网上支付的安全使用访问控制技术精编版

1、,项目二 网上支付的安全使用,讨论： 使用网上支付时你最担心 哪些问题呢？,主要内容,网上支付安全风险与安全需求,网上支付安全协议,三、网上支付安全技术,二、网上支付的安全风险控制措施,一、,四、,一、网上支付安全风险与安全需求,1、网上支付的安全风险,密码管理问题,黑客攻击,大部分公司或个人密码 设置过于简单，甚至在 所有网站上使用的都是 同一个密码。,建议,密码不要设置 为姓名、生日 、电话号码等 简单密码,结合大小写字 母、数字符号 等共同组成密 码，且位数尽 量大于9,一、网上支付安全风险与安全需求,1、网上支付的安全风险,密码管理问题,黑客攻击,钓鱼网站,建立假网站诱骗客户输入账号密码 发送钓鱼邮件，引诱客户访问,键盘记录,通过木马植入监视用户操作，进而 窃取密码,嵌入浏览 器执行,屏幕“录像”,窃取数字 证书,伪装窗口,动态改变用户浏览页面内容，使用 户登录到没有安全控件保护的页面,记录用户鼠标和键盘操作记录,通过木马记录客户保存证书流程， 复制证书文件，非法使用,通过木马记录客户保存证书流程， 复制证书文件，非法使用,10万余基金半夜被转移 您的网上银行账户*基金已转账2

2、4日凌晨两点多，马先生和妻子被不断发来的这类短信吵醒。半夜了电脑已关，自家人没操作电脑，密码只有自己知道，咋会有网上银行的基金被转账的怪事?夫妻俩睡意全无，赶紧上网查看，果然发现多笔基金被分次转到他人账户。 张先生的开户行在小寨十字，24日早上，马先生急忙到开户行所在地小寨路派出所报案，被告知要到居住地所在派出所报案。马先生又来到东关南街派出所，被告知还得到开户行所在地报案。张先生担心被转账的账户将钱取走，就先到银行处理此事。记者赶到银行后，工作人员将张先生的网银交易记录打出来，确实发现：23日，有5000元现金在上海环讯电子商务消费，另有基金被转出的记录。,点击陌生网址泄露网银信息 随后，该银行办公室、个人金融部的两名工作人员来到小寨十字营业点了解情况。 24日下午，银行进一步调查发现：马先生的妻子刘女士在23日下午上网聊天时，有一个陌生QQ号发给她一个网址，她点击进入，看到是一个开户行所在银行的网站，上面宣称可销售电话卡，只要汇入指定账户一元，再输入个人的网上银行账号、密码，验证身份后，就能做电话卡的销售代理。刘女士按照提示一步步操作，没想到就这样泄露了个人的网银信息。 直到此时，

3、马先生和妻子才得知自己因链接陌生网址泄露网银信息，二人追悔莫及。,一、网上支付安全风险与安全需求,2、网上支付的信用风险,由于网络虚拟性，支付双方难以客观判断对方信用等级，容易产生信用怀疑，阻碍网上支付进行。 西方国家信用制度已经很健全，我国仍处于起步阶段，信用环境仍需加强,一、网上支付安全风险与安全需求,3、网上支付的法律风险,法律效力问题,法律责任分担问题,黑客的法律约束,对客户和银行，法律效力一般不会 出现问题，但是对于电子支票和电 子现金，因为其与传统法律有一定 抵触，效力存在一定争议。,一、网上支付安全风险与安全需求,3、网上支付的法律风险,法律效力问题,法律责任分担问题,未经授权使用的银行卡支付所造成的 损失由谁承担？ 消费者？商家？还是银行？,黑客的法律约束,一、网上支付安全风险与安全需求,3、网上支付的法律风险,法律效力问题,法律责任分担问题,法律的约束力对黑客来讲抵不过巨大 利益的诱惑，法律的惩罚力度和技术 的进步都是比不可少的。,黑客的法律约束,一、网上支付安全风险与安全需求,网上 支付 的安 全需 求,网络上资金数据流的保密性,相关网络支付结算数据的完整性,网络上

