信息安全技術(shù)

在電子支付領(lǐng)域的應(yīng)用與創(chuàng)新1a信息安全技術(shù)

在電子支付領(lǐng)域的應(yīng)用與創(chuàng)新信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用

■

電子支付與網(wǎng)絡(luò)信息安全■

電子支付安全的重要性■

電子支付安全隱患■

電子支付安全需求■

電子支付安全構(gòu)架■

虛擬賬戶運(yùn)營項(xiàng)目中的應(yīng)用建議2a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用■電子支付與網(wǎng)絡(luò)信息信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用

隨著網(wǎng)絡(luò)的日益普及，尤其是電子商務(wù)的快速發(fā)展，電子支付的重要性越來越明顯，已經(jīng)成為整個電子商務(wù)產(chǎn)業(yè)鏈中的核心環(huán)節(jié)。正因?yàn)榛趶V泛互聯(lián)且完全開放的網(wǎng)絡(luò)平臺，電子支付實(shí)現(xiàn)了低成本、高效率、全球性的資金流轉(zhuǎn)模式。但是，這種便捷開放的信息交互方式同時也表現(xiàn)出在網(wǎng)絡(luò)安全方面的脆弱性。所以，研究和開發(fā)信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用與創(chuàng)新，已成為當(dāng)前發(fā)展我國電子商務(wù)的關(guān)鍵所在?！?/p>

電子支付與網(wǎng)絡(luò)信息安全

3a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用

艾瑞市場咨詢《2005年中國網(wǎng)上支付研究報告》顯示，在不使用網(wǎng)上支付的網(wǎng)民中，有超過60%的人由于擔(dān)心交易過程的安全性而不愿進(jìn)行在線支付操作。無論個人、公司或商業(yè)機(jī)構(gòu)甚至銀行，都不會通過一個不安全的網(wǎng)絡(luò)進(jìn)行錢款交易，這樣會引發(fā)商業(yè)機(jī)密信息或個人隱私的泄漏，從而導(dǎo)致巨大的經(jīng)濟(jì)利益損失。由此可見，網(wǎng)絡(luò)信息安全技術(shù)的發(fā)展直接決定了電子商務(wù)的成敗。■

電子支付安全的重要性

4a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用艾瑞市場咨詢

電子支付安全的重要性5a電子支付安全的重要性5a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用

●

信息的截獲和竊取●信息的篡改、刪除、插入●信息假冒●交易抵賴■

電子支付安全隱患

6a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用●信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用

要構(gòu)筑一個安全可靠的電子支付交易系統(tǒng)，合理規(guī)避上述安全隱患的出現(xiàn)，應(yīng)滿足相應(yīng)的安全控制要求：

■

電子支付安全需求

●數(shù)據(jù)完整性

●信息機(jī)密性

●身份認(rèn)證性

●不可抵賴性

●防控有效性

7a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用要構(gòu)筑一個安全可靠的電子支信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用●信息機(jī)密性：

防止非授權(quán)用戶使用系統(tǒng)資源，預(yù)防非法的信息存取或信息在傳輸過程中被非法竊取而導(dǎo)致泄密?！駭?shù)據(jù)完整性：

阻止非法實(shí)體對交換數(shù)據(jù)的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證傳送次序的統(tǒng)一?！裆矸菡J(rèn)證性：

交易雙方對各自身份合法性、真實(shí)性進(jìn)行鑒別、確認(rèn)，以防第三者假冒?！鲭娮又Ц栋踩枨?a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用●信息機(jī)密性：■電信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用●

不可抵賴性：在信息的傳輸過程中，為交易雙方提供可靠的標(biāo)識，用于證實(shí)已發(fā)生過的操作，保證電子定單等信息的不可否認(rèn)性，防止抵賴行為?！?/p>

