电子商务第讲课件

第第 4章章 网络银行与电子支付网络银行与电子支付北京科技大学经济管理学院北京科技大学经济管理学院 崔健双崔健双12024/7/9本章教学目标本章教学目标o了解网络银行了解网络银行o了解电子支付系统了解电子支付系统o了解安全电子支付技术了解安全电子支付技术22024/7/9本章主要内容本章主要内容o网络银行的产生、发展及其特点网络银行的产生、发展及其特点o电子支付系统的功能、类型、实现手电子支付系统的功能、类型、实现手段和各种支付工具段和各种支付工具o保证电子交易安全的各种手段保证电子交易安全的各种手段32024/7/94/36电子商务在线支付越来越火5/36几个典型的电子支付平台目前国内主要的第三方网上支付平台n北京首信易支付（北京首信易支付（http:/ (Security First Network Bank(Security First Network Bank，SFNB)SFNB)”n1995 1995 年年 10 10 月月 18 18 日，美国日，美国 3 3 家银行联合成家银行联合成立了全球第一家员工仅有立了全球第一家员工仅有 1010人的网络银行，人的网络银行，http/1998http/1998年被加拿大皇家银行年被加拿大皇家银行收购。收购。n图示为图示为 SFNB SFNB 最初的主页。最初的主页。82024/7/992024/7/9一、网络银行一、网络银行1.1.网络银行概述网络银行概述（1 1）定义：网络银行又称虚拟银行）定义：网络银行又称虚拟银行（Virtual Bank)Virtual Bank)或在线银行或在线银行,它是金融电它是金融电子化发展的产物。银行通过子化发展的产物。银行通过InternetInternet技术技术网站，利用联网计算机实现全天侯银行业网站，利用联网计算机实现全天侯银行业务的一类金融机构。务的一类金融机构。o纯网络银行纯网络银行o衍生网络银行衍生网络银行102024/7/9一、网络银行一、网络银行o为客户提供：开户、销户、查询、对帐、为客户提供：开户、销户、查询、对帐、行内转帐、跨行转帐、信贷、网上证券、行内转帐、跨行转帐、信贷、网上证券、投资理财等传统服务项目，使客户可以足投资理财等传统服务项目，使客户可以足不出户就能够安全便捷地管理活期和定期不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。存款、支票、信用卡及个人投资等。112024/7/9一、网络银行一、网络银行（2 2）网络银行产生的基础）网络银行产生的基础 o技术基础：计算机网络技术的飞速发展；技术基础：计算机网络技术的飞速发展；o需求基础：发达、成熟的电子商务社会要求需求基础：发达、成熟的电子商务社会要求资金的流动更顺畅、银行结算更便捷；资金的流动更顺畅、银行结算更便捷；o供给基础：银行方面降低服务成本、提高行供给基础：银行方面降低服务成本、提高行业竞争优势。业竞争优势。122024/7/9一、网络银行一、网络银行（3 3）网络银行的主要业务功能）网络银行的主要业务功能o基本业务、网上投资、网上购物、个人理基本业务、网上投资、网上购物、个人理财、企业银行及其他金融服务。例如：财、企业银行及其他金融服务。例如：o金融信息宣传发布：银行概况，业务品种介绍，汇率金融信息宣传发布：银行概况，业务品种介绍，汇率和利率信息，操作方法注意事项，特约介绍等各种信和利率信息，操作方法注意事项，特约介绍等各种信息。息。o在线咨询：回答各种客户提交的问题和咨询信息，或在线咨询：回答各种客户提交的问题和咨询信息，或专人值守进行实时交互语言或视频交流。专人值守进行实时交互语言或视频交流。132024/7/9一、网络银行一、网络银行o在线查询：客户即时余额和历史数据等的查询。在线查询：客户即时余额和历史数据等的查询。o交易业务：主要有展示铺面、安全保证、交易过程、交易业务：主要有展示铺面、安全保证、交易过程、订购业务和售后服务、与传统系统兼容、数据挖掘、订购业务和售后服务、与传统系统兼容、数据挖掘、系统执行和可伸缩高性能服务器系统执行和可伸缩高性能服务器8 8个环节。个环节。o资产类业务：银行利用掌握的客户资料直接在网上办资产类业务：银行利用掌握的客户资料直接在网上办理各种贷款和融资业务。理各种贷款和融资业务。o现金服务：在家中或单位先期在网络银行办理现金存现金服务：在家中或单位先期在网络银行办理现金存取手续，银行收到指令后可携带便携式计算机和打印取手续，银行收到指令后可携带便携式计算机和打印设备及现金直接上门办理确认和凭证打印手续。设备及现金直接上门办理确认和凭证打印手续。142024/7/9一、网络银行一、网络银行2.2.网络银行在各国的发展网络银行在各国的发展（1 1）美国）美国:领头羊，发展最迅速。据统计，领头羊，发展最迅速。据统计，1997 1997 年全美有年全美有 400 400 家银行及存款互助机家银行及存款互助机构开展网络银行业务，构开展网络银行业务，1999 1999 年则猛增至年则猛增至7200 7200 家。目前，网络银行已覆盖了除现金家。目前，网络银行已覆盖了除现金以外的所有零售银行业务和部分投资银行以外的所有零售银行业务和部分投资银行业务。业务。152024/7/9一、网络银行一、网络银行162024/7/9一、网络银行一、网络银行（2 2）欧洲）欧洲:英国的巴克莱银行、国民西英国的巴克莱银行、国民西敏寺银行，瑞典的敏寺银行，瑞典的SEBSEB和荷兰银行的网和荷兰银行的网络银行随时、随地、随意提供服务。络银行随时、随地、随意提供服务。网络银行爆炸性的增长迫使许多欧洲网络银行爆炸性的增长迫使许多欧洲传统银行大幅削减支出以保持赢利。传统银行大幅削减支出以保持赢利。