【正文】 失敗信息。 83 電子商務(wù)系統(tǒng)建設(shè)與管理 案例四 某銀行網(wǎng)上支付系統(tǒng)及其安全管理 一、某銀行網(wǎng)上支付系統(tǒng)的功能及其工作流程 3．網(wǎng)銀系統(tǒng)返回信息 ?網(wǎng)銀系統(tǒng)返回給商戶成功或失敗信息（按商戶類型，分兩種情況進(jìn)行處理）： 對(duì)于不需要實(shí)時(shí)反饋支付結(jié)果的商戶，直接將支付結(jié)果通過(guò)瀏覽器顯示給客戶 對(duì)于需要實(shí)時(shí)反饋支付結(jié)果的商戶，將支付結(jié)果返回客戶。同時(shí)，如果支付成功，將結(jié)果加密后反饋給商戶；如果支付失敗，則不通知商戶。 84 電子商務(wù)系統(tǒng)建設(shè)與管理 案例四 某銀行網(wǎng)上支付系統(tǒng)及其安全管理 二、電子商務(wù)系統(tǒng)安全管理的主要措施 ?目前，網(wǎng)上銀行業(yè)務(wù)蓬勃發(fā)展，其在給中國(guó)金融業(yè)的傳統(tǒng)營(yíng)業(yè)方式帶來(lái)極大震撼的同時(shí)，伴隨而來(lái)的還有黑客的攻擊、病毒和木馬程序的泛濫，網(wǎng)絡(luò)安全正在接受挑戰(zhàn)。例如電子郵件炸彈（ EmailBomb）、冰河木馬、紅色代碼、沖擊波病毒、蠕蟲病毒、震蕩波等等，病毒樣本在不斷變換翻新，其表現(xiàn)特征也千奇百怪，它們的目的要么是更改計(jì)算機(jī)信息使其不能正常運(yùn)行或宕機(jī)，要么猛增網(wǎng)絡(luò)流量增加網(wǎng)絡(luò)帶寬，使網(wǎng)絡(luò)擁擠阻塞以至癱瘓，更有甚者是為了盜取別人的隱私，以達(dá)到其不可告人的目的。 85 電子商務(wù)系統(tǒng)建設(shè)與管理 案例四 某銀行網(wǎng)上支付系統(tǒng)及其安全管理 二、電子商務(wù)系統(tǒng)安全管理的主要措施 ?前一段時(shí)間流行的網(wǎng)銀大盜和其變種，以及KeyLogger等木馬程序，就是以記錄鍵盤信息為手段，盜取他人銀行密碼，達(dá)到非法占有他人資金的目的。和其它（如盜竊游戲賬號(hào)）木馬或病毒相比，給染毒用戶造成的損失更大，更直接。木馬病毒的猖獗，使人們對(duì)網(wǎng)上交易的安全性產(chǎn)生了懷疑，動(dòng)搖了人們進(jìn)行網(wǎng)上交易的信心，產(chǎn)生了直接的負(fù)面影響，對(duì)我國(guó)電子商務(wù)、特別是網(wǎng)上銀行的發(fā)展產(chǎn)生了巨大的影響。 86 電子商務(wù)系統(tǒng)建設(shè)與管理 案例四 某銀行網(wǎng)上支付系統(tǒng)及其安全管理 二、電子商務(wù)系統(tǒng)安全管理的主要措施 ?該銀行作為一家國(guó)際化現(xiàn)代商業(yè)銀行，非常重視科技的發(fā)展，很早就以“科技興行”作為該行的發(fā)展戰(zhàn)略，對(duì)網(wǎng)上銀行的發(fā)展也極為重視。為了適應(yīng)業(yè)務(wù)的發(fā)展，于 2023年 8月，對(duì)全行信息系統(tǒng)進(jìn)行了大規(guī)模、高起點(diǎn)的全面更新?lián)Q代，同時(shí)開始網(wǎng)上銀行的建設(shè)，隨著新的綜合業(yè)務(wù)系統(tǒng)（簡(jiǎn)稱大集中系統(tǒng)）于 2023年 6月成功上線，網(wǎng)上銀行也同時(shí)進(jìn)入試運(yùn)行階段。在眾多商業(yè)銀行網(wǎng)上銀行紛紛上馬的同時(shí)，該行制定了網(wǎng)上銀行發(fā)展戰(zhàn)略，明確將金融門戶建設(shè)作為該行網(wǎng)上銀行的發(fā)展目標(biāo)，同時(shí)結(jié)合該行的業(yè)務(wù)狀況和業(yè)務(wù)特點(diǎn)，本著“起步晚、起點(diǎn)高”的建設(shè)原則，先期推出“安全可靠、功能豐富”的基礎(chǔ)性網(wǎng)上銀行服務(wù)，繼而向其它金融領(lǐng)域滲透，最終實(shí)現(xiàn)網(wǎng)上信息一體化、網(wǎng)上交易服務(wù)一體化與網(wǎng)上服務(wù)手段一體化的目標(biāo)，完成該行網(wǎng)上金融門戶建設(shè)。 87 電子商務(wù)系統(tǒng)建設(shè)與管理 案例四 某銀行網(wǎng)上支付系統(tǒng)及其安全管理 二、電子商務(wù)系統(tǒng)安全管理的主要措施 1. 業(yè)務(wù)流程上的風(fēng)險(xiǎn)控制 ?