第4章電子支付安全管理4.1電子支付安全管理的思路

4.1.1數(shù)字化

4.1.2開放性和標(biāo)準(zhǔn)化

4.1.3業(yè)務(wù)工具的高科技性

4.1.4支付流程的高效性4.2電子支付安全法律保障

4.2.1消費(fèi)者權(quán)益保護(hù)

4.2.2維護(hù)金融安全

4.2.3打擊金融犯罪

4.2.4電子支付中主要法律責(zé)任問題

4.2.5國內(nèi)外電子支付法律規(guī)定第4章電子支付安全管理4.1電子支付安全管理的思路14.3電子支付安全管理保障

4.3.1《辦法》適用范圍

4.3.2《辦法》對電子銀行申請與變更規(guī)定

4.3.3風(fēng)險(xiǎn)管理

4.3.4數(shù)據(jù)交換與轉(zhuǎn)移管理

4.3.5監(jiān)督管理4.4電子支付安全技術(shù)保障

4.4.1安全支付防范技術(shù)

4.4.2安全支付加密技術(shù)

4.4.3安全支付認(rèn)證技術(shù)

4.4.4安全交易協(xié)議與支付技術(shù)4.3電子支付安全管理保障24.1電子支付安全管理的思路4.1.1數(shù)字化

4.1.2開放性和標(biāo)準(zhǔn)化

4.1.3業(yè)務(wù)工具的高科技性

4.1.4支付流程的高效性4.1電子支付安全管理的思路4.1.1數(shù)字化34.1.1數(shù)字化電子支付是采用先進(jìn)的技術(shù)通過數(shù)字流轉(zhuǎn)來完成信息傳輸?shù)?，其各種支付方式都是通過數(shù)字化的方式進(jìn)行款項(xiàng)支付的；而傳統(tǒng)的支付方式則是通過現(xiàn)金的流轉(zhuǎn)、票據(jù)的轉(zhuǎn)讓及銀行的匯兌等物理實(shí)體來完成款項(xiàng)支付的。

4.1.1數(shù)字化電子支付是采用先進(jìn)的技術(shù)通過數(shù)字流轉(zhuǎn)來完44.1.2開放性和標(biāo)準(zhǔn)化電子支付的工作環(huán)境基于一個(gè)開放的系統(tǒng)平臺（即互聯(lián)網(wǎng)）；而傳統(tǒng)支付則是在較為封閉的系統(tǒng)中運(yùn)作。4.1.2開放性和標(biāo)準(zhǔn)化電子支付的工作環(huán)境基于一個(gè)開放的54.1.3業(yè)務(wù)工具的高科技性電子支付使用的是最先進(jìn)的通信手段，如Internet、Extranet，而傳統(tǒng)支付使用的則是傳統(tǒng)的通信媒介；電子支付對軟、硬件設(shè)施的要求很高，一般要求有聯(lián)網(wǎng)的微機(jī)、相關(guān)的軟件及其他一些配套設(shè)施，而傳統(tǒng)支付則沒有這么高的要求。4.1.3業(yè)務(wù)工具的高科技性電子支付使用的是最先進(jìn)的通信64.1.4支付流程的高效性電子支付具有方便、快捷、高效、經(jīng)濟(jì)的優(yōu)勢。用戶只要擁有一臺上網(wǎng)的PC機(jī)，便可足不出戶，在很短的時(shí)間內(nèi)完成整個(gè)支付過程。支付費(fèi)用僅相當(dāng)于傳統(tǒng)支付的幾十分之一，甚至幾百分之一。而傳統(tǒng)的支付方式必須到具體的營業(yè)地點(diǎn)去辦理結(jié)算業(yè)務(wù)。4.1.4支付流程的高效性電子支付具有方便、快捷、高效、74.2電子支付安全法律保障4.2.1消費(fèi)者權(quán)益保護(hù)

4.2.2維護(hù)金融安全

4.2.3打擊金融犯罪

4.2.4電子支付中主要法律責(zé)任問題

4.2.5國內(nèi)外電子支付法律規(guī)定4.2電子支付安全法律保障4.2.1消費(fèi)者權(quán)益84.2.1消費(fèi)者權(quán)益保護(hù)可能因欺詐、盜竊、電子支付技術(shù)系統(tǒng)損壞或電子支付服務(wù)者的運(yùn)營錯(cuò)誤產(chǎn)生經(jīng)濟(jì)損失支付不及時(shí)或不完全的風(fēng)險(xiǎn)因電子支付產(chǎn)品而產(chǎn)生的信息被泄露導(dǎo)致的被他人用于欺詐或者其他損害其利益的風(fēng)險(xiǎn)4.2.1消費(fèi)者權(quán)益保護(hù)可能因欺詐、盜竊、電子支付技術(shù)系94.2.2維護(hù)金融安全隨著我國金融體制改革的深化和金融業(yè)的進(jìn)一步開放，金融安全問題的復(fù)雜性日益凸顯。提高金融安全意識，健全金融安全體系，加強(qiáng)和改進(jìn)金融監(jiān)管，是維護(hù)金融安全的關(guān)鍵。4.2.2維護(hù)金融安全隨著我國金融體制改革的深化和金融業(yè)104.2.3打擊金融犯罪避免電子支付活動(dòng)用來洗錢、避稅以及非法賭博4.2.3打擊金融犯罪避免電子支付活動(dòng)用來洗錢、避稅以及114.2.4電子支付中主要法律責(zé)任問題消費(fèi)者未經(jīng)授權(quán)劃轉(zhuǎn)的責(zé)任限制舉證責(zé)任金融機(jī)構(gòu)責(zé)任賠償責(zé)任范圍4.2.4電子支付中主要法律責(zé)任問題消費(fèi)者未經(jīng)授權(quán)劃轉(zhuǎn)的124.2.5國內(nèi)外電子支付法律規(guī)定2004年的8月28日，《電子簽名法》獲得全國人大常委會(huì)審議通過，以國家主席胡錦濤簽署的第18號主席令的方式對外公布，全稱為《中華人民共和國電子簽名法》，自2005年4月1日起實(shí)施。2005年10月26日開始實(shí)施的《電子支付指引（第一號）》文件只是央行整飭電子支付市場的開始。2005年中華人民共和國公安部第82號令發(fā)布的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》2006年3月1日起在全國實(shí)施。4.2.5國內(nèi)外電子支付法律規(guī)定2004年的8月28日，132006年底之前，第二號和第三號指引都將出臺。中國銀監(jiān)會(huì)發(fā)布了《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評估指引》，于2006年3月1日起開始施行。2007年4月，國務(wù)院辦公廳下發(fā)了《關(guān)于社會(huì)信用體系建設(shè)的若干意見》（國辦發(fā)〔2007〕17號。為了全面貫徹《國務(wù)院辦公廳關(guān)于加快電子商務(wù)發(fā)展的若干意見》（國辦〔2005〕2號），國家食品藥品監(jiān)督管理局于近日制定了《互聯(lián)網(wǎng)藥品交易服務(wù)審批暫行規(guī)定》2008年12月1日起正式施行。中國人民銀行下發(fā)了《中國人民銀行信用評級管理指導(dǎo)意見》。2006年底之前，第二號和第三號指引都將出臺。中國銀監(jiān)會(huì)發(fā)布14聯(lián)合國電子支付立法現(xiàn)狀1996年6月，聯(lián)合國貿(mào)法會(huì)提出了制訂《電子商務(wù)示范法》設(shè)想，同年12月，將其多次修訂的《電子數(shù)據(jù)交換和有關(guān)數(shù)據(jù)通信手段法律方面的統(tǒng)一規(guī)則草案修訂條文》交由聯(lián)合國大會(huì)討論，并且以大會(huì)51/162號決議的形式通過，正式命名為《電子貿(mào)易示范法》（以下簡稱“《示范法》”）。為各國電子商務(wù)立法提供了一個(gè)范本?！妒痉斗ā肥瞧駷橹故澜缟系谝粋€(gè)關(guān)于電子商務(wù)的法律。該示范法出臺的目的是促進(jìn)協(xié)調(diào)和統(tǒng)一國際貿(mào)易法、消除因貿(mào)易法不充分和差異而對國際貿(mào)易造成不必要的阻礙，為各國在制定相關(guān)法律時(shí)提供一個(gè)值得參考的示范法規(guī)。它不僅能夠幫助那些在傳遞和存儲(chǔ)信息的現(xiàn)行法規(guī)不夠完善或者已經(jīng)過時(shí)的國家去完善和健全其法律法規(guī)和慣例，也有助于所有國家增強(qiáng)他們使用的通訊和信息辦法的立法，并有利于那些目前尚無這種立法的國家制定相關(guān)的法律、法規(guī)。聯(lián)合國電子支付立法現(xiàn)狀1996年6月，聯(lián)合國貿(mào)法會(huì)提出了制154.3電子支付安全管理保障4.3.1《辦法》適用范圍