172024/7/9一、网络银行一、网络银行（3 3）国内）国内o19971997年年1212月中国工商银行在首建网站；月中国工商银行在首建网站；o20002000年推出企业网络银行，支持集团理年推出企业网络银行，支持集团理财、网上结算、网上收费站、财、网上结算、网上收费站、B2BB2B和和B2CB2C在线支付、银企互联、贵宾室、在线支付、银企互联、贵宾室、财务财务室、网上支付结算代理等许多产品，业室、网上支付结算代理等许多产品，业务交易金额达到务交易金额达到1.93 1.93 万亿元，占全行万亿元，占全行结算业务量的结算业务量的 3%3%。182024/7/9一、网络银行一、网络银行192024/7/9一、网络银行一、网络银行中国工商银行网站主页中国工商银行网站主页o20102010年，中国网上银行市场全年交易额达年，中国网上银行市场全年交易额达553.75553.75万亿元，网上银行注册用户数突破万亿元，网上银行注册用户数突破3 3亿，大型国有银行均占主导地位。亿，大型国有银行均占主导地位。o前景展望：网络银行未来将呈现高安全性、前景展望：网络银行未来将呈现高安全性、服务多样化、市场多端融合的趋势。网上服务多样化、市场多端融合的趋势。网上银行将成为银行的主渠道，传统银行将全银行将成为银行的主渠道，传统银行将全面融入网上银行，甚至不再单独区分网上面融入网上银行，甚至不再单独区分网上银行。银行。202024/7/9一、网络银行一、网络银行3.3.网络银行的特点网络银行的特点 o全天候运作全天候运作(Anytime)(Anytime)o开放开放 (Anywhere)(Anywhere)o服务方式多样化服务方式多样化(Anyhow)(Anyhow)下表列出了银行各种服务方式成本对比下表列出了银行各种服务方式成本对比212024/7/9一、网络银行一、网络银行222024/7/9一、网络银行一、网络银行4.4.网络银行面临的问题网络银行面临的问题 （1 1）风险问题：传统银行所面临的信用风险、）风险问题：传统银行所面临的信用风险、流动性风险、利率风险和市场风险，在网流动性风险、利率风险和市场风险，在网银中仍然存在，而金融交易的银中仍然存在，而金融交易的“虚拟化虚拟化”使交易对象变得更加不透明，网络银行面使交易对象变得更加不透明，网络银行面临更大的风险。临更大的风险。（2 2）消费者信心问题：客户不愿使用网银的）消费者信心问题：客户不愿使用网银的原因原因8080是出于对风险因素的担心，而这是出于对风险因素的担心，而这种担心已远超过了其必要的程度。种担心已远超过了其必要的程度。232024/7/9一、网络银行一、网络银行（3 3）法律问题：由于网络银行缺乏相关的法）法律问题：由于网络银行缺乏相关的法律，特别是跨境网上金融服务交易的管辖律，特别是跨境网上金融服务交易的管辖权法律适应性问题难以解决，加大了银行权法律适应性问题难以解决，加大了银行和客户在网上进行电子支付活动的风险。和客户在网上进行电子支付活动的风险。（4 4）社会信用环境问题：社会信用体系特别）社会信用环境问题：社会信用体系特别是个人信用体系发育相对滞后。是个人信用体系发育相对滞后。242024/7/9一、网络银行一、网络银行（5 5）网络金融犯罪问题：有愈演愈烈的趋势，）网络金融犯罪问题：有愈演愈烈的趋势，而预防和惩治网络金融犯罪的有效手段却而预防和惩治网络金融犯罪的有效手段却未能出台。主要原因是犯罪主体智能化、未能出台。主要原因是犯罪主体智能化、方式集团化、范围全球化，造成犯罪取证方式集团化、范围全球化，造成犯罪取证困难、追查困难、管辖困难、执行困难等困难、追查困难、管辖困难、执行困难等难题。难题。252024/7/9一、网络银行一、网络银行（6 6）标准统一问题：设计开发缺乏统一规）标准统一问题：设计开发缺乏统一规划和统一标准。划和统一标准。262024/7/9一、网络银行一、网络银行o解决方法：兵来将挡，水来土囤。解决方法：兵来将挡，水来土囤。272024/7/9一、网络银行一、网络银行1.1.电子支付概述电子支付概述o电子支付是指以商用电子化工具和各类电电子支付是指以商用电子化工具和各类电子货币为媒介，以计算机和通信技术为手子货币为媒介，以计算机和通信技术为手段，通过电子数据存储和传递的形式在计段，通过电子数据存储和传递的形式在计算机网络系统上实现资金的流通。算机网络系统上实现资金的流通。目前电子支付方式主要有下列几种：目前电子支付方式主要有下列几种：282024/7/9二、电子支付系统二、电子支付系统（1 1）第三方转账支付（主流方式）第三方转账支付（主流方式）o典型代表是支付宝：买卖双方在相同平台上，买典型代表是支付宝：买卖双方在相同平台上，买家将货款转账到平台账户上，平台收到货款后通家将货款转账到平台账户上，平台收到货款后通知商家按照买家地址发货，买家确认货物后通知知商家按照买家地址发货，买家确认货物后通知平台将买家货款转入卖家账户。平台将买家货款转入卖家账户。o最大优点是能够确保买卖双方的利益。最大优点是能够确保买卖双方的利益。292024/7/9二、电子支付系统二、电子支付系统（2 2）网络银行在线支付（后详）网络银行在线支付（后详）o用户持有网络银行发行的具有网上支付功能的借用户持有网络银行发行的具有网上支付功能的借记卡或信用卡，直接将购物费转入商家的网上银记卡或信用卡，直接将购物费转入商家的网上银行账户，并通过行账户，并通过E-mail E-mail 或电话方式与商家联系或电话方式与商家联系确认。商家确认后将用户购买的商品发送给用户。确认。商家确认后将用户购买的商品发送给用户。虽然缺乏有效的担保机制，但如采用信用卡支付，虽然缺乏有效的担保机制，但如采用信用卡支付，可对交易在规定时间内予以取消，适当地保证了可对交易在规定时间内予以取消，适当地保证了用户的权益。适用于小额支付。用户的权益。适用于小额支付。302024/7/9二、电子支付系统二、电子支付系统（3 3）电话银行、手机银行支付）电话银行、手机银行支付o多采用多采用168168等声讯平台和手机短信的方式。