网络攻击的动机
– – – – – – – – 偷取国家机密 商业竞争行为 内部员工对单位的不满 对企业核心机密的企望 网络接入帐号、信用卡号等金钱利益的诱惑 利用攻击网络站点而出名 对网络安全技术的挑战 对网络的好奇心
网络在信息中的传输
金融的信息安全隐患 – 信息的截获和窃取 – 信息的篡改 – 信息的假冒 – 交易抵赖
三、 进行商务活动的双方必须得到某种身份认证，保 证交易的安全性。
网络金融安全交易体系
网络金融活动的
广泛的电子金融与商务活动业务系统 电子金融活动如电子支付系统
信息安全体系包 括基本加密技术、 安全认证技术以 及安全应用标准 与协议3大层次， 在此安全体系之 上便可以建立网 络金融与商务活 动的支付体系和 各种业务应用系 统。
安全电子邮件 在商业机构或政府发机密文件时，确认其完整性、机密性、认证
身份。其协议S/MIME，有赖于PKI技术。
Web安全
利用PKI技术，SSL协议允许在浏览器和服务器之间进行加密通
信。服务器和浏览器通信双方可以通过数字证书确认对方身份。
数字证书
数字证书是一个经证书授权中心数字签
防火墙体系结构与类型
三种防火墙配置方案
• 双宿主机网关 • 用一台装有两个网络适配器的双宿主机做防火墙。 双宿主机用两个网络适配器分别连接两个网络， 称为堡垒主机。防火墙上运行着防火墙软件（通 常是代理服务器），可以转发应用程序，提供服 务等。
– 两种服务方式 • 用户直接登录 • 运行代理服务器
认证中心的构成

接收用户证书申请的证书受理者（RS） 证书发放的审核部门（RA） 证书发放的操作部门（CP），一般称这部分为CA， 以及记录、作废证书的证书作废表（CRL）
– 在证书申请被审批部门批准后，CA通过登记服务器将证书发放给申 请者。 – 电子商务CA体系包括两大部分，即“金融CA”体系（如SETCA体系）
PKI的体系结构及功能
PKI两种策略：证书策略；CPS（证书运作规范） CA机构：发放证书，规定有效期，发布证书废除列表。 RA机构：提供用户和CA之间的接口，获取并认证用户身份。
证书发布系统：负责证书的发放。
PKI应用：电子邮件、服务器和浏览器之间的通讯、EDI、信用卡交易
PKI的服务应用
防火墙体系结构与类型
屏蔽主机网关 屏蔽主机网关（双宿堡垒主机） – 它分为单宿堡垒主机和双宿堡垒主机两种。
屏蔽主机网关（单宿堡垒主机）
屏蔽子网
这种方法是在Intranet和Internet之间建立一个被隔离的子网，用
两个包过滤路由器将这一子网分别与Intranet和Internet分开。可 在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问 提供代理服务，来自两个网络的访问必须通过两个包过滤路由器 的检查。
二、入侵检测系统
入侵检测系统（IDS）是一种网络安全系
统，当敌人或恶意用户试图进入网络甚 至计算机系统时，IDS能检测出来，并进 行报警，通知网络采取措施进行响应。 IDS是检测和发现为特征的技术行为，追 求的是漏报率和误报率的降低。
三、漏洞扫描技术
根据工作模式，分为主机漏洞扫描器和网络漏
五、混合密码技术
充分利用非对称密钥和对称密钥加密算
法的优点，克服缺点，解决每次传送更 换密钥的问题，出现了混合密钥系统。 利用对称加密算法加密大量输入数据提 供机密性，然后利用公钥加密对称密钥。 混合密码系统能同时提供机密性和存取 控制。
3.4 数字认证技术
PKI技术
PKI（public key infrastructure) 是一种遵循标准的利 用公钥加密技术为电子商务的开展提供一套安全基 础平台的技术和规范。用户利用PKI平台提供的服 务进行安全通信。 PKI在实际应用上是一套软硬件和安全策略的集合， 它提供了一整套安全机制，使用户在不知道对方身 份或分布很广的情况下，以证书为基础，通过一系 列的信任关系进行通讯和电子商务交易。 PKI的基础技术包括：加密、数字签名、数据完整性 机制、数字信封、双重数字签名等。
四、哈希散列算法
单向散列函数是一种计算相对简单但很难进行
逆向运算的函数。 hash函数是把任意长的输入串x变化成固定长的 输出串y的一种函数。 HASH函数的数学表述为： y=f(x), x是任意长度 明文，y是固定长度，即每改变x的一比特，都 将对y产生明显影响。 消息摘要用来检测消息的完整性。 目前常用的Hash算法主要有ＳＨＡ-１和ＭＤ５
PKI作为整个社会的安全基础设施，能为不同的用户提供多种安
全服务，核心服务包括提供认证、完整性和机密性，附加服务包 括提供抗抵赖服务、安全时间戳和公正服务。
虚拟专用网（VPN） VPN是一种架构在公用通信基础设施上的专用数据通信网络，利
用网络层安全协议和建立在PKI上的加密与签名技术获得机密性 保护。