4、资金结算双方身份的认定,支付结算行为不可抵赖性,支付系统运行稳定快捷,二、网上支付安全风险控制措施,保障支付结算信息的机密性、完整性、不可否认性 不可拒绝性和访问控制性 能够经常测试安全状态 能够对可能的风险作出基本评估 系统的的安全被破坏后能够尽快恢复工作 应用相应法律法规保护安全利益,二、网上支付安全风险控制措施,（1）预防为主原则。 （2）根据网上支付结算的安全需要和目标来 制定安全策略原则。 （3）多人负责原则。 （4）任期有限原则。 （5）职责分离原则。,二、网上支付安全风险控制措施,加快认证中心建设，统一数字证书,加强网上支付安全信用体系建设,完善相应的法律法规,明确监管制定，加强金融监管,客户加强自我安全保护,1、核对网址，保管好密码和数字证书。 2、对异常动态提高警惕 3、使用安全正版的防毒软件和防火墙， 并及时更新。 4、限制无关人员靠近个人计算机，使用完网银后及时推出并清理上网痕迹。 5、核实交易方身份，保留交易记录,三、网上支付安全相关技术,主要知识点,了解 并 掌握 访问 控制 技术 的原 理与 应用,了解 并 掌握 数据 机密 技术 的原 理与 应用,了解 并

5、 掌握 数据 抵赖 技术 的原 理与 应用,了解 并 掌握 身份 认证 技术 的原 理与 应用,熟练 使用 网上 支付 系统 安全 技术 工具,一,二,三,四,五,三、网上支付安全相关技术,1.访问控制概述,网络支付平台系统的构成,客户机,银行专网,Intranet电子 商务服务器,Internet 支付网关,访问控制是在保障授权用户获取所需资源的同时，拒绝非授权用户访问的机制。 是在身份认证的基础上，根据身份的合法性对提出的资源访问请求加以控制 在用户身份已得到认证的前提下，限制主体对访问客体的访问权限，访问控制目的是“你能做什么，你有什么样的权限”。 身份认证防止非法用户进入系统； 访问控制防止合法用户对系统资源的非法使用,三、网上支付安全相关技术,1.访问控制概述,三、网上支付安全相关技术,访问控制的三要素,主体（Subject）：发出访问操作、存取要求的主动方， 通常为进程、程序或用户。,客体（Object）：被访问的对象，通常可以是被调用的 程序、进程，要存取的数据、信息，要访问的文件、系统 或各种网络设备、设施等资源。,1.访问控制概述,授权：授权是资源的所有者或者控制者准

6、许其他主体 访问这种资源，访问控制就是一种加强授权的方法,三、网上支付安全相关技术,访问控制的主要过程,1.访问控制概述, 规定需要保护的资源，即系统中被访问的对象（如文件、程序、存储器等），也就是确定客体。, 规定可以访问该资源的主体（通常是一个人，但有时也可能是一个程序或进程）；,确定客体,规定主体,规定可执行 操作, 规定可以对该资源执行的操作（如读、写、执行或不允许访问）；,确定安全 方案, 通过确定每个实体可对哪些资源执行哪些动作来确定该安全方案。,三、网上支付安全相关技术,访问控制系统的基本组成,1.访问控制概述,三、网上支付安全相关技术,2.防火墙技术与应用,（1）什么是防火墙？,我们现在讲的防火墙（Fire Wall）是最典型的访问控制产品。是一个由软件和硬件组合而成的隔离设备，设置在不同网络（如可信任的企业内部网不可信任的公共网）或网络安全域之间的保护屏障。,防火墙的最初含义：辞海上说“防火墙：用非燃烧材料砌筑的墙。设在建筑物的两端或在建筑物内将建筑物分割成区段，以防止火灾蔓延。”,三、网上支付安全相关技术,2.防火墙技术与应用,防火墙的应用示意图：,Internet