通过等声讯平台和手机短信的方式。通过拨打声讯电话、发短信选择购买的产品类型，费拨打声讯电话、发短信选择购买的产品类型，费用在拨打电话、发送短信的同时扣除，此类方式用在拨打电话、发送短信的同时扣除，此类方式没有第三方担保，也没有办法取消交易，安全系没有第三方担保，也没有办法取消交易，安全系数较低。数较低。n例如，影视网站通过声讯平台销售点卡时，在用户听例如，影视网站通过声讯平台销售点卡时，在用户听取卡号时，由于卡号数字较多，较容易出错等。取卡号时，由于卡号数字较多，较容易出错等。312024/7/9二、电子支付系统二、电子支付系统（4 4）IP IP 账号支付账号支付o目前采用目前采用 IP IP 账号支付的方式基本上只有账号支付的方式基本上只有电信运营商采用。其收费的方式采用支付电信运营商采用。其收费的方式采用支付费用与上网费用捆绑。费用与上网费用捆绑。322024/7/9二、电子支付系统二、电子支付系统（5 5）虚拟货币虚拟货币支付支付o虚拟货币就是指由网络服务提供商发行的虚拟货币就是指由网络服务提供商发行的用于购买网络虚拟商品的电子储值与支付用于购买网络虚拟商品的电子储值与支付工具，如工具，如Q Q币、币、U U币、各种网站积分、各种币、各种网站积分、各种游戏币等。游戏币等。332024/7/9二、电子支付系统二、电子支付系统2.2.网络银行在线支付网络银行在线支付（1 1）电子卡）电子卡 o信用卡信用卡19521952年源于美国富兰克林国民银行，年源于美国富兰克林国民银行，目前国际较流行的是目前国际较流行的是VISAVISA和和MasterCardMasterCard。中国不同银行先后在全国发行了长城卡、中国不同银行先后在全国发行了长城卡、牡丹卡和银联卡，取得了长足的发展并加牡丹卡和银联卡，取得了长足的发展并加入了入了 VISA VISA 和和 MasterCard MasterCard 这两个国际组这两个国际组织。织。342024/7/9二、电子支付系统二、电子支付系统o信用卡的类型信用卡的类型n借记卡（储蓄卡）：其主要作用是借记卡（储蓄卡）：其主要作用是储蓄存款，便于持卡人刷卡消费、储蓄存款，便于持卡人刷卡消费、ATM ATM 提现、转账、各类缴费等，不提现、转账、各类缴费等，不能透支。能透支。n贷记卡（信用卡）：其主要作用是贷记卡（信用卡）：其主要作用是小额透支贷款，二者区别见表小额透支贷款，二者区别见表352024/7/9二、电子支付系统二、电子支付系统362024/7/9二、电子支付系统二、电子支付系统o电子信用卡电子信用卡 由普通磁条卡基发展为能够读写大量由普通磁条卡基发展为能够读写大量数据、更加安全可靠的智能卡，称为数据、更加安全可靠的智能卡，称为电子信用卡，这种卡基于电子信用卡，这种卡基于 Web Web 浏览浏览器与器与“电子狗电子狗”结合实现电子支付，结合实现电子支付，更安全可靠。更安全可靠。372024/7/9二、电子支付系统二、电子支付系统（2 2）电子支票）电子支票o电子支票电子支票(Electronic Check)(Electronic Check)是纸质是纸质支票的电子替代品，每一份电子支票支票的电子替代品，每一份电子支票带有持票人的数字签名。用电子支票带有持票人的数字签名。用电子支票支付银行管理成本较低。电子支票的支付银行管理成本较低。电子支票的结算过程如图所示，具体流程如下：结算过程如图所示，具体流程如下：38二、电子支付系统二、电子支付系统39二、电子支付系统二、电子支付系统1)1)付款人首先根据要求产生一个电子支票，付款人首先根据要求产生一个电子支票，并对该支票进行签名。并对该支票进行签名。2)2)付款人利用安全付款人利用安全 E-mail E-mail 或或 Web Web 方式把方式把电子支票传送给收款人。电子支票传送给收款人。3)3)收款人收到电子支票后，验证付款人电收款人收到电子支票后，验证付款人电子签名，背书支票（自己签名）后向收单子签名，背书支票（自己签名）后向收单银行发出电子存款单。银行发出电子存款单。40二、电子支付系统二、电子支付系统4)4)收单银行验证付款人签名和收款人签名无收单银行验证付款人签名和收款人签名无误后，向收款者账号贷记存款额。误后，向收款者账号贷记存款额。5)5)付款人银行验证付款人签名，并借记付款付款人银行验证付款人签名，并借记付款人账号。人账号。6)6)付款人银行和收款人银行通过传统银行网付款人银行和收款人银行通过传统银行网络进行清算，并对清算结果向双方反馈。络进行清算，并对清算结果向双方反馈。o较著名的电子支票系统有较著名的电子支票系统有 NetbillNetbill 和和 NetchequeNetcheque 等。等。412024/7/9二、电子支付系统二、电子支付系统（3 3）电子货币）电子货币 o电子货币又称为电子现金、数字现金。电子货币又称为电子现金、数字现金。其主要功能是转账结算、储蓄、兑现、其主要功能是转账结算、储蓄、兑现、消费贷款等。银行采用数字签名等安消费贷款等。银行采用数字签名等安全技术来保证电子现金的真实性和不全技术来保证电子现金的真实性和不可伪造性。常用的几种电子货币包括：可伪造性。常用的几种电子货币包括：422024/7/9二、电子支付系统二、电子支付系统1 1）E-CashE-Cash：银行创造一批自己签名的：银行创造一批自己签名的电子货币，客户需要使用真实的货币电子货币，客户需要使用真实的货币与与 E-Cash E-Cash 进行兑换并存在银行计算进行兑换并存在银行计算机中。客户端需要使用电子钱包软件机中。客户端需要使用电子钱包软件(CyberwalletCyberwallet)完成支付或接收商家完成支付或接收商家的货币。的货币。E-Cash E-Cash 的工作过程如图所的工作过程如图所示。示。