4.3.2《辦法》對電子銀行申請與變更規(guī)定

4.3.3風(fēng)險(xiǎn)管理

4.3.4數(shù)據(jù)交換與轉(zhuǎn)移管理

4.3.5監(jiān)督管理4.3電子支付安全管理保障4.3.1《辦法》適164.3.1《辦法》適用范圍《電子銀行業(yè)務(wù)管理辦法》已經(jīng)2005年11月10日中國銀行業(yè)監(jiān)督管理委員會(huì)第40次主席會(huì)議通過?，F(xiàn)予公布，自2006年3月1日起施行。為加強(qiáng)電子銀行業(yè)務(wù)的風(fēng)險(xiǎn)管理，保障客戶及銀行的合法權(quán)益，促進(jìn)電子銀行業(yè)務(wù)的健康有序發(fā)展，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》和《中華人民共和國外資金融機(jī)構(gòu)管理?xiàng)l例》等法律法規(guī)，制定本辦法。4.3.1《辦法》適用范圍《電子銀行業(yè)務(wù)管理辦法》已經(jīng)217本辦法所稱電子銀行業(yè)務(wù)，是指商業(yè)銀行等銀行業(yè)金融機(jī)構(gòu)利用面向社會(huì)公眾開放的通訊通道或開放型公眾網(wǎng)絡(luò)，以及銀行為特定自助服務(wù)設(shè)施或客戶建立的專用網(wǎng)絡(luò)，向客戶提供的銀行服務(wù)。電子銀行業(yè)務(wù)包括利用計(jì)算機(jī)和互聯(lián)網(wǎng)開展的銀行業(yè)務(wù)（以下簡稱網(wǎng)上銀行業(yè)務(wù)），利用電話等聲訊設(shè)備和電信網(wǎng)絡(luò)開展的銀行業(yè)務(wù)（以下簡稱電話銀行業(yè)務(wù)），利用移動(dòng)電話和無線網(wǎng)絡(luò)開展的銀行業(yè)務(wù)（以下簡稱手機(jī)銀行業(yè)務(wù)），以及其他利用電子服務(wù)設(shè)備和網(wǎng)絡(luò)，由客戶通過自助服務(wù)方式完成金融交易的銀行業(yè)務(wù)。本辦法所稱電子銀行業(yè)務(wù)，是指商業(yè)銀行等銀行業(yè)金融機(jī)構(gòu)利用面向18在中華人民共和國境內(nèi)設(shè)立的金融資產(chǎn)管理公司、信托投資公司、財(cái)務(wù)公司、金融租賃公司以及經(jīng)中國銀行業(yè)監(jiān)督管理委員會(huì)（以下簡稱中國銀監(jiān)會(huì)）批準(zhǔn)設(shè)立的其他金融機(jī)構(gòu)，開辦具有電子銀行性質(zhì)的電子金融業(yè)務(wù)，適用本辦法對金融機(jī)構(gòu)開展電子銀行業(yè)務(wù)的有關(guān)規(guī)定。經(jīng)中國銀監(jiān)會(huì)批準(zhǔn)，金融機(jī)構(gòu)可以在中華人民共和國境內(nèi)開辦電子銀行業(yè)務(wù)，向中華人民共和國境內(nèi)企業(yè)、居民等客戶提供電子銀行服務(wù)，也可按照本辦法的有關(guān)規(guī)定開展跨境電子銀行服務(wù)。在中華人民共和國境內(nèi)設(shè)立的金融資產(chǎn)管理公司、信托投資公司、財(cái)19金融機(jī)構(gòu)應(yīng)當(dāng)按照合理規(guī)劃、統(tǒng)一管理、保障系統(tǒng)安全運(yùn)行的原則，開展電子銀行業(yè)務(wù)，保證電子銀行業(yè)務(wù)的健康、有序發(fā)展。金融機(jī)構(gòu)應(yīng)根據(jù)電子銀行業(yè)務(wù)特性，建立健全電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理體系和內(nèi)部控制體系，設(shè)立相應(yīng)的管理機(jī)構(gòu)，明確電子銀行業(yè)務(wù)管理的責(zé)任，有效地識別、評估、監(jiān)測和控制電子銀行業(yè)務(wù)風(fēng)險(xiǎn)。中國銀監(jiān)會(huì)負(fù)責(zé)對電子銀行業(yè)務(wù)實(shí)施監(jiān)督管理。金融機(jī)構(gòu)應(yīng)當(dāng)按照合理規(guī)劃、統(tǒng)一管理、保障系統(tǒng)安全運(yùn)行的原則，204.3.2《辦法》對電子銀行申請與變更規(guī)定金融機(jī)構(gòu)在中華人民共和國境內(nèi)開辦電子銀行業(yè)務(wù)，應(yīng)當(dāng)依照本辦法的有關(guān)規(guī)定，向中國銀監(jiān)會(huì)申請或報(bào)告。金融機(jī)構(gòu)開辦電子銀行業(yè)務(wù)，應(yīng)當(dāng)具備下列條件：①金融機(jī)構(gòu)的經(jīng)營活動(dòng)正常，建立了較為完善的風(fēng)險(xiǎn)管理體系和內(nèi)部控制制度，在申請開辦電子銀行業(yè)務(wù)的前一年內(nèi)，金融機(jī)構(gòu)的主要信息管理系統(tǒng)和業(yè)務(wù)處理系統(tǒng)沒有發(fā)生過重大事故；4.3.2《辦法》對電子銀行申請與變更規(guī)定金融機(jī)構(gòu)在中華21②制定了電子銀行業(yè)務(wù)的總體發(fā)展戰(zhàn)略、發(fā)展規(guī)劃和電子銀行安全策略，建立了電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的組織體系和制度體系；③按照電子銀行業(yè)務(wù)發(fā)展規(guī)劃和安全策略，建立了電子銀行業(yè)務(wù)運(yùn)營的基礎(chǔ)設(shè)施和系統(tǒng)，并對相關(guān)設(shè)施和系統(tǒng)進(jìn)行了必要的安全檢測和業(yè)務(wù)測試；④對電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理情況和業(yè)務(wù)運(yùn)營設(shè)施與系統(tǒng)等，進(jìn)行了符合監(jiān)管要求的安全評估；⑤建立了明確的電子銀行業(yè)務(wù)管理部門，配備了合格的管理人員和技術(shù)人員；⑥中國銀監(jiān)會(huì)要求的其他條件。②制定了電子銀行業(yè)務(wù)的總體發(fā)展戰(zhàn)略、發(fā)展規(guī)劃和電子銀行安全策22①金融機(jī)構(gòu)開辦以互聯(lián)網(wǎng)為媒介的網(wǎng)上銀行業(yè)務(wù)、手機(jī)銀行業(yè)務(wù)等電子銀行業(yè)務(wù)，除應(yīng)具備上述所列條件外，還應(yīng)具備以下條件：②電子銀行基礎(chǔ)設(shè)施設(shè)備能夠保障電子銀行的正常運(yùn)行；③電子銀行系統(tǒng)具備必要的業(yè)務(wù)處理能力，能夠滿足客戶適時(shí)業(yè)務(wù)處理的需要；④建立了有效的外部攻擊偵測機(jī)制；①金融機(jī)構(gòu)開辦以互聯(lián)網(wǎng)為媒介的網(wǎng)上銀行業(yè)務(wù)、手機(jī)銀行業(yè)務(wù)等電23⑤中資銀行業(yè)金融機(jī)構(gòu)的電子銀行業(yè)務(wù)運(yùn)營系統(tǒng)和業(yè)務(wù)處理服務(wù)器設(shè)置在中華人民共和國境內(nèi)；⑥外資金融機(jī)構(gòu)的電子銀行業(yè)務(wù)運(yùn)營系統(tǒng)和業(yè)務(wù)處理服務(wù)器可以設(shè)置在中華人民共和國境內(nèi)或境外。設(shè)置在境外時(shí)，應(yīng)在中華人民共和國境內(nèi)設(shè)置可以記錄和保存業(yè)務(wù)交易數(shù)據(jù)的設(shè)施設(shè)備，能夠滿足金融監(jiān)管部門現(xiàn)場檢查的要求，在出現(xiàn)法律糾紛時(shí)，能夠滿足中國司法機(jī)構(gòu)調(diào)查取證的要求。⑤中資銀行業(yè)金融機(jī)構(gòu)的電子銀行業(yè)務(wù)運(yùn)營系統(tǒng)和業(yè)務(wù)處理服務(wù)器設(shè)24外資金融機(jī)構(gòu)開辦電子銀行業(yè)務(wù)，除應(yīng)具備上述所列條件外，還應(yīng)當(dāng)按照法律、行政法規(guī)的有關(guān)規(guī)定，在中華人民共和國境內(nèi)設(shè)有營業(yè)性機(jī)構(gòu)，其所在國家（地區(qū)）監(jiān)管當(dāng)局具備對電子銀行業(yè)務(wù)進(jìn)行監(jiān)管的法律框架和監(jiān)管能力。金融機(jī)構(gòu)申請開辦電子銀行業(yè)務(wù)，根據(jù)電子銀行業(yè)務(wù)的不同類型，分別適用審批制和報(bào)告制。外資金融機(jī)構(gòu)開辦電子銀行業(yè)務(wù)，除應(yīng)具備上述所列條件外，還應(yīng)當(dāng)25利用互聯(lián)網(wǎng)等開放性網(wǎng)絡(luò)或無線網(wǎng)絡(luò)開辦的電子銀行業(yè)務(wù)，包括網(wǎng)上銀行、手機(jī)銀行和利用掌上電腦等個(gè)人數(shù)據(jù)輔助設(shè)備開辦的電子銀行業(yè)務(wù)，適用審批制；利用境內(nèi)或地區(qū)性電信網(wǎng)絡(luò)、有線網(wǎng)絡(luò)等開辦的電子銀行業(yè)務(wù)，適用報(bào)告制；利用銀行為特定自助服務(wù)設(shè)施或與客戶建立的專用網(wǎng)絡(luò)開辦的電子銀行業(yè)務(wù)，法律法規(guī)和行政規(guī)章另有規(guī)定的遵照其規(guī)定，沒有規(guī)定的適用報(bào)告制。金融機(jī)構(gòu)開辦電子銀行業(yè)務(wù)后，與其特定客戶建立直接網(wǎng)絡(luò)連接提供相關(guān)服務(wù)，屬于電子銀行日常服務(wù)，不屬于開辦電子銀行業(yè)務(wù)申請的類型。利用互聯(lián)網(wǎng)等開放性網(wǎng)絡(luò)或無線網(wǎng)絡(luò)開辦的電子銀行業(yè)務(wù)，包括網(wǎng)上26金融機(jī)構(gòu)申請開辦需要審批的電子銀行業(yè)務(wù)之前，應(yīng)先就擬申請的業(yè)務(wù)與中國銀監(jiān)會(huì)進(jìn)行溝通，說明擬申請的電子銀行業(yè)務(wù)系統(tǒng)和基礎(chǔ)設(shè)施設(shè)計(jì)、建設(shè)方案，以及基本業(yè)務(wù)運(yùn)營模式等，并根據(jù)溝通情況，對有關(guān)方案進(jìn)行調(diào)整。進(jìn)行監(jiān)管溝通后，金融機(jī)構(gòu)應(yīng)根據(jù)調(diào)整完善后的方案開展電子銀行系統(tǒng)建設(shè)，并應(yīng)在申請前完成對相關(guān)系統(tǒng)的內(nèi)部測試工作。內(nèi)部測試對象僅限于金融機(jī)構(gòu)內(nèi)部人員、外包機(jī)構(gòu)相關(guān)工作人員和相關(guān)機(jī)構(gòu)的工作人員，不得擴(kuò)展到一般客戶。金融機(jī)構(gòu)申請開辦需要審批的電子銀行業(yè)務(wù)之前，應(yīng)先就擬申請的業(yè)27金融機(jī)構(gòu)申請開辦電子銀行業(yè)務(wù)時(shí)，可以在一個(gè)申請報(bào)告中同時(shí)申請不同類型的電子銀行業(yè)務(wù)，但在申請中應(yīng)注明所申請的電子銀行業(yè)務(wù)類型。金融機(jī)構(gòu)向中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)申請開辦電子銀行業(yè)務(wù)，應(yīng)提交以下文件、資料（一式三份）：①由金融機(jī)構(gòu)法定代表人簽署的開辦電子銀行業(yè)務(wù)的申請報(bào)告；②擬申請的電子銀行業(yè)務(wù)類型及擬開展的業(yè)務(wù)種類；③電子銀行業(yè)務(wù)發(fā)展規(guī)劃；金融機(jī)構(gòu)申請開辦電子銀行業(yè)務(wù)時(shí)，可以在一個(gè)申請報(bào)告中同時(shí)申請28④電子銀行業(yè)務(wù)運(yùn)營設(shè)施與技術(shù)系統(tǒng)介紹；⑤電子銀行業(yè)務(wù)系統(tǒng)測試報(bào)告；⑥電子銀行安全評估報(bào)告；⑦電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃；⑧電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理體系及相應(yīng)的規(guī)章制度；⑨電子銀行業(yè)務(wù)的管理部門、管理職責(zé)，以及主要負(fù)責(zé)人介紹；⑩申請單位聯(lián)系人以及聯(lián)系電話、傳真、電子郵件信箱等聯(lián)系方式；⑾中國銀監(jiān)會(huì)要求提供的其他文件和資料。④電子銀行業(yè)務(wù)運(yùn)營設(shè)施與技術(shù)系統(tǒng)介紹；29中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)在收到金融機(jī)構(gòu)的有關(guān)申請材料后，根據(jù)監(jiān)管需要，要求商業(yè)銀行補(bǔ)充材料時(shí)，應(yīng)一次性將有關(guān)要求告知金融機(jī)構(gòu)。金融機(jī)構(gòu)應(yīng)根據(jù)中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)的要求，重新編制和裝訂申請材料，并更正材料遞交日期。中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)在收到金融機(jī)構(gòu)申請開辦需要審批的電子銀行業(yè)務(wù)完整申請材料3個(gè)月內(nèi)，作出批準(zhǔn)或者不批準(zhǔn)的書面決定；決定不批準(zhǔn)的，應(yīng)當(dāng)說明理由。中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)在收到金融機(jī)構(gòu)的有關(guān)申請材料后，根據(jù)監(jiān)30金融機(jī)構(gòu)在一份申請報(bào)告中申請了多個(gè)類型的電子銀行業(yè)務(wù)時(shí)，中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)可以根據(jù)有關(guān)規(guī)定和要求批準(zhǔn)全部或部分電子銀行業(yè)務(wù)類型的申請。對于中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)未批準(zhǔn)的電子銀行業(yè)務(wù)類型，金融機(jī)構(gòu)可按有關(guān)規(guī)定重新申請。金融機(jī)構(gòu)開辦適用于報(bào)告制的電子銀行業(yè)務(wù)類型，不需申請，但應(yīng)參照有關(guān)規(guī)定，在開辦電子銀行業(yè)務(wù)之前1個(gè)月，將相關(guān)材料報(bào)送中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)。