【正文】 一個(gè)大的隨機(jī)數(shù)，然后將該隨機(jī)數(shù)以及提款請(qǐng)求利用銀行的公共密匙進(jìn)行加密，第一次加密是為了保證只有接收銀行能夠確定P要提取的金額，將第一次加密后的文本再進(jìn)行一次加密，但是這次使用P的私有密鑰，這第二次加密讓銀行確認(rèn)P實(shí)際上所提取的款項(xiàng)，然后將這兩次加密信息從P傳送到P的銀行，該信息第一次使用P的公共密匙進(jìn)行解密，以證實(shí)P的唯一性，第二次使用銀行的私有密匙進(jìn)行解密，以確認(rèn)P提取的金額。這種技術(shù)的安全性能相當(dāng)高，目前國(guó)際上應(yīng)用較廣的SET協(xié)議即是這種技術(shù)的一個(gè)應(yīng)用典范。為保證數(shù)據(jù)的可靠傳輸，目前業(yè)界普遍采用將兩種加密方法相結(jié)合的方式來(lái)滿(mǎn)足網(wǎng)絡(luò)傳輸過(guò)程中的保密性需求。（4） 貿(mào)易方甲接收到貿(mào)易方乙傳輸來(lái)的文件后，用發(fā)送方——貿(mào)易方乙的私有密鑰對(duì)文件進(jìn)行解密，得到文件的明文形式。適于大量數(shù)據(jù)的加密處理，缺點(diǎn)是如何在兩個(gè)通信方之間安全地交換密鑰。200頁(yè)對(duì)稱(chēng)加密采用了稱(chēng)密碼編碼技術(shù)，它的特點(diǎn)是文件加密和解密使用相同的密鑰，即加密密鑰也可以用做解密密鑰。目前最典型的兩種加密技術(shù)是對(duì)稱(chēng)加密（私人密鑰加密）和非對(duì)稱(chēng)加密（公開(kāi)密鑰加密）。一、 加密技術(shù)加密包括兩個(gè)元素：算法和密鑰。針對(duì)電子支付的各種不同的安全性要求，目前已開(kāi)發(fā)出了相應(yīng)的技術(shù)措施。（3） 交易者身份的確定性。198頁(yè)（5） 應(yīng)用層。（3） 系統(tǒng)層。一般情況下，要考慮以下五個(gè)層次的安全需求：（1） 管理層。196頁(yè)三、 需求分析安全需求是一個(gè)企業(yè)為保護(hù)其信息系統(tǒng)的安全對(duì)必須要做的工作的全面描述，是一個(gè)很詳細(xì)、全面、系統(tǒng)的工作規(guī)劃，是需要經(jīng)過(guò)仔細(xì)的研究和分析才能得一份技術(shù)成果。（3） 明確的責(zé)任。2． 安全策略的內(nèi)容（1） 保護(hù)的內(nèi)容和目標(biāo)。（2） 全局自動(dòng)安全策略。二、 安全策略 安全策略屬于網(wǎng)絡(luò)信息安全的上層建筑領(lǐng)域，是網(wǎng)絡(luò)信息安全的靈魂和核心。（3） 確定存在的風(fēng)險(xiǎn)和威脅。（2） 信息系統(tǒng)基本安全狀況調(diào)查（3） 信息系統(tǒng)安全組織、政策情況分析（4） 網(wǎng)絡(luò)安全技術(shù)措施使用情況分析（5） 防火墻布控及外聯(lián)業(yè)務(wù)安全狀況分析（6） 動(dòng)態(tài)安全管理狀況分析193頁(yè)（7） 鏈路、數(shù)據(jù)及應(yīng)用加密情況分析（8） 網(wǎng)絡(luò)系統(tǒng)訪(fǎng)問(wèn)控制狀況分析（9） 白客測(cè)試風(fēng)險(xiǎn)分析的過(guò)程可以分為以下四步：（1） 確定要保護(hù)的資產(chǎn)及價(jià)值。