電子支付與網絡安全（第四版）項目一構建電子支付安全環境?認識黑客攻擊與計算機病毒的危害;?熟悉常見的網絡攻擊方法;?了解網絡攻擊的一般步驟;?掌握常見的網絡掃描方法;?了解密碼的破解過程;?了解網絡監聽的常用工具及方法;?了解計算機網絡安全管理措施。職業能力目標項目一構建電子支付安全環境學習導航項目一構建電子支付安全環境網絡是一把雙刃劍,它在人類社會的發展中起著越來越重要的作用,但同時,網絡自身的安全問題也像揮之不去的陰影一樣時刻籠罩在人們心頭。據不完全統計,全世界平均每20秒鐘就發生一起黑客攻擊事件,互聯網上大約有20萬個黑客網站可以提供數千種攻擊工具軟件,與此同時,黑客的攻擊行為也從個人化、隨機化向有組織、有計劃地與網絡安全組織對抗的方向發展。這無疑對全球數字化構成了嚴重的威脅。項目背景項目一構建電子支付安全環境123任務一認識計算機網絡安全的威脅任務二了解常見的網絡攻擊與防范任務三掌握計算機網絡安全管理措施任務一認識計算機網絡安全的威脅計算機網絡安全的威脅主要來自黑客攻擊、計算機病毒、拒絕服務攻擊、網絡內部攻擊和社會工程學攻擊。一、來自黑客的攻擊(一)黑客事件回顧

?1995年,來自俄羅斯的黑客弗拉季米爾·列寧在互聯網上上演了精彩的偷天換日,他是歷史上第一個通過入侵銀行電腦系統來獲利的黑客,他侵入美國花旗銀行并盜走一千萬美元,在英國被國際刑警逮捕之后,他把賬戶里的錢轉移至美國、芬蘭、荷蘭、德國、愛爾蘭等地。

?2001年1月30日1點鐘左右,263網絡集團的ISP業務頁面、IDC資料信息港頁面等幾乎在同一時刻被黑客攻擊。

?2001年2月,武漢郵電科學研究院主頁被黑,首頁頁頭被加上“這里是信息產業部郵科院的網站,但已經被黑”的字樣。2月20日,通港網絡(中國電信)、北京電信發展總公司、北京移動、北京尋呼、中國地圖出版社、華建集團等40余家網站被黑,其大面積的攻擊讓國內網站再一次感受到網絡安全問題的嚴重性。

?2008年,一個全球性的黑客組織,利用ATM欺詐程序在一夜之間從世界49個城市的銀行中盜走了900萬美元。

?2009年7月7日,韓國總統府、國會、國情院和國防部等國家機關,以及金融界、媒體和防火墻企業網站遭受了攻擊。

?2010年1月12日上午7點鐘,中文搜索引擎“百度”遭到黑客攻擊,長時間無法正常訪問。網民訪問百度時,會被定向到一個位于荷蘭的IP地址,百度旗下所有子域名均無法正常訪問。任務一認識計算機網絡安全的威脅計算機網絡安全的威脅主要來自黑客攻擊、計算機病毒、拒絕服務攻擊、網絡內部攻擊和社會工程學攻擊。

?2014年一年之內,全球就有近8萬家公司服務器受到黑客攻擊,其中2122家公司基于行業法律,被迫公開承認關鍵數據被盜,同時全球500強企業也被爆大面積“淪陷”,涉及60多個國家。

?2016年是歷史級黑客攻擊事件頻發的一年,數據泄露事件達到近3000起———波及超過22億份檔案。金融網絡安全引發普遍擔憂。孟加拉央行8100萬美元失竊款,厄瓜多爾BancodelAustro銀行約1200萬美金被盜,越南先鋒銀行也被爆出黑客攻擊未遂,近一年來黑客利用SWIFT系統漏洞入侵了一家又一家金融機構,俄羅斯也趕上了2016年的末班車,其中央銀行遭黑客攻擊,3100萬美元不翼而飛。

?2017年從網絡安全的角度來回顧堪稱血雨腥風的一年。成立于1899年的Equifax,擁有超過8億消費者和全球超過8800萬家企業的信息。作為老牌征信機構數據泄漏,半數美國人受影響;雅虎30億郵箱信息泄漏,影響半個世界;“Petya”病毒爆發,多家大型跨國企業中招。

?2019年全球各地深受數據泄露事件的困擾,已造成數以萬計的損失。黑客在暗網分四輪出售從38個熱門網站竊取的8.7億條用戶信息。第1輪出售了來自16個網站的6.2億條用戶信息,第2輪出售了8個網站的1.27億條用戶信息,第3輪出售了8個網站的9200萬條用戶信息,第4輪出售了2700萬條用戶信息,共來自6個網站數據庫。(來源:搜狐網)一、來自黑客的攻擊(一)黑客事件回顧任務一認識計算機網絡安全的威脅黑客是指非法入侵計算機系統的人。黑客主要是利用操作系統和網絡的漏洞、缺陷,從網絡的外部非法入侵,進行不法行為。目前,黑客行動幾乎涉及所有的操作系統,包括Windows、Unix等。黑客可以利用網上的任何漏洞和缺陷修改網頁、非法進入主機、非法進入銀行賬號轉移資金、竊取信息、發送假冒的電子郵件等。關于黑客(Hacker,Cracker)相關知識任務一認識計算機網絡安全的威脅一、來自黑客的攻擊(二)黑客在網上經常采用的手段(9)暗網(3)系統漏洞攻擊(4)偷取特權(8)勒索軟件(6)網絡監聽(7)WWW的欺騙技術(5)病毒種植(1)郵件攻擊(2)DDOS攻擊任務一認識計算機網絡安全的威脅二、認識病毒(一)IT史上所出現的重大病毒?1.ElkCloner(1982年)?2.Morris(1988年)?3.CIH(1998年)?4.Melissa(1999年)?5.“紅色代碼”(2001年)?6.Nimda(2001年)?7.“沖擊波”(2003年)?8.“震蕩波”(2004年)?9.“熊貓燒香”(2007年)?10.“掃蕩波”(2008年)?11.木馬下載器(2009年)?12.“鬼影”病毒(2010年)?13.“Flame病毒”(2012年)?14.“代理木馬”(2013年)?15.“不死木馬”(2014年)?16.“新年快樂”(2015)?17.Locky勒索病毒(2016年)?18.勒索病毒WannaCry(2017年)?19.StalinLocker(2018年)?20.GlobeImposter勒索病毒(2018年)?21.DoppelPaymer勒索病毒(2019年)任務一認識計算機網絡安全的威脅計算機病毒是能夠破壞計算機系統正常運行、具有傳染性的一組計算機指令或者程序代碼。計算機病毒種類繁多,極易傳播,影響范圍廣。它動輒刪除、修改文件,導致程序運行錯誤、死機,甚至毀壞硬件。隨著互聯網的發展,病毒的傳播速度也在加快,對網絡安全造成了日益嚴重的威脅。關于計算機病毒(ComputerVirus)相關知識任務一認識計算機網絡安全的威脅木馬是特洛伊木馬程序的簡稱,它是一種基于遠程控制的黑客程序,具有隱蔽性和非授權性的特點。所謂隱蔽性是指木馬的設計者為了防止木馬被發現,會采用多種手段隱藏木馬,這樣受害者即使發現感染了木馬,由于不能確定其具體位置,往往只能望“馬”興嘆。所謂非授權性是指一旦控制端與服務端連接后,控制端將享有服務端的大部分操作權限,包括修改文件、修改注冊表、控制鼠標、鍵盤等,這些權限并不是服務端賦予的,而是通過木馬程序竊取的。大多數木馬都可以使木馬的控制者登錄到被感染的計算機上,并擁有絕大部分的管理員級控制權限。關于特洛伊木馬(TrojanHorse)相關知識任務一認識計算機網絡安全的威脅二、認識病毒(二)感染病毒的常見方式通過電子郵件傳播1利用系統漏洞傳播2通過MSN、QQ等即時通信軟件傳播3通過網頁傳播4通過移動存儲設備傳播5任務一認識計算機網絡安全的威脅三、認清拒絕服務攻擊的危害拒絕服務攻擊(DoS)是一種破壞性的攻擊,它是指一個用戶采用某種手段故意占用大量的網絡資源,使系統沒有剩余資源為其他用戶提供服務的攻擊。拒絕服務攻擊作為互聯網上的一種攻擊手段,是伴隨著互聯網技術和應用發展起來的。它主要利用TCP/IP協議的缺陷,將提供服務的網絡資源耗盡,導致其無法提供正常服務。有些拒絕服務攻擊是消耗帶寬,有些是消耗網絡設備的CPU和內存,也有一些是導致系統崩潰,是對網絡危害十分巨大的惡意攻擊。在拒絕服務攻擊中最具有代表性的攻擊手段包括SYNFlood、ICMPFlood、UDPFlood等,其原理是使用大量偽造的連接請求數據攻擊網絡服務器所在的端口,造成服務器的資源耗盡,系統停止響應甚至崩潰;另一種稱為“連接耗盡”的攻擊則是用真實的IP地址,發起針對網絡服務的大量真實連接來搶占帶寬,造成Web服務器的資源耗盡,導致服務中止。此外,還有一些攻擊則是利用網絡協議本身的缺陷進行的,包括Land攻擊、WinNuke、PingofDeath、TearDrop等。任務一認識計算機網絡安全的威脅四、不容忽視的網絡內部攻擊網絡內部攻擊主要有以下幾種情況：首先，內部網的用戶防范意識薄弱或計算機操作技能有限,通過網絡共享資源時沒有輔以恰當的方法及安全措施(如將數據共享為局域網所有用戶都可讀甚至可寫)，導致無意中把重要的涉密信息和個人隱私信息存放在共享目錄下，造成信息泄露；其次，內部管理人員有意或者無意泄露系統管理員的用戶名、口令等關鍵信息，泄露內部網的網絡結構以及重要信息的分布情況而遭受攻擊；第三，內部人員為謀取個人私利或對公司不滿，編寫程序通過網絡進行傳播,或者故意把黑客程序放在共享目錄下作為陷阱，乘機控制并入侵內部網的其他主機。因此,網絡安全應重視防范來自內部的安全隱患。任務一認識計算機網絡安全的威脅五、探究社會工程學攻擊