防控有效性：對網(wǎng)絡(luò)故障、硬件故障、系統(tǒng)軟件錯誤、應(yīng)用程序錯誤、操作錯誤及計算機(jī)病毒所產(chǎn)生的潛在風(fēng)險加以控制和預(yù)防，以保證交易數(shù)據(jù)在確定的時刻和地點(diǎn)是有效的。■電子支付安全需求9a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用●不可抵賴性：■信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用

電子支付安全是網(wǎng)絡(luò)信息安全技術(shù)的上層應(yīng)用，其安全管理體系主要可劃分為兩大部分：計算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全，如圖所示：■

電子支付安全構(gòu)架

交易安全技術(shù)安全管理體系網(wǎng)絡(luò)安全技術(shù)安全應(yīng)用協(xié)議--SSL、SET安全認(rèn)證手段--數(shù)字簽名、CA體系基本加密算法--對稱和非對稱加密算法病毒防范技術(shù)身份識別技術(shù)防火墻技術(shù)--分組過濾和代理服務(wù)器虛擬專用網(wǎng)技術(shù)法律規(guī)范、政策電子支付安全構(gòu)架10a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用電子支付安全是網(wǎng)絡(luò)信息安業(yè)務(wù)管理與信息安全技術(shù)在虛擬賬戶運(yùn)營項(xiàng)目中的應(yīng)用建議11a業(yè)務(wù)管理與信息安全技術(shù)11a關(guān)于信息安全技術(shù)應(yīng)用

通過業(yè)務(wù)管理與技術(shù)安全體系保障相結(jié)合，共同保障業(yè)務(wù)運(yùn)營及實(shí)施的安全■業(yè)務(wù)邏輯的設(shè)計■內(nèi)部運(yùn)營管理■硬件安全技術(shù)保障■軟件安全加密措施■系統(tǒng)運(yùn)維保障12a關(guān)于信息安全技術(shù)應(yīng)用通過業(yè)務(wù)管理與技業(yè)務(wù)邏輯的制定業(yè)務(wù)邏輯的合理化制定■

業(yè)務(wù)流程的設(shè)計符合正常心態(tài)操作流程■

多層次驗(yàn)證業(yè)務(wù)申請及發(fā)起■

業(yè)務(wù)邏輯設(shè)計符合市場化推廣需要13a業(yè)務(wù)邏輯的制定業(yè)務(wù)邏輯的合理化制定13a內(nèi)部運(yùn)營管理內(nèi)部運(yùn)營管理的流程化、規(guī)范化制定■業(yè)務(wù)流程的設(shè)計與崗位配置的結(jié)合市場、運(yùn)營及財務(wù)的獨(dú)立管理■運(yùn)營管理的分工與互為監(jiān)督客戶功能的設(shè)置后臺管理功能的健全（商戶管理、操作權(quán)限的設(shè)置、證書管理、交易查詢、報表查詢…）■財務(wù)制度的健全資金管理的權(quán)限設(shè)置與監(jiān)管；資金流與信息流的對稱。■信息技術(shù)處理與傳統(tǒng)財務(wù)復(fù)核的相結(jié)合業(yè)務(wù)測試的重要性；定期的業(yè)務(wù)流程回顧與完善；財務(wù)審計…14a內(nèi)部運(yùn)營管理內(nèi)部運(yùn)營管理的流程化、規(guī)范化制定14a硬件/軟件安全保障體系■硬件安全技術(shù)保障●