192頁(yè)2． 對(duì)象和范圍風(fēng)險(xiǎn)分析的內(nèi)容與范圍應(yīng)該涵蓋信息網(wǎng)絡(luò)系統(tǒng)的整修體系，包括網(wǎng)絡(luò)安全組織、制度和人員情況，網(wǎng)絡(luò)安全技術(shù)方法的使用情況，防火墻布控及外聯(lián)業(yè)務(wù)安全狀況，動(dòng)態(tài)安全管理狀況，鏈路、數(shù)據(jù)及應(yīng)用加密情況，網(wǎng)絡(luò)系統(tǒng)訪(fǎng)問(wèn)控制狀況等。1． 目標(biāo)和原則風(fēng)險(xiǎn)分析是有效保證信息安全的前提條件。一、 安全風(fēng)險(xiǎn)分析與評(píng)估191頁(yè)解決信息安全的首要問(wèn)題是明白信息與網(wǎng)絡(luò)系統(tǒng)目前與未來(lái)的風(fēng)險(xiǎn)所在，充分評(píng)估這些風(fēng)險(xiǎn)可能帶來(lái)的威脅與影響的程度，做到“對(duì)癥下藥”，這就是信息與網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析與評(píng)估。信息安全工程學(xué)具有清晰的研究范疇，具體包括信息安全工程的目標(biāo)、原則與范圍，信息安全風(fēng)險(xiǎn)分析與評(píng)估的方法、手段、流程，信息安全需求分析方法，安全策略，安全體系結(jié)構(gòu)，安全實(shí)施領(lǐng)域及安全解決方案。（4） 信息安全具有層次性。（2） 信息安全具有過(guò)程性或生命周期性。信息安全工程學(xué)具有五大特性，即安全性、過(guò)程性、動(dòng)態(tài)性、層次性和相對(duì)性。 用信息安全工程理論規(guī)范信息安全建設(shè)信息安全需要工程理念。RSA公司標(biāo)準(zhǔn)PKCS，公鑰密碼事實(shí)上的標(biāo)準(zhǔn)。186頁(yè)美國(guó)政府標(biāo)準(zhǔn)FIPS，其中著名的有DES，DSS ，SHA等標(biāo)準(zhǔn)算法，還有并不成功的密鑰托管Clipper等。4． 其他安全評(píng)估標(biāo)準(zhǔn)ISO國(guó)際標(biāo)準(zhǔn)，如ISO 8372（64bit密碼工作模式）、ISO 9796（可恢復(fù)消息的簽名）、ISO 9797 （消息認(rèn)證碼）等。185頁(yè)2． ISO/IEC 15408評(píng)估標(biāo)準(zhǔn)由美國(guó)、加拿大、歐洲等共同發(fā)起并公布了ISO/IEC 15408標(biāo)準(zhǔn)，即通用評(píng)估標(biāo)準(zhǔn)（CC mon critenria），它從評(píng)估目標(biāo)的實(shí)現(xiàn)過(guò)程角度來(lái)描述信息安全概念。從總體、宏觀的角度看，我國(guó)銀行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)基本上安全的，在現(xiàn)有條件下基本能夠滿(mǎn)足支撐銀行業(yè)務(wù)職能、保持平穩(wěn)運(yùn)行的要求。182頁(yè) 2002年美國(guó)FBI機(jī)構(gòu)統(tǒng)計(jì)，83%的信息安全事故為內(nèi)部人員和外部勾結(jié)所為，而且呈上升趨勢(shì)。（4） 可控性。（2） 完整性。