432024/7/9二、电子支付系统二、电子支付系统442024/7/9二、电子支付系统二、电子支付系统2 2）MillicentMillicent：类似：类似E-CashE-Cash，但是其电，但是其电子钱包中存储的是能够在子钱包中存储的是能够在 WebWeb上使用上使用的由发行银行创建的一种叫做便条的由发行银行创建的一种叫做便条(Script)(Script)的电子令牌来代替现金。的电子令牌来代替现金。452024/7/9二、电子支付系统二、电子支付系统3 3）WorldpayWorldpay：类似：类似E-CashE-Cash，但是支持多币制，但是支持多币制电子支付，用户的信用卡或借记卡可被授电子支付，用户的信用卡或借记卡可被授权使用权使用WorldpayWorldpay多币制账户。多币制账户。曾经拥有的不曾经拥有的不要忘记要忘记 不能得到的更要珍惜属于自己的不要放不能得到的更要珍惜属于自己的不要放弃，已经失去的留作回忆。弃，已经失去的留作回忆。4 4）CybercoinCybercoin：美国国内使用的小额支付和：美国国内使用的小额支付和电子支票转拨，是一个基于软件的电子现电子支票转拨，是一个基于软件的电子现金产品，目前已经与金产品，目前已经与 SET SET 结盟。结盟。462024/7/9二、电子支付系统二、电子支付系统o电子货币的优势电子货币的优势n支付快捷方便支付快捷方便n处理简单成本较低处理简单成本较低n简化国际汇兑简化国际汇兑n安全性较实物纸币等要安全得安全性较实物纸币等要安全得多多 472024/7/9二、电子支付系统二、电子支付系统o电子货币存在的问题电子货币存在的问题 n安全性：从心理上认为不安全。安全性：从心理上认为不安全。n标准化：电子货币有七八种会引标准化：电子货币有七八种会引起某些混乱。起某些混乱。n法律纠纷难判断：取证？法律纠纷难判断：取证？n审计难：电子审计？审计难：电子审计？482024/7/9二、电子支付系统二、电子支付系统（4 4）智能卡）智能卡 o智能卡支付是一种典型的小额支付方智能卡支付是一种典型的小额支付方式，当前在电话卡、公交卡、各种校式，当前在电话卡、公交卡、各种校园卡中有着广泛的应用，便捷、效率园卡中有着广泛的应用，便捷、效率高成本低。不再涉及银行或其他资金高成本低。不再涉及银行或其他资金账户，是一种交换媒介的革命。账户，是一种交换媒介的革命。492024/7/9二、电子支付系统二、电子支付系统（5 5）电子钱包）电子钱包 o电子钱包电子钱包(E-Wallet(E-Wallet、E-Purse)E-Purse)实质是一实质是一个装载各种电子支付工具的电子容器。流个装载各种电子支付工具的电子容器。流行的有：行的有：Visa CashVisa Cash、MondexMondex 和和 ProtonProton。共同特点是与智能卡应用紧密配合，不。共同特点是与智能卡应用紧密配合，不光可以应用在网上，也可以应用在传统金光可以应用在网上，也可以应用在传统金融专用网络的支付结算中，而且以智能卡融专用网络的支付结算中，而且以智能卡形式出现，更加安全。形式出现，更加安全。502024/7/9二、电子支付系统二、电子支付系统o图所示为电子钱包软件界面和诺基亚具有图所示为电子钱包软件界面和诺基亚具有电子钱包功能的手电子钱包功能的手 机机6131NFC6131NFC。512024/7/9二、电子支付系统二、电子支付系统（6 6）新兴的电子支付方式）新兴的电子支付方式 o移动支付：为每个移动用户建立一个移动支付：为每个移动用户建立一个与其手机号码关联的支付账户，用户与其手机号码关联的支付账户，用户通过拨打电话、发送短信或者使用通过拨打电话、发送短信或者使用WAPWAP功能接入移动支付系统。功能接入移动支付系统。522024/7/9二、电子支付系统二、电子支付系统o中间件技术：金融机构开发一个与支中间件技术：金融机构开发一个与支付网关系统协同良好，并且方便商家付网关系统协同良好，并且方便商家开发的中间件，放在商家处，起到商开发的中间件，放在商家处，起到商家和支付网关之间传输数据的中介作家和支付网关之间传输数据的中介作用。与非中间件电子支付方式相比较，用。与非中间件电子支付方式相比较，中间件支付系统更加安全、方便和灵中间件支付系统更加安全、方便和灵活。活。532024/7/9二、电子支付系统二、电子支付系统3.3.第三方转账支付现状与发展第三方转账支付现状与发展o第三方转账支付：支付公司作为信用中介，第三方转账支付：支付公司作为信用中介，在买家确认收到商品前，代替买卖双方暂在买家确认收到商品前，代替买卖双方暂时保管货款，使交易风险得到控制，形成时保管货款，使交易风险得到控制，形成消费者对商品的忠诚。消费者对商品的忠诚。o支付宝与贝宝是两个最流行的第三方。支付宝与贝宝是两个最流行的第三方。542024/7/9二、电子支付系统二、电子支付系统o淘宝网提供淘宝网提供“支付宝支付宝”，口号，口号“你你敢用，我就敢赔敢用，我就敢赔”，对买卖双方实行，对买卖双方实行全额赔付全额赔付oeBayeBay的易趣网提供的易趣网提供“贝宝贝宝”（PayPalPayPal），口号），口号“有有 E-mail E-mail 便能收付款便能收付款”，把用户信用卡账号与，把用户信用卡账号与其其 E-mail E-mail 地址绑定，用户只需通过地址绑定，用户只需通过 E-mail E-mail 地址收付款。地址收付款。552024/7/9二、电子支付系统二、电子支付系统o据专业部门统计，据专业部门统计，2009 2009 年上半年，年上半年，全国共发生网络与信息安全事件全国共发生网络与信息安全事件 7 7 万多件，其中万多件，其中 1.3 1.3 万多件涉及金融万多件涉及金融系统。系统。o电子支付的安全性是关注重点。电子支付的安全性是关注重点。562024/7/9三、电子支付的安全问题三、电子支付的安全问题1.1.网络银行的安全风险与防范网络银行的安全风险与防范2.2.电子支付协议电子支付协议3.3.