網(wǎng)絡(luò)層●

系統(tǒng)層●

應(yīng)用層■軟件安全加密措施●

協(xié)議模式●

加密算法●

安全認(rèn)證15a硬件/軟件安全保障體系■硬件安全技術(shù)保障15a硬件安全技術(shù)保障■

硬件安全技術(shù)保障●網(wǎng)絡(luò)層：采用整合型的防火墻體系屏蔽病毒和攻擊，同時配合防黑客入侵、防病毒、漏洞掃描等工作?！裣到y(tǒng)層：平臺開發(fā)采用目前公認(rèn)的前沿技術(shù)，充分保證系統(tǒng)的安全性和穩(wěn)定性；該技術(shù)具有跨平臺以及優(yōu)秀的承載性，輕松駕馭企業(yè)的應(yīng)用需求。●應(yīng)用層：穩(wěn)健的安全技術(shù)構(gòu)架，使服務(wù)器系統(tǒng)具有極強(qiáng)的可擴(kuò)展性，可以負(fù)荷千萬用戶級別。16a硬件安全技術(shù)保障■硬件安全技術(shù)保障●網(wǎng)絡(luò)層：16a軟件安全加密措施■

軟件安全加密措施●

協(xié)議模式--SSL與SET相結(jié)合支付網(wǎng)關(guān)與銀行端通訊使用SSL加密傳輸和SET協(xié)議，并通過國際認(rèn)證機(jī)構(gòu)VeriSign的128位服務(wù)器加密認(rèn)證，以保障B2C電子支付的安全實(shí)施。17a軟件安全加密措施■軟件安全加密措施●協(xié)議模式17a

●

協(xié)議模式

SSL協(xié)議（SecureSocketsLayer，安全套接層）國際上最早應(yīng)用于電子商務(wù)的一種安全通信協(xié)議；針對網(wǎng)絡(luò)環(huán)境提出，可用于加密任何基于TCP/IP的應(yīng)用，提高數(shù)據(jù)信息安全傳遞系數(shù)；目前已成為網(wǎng)絡(luò)通信底層協(xié)議的實(shí)際標(biāo)準(zhǔn)。SET協(xié)議（SecureElectronicTransaction），安全電子交易）用于在網(wǎng)絡(luò)上進(jìn)行銀行卡安全在線交易而設(shè)立的電子支付系統(tǒng)規(guī)范；規(guī)定了交易各方進(jìn)行支付結(jié)算時的具體流程和安全措施；確保支付信息的機(jī)密、支付過程的完整、商戶及持卡人的合法身份及可操作性。18a●協(xié)議模式SSL協(xié)議SET協(xié)議18a網(wǎng)銀在線安全制勝●對比SSL協(xié)議和SET協(xié)議協(xié)議模式SSL協(xié)議SET協(xié)議用戶接口內(nèi)置于瀏覽器和WEB服務(wù)器，無需安裝專門軟件客戶端需安裝專門的電子錢包軟件；在商家服務(wù)器和銀行網(wǎng)絡(luò)上同時需安裝相應(yīng)軟件處理速度處理復(fù)雜、速度慢處理簡單、速度快認(rèn)證要求商家服務(wù)器認(rèn)證是必須的，客戶端認(rèn)證則是可選的所有參與SET交易的成員都必須申請數(shù)字證書，有效解決了多方認(rèn)證問題安全性缺乏完整的認(rèn)證體系，不能提供完備的防抵賴功能，安全性較低采用雙重簽名保證各參與方信息相互隔離，安全性高協(xié)議層次和功能傳輸層的通用安全協(xié)議，是電子支付體系中傳輸部分的技術(shù)規(guī)范位于應(yīng)用層，規(guī)范了電子支付的整體流程，制定了嚴(yán)格的加密和認(rèn)證標(biāo)準(zhǔn)；具備商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性功能19a網(wǎng)銀在線安全制勝●對比SSL協(xié)議和SET協(xié)議協(xié)議模式■軟件安全加密措施●

加密算法--PKI數(shù)字簽名技術(shù)支付平臺本身使用PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）作為安全架構(gòu)，訂單信息傳輸采用數(shù)字簽名技術(shù)進(jìn)行加密和校驗(yàn)，從而確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的機(jī)密性、真實(shí)性、完整性和不可抵賴性。20a■軟件安全加密措施●加密算法20a網(wǎng)銀在線安全制勝●加密算法--PKI數(shù)字簽名技術(shù)21a網(wǎng)銀在線安全制勝●加密算法21a■軟件安全加密措施●