金融機(jī)構(gòu)在一份申請報(bào)告中申請了多個(gè)類型的電子銀行業(yè)務(wù)時(shí)，中國31金融機(jī)構(gòu)開辦電子銀行業(yè)務(wù)后，可以利用電子銀行平臺進(jìn)行傳統(tǒng)銀行產(chǎn)品和服務(wù)的宣傳、銷售，也可以根據(jù)電子銀行業(yè)務(wù)的特點(diǎn)開發(fā)新的業(yè)務(wù)類型。金融機(jī)構(gòu)利用電子銀行平臺宣傳有關(guān)銀行產(chǎn)品或服務(wù)時(shí)，應(yīng)當(dāng)遵守相關(guān)法律法規(guī)和業(yè)務(wù)管理規(guī)章的有關(guān)規(guī)定。利用電子銀行平臺銷售有關(guān)銀行產(chǎn)品或服務(wù)時(shí)，應(yīng)認(rèn)真分析選擇適應(yīng)電子銀行銷售的產(chǎn)品，不得利用電子銀行銷售需要對客戶進(jìn)行當(dāng)面評估后才能銷售的，或者需要客戶當(dāng)面確認(rèn)才能銷售的銀行產(chǎn)品，法律法規(guī)和行政規(guī)章另有規(guī)定的除外。金融機(jī)構(gòu)根據(jù)業(yè)務(wù)發(fā)展需要，增加或變更電子銀行業(yè)務(wù)類型，適用審批制或報(bào)告制。金融機(jī)構(gòu)開辦電子銀行業(yè)務(wù)后，可以利用電子銀行平臺進(jìn)行傳統(tǒng)銀行32金融機(jī)構(gòu)增加或者變更以下電子銀行業(yè)務(wù)類型，適用審批制：有關(guān)法律法規(guī)和行政規(guī)章規(guī)定需要審批但金融機(jī)構(gòu)尚未申請批準(zhǔn)，并準(zhǔn)備利用電子銀行開辦的；金融機(jī)構(gòu)將已獲批準(zhǔn)的業(yè)務(wù)應(yīng)用于電子銀行時(shí)，需要與證券業(yè)、保險(xiǎn)業(yè)相關(guān)機(jī)構(gòu)進(jìn)行直接實(shí)時(shí)數(shù)據(jù)交換才能實(shí)施的；金融機(jī)構(gòu)之間通過互聯(lián)電子銀行平臺聯(lián)合開展的；提供跨境電子銀行服務(wù)的。金融機(jī)構(gòu)增加或者變更以下電子銀行業(yè)務(wù)類型，適用審批制：33金融機(jī)構(gòu)增加或變更需要審批的電子銀行業(yè)務(wù)類型，應(yīng)向中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)送以下文件和資料（一式三份）：由金融機(jī)構(gòu)法定代表人簽署的增加或變更業(yè)務(wù)類型的申請；擬增加或變更業(yè)務(wù)類型的定義和操作流程；擬增加或變更業(yè)務(wù)類型的風(fēng)險(xiǎn)特征和防范措施；有關(guān)管理規(guī)章制度；申請單位聯(lián)系人以及聯(lián)系電話、傳真、電子郵件信箱等聯(lián)系方式；中國銀監(jiān)會(huì)要求提供的其他文件和資料。金融機(jī)構(gòu)增加或變更需要審批的電子銀行業(yè)務(wù)類型，應(yīng)向中國銀監(jiān)會(huì)34業(yè)務(wù)經(jīng)營活動(dòng)不受地域限制的銀行業(yè)金融機(jī)構(gòu)（以下簡稱全國性金融機(jī)構(gòu)），申請開辦電子銀行業(yè)務(wù)或增加、變更需要審批的電子銀行業(yè)務(wù)類型，應(yīng)由其總行（公司）統(tǒng)一向中國銀監(jiān)會(huì)申請。按照有關(guān)規(guī)定只能在某一城市或地區(qū)內(nèi)從事業(yè)務(wù)經(jīng)營活動(dòng)的銀行業(yè)金融機(jī)構(gòu)（以下簡稱地區(qū)性金融機(jī)構(gòu)），申請開辦電子銀行業(yè)務(wù)或增加、變更需要審批的電子銀行業(yè)務(wù)類型，應(yīng)由其法人機(jī)構(gòu)向所在地中國銀監(jiān)會(huì)派出機(jī)構(gòu)申請。外資金融機(jī)構(gòu)申請開辦電子銀行業(yè)務(wù)或增加、變更需要審批的電子銀行業(yè)務(wù)類型，應(yīng)由其總行（公司）或在中華人民共和國境內(nèi)的主報(bào)告行向中國銀監(jiān)會(huì)申請。業(yè)務(wù)經(jīng)營活動(dòng)不受地域限制的銀行業(yè)金融機(jī)構(gòu)（以下簡稱全國性金融35中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)在收到金融機(jī)構(gòu)增加或變更需要審批的電子銀行業(yè)務(wù)類型完整申請材料3個(gè)月內(nèi)，做出批準(zhǔn)或者不批準(zhǔn)的書面決定；決定不批準(zhǔn)的，應(yīng)當(dāng)說明理由。其他電子銀行業(yè)務(wù)類型適用報(bào)告制，金融機(jī)構(gòu)增加或變更時(shí)不需申請，但應(yīng)在開辦該業(yè)務(wù)類型前1個(gè)月內(nèi)，參照第二十三條的有關(guān)規(guī)定，將有關(guān)材料報(bào)送中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)。已經(jīng)實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)集中處理和系統(tǒng)整合（以下簡稱數(shù)據(jù)集中處理）的銀行業(yè)金融機(jī)構(gòu)，獲準(zhǔn)開辦電子銀行業(yè)務(wù)后，可以授權(quán)其分支機(jī)構(gòu)開辦部分或全部電子銀行業(yè)務(wù)。其分支機(jī)構(gòu)在開辦相關(guān)業(yè)務(wù)之前，應(yīng)向所在地中國銀監(jiān)會(huì)派出機(jī)構(gòu)報(bào)告。中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)在收到金融機(jī)構(gòu)增加或變更需要審批的電子36未實(shí)現(xiàn)數(shù)據(jù)集中處理的銀行業(yè)金融機(jī)構(gòu)，如果其分支機(jī)構(gòu)的電子銀行業(yè)務(wù)處理系統(tǒng)獨(dú)立于總部，該分支機(jī)構(gòu)開辦電子銀行業(yè)務(wù)按照地區(qū)性金融機(jī)構(gòu)開辦電子銀行業(yè)務(wù)的情形管理，應(yīng)持其總行授權(quán)文件，按照有關(guān)規(guī)定向所在地中國銀監(jiān)會(huì)派出機(jī)構(gòu)申請或報(bào)告。其他分支機(jī)構(gòu)只需持其總行授權(quán)文件，在開辦相關(guān)業(yè)務(wù)之前，向所在地中國銀監(jiān)會(huì)派出機(jī)構(gòu)報(bào)告。外資金融機(jī)構(gòu)獲準(zhǔn)開辦電子銀行業(yè)務(wù)后，其境內(nèi)分支機(jī)構(gòu)開辦電子銀行業(yè)務(wù)，應(yīng)持其總行（公司）授權(quán)文件向所在地中國銀監(jiān)會(huì)派出機(jī)構(gòu)報(bào)告。未實(shí)現(xiàn)數(shù)據(jù)集中處理的銀行業(yè)金融機(jī)構(gòu)，如果其分支機(jī)構(gòu)的電子銀行37已開辦電子銀行業(yè)務(wù)的金融機(jī)構(gòu)按計(jì)劃決定終止全部電子銀行服務(wù)或部分類型的電子銀行服務(wù)時(shí)，應(yīng)提前3個(gè)月就終止電子銀行服務(wù)的原因及相關(guān)問題處置方案等，報(bào)告中國銀監(jiān)會(huì)，并同時(shí)予以公告。金融機(jī)構(gòu)按計(jì)劃決定停辦部分電子銀行業(yè)務(wù)類型時(shí)，應(yīng)于停辦該業(yè)務(wù)前1個(gè)月內(nèi)向中國銀監(jiān)會(huì)報(bào)告，并予以公告。金融機(jī)構(gòu)終止電子銀行服務(wù)或停辦部分業(yè)務(wù)類型，必須采取有效的措施保護(hù)客戶的合法權(quán)益，并針對可能出現(xiàn)的問題制定有效的處置方案。金融機(jī)構(gòu)終止電子銀行服務(wù)或停辦部分業(yè)務(wù)類型后，需要重新開辦電子銀行業(yè)務(wù)或者重新開展已停辦的業(yè)務(wù)類型時(shí)，應(yīng)按照相關(guān)規(guī)定重新申請或辦理。已開辦電子銀行業(yè)務(wù)的金融機(jī)構(gòu)按計(jì)劃決定終止全部電子銀行服務(wù)或38金融機(jī)構(gòu)因電子銀行系統(tǒng)升級、調(diào)試等原因，需要按計(jì)劃暫時(shí)停止電子銀行服務(wù)的，應(yīng)選擇適當(dāng)?shù)臅r(shí)間，盡可能減少對客戶的影響，并至少提前3天在其網(wǎng)站上予以公告。受突發(fā)事件或偶然因素影響非計(jì)劃暫停電子銀行服務(wù)，在正常工作時(shí)間內(nèi)超過4個(gè)小時(shí)或者在正常工作時(shí)間外超過8個(gè)小時(shí)的，金融機(jī)構(gòu)應(yīng)在暫停服務(wù)后24小時(shí)內(nèi)將有關(guān)情況報(bào)告中國銀監(jiān)會(huì)，并應(yīng)在事故處理基本結(jié)束后3日內(nèi)，將事故原因、影響、補(bǔ)救措施及處理情況等，報(bào)告中國銀監(jiān)會(huì)。第四章電子支付安全管理課件394.3.3風(fēng)險(xiǎn)管理金融機(jī)構(gòu)應(yīng)當(dāng)將電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理納入本機(jī)構(gòu)風(fēng)險(xiǎn)管理的總體框架之中，并應(yīng)根據(jù)電子銀行業(yè)務(wù)的運(yùn)營特點(diǎn)，建立健全電子銀行風(fēng)險(xiǎn)管理體系和電子銀行安全、穩(wěn)健運(yùn)營的內(nèi)部控制體系。金融機(jī)構(gòu)的電子銀行風(fēng)險(xiǎn)管理體系和內(nèi)部控制體系應(yīng)當(dāng)具有清晰的管理架構(gòu)、完善的規(guī)章制度和嚴(yán)格的內(nèi)部授權(quán)控制機(jī)制，能夠?qū)﹄娮鱼y行業(yè)務(wù)面臨的戰(zhàn)略風(fēng)險(xiǎn)、運(yùn)營風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)等實(shí)施有效的識別、評估、監(jiān)測和控制。4.3.3風(fēng)險(xiǎn)管理金融機(jī)構(gòu)應(yīng)當(dāng)將電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理納入40金融機(jī)構(gòu)針對傳統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)制定的審慎性風(fēng)險(xiǎn)管理原則和措施等，同樣適用于電子銀行業(yè)務(wù)，但金融機(jī)構(gòu)應(yīng)根據(jù)電子銀行業(yè)務(wù)環(huán)境和運(yùn)行方式的變化，對原有風(fēng)險(xiǎn)管理制度、規(guī)則和程序進(jìn)行必要的和適當(dāng)?shù)男拚?。金融機(jī)構(gòu)的董事會(huì)和高級管理層應(yīng)根據(jù)本機(jī)構(gòu)的總體發(fā)展戰(zhàn)略和實(shí)際經(jīng)營情況，制訂電子銀行發(fā)展戰(zhàn)略和可行的經(jīng)營投資戰(zhàn)略，對電子銀行的經(jīng)營進(jìn)行持續(xù)性的綜合效益分析，科學(xué)評估電子銀行業(yè)務(wù)對金融機(jī)構(gòu)總體風(fēng)險(xiǎn)的影響。在制定電子銀行發(fā)展戰(zhàn)略時(shí)，金融機(jī)構(gòu)應(yīng)加強(qiáng)電子銀行業(yè)務(wù)的知識產(chǎn)權(quán)保護(hù)工作。金融機(jī)構(gòu)針對傳統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)制定的審慎性風(fēng)險(xiǎn)管理原則和措施等，同41金融機(jī)構(gòu)應(yīng)當(dāng)針對電子銀行不同系統(tǒng)、風(fēng)險(xiǎn)設(shè)施、信息和其他資源的重要性及其對電子銀行安全的影響進(jìn)行評估分類，制定適當(dāng)?shù)陌踩呗?，建立健全風(fēng)險(xiǎn)控制程序和安全操作規(guī)程，采取相應(yīng)的安全管理措施。對各類安全控制措施應(yīng)定期檢查、測試，并根據(jù)實(shí)際情況適時(shí)調(diào)整，保證安全措施的持續(xù)有效和及時(shí)更新。金融機(jī)構(gòu)應(yīng)當(dāng)保障電子銀行運(yùn)營設(shè)施設(shè)備，以及安全控制設(shè)施設(shè)備的安全，對電子銀行的重要設(shè)施設(shè)備和數(shù)據(jù)，采取適當(dāng)?shù)谋Ｗo(hù)措施。金融機(jī)構(gòu)應(yīng)當(dāng)針對電子銀行不同系統(tǒng)、風(fēng)險(xiǎn)設(shè)施、信息和其他資源的42有形場所的物理安全控制，必須符合國家有關(guān)法律法規(guī)和安全標(biāo)準(zhǔn)的要求，對尚沒有統(tǒng)一安全標(biāo)準(zhǔn)的有形場所的安全控制，金融機(jī)構(gòu)應(yīng)確保其制定的安全制度有效地覆蓋可能面臨的主要風(fēng)險(xiǎn)；以開放型網(wǎng)絡(luò)為媒介的電子銀行系統(tǒng)，應(yīng)合理設(shè)置和使用防火墻、防病毒軟件等安全產(chǎn)品與技術(shù)，確保電子銀行有足夠的反攻擊能力、防病毒能力和入侵防護(hù)能力；對重要設(shè)施設(shè)備的接觸、檢查、維修和應(yīng)急處理，應(yīng)有明確的權(quán)限界定、責(zé)任劃分和操作流程，并建立日志文件管理制度，如實(shí)記錄并妥善保管相關(guān)記錄；有形場所的物理安全控制，必須符合國家有關(guān)法律法規(guī)和安全標(biāo)準(zhǔn)的43④對重要技術(shù)參數(shù)，應(yīng)嚴(yán)格控制接觸權(quán)限，并建立相應(yīng)的技術(shù)參數(shù)調(diào)整與變更機(jī)制，并保證在更換關(guān)鍵人員后，能夠有效防止有關(guān)技術(shù)參數(shù)的泄漏；⑤對電子銀行管理的關(guān)鍵崗位和關(guān)鍵人員，應(yīng)實(shí)行輪崗和強(qiáng)制性休假制度，建立嚴(yán)格的內(nèi)部監(jiān)督管理制度。