（一） 技術(shù)進(jìn)步對(duì)傳統(tǒng)銀行業(yè)經(jīng)營(yíng)模式和理念造成巨大沖擊（二） 銀行經(jīng)營(yíng)目標(biāo)安全性、盈利性、流動(dòng)性的實(shí)現(xiàn)方式發(fā)生改變（三） 網(wǎng)絡(luò)時(shí)代金融業(yè)行業(yè)壁壘的消失給銀行帶來(lái)了非同業(yè)的巨大競(jìng)爭(zhēng)威脅（四） 網(wǎng)絡(luò)銀行的監(jiān)管問(wèn)題180頁(yè)第一節(jié) 信息安全概述一、 信息安全的含義一般認(rèn)為。這種支付方式的最大特點(diǎn)是交易的“匿名性”，即不論商店還是銀行，都不知道是誰(shuí)購(gòu)買(mǎi)了哪商品，有利于保護(hù)消費(fèi)者的隱私。（4） 銀行在商家索付時(shí)通過(guò)驗(yàn)證中心對(duì)消費(fèi)者提供的電子支票進(jìn)行驗(yàn)證，驗(yàn)證無(wú)誤后即向商家兌付或轉(zhuǎn)賬。（2） 消費(fèi)者通過(guò)網(wǎng)絡(luò)向商家發(fā)出電子支票，同時(shí)向銀行發(fā)出付款通知單。交易發(fā)生時(shí)，首先由客戶(hù)在WWW上填寫(xiě)交易表格，并給出自己的密碼，F(xiàn)V判斷該密碼的真?zhèn)?，并加上一個(gè)后綴，從而形成 Virtual PIN；然后客戶(hù)向FV提出他的信用卡號(hào)碼，F(xiàn)V建立Virtual PIN和客戶(hù)信用卡號(hào)之間的聯(lián)系，這樣在網(wǎng)絡(luò)上就不會(huì)出現(xiàn)客戶(hù)的信用卡號(hào)碼。159頁(yè) 中國(guó)的電子聯(lián)行系統(tǒng)在1995年共處理支付金額為3000億元，平均每筆支付金額為100萬(wàn)元。3． 社會(huì)信用程度不同。155頁(yè) 五、中國(guó)網(wǎng)上銀行與發(fā)達(dá)國(guó)家網(wǎng)上銀行發(fā)展比較（一） 經(jīng)營(yíng)環(huán)境比較1． Internet的社會(huì)普及程度不同。1997年首家向客戶(hù)推出了網(wǎng)上電子對(duì)賬單服務(wù)業(yè)務(wù)。148頁(yè) 1985年瑞典銀行首家向本行客戶(hù)推出了電話(huà)銀行業(yè)務(wù)。SFNB向客戶(hù)提供免費(fèi)的基本支票賬戶(hù)，使客戶(hù)能夠在毫無(wú)風(fēng)險(xiǎn)的情況下嘗試互聯(lián)網(wǎng)銀行。實(shí)現(xiàn)3A服務(wù)（anywhere,anyplace,anytime） 經(jīng)營(yíng)成本低廉 簡(jiǎn)單易用。對(duì)網(wǎng)絡(luò)銀行的基本概念作如下定義：網(wǎng)絡(luò)銀行是指銀行在互聯(lián)網(wǎng)（Internet）上建立站點(diǎn)、通過(guò)互聯(lián)網(wǎng)向客房提供信息查詢(xún)、對(duì)賬、網(wǎng)上支付、資金轉(zhuǎn)賬、信貸、投資理財(cái)?shù)冉鹑诜?wù)。根據(jù)巴塞爾銀行監(jiān)管委員會(huì)的定義，網(wǎng)絡(luò)銀行是指那些通過(guò)電子通道，提供零售與小額產(chǎn)品與服務(wù)的銀行。（3） 濫用賬號(hào)（4） 偽造卡]（5） 虛假持卡人申請(qǐng)（6） 虛假特約商戶(hù)申請(qǐng)（7） 特約商戶(hù)欺詐（8） 其他欺詐交易137頁(yè)4．