安全認(rèn)證--CA機(jī)構(gòu)數(shù)字證書支付網(wǎng)關(guān)在業(yè)內(nèi)率先支持國家授權(quán)認(rèn)可的第三方電子認(rèn)證服務(wù)體系，完全符合中國《電子簽名法》要求，所有交易數(shù)據(jù)受到法律保護(hù)；交易信息經(jīng)過CA（CertificateAuthority，證書授權(quán)中心）頒發(fā)的數(shù)字證書簽名、加密并記錄保留，可以有效預(yù)防黑客的篡改和竊取，最大限度地保障商戶的交易安全。22a■軟件安全加密措施●安全認(rèn)證22a●

CA機(jī)構(gòu)安全認(rèn)證流程

發(fā)放發(fā)放CA認(rèn)證中心支付網(wǎng)關(guān)商家數(shù)字證書加密、簽名企業(yè)數(shù)字證書服務(wù)器身份證書確保網(wǎng)上支付信息私密性、真實(shí)性、完整性和不可抵賴性虛擬賬戶銀行賬戶23a●CA機(jī)構(gòu)安全認(rèn)證流程發(fā)放發(fā)放CA認(rèn)證中心支付■軟件安全加密措施●

安全認(rèn)證

--VBV驗(yàn)證服務(wù)在國際信用卡安全支付方面，網(wǎng)銀在線與VISA國際組織結(jié)成戰(zhàn)略合作伙伴關(guān)系，推廣采用“3D”安全標(biāo)準(zhǔn)的『VISA驗(yàn)證』服務(wù)。VBV(VerifiedbyVISA）簡稱VISA驗(yàn)證服務(wù)，是VISA國際組織為提高信用卡網(wǎng)上支付安全性，維護(hù)用戶利益而推出的新一代全球通用支付標(biāo)準(zhǔn)。24a■軟件安全加密措施●安全認(rèn)證VBV(Verifie●

VISA驗(yàn)證服務(wù)--確保信用卡網(wǎng)上支付安全-私人密碼保護(hù)：當(dāng)持卡人在發(fā)卡行的網(wǎng)站進(jìn)行網(wǎng)上付款時，除了輸入信用卡號和有效期外，還要輸入在登記『VISA驗(yàn)證』時自設(shè)的安全密碼，提升其對網(wǎng)上支付的信心。-核對個人確認(rèn)信息：當(dāng)持卡消費(fèi)者進(jìn)行網(wǎng)上付款時，可以通過核對個人確認(rèn)信息是否正確，以確保正在使用安全的『VISA驗(yàn)證』支付系統(tǒng)。-隱私與交易安全保障：安全密碼和個人確認(rèn)信息只有持卡人本人可知，有效避免惡意拒付、網(wǎng)絡(luò)欺詐等交易糾紛的發(fā)生，進(jìn)而保護(hù)商家利益不受損害。25a●VISA驗(yàn)證服務(wù)-私人密碼保護(hù)：-隱私與交易安全保障系統(tǒng)運(yùn)維保障■雙機(jī)熱備■崗位設(shè)置的互為監(jiān)督（開發(fā)人員與運(yùn)維人員的互為監(jiān)督）■系統(tǒng)運(yùn)維制度（日志檢查、定期重啟、系統(tǒng)監(jiān)控…）■雙機(jī)熱備或雙數(shù)據(jù)中心管理（對數(shù)據(jù)庫安全的硬件保障措施）■網(wǎng)絡(luò)線路的備份26a系統(tǒng)運(yùn)維保障■雙機(jī)熱備26a27a27a信息安全技術(shù)

在電子支付領(lǐng)域的應(yīng)用與創(chuàng)新28a信息安全技術(shù)

在電子支付領(lǐng)域的應(yīng)用與創(chuàng)新信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用