20世紀70年代末期,一個叫作斯坦利·馬克·瑞夫金(StanleyMarkRifkin)的年輕人成功地實施了史上最大的銀行劫案。他沒有雇用幫手、沒有使用武器、沒有天衣無縫的行動計劃,甚至無須計算機的協助,僅僅依靠一個進入電匯室的機會并打了三個電話,便成功地將1020萬美元轉入自己在國外的個人賬戶。奇怪的是,這一事件卻以“最大的計算機詐騙案”為名,收錄在吉尼斯世界紀錄中。斯坦利·馬克·瑞夫金利用的就是欺騙的藝術,這種技巧我們現在把它稱為社會工程學。它是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段,取得自身利益的手法,近年來已呈迅速上升甚至濫用的趨勢。那么,什么是社會工程學呢?它并不能等同于一般的欺騙手法,社會工程學尤其復雜,即使自認為最警惕、最小心的人,一樣會被高明的社會工程學手段損害利益。任務二了解常見的網絡攻擊與防范子任務一認知常見的網絡攻擊方法一、網絡攻擊的一般步驟鎖定目標系統分析(一)（二）收集信息（三）（四）1.自編入侵程序發動攻擊2.利用公開的工具任務二了解常見的網絡攻擊與防范二、常見的網絡掃描方法(一)使用X-Scan掃描工具步驟1:下載X-Scan到本地磁盤,解壓后如圖(a)所示。步驟2:雙擊圖(a)中的xscan_gui.exe文件進入X-Scan用戶界面,如圖(b)所示。子任務一認知常見的網絡攻擊方法任務二了解常見的網絡攻擊與防范二、常見的網絡掃描方法(一)使用X-Scan掃描工具步驟3:在主界面工具欄中點擊“設置”→“掃描參數”,打開如圖所示的界面,在“檢測范圍”中設置掃描的目標主機的IP地址,或目標網絡范圍的主機;在“全局設置”中設置需要的“掃描模塊”。其他掃描參數這里就不一一介紹了,可以自己試著設置一下。子任務一認知常見的網絡攻擊方法任務二了解常見的網絡攻擊與防范二、常見的網絡掃描方法(一)使用X-Scan掃描工具步驟4:設置好掃描參數后,單擊“開始”按鈕,就開始了掃描過程。根據不同的設置情況等候一段時間,就會生成掃描結果。

X-Scan主要的工作過程是首先探測目標主機運行的服務，然后探測開放端口，之后嘗試攻擊腳本(上千個)，全部掃描完成后會自動生成一個結果網頁，網頁中會詳細列出漏洞情況和解決建議，高危漏洞會以紅色字體標出。子任務一認知常見的網絡攻擊方法任務二了解常見的網絡攻擊與防范

X-Scan是國內著名的綜合掃描器之一,它完全免費,是不需要安裝的綠色軟件,界面支持中文和英文兩種語言,包括圖形界面和命令行方式。

X-Scan運行在Windows平臺下，功能較多,掃描速度快,最主要的是很易用，還可以自動升級。X-Scan掃描的內容包括:遠程操作系統類型及版本；標準端口狀態及端口Banner信息;SNMP信息；CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞；SQLServer、FTPServer、SMTPServer、POP3Server；NTServer弱口令用戶、NT服務器NetBIOS信息;注冊表信息等。關于X-Scan相關知識任務二了解常見的網絡攻擊與防范二、常見的網絡掃描方法(二)使用SuperScan掃描工具步驟1:從開發者網站下載最新版本的SuperScan并安裝。步驟2:運行安裝好的SuperScan軟件,其運行界面。子任務一認知常見的網絡攻擊方法任務二了解常見的網絡攻擊與防范二、常見的網絡掃描方法(二)使用SuperScan掃描工具步驟3:在主界面中的【掃描】欄輸入要進行探測的目標主機名或IP地址,點擊掃描按鈕,系統開始進行掃描。步驟4:掃描進程結束后,點擊【查看HTML結果】按鈕,SuperScan將提供一個主機列表,以HTML文件格式顯示出來,列出關于每臺掃描過的主機被發現的開放端口信息。掃描結果。子任務一認知常見的網絡攻擊方法任務二了解常見的網絡攻擊與防范二、常見的網絡掃描方法(二)使用SuperScan掃描工具步驟5:還可以在主界面中的【主機和服務掃描設置】欄和【工具】欄輸入相關的參數進行端口掃描。主機和服務掃描設置:用來進行定制掃描,使用戶看到更多的信息。子任務一認知常見的網絡攻擊方法任務二了解常見的網絡攻擊與防范

(1)小巧易用,使用方法比較簡單,而且對常用端口有介紹。

(2)可以選擇需要掃描的端口,也可以選擇所有端口，這一點對于管理員來說比較方便。其實,大多數時候我們沒必要掃描計算機的所有端口，掃描1024以下的端口基本就可以了。

