网络金融安全

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处添加标题,TEXT,网络金融安全与个人,一,.,网络金融安全概述,二,.,网络,金融,安全技术,三,.,网络金融重要安全事件,Security,一,.,网络金融安全概述,网络金融安全包括网络安全，数据安全，应用,系统安全，通俗来讲，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改和,泄漏。,1.,网络金融用户分类：,(1),个人用户,(2),企业用户,2.,网络金融主要活动：,(1),网络,银行,包括账户查询，电子支付，代收代缴，理财等等。,(2),网络,证券,包括股票交易、债券,交易,(3),网络,保险,咨询、评估、购买、理赔,3.,网络金融用户面临的问题,资金,安全性,信息,保密性,协议,有效性,4.,网络金融活动中的密码安全措施,(1),软键盘技术,主在是防止计算机中可能存在的木马程序恶意记录键盘输入的密码。,(2),动态,口令可以,有效保护交易和登录的认证安全，采用动态,口令无需,定期,密码，,对企事业内部应用尤其有用。 动态令牌即是用来生成动态口令终端。,(3)USB key,对于银行来讲叫,U,盾。对于其他行业讲叫加密,狗。将,客户端登录时所需的认证信息均可写入到,usb key,内，从而让,key,取代传统的“用户名,+,密码”的登录方式。,二,.,网络金融安全技术,网络金融安全安全技术包括防火墙技术,，,入侵检测技术,IDS,，网络加密安全协议,SSL,和,SET,等，这些技术随着网络的发展也在不断进步。,单击此处添加标题,TEXT,防火墙和入侵检测系统,IDS,1.,防火墙,(1),定义,(2),特性,(3),设计原则,(4),作用,(5),组成,内联网,Email,处理,域名服务,网关代理认证,SOCKS,过滤器,因特,网,安全操作系统,(6),分类,数据包,过滤,应用,级,网关,代理,服务,2.,入侵检测系统,IDS,(1),定义,(2),分类：,基于主机模型,基于,网络模型,基于标识,基于,异常情况,实时入侵检测,事后入侵检测,缺点：,IDS,对数据的,检测,对,IDS,自身攻击的防护,单击此处添加标题,TEXT,网络安全加密协议,SSL,和,SET,1.,SSL,协议,全称是,Security Socket Layer,，为,Netscape,所研发，用以保障在,Internet,上数据传输的安全，利用数据加密,(Encryption),技术，可确保数据在网络上之传输过程中不会被截取及窃听。,(1)SSL,协议提供,的主要服务,:,认证用户和服务器，确保数据发送到正确的客户机和服务器,加密数据以防止数据中途被窃取,维护数据的完整性，确保数据在传输过程中不被改变,(2),基于,SSL,的电子交易过程,:,持卡人,特约商店,收单银行,，,选购商品生成订单,认证商家建立连接,发送订单支付信息,通知交易成功,请求响应支付,2.,SET,协议,Secure Electronic Transaction,，被称之为安全电子交易协议，是由,Master Card,和,Visa,联合,Netscape,，,Microsoft,等公司，于,1997,年,6,月,1,日推出的一种新的电子支付模型，主要是为了解决用户，商家，银行之间通过信用卡的交易而设计的，目前成为目前公认的信用卡网上交易的国际标准。,基于,SET,的电子交易过程,:,持卡人,特约商户,收单银行,订单确认,确认签发付款指令,订单支付确认,提供货物或服务,输入订单,请求支付许可,返回确认信息,请求支付,支付完成,3.SET,与,SSL,协议交易过程对比,:,交易模式,SET,SSL,优点,身份确认、交易安全、资料完整、交易不可否认,消费者使用方便,缺点,需要向银行取得信用卡和在线取得数字证书的时间和动作,风险负担较大、黑客容易侵入、信用卡易被冒刷和外漏,安全性,高,低,风险责任归属,SET,相关银行组织,商家及消费者,三,.,网络,金融重要安全事件,随着我国网络经济的迅速发展，一些安全事件频频发生，折射出我国网络金融发展过程中所面对的巨大挑战。,超级,网,银授权,漏洞,2013,年,6,月，“超级网银”授权,漏洞风波,爆发，安徽,的陈女士在网购时被骗子诱导进行,了“超级网银”授权,支付,操作，短短,24,秒内,10,万元被,骗。,陈女士,店家,厂家,200,元衣服,QQ,号,代付链接,订货,支付货款,“,QQ,客服”,链接,签约授权,陈女士并未泄露密码，骗子如何得逞？,那么，问题来了：,骗子登陆本人网银账户,选择“签约他行账户”,陈女士户名、账号、开户行信息,跳转到陈女士开户行的网银界面,陈女士,链接,证件号码、登陆密码、附加码,插入,U,盾,确认支付协议,完成交易,取得账户操作权包括转账,“超级网银”的授权操作存在的安全风险,第一，“超级网银”授权不会对双方身份和关系进行验证,第二，授权操作的过程比较简单，只需将授权页面的链接复制下来，通过聊天软件发送给他人“签约”，就可以在不同电脑上实现授权。,第三，部分银行没有在授权界面中提醒用户设置额度，获得授权的账户可以无限制转账。,第四，个别银行解除授权的操作比授权更复杂，甚至只允许被授权账户确认解除。,总之,不要相信陌生人,听妈妈的话,Thanks for watching,