④對重要技術(shù)參數(shù)，應(yīng)嚴(yán)格控制接觸權(quán)限，并建立相應(yīng)的技術(shù)參數(shù)調(diào)44金融機(jī)構(gòu)應(yīng)采用適當(dāng)?shù)募用芗夹g(shù)和措施，保證電子交易數(shù)據(jù)傳輸?shù)陌踩耘c保密性，以及所傳輸交易數(shù)據(jù)的完整性、真實(shí)性和不可否認(rèn)性。金融機(jī)構(gòu)采用的數(shù)據(jù)加密技術(shù)應(yīng)符合國家有關(guān)規(guī)定，并根據(jù)電子銀行業(yè)務(wù)的安全性需要和科技信息技術(shù)的發(fā)展，定期檢查和評估所使用的加密技術(shù)和算法的強(qiáng)度，對加密方式進(jìn)行適時(shí)調(diào)整。金融機(jī)構(gòu)應(yīng)當(dāng)與客戶簽訂電子銀行服務(wù)協(xié)議或合同，明確雙方的權(quán)利與義務(wù)。金融機(jī)構(gòu)應(yīng)采用適當(dāng)?shù)募用芗夹g(shù)和措施，保證電子交易數(shù)據(jù)傳輸?shù)陌?5在電子銀行服務(wù)協(xié)議中，金融機(jī)構(gòu)應(yīng)向客戶充分揭示利用電子銀行進(jìn)行交易可能面臨的風(fēng)險(xiǎn)，金融機(jī)構(gòu)已經(jīng)采取的風(fēng)險(xiǎn)控制措施和客戶應(yīng)采取的風(fēng)險(xiǎn)控制措施，以及相關(guān)風(fēng)險(xiǎn)的責(zé)任承擔(dān)。金融機(jī)構(gòu)應(yīng)采取適當(dāng)?shù)拇胧┖筒捎眠m當(dāng)?shù)募夹g(shù)，識別與驗(yàn)證使用電子銀行服務(wù)客戶的真實(shí)、有效身份，并應(yīng)依照與客戶簽訂的有關(guān)協(xié)議對客戶作業(yè)權(quán)限、資金轉(zhuǎn)移或交易限額等實(shí)施有效管理。金融機(jī)構(gòu)應(yīng)當(dāng)建立相應(yīng)的機(jī)制，搜索、監(jiān)測和處理假冒或有意設(shè)置類似于金融機(jī)構(gòu)的電話、網(wǎng)站、短信號碼等信息騙取客戶資料的活動(dòng)。在電子銀行服務(wù)協(xié)議中，金融機(jī)構(gòu)應(yīng)向客戶充分揭示利用電子銀行進(jìn)46金融機(jī)構(gòu)發(fā)現(xiàn)假冒電子銀行的非法活動(dòng)后，應(yīng)向公安部門報(bào)案，并向中國銀監(jiān)會(huì)報(bào)告。同時(shí)，金融機(jī)構(gòu)應(yīng)及時(shí)在其網(wǎng)站、電話語音提示系統(tǒng)或短信平臺上，提醒客戶注意。金融機(jī)構(gòu)應(yīng)盡可能使用統(tǒng)一的電子銀行服務(wù)電話、域名、短信號碼等，并應(yīng)在與客戶簽訂的協(xié)議中明確客戶啟動(dòng)電子銀行業(yè)務(wù)的合法途徑、意外事件的處理辦法，以及聯(lián)系方式等。已實(shí)現(xiàn)數(shù)據(jù)集中處理的銀行業(yè)金融機(jī)構(gòu)開展網(wǎng)上銀行類業(yè)務(wù)，總行（公司）與其分支機(jī)構(gòu)應(yīng)使用統(tǒng)一的域名；未實(shí)現(xiàn)數(shù)據(jù)集中處理的銀行業(yè)金融機(jī)構(gòu)開展網(wǎng)上銀行類業(yè)務(wù)時(shí)，應(yīng)由總行（公司）設(shè)置統(tǒng)一的接入站點(diǎn)，在其主頁內(nèi)設(shè)置其分支機(jī)構(gòu)網(wǎng)站鏈接。金融機(jī)構(gòu)發(fā)現(xiàn)假冒電子銀行的非法活動(dòng)后，應(yīng)向公安部門報(bào)案，并向47金融機(jī)構(gòu)應(yīng)建立電子銀行入侵偵測與入侵保護(hù)系統(tǒng)，實(shí)時(shí)監(jiān)控電子銀行的運(yùn)行情況，定期對電子銀行系統(tǒng)進(jìn)行漏洞掃描，并建立對非法入侵的甄別、處理和報(bào)告機(jī)制。金融機(jī)構(gòu)開展電子銀行業(yè)務(wù)，需要對客戶信息和交易信息等使用電子簽名或電子認(rèn)證時(shí)，應(yīng)遵照國家有關(guān)法律法規(guī)的規(guī)定。金融機(jī)構(gòu)使用第三方認(rèn)證系統(tǒng)，應(yīng)對第三方認(rèn)證機(jī)構(gòu)進(jìn)行定期評估，保證有關(guān)認(rèn)證安全可靠和具有公信力。金融機(jī)構(gòu)應(yīng)定期評估可供客戶使用的電子銀行資源充足情況，采取必要的措施保障線路接入通暢，保證客戶對電子銀行服務(wù)的可用性。金融機(jī)構(gòu)應(yīng)建立電子銀行入侵偵測與入侵保護(hù)系統(tǒng)，實(shí)時(shí)監(jiān)控電子銀48金融機(jī)構(gòu)應(yīng)制定電子銀行業(yè)務(wù)連續(xù)性計(jì)劃，保證電子銀行業(yè)務(wù)的連續(xù)正常運(yùn)營。金融機(jī)構(gòu)電子銀行業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)充分考慮第三方服務(wù)供應(yīng)商對業(yè)務(wù)連續(xù)性的影響，并應(yīng)采取適當(dāng)?shù)念A(yù)防措施。金融機(jī)構(gòu)應(yīng)制定電子銀行應(yīng)急計(jì)劃和事故處理預(yù)案，并定期對這些計(jì)劃和預(yù)案進(jìn)行測試，以管理、控制和減少意外事件造成的危害。金融機(jī)構(gòu)應(yīng)定期對電子銀行關(guān)鍵設(shè)備和系統(tǒng)進(jìn)行檢測，并詳細(xì)記錄檢測情況。金融機(jī)構(gòu)應(yīng)明確電子銀行管理、運(yùn)營等各個(gè)環(huán)節(jié)的主要權(quán)限、職責(zé)和相互監(jiān)督方式，有效隔離電子銀行應(yīng)用系統(tǒng)、驗(yàn)證系統(tǒng)、業(yè)務(wù)處理系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)之間的風(fēng)險(xiǎn)。金融機(jī)構(gòu)應(yīng)制定電子銀行業(yè)務(wù)連續(xù)性計(jì)劃，保證電子銀行業(yè)務(wù)的連續(xù)49金融機(jī)構(gòu)應(yīng)建立健全電子銀行業(yè)務(wù)的內(nèi)部審計(jì)制度，定期對電子銀行業(yè)務(wù)進(jìn)行審計(jì)。金融機(jī)構(gòu)應(yīng)采取適當(dāng)?shù)姆椒ê图夹g(shù)，記錄并妥善保存電子銀行業(yè)務(wù)數(shù)據(jù)，電子銀行業(yè)務(wù)數(shù)據(jù)的保存期限應(yīng)符合法律法規(guī)的有關(guān)要求。金融機(jī)構(gòu)應(yīng)采取適當(dāng)措施，保證電子銀行業(yè)務(wù)符合相關(guān)法律法規(guī)對客戶信息和隱私保護(hù)的規(guī)定。金融機(jī)構(gòu)應(yīng)針對電子銀行業(yè)務(wù)發(fā)展與管理的實(shí)際情況，制訂多層次的培訓(xùn)計(jì)劃，對電子銀行管理人員和業(yè)務(wù)人員進(jìn)行持續(xù)培訓(xùn)。金融機(jī)構(gòu)應(yīng)建立健全電子銀行業(yè)務(wù)的內(nèi)部審計(jì)制度，定期對電子銀行504.3.4數(shù)據(jù)交換與轉(zhuǎn)移管理電子銀行業(yè)務(wù)的數(shù)據(jù)交換與轉(zhuǎn)移，是指金融機(jī)構(gòu)根據(jù)業(yè)務(wù)發(fā)展和管理的需要，利用電子銀行平臺與外部組織或機(jī)構(gòu)相互交換電子銀行業(yè)務(wù)信息和數(shù)據(jù)，或者將有關(guān)電子銀行業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)移至外部組織或機(jī)構(gòu)的活動(dòng)。金融機(jī)構(gòu)根據(jù)業(yè)務(wù)發(fā)展需要，可以與其他開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)建立電子銀行系統(tǒng)數(shù)據(jù)交換機(jī)制，實(shí)現(xiàn)電子銀行業(yè)務(wù)平臺的直接連接，進(jìn)行境內(nèi)實(shí)時(shí)信息交換和跨行資金轉(zhuǎn)移。4.3.4數(shù)據(jù)交換與轉(zhuǎn)移管理電子銀行業(yè)務(wù)的數(shù)據(jù)交換與轉(zhuǎn)移51建立電子銀行業(yè)務(wù)數(shù)據(jù)交換機(jī)制的金融機(jī)構(gòu)，或者電子銀行平臺實(shí)現(xiàn)相互連接的金融機(jī)構(gòu)，應(yīng)當(dāng)建立聯(lián)合風(fēng)險(xiǎn)管理委員會(huì)，負(fù)責(zé)協(xié)調(diào)跨行間的業(yè)務(wù)風(fēng)險(xiǎn)管理與控制。所有參加數(shù)據(jù)交換或電子銀行平臺連接的金融機(jī)構(gòu)都應(yīng)參加聯(lián)合風(fēng)險(xiǎn)管理委員會(huì)，共同制定并遵守聯(lián)合風(fēng)險(xiǎn)管理委員會(huì)的規(guī)章制度和工作規(guī)程。聯(lián)合風(fēng)險(xiǎn)管理委員會(huì)的規(guī)章制度、工作規(guī)程、會(huì)議紀(jì)要和有關(guān)決議等，應(yīng)抄報(bào)中國銀監(jiān)會(huì)。建立電子銀行業(yè)務(wù)數(shù)據(jù)交換機(jī)制的金融機(jī)構(gòu)，或者電子銀行平臺實(shí)現(xiàn)52金融機(jī)構(gòu)根據(jù)業(yè)務(wù)發(fā)展或管理的需要，可以與非銀行業(yè)金融機(jī)構(gòu)直接交換或轉(zhuǎn)移部分電子銀行業(yè)務(wù)數(shù)據(jù)。金融機(jī)構(gòu)向非銀行業(yè)金融機(jī)構(gòu)交換或轉(zhuǎn)移部分電子銀行業(yè)務(wù)數(shù)據(jù)時(shí)，應(yīng)簽訂數(shù)據(jù)交換（轉(zhuǎn)移）用途與范圍明確、管理職責(zé)清晰的書面協(xié)議，并明確各方的數(shù)據(jù)保密責(zé)任。金融機(jī)構(gòu)在確保電子銀行業(yè)務(wù)數(shù)據(jù)安全并被恰當(dāng)使用的情況下，可以向非金融機(jī)構(gòu)轉(zhuǎn)移部分電子銀行業(yè)務(wù)數(shù)據(jù)。金融機(jī)構(gòu)根據(jù)業(yè)務(wù)發(fā)展或管理的需要，可以與非銀行業(yè)金融機(jī)構(gòu)直接53金融機(jī)構(gòu)由于業(yè)務(wù)外包、系統(tǒng)測試（調(diào)試）、數(shù)據(jù)恢復(fù)與救援等為維護(hù)電子銀行正常安全運(yùn)營的需要而向非金融機(jī)構(gòu)轉(zhuǎn)移電子銀行業(yè)務(wù)數(shù)據(jù)的，應(yīng)當(dāng)事先簽訂書面保密合同，并指派專人負(fù)責(zé)監(jiān)督有關(guān)數(shù)據(jù)的使用、保管、傳遞和銷毀；金融機(jī)構(gòu)由于業(yè)務(wù)拓展、業(yè)務(wù)合作等需要向非金融機(jī)構(gòu)轉(zhuǎn)移電子銀行業(yè)務(wù)數(shù)據(jù)的，除應(yīng)簽訂書面保密合同和指定專人監(jiān)督外，還應(yīng)建立對數(shù)據(jù)接收方的定期檢查制度，一旦發(fā)現(xiàn)數(shù)據(jù)接收方不當(dāng)使用、保管或傳遞電子銀行業(yè)務(wù)數(shù)據(jù)，應(yīng)立即停止相關(guān)數(shù)據(jù)轉(zhuǎn)移，并應(yīng)采取必要的措施預(yù)防電子銀行客戶的合法權(quán)益受到損害，法律法規(guī)另有規(guī)定的除外；金融機(jī)構(gòu)不得向無業(yè)務(wù)往來的非金融機(jī)構(gòu)轉(zhuǎn)移電子銀行業(yè)務(wù)數(shù)據(jù)，不得出售電子銀行業(yè)務(wù)數(shù)據(jù)，不得損害客戶權(quán)益利用電子銀行業(yè)務(wù)數(shù)據(jù)謀取利益。金融機(jī)構(gòu)由于業(yè)務(wù)外包、系統(tǒng)測試（調(diào)試）、數(shù)據(jù)恢復(fù)與救援等為維54金融機(jī)構(gòu)可以為電子商務(wù)經(jīng)營者提供網(wǎng)上支付平臺。為電子商務(wù)提供網(wǎng)上支付平臺時(shí)，金融機(jī)構(gòu)應(yīng)嚴(yán)格審查合作對象，簽訂書面合作協(xié)議，建立有效監(jiān)督機(jī)制，防范不法機(jī)構(gòu)或人員利用電子銀行支付平臺從事違法資金轉(zhuǎn)移或其他非法活動(dòng)。外資金融機(jī)構(gòu)因業(yè)務(wù)或管理需要確需向境外總行（公司）轉(zhuǎn)移有關(guān)電子銀行業(yè)務(wù)數(shù)據(jù)的，應(yīng)遵守有關(guān)法律法規(guī)的規(guī)定，采取必要的措施保護(hù)客戶的合法權(quán)益，并遵守有關(guān)數(shù)據(jù)交換和轉(zhuǎn)移的規(guī)定。未經(jīng)電子銀行業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)出機(jī)構(gòu)的允許，數(shù)據(jù)接收機(jī)構(gòu)不得將有關(guān)電子銀行業(yè)務(wù)數(shù)據(jù)向第三方轉(zhuǎn)移。法律法規(guī)另有規(guī)定的除外。金融機(jī)構(gòu)可以為電子商務(wù)經(jīng)營者提供網(wǎng)上支付平臺。為電子商務(wù)提供554.3.5監(jiān)督管理中國銀監(jiān)會(huì)依法對電子銀行業(yè)務(wù)實(shí)施非現(xiàn)場監(jiān)管、現(xiàn)場檢查和安全監(jiān)測，對電子銀行安全評估實(shí)施管理，并對電子銀行的行業(yè)自律組織進(jìn)行指導(dǎo)和監(jiān)督。中國銀監(jiān)會(huì)根據(jù)監(jiān)管的需要，可以依法對金融機(jī)構(gòu)的電子銀行業(yè)務(wù)實(shí)施現(xiàn)場檢查，也可以聘請外部專業(yè)機(jī)構(gòu)對電子銀行業(yè)務(wù)系統(tǒng)進(jìn)行安全漏洞掃描、攻擊測試等檢查。4.3.5監(jiān)督管理中國銀監(jiān)會(huì)依法對電子銀行業(yè)務(wù)實(shí)施非現(xiàn)場564.4電子支付安全技術(shù)保障4.4.1安全支付防范技術(shù)

