网络支付安全策略的主要内容
安全策略具体内容中要定义保护的资源，要定义保护的风险，要吃透 电子商务安全的法律法规，最后要建立安全策略和确定一套安全机制。
1.定义实现安全的网络支付结算的保护资源
公正第三方
金融机构 税务等政府机构
安全的通信通道
交易方A：机 密支付信息
交易方B：机 密支付信息
安全的网络支付系统组成示意图
网络支付安全策略制定的目的、涵义和原则

制定网络支付安全策略的目的
保障相关支付结算信息的机密性、完整性、认证 性、不可否认性、不可拒绝性和访问控制性不被破 坏； 能够有序地、经常地鉴别和测试安全状态； 能够对可能的风险做基本评估； 系统的安全被破坏后的恢复工作。 应用相应法律法规来保护安全利益
网络平台系统的构成及其主要安全威胁

Internet的最基本安全需求
网络边界的安全 内部网络的安全 身份验证 授权管理 数据的保密性和完整性 完整的审计、记录、备份机制，以便分 析处理
22

网络平台系统的安全措施
网络平台上安全措施主要从三个方面来叙述。 1、保护网络安全 2、保护应用的安全
网络支付安全案例二
小芳出差在外，闲着无聊，就用宾馆的电脑上网 淘宝。她看中了一条 99元的裤子后就决定下单付款。 Text in Text in Text in here here here 提交订单后，没有多想就直接插入 U顿用网银进行付 款。随后她收到银行短信显示她的银行账户已付款 19999元。小芳当场就呆住了，自己明明只花了99元 为何会变成19999元。小芳打电话向银行求证，银行 确认消费19999元，小芳顿时觉得自己被骗了。于是 她重新打开来支付成功的页面，刷新一看原来的99元 竟然变成了19999元，小芳当场报了警。
数字信封

数字信封的优点
加密、解密速度快，可以满足即时处理需要 RSA和DES相结合，不用为交换DES密钥周折 ，减小了DES泄密的风险 具有数字签名和认证功能 密钥管理方便 保证通信的安全

数字证书

数字 证书
1.数字证书的定义和应用原理
数字证书：指用数字技术手段确认、鉴定、认证Internet上信息交 流参与者身份或服务器身份，是一个担保个人、计算机系统或者 组织的身份和密钥所有权的电子文档。 工作原理：接收方在网上收到发送方业务信息的同时，还收到发 送方的数字证书，通过对其数字证书的验证，可以确认发送方的 身份。在交换数字证书的同时，双方都得到了对方的公开密钥， 由于公开密钥是包含在数字证书中的，可以确信收到的公开密钥 肯定是对方的。从而完成数据传送中的加解密工作。
支付网关：internet与金融专用网络之间
的安全接口，进行相关协议和数据格式的 转换。 金融专用网络：银行内部及银行之间进行 通讯的专用网络，具有很高的安全性，它 是网络支付支撑网络平台的一部分。 CA认证中心：发放和管理数字证书，提供 数字证书服务，保证支付结算的安全。 网络支付遵循的通讯协议、支付工具标准。
网络支付安全
网络支付的产生与定义
电子支付是以金融电子化网络为基础， 以商用电子化工具和各类交易卡为媒介，以 1 Click to add title ihere 计算机技术和通讯技术为手段，将货币以电 子数据形式存储在银行的计算机系统中，并 2 Click to add title in here 通过计算机网络系统以电子信息传递形式实 现流通和支付。
网络支付面临的安全问题
据报道，美国国土安全部高级官员于2007年6月向美国国会承认 ，从2005年到2006年，该机构遭到黑客入侵、电脑病毒爆发和其他 计算机安全问题的骚扰高达800次以上。
1.电子商务的主要安全隐患
ThemeGallery is a Design Digital Content & Contents mall developed by Guild Design Inc.
A
B
C
D
网络支付的安全需求
1.网络上资金流数据的保密性 2.相关网络支付结算数据的完整性 3.网络上资金结算双方身份的认定 4.不可抵赖性 5.保证网络支付系统的运行可靠、快捷，做好 数据备份与灾难恢复功能 6. 建立共同的网络支付行为规范，进行相关立法，以 强制力手段要求网络支付相关各方严格遵守
公开密钥加密法
比较著名的公开密钥加密算法有RSA算法、 DSA算法等