7、,防火墙系统（堡垒主机+路由器等）,企业内部网（如Intranet）,.,非安全网络,安全网络,三、网上支付安全相关技术,防火墙 的功能,一、双向监控功能 由内部安全的Intranet到外部不安全的Internet的访问和由外到内的访问都必须通 过防火墙的过滤,二、设置安全控制机制 设置用户认证等安全控制 机制，只有本地安全策略 所定义的合法访问才被 允许通过。,三、本身无法被穿 透 防火墙本身应无法被 穿透,四、明确Intranet边界,能够保护站点不被任意连 接总结并记录有关正在进行的 连接资源、服务器提供的通信量， 及试图闯入者的企图。,（2）防火墙的功能,三、网上支付安全相关技术,2.防火墙技术与应用,（3）防火墙的组成：,Internet 不安全网络,网关,外部过滤器,内部过滤器,Intranet 安全网络,防火墙的基本组成框架,三、网上支付安全相关技术,2.防火墙技术与应用,电子商务中防火墙与Web服务器的配置方式,Internet 不安全网络,Web 服务器,Intranet 安全网,防火墙+路由器,业务Web服务器放在防火墙之内的配置图,三、网上支付安全相关技术,2.防

8、火墙技术与应用,电子商务中防火墙与Web服务器的配置方式,Internet 不安全网络,Web 服务器,Intranet 安全网,防火墙+路由器,业务Web服务器放在防火墙之外的配置图,三、网上支付安全相关技术,2.防火墙技术与应用,（3）防火墙的种类：,目前按防火墙采用的技术分类，主要有包过滤型防火墙、代理服务器型防火墙（应用级防火墙）、状态检测型防火墙等。,a包过滤型防火墙,Internet,包过滤防火墙 +路由器,Intranet,包过滤式防火墙应用原理示意图,缺点：不能鉴别不同用户和防止IP地址盗用，即对应用层缺少保护，且数据包的源地址、目的地址和IP地址的端口号都在数据包头部，易被窃取和假冒,优点：不需任何额外费用，对用户透明，应用简单，处理速度快，效率高，易于维护,三、网上支付安全相关技术,2.防火墙技术与应用,b代理服务器型防火墙（应用级防火墙）,工作在应用层，通过对应用服务器提供代理程序来实现监视 和控制应用层的通信流，亦称为应用级防火墙,客户,访问请求,防火墙代理,客户 代理,访问 控制,服务器 代理,服务器,转发请求,应答,转发应答,代理服务器型防火墙应用原理示意图

9、,缺点：性能差，速度慢，不允许用户直接访问网络，透明性差，成本高,优点：比包过滤型防火墙更安全、可靠，能够详细记录所有访问状态信息,三、网上支付安全相关技术,2.防火墙技术与应用,c 状态监测型防火墙,使用一个在网关上执行网络安全策略的软件模块，称为 监测引擎，是第三代防火墙技术。,应用原理：,在不影响网络安全正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态的保存起来，作为执行安全策略的参考。,三、网上支付安全相关技术,2.防火墙技术与应用,（4）防火墙的优缺点：,优点：,1、遏制来自Internet各种路线的攻击 2、借助网络服务选择，保护网络中脆弱的易受攻击的服务 3、监视整个网络的安全性，具有实时报警提醒功能 4、作为部署NAT的逻辑地址 5、增强内部网中资源的保密性，强化私有权。,三、网上支付安全相关技术,2.防火墙技术与应用,（4）防火墙的优缺点：,缺点：,1、限制了一些有用的网络服务的使用，降低了网络性能 2、只能限制内部用户对外的访问，无法防护来自内部网络的攻击 3、不能完全防止传送感染病毒的软件或文件，特别是一些数据驱动型的攻击数据 4、被动防守，不能防备新的网络安全问题,网上支付安全风险与安全需求,网上 支付 面临 的安 全风 险,网上支付的安全风险,网上支付的法律风险,网上支付的信用风险,（2）访问控制的三要素：主体、客体、授权,一、访问控制技术,（1）访问控制技术的概念,（3）访问控制的主要过程：,确定客体,规定主体,规定可执行 操作,确定安全 方案,被访问的资 源是什么？,谁被允许访 问资源？,主体可以对资源 进行哪些操作？,形成解 决方案,1、防火墙技术,一、访问控制技术,（1）防火墙的概念,外网 （不安全）,内网 （安全）,Internet,防火墙系统（堡垒主机+路由器等）,企业内部网（如Intranet）,.,非安全网络,安全网络,（2）防火墙的功能（四个）,（3）防火墙的类型,包过滤型防火墙,代理服务器型

《网上支付的安全使用访问控制技术精编版》由会员ahu****ng1分享，可在线阅读，更多相关《网上支付的安全使用访问控制技术精编版》请在金锄头文库上搜索。