4.4.2安全支付加密技術(shù)

4.4.3安全支付認(rèn)證技術(shù)

4.4.4安全交易協(xié)議與支付技術(shù)4.4電子支付安全技術(shù)保障4.4.1安全支付防574.4.1安全支付防范技術(shù)1.病毒防范技術(shù)2.黑客防范技術(shù)3.虛擬專用技術(shù)4.4.1安全支付防范技術(shù)1.病毒防范技術(shù)581.病毒防范技術(shù)隨著信息產(chǎn)業(yè)的高速發(fā)展，眾多企業(yè)都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng)，以充分利用各類信息資源。但是我們在享受信息產(chǎn)業(yè)發(fā)展帶給我們的便利的同時(shí)，也面臨著巨大的風(fēng)險(xiǎn)。我們的系統(tǒng)隨時(shí)可能遭受到病毒的感染、黑客的入侵，這都可以給我們造成巨大的損失。1.病毒防范技術(shù)隨著信息產(chǎn)業(yè)的高速發(fā)展，眾多企業(yè)都利用互59病毒演示——彩帶病毒病毒演示——彩帶病毒60千年老妖的病毒千年老妖的病毒61紅色代碼病毒紅色代碼病毒62計(jì)算機(jī)病毒的基礎(chǔ)知識我國頒布實(shí)施的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第二十八條中明確指出：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！庇?jì)算機(jī)病毒的基礎(chǔ)知識我國頒布實(shí)施的《中華人民共和國計(jì)算機(jī)信息63計(jì)算機(jī)病毒和醫(yī)學(xué)上的病毒不同的是，計(jì)算機(jī)病毒不是天然存在的，而是某些別有用心的人利用自己所掌握的計(jì)算機(jī)知識，針對計(jì)算機(jī)軟、硬件所固有的脆弱性而編制的具有特殊功能（通常是攻擊計(jì)算機(jī)軟、硬件）的程序，也就是說它是一段程序。因此，從廣義上講，凡是能夠引起計(jì)算機(jī)故障，影響計(jì)算機(jī)正常運(yùn)行的、破壞計(jì)算機(jī)數(shù)據(jù)的所有程序，統(tǒng)稱為“計(jì)算機(jī)病毒”。計(jì)算機(jī)病毒和醫(yī)學(xué)上的病毒不同的是，計(jì)算機(jī)病毒不是天然存在的，64計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼就像生物病毒一樣，具有自我繁殖、互相傳染以及激活再生等生物病毒特征。計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力，它們能夠快速蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上，當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來。計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼65計(jì)算機(jī)病毒產(chǎn)生原因①用于版權(quán)保護(hù)。

在計(jì)算機(jī)發(fā)展初期，由于在法律上對于軟件版權(quán)保護(hù)還沒有像今天這樣完善，因此，很多商業(yè)軟件被非法復(fù)制，軟件開發(fā)商為了保護(hù)自己的利益，就在自己發(fā)布的產(chǎn)品中加入了一些特別設(shè)計(jì)的程序，其目的就是為了防止用戶進(jìn)行非法復(fù)制或傳播。但是隨著信息產(chǎn)業(yè)的法制化，用于這種目的的病毒目前已不多見。計(jì)算機(jī)病毒產(chǎn)生原因①用于版權(quán)保護(hù)。66②顯示自己的計(jì)算機(jī)水平。

某些愛好計(jì)算機(jī)并對計(jì)算機(jī)技術(shù)精通的人士為了炫耀自己的高超技術(shù)和智慧，憑借對軟硬件的深入了解，編制這些特殊的程序。

他們的本意并不是想讓這些計(jì)算機(jī)病毒來對社會(huì)產(chǎn)生危害，但不幸的是，這些程序通過某些渠道傳播出去后，對社會(huì)造成了很大的危害。②顯示自己的計(jì)算機(jī)水平。67③產(chǎn)生于個(gè)別人的報(bào)復(fù)心理。

在所有的計(jì)算機(jī)病毒中，危害最大的就是那些別有用心的人出于報(bào)復(fù)等心理故意制造的計(jì)算機(jī)病毒。

例如，美國一家計(jì)算機(jī)公司的一名程序員被辭退時(shí)，決定對公司進(jìn)行報(bào)復(fù)，離開前向公司計(jì)算機(jī)系統(tǒng)中輸入了一個(gè)病毒程序，“埋伏”在公司計(jì)算機(jī)系統(tǒng)里。結(jié)果這個(gè)病毒潛伏了5年多才發(fā)作，造成整個(gè)計(jì)算機(jī)系統(tǒng)的紊亂，給公司造成了巨大損失。③產(chǎn)生于個(gè)別人的報(bào)復(fù)心理。68④用于特殊目的。

此類計(jì)算機(jī)病毒通常都是某些組織（如用于軍事、政府、秘密研究項(xiàng)目等）或個(gè)人為達(dá)到特殊目的，對政府機(jī)構(gòu)、單位的特殊系統(tǒng)進(jìn)行暗中破壞、竊取機(jī)密文件或數(shù)據(jù)。

例如倍受網(wǎng)絡(luò)界關(guān)注的中美之間的黑客大戰(zhàn)，很有一絲網(wǎng)絡(luò)戰(zhàn)的味道。④用于特殊目的。69⑤為了獲取利益。如今已是木馬大行其道的時(shí)代，據(jù)統(tǒng)計(jì)木馬在病毒中已占七成左右，其中大部分都是以竊取用戶信息、獲取經(jīng)濟(jì)利益為目的，如竊取用戶資料、網(wǎng)銀賬號密碼、網(wǎng)游賬號密碼、QQ賬號密碼等。一旦這些信息失竊，將給用戶帶來非常嚴(yán)重的經(jīng)濟(jì)損失。如“熊貓燒香”、“網(wǎng)游大盜”、“網(wǎng)銀竊賊”等。⑤為了獲取利益。如今已是木馬大行其道的時(shí)代，據(jù)統(tǒng)計(jì)木馬在病毒70計(jì)算機(jī)病毒的特征

寄生性計(jì)算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒就起破壞作用，而在未啟動(dòng)這個(gè)程序之前，它不易被人發(fā)覺。

傳染性

傳染性是計(jì)算機(jī)病毒的最重要特征。計(jì)算機(jī)病毒可從一個(gè)文件傳染到另一個(gè)文件，從一臺計(jì)算機(jī)傳染到另一臺計(jì)算機(jī)，可在計(jì)算機(jī)網(wǎng)絡(luò)中寄生并廣泛傳播。潛伏性計(jì)算機(jī)病毒在傳染給一臺計(jì)算機(jī)后，只有滿足一定條件才能執(zhí)行(發(fā)作)，在條件未滿足前，一直潛伏著。計(jì)算機(jī)病毒的特征

寄生性計(jì)算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)71隱蔽性

計(jì)算機(jī)病毒程序編制得都比較“巧妙”，并常以分散、多處隱蔽的方式隱藏在可執(zhí)行文件或數(shù)據(jù)中，未發(fā)起攻擊，不易被人發(fā)覺。