公众的防范措施公众的防范措施572024/7/9三、电子支付的安全问题三、电子支付的安全问题o网络安全事件类型网络安全事件类型n感染病毒感染病毒/蠕虫蠕虫/木马程序木马程序/恶意代码恶意代码n遭到网络攻击或端口扫描遭到网络攻击或端口扫描n网页遭篡改网页遭篡改n垃圾邮件垃圾邮件n网络盗窃、网络钓鱼网络盗窃、网络钓鱼582024/7/9三、电子支付的安全问题三、电子支付的安全问题o如何发现网络安全事件如何发现网络安全事件n网络网络(系统系统)管理员工作监测发现管理员工作监测发现n通过事后分析发现通过事后分析发现n通过安全产品发现通过安全产品发现n有关部门通知或他人告知有关部门通知或他人告知592024/7/9三、电子支付的安全问题三、电子支付的安全问题o感染计算机病毒的途径感染计算机病毒的途径n电子邮件电子邮件n网络下载或浏览网络下载或浏览n局域网局域网n移动存储介质移动存储介质602024/7/9三、电子支付的安全问题三、电子支付的安全问题o导致发生网络安全事件的可能原因导致发生网络安全事件的可能原因n未修补网络（系统）安全漏洞未修补网络（系统）安全漏洞n弱口令或缺少访问控制弱口令或缺少访问控制n攻击者使用拒绝服务攻击攻击者使用拒绝服务攻击n内部安全管理存在漏洞内部安全管理存在漏洞612024/7/9三、电子支付的安全问题三、电子支付的安全问题622024/7/9三、电子支付的安全问题三、电子支付的安全问题网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫1.1.网络银行的安全风险与防范网络银行的安全风险与防范（1 1）网络银行面临的主要安全风险）网络银行面临的主要安全风险 o技术漏洞风险：信息技术还不够完善、技术漏洞风险：信息技术还不够完善、不够成熟和稳定，致使各项金融业务难不够成熟和稳定，致使各项金融业务难以正常开展，带来信誉损失或实际损害。以正常开展，带来信誉损失或实际损害。632024/7/9三、电子支付的安全问题三、电子支付的安全问题o系统设计风险：系统的软、硬件不匹配，系统设计风险：系统的软、硬件不匹配，存在缺陷或冲突，导致运行过程中出现存在缺陷或冲突，导致运行过程中出现中断，造成损失。中断，造成损失。o恶意攻击风险：受到外部的恶意攻击，恶意攻击风险：受到外部的恶意攻击，如病毒、黑客入侵等，造成系统瘫痪或如病毒、黑客入侵等，造成系统瘫痪或失密，这是最主要的风险。失密，这是最主要的风险。642024/7/9三、电子支付的安全问题三、电子支付的安全问题o客户操作风险：客户误操作、卡号密码客户操作风险：客户误操作、卡号密码随意外泄，安全意识不强给犯罪分子利随意外泄，安全意识不强给犯罪分子利用短信、邮件、假银行网站等方式诈骗用短信、邮件、假银行网站等方式诈骗造成损失。造成损失。o内部控制风险：银行内部人员违规操作内部控制风险：银行内部人员违规操作或伺机作案。或伺机作案。652024/7/9三、电子支付的安全问题三、电子支付的安全问题662024/7/9三、电子支付的安全问题三、电子支付的安全问题假银联网站主页假银联网站主页 672024/7/9三、电子支付的安全问题三、电子支付的安全问题n假网站诈骗假网站诈骗 （“网络钓鱼网络钓鱼”）n n以某银行名义建立貌似银行网站或网上银行的以某银行名义建立貌似银行网站或网上银行的以某银行名义建立貌似银行网站或网上银行的以某银行名义建立貌似银行网站或网上银行的假网页，并借此发布虚假消息，搜集客户资料，假网页，并借此发布虚假消息，搜集客户资料，假网页，并借此发布虚假消息，搜集客户资料，假网页，并借此发布虚假消息，搜集客户资料，骗取客户网上银行注册卡号（登录骗取客户网上银行注册卡号（登录骗取客户网上银行注册卡号（登录骗取客户网上银行注册卡号（登录IDIDIDID）、密码、）、密码、）、密码、）、密码、口令等信息，进而达到非法窃取客户资金的目口令等信息，进而达到非法窃取客户资金的目口令等信息，进而达到非法窃取客户资金的目口令等信息，进而达到非法窃取客户资金的目的。的。的。的。n n北美北美北美北美香港香港香港香港中国大陆中国大陆中国大陆中国大陆682024/7/9三、电子支付的安全问题三、电子支付的安全问题n主要诈骗手法主要诈骗手法 n网址逼真真网站网址逼真真网站网址逼真真网站网址逼真真网站http:/http:/http:/http:/http:/http:/http:/http:/ n通过手机短信，冒充银行名义发送诈骗短信，通过手机短信，冒充银行名义发送诈骗短信，通过手机短信，冒充银行名义发送诈骗短信，通过手机短信，冒充银行名义发送诈骗短信，声称客户中奖或账户被他人盗用等，要求客户声称客户中奖或账户被他人盗用等，要求客户声称客户中奖或账户被他人盗用等，要求客户声称客户中奖或账户被他人盗用等，要求客户尽快登录到短信中指定的网站进行身份验证。尽快登录到短信中指定的网站进行身份验证。尽快登录到短信中指定的网站进行身份验证。尽快登录到短信中指定的网站进行身份验证。n n冒充银行邮箱，发送虚假信息引诱客户登录假冒充银行邮箱，发送虚假信息引诱客户登录假冒充银行邮箱，发送虚假信息引诱客户登录假冒充银行邮箱，发送虚假信息引诱客户登录假网站：以所谓网站：以所谓网站：以所谓网站：以所谓 “中国工商银行网络安全中国工商银行网络安全中国工商银行网络安全中国工商银行网络安全”的名的名的名的名义，向客户发送电子邮件，谎称持卡人账户被义，向客户发送电子邮件，谎称持卡人账户被义，向客户发送电子邮件，谎称持卡人账户被义，向客户发送电子邮件，谎称持卡人账户被冻结，并要求客户到指定的网页修改密码。冻结，并要求客户到指定的网页修改密码。冻结，并要求客户到指定的网页修改密码。冻结，并要求客户到指定的网页修改密码。