3.2 网络安全技术
– 概念
• 古时候，人们常在寓所之间砌起一道砖墙，一旦 火灾发生，它能够防止火势蔓延到别的寓所，这 种墙因此而得名“防火墙”，主要进行火势隔离。 • 它是设置在用户网络和外界之间的一道屏障，防 止不可预料的、潜在的破坏侵入用户网络。
– 特性：
• 所有从内部到外部或者从外部到内部的通信都必 须经过它。 • 只有被内部访问策略授权的通信才被允许通过； • 系统本身具有高可靠性。
实例：中国金融认证中心
– 中国金融认证中心（China Financial Certification Authority， 简称CFCA），是由中国人民银行牵头，联合工商行、农行、 中国银行、建行等十四家全国性商业银行共同建立的国家级 权威金融认证机构。 – 中国人民银行牵头的CFCA工程在1999年3月29日开始招标， 最终签署两份合同：一份由SUN、Entrust、德达公司承建 PKICA系统建设工作；另一份由IBM承建SETCA系统建设工 作。 中国金融认证中心专门负责为电子商务的各种认证需求提供数字 证书服务，为参与网上交易的各方提供信息安全保障，建立彼此 信任的机制，实现互联网上电子交易的保密性、真实性、完整性 和不可否认性。同时参与制定有关网上安全交易规则，确立相应 技术规范和运作规范，提供网上支付，特别是网上跨行支付的相 互认证等服务。 中国金融认证中心的突出特点是其金融特色，CFCA证书发放前 须经过金融机构审批以规避交易中可能发生的支付风险，证书申 请者必须具备合格的金融资信和支付能力才能获得CFCA证书。
的身份，或者请求代理人与注册机构联系。
CA发行证书。RA向CA传输用户的证书申请与操作员
的数字签名，验证通过，颁发证书。
注册机构证书转发。RA操作员得到新的证书，操作员
向用户发送一封电子邮件，通知用户证书已经发成功， 告之系列号。
用户证书获取。
证书的撤消和存放
撤消 用户向注册机构操作员发送一封加密的邮件， 申明愿意撤消证书。 注册机构同意撤消，CA查询证书撤消请求列 表（CRL），验证，更新CRL列表。 存放 使用IC卡存放证书 下载到磁盘或自己的终端上。 CRL一般通过网上下载方式存储在用户端。
• 作为网络安全的集中监视点。防火墙可以记录通 过他的访问，并提供统计数据，提供预警和审计 功能。
防火墙
一、防火墙技术
– 防火墙体系结构与类型
• 包过滤型
– 处理对象是网络层中的数据包，功能是处理 通过网络的数据包信息，实现进出网络的安 全控制。 – 价格便宜，通常安装在路由器上，适用于安 全性要求较低的小型电子商务和网络金。 证书使用者
证书发放部门 开放的电子 商务活动网络 平台 证书受理部门
业务受理点
证书审核部门
记录、作废证书部门
证书的申请和撤消（CA365）
证书的申请方式有两种方式，在线申请和离线申请。 在线申请步骤：填写表格，提交给注册机。
注册机构审核。用户与注册机构人员联系，证明自己
电子金融交易安全要素 – 有效性 – 机密性 – 完整性 – 不可否认性
二、网络金融安全防范技术
网络金融网络安全防范技术 计算机网络安全是电子金融与电子商务活动安全的
基础，一个完整的商务活动系统建立在安全的网络 基础设施之上。 包括：操作系统安全、防火墙技术、虚拟专用网技 术、入侵检测技术。 网络金融信息安全防范技术 包括：加密技术、认证技术
3.1 网络金融安全问题的提出
一、网络金融犯罪 网络犯罪案件逐年上升 2004年底到2005年初,中国银行,工商行,农业银行的 网站先后在互联网上被克隆。 网络金融犯罪可以追溯到1996年。当年，美国立案 查处了一起篡改银行计算机数据，窃取现金的案件。 以后的40年，网络金融犯罪在全球逐步蔓延并呈几 何级增长。 研究表明：计算机犯罪平均每件案件所造成损失高 达45万美元，而传统的银行欺诈案和侵占案平均损 失1.9万美元；银行抢劫案的平均损失不过4900美元。
防火墙体系结构与类型
应用网关型
应用网关型防火墙 应用网关型防火墙的处理对象是各种不同的应用服务， 其功能是检查进出网络的各种服务。 目前防火墙技术一般和路由器结合一起使用，包过滤 防火墙负责处理网络层数据， 应用网关型防火墙负责 处理应用层数据。 最简单的防火墙配置，是直接在内部网和外部网之间 加装一个包过滤路由器或者应用网关。
– 目的
• 防止不希望的、未授权的通信进出被保护的网络，
一、防火墙技术
防火墙的基本功能 – 作用 • 过滤不安全的服务和非法用户；禁止未授权的用 户访问受保护的网络。
• 控制对特殊站点的访问。防火墙可以允许受保护 网络中一部分主机被外部网访问，另一部分则被 保护起来。例如：受保护网中的mail、FTP、 WWW服务器可被外部网访问，而其他访问则被 禁止。