■

電子支付與網(wǎng)絡(luò)信息安全■

電子支付安全的重要性■

電子支付安全隱患■

電子支付安全需求■

電子支付安全構(gòu)架■

虛擬賬戶運(yùn)營項(xiàng)目中的應(yīng)用建議29a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用■電子支付與網(wǎng)絡(luò)信息信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用

隨著網(wǎng)絡(luò)的日益普及，尤其是電子商務(wù)的快速發(fā)展，電子支付的重要性越來越明顯，已經(jīng)成為整個電子商務(wù)產(chǎn)業(yè)鏈中的核心環(huán)節(jié)。正因?yàn)榛趶V泛互聯(lián)且完全開放的網(wǎng)絡(luò)平臺，電子支付實(shí)現(xiàn)了低成本、高效率、全球性的資金流轉(zhuǎn)模式。但是，這種便捷開放的信息交互方式同時也表現(xiàn)出在網(wǎng)絡(luò)安全方面的脆弱性。所以，研究和開發(fā)信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用與創(chuàng)新，已成為當(dāng)前發(fā)展我國電子商務(wù)的關(guān)鍵所在。■

電子支付與網(wǎng)絡(luò)信息安全

30a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用

艾瑞市場咨詢《2005年中國網(wǎng)上支付研究報告》顯示，在不使用網(wǎng)上支付的網(wǎng)民中，有超過60%的人由于擔(dān)心交易過程的安全性而不愿進(jìn)行在線支付操作。無論個人、公司或商業(yè)機(jī)構(gòu)甚至銀行，都不會通過一個不安全的網(wǎng)絡(luò)進(jìn)行錢款交易，這樣會引發(fā)商業(yè)機(jī)密信息或個人隱私的泄漏，從而導(dǎo)致巨大的經(jīng)濟(jì)利益損失。由此可見，網(wǎng)絡(luò)信息安全技術(shù)的發(fā)展直接決定了電子商務(wù)的成敗?！?/p>

電子支付安全的重要性

31a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用艾瑞市場咨詢

電子支付安全的重要性32a電子支付安全的重要性5a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用

●

信息的截獲和竊取●信息的篡改、刪除、插入●信息假冒●交易抵賴■

電子支付安全隱患

33a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用●信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用

要構(gòu)筑一個安全可靠的電子支付交易系統(tǒng)，合理規(guī)避上述安全隱患的出現(xiàn)，應(yīng)滿足相應(yīng)的安全控制要求：

■

電子支付安全需求

●數(shù)據(jù)完整性

●信息機(jī)密性

●身份認(rèn)證性

●不可抵賴性

●防控有效性

34a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用要構(gòu)筑一個安全可靠的電子支信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用●信息機(jī)密性：

防止非授權(quán)用戶使用系統(tǒng)資源，預(yù)防非法的信息存取或信息在傳輸過程中被非法竊取而導(dǎo)致泄密。●數(shù)據(jù)完整性：

阻止非法實(shí)體對交換數(shù)據(jù)的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證傳送次序的統(tǒng)一?！裆矸菡J(rèn)證性：

交易雙方對各自身份合法性、真實(shí)性進(jìn)行鑒別、確認(rèn)，以防第三者假冒?！鲭娮又Ц栋踩枨?5a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用●信息機(jī)密性：■電信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用●

不可抵賴性：在信息的傳輸過程中，為交易雙方提供可靠的標(biāo)識，用于證實(shí)已發(fā)生過的操作，保證電子定單等信息的不可否認(rèn)性，防止抵賴行為?！?/p>

防控有效性：對網(wǎng)絡(luò)故障、硬件故障、系統(tǒng)軟件錯誤、應(yīng)用程序錯誤、操作錯誤及計算機(jī)病毒所產(chǎn)生的潛在風(fēng)險加以控制和預(yù)防，以保證交易數(shù)據(jù)在確定的時刻和地點(diǎn)是有效的?！鲭娮又Ц栋踩枨?6a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用●不可抵賴性：■信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用

