈
是一个不容忽视的问题
? 如何对付顾客开出的假支票、假信用卡呢?
?
? 美国费城有个名叫米莱托的居民与两位朋友合
伙,开始通过, 美国在线, 在网上出售名牌玩
具。由于价格低廉,广告也颇具吸引力,使不
少网民看到后都寄出了支票。没多久,米氏 3
人便收到 2万多美元。但他们寄出的玩具中有
不少是假货,或质量极差。数月后,一些客户
向保护消费者权益的有关组织和美国在线投诉。
去年 3月,警方拘捕了米莱托及其同伙,而且
发现米莱托出售的玩具大多是假货;即使有真
的,也多为偷窃所得。
? 美国联邦贸易委员会进行了一次针对, 迅速致
富, 诈骗的搜寻浏览,28个国家和地区的 150
个组织参加了这次最大的国际执法活动,主要
目标是打击以互联网为依托的连锁投机诈骗、
贸易和投资机会诈骗、在家工作诈骗以及欺骗
性的当日买卖活动。联邦贸易委员会号召了几
十个国际组织参加了这次浏览活动。结果搜寻
了 1600多个涉嫌进行, 迅速致富, 诈骗的网站,
所用招牌形形色色,如, 装信封每周赚 5000美
元、做邮售生意每天赚 4000美元、经营虚拟商
场保证一年净赚 20万美元, 等等。
? 1995年成立的 eBay公司是目前全球最大
的拍卖网站,有 1890万注册用户,去年
网上交易总额达到了 50亿美元。最近,
该公司开始对网上拍卖的商品实行全面
监控,对录像带,CD,DVD和软件等产
品实行极为严格的审核,值班工作人员
会随时将有明显假冒迹象的产品从网页
上抹掉。
? 全球最大的网站书店亚马逊公司,不久
前也与美国商业软件联合会签署了协议,
拟采取措施防范盗版软件。雅虎公司则
宣布,它将安装一套新的技术系统,以
确保网上销售的商品货真价实。有不少
网站还雇请专业律师把关,随时处理用
户的举报和投诉。
国内网上诈骗第一案
? 2000年 6月 1日,国内最大的拍卖网站雅宝拍卖
网客户中心收到了一封不同寻常的电子邮件,
一位山东泰安的王先生在网上通过竞价方式购
买了一部诺基亚 8810手机,汇款给卖主后,就
和这位名叫,kiss590069”的物主失去了联系。
雅宝客户服务中心根据王先生提供的线索查找
后发现,网名为,kiss590069”的物主所有注册
信息的真实性都值得怀疑。经进一步核实,该
人同时有 4台手机正在网上拍卖,参与竞标的
人相当多,物主的留言很有吸引力,物品的起
拍价格均低于市场价 1500元至 2000元。
? 雅宝客户服务中心通过各种方式找到了曾与
,kiss590069”物主进行过交易接触的其他几位
用户,经证实,这几位用户的交易情况也与王
先生的情况基本相同,于是,雅宝认定这是一
起蓄意的网上诈骗案件,建议并协助受骗的 5
位用户向诈骗嫌疑人所在地张家口宣化警方集
体报案。该案件受到警方高度重视并迅速立案
侦察,雅宝也随即向警方提供了涉嫌用户的全
部资料及数据记录,宣化区警方迅速将涉嫌诈
骗的案犯捉拿归案。据警方介绍,年仅 18岁的
犯罪嫌疑人还同时在其他几家知名的网络上进
行诈骗,涉案金额达数万元。