(3)可以選擇掃描多個網段。一般來說,不推薦使用這項功能,因為速度實在太慢。

(4)其他功能,比如取得計算機主機名、設定掃描速度等。SuperScan的特點相關知識任務二了解常見的網絡攻擊與防范三、密碼的破解方法(一)WinRAR壓縮文件的密碼破解在【攻擊類型】中可選“暴力”或“字典”等。強制破解法1字典破解法2子任務一認知常見的網絡攻擊方法任務二了解常見的網絡攻擊與防范三、密碼的破解方法(二)電子郵箱密碼破解黑雨POP3郵箱密碼暴力破解器就是一款專門用于破解郵箱口令的工具。它是一個基于POP3協議的自動登錄機,可以利用POP3協議的功能,對可能的用戶密碼進行登錄試驗,從而獲得用戶的密碼。這種軟件必須在連線狀態下使用,前提是必須有一個目標主機的賬號。其操作方法很簡單，首先連接到Internet，然后運行E-mailCrack，其主界面。子任務一認知常見的網絡攻擊方法任務二了解常見的網絡攻擊與防范三、密碼的破解方法(三)利用社會工程學的密碼破解黑客們常常利用社會工程學挖掘攻擊目標的信息,通過非常規手段拿到用戶的密碼。往往很多網站使用的都是網上提供的整站系統，連默認的數據庫都沒有更改，給了黑客們以可乘之機。這些數據庫的密碼幾乎是公開的，黑客可以利用它去嘗試破解用戶郵箱的密碼，進入郵箱后再在里面找一些有用的東西，往往連支付通和支付寶賬號也可以在郵箱里找到,然后還可以通過支付通或支付寶找到用戶的卡號，后果不堪設想,這就是網上黑客們常用的入侵方法。如圖所示的一個社會工程學字典，就會明白他們想收集一些什么信息，從而用這些信息做成密碼字典，該字典也告訴我們要從哪些方面提高自己的安全意識。子任務一認知常見的網絡攻擊方法任務二了解常見的網絡攻擊與防范子任務二掌握防范常見網絡攻擊的措施一、網絡掃描的防范雖然網絡掃描本身并不會給被入侵者帶來損害,但是它屬于黑客攻擊中的“踩點”,是收集信息以便發動攻擊的重要步驟。所以不讓攻擊者“踩點”成功是防范網絡掃描的意義之所在。那么,如何進行防范呢?對于攻擊方來說,網絡掃描是使用掃描工具對目標機器的缺陷和漏洞進行探測;而對于防御方來說,則是使用掃描工具來發現要保護的目標系統存在的缺陷和漏洞。前者是為了對目標系統發動攻擊,后者是為了發現系統存在哪些漏洞,然后將這些漏洞堵上,不給那些不懷好意的攻擊者機會。任務二了解常見的網絡攻擊與防范二、密碼破解的防范要防止密碼被破解,使用密碼時應注意以下措施:

(1)密碼要有一定長度,不要少于6個字符。

(2)不要使用姓名、出生日期、電話號碼、身份證號碼、車牌號碼、單位名稱、家庭住址等常用信息作為密碼。

(3)不要以任何形式使用用戶名作為密碼(如反向或縮寫等形式)。

(4)不要以英語或其他語言中的單詞作為密碼。

(5)密碼設置建議字母、數字和“%、#、*、@、^、&”等混排。

(6)應該定期更換密碼。

(7)密碼必須加密存儲,并保證密碼加密文件和密碼存儲載體的安全。

(8)密碼在網絡中傳輸時應加密。子任務二掌握防范常見網絡攻擊的措施任務二了解常見的網絡攻擊與防范三、木馬的防范在防范木馬方面,可采取以下措施:07使用防火墻軟件05檢查啟動組06使用殺毒軟件08提高防范意識04檢查注冊表01端口掃描02查看連接03觀察目錄子任務二掌握防范常見網絡攻擊的措施任務二了解常見的網絡攻擊與防范四、網絡監聽的防范由于網絡監聽只能在以太局域網中進行,監聽處于同一個網段中的主機的通信信息,因此黑客要實施網絡監聽,首先需要取得目標局域網中的某臺主機的超級權限,以此作為“跳板”來監聽整個局域網。所以防范措施就是:經常檢查整個局域網中的所有主機,避免某臺主機成為黑客的“跳板”。除此之外,如果局域網中的網絡連接設備是集線器,應盡量將其轉化為交換機,因為交換式局域網可以將連接的各主機隔離開來,從而避免從一臺主機監聽整個局域網中的通信。子任務二掌握防范常見網絡攻擊的措施任務二了解常見的網絡攻擊與防范五、防火墻的應用如圖所示為天網防火墻系統設置界面,讀者可以參照設置。(一)普通應用(默認情況)

IP規則設置:一般默認即可,未經修改的自定義IP規則與默認中級規則是一樣的。創建新的IP規則將在后面詳細介紹,如圖所示為默認情況。子任務二掌握防范常見網絡攻擊的措施任務二了解常見的網絡攻擊與防范五、防火墻的應用各個程序的使用及監聽端口：可以查看什么程序使用了端口，使用哪個端口，是否有可疑程序在使用網絡資源，如木馬程序。可以根據要求在自定義IP規則里禁止某些端口以及禁止某些IP訪問自己的計算機，如圖所示。(一)普通應用(默認情況)子任務二掌握防范常見網絡攻擊的措施任務二了解常見的網絡攻擊與防范五、防火墻的應用圖是默認設置下的日志,上面是程序訪問網絡的記錄,局域網和互聯網上被IP掃描端口的情況,提供參考以便采取相應的對策。默認情況下日志基本都是拒絕操作。(一)普通應用(默認情況)

以上是天網防火墻在默認情況下的一些設置，只要用戶沒什么特殊要求，如開放某些端口、屏蔽某些端口或進行某些IP操作等，默認設置就能發揮防火墻的強大作用。但是有時防火墻的苛刻要求給某些程序的使用帶來了麻煩。下面將介紹開放某些端口的設置方法，用戶可以依此類推,完成相關操作。子任務二掌握防范常見網絡攻擊的措施任務二了解常見的網絡攻擊與防范五、防火墻的應用

1.創建新的IP規則(二)防火墻開放端口應用如果想開放端口就得創建新的IP規則。新建一個IP規則,在自定義IP規則中單擊進行新規則設置。單擊增加規則按鈕后會出現如圖所示的界面,它分為四部分

(1)規則。

(2)對方IP地址。

(3)數據包協議類型。

(4)決定用戶設置規則是允許還是拒絕,在滿足條件時是通行、攔截還是繼續下一條規則,要不要記錄等設置。子任務二掌握防范常見網絡攻擊的措施任務二了解常見的網絡攻擊與防范五、防火墻的應用

2.打開端口實例(二)防火墻開放端口應用

(1)建立一個新的IP規則，在如圖所示的界面中進行設置。由于BT使用的是TCP協議，所以按照圖中的設置就可以了，然后單擊【確定】按鈕完成新規則的建立，此處命名為“BT”。

(2)設置新規則后，把規則上移到該協議組置頂,并保存。然后可以進行在線端口測試，測試BT的連接端口是否已經開放。子任務二掌握防范常見網絡攻擊的措施任務二了解常見的網絡攻擊與防范五、防火墻的應用