電子支付安全是網(wǎng)絡(luò)信息安全技術(shù)的上層應(yīng)用，其安全管理體系主要可劃分為兩大部分：計算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全，如圖所示：■

電子支付安全構(gòu)架

交易安全技術(shù)安全管理體系網(wǎng)絡(luò)安全技術(shù)安全應(yīng)用協(xié)議--SSL、SET安全認(rèn)證手段--數(shù)字簽名、CA體系基本加密算法--對稱和非對稱加密算法病毒防范技術(shù)身份識別技術(shù)防火墻技術(shù)--分組過濾和代理服務(wù)器虛擬專用網(wǎng)技術(shù)法律規(guī)范、政策電子支付安全構(gòu)架37a信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用電子支付安全是網(wǎng)絡(luò)信息安業(yè)務(wù)管理與信息安全技術(shù)在虛擬賬戶運(yùn)營項(xiàng)目中的應(yīng)用建議38a業(yè)務(wù)管理與信息安全技術(shù)11a關(guān)于信息安全技術(shù)應(yīng)用

通過業(yè)務(wù)管理與技術(shù)安全體系保障相結(jié)合，共同保障業(yè)務(wù)運(yùn)營及實(shí)施的安全■業(yè)務(wù)邏輯的設(shè)計■內(nèi)部運(yùn)營管理■硬件安全技術(shù)保障■軟件安全加密措施■系統(tǒng)運(yùn)維保障39a關(guān)于信息安全技術(shù)應(yīng)用通過業(yè)務(wù)管理與技業(yè)務(wù)邏輯的制定業(yè)務(wù)邏輯的合理化制定■

業(yè)務(wù)流程的設(shè)計符合正常心態(tài)操作流程■

多層次驗(yàn)證業(yè)務(wù)申請及發(fā)起■

業(yè)務(wù)邏輯設(shè)計符合市場化推廣需要40a業(yè)務(wù)邏輯的制定業(yè)務(wù)邏輯的合理化制定13a內(nèi)部運(yùn)營管理內(nèi)部運(yùn)營管理的流程化、規(guī)范化制定■業(yè)務(wù)流程的設(shè)計與崗位配置的結(jié)合市場、運(yùn)營及財務(wù)的獨(dú)立管理■運(yùn)營管理的分工與互為監(jiān)督客戶功能的設(shè)置后臺管理功能的健全（商戶管理、操作權(quán)限的設(shè)置、證書管理、交易查詢、報表查詢…）■財務(wù)制度的健全資金管理的權(quán)限設(shè)置與監(jiān)管；資金流與信息流的對稱。■信息技術(shù)處理與傳統(tǒng)財務(wù)復(fù)核的相結(jié)合業(yè)務(wù)測試的重要性；定期的業(yè)務(wù)流程回顧與完善；財務(wù)審計…41a內(nèi)部運(yùn)營管理內(nèi)部運(yùn)營管理的流程化、規(guī)范化制定14a硬件/軟件安全保障體系■硬件安全技術(shù)保障●

網(wǎng)絡(luò)層●

系統(tǒng)層●

應(yīng)用層■軟件安全加密措施●

協(xié)議模式●

加密算法●

安全認(rèn)證42a硬件/軟件安全保障體系■硬件安全技術(shù)保障15a硬件安全技術(shù)保障■

硬件安全技術(shù)保障●網(wǎng)絡(luò)層：采用整合型的防火墻體系屏蔽病毒和攻擊，同時配合防黑客入侵、防病毒、漏洞掃描等工作?！裣到y(tǒng)層：平臺開發(fā)采用目前公認(rèn)的前沿技術(shù)，充分保證系統(tǒng)的安全性和穩(wěn)定性；該技術(shù)具有跨平臺以及優(yōu)秀的承載性，輕松駕馭企業(yè)的應(yīng)用需求?！駪?yīng)用層：穩(wěn)健的安全技術(shù)構(gòu)架，使服務(wù)器系統(tǒng)具有極強(qiáng)的可擴(kuò)展性，可以負(fù)荷千萬用戶級別。43a硬件安全技術(shù)保障■硬件安全技術(shù)保障●網(wǎng)絡(luò)層：16a軟件安全加密措施■