內(nèi)部作案或內(nèi)外勾結(jié)5．持卡人變故（三） 銀行卡風(fēng)險(xiǎn)防范1． 對(duì)持卡人的風(fēng)險(xiǎn)防范和控制2． 對(duì)特約商戶(hù)和特約營(yíng)業(yè)機(jī)構(gòu)的風(fēng)險(xiǎn)防范和控制3． 對(duì)發(fā)卡銀行和收單銀行內(nèi)部管理的風(fēng)險(xiǎn)防范和控制143頁(yè) 第一節(jié) 網(wǎng)絡(luò)銀行的發(fā)展一、 網(wǎng)絡(luò)銀行的定義網(wǎng)絡(luò)銀行（Internetbank or Ebank）是通過(guò)技術(shù)手段在地理上虛擬延伸的銀行。132頁(yè)二、信用卡風(fēng)險(xiǎn)管理（一） 信用卡風(fēng)險(xiǎn)概述信用卡風(fēng)險(xiǎn)指信用卡運(yùn)作過(guò)程中造成資金損失的可能性。通過(guò)聯(lián)合營(yíng)銷(xiāo)，發(fā)卡行得到更低的發(fā)卡和營(yíng)銷(xiāo)成本，培養(yǎng)了持卡人的忠誠(chéng)度，由新卡的交易量和手續(xù)費(fèi)帶來(lái)增長(zhǎng)收益，交叉銷(xiāo)售機(jī)會(huì)，更低的違約率和壞賬（基于目標(biāo)顧客群體的特性）。聯(lián)名卡產(chǎn)生一種獨(dú)特的產(chǎn)品，這種產(chǎn)品比合作者提供的單一產(chǎn)品對(duì)目標(biāo)市場(chǎng)更具吸引力。對(duì)于聯(lián)名卡，非銀行的合作者通常具有商業(yè)性，目的是要通過(guò)保持和提高消費(fèi)者忠誠(chéng)度來(lái)增加收益，報(bào)酬總是迎合個(gè)人。認(rèn)同卡的實(shí)例有VISAAlumni（香港大學(xué)）、紅十字會(huì)卡、馬來(lái)西亞工程師協(xié)會(huì)卡、拯救世界國(guó)際基金會(huì)卡、SAGA卡、曼徹斯特體育聯(lián)合會(huì)卡等。認(rèn)同卡的持卡者基于認(rèn)同群體受益而持有并使用銀行卡，聯(lián)名卡的持卡者基于持卡人受益而持有并使用銀行卡。129頁(yè)認(rèn)同卡是更好地細(xì)分市場(chǎng)的產(chǎn)品。127頁(yè)旅游娛樂(lè)糾紛裁決程序沒(méi)有提案費(fèi)和審理費(fèi)。126頁(yè) 收單行沒(méi)有對(duì)調(diào)閱簽單請(qǐng)求做出答復(fù)產(chǎn)生的拒付包括以下方面：發(fā)卡行要求獲得交易單據(jù)或旅游娛樂(lè)單據(jù)而收單行沒(méi)有提供。4． 錯(cuò)誤的交易日期。持卡人群體中，不同的持卡人的信用程度實(shí)際是不同的，而普通卡持卡人占信用卡持卡人的大多數(shù)，因此對(duì)普通卡持卡人的管理細(xì)分十分必要。信用卡所提供的免息期，對(duì)支票構(gòu)成了巨大挑戰(zhàn)，并有可能為發(fā)卡行帶來(lái)相當(dāng)?shù)睦麧?rùn)，但也有可能帶來(lái)壞賬的風(fēng)險(xiǎn)。金卡持卡人通常每月消費(fèi)的金額為普通卡持卡人的4倍，且使用信用卡的頻率比普通卡持卡人高40%，每筆交易交易額平均為普通卡交易額的2倍，平均周轉(zhuǎn)速度是VISA普通卡交易額的2倍，且相對(duì)來(lái)說(shuō)風(fēng)險(xiǎn)較小，因此金卡持卡人是信用卡消費(fèi)的主體。