3.應用自定義規則防止常見病毒(二)防火墻開放端口應用封端口的應用,與上面的介紹基本類似。下面來介紹一些實例的應用,即封端口,讓某些病毒無法入侵。沖擊波利用Windows系統的RPC服務漏洞以及開放的69、135、139、445、4444端口入侵,其防范措施就是封住以上端口。在天網防火墻IP規則圖中選中【禁止互聯網上的機器使用我的共享資源】復選框就可以禁止135和139兩個端口。禁止4444端口的操作如圖所示。子任務二掌握防范常見網絡攻擊的措施任務二了解常見的網絡攻擊與防范六、病毒防治的方法

(1)用常識進行判斷。

(2)安裝防病毒產品并保證更新最新的病毒定義碼。

(3)首次安裝防病毒軟件時,一定要對計算機做一次徹底的病毒掃描。

(4)插入軟盤、光盤和其他可插拔介質前,一定要對它們進行病毒掃描。

(5)不要從任何不可靠的渠道下載軟件。

(6)警惕欺騙性的病毒。

(7)使用其他形式的文檔,如.rtf(RichTextFormat)和.pdf(PortableDocumentFormat)

(8)不要用公用的軟盤安裝、拷貝軟件或者復制那些公用的軟盤。

(9)禁用WindowsScriptingHost(WSH)。

(10)使用基于客戶端的防火墻或過濾措施。

(11)安裝殺毒軟件。子任務二掌握防范常見網絡攻擊的措施任務三掌握計算機網絡安全管理措施網絡安全審查就是對關系到國家安全和社會穩定信息系統中使用的信息技術產品與服務進行測試評估、監測分析和持續監督的過程。

2000年,美國率先在國家安全系統中對采購的產品進行安全審查，隨后陸續針對聯邦政府云計算服務、國防供應鏈等出臺了安全審查政策,實現了對國家安全系統、國防系統、聯邦政府系統的全面覆蓋。審查對象不僅涉及產品和服務，而且包括產品和服務提供商。隨后,美國等西方國家為保障國家安全、防范供應鏈安全風險,逐步建立了多種形式的網絡安全審查制度,將全方位、綜合性的供應鏈安全審查對策上升至國家戰略高度。網絡安全審查相關知識任務三掌握計算機網絡安全管理措施一、常見的計算機網絡安全問題(一)計算機網絡的硬件系統安全硬件系統安全主要包括硬件系統的設置安全和計算機設備的物理安全。(二)計算機網絡的軟件系統安全(1)計算機網絡病毒。(2)系統安全漏洞。(3)網絡黑客攻擊。(4)網絡內部權限的混用。任務三掌握計算機網絡安全管理措施二、影響計算機網絡安全的因素(1)計算機軟件的安全漏洞。(三)網絡傳輸信道的安全問題(一)自然環境的影響(四)計算機軟件系統的問題(二)人為因素(2)TCP/IP網絡服務的安全問題。(3)網絡的廣域性和開放性。任務三掌握計算機網絡安全管理措施三、計算機網絡安全的管理措施(四)定期對網絡數據進行備份(一)完善網絡安全的相關法律法規(二)加強網絡安全意識(三)完善網絡管理制度項目小結本項目對網絡安全威脅進行了總體介紹,重點了解網絡安全威脅的五個來源,即黑客攻擊、計算機病毒、拒絕服務攻擊、網絡內部攻擊和社會工程學攻擊。通過對網絡安全威脅的認識,建立網絡安全意識。通過實例操作，使大家對常見的網絡攻擊有所體會,同時也使大家在頭腦中樹立需要時時注意網絡安全的意識。針對常見的網絡攻擊，分析了影響計算機網絡安全的因素，學習相應的防范措施，并提出相應的解決管理策略，以便提高計算機網絡的安全性和可靠性，加強計算機網絡安全的管理。對于大家在使用網上各種服務的過程中，如何保障安全的網絡環境給出了可行的指導。電子支付與網絡安全（第四版）項目二安全電子交易技術?探究安全電子交易的需求;?了解電子交易安全管理的思路、法律、管理、技術保障措施;?利用加密技術保障電子交易信息(如電子合同等)的安全;?靈活運用各種安全認證手段,促進電子交易的順利開展;?了解SSL和SET協議的工作原理;?熟悉建立電子商務系統安全管理制度的流程。職業能力目標項目二安全電子交易技術學習導航項目二安全電子交易技術在電子商務中,大量的商務活動運作在公開的網絡上,支付信息、訂貨信息、談判信息、機密的商務往來文件等商務信息在計算機系統中存放、傳輸和處理。計算機詐騙、計算機病毒等造成的商務信息被竊、篡改和破壞,以及機器損壞、程序錯誤、誤操作、傳輸錯誤等造成的信息失誤或失效,都嚴重危害著電子商務系統的安全。基于因特網的電子商務活動,對安全通信提出了前所未有的要求。項目背景安全性是影響電子商務健康發展的關鍵。如何采取高效的安全措施保證電子商務的順利開展,解決電子商務中存在的一系列法律問題,成為電子商務能否良好運作的基礎。項目二安全電子交易技術12任務一認識安全電子交易的需要任務二構建電子交易安全體系３４任務三掌握電子交易安全管理的方法任務四建立電子商務系統安全管理制度任務一認識安全電子交易的需要

2018年,互聯網對人們生活方式的影響進一步深化,已融入教育、醫療、交通等民生服務中。隨著網絡購物群體的不斷增大,網絡消費安全問題明顯上升。2018年我國網民在上網過程中遇到安全問題的比例進一步下降。中國互聯網絡信息中心數據顯示,49.2%的網民表示在過去半年中未遇到過任何網絡安全問題,較2017年底提升1.8個百分點。通過分析用戶遭遇的網絡安全問題發現,上網設備中病毒或木馬的用戶比例明顯減少,較2017年年底降低7.3個百分點;其他網絡安全問題的發生情況與2017年年底差異不大。互聯網絡安全事件發生比例如圖2-1-1所示。任務一認識安全電子交易的需要一、探究我國電子交易面臨的安全問題(一)信息泄漏(二)信息篡改(三)信息偽造(四)信用威脅(五)電腦病毒任務一認識安全電子交易的需要二、探究電子交易的安全性要求(一)信息傳輸的安全性(保密性)(三)信息的防抵賴性(五)信息的有效性(二)交易各方身份的認證(四)信息的完整性任務二構建電子交易安全體系一、保障計算機網絡安全(1)是否進行過操作系統的相關安全配置?(2)查看計算機系統日志,是否遭遇黑客或拒絕服務攻擊?(3)安全產品有沒有正確使用?(4)重要文件有沒有被保護和進行備份?(5)是否隨意打開過來歷不明的郵件?是否訪問過不知底細的網站?(6)是否拷貝和使用過未經安全檢測的軟件和文件?(7)網絡安全管理制度有沒有落實?(8)計算機網絡安全體系是否完善?每次打開計算機時,務必檢查計算機網絡是否存在安全隱患:任務二構建電子交易安全體系二、確定電子交易安全體系各要素對于各種安全隱患,在電子交易中必須提供很好的解決方案。如果有一方面解決不好,都有可能導致電子交易的失敗。與法律條文和道德標準相比,使用技術手段保證電子交易的安全更加直接,并且能夠預防安全隱患的爆發,而不僅僅是進行事后的懲罰。目前,人們已經開發出了多種安全技術,來保證信息的機密性、完整性以及交易身份認證和確保交易行為無法抵賴,用于解決電子交易中的各種安全隱患。具體來說,這些安全技術包括信息加密技術、密鑰管理技術、驗證技術和安全協議等。在這些安全技術的支撐下,才有可能在互聯網上建設安全的電子交易支付平臺。它們之間的關系可用圖來表示。任務三掌握電子交易安全管理的方法一、了解電子支付密碼子任務一加密技術的應用近年來，不法分子利用偽造印章詐騙銀行資金或與銀行內部人員勾結挪用銀行和客戶資金的案件時有發生，給銀行和客戶造成巨大的資金損失。隨著社會經濟的發展，傳統的預留印鑒管理模式，已不能滿足客戶對銀行產品和服務日益增長的需求，而且風險暗伏。為有效解決預留印鑒和支付指令不相關聯、不相制約的問題,確保銀行和企業雙方資金的安全，電子支付密碼器應運而生。任務三掌握電子交易安全管理的方法