n n建立假电子商务网站，通过假的支付页面窃取建立假电子商务网站，通过假的支付页面窃取建立假电子商务网站，通过假的支付页面窃取建立假电子商务网站，通过假的支付页面窃取客户网上银行信息：在淘宝网、腾讯网等支付客户网上银行信息：在淘宝网、腾讯网等支付客户网上银行信息：在淘宝网、腾讯网等支付客户网上银行信息：在淘宝网、腾讯网等支付平台网站发布虚假的商品信息。平台网站发布虚假的商品信息。平台网站发布虚假的商品信息。平台网站发布虚假的商品信息。712024/7/9三、电子支付的安全问题三、电子支付的安全问题n电子商务安全需求电子商务安全需求n机密性：防破坏、防窃取；n完整性：防篡改；n真实性：防假冒；n有效性：防抵赖。（2 2）网银安全措施）网银安全措施 o加强基础设施建设，加大安全技术和资金加强基础设施建设，加大安全技术和资金的投入，提高防范病毒和黑客攻击的能力，的投入，提高防范病毒和黑客攻击的能力，建立灾难备份恢复系统，使网络银行系统建立灾难备份恢复系统，使网络银行系统设计严密、功能完善、运行稳定。设计严密、功能完善、运行稳定。o强化客户安全意识，加强对客户的安全教强化客户安全意识，加强对客户的安全教育，提高客户识别真伪、防范风险的能力。育，提高客户识别真伪、防范风险的能力。722024/7/9三、电子支付的安全问题三、电子支付的安全问题o强化网络银行的内部管理，建立完善的强化网络银行的内部管理，建立完善的内部控制机制，加强对信息系统人员的内部控制机制，加强对信息系统人员的监控，监控，降低内部违规事件出现的机率。降低内部违规事件出现的机率。o加快国家立法，严厉打击网络犯罪和金加快国家立法，严厉打击网络犯罪和金融犯罪活动。同时，运用先进的科技手融犯罪活动。同时，运用先进的科技手段，提高对高科技犯罪的侦破能力。段，提高对高科技犯罪的侦破能力。732024/7/9三、电子支付的安全问题三、电子支付的安全问题742024/7/9三、电子支付的安全问题三、电子支付的安全问题2.2.电子支付协议电子支付协议(1)SSL(Secure Socket Layer)(1)SSL(Secure Socket Layer)协议，即协议，即安全套接层协议。安全套接层协议。oNetscape Netscape 公司于公司于 1995 1995 年推出年推出oSSLSSL协议可以被理解成一条受密码保护协议可以被理解成一条受密码保护的安全传输通道，其安全性取决于采用的安全传输通道，其安全性取决于采用的加密算法的加密算法752024/7/9三、电子支付的安全问题三、电子支付的安全问题762024/7/9三、电子支付的安全问题三、电子支付的安全问题772024/7/9三、电子支付的安全问题三、电子支付的安全问题782024/7/9三、电子支付的安全问题三、电子支付的安全问题UDPUDP（User Data ProtocolUser Data Protocol，用户数据报协议）是与，用户数据报协议）是与TCPTCP相对相对应的协议。它是面向非连接的协议，它不与对方建立连接，应的协议。它是面向非连接的协议，它不与对方建立连接，而是直接就把数据包发送。而是直接就把数据包发送。ICMPICMP（Internet Control Message ProtocolInternet Control Message Protocol）InternetInternet控控制报文协议，是制报文协议，是TCP/IPTCP/IP协议族的一个子协议，用于在协议族的一个子协议，用于在IPIP主机、主机、路由器之间传递控制消息。路由器之间传递控制消息。RARPRARP（Reverse Address Resolution Protocol)Reverse Address Resolution Protocol)反向地址反向地址转换协议转换协议(RARP)(RARP)允许局域网的物理机器从网关服务器的允许局域网的物理机器从网关服务器的 ARP ARP 表或者缓存上请求其表或者缓存上请求其 IP IP 地址。地址。ARPARP，即地址解析协议，实现通过，即地址解析协议，实现通过IPIP地址得知其物理地址。地址得知其物理地址。792024/7/9三、电子支付的安全问题三、电子支付的安全问题oSSLSSL协议标准已经成为网络上保密通信的一种工协议标准已经成为网络上保密通信的一种工业标准。业标准。oSSLSSL协议支持数据的保密性（对称密码算法协议支持数据的保密性（对称密码算法IDEAIDEA、RC4RC4、DESDES、3DES3DES等）、完整性（摘要算法等）、完整性（摘要算法MD5MD5、SHASHA等）和真实性（非对称密码算法等）和真实性（非对称密码算法 RSARSA、DSS DSS 等），但不支持不可抵赖性。等），但不支持不可抵赖性。oSSLSSL协议与协议与 TCP/IP TCP/IP 协议间的关系如表协议间的关系如表 802024/7/9三、电子支付的安全问题三、电子支付的安全问题812024/7/9三、电子支付的安全问题三、电子支付的安全问题1)SSL 1)SSL 握手协议握手协议 o在传输前双方进行身份验证；在传输前双方进行身份验证；o身份验证正确之后双方协商加密和压缩身份验证正确之后双方协商加密和压缩算法并产生对称加密算法密钥，表明握算法并产生对称加密算法密钥，表明握手成功。手成功。822024/7/9三、电子支付的安全问题三、电子支付的安全问题832024/7/9三、电子支付的安全问题三、电子支付的安全问题2)SSL 2)SSL 记录协议记录协议 o从高层接收到数据后经过分段、压缩和加从高层接收到数据后经过分段、压缩和加密处理，最后由密处理，最后由TCPTCP层发送出去；层发送出去；oSSLSSL记录协议规定了记录头和记录数据的记录协议规定了记录头和记录数据的格式；格式；842024/7/9三、电子支付的安全问题三、电子支付的安全问题852024/7/9三、电子支付的安全问题三、电子支付的安全问题862024/7/9三、电子支付的安全问题三、电子支付的安全问题oSSL SSL 记录包含在有效数据被加密之前计算记录包含在有效数据被加密之前计算出来的出来的MACMAC信息，用于进行数据完整性检信息，用于进行数据完整性检查。