軟件安全加密措施●

協(xié)議模式--SSL與SET相結(jié)合支付網(wǎng)關(guān)與銀行端通訊使用SSL加密傳輸和SET協(xié)議，并通過國際認(rèn)證機(jī)構(gòu)VeriSign的128位服務(wù)器加密認(rèn)證，以保障B2C電子支付的安全實(shí)施。44a軟件安全加密措施■軟件安全加密措施●協(xié)議模式17a

●

協(xié)議模式

SSL協(xié)議（SecureSocketsLayer，安全套接層）國際上最早應(yīng)用于電子商務(wù)的一種安全通信協(xié)議；針對網(wǎng)絡(luò)環(huán)境提出，可用于加密任何基于TCP/IP的應(yīng)用，提高數(shù)據(jù)信息安全傳遞系數(shù)；目前已成為網(wǎng)絡(luò)通信底層協(xié)議的實(shí)際標(biāo)準(zhǔn)。SET協(xié)議（SecureElectronicTransaction），安全電子交易）用于在網(wǎng)絡(luò)上進(jìn)行銀行卡安全在線交易而設(shè)立的電子支付系統(tǒng)規(guī)范；規(guī)定了交易各方進(jìn)行支付結(jié)算時的具體流程和安全措施；確保支付信息的機(jī)密、支付過程的完整、商戶及持卡人的合法身份及可操作性。45a●協(xié)議模式SSL協(xié)議SET協(xié)議18a網(wǎng)銀在線安全制勝●對比SSL協(xié)議和SET協(xié)議協(xié)議模式SSL協(xié)議SET協(xié)議用戶接口內(nèi)置于瀏覽器和WEB服務(wù)器，無需安裝專門軟件客戶端需安裝專門的電子錢包軟件；在商家服務(wù)器和銀行網(wǎng)絡(luò)上同時需安裝相應(yīng)軟件處理速度處理復(fù)雜、速度慢處理簡單、速度快認(rèn)證要求商家服務(wù)器認(rèn)證是必須的，客戶端認(rèn)證則是可選的所有參與SET交易的成員都必須申請數(shù)字證書，有效解決了多方認(rèn)證問題安全性缺乏完整的認(rèn)證體系，不能提供完備的防抵賴功能，安全性較低采用雙重簽名保證各參與方信息相互隔離，安全性高協(xié)議層次和功能傳輸層的通用安全協(xié)議，是電子支付體系中傳輸部分的技術(shù)規(guī)范位于應(yīng)用層，規(guī)范了電子支付的整體流程，制定了嚴(yán)格的加密和認(rèn)證標(biāo)準(zhǔn)；具備商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性功能46a網(wǎng)銀在線安全制勝●對比SSL協(xié)議和SET協(xié)議協(xié)議模式■軟件安全加密措施●

加密算法--PKI數(shù)字簽名技術(shù)支付平臺本身使用PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）作為安全架構(gòu)，訂單信息傳輸采用數(shù)字簽名技術(shù)進(jìn)行加密和校驗(yàn)，從而確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的機(jī)密性、真實(shí)性、完整性和不可抵賴性。47a■軟件安全加密措施●加密算法20a網(wǎng)銀在線安全制勝●加密算法--PKI數(shù)字簽名技術(shù)48a網(wǎng)銀在線安全制勝●加密算法21a■軟件安全加密措施●

安全認(rèn)證