對(duì)不同持卡人提供不同類(lèi)型的產(chǎn)品。而從營(yíng)銷(xiāo)角度考慮，認(rèn)同卡與聯(lián)名卡的發(fā)行是現(xiàn)代營(yíng)銷(xiāo)成功的典型，也是強(qiáng)強(qiáng)聯(lián)合、帶來(lái)雙贏的體現(xiàn)。121頁(yè)（八） 發(fā)卡行如何得到付款發(fā)卡行利用這些交易記錄從持卡人那里獲得付款，如果所涉及的威士卡交易和存款賬戶(hù)有關(guān)，交易金額將直接借記持卡人的賬戶(hù)，如果這張卡片是貸記卡或簽賬卡，這些數(shù)據(jù)將用于生成送給持卡人的對(duì)賬單，以獲得付款。然后收單行把所有收據(jù)中的交易明細(xì)（包括威士卡卡號(hào)、有效日期、商戶(hù)名稱(chēng)、交易日和交易額）輸入自己的計(jì)算機(jī)系統(tǒng)，這一過(guò)程通常被稱(chēng)為數(shù)據(jù)獲取。這種情況下，BASEI會(huì)代表發(fā)卡行向收單行送出響應(yīng)，這叫做找授權(quán)（STIP）。授權(quán)請(qǐng)求由收單行通過(guò)Visanet送至BASEI，由它處理所有的授權(quán)請(qǐng)求，然后授權(quán)請(qǐng)求由BASEI傳送至發(fā)卡行以獲取授權(quán)響應(yīng)。（三）如何獲取授權(quán)如果交易額超過(guò)最低限額，威士卡賬戶(hù)的細(xì)節(jié)將被送至BASEI（授權(quán)系統(tǒng)），并與例外文件進(jìn)行核對(duì)，例外文件包括非正常信息（如丟失或被盜的威士卡號(hào)碼）或正常信息（以使地們較高的顧客盡可能得到不受限制的授權(quán)）。（一） 特約商戶(hù)交易前檢查檢查卡片的可靠性與持卡者的身份（二） 判斷交易是否需要授權(quán)，并檢查止付名單如果交易額超過(guò)一定數(shù)額，商戶(hù)必須得到同意才能接受威爾士卡——也就是獲得威爾士卡發(fā)卡銀行的授權(quán)，這一數(shù)額稱(chēng)為最低限額。117頁(yè)BASEⅡ從收單行接口機(jī)中收集交易數(shù)據(jù)，按照發(fā)卡行進(jìn)行分類(lèi)，并計(jì)算出每一會(huì)員銀行的應(yīng)收和應(yīng)付款項(xiàng)，在總結(jié)算額的基礎(chǔ)上再算出凈結(jié)算額來(lái)。銀行卡交易的第二環(huán)節(jié)，清分結(jié)算開(kāi)始。收單行美國(guó)威爾士銀行紐約分行將信息通過(guò)威爾士授權(quán)網(wǎng)絡(luò)（BASEI）傳送到發(fā)卡行請(qǐng)求授權(quán)，發(fā)卡行接收到傳來(lái)的信息后，將授權(quán)指示通過(guò)威士清人授權(quán)網(wǎng)絡(luò)（BASEI）傳送到收單行，收單行再將該授權(quán)信息傳送到特約商戶(hù)，特約商戶(hù)接收到授權(quán)后可以根據(jù)提示進(jìn)行交易。圖42 信用卡交易與支付流程115頁(yè)四 信用卡運(yùn)作實(shí)務(wù)案例（威士卡支付過(guò)程示例）信用卡交易支付過(guò)程通常由信用卡授權(quán)和信用卡清分結(jié)算兩個(gè)部分組成。114頁(yè)（三） 清算資金1. 提交簽賬單2. 提請(qǐng)付款3. 