激發(fā)性計(jì)算機(jī)病毒感染了一臺計(jì)算機(jī)系統(tǒng)后，就時(shí)刻監(jiān)視系統(tǒng)的運(yùn)行，一旦滿足一定的條件，便立刻被激活并發(fā)起攻擊，這稱為激發(fā)性。如黑色星期五病毒只在13日正好是星期五時(shí)發(fā)作。

隱蔽性計(jì)算機(jī)病毒程序編制得都比較“巧妙”，并常以分散、多處72計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類73第四章電子支付安全管理課件74第四章電子支付安全管理課件75第四章電子支付安全管理課件76計(jì)算機(jī)病毒的主要癥狀計(jì)算機(jī)病毒的主要癥狀77第四章電子支付安全管理課件78第四章電子支付安全管理課件79第四章電子支付安全管理課件80計(jì)算機(jī)病毒傳播途徑通過不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播，這類病毒雖然極少，但破壞力卻極強(qiáng)，目前尚沒有較好的檢測手段對付。

通過移動(dòng)存儲(chǔ)介質(zhì)傳播，包括軟盤、光盤、U盤和移動(dòng)硬盤等，用戶之間在互相拷貝文件的同時(shí)也造成了病毒的擴(kuò)散。

通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播。計(jì)算機(jī)病毒附著在正常文件中通過網(wǎng)絡(luò)進(jìn)入一個(gè)又一個(gè)系統(tǒng)，其傳播速度呈幾何級數(shù)增長，是目前病毒傳播的首要途徑。計(jì)算機(jī)病毒傳播途徑通過不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播，這類81計(jì)算機(jī)病毒的防范措施樹立病毒防范意識，從思想上重視計(jì)算機(jī)病毒。安裝正版的殺毒軟件和防火墻，并及時(shí)升級到最新版本(如瑞星、金山毒霸、360殺毒)。及時(shí)對系統(tǒng)和應(yīng)用程序進(jìn)行升級及時(shí)更新操作系統(tǒng)安裝相應(yīng)補(bǔ)丁程序，從根源上杜絕黑客利用系統(tǒng)漏洞攻擊用戶的計(jì)算機(jī)。計(jì)算機(jī)病毒的防范措施樹立病毒防范意識，從思想上重視計(jì)算機(jī)病毒82把好入口關(guān)不要隨便登錄不明網(wǎng)站、黑客網(wǎng)站或色情網(wǎng)站不要隨便點(diǎn)擊打開QQ、MSN等聊天工具上發(fā)來的鏈接信息，不要隨便打開或運(yùn)行陌生、可疑文件和程序。

養(yǎng)成經(jīng)常備份重要數(shù)據(jù)的習(xí)慣養(yǎng)成使用計(jì)算機(jī)的良好習(xí)慣（定期查毒、殺毒)要學(xué)習(xí)和掌握一些必備的相關(guān)知識，就不會(huì)“聞毒色變”。把好入口關(guān)83黑客防范技術(shù)“黑客”一詞是由英語Hacker音譯出來的，是指專門研究、發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)漏洞的計(jì)算機(jī)愛好者。黑客對計(jì)算機(jī)有著狂熱的興趣和執(zhí)著的追求，他們不斷地研究計(jì)算機(jī)和網(wǎng)絡(luò)知識，發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)中存在的漏洞，喜歡挑戰(zhàn)高難度的網(wǎng)絡(luò)系統(tǒng)并從中找到漏洞，然后向管理員提出解決和修補(bǔ)漏洞的方法。黑客不干涉政治，不受政治利用，他們的出現(xiàn)推動(dòng)了計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展與完善。

黑客防范技術(shù)“黑客”一詞是由英語Hacker音譯出來的，是指84但到了今天，黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的家伙。對這些人的正確英文叫法是Cracker，有人翻譯成“駭客”。黑客和駭客根本的區(qū)別是：黑客們建設(shè)，而駭客們破壞。但到了今天，黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或85黑客的攻擊方式入侵者的來源有兩種：一種是內(nèi)部人員利用自己的工作機(jī)會(huì)和權(quán)限來獲取不應(yīng)該獲取的權(quán)限而進(jìn)行的攻擊。另一種是外部人員入侵，包括遠(yuǎn)程入侵、網(wǎng)絡(luò)節(jié)點(diǎn)接入入侵等。黑客的攻擊方式入侵者的來源有兩種：86攻擊前的準(zhǔn)備攻擊前的準(zhǔn)備87信息收集信息收集88網(wǎng)絡(luò)攻擊工作流程進(jìn)行網(wǎng)絡(luò)攻擊是一件系統(tǒng)性很強(qiáng)的工作，其主要工作流程是：收集情報(bào)，遠(yuǎn)程攻擊，遠(yuǎn)程登錄，取得普通用戶的權(quán)限，取得超級用戶的權(quán)限，留下后門，清除日志。在實(shí)現(xiàn)攻擊的目的后，攻擊者通常會(huì)采取各種措施來隱藏入侵的痕跡，并為今后可能留下控制權(quán)限。網(wǎng)絡(luò)攻擊工作流程進(jìn)行網(wǎng)絡(luò)攻擊是一件系統(tǒng)性很強(qiáng)的工作，其主要工89攻擊的圖示步驟攻擊的圖示步驟90攻擊的方式獲取口令

端口掃描WWW的欺騙技術(shù)。例如黑客將用戶要瀏覽的網(wǎng)頁的URL改寫為指向黑客自己的服務(wù)器，當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁的時(shí)候，網(wǎng)頁已經(jīng)被黑客篡改過，網(wǎng)頁上的信息是虛假的。電子郵件攻擊

{郵件炸彈，電子郵件欺騙，攻擊者佯稱自己為系統(tǒng)管理員（郵件地址和系統(tǒng)管理員完全相同），給用戶發(fā)送郵件要求用戶修改口令（口令可能為指定字符串）或在貌似正常的附件中加載病毒或其他木馬程序}攻擊的方式獲取口令

91通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)

。黑客在突破一臺主機(jī)后，往往以此主機(jī)作為根據(jù)地，攻擊其他主機(jī)(以隱蔽其入侵路徑，避免留下蛛絲馬跡)。網(wǎng)絡(luò)監(jiān)聽

。是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接受方是誰。尋找系統(tǒng)漏洞

利用帳號進(jìn)行攻擊

偷取特權(quán)

通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)

。黑客在突破一臺主機(jī)后，往往以此923.虛擬專用（VPN）技術(shù)3.虛擬專用（VPN）技術(shù)93第四章電子支付安全管理課件94第四章電子支付安全管理課件95第四章電子支付安全管理課件96專用網(wǎng)絡(luò)的優(yōu)點(diǎn)專用網(wǎng)絡(luò)的優(yōu)點(diǎn)97專用網(wǎng)絡(luò)的缺點(diǎn)專用網(wǎng)絡(luò)的缺點(diǎn)98第四章電子支付安全管理課件99經(jīng)濟(jì)性的需要Intemet的發(fā)展,推動(dòng)了采用基于公網(wǎng)的虛擬專網(wǎng)(VPN)的發(fā)展,從而使企業(yè)的跨地區(qū)的部門或出差人員可以從遠(yuǎn)程經(jīng)過公共網(wǎng)絡(luò),通過虛擬的加密通道與企業(yè)內(nèi)部的網(wǎng)絡(luò)連接,可以使企業(yè)節(jié)省大量的通信費(fèi)用和資金。有研究機(jī)構(gòu)表明,如果企業(yè)采用VPN替代租用DDN（數(shù)字?jǐn)?shù)據(jù)網(wǎng)）專線,其整個(gè)網(wǎng)絡(luò)的成本可節(jié)約21%一45%,若替代撥號連網(wǎng)方式可節(jié)約通信成本50%一80%。這些新的業(yè)務(wù)需求給公共網(wǎng)絡(luò)的經(jīng)營者提供了巨大的商業(yè)機(jī)會(huì)。經(jīng)濟(jì)性的需要Intemet的發(fā)展,推動(dòng)了采用基于公網(wǎng)的虛擬專100安全性的需要隨著網(wǎng)絡(luò)經(jīng)濟(jì)的高速發(fā)展,Internet訪問的不斷增加,傳統(tǒng)的Internet接入服務(wù)已越來越滿足不了用戶的需求,因?yàn)閭鹘y(tǒng)的Internet只提供瀏覽、電子郵件等單一服務(wù),沒有服務(wù)質(zhì)量保證,沒有權(quán)限和安全機(jī)制。我們現(xiàn)有的Internet使用TCP/IP協(xié)議,每臺機(jī)器用lP地址和MAC地址標(biāo)識自己,通過網(wǎng)線連在-起。當(dāng)有一臺機(jī)器向網(wǎng)絡(luò)中的另外一臺機(jī)器發(fā)送數(shù)據(jù)時(shí),所有的機(jī)器都能接收到,除非該數(shù)據(jù)被路由器攔截。例如,一個(gè)企業(yè)的客戶正好在和企業(yè)的服務(wù)器進(jìn)行通訊,此時(shí)如果他的lP數(shù)據(jù)包被監(jiān)聽,有可能就會(huì)泄露重要的企業(yè)信息,其后果不堪設(shè)想。這種安全問題在Internet上非常突出,為了保證安全,常采用專用網(wǎng)的方式,而VPN就是一種專用網(wǎng)。安全性的需要隨著網(wǎng)絡(luò)經(jīng)濟(jì)的高速發(fā)展,Internet訪問的不101

VPN的優(yōu)勢(1)使用VPN可降低成本——通過公用網(wǎng)來建立VPN，就可以節(jié)省大量的通信費(fèi)用而不必投入大量的人力和物力去安裝和維護(hù)WAN(廣域網(wǎng))設(shè)備和遠(yuǎn)程訪問設(shè)備。

(2)傳輸數(shù)據(jù)安全可靠——虛擬專用網(wǎng)產(chǎn)品均采用加密及身份驗(yàn)證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。

VPN的優(yōu)勢(1)使用VPN可降低成本——通過公用網(wǎng)來建立102(3)連接方便靈活——用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有虛擬專用網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網(wǎng)之后，只需雙方配置安全連接信息即可。(4)完全控制——虛擬專用網(wǎng)使用戶可以利用ISP的設(shè)施和服務(wù)，同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶只利用ISP提供的網(wǎng)絡(luò)資源，對于其它的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專用網(wǎng)。(3)連接方便靈活——用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有虛擬103第四章電子支付安全管理課件104第四章電子支付安全管理課件105第四章電子支付安全管理課件106適合采用VPN網(wǎng)絡(luò)連接的用戶有四類：

網(wǎng)絡(luò)接入位置眾多，特別是單個(gè)用戶和遠(yuǎn)程辦公室站點(diǎn)多，例如多分支機(jī)構(gòu)企業(yè)用戶、遠(yuǎn)程教育用戶;用戶/站點(diǎn)分布范圍廣，彼此之間的距離遠(yuǎn)，遍布全球各地，需通過長途電信，甚至國際長途手段聯(lián)系的用戶，如一些跨國公司;帶寬和時(shí)延要求相對適中，如一些提供IDG(國際數(shù)據(jù)集團(tuán))服務(wù)的ISP;對線路保密性和可用性有一定要求的用戶，如大企業(yè)用戶和政府網(wǎng)。適合采用VPN網(wǎng)絡(luò)連接的用戶有四類：網(wǎng)絡(luò)接入位置眾多，特別107四種情況可能并不適于采用VPN：非常重視傳輸數(shù)據(jù)的安全性；不管價(jià)格多少，性能都被放在第一位的情況；