(1)快捷性:由計算機對數字密碼進行識別核驗,可使每筆轉賬資金做到實時清算,克服了計算機無法精確識別傳統印章這一弊端,客戶在付款行和收款行都能跨行及時收付資金。

(2)便利性:為企業資金管理提供了方便。可根據職權規定設置不同的資金使用權限，為資金計劃管理提供技術手段，對資金使用責任提供技術保證。

(3)排他性:使用電子支付密碼器,企業在資金劃轉中的其他安全手段可以省去,如密碼條、防偽印泥、防偽印章、防偽支票、電腦驗印等。

(4)統一性:電子支付密碼器是根據國家商用密碼管理辦公室和中國人民銀行總行統一標準制定的,因此,只需要購買一臺支付密碼器,就可以在不同商業銀行使用。電子支付密碼的優點相關知識任務三掌握電子交易安全管理的方法二、洞悉常用的加密技術原理對稱加密采用了對稱密碼編碼技術。它的特點是文件加密和解密使用相同的密鑰,即加密密鑰也可以用作解密密鑰,這種方法在密碼學中叫作對稱加密算法。對稱加密算法使用起來簡單快捷,密鑰較短,且破譯困難,除了DES外,另一個對稱密鑰加密系統是國際數據加密算法(IDEA),它比DES的加密性好,而且對計算機功能要求也沒有那么高。IDEA由PGP(PrettyGoodPrivacy)系統使用。對稱加密解密過程如圖所示。(一)對稱加密技術子任務一加密技術的應用任務三掌握電子交易安全管理的方法二、洞悉常用的加密技術原理

1976年,美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題,提出一種新的密鑰交換協議,允許在不安全的媒體上的通信雙方交換信息,安全地達成一致的密鑰,這就是“公開密鑰系統”。相對于對稱加密算法,這種方法叫作非對稱加密算法。與對稱加密算法不同,非對稱加密算法需要兩個密鑰:公開密鑰(PublicKey)和私有密鑰(Private

Key)。公開密鑰與私有密鑰是一對,如果用公開密鑰對數據進行加密,只有用對應的私有密鑰才能解密;如果用私有密鑰對數據進行加密,那么只有用對應的公開密鑰才能解密。非對稱加密解密過程如圖所示。(二)非對稱加密技術子任務一加密技術的應用任務三掌握電子交易安全管理的方法二、洞悉常用的加密技術原理當然也可以反過來,發送方用自己的私有密鑰進行加密,而接收方就直接使用發送方的公開密鑰進行解密,這種方法還可以起到防止抵賴的作用。當接收方用發送方的公開密鑰解密得到信息明文時,就完全可以確定信息是由發送方發出的,而發送方是不能抵賴否認的。可防抵賴的非對稱加密解密過程如圖所示。(二)非對稱加密技術子任務一加密技術的應用任務三掌握電子交易安全管理的方法三、加密技術在VPN中的應用現在,越來越多的公司走向國際化,一個公司可能在多個國家都有辦事機構或銷售中心,每一個機構都有自己的局域網(Local

AreaNetwork,LAN)。但在當今的網絡社會中人們的要求不僅如此,用戶希望將這些LAN連接在一起組成一個公司的廣域網,這在現在已不是什么難事了。事實上,很多公司都已經這樣做了,但它們一般使用租用的專用線路來連接這些局域網,其實考慮的就是網絡的安全問題。現在具有加密/解密功能的路由器已到處都是,通過互聯網連接這些局域網成為可能,這就是通常所說的虛擬專用網(VirtualPrivateNetwork,VPN)。當數據離開發送者所在的局域網時,該數據首先被用戶端連接到互聯網上的路由器進行硬件加密,數據在互聯網上是以加密形式傳送的,當到達目的LAN的路由器時,該路由器就會對數據進行解密,這樣目的LAN中的用戶就可以看到真正的信息了。子任務一加密技術的應用任務三掌握電子交易安全管理的方法四、傳送加密文件例如,小劉和小張是一對好朋友,小劉首先創建密鑰,如圖2-3-4所示,得到公鑰文件“小劉.pub”和私鑰文件“小劉.pri”。同理,小張得到“小張.pub”和“小張.pri”。然后小劉把“小劉.pub”發給小張,小張把“小張.pub”發給小劉(默認狀態下,公鑰文件public的擴展名為.pub,私鑰文件private的擴展名為.pri)。(一)創建密鑰子任務一加密技術的應用任務三掌握電子交易安全管理的方法四、傳送加密文件

1.加密文件密鑰創建后,小劉發送文件給小張之前,都先用“小張.pub”加密,如圖所示。(二)傳送加密文件

2.解密文件小張收到文件后,用配套的“小張.pri”解密還原,如圖所示。反之亦然。子任務一加密技術的應用任務三掌握電子交易安全管理的方法一、認識安全認證的工作流程子任務二安全認證手段的應用

A企業通過互聯網向B企業下訂單,想從B企業購買十臺聯想電腦,假設訂單的內容為“購買十臺電腦,貨到付款”。為了防止A企業抵賴這筆交易,需要A企業在發送訂單信息時使用自己的數字簽名,以便當雙方對這筆交易發生爭議時,數字簽名可以提供足夠的證據來證明這筆交易是否發生過。該過程的具體流程如圖所示。需要說明的是,因為數字簽名過程中采用的是公開密鑰加密技術,所以A企業必須首先從CA認證中心申請企業數字證書,以獲取自己的私有/公開密鑰對。任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術數字摘要就是信息發送方利用某種數學算法對信息進行處理后,生成的一個具有固定長度的特殊字符串。在傳輸信息時,將數字摘要一起發送給接收方,接收方可以根據數字摘要判斷信息在傳輸過程中是否被篡改過。當數學算法確定后,生成的數字摘要和信息原文就是一一對應的,就像每個人都有獨特的指紋一樣。因此,如果原文被篡改的話,它與數字摘要就無法匹配了。目前,在生成數字摘要的算法中,Hash算法是最常用的一種,如圖所示。(一)數字摘要技術子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術在各種政務和商務文件中,時間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是防止文件被偽造和篡改的關鍵性內容。在電子文件中,同樣需對文件的日期和時間信息采取安全措施,這就需要在經過數字簽名的交易上打上一個可信賴的時間戳,從而解決一系列的實際和法律問題。由于用戶桌面時間很容易改變,由該時間產生的時間戳不可信賴,因此需要一個權威的第三方來提供可信賴的且不可抵賴的時間戳服務,而數字時間戳服務(DigitalTime-stampService,DTS)就能提供電子文件發表時間的安全保護。(二)數字時間戳技術子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術數字時間戳服務是網上的安全服務項目,由專門的機構提供。時間戳是一個經加密后形成的憑證文檔,它包括三部分:

