1、,信息安全技術(shù) 在電子支付領(lǐng)域的應(yīng)用與創(chuàng)新,信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用, 電子支付與網(wǎng)絡(luò)信息安全 電子支付安全的重要性 電子支付安全隱患 電子支付安全需求 電子支付安全構(gòu)架 虛擬賬戶運(yùn)營(yíng)項(xiàng)目中的應(yīng)用建議,信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用,隨著網(wǎng)絡(luò)的日益普及，尤其是電子商務(wù)的快速發(fā)展，電子支付的重要性越來越明顯，已經(jīng)成為整個(gè)電子商務(wù)產(chǎn)業(yè)鏈中的核心環(huán)節(jié)。正因?yàn)榛趶V泛互聯(lián)且完全開放的網(wǎng)絡(luò)平臺(tái)，電子支付實(shí)現(xiàn)了低成本、高效率、全球性的資金流轉(zhuǎn)模式。但是，這種便捷開放的信息交互方式同時(shí)也表現(xiàn)出在網(wǎng)絡(luò)安全方面的脆弱性。所以，研究和開發(fā)信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用與創(chuàng)新，已成為當(dāng)前發(fā)展我國(guó)電子商務(wù)

2、的關(guān)鍵所在。, 電子支付與網(wǎng)絡(luò)信息安全,信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用,艾瑞市場(chǎng)咨詢2005年中國(guó)網(wǎng)上支付研究報(bào)告顯示，在不使用網(wǎng)上支付的網(wǎng)民中，有超過60%的人由于擔(dān)心交易過程的安全性而不愿進(jìn)行在線支付操作。無論個(gè)人、公司或商業(yè)機(jī)構(gòu)甚至銀行，都不會(huì)通過一個(gè)不安全的網(wǎng)絡(luò)進(jìn)行錢款交易，這樣會(huì)引發(fā)商業(yè)機(jī)密信息或個(gè)人隱私的泄漏，從而導(dǎo)致巨大的經(jīng)濟(jì)利益損失。由此可見，網(wǎng)絡(luò)信息安全技術(shù)的發(fā)展直接決定了電子商務(wù)的成敗。, 電子支付安全的重要性,電子支付安全的重要性,信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用, 信息的截獲和竊取 信息的篡改、刪除、插入 信息假冒 交易抵賴, 電子支付安全隱患,信息安全技術(shù)在電子支付

3、領(lǐng)域的應(yīng)用,要構(gòu)筑一個(gè)安全可靠的電子支付交易系統(tǒng)，合理規(guī)避上述安 全隱患的出現(xiàn)，應(yīng)滿足相應(yīng)的安全控制要求：, 電子支付安全需求,信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用, 信息機(jī)密性： 防止非授權(quán)用戶使用系統(tǒng)資源，預(yù)防非法的信息存取或信息在傳輸過程中被非法竊取而導(dǎo)致泄密。 數(shù)據(jù)完整性： 阻止非法實(shí)體對(duì)交換數(shù)據(jù)的隨意生成、修改和刪除，同時(shí)要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證傳送次序的統(tǒng)一。 身份認(rèn)證性： 交易雙方對(duì)各自身份合法性、真實(shí)性進(jìn)行鑒別、確認(rèn)，以防第三者假冒。, 電子支付安全需求,信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用, 不可抵賴性： 在信息的傳輸過程中，為交易雙方提供可靠的標(biāo) 識(shí)，用于證實(shí)已發(fā)

4、生過的操作，保證電子定單等 信息的不可否認(rèn)性，防止抵賴行為。 防控有效性： 對(duì)網(wǎng)絡(luò)故障、硬件故障、系統(tǒng)軟件錯(cuò)誤、應(yīng)用程序 錯(cuò)誤、操作錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在風(fēng)險(xiǎn)加 以控制和預(yù)防，以保證交易數(shù)據(jù)在確定的時(shí)刻和地 點(diǎn)是有效的。, 電子支付安全需求,信息安全技術(shù)在電子支付領(lǐng)域的應(yīng)用,電子支付安全是網(wǎng)絡(luò)信息安全技術(shù)的上層應(yīng)用，其安全管理體系 主要可劃分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全，如圖 所示：, 電子支付安全構(gòu)架,電子支付安全構(gòu)架,業(yè)務(wù)管理與信息安全技術(shù) 在虛擬賬戶運(yùn)營(yíng)項(xiàng)目中的應(yīng)用建議,關(guān)于信息安全技術(shù)應(yīng)用,通過業(yè)務(wù)管理與技術(shù)安全體系保障相結(jié)合，共同保障業(yè)務(wù)運(yùn)營(yíng)及實(shí)施的安全 業(yè)務(wù)邏輯的