該行個(gè)人網(wǎng)上銀行提供的服務(wù)功能已經(jīng)涵蓋了銀行柜臺(tái)業(yè)務(wù)中除存、取現(xiàn)金外的大部分業(yè)務(wù)，如查詢、轉(zhuǎn)帳、理財(cái)、支付、繳費(fèi)、貸款、國(guó)債、基金、外匯買賣、證券、主動(dòng)收款、帳單支付、保管箱業(yè)務(wù)、個(gè)人消費(fèi)貸款、申請(qǐng)類服務(wù)、掛失、修改密碼等諸多功能；服務(wù)手段上實(shí)現(xiàn)了短信、郵件、留言三種方式的互動(dòng)、提醒服務(wù)等；信息服務(wù)上實(shí)現(xiàn)了銀行主動(dòng)為客戶提供通知、公告、關(guān)懷、理財(cái)建議、投資信息等多種客戶自行訂閱的信息服務(wù)。 88 電子商務(wù)系統(tǒng)建設(shè)與管理 案例四 某銀行網(wǎng)上支付系統(tǒng)及其安全管理 二、電子商務(wù)系統(tǒng)安全管理的主要措施 ?該行個(gè)人網(wǎng)上銀行根據(jù)功能不同分為大眾版和貴賓版。其中大眾版只要客戶擁有該行借記卡即可在網(wǎng)上申請(qǐng)。由于申請(qǐng)方法簡(jiǎn)單，且沒有證書支持，為了控制風(fēng)險(xiǎn)我們采取了相應(yīng)措施，首先，普通版申請(qǐng)的時(shí)候系統(tǒng)要同時(shí)校驗(yàn)客戶的證件類型、證件號(hào)碼、卡號(hào)及查詢密碼。其次，客戶申請(qǐng)和登錄的時(shí)候使用的都是查詢密碼，而在網(wǎng)上做交易的時(shí)候使用的是交易密碼，查詢密碼和交易密碼的同時(shí)使用，有效保證了客戶資金的安全。而貴賓版需要客戶本人持有效證件到該行網(wǎng)點(diǎn)進(jìn)行申請(qǐng)，申請(qǐng)成功后需要下載個(gè)人證書才可使用。同時(shí)客戶在第一次登錄貴賓版的時(shí)候系統(tǒng)會(huì)強(qiáng)制客戶修改密碼。客戶如需使用貴賓版中的對(duì)外轉(zhuǎn)帳功能，需要在柜臺(tái)指定對(duì)外轉(zhuǎn)帳的帳號(hào)，并且轉(zhuǎn)帳金額同時(shí)受到客戶指定的限額及分行限額雙重控制。 89 電子商務(wù)系統(tǒng)建設(shè)與管理 案例四 某銀行網(wǎng)上支付系統(tǒng)及其安全管理 二、電子商務(wù)系統(tǒng)安全管理的主要措施 ?企業(yè)網(wǎng)上銀行則為用戶提供了嚴(yán)格的業(yè)務(wù)控制流程，幫助企業(yè)進(jìn)行內(nèi)部的管理控制。企業(yè)客戶要使用網(wǎng)上銀行的服務(wù)，必須在該行網(wǎng)點(diǎn)通過(guò)一系列的企業(yè)客戶身份確認(rèn)并簽署相關(guān)協(xié)議后才可使用，企業(yè)要安裝客戶端安全代理軟件，企業(yè)操作員通過(guò)銀行頒發(fā)的企業(yè)高級(jí)證書才可登錄網(wǎng)上銀行。企業(yè)操作員在網(wǎng)上進(jìn)行交易前需先由系統(tǒng)管理員對(duì)帳戶進(jìn)行維護(hù)，設(shè)置帳戶當(dāng)筆和當(dāng)日累計(jì)限額，并為每一個(gè)操作員設(shè)置權(quán)限。對(duì)于不同類型的業(yè)務(wù)，系統(tǒng)除設(shè)立經(jīng)辦外，企業(yè)還可以根據(jù)不同的交易金額設(shè)置最多三級(jí)每個(gè)級(jí)別多人的授權(quán)模式，從而達(dá)到控制企業(yè)內(nèi)部風(fēng)險(xiǎn)的目的。 90 電子商務(wù)系統(tǒng)建設(shè)與管理 案例四 某銀行網(wǎng)上支付系統(tǒng)及其安全管理 二、電子商務(wù)系統(tǒng)安全管理的主要措施 2. 技術(shù)方面的風(fēng)險(xiǎn)控制 ?該行網(wǎng)上銀行采用權(quán)威性的、可信賴性的中國(guó)金融認(rèn)證中心 (CFCA)的證書體系，采用高強(qiáng)度加密、安全信道、數(shù)字簽名等相結(jié)合方式以及 PKI、SSL等技術(shù)，保證了客戶的身份認(rèn)證，交易信息的完整性、保密性、可用性、可控性、可審查性以及不可抵賴性。 91 電子商務(wù)系統(tǒng)建設(shè)與管理 案例四 某銀行網(wǎng)上支付系統(tǒng)及其安全管理 二、電子商務(wù)系統(tǒng)安全管理的主要措施 （ 1）網(wǎng)上銀行普通版登錄頁(yè)面采用了附加碼技術(shù)，以防止黑客惡意猜測(cè)用戶密碼。