采用不常見的協(xié)議，不能在IP隧道中傳送應(yīng)用的情況；大多數(shù)通信是實(shí)時(shí)通信的應(yīng)用，如語音和視頻。但這種情況可以使用公共交換電話網(wǎng)（PSTN）解決方案與VPN配合使用。四種情況可能并不適于采用VPN：非常重視傳輸數(shù)據(jù)的安全性；108VPN網(wǎng)絡(luò)安全技術(shù)隧道技術(shù)加解密技術(shù)密鑰管理技術(shù)使用者與設(shè)備身份認(rèn)證技術(shù)VPN網(wǎng)絡(luò)安全技術(shù)隧道技術(shù)1094.4.2安全支付加密技術(shù)加密技術(shù)是電子商務(wù)采取的主要安全保密措施，是最常用的安全保密手段，利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）。加密技術(shù)的應(yīng)用是多方面的，但最為廣泛的還是在電子商務(wù)的應(yīng)用，深受廣大用戶的喜愛。4.4.2安全支付加密技術(shù)加密技術(shù)是電子商務(wù)采取的主要安110第四章電子支付安全管理課件111數(shù)據(jù)加密的基本概念密碼學(xué)(cryptography)是研究加密和解密變換的一門學(xué)科。明文(plaintext)：通常，人們將可懂的文本稱為明文。密文(ciphertext,cryptograph):將明文變換成不可懂的形式的文本加密(encipher,encrypt)把明文變換成密文的過程.解密(decipher,decrypt)把密文變換成明文的過程數(shù)據(jù)加密的基本概念密碼學(xué)(cryptography)是研究112加密技術(shù)包括兩個(gè)元素：算法和密鑰。算法是將普通的文本（或者可以理解的信息）與一串?dāng)?shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟。密鑰是用來對數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在安全保密中，可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制來保證網(wǎng)絡(luò)的信息通訊安全。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。加密技術(shù)包括兩個(gè)元素：算法和密鑰。113對數(shù)據(jù)加密的技術(shù)分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn)（DES，DataEncryptionStandard）算法為典型代表，非對稱加密通常以RSA（RivestShamirAdleman）算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。對數(shù)據(jù)加密的技術(shù)分為兩類，即對稱加密114

對稱密鑰加密技術(shù)對稱加密采用了對稱密碼編碼技術(shù)，它的特點(diǎn)是文件加密和解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰，這種方法在密碼學(xué)中叫做對稱加密算法。對稱密鑰加密技術(shù)對稱加密采用了對稱密碼編碼技術(shù)，它的特點(diǎn)115第四章電子支付安全管理課件116對稱密鑰加密技術(shù)的優(yōu)缺點(diǎn)“對稱密鑰”加密體制具有加解密速度快、安全強(qiáng)度高的優(yōu)點(diǎn)，在軍事、外交以及商業(yè)應(yīng)用中使用越來越普遍?！皩ΨQ密鑰”加密體制的最大缺點(diǎn)就是存在密鑰交付的問題。對“對稱密鑰”加密體制來說，在進(jìn)行通信之前，雙方必須持有相同的密鑰。與不同的人通信時(shí)，要使用不同的密鑰，去管理這些密鑰是一件可怕的事。對稱密鑰加密技術(shù)的優(yōu)缺點(diǎn)“對稱密鑰”加密體制具有加解密速度快117第四章電子支付安全管理課件118比較著名的常規(guī)加密算法有：美國的DES及其各種變形，比如TripleDES、GDES、NewDES和DES的前身Lucifer；歐洲的IDEA；日本的FEALN、LOKI91、Skipjack、RC4、RC5以及以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。

在眾多的常規(guī)加密算法中影響最大的是DES加密算法。比較著名的常規(guī)加密算法有：美國的DES及其各種變形，比如119非對稱密鑰加密技術(shù)現(xiàn)代加密體制中加密和解密采用不同的密鑰，因此稱為“非對稱密鑰”加密體制。每個(gè)通信方均需要有兩個(gè)密鑰（一個(gè)加密鑰，一個(gè)解密鑰），在進(jìn)行保密通信時(shí)，通常將加密密鑰公開（稱為公鑰，PublicKey），而保留解密密鑰（稱為私鑰，PrivateKey）。非對稱密鑰加密技術(shù)現(xiàn)代加密體制中加密和解密采用不同的密鑰，因120雖然兩者之間存在一定的關(guān)系，但不可能輕易地從一個(gè)推導(dǎo)出另一個(gè)。發(fā)送方想發(fā)送機(jī)密信息給接收方，可以從任意公開渠道獲得對方的公鑰，將明文用對方的公鑰加密成密文后，發(fā)送給接收方。接收方在接到密文后，用保留的解密密鑰將密文還原成明文。雖然兩者之間存在一定的關(guān)系，但不可能輕易地從一個(gè)推導(dǎo)出另一個(gè)121第四章電子支付安全管理課件122第四章電子支付安全管理課件123“非對稱密鑰”加密體制的最大優(yōu)點(diǎn)就是適應(yīng)網(wǎng)絡(luò)開放性的要求，不存在密鑰分發(fā)的問題。由于“非對稱密鑰”加密體制的算法比“對稱密鑰”加密體制的算法復(fù)雜度高，大量數(shù)據(jù)加密時(shí)“對稱密鑰”加密體制要比“非對稱密鑰”加密體制的速度快100~1000倍，因此，“非對稱密鑰”密碼體制常被用于對少量關(guān)鍵數(shù)據(jù)（例如：“對稱密鑰”加密體制的密鑰）進(jìn)行加密，或者用于數(shù)字簽名領(lǐng)域，一般不用于對大量數(shù)據(jù)的加密?！胺菍ΨQ密鑰”加密體制的最大優(yōu)點(diǎn)就是適應(yīng)網(wǎng)絡(luò)開放性的要求，不124常用的“非對稱密鑰”加密算法有Rivest，Shamir和Adleman提出的并以他們的名字首字母命名的RSA算法。一般與“對稱密鑰”加密算法共同使用。這些算法復(fù)雜度各不相同，提供的功能也不完全一樣。常用的“非對稱密鑰”加密算法有Rivest，Shamir和A125對稱與非對稱加密體制對比對稱與非對稱加密體制對比1262.2.3信息認(rèn)證技術(shù)所謂數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對數(shù)據(jù)單元所作的密碼變換。數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù),防止被人(例如接收者)進(jìn)行偽造。數(shù)字簽名的文件的完整性是很容易驗(yàn)證的（不需要騎縫章，騎縫簽名，也不需要筆跡專家），而且數(shù)字簽名具有不可抵賴性（不需要筆跡專家來驗(yàn)證）。2.2.3信息認(rèn)證技術(shù)所謂數(shù)字簽名就是附加在數(shù)據(jù)單元上的127數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要信息，然后用HASH函數(shù)對收到的原文產(chǎn)生一個(gè)摘要信息，與解密的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數(shù)字簽名能夠驗(yàn)證信息的完整性。數(shù)字簽名是個(gè)加密的過程，數(shù)字簽名驗(yàn)證是個(gè)解密的過程。數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給128數(shù)字簽名的具體過程數(shù)字簽名的具體過程129數(shù)字簽名與手書簽名的區(qū)別1.數(shù)字簽名的要求：（1）收方能夠確認(rèn)或證實(shí)發(fā)方的簽名，但不能偽造。（2）發(fā)方發(fā)出簽名的消息送收方后，就不能再否認(rèn)他所簽發(fā)的消息。（3）收方對已收到的簽名消息不能否認(rèn)，即有收到認(rèn)證。（4）第三者可以確認(rèn)收發(fā)雙方之間的消息傳送，但不能偽造這一過程。數(shù)字簽名與手書簽名的區(qū)別1.數(shù)字簽名的要求：1302.數(shù)字簽名與手書簽名的區(qū)別(1)手書簽名是模擬的，且因人而異。(2)數(shù)字簽名是0和1的數(shù)字串，因消息而異。(3)消息認(rèn)證使收方能驗(yàn)證消息發(fā)送者及所發(fā)消息內(nèi)容是否被篡改過(4)數(shù)字簽名技術(shù)可解決收者和發(fā)者之間有利害沖突時(shí)的糾紛。2.數(shù)字簽名與手書簽名的區(qū)別131數(shù)字證書數(shù)字證書就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一串?dāng)?shù)字，提供了一種在Internet上驗(yàn)證通信實(shí)體身份的方式，數(shù)字證書不是數(shù)字身份證，而是身份認(rèn)證機(jī)構(gòu)蓋在數(shù)字身份證上的一個(gè)章或?。ɑ蛘哒f加在數(shù)字身份證上的一個(gè)簽名）。是由權(quán)威機(jī)構(gòu)——CA機(jī)構(gòu)，又稱為證書授權(quán)（CertificateAuthority）中心發(fā)行的，人們可以在網(wǎng)上用它來識別對方的身份。數(shù)字證書數(shù)字證書就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一串?dāng)?shù)132數(shù)字證書的組成數(shù)字證書的組成133數(shù)字證書的格式普遍采用的是X.509V3國際標(biāo)準(zhǔn)，一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容：證書的版本信息。證書的序列號，每個(gè)證書都有一個(gè)唯一的證書序列號。證書所使用的簽名算法。證書的發(fā)行機(jī)構(gòu)名稱。證書的有效期，現(xiàn)在通用的證書一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950~2049。證書主題或使用者。證書所有人的公開密鑰信息。其他額外的特別擴(kuò)展信息。證書發(fā)行者對證書的數(shù)字簽名。數(shù)字證書的格式普遍采用的是X.509V3國際標(biāo)準(zhǔn)，一個(gè)標(biāo)準(zhǔn)的134數(shù)字證書的應(yīng)用數(shù)字證書的應(yīng)用是廣泛的，目前主要包括：發(fā)送安全電子郵件、訪問安全站點(diǎn)、網(wǎng)上招標(biāo)投標(biāo)、網(wǎng)上簽約、網(wǎng)上訂購、安全網(wǎng)上公文傳送、網(wǎng)上繳費(fèi)、網(wǎng)上繳稅、網(wǎng)上炒股、網(wǎng)上購物和網(wǎng)上報(bào)關(guān)等。其中包括大家最為熟悉的用于網(wǎng)上銀行的USBkey和部分使用數(shù)字證書的VIEID即網(wǎng)絡(luò)身份證。數(shù)字證書的應(yīng)用數(shù)字證書的應(yīng)用是廣泛的，目前主要包括：發(fā)送安全135CA認(rèn)證中心電子商務(wù)認(rèn)證授權(quán)機(jī)構(gòu)（CA,CertificateAuthority），也稱為電子商務(wù)認(rèn)證中心，是負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)，并作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。CA認(rèn)證中心電子商務(wù)認(rèn)證授權(quán)機(jī)構(gòu)（CA,Certifica136CA認(rèn)證中心的功能證書的申請與審批證書的發(fā)放證書的歸檔證書的作廢證書的更新密鑰的管理CA認(rèn)證中心的功能證書的申請與審批137PKIPKI是PublicKeyInfrastructure的首字母縮寫，翻譯過來就是公鑰基礎(chǔ)設(shè)施；PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。PKIPKI是PublicKeyInfrastructu138X.509標(biāo)準(zhǔn)中，為了區(qū)別于權(quán)限管理基礎(chǔ)設(shè)施(PrivilegeManagementInfrastructure，簡稱PMI)，將PKI定義為支持公開密鑰管理并能支持認(rèn)證、加密、完整性和可追究性服務(wù)的基礎(chǔ)設(shè)施。這個(gè)概念與第一個(gè)概念相比，不僅僅敘述PKI能提供的安全服務(wù)，更強(qiáng)調(diào)PKI必須支持公開密鑰的管理。也就是說，僅僅使用公鑰技術(shù)還不能叫做PKI，還應(yīng)該提供公開密鑰的管理。因?yàn)镻MI僅僅使用公鑰技術(shù)但并不管理公開密鑰，X.509標(biāo)準(zhǔn)中，為了區(qū)別于權(quán)限管理基礎(chǔ)設(shè)施(Privile139PKI的功能證書的申請者注冊機(jī)構(gòu)認(rèn)證中心證書庫證書信任方其中認(rèn)證中心、注冊機(jī)構(gòu)和證書庫三部分是PKI的核心，證書申請者和證書信任方則是利用PKI進(jìn)行網(wǎng)上交易的參與者。PKI的功能證書的申請者140電子支付協(xié)議電子支付協(xié)議是指在電子交易過程中實(shí)現(xiàn)交易各方支付信息正確、安全、保密地進(jìn)行網(wǎng)絡(luò)通信的規(guī)范和約定。目前在電子支付中常用的安全協(xié)議有：安全套接層協(xié)議（SecureSocketsLayer，SSL）安全電子交易協(xié)議（SecureElectronicTransaction，SET）。電子支付協(xié)議電子支付協(xié)議是指在電子交易過程中實(shí)現(xiàn)交易各方支付141SSL協(xié)議的概念SSL協(xié)議的概念142第四章電子支付安全管理課件143第四章電子支付安全管理課件144第四章電子支付安全管理課件145第四章電子支付安全管理課件146SSL協(xié)議的安全交易過程SSL協(xié)議的安全交易過程147是保證計(jì)算機(jī)之間通信安全的一種協(xié)議。是保證計(jì)算機(jī)之間通信安全的一種協(xié)議。148第四章電子支付安全管理課件149SSL協(xié)議的基本安全服務(wù)SSL協(xié)議的基本安全服務(wù)150第四章電子支付安全管理課件151SSL協(xié)議的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：設(shè)置簡單，成本低，銀行和商家無須進(jìn)行大規(guī)模系統(tǒng)改造消費(fèi)者進(jìn)行電子商務(wù)交易，無須安全專門軟件，只要瀏覽器支持即可傳送的數(shù)據(jù)被加密，從而保證通信的安全性SSL協(xié)議的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：152缺點(diǎn)：1.SSL提供的保密連接存在較大的漏洞:SSL除了能保證傳輸過程中的安全之外，不能提供其他任何安全保證，不能讓客戶明明白白的知道商家接收信用卡支付是否已經(jīng)通過授權(quán)的，換句話說，商家、客戶和銀行之間缺少彼此之間的認(rèn)證。因此不法分子很有可能借此漏洞進(jìn)行一些欺詐行為。在Internet這個(gè)公開的平臺上，陌生的店鋪會(huì)經(jīng)常出現(xiàn)，如果不能保證它是真實(shí)可信的，那么消費(fèi)者怎么去相信這些商家不會(huì)進(jìn)行欺詐行為呢？退一步說，即使是一個(gè)真實(shí)可靠的網(wǎng)上商家，如果在收到消費(fèi)者的信用卡號碼之后沒有采取措施保證它的安全性，那么信用卡號碼也會(huì)很容易被一些網(wǎng)絡(luò)黑客竊取的。缺點(diǎn)：1.SSL提供的保密連接存在較大的漏洞:1532.SSL不能提供很好的隱私保護(hù):