5、設(shè)計(jì) 內(nèi)部運(yùn)營(yíng)管理 硬件安全技術(shù)保障 軟件安全加密措施 系統(tǒng)運(yùn)維保障,業(yè)務(wù)邏輯的制定,業(yè)務(wù)邏輯的合理化制定 業(yè)務(wù)流程的設(shè)計(jì)符合正常心態(tài)操作流程 多層次驗(yàn)證業(yè)務(wù)申請(qǐng)及發(fā)起 業(yè)務(wù)邏輯設(shè)計(jì)符合市場(chǎng)化推廣需要,內(nèi)部運(yùn)營(yíng)管理,內(nèi)部運(yùn)營(yíng)管理的流程化、規(guī)范化制定 業(yè)務(wù)流程的設(shè)計(jì)與崗位配置的結(jié)合 市場(chǎng)、運(yùn)營(yíng)及財(cái)務(wù)的獨(dú)立管理 運(yùn)營(yíng)管理的分工與互為監(jiān)督 客戶功能的設(shè)置 后臺(tái)管理功能的健全（商戶管理、操作權(quán)限的設(shè)置、證書管理、交易查詢、報(bào)表查詢） 財(cái)務(wù)制度的健全 資金管理的權(quán)限設(shè)置與監(jiān)管；資金流與信息流的對(duì)稱。 信息技術(shù)處理與傳統(tǒng)財(cái)務(wù)復(fù)核的相結(jié)合 業(yè)務(wù)測(cè)試的重要性；定期的業(yè)務(wù)流程回顧與完善；財(cái)務(wù)審計(jì),硬件/軟件安全

6、保障體系, 硬件安全技術(shù)保障 網(wǎng)絡(luò)層 系統(tǒng)層 應(yīng)用層 軟件安全加密措施 協(xié)議模式 加密算法 安全認(rèn)證,硬件安全技術(shù)保障, 硬件安全技術(shù)保障, 網(wǎng)絡(luò)層： 采用整合型的防火墻體系屏蔽病毒和攻擊，同時(shí)配合防黑客入侵、防病毒、漏洞掃描等工作。 系統(tǒng)層： 平臺(tái)開發(fā)采用目前公認(rèn)的前沿技術(shù)，充分保證系統(tǒng)的安全性和穩(wěn)定性；該技術(shù)具有跨平臺(tái)以及優(yōu)秀的承載性，輕松駕馭企業(yè)的應(yīng)用需求。 應(yīng)用層： 穩(wěn)健的安全技術(shù)構(gòu)架，使服務(wù)器系統(tǒng)具有極強(qiáng)的可擴(kuò)展性，可以負(fù)荷千萬用戶級(jí)別。,軟件安全加密措施, 軟件安全加密措施, 協(xié)議模式 -SSL與SET相結(jié)合 支付網(wǎng)關(guān)與銀行端通訊使用SSL加密傳輸和SET協(xié)議，并通過國(guó)際認(rèn)證機(jī)構(gòu)V

7、eriSign的128位服務(wù)器加密認(rèn)證，以保障B2C電子支付的安全實(shí)施。, 協(xié)議模式,網(wǎng)銀在線 安全制勝, 對(duì)比SSL協(xié)議和SET協(xié)議, 軟件安全加密措施, 加密算法 -PKI數(shù)字簽名技術(shù) 支付平臺(tái)本身使用PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）作為安全架構(gòu)，訂單信息傳輸采用數(shù)字簽名技術(shù)進(jìn)行加密和校驗(yàn)，從而確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的機(jī)密性、真實(shí)性、完整性和不可抵賴性。,網(wǎng)銀在線 安全制勝, 加密算法 -PKI數(shù)字簽名技術(shù), 軟件安全加密措施, 安全認(rèn)證 -CA機(jī)構(gòu)數(shù)字證書 支付網(wǎng)關(guān)在業(yè)內(nèi)率先支持國(guó)家授權(quán)認(rèn)可的第三方電子認(rèn)證服務(wù)體系，完全符合中國(guó)電子簽名法要求，

8、所有交易數(shù)據(jù)受到法律保護(hù)； 交易信息經(jīng)過CA（Certificate Authority，證書授權(quán)中心）頒發(fā)的數(shù)字證書簽名、加密并記錄保留，可以有效預(yù)防黑客的篡改和竊取，最大限度地保障商戶的交易安全。, CA機(jī)構(gòu)安全認(rèn)證流程,發(fā) 放,發(fā) 放,CA認(rèn)證中心,支付網(wǎng)關(guān),商 家,數(shù)字證書加密、簽名,企業(yè)數(shù)字證書,服務(wù)器身份證書,確保網(wǎng)上支付信息私密性、真實(shí)性、完整性和不可抵賴性,虛擬賬戶,銀行賬戶, 軟件安全加密措施, 安全認(rèn)證 -VBV驗(yàn)證服務(wù) 在國(guó)際信用卡安全支付方面，網(wǎng)銀在線與VISA國(guó)際組織結(jié)成戰(zhàn)略合作伙伴關(guān)系，推廣采用“3D”安全標(biāo)準(zhǔn)的VISA驗(yàn)證服務(wù)。,VBV (Verified by VISA） 簡(jiǎn)稱VISA驗(yàn)證服務(wù)，是VISA國(guó)際組織為提高信用卡網(wǎng)上支付安全性，維護(hù)用戶利益而推出的新一代全球