(1)需加時間戳的文件的摘要。

(2)DTS收到文件的日期和時間。

(3)DTS的數字簽名。(二)數字時間戳技術子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術數字時間戳產生的過程為:用戶首先將需要加時間戳的文件用Hash編碼加密形成數字摘要，然后將該數字摘要發送到DTS，DTS在加入了收到數字摘要的日期和時間信息后再對該文(二)數字時間戳技術件加密(數字簽名)，然后返回用戶，如圖所示。由Bellcore創造的DTS采用如下過程:加密時將摘要信息歸并到二叉樹的數據結構；再將二叉樹的根值發表在報紙上，這樣就更有效地為文件發表時間提供了佐證。需要注意的是，書面簽署文件的時間是由簽署人自己寫上去的，而數字時間戳則不同，它是由認證單位DTS來加的，以DTS收到文件的時間為依據。因此，時間戳也可作為科學家的科學發明文獻的時間認證。子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術數字簽名(DigitalSignature)又稱公鑰數字簽名、電子簽章,類似于寫在紙上的普通的物理簽名,但它是使用公鑰加密領域的技術來實現的,是用于鑒別數字信息的方法。一套數字簽名通常定義兩種互補的運算:一種用于簽名,另一種用于驗證。(三)數字簽名子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術數字簽名技術是不對稱加密算法的典型應用。數字簽名的應用過程是:數據源發送方使用自己的私鑰對數據進行校驗或對其他與數據內容有關的變量進行加密處理,完成對數據的合法“簽名”;數據接收方則利用對方的公鑰來解讀收到的“數字簽名”,并將解讀結果應用于對數據完整性的檢驗,以確認簽名的合法性。數字簽名技術是網絡系統虛擬環境中確認身份的重要技術,完全可以代替現實過程中的“親筆簽字”,在技術和法律上有所保證。在數字簽名應用中,發送者的公鑰可以很方便地得到,但其私鑰則需要嚴格保密,這與加密郵件PGP技術正好相反。(三)數字簽名子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術數字簽名原理如圖所示。(三)數字簽名子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術數字信封是公鑰密碼體制在實際中的一個應用,是用加密技術來保證只有規定的特定收信人才能閱讀通信的內容。在數字信封中,信息發送方采用對稱密鑰來加密信息內容,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數字信封)之后,將它和加密后的信息一起發送給接收方,接收方先用相應的私有密鑰打開數字信封,得到對稱密鑰,然后使用對稱密鑰解開加密信息。數字信封主要包括數字信封打包和數字信封拆解,數字信封打包是使用對方的公鑰將加密密鑰進行加密的過程,只有對方的私鑰才能將加密后的數據(通信密鑰)還原;數字信封拆解是使用私鑰將加密過的數據解密的過程。(四)數字信封子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法子任務二安全認證手段的應用二、認識電子支付的安全技術(四)數字信封數字信封的功能類似于普通信封,普通信封在法律的約束下保證只有收信人才能閱讀信的內容,數字信封則采用密碼技術保證只有規定的接收人才能閱讀信息的內容。數字信封的應用過程如圖所示。任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術1.數字證書的認證流程(五)數字證書與認證中心一般來講,用戶要攜帶有關證件到各地的證書受理點或者直接到證書發放機構(CA中心)填寫申請表并進行身份審核,審核通過后交納一定費用就可以得到裝有證書的相關介質(磁盤或Key)和一個寫有密碼口令的密碼信封。用戶在進行需要使用證書的網上操作時,必須準備好裝有證書的存儲介質。如果用戶是在自己的計算機上進行操作,操作前必須先安裝CA根證書。一般來說,所訪問的系統如果需要使用數字證書,會自動彈出提示框要求安裝根證書,用戶直接選擇確認即可;也可以直接登錄CA中心的網站,下載安裝根證書。操作時,一般系統會自動提示用戶出示數字證書或者插入證書介質(磁盤或Key),用戶插入證書介質后系統將要求用戶輸入密碼口令,此時用戶需要輸入申請證書時獲得的密碼信封中的密碼,密碼驗證正確后系統將自動調用數字證書進行相關操作。使用后,用戶應記住取出證書介質,并妥善保管。當然,不同的系統數字證書會有不同的使用方式,但系統一般會有明確提示,用戶使用起來都較為方便。子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術2.數字證書的申請(以支付寶數字證書申請為例)(五)數字證書與認證中心

(1)登錄支付寶賬戶,點擊【安全中心】→【安全管家】,然后點擊“數字證書”后面的【申請】按鈕,如圖所示。

(2)點擊【申請數字證書】按鈕,如圖所示。子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術2.數字證書的申請(以支付寶數字證書申請為例)(五)數字證書與認證中心

(3)填寫身份信息驗證身份,區分已通過身份驗證、未通過身份驗證兩種形式,如圖所示。

(4)已通過身份驗證:填寫身份證號碼和校驗碼,選擇使用地點,點擊【提交】按鈕,如圖所示。子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術2.數字證書的申請(以支付寶數字證書申請為例)(五)數字證書與認證中心

(5)未通過身份驗證:輸入身份證號碼后系統自動校驗,若校驗不成功,頁面提示用戶進行實名認證,修改賬戶身份信息。認證成功后,可以再重新申請和安裝數字證書。然后填寫手機上收到的校驗碼,如圖所示。

(6)數字證書申請成功,如圖所示。子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術3.支付寶數字證書備份(五)數字證書與認證中心

(1)登錄支付寶賬戶,點擊【安全中心】→【安全管家】,然后點擊“數字證書”后面的【管理】按鈕,在彈出的頁面中點擊【備份證書】,如圖所示。

(2)點擊【備份證書】按鈕后，會生成一個“××.pfx”的備份文件,該“××”會自動顯示為支付寶賬戶的名字,如圖所示。要妥善保管好備份的資料,并且記住證書的備份目錄。子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術3.支付寶數字證書備份(五)數字證書與認證中心

(3)成功保存證書備份文件,如圖所示。子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術4.支付寶數字證書安裝(五)數字證書與認證中心

(1)在安裝證書入口,點擊【安裝數字證書】,選擇【通過手機短信】,然后點擊【下一步】按鈕,進入安裝證書頁面,如圖所示。

(2)選擇證書使用地點,輸入手機上收到的校驗碼,如圖所示。子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術4.支付寶數字證書安裝(五)數字證書與認證中心

(3)接收郵件,頁面提示“支付寶已向您的郵箱××發送了一封驗證郵件”,點擊【點此進入郵箱查收】,如圖所示。

(4)點擊【點此安裝證書】,回答安全保護問題并按提示操作,證書就安裝成功了,如圖所示。子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法二、認識電子支付的安全技術(六)公鑰基礎設施所謂PKI(PublicKeyInfrastructure,公鑰基礎設施),就是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范，它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系。簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。用戶可利用PKI平臺提供的服務進行安全的電子交易、通信和互聯網上的各種活動。PKI是基于公鑰算法和技術，為網上通信提供安全服務的基礎設施,是創建、頒發、管理、注銷公鑰證書所涉及的所有軟件、硬件的集合體。子任務二安全認證手段的應用任務三掌握電子交易安全管理的方法2.PKI加密/簽名密鑰對的使用原理(1)PKI加密密鑰對的使用原理1.PKI的組成PKI是由證書申請者、注冊機構(RA)、認證中心(CA)、證書庫(CR)和證書信任方等基本成分共同組成的。(2)PKI簽名密鑰對的使用原理子任務二安全認證手段的應用二、認識電子支付的安全技術(六)公鑰基礎設施任務三掌握電子交易安全管理的方法