查。o为了防止重传攻击，在为了防止重传攻击，在HASH HASH 函数作用之函数作用之前将一个序号放入消息中。前将一个序号放入消息中。872024/7/9三、电子支付的安全问题三、电子支付的安全问题3)SSL 3)SSL 协议的缺陷协议的缺陷 o电子商务至少是由用户、网站、银行电子商务至少是由用户、网站、银行 3 3 家协作家协作完成，而完成，而SSLSSL协议只能提供交易中客户与服务器协议只能提供交易中客户与服务器间的双方认证；间的双方认证；o传输过程中可能被窃听或破坏传输过程中可能被窃听或破坏Web Web 信息；信息；o客户信息对商家是全透明的；客户信息对商家是全透明的；o新的新的 SSL SSL 协议被命名为协议被命名为 TLS(TransportTLS(Transport Layer Layer Security)Security)，安全可靠，安全可靠 性有所提高，但仍然不性有所提高，但仍然不能消除原在技术的基本缺陷。能消除原在技术的基本缺陷。882024/7/9三、电子支付的安全问题三、电子支付的安全问题对称加密算法对称加密算法实现快速加密实现快速加密892024/7/9三、电子支付的安全问题三、电子支付的安全问题902024/7/9三、电子支付的安全问题三、电子支付的安全问题非对称加密算法原理非对称加密算法原理公钥加密私钥签名公钥加密私钥签名 具有数据摘要的数字签名具有数据摘要的数字签名-验明身份真实性验明身份真实性 912024/7/9三、电子支付的安全问题三、电子支付的安全问题SETSET协议协议922024/7/9三、电子支付的安全问题三、电子支付的安全问题（2 2）SETSET协议协议o由美国由美国 VISA VISA 和和 MasterCard MasterCard 两大信用卡两大信用卡组织联合国际上多家科技机构，共同制定组织联合国际上多家科技机构，共同制定了应用于互联网上的以银行卡为基础进行了应用于互联网上的以银行卡为基础进行在线交易的安全标准，即在线交易的安全标准，即 SET(SecureSET(Secure Electronic Transaction)Electronic Transaction)协议协议SET SET 协议协议要达到的目标主要有要达到的目标主要有 5 5 个。个。932024/7/9三、电子支付的安全问题三、电子支付的安全问题1)1)保证电子商务参与者信息的相互隔离。保证电子商务参与者信息的相互隔离。客户的资料加密或打包后经过商家到达银客户的资料加密或打包后经过商家到达银 行，但是商家不能看到客户的账户和密码行，但是商家不能看到客户的账户和密码信息。信息。2)2)保证信息在保证信息在 Internet Internet 上安全传输，防上安全传输，防止数据被黑客或被内部人员窃取。止数据被黑客或被内部人员窃取。942024/7/9三、电子支付的安全问题三、电子支付的安全问题3)3)解决多方认证问题。不仅要对消费者的解决多方认证问题。不仅要对消费者的信用卡认证，而且要对网上商店的信誉程信用卡认证，而且要对网上商店的信誉程度度 认证，同时还有消费者、网上商店与认证，同时还有消费者、网上商店与银行间的认证。银行间的认证。4)4)保证了网上交易的实时性，使所有的支保证了网上交易的实时性，使所有的支付过程都是在线的。付过程都是在线的。952024/7/9三、电子支付的安全问题三、电子支付的安全问题5)5)规范协议和消息格式，促使不同厂家开规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。可以运行在不同的硬件和操作系统平台上。962024/7/9三、电子支付的安全问题三、电子支付的安全问题网上购物的前期准备：网上购物的前期准备：消消费费者者到到发发卡卡银银行行办办理理一一张张借借记记卡卡，该该卡卡的卡号即账号，惟一的确定了持卡人的身份。的卡号即账号，惟一的确定了持卡人的身份。持卡人将一定数量的现金存入该帐户。持卡人将一定数量的现金存入该帐户。通过上网为该卡申请一张安全数字证书。通过上网为该卡申请一张安全数字证书。然后就可以开始网上交易了。然后就可以开始网上交易了。三、电子支付的安全问题三、电子支付的安全问题SETSET协议操作流程协议操作流程:(1)(1)消消费费者者上上网网浏浏览览商商户户网网站站，从从商商品品目目录录选选择择商商品品，将将购购物物名名称称及及数数量量、交交货货时时间间及及地地点点、订订货货人人及及收收货货人人等等相相关关信信息息填填入入表表单单或或“购购物物篮篮”提提交交。网网站站回回执执确确认认接接受受该该订订单单，于于是是认认为为交交易易双双方方在在品品种种、价价格格、数数量量、时时间间、送送货货、交交货货等等方方面面达达成成合同。合同。三、电子支付的安全问题三、电子支付的安全问题（2 2）持持卡卡人人将将订订货货单单和和支支付付单单发发送送给给商商家家。并对两张单据进行双重数字签名；并对两张单据进行双重数字签名；（3 3）商商家家收收到到订订货货单单和和支支付付单单后后，将将订订货货单单存存下下，将将支支付付单单发发向向收收单单银银行行支支付付网网关关请求支付认可；请求支付认可；（4 4）收收单单银银行行到到发发卡卡银银行行确确认认该该卡卡有有可可支支付付能能力力后后，返返回回确确认认信信息息给给商商家家，于于是是商商家可放心的送货给客户。家可放心的送货给客户。三、电子支付的安全问题三、电子支付的安全问题（5 5）商商家家发发送送订订单单确确认认回回执执给给持持卡卡人人，客客户端软件可保存该回执，以备将来查询。户端软件可保存该回执，以备将来查询。（6 6）商商家家按按照照订订货货单单给给客客户户送送货货和和实实际际发发票到预定交货点。票到预定交货点。