付款4. 持卡人付款提請(qǐng)付款收單行在向特約商戶(hù)付款扣除了一定的手續(xù)費(fèi)。113頁(yè)三、信用卡業(yè)務(wù)基本處理流程（一） 客戶(hù)申請(qǐng)持卡1. 填表2. 審查3. 開(kāi)戶(hù)4. 發(fā)卡（二） 持卡購(gòu)物消費(fèi)1. 驗(yàn)卡2. 授權(quán)3. 簽字供貨驗(yàn)卡：信用卡特約商戶(hù)或銀行受理信用卡后，要審查信用卡的有效性和持卡人的身份。滯納金的比例由中國(guó)人民銀行統(tǒng)一規(guī)定，為最低還款額未還部分的5%。（五） 循環(huán)信用利率循環(huán)信用利率由中國(guó)人民銀行統(tǒng)一規(guī)定，日利率萬(wàn)分之五，按月計(jì)收復(fù)利。（三） 免息還款期對(duì)于非現(xiàn)金交易，從銀行記賬起至到期還款日之間的日期為免息還款期。111頁(yè)112頁(yè)四、 信用卡交易的有關(guān)概念（一） 信用額度信用額度是指信用卡最高可以使用的船運(yùn)金額。（四）持卡人指持有信用卡進(jìn)行購(gòu)物消費(fèi)的客戶(hù)（五）信用卡組織信用卡組織往往不直接發(fā)卡，也不參與交易本身。特約商戶(hù)折扣費(fèi)：一般為交易金額的2%111頁(yè)ATM/PIUS交易，在地理位置特別好的超級(jí)ATM機(jī)上取現(xiàn)時(shí)，收單行可得到3美元。（3） 負(fù)責(zé)償會(huì)特約商戶(hù)應(yīng)得的交易款項(xiàng)。（二）、收單行收單行的職責(zé)是：（1） 發(fā)展特約商戶(hù)，與特約商戶(hù)簽訂產(chǎn)決定它要支付的各種費(fèi)用。（5） 交易回傭費(fèi)，按交易金額的一定比例由收單行支付給發(fā)卡行。（3） 滯納金。 發(fā)卡行從以下項(xiàng)目獲得收入：（1） 年費(fèi)。（5） 向持卡人提供各種各樣的服務(wù)，例如聽(tīng)取持卡人的申訴，解決持卡人的疑難問(wèn)題等。（3） 向持卡人發(fā)送對(duì)賬單，并收取應(yīng)收款項(xiàng)。發(fā)卡行擁有持卡人的賬戶(hù)并有下列職責(zé)：（1） 爭(zhēng)取持卡人，與持卡人簽訂合同協(xié)議并決定賬戶(hù)的使用條款，例如服務(wù)項(xiàng)目、收費(fèi)項(xiàng)目和還款要求等等。一、信用卡交易中的參與者參與者的類(lèi)型可分為發(fā)卡行、收單行、特約商戶(hù)、持卡人和信用卡組織。信用卡存取現(xiàn)金的功能是指持卡人隨時(shí)隨地可以發(fā)卡行指定的銀行受理網(wǎng)點(diǎn)和自動(dòng)取款機(jī)（ATM）上實(shí)現(xiàn)現(xiàn)金存取。消費(fèi)信貸是最重要的轉(zhuǎn)賬結(jié)算是信用卡最主要的功能。目前全球信用卡正在向EMV遷移。IC卡（Integrated Card）是一種安裝有集成電路的卡片。107頁(yè)通常POS機(jī)寫(xiě)只讀磁道，ATM機(jī)寫(xiě)讀寫(xiě)磁道。磁卡。106頁(yè)從營(yíng)銷(xiāo)的角度來(lái)劃分，可劃分為聯(lián)名卡、認(rèn)同卡、品位卡等。購(gòu)物卡旨在幫助大中型公司處理解決小額（少于或等于5000美元）的日常分散性交易，這些交易通常占據(jù)80%的交易量，但只占10%的交易額，結(jié)果造成了過(guò)高的管理費(fèi)用支出。