在保護(hù)用戶密碼方面，提供了軟鍵盤輸入密碼方式及安全密碼輸入控件，有效防止病毒盜取用戶密碼。 （ 2）網(wǎng)上銀行系統(tǒng)采用多層防火墻的體系統(tǒng)結(jié)構(gòu)，根據(jù)信息的重要程度將系統(tǒng)分成非軍事區(qū)、軍事區(qū)、核心保護(hù)區(qū)等不同安全級(jí)別的防護(hù)區(qū)。 （ 3）在網(wǎng)上銀行系統(tǒng)中，采用了惠普公司的虛擬保險(xiǎn)箱技術(shù) VirtualVault作為系統(tǒng)安全的核心。它包括了一個(gè)符合美國(guó)國(guó)防部 B1級(jí)安全標(biāo)準(zhǔn)的可信操作系統(tǒng) (VirtualVaultOS，簡(jiǎn)稱 VVOS)，可以有效的抵御內(nèi)外的攻擊。 92 電子商務(wù)系統(tǒng)建設(shè)與管理 案例四 某銀行網(wǎng)上支付系統(tǒng)及其安全管理 二、電子商務(wù)系統(tǒng)安全管理的主要措施 （ 4）采用多層次的、異構(gòu)的入侵檢測(cè)系統(tǒng)（ IDS），定期進(jìn)行漏洞掃瞄，并在運(yùn)行中進(jìn)行實(shí)時(shí)監(jiān)控，以便全面地了解系統(tǒng)安全狀況，及時(shí)發(fā)現(xiàn)問(wèn)題并作出相應(yīng)的對(duì)策。 （ 5）針對(duì)病毒在網(wǎng)絡(luò)上泛濫，采用了防病毒企業(yè)版軟件、有效地防止了病毒的入侵。 ?除此之外，還使用了銀行內(nèi)部網(wǎng)的加密體系、主機(jī)訪問(wèn)控制、以及應(yīng)用數(shù)據(jù)庫(kù)的訪問(wèn)控制等等多方面的安全措施，來(lái)保障網(wǎng)銀系統(tǒng)的安全。 93 電子商務(wù)系統(tǒng)建設(shè)與管理 案例四 某銀行網(wǎng)上支付系統(tǒng)及其安全管理 二、電子商務(wù)系統(tǒng)安全管理的主要措施 管理制度上的風(fēng)險(xiǎn)控制 （ 1）設(shè)置了網(wǎng)上銀行相關(guān)機(jī)構(gòu)或管理崗位，建立了柜臺(tái)設(shè)置了數(shù)字證書發(fā)證崗，總行設(shè)置了網(wǎng)上銀行安全主管及安全管理組、網(wǎng)上銀行應(yīng)急小組等。 （ 2）制定了網(wǎng)上銀行整體安全策略、業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃、業(yè)務(wù)連續(xù)性計(jì)劃以及定期安全評(píng)估制度。 （ 3）制定了各種業(yè)務(wù)管理制度和操作規(guī)程，并嚴(yán)格執(zhí)行。 （ 4）定期檢測(cè)所有關(guān)鍵設(shè)備（網(wǎng)絡(luò)設(shè)備、主機(jī)等）、系統(tǒng)軟件的工作狀態(tài)，審查其工作日志。 （ 5）嚴(yán)密監(jiān)控網(wǎng)上銀行系統(tǒng)（防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、病毒防護(hù)系統(tǒng)、主機(jī)系統(tǒng)等）的日常運(yùn)行，發(fā)現(xiàn)異常情況即時(shí)處理，確保網(wǎng)上銀行的安全。 94 電子商務(wù)系統(tǒng)建設(shè)與管理 案例四 某銀行網(wǎng)上支付系統(tǒng)及其安全管理 二、電子商務(wù)系統(tǒng)安全管理的主要措施 ?正是基于對(duì)網(wǎng)上銀行風(fēng)險(xiǎn)防范的重視以及采取的一系統(tǒng)的技術(shù)、業(yè)務(wù)、管理等方面的防范措施，使該行網(wǎng)上銀行率先通過(guò)國(guó)家安全測(cè)評(píng)認(rèn)證中心安全測(cè)評(píng)。該行正秉承一貫的創(chuàng)新精神、科學(xué)嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)，努力為用戶提供安全、高效、便捷、完善的網(wǎng)上金融服務(wù)。 95 電子商務(wù)系統(tǒng)建設(shè)與管理 中央財(cái)經(jīng)大學(xué) 169。2023年 8月 電子商務(wù)系統(tǒng)建設(shè)與管理 國(guó)家“十一五”規(guī)劃教材 中央財(cái)經(jīng)大學(xué) 169。2023年 8月 演講完畢，謝謝觀看！