1.數字證書的概念

2.數字證書的特點

3.數字證書的工作原理

4.數字證書的分類從應用的角度來看,數字證書可以分為以下幾種:

(1)服務器證書(2)電子郵件證書(3)客戶端個人證書

5.數字證書的內容目前數字證書的格式普遍采用的是X.509v3國際標準。一個標準的X.509數字證書其內容主要由基本數據信息和發行數據證書的CA簽名與簽名算法兩部分組成，具體包括：

(1)證書的版本信息。

(2)證書的序列號。每個證書都有一個唯一的證書序列號。

(3)證書所使用的簽名算法。

(4)證書的發行機構名稱(命名規則一般采用X.500格式)及其私鑰簽名。

(5)證書的有效期。

(6)證書使用者的名稱及其公鑰信息。數字證書相關知識任務三掌握電子交易安全管理的方法一、了解安全交易協議子任務三安全交易協議的應用(一)SSL協議(1)認證用戶和服務器,確保數據發送到正確的客戶機和服務器。(2)加密數據以防止數據中途被竊取。(3)維護數據的完整性,確保數據在傳輸過程中不被篡改。

1.SSL協議提供的服務任務三掌握電子交易安全管理的方法一、了解安全交易協議子任務三安全交易協議的應用(一)SSL協議(1)服務器認證階段(2)客戶認證階段2.SSL協議的工作流程

這一階段主要完成對客戶的認證。經認證的服務器發送一個提問給客戶，客戶則返回(數字)簽名后的提問和其公開密鑰，從而向服務器提供認證。

SSL協議的安全交易過程如圖所示。任務三掌握電子交易安全管理的方法一、了解安全交易協議(二)SET協議

SET(SecurityElectronicTransaction)是由VISA國際組織和MasterCard國際組織創建,結合IBM、Microsoft、Netscape、GTE等公司制定的電子商務中安全電子交易的一個國際標準。其主要目的是解決信用卡電子付款的安全保障問題,包括:保證信息的機密性,保證信息安全傳輸,不被竊聽,只有收件人才能得到和解密信息;保證支付信息的完整性,保證傳輸數據被完整接收,中途不被篡改;認證商家和客戶,驗證公共網絡上進行的交易活動,包括會計機構的設置、會計人員的配備及其職責、權利的履行和會計法規、制度的制定與實施等內容。合理、有效地組織會計工作,意義重大,它有助于提高會計信息質量,執行國家財經紀律和有關規定;有助于提高經濟效益,優化資源配置。會計工作的組織必須合法合規,講求效益,必須建立完善的內部控制制度,必須有強有力的組織保證。SET協議的工作流程如圖所示。子任務三安全交易協議的應用任務三掌握電子交易安全管理的方法一、了解安全交易協議(三)SSL協議與SET協議的比較1.連接性2.認證機制3.風險性子任務三安全交易協議的應用任務三掌握電子交易安全管理的方法二、安全交易協議在支付中的運用(一)基于SSL協議的支付模式

(1)持卡客戶通過Internet在商家的網站上選定商品,并填寫訂單,選擇銀行卡類型進行支付,再將附有銀行卡信息的訂單發送給商家。

(2)商家收到訂單后會先回復客戶,告之訂單的查詢ID,商家服務器還需要將相關的支付信息發給發卡銀行。

(3)SSL協議開始介入,持卡客戶端會出現頁面提示與發卡銀行的網絡服務器安全連接,并且客戶端會自動檢驗發卡端服務器的數字證書,檢驗通過之后瀏覽器下端會出現“閉合鎖”,表示加密通信道已經接通,客戶可以放心地進行支付信息的輸入。支付成功后頁面會自動提示,客戶確認后,SSL連接結束。

(4)發卡行把相關資金轉入商家在收單銀行的賬戶。

(5)收單銀行將成功付款的信息傳送給商家,以便商家及時發貨。子任務三安全交易協議的應用任務三掌握電子交易安全管理的方法二、安全交易協議在支付中的運用(二)基于SET協議的支付模式

(1)持卡客戶通過瀏覽器選定商品或服務，經過與商家的協商，客戶填寫訂單，包括所訂物品的列表、價格、合計等。

(2)持卡客戶選擇支付類型后，客戶端會自動激活客戶端軟件，SET協議開始介入，要求客戶輸入用戶名和密碼。

(3)客戶端軟件與商家服務器端軟件自動進行身份認證與信息交互，通過后直接將訂單與支付指令一起發送給商家。

(4)商家服務器將收到的支付指令通過支付網關與金融專用網轉發給收單行，請求支付結算。

(5)發卡行與收單行之間通過資金清算系統進行支付結算。

(6)結算之后，收單行向商家發送支付確認信息,商家向客戶轉發支付確認信息以及發貨通知，SET協議退出，客戶端軟件自動關閉。子任務三安全交易協議的應用任務三掌握電子交易安全管理的方法二、安全交易協議在支付中的運用(二)基于SET協議的支付模式在一個完整的SET協議交易過程中，需驗證數字證書9次，驗證數字簽名6次，傳遞各方數字證書7次，進行5次數字簽名、4次私有密鑰加密和4次公開密鑰加密。整個過程需要1.5~2分鐘,甚至更長的時間，這是一個非常嚴密的安全體系，適用于安全要求很高的支付交易。基于SET協議的支付模式如圖所示。子任務三安全交易協議的應用任務四建立電子商務系統安全管理制度一、完善人員管理制度參與網上交易的經營管理人員在很大程度上決定著企業的命運,他們擔負著防范網絡犯罪的任務。而計算機網絡犯罪與一般犯罪相比,具有智能性、隱蔽性、連續性、高效性的特點,因而,加強對相關人員的管理變得十分重要。首先,對相關人員進行上崗培訓。其次,落實工作責任制,對違反網上交易安全規定的行為應堅決進行打擊,對違反規定的有關人員要及時進行處理。第三,貫徹網上交易安全運作的基本原則,包括雙人負責原則,重要業務不要安排一個人單獨管理,實行兩人或多人相互制約的機制;任期有限原則,任何人不得長期擔任與交易安全有關的職務;最小權限原則,明確規定只有網絡管理員才可以進行物理訪問以及軟件安裝工作。任務四建立電子商務系統安全管理制度二、建立網上交易保密制度電子交易信息的安全級別一般可分為三級:

(1)機密級,如公司戰略計劃、訂/出貨價格、公司內部財務報表等。此部分網址、密碼不在網上公開,只限于公司高層人員或相關部門授權人員掌握。

(2)秘密級,如公司的日常管理情況、會議通知等。此部分網址、密碼不在網上公開,只限于公司中層管理者以上人員使用。

(3)普通級,如公司簡介、新產品介紹及訂貨方式等。此部分網址、密碼在網上公開,供消費者瀏覽,但必須有保護程序,防止“黑客”入侵。任務四建立電子商務系統安全管理制度三、建立跟蹤、審計、稽核制度

跟蹤制度要求企業建立網絡交易系統日志機制,用來記錄系統運行的全過程。系統日志文件是自動生成的,其內容包括操作日期、操作方式、登錄次數、運行時間、交易內容等。它對系統的運行進行監督、維護分析、故障恢復,這對于防止案件的發生或在案件發生后為偵破工作提供監督數據方面都起著非常重要的作用。審計制度是指經常對系統日志檢查、審核,及時發現故意入侵系統行為的記錄和違反系統安全功能的記錄,監控和捕捉各種安全事件,保存、維護和管理系統日志。任務四建立電子商務系統安全管理制度四、完善網絡系統的日常維護制度