在SSL的交易過程中，消費(fèi)者需要將所有的信息都傳輸給商家，消費(fèi)者的信息包括支付信息和定單信息。在這個(gè)過程中商家可以看到消費(fèi)者的所有信息，包括信用卡卡號信息。而消費(fèi)者不希望商家看到除定單信息以外的其他隱私信息，同樣，消費(fèi)者也希望銀行只看到支付信息，看不到其他信息，比如訂購了什么東西等等。所以說在SSL交易過程中客戶的隱私得不到很好的保障。

2.SSL不能提供很好的隱私保護(hù):

在SSL的交易過程中154

基于SET協(xié)議的支付技術(shù)隨著電子商務(wù)參與方的迅速增加，認(rèn)證問題越來越突出，SSL協(xié)議的缺點(diǎn)完全暴露出來。SSL協(xié)議逐漸被新的SET協(xié)議所取代。目前我國開發(fā)的電子支付系統(tǒng)，無論是中國銀行的長城卡電子支付系統(tǒng)，還是上海長途電信局的網(wǎng)上支付系統(tǒng)，均沒有采用SSL協(xié)議，主要原因就是無法保證客戶資金的安全性。

基于SET協(xié)議的支付技術(shù)隨著電子商務(wù)參與方的迅速增加，認(rèn)證155第四章電子支付安全管理課件156SET協(xié)議的作用SET協(xié)議的作用157SET協(xié)議中的參與方SET協(xié)議中的參與方158第四章電子支付安全管理課件1591、消費(fèi)者即持卡人：包括個(gè)人消費(fèi)者和團(tuán)體消費(fèi)者，按照在線商店的要求填寫定貨單，通過由發(fā)卡銀行發(fā)行的信用卡進(jìn)行付款。2、在線商店：即提供商品或服務(wù)，具備相應(yīng)電子貨幣使用的條件、從事商業(yè)交易的公司組織。3、收單銀行：主要是負(fù)責(zé)授權(quán)與管理往來的特約商店，并且負(fù)責(zé)在交易進(jìn)行的時(shí)候，提供信用卡付款的授權(quán)（PaymentAuthorization）申請及付款取得（PaymentCapture）的服務(wù)。為了完成付款取得的服務(wù)，通過支付網(wǎng)關(guān)處理消費(fèi)者和在線商店之間的交易付款問題。1、消費(fèi)者即持卡人：包括個(gè)人消費(fèi)者和團(tuán)體消費(fèi)者，按照在線商店1604、發(fā)卡行（Issuer）：指向持卡人提供支付卡的金融機(jī)構(gòu)。這張卡可以是Visa、MasterCard、AE或是JCB，依照持卡人的申請而定。當(dāng)收款行透過金融網(wǎng)絡(luò)要求付款授權(quán)的時(shí)候，發(fā)卡行就應(yīng)該響應(yīng)付款授權(quán)的申請，等到交易完成后再與收單行進(jìn)行帳務(wù)清算并且交換訊息。

5、認(rèn)證中心（CA）：在基于SET協(xié)議的電子商務(wù)體系中起著重要作用?？梢詾槌挚ㄈ恕⑸碳液椭Ц毒W(wǎng)關(guān)簽發(fā)X.509V3數(shù)字證書，讓持卡人、商家和支付網(wǎng)關(guān)通過數(shù)字證書進(jìn)行認(rèn)證。負(fù)責(zé)對交易對方的身份確認(rèn)，對廠商的信譽(yù)度和消費(fèi)者的支付手段進(jìn)行認(rèn)證。CA同時(shí)要對證書進(jìn)行管理。4、發(fā)卡行（Issuer）：指向持卡人提供支付卡的1616、支付網(wǎng)關(guān)（paymentgateway）。它是連接銀行專用網(wǎng)絡(luò)和Internet的一組服務(wù)器，其主要作用是完成兩者之間的通信、協(xié)議轉(zhuǎn)換和進(jìn)行數(shù)據(jù)加密、解密，以保護(hù)銀行內(nèi)部網(wǎng)絡(luò)的安全。支付網(wǎng)關(guān)的主要功能有：將Internet傳來的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包；接收銀行系統(tǒng)內(nèi)部反饋的響應(yīng)信息，將數(shù)據(jù)轉(zhuǎn)換為Internet上傳送的數(shù)據(jù)格式，并對其進(jìn)行加密。6、支付網(wǎng)關(guān)（paymentgateway）。162

SET的工作流程圖如下：由確認(rèn)訂單開始，SET開始介入。在操作的每一步，均通過CA來驗(yàn)證通信主體的身份。以確保通信的對方不是冒名頂替。這里充分發(fā)揮了認(rèn)證中心的作用。

SET的工作流程圖如下：由確認(rèn)訂單開始，SET開始介入。163第四章電子支付安全管理課件164SET協(xié)議的交易流程SET協(xié)議的交易流程165第四章電子支付安全管理課件166第四章電子支付安全管理課件167第四章電子支付安全管理課件168第四章電子支付安全管理課件169第四章電子支付安全管理課件170第四章電子支付安全管理課件171第四章電子支付安全管理課件172SET的工作流程1、消費(fèi)者在網(wǎng)上選購好商品，下訂單（訂單上含在線商店和購買物品的名稱、數(shù)量、交貨時(shí)間和地點(diǎn)等信息）。2、通過電子商務(wù)服務(wù)器與在線商店聯(lián)系并作出應(yīng)答，告訴消費(fèi)者所添訂單的單價(jià)、應(yīng)付款數(shù)、交貨方式等信息是否準(zhǔn)確。3、消費(fèi)者選擇付款方式、確認(rèn)訂單、簽發(fā)付款指令，此時(shí)SET介入。4、消費(fèi)者對訂單和付款指令進(jìn)行數(shù)字簽名，同時(shí)利用“雙重簽名”技術(shù)使商家看不到消費(fèi)者的帳號信息。SET的工作流程1、消費(fèi)者在網(wǎng)上選購好商品，下訂單（訂單上含1735、商店接受訂單后，向消費(fèi)者所在銀行請求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到收單銀行，由發(fā)卡機(jī)構(gòu)審核后返回確認(rèn)信息給商店。6、商店發(fā)送訂單確認(rèn)信息給消費(fèi)者。消費(fèi)者軟件記錄交易日志以被查詢。7、商店發(fā)送貨物或提供服務(wù)，并通知收單銀行將錢從消費(fèi)者帳號上轉(zhuǎn)移到商店帳號上，或通知發(fā)卡銀行請求支付。5、商店接受訂單后，向消費(fèi)者所在銀行請求支付認(rèn)可。信息通過支174第四章電子支付安全管理課件175SET協(xié)議的特點(diǎn)優(yōu)點(diǎn)：以ＳＥＴ協(xié)議為基礎(chǔ)的支付流程每一步都有嚴(yán)格與嚴(yán)謹(jǐn)?shù)囊?guī)范，并大量利用公開密鑰加密法、私有密鑰加密法、數(shù)字證書、數(shù)字摘要、數(shù)字簽名、雙重?cái)?shù)字簽名等安全技術(shù)，同時(shí)在操作的每一步，消費(fèi)者、商家、支付網(wǎng)關(guān)都需要通過ＣＡ來驗(yàn)證交易各方的身份，以確保通信的對方不是冒名頂替者。所以，ＳＥＴ協(xié)議充分發(fā)揮了認(rèn)證中心的作用，維護(hù)了在任何開放網(wǎng)絡(luò)上的電子商務(wù)參與者所提供信息的真實(shí)性和保密名。因此，以ＳＥＴ協(xié)議支持的支付流程是非常安全的

SET協(xié)議的特點(diǎn)優(yōu)點(diǎn)：176缺點(diǎn)：協(xié)議復(fù)雜，使用成本高，客戶端必須安裝“電子錢包”軟件才能使用；同時(shí)在ＳＥＴ交易過程中，需驗(yàn)證數(shù)字證書９次，驗(yàn)證數(shù)字簽名６次，傳遞證書７次，進(jìn)行５次簽名、４次對稱加密和４次非對稱加密，整個(gè)交易過程花費(fèi)時(shí)間1.5～2分鐘，交易效率低缺點(diǎn)：177SSL與SET協(xié)議的比較1.功能比較1）SET是一個(gè)提供多方通訊的報(bào)文協(xié)議，而SSL則只能在客戶端和服務(wù)器端兩者之間建立一條安全的連接。2）SSL協(xié)議在進(jìn)行報(bào)文交換的時(shí)候需要實(shí)時(shí)通信，也就是需要雙方都要在線。而SET協(xié)議允許交易各方在交換報(bào)文的時(shí)候不是實(shí)時(shí)的。3）SET協(xié)議不僅可以在Internet上使用，而且也可以在公共網(wǎng)絡(luò)和銀行內(nèi)部網(wǎng)絡(luò)等其他網(wǎng)絡(luò)使用。而建立在SSL協(xié)議上的支付系統(tǒng)只能和Web瀏覽器捆綁使用。SSL與SET協(xié)議的比較1.功能比較1782.性能比較使用SSL協(xié)議的缺點(diǎn)是：1）客戶不得不信任服務(wù)器端能夠安全地保護(hù)它的信用卡2）客戶不能保證商家是自己支付卡的特約商家3）商家在交易當(dāng)中要承擔(dān)一定的風(fēng)險(xiǎn)4）由于SSL在傳輸信息的時(shí)候，需要對信息加密，所以如果被傳輸?shù)捻撁婧軓?fù)雜得話，顯示起來就會(huì)很慢2.性能比較使用SSL協(xié)議的缺點(diǎn)是：1793.費(fèi)用比較（1）小型和中型電子商務(wù)應(yīng)用，差別不大（2）大型服務(wù)器電子商務(wù)應(yīng)用需要進(jìn)行大量的數(shù)據(jù)處理和密鑰計(jì)算，所以要使用SET協(xié)議，那么就需要購買額外的設(shè)備來進(jìn)行硬件加速，而SSL協(xié)議就沒有這個(gè)需要（3）小型網(wǎng)關(guān)的應(yīng)用小型網(wǎng)關(guān)的運(yùn)算要求要比服務(wù)器更加嚴(yán)格，都需要設(shè)備對其進(jìn)行硬件加速。對一樣的處理速度，SET協(xié)議要比SSL協(xié)議使用更加昂貴的硬件加速設(shè)備（4）大型支付網(wǎng)關(guān)的應(yīng)用使用的都是雙機(jī)群系統(tǒng)，所以對于SET協(xié)議和SSL協(xié)議的費(fèi)用主要是在雙機(jī)群上的投資3.費(fèi)用比較（1）小型和中型電子商務(wù)應(yīng)用，差別不大18