（7 7）收收单单银银行行将将货货款款从从持持卡卡人人帐帐号号转转移移到到商家帐号，可能每天或每周划帐一次。商家帐号，可能每天或每周划帐一次。至此完成交易过程。至此完成交易过程。三、电子支付的安全问题三、电子支付的安全问题三、电子支付的安全问题三、电子支付的安全问题客户、商家、银行客户、商家、银行三家合作完成：三家合作完成：客户端处理过程如下：客户端处理过程如下：（1 1）将将订订货货单单B B和和支支付付单单C C分分别别做做MD5MD5摘摘要要计计算算，得得到到H HB B和和H HC C，拼拼接接后后以以客客户户的的私私钥钥SKSKA A进进行行数数字字签签名，得到名，得到DSDSA A，称为双重签名。，称为双重签名。（2 2）客客户户端端拼拼接接出出两两个个相相对对独独立立的的信信息息模模块块。一一块块供供商商务务网网站站解解读读，称称为为订订货货模模块块，内内容容包包括括订订货货单单B B、支支付付单单C C的的摘摘要要H HC C、双双重重签签名名DSDSA A、用用户户的的公公钥钥PKPKA A。另另一一块块供供支支付付银银行行解解读读，称称为为支支付付模模块块，但但需需经经商商务务网网站站转转发发给给收收单单银银行行，内内容容包包括括支支付付单单C C、订订货货单单B B的的摘摘要要H HB B、双双重重签签名名DSDSA A、用用户户的的公公钥钥PKPKA A。三、电子支付的安全问题三、电子支付的安全问题（3 3）客客户户端端使使用用两两个个对对称称密密钥钥K KB B和和K KC C分分别别对对上述两个模块加密，得到上述两个模块加密，得到EBEB和和ECEC。（4 4）以以商商务务网网站站B B的的公公钥钥PKPKB B将将K KB B加加密密；以以支支付付银银行行C C的的公公钥钥PKPKC C将将K KC C加加密密，分分别别得得到到两两个数字信封个数字信封EKEKB B和和EKEKC C。（5 5）将将两两个个加加密密模模块块和和两两个个数数字字信信封封拼拼接接后发送出去：后发送出去：EB+EKEB+EKB B+EC+EK+EC+EKC C。三、电子支付的安全问题三、电子支付的安全问题三、电子支付的安全问题三、电子支付的安全问题 商务网站商务网站B B的处理过程：的处理过程：（1 1）商商务务网网站站收收到到的的EB+EKEB+EKB B+EC+EK+EC+EKC C，但但只只能能读读懂懂与与己相关的订货模块己相关的订货模块EB+EKEB+EKB B。将。将EC+EKEC+EKC C转发给支付银行。转发给支付银行。（2 2）商商务务网网站站用用自自己己的的私私钥钥SKSKB B解解密密数数字字信信封封EKEKB B得得到到K KB B，再再用用K KB B解解密密使使用用DESDES算算法法加加密密的的EBEB。用用其其中中携携带带的的客户公钥客户公钥PKPKA A，解密双重签名，解密双重签名DSDSA A，得到，得到H HB BH HC C。（3 3）对对收收到到的的订订货货单单进进行行MD5MD5摘摘要要计计算算，得得到到H HB B，与与H HC C拼拼接接后后得得到到H HB BH HC C，再再与与H HB BB BC C比比较较，若若一一致致，则则证证明明订订单单确确实实来来自自持持卡卡客客户户，可可以以信信赖赖。于于是是启启动动送送货货进程。进程。三、电子支付的安全问题三、电子支付的安全问题三、电子支付的安全问题三、电子支付的安全问题支付银行支付银行C C的处理过程：的处理过程：收单银行收到商务网站转发来的收单银行收到商务网站转发来的EC+EKEC+EKC C，其处理过程与，其处理过程与(b)(b)大致相同。大致相同。不难自行分析。不难自行分析。三、电子支付的安全问题三、电子支付的安全问题3.3.公众的防范措施公众的防范措施o2000 2000 年年 6 6 月，中国人民银行牵头同月，中国人民银行牵头同 12 12 家家商业银行联合共建的中国金融认证中心商业银行联合共建的中国金融认证中心(CFCA)(CFCA)标志着以标志着以 “U-KEYU-KEY”为代表的新一代为代表的新一代网络银行防范体系已经建立起来。网络银行防范体系已经建立起来。o国内商业银行比较注意对技术设施和网络安国内商业银行比较注意对技术设施和网络安全的控制，加上在技术方面的高投入，网络全的控制，加上在技术方面的高投入，网络安全问题远不像一般人想象的那样严重。安全问题远不像一般人想象的那样严重。1082024/7/9三、电子支付的安全问题三、电子支付的安全问题o数据表明，国内网络银行至今尚未有一例数据表明，国内网络银行至今尚未有一例因黑客攻击或真正源自于网络技术漏洞而因黑客攻击或真正源自于网络技术漏洞而产产 生的事故。绝大大多数问题出在客户生的事故。绝大大多数问题出在客户没有严格遵循网络银行操作规程，用户需没有严格遵循网络银行操作规程，用户需要注意如下几点：要注意如下几点：1092024/7/9三、电子支付的安全问题三、电子支付的安全问题1)1)核对网址：谨防恶意模仿银行网站，骗核对网址：谨防恶意模仿银行网站，骗取账户信息。取账户信息。2)2)妥善选择密码，谨慎保管密码妥善选择密码，谨慎保管密码3)3)做好交易记录，发现异常立即与银行联做好交易记录，发现异常立即与银行联系避免损失。系避免损失。4)4)妥善保管数字证书：网上身份证。妥善保管数字证书：网上身份证。1102024/7/9三、电子支付的安全问题三、电子支付的安全问题5)5)对异常动态提高警惕：立即修改相关交对异常动态提高警惕：立即修改相关交易密码或进行信用卡挂失。易密码或进行信用卡挂失。6)6)安装防毒软件、防火墙程序安装防毒软件、防火墙程序7)7)堵住软件漏洞，及时更新相关软件补丁堵住软件漏洞，及时更新相关软件补丁程序。程序。1112024/7/9三、电子支付的安全问题三、电子支付的安全问题以下两个题选作一个：以下两个题选作一个