(1)建立系統設備檔案。

(2)網絡設備管理與維護。

(3)通信線路維護。(一)硬件的日常管理和維護

(1)系統軟件。一般需要進行以下維護工作:

①定期清理日志文件、臨時文件。②定期整理文件系統。③監測服務器上的活動狀態和用戶注冊數。④處理運行中的死機情況等。

(2)應用軟件。(二)軟件的日常管理和維護數據備份的目的在于“未雨綢繆”,即系統在安全狀態時就將系統軟件和應用軟件的關鍵信息保存起來。(三)數據備份任務四建立電子商務系統安全管理制度五、建立用戶管理制度增加/刪除用戶。(１)因業務的擴大、變化重組用戶或修改用戶。(２)其管理內容主要有：任務四建立電子商務系統安全管理制度六、加強病毒防范制度

病毒防范是保證網上交易安全的一個重要方面。如果網上信息及交易活動遭到病毒襲擊，將阻礙和破壞網上交易的順利開展,因此必須建立病毒防范措施。目前主要采用防病毒軟件進行防毒。應用于網絡的防病毒軟件有兩種：一種是單機版防病毒產品；另一種是聯機版防病毒產品。前者是事后殺毒,當系統被病毒感染之后才能發揮這種軟件的作用，適合于個人用戶。后者屬于事前的防范,其原理是在網絡端口設置一個病毒過濾器，即事前在系統上安裝一個防病毒的網絡軟件,它能夠在病毒入侵系統之前,將其擋在系統之外。由于許多病毒都有一個潛伏期，因此有必要實行病毒定期清理制度來清除處于潛伏期的病毒，防止病毒突然爆發，從而使計算機始終處于良好的工作狀態，保證網上交易的正常進行。任務四建立電子商務系統安全管理制度七、建立應急制度

(1)電子商務運行中的災難性事件指的是導致參加交易活動的計算機不能正常運行的事件，主要包括:①洪水、地震和其他自然災害直接導致計算機系統不能正常運行。②發電廠的事故、信息服務商的問題導致計算機系統的非正常運行。③計算機系統本身也可能導致災難性事件的發生,如系統升級時發生差錯、嚴重操作錯誤、備份中心發生故障和系統管理員的惡意操作都可能導致重要數據丟失，引發計算機系統災難。任務四建立電子商務系統安全管理制度七、建立應急制度

(2)災難恢復包括許多工作，主要有：硬件的恢復(使計算機系統重新運轉起來)和數據的恢復。一般來講,數據的恢復更為重要，難度也更大。目前運用的數據恢復技術主要有瞬時復制技術、遠程磁盤鏡像技術和數據庫恢復技術。瞬時復制技術就是使計算機在某一災難時刻自動復制數據的技術；遠程磁盤鏡像技術是把數據中心磁盤中的數據復制到遠程備份中心，在遠程備份中心提供主數據中心的磁盤影像；數據庫恢復技術是產生和維護一份或多份數據庫數據的副本，但該技術不能復制非數據庫格式的數據。所以，將數據庫恢復技術與遠程磁盤鏡像技術配合使用,往往可以獲得更為良好的效果。市場經濟是法制經濟,電子商務的發展需要建設和完善相關的法律體系。雖然技術專家已從技術角度開發了許多保證網上交易安全和順利進行的技術保障措施,但仍難以完全保障網上交易的安全性,因此許多企業和消費者對網上交易的安全心存疑慮。他們擔心合同的執行、賠償、個人隱私、資金安全、知識產權保護、稅收等問題難以解決,從而妨礙他們積極參與網上交易。項目小結通過完成該項目,學生可以充分認識安全認證的重要性,了解安全交易協議的工作原理,學會利用加密技術、數字證書等認證手段來保證電子交易的安全性。同時還可以了解電子商務系統安全管理制度,為后續任務的完成打下堅實的基礎。電子支付與網絡安全（第四版）項目三電子銀行的應用?懂得電子銀行與網上銀行的區別;?了解電子銀行的服務功能；?掌握網上銀行的應用流程；?熟悉手機銀行的操作流程；?了解其他電子銀行的應用；職業能力目標項目三電子銀行的應用學習導航項目三電子銀行的應用自2019年開始,多家銀行的“電子銀行部”相繼變更為“數字金融部”。光大銀行2018年年報的零售銀行業務介紹中,仍表述為電子銀行業務,至2019年中報時,已更名為數字金融業務。升級后的數字金融部為該行個人及企業數字金融業務的統籌管理部門,致力于進一步落實數字金融戰略,推動該行數字化轉型升級。光大銀行2019年中報顯示,光大銀行的數字金融業務聚焦手機銀行、對公服務、遠程銀行、云支付、隨心貸等五項重點業務。截至報告期末,該行電子渠道交易柜臺替代率為98.34%,比2018年年末上升0.43個百分點;手機銀行App客戶3430.43萬戶,比2018年年末增加224.67萬戶;對公網銀客戶58.76萬戶,比2018年年末增加5.91萬戶;推動遠程銀行中心的智能化轉型,客戶滿意度保持在99%以上;云支付整體交易金額5.30萬億元,同比增長187.50%;隨心貸本年累計投放額2140.00億元,余額653.41億元,比2018年年末增加19.91億元。項目背景項目三電子銀行的應用12任務一認識電子銀行的服務功能任務二網上銀行的應用45任務四其他電子銀行的應用任務五了解電子銀行的風險與安全使用方法３任務三移動銀行的應用任務一認識電子銀行的服務功能電子銀行(ElectronicBank,一般簡稱為e-Bank)是以計算機及網絡通信技術等現代科技手段為依托,通過電子渠道向客戶提供金融產品及金融服務的虛擬化銀行。國內商業銀行普遍的觀點是將電子銀行定義為涵蓋網上銀行、手機銀行、電話銀行、自助銀行等利用電子交易渠道完成離柜業務的銀行服務。中國銀監會發布的《電子銀行業務管理辦法》給出電子銀行業務的定義是:“電子銀行業務,是指商業銀行等銀行業金融機構利用面向社會公眾開放的通信通道或開放型公眾網絡,以及銀行為特定自助服務設施或客戶建立的專用網絡,向客戶提供的銀行服務。電子銀行業務包括利用計算機和互聯網開展的銀行業務(以下簡稱網上銀行業務),利用電話等聲訊設備和電信網絡開展的銀行業務(以下簡稱電話銀行業務),利用移動電話和無線網絡開展的銀行業務(以下簡稱手機銀行業務),以及其他利用電子服務設備和網絡,由客戶通過自助服務方式完成金融交易的銀行業務。”電子銀行是金融創新與科技創新相結合的產物。子任務一

認識電子銀行一、電子銀行概述(一)電子銀行的概念任務一認識電子銀行的服務功能電子銀行的三個要素為:基于互聯網或其他電子通信網絡;基于電子通信的金融服務提供者;基于電子通信的金融服務消費者。電子銀行相關知識任務一認識電子銀行的服務功能一、電子銀行概述(二)電子銀行的分類子任務一

認識電子銀行任務一認識電子銀行的服務功能二、電子銀行的產生和發展(一)銀行電子化的發展歷程1.銀行的傳統業務處理實現電子化階段2.提供自助銀行服務階段3.提供信息增值服務階段4.提供網絡銀行服務階段5.“互聯網+”階段子任務一

認識電子銀行任務一認識電子銀行的服務功能二、電子銀行的產生和發展(二)“互聯網+”時代銀行業的發展前景在“互聯網+”時代,銀行業今后在三個