2.私用密钥加密法的使用过程
密钥A 密钥A
乙银行：
有一笔 20 000元 资金转帐 至贵行12345 加密 账号上 甲银行 信息明文 甲银行 信息密文
乙银行： 网络传输
有一笔 20 000元 资金转帐 至贵行12345 解密 账号上 甲银行 信息明文 乙银行
网络支付安全案例一
年近5旬的耿大妈近日在淘宝上网购了一款密斯 皮衣筹办买了送给女儿，谁知等耿大妈将 Text in Text in Text in 900元的货 here here here 款以银行汇款的方式打给卖家后，耿大妈发现货品迟 迟不到，于是就给店东打电话。而这时辰耿大妈发现 店东已经不再接听自我的电话。 后来又打电话给淘宝网，说了然具体情况，但是 淘宝网以未用支付宝支付为理由暗示很难解决，意见 去报案。对于淘宝网的做法，当事人非常不可以接管 。“之前，淘宝网承诺一旦有纷争自我都先行赔付消 费者，还打着‘你敢买我敢赔’的标语暗示替消费者 维权。”
网络支付平台的安全及防火墙技术
网络平台系统的构成及其主要安全威胁

网络平台系统的构成
客户机
Internet
Intranet 电子商务服务器
支付网关
银行专网
支持网络支付的网络平台系统组成示意图
网络平台系统的构成及其主要安全威胁

公共通信通道Internet的安全威胁
截断堵塞：如切断通讯线路、毁坏硬件、病毒瘫痪软
3、保护系统安全
防火墙技术与应用

1.防火墙的定义
防火墙 (Firewall)，是一种由计算机软件和硬件 组成的隔离系统设备，用于在Intranet和Internet之 间构筑一道防护屏障，能按设置的条件进行区分， 实现内外有别。其主要目标是保护 Intranet 中的信 息、资源等不受来自Internet中非法用户的侵犯，它 控制Intranet与Internet之间的所有数据流量。
提供不可否认服务。
能够处理网上贸易业务的多边支付
问题。 系统使用应方便，大多支付过程应 对客户和商家透明。 能够保证网络支付结算速度，让客 户和商家感到快捷。
网络支付的特征
网络支付通过数字化、电子化、无纸化的
方式完成支付结算过程。 Text in Text in Text in 网络支付具有方便、快捷、高效、经济的 here here here 优势。 网络支付具有轻便性和低成本性。 网络支付具有较高的安全性和一致性。 网络支付可以提高企业资金管理水平，同 时也增加了管理复杂性。 银行提供网络支付支持，使客户满意度和 忠诚度上升。
网络支付系统的基本功能
能够使用数字签名和数字证书实现交
Text in here Text in here
易各方的身份认证，防止支付欺诈。 使用可靠的加密技术，对支付信息加 Description of 密。 the contents Text in here Text in here 能够使用数字摘要算法确认支付电子 信息的真伪性，防止伪造假冒等欺骗 行为。
网络支付体系的基本构成
客户：在INTERNET上与商家有交易关系未
清偿债务的一方。客户的需求，它是网络 支付体系运作的原因和起点。 Text in here Text in here 商家：拥有债权的商品交易的另一方。可 Contents 以根据客户发起的支付指令向金融机构请 求结算。 客户开户行：客户拥有资金账户的银行， Contents 并为客户提供网络支付工具。 商家开户行：商家开设资金账户的银行， 是最终交易资金流向的目的地。
安全策略是由个人或组织针对网络支付结算安全全面制定的 ， 安全机制是实现安全策略的手段或技术、整套规则和决策
Байду номын сангаас
保证网络支付安全的解决方法
(1)交易方身份认证 (2)网络支付数据流内容保密 (3)网络支付数据流内容完整性 (4)保证对网络支付行为内容的不可否认性 (5)处理多方贸易业务的多边支付问题 (6)网络支付系统软件、支撑网络平台的正常运行 (7)政府支持相关管理机构的建立和电子商务法律的制定
3 Click to add title in here
本质：支付方法和手段的电子化 Click to add title in here 4
网络支付是指以电子商务为商 业基础，以商业银行为主体，参与 电子商务活动的一方向另一方使用 安全电子支付手段通过公共网络 （特别是internet）进行的货币支 付和资金流转的过程。
2.定义保护的风险
每一新的网络支付方式推出与应用，均有一定的风险，因为 绝对安全的支付手段是没有的，要进行相关风险分析。还要注意 网络支付工具使用安全与使用便利、快捷之间的辩证关系。
3.完全理解、遵循和利用有关电子商务安全与网 络支付安全的法律法规 4.建立相关安全策略和确定一套安全机制
安全策略中最后要根据定义的保护资源、定义的保护风险、 电子商务安全的法律法规，建立安全策略和确定一套安全机制。
网络支付安全策略制定的目的、涵义和原则

网络支付安全策略的涵义
安全策略必须包含对安全问题的多方面考虑因
素。安全策略一般要包含以下内容：
认证、访问控制、保密、数据完整性、法律法
规等、审计。
网络支付安全策略制定的目的、涵义和原则

制定网络支付安全策略的基本原则