电子支付和安全防范培训-精选课件.ppt

1、Company Logov.学习重点:v电子支付、网上银行v电子支付流程v加密技术v信息认证技术v移动支付的实现技术v第一阶段是办理结算；v第二阶段是代发工资等业务；v第三阶段是客户在自动柜员机（ATM）上进行取、存款操作等；v第四阶段是利用银行销售点终端（POS）向客户提供自动的扣款服务；v第五阶段是网上支付。网上支付的形式称为网上支付工具，主要有信用卡、数字现金、电子支票等。自2019年以来，国内招商银行、中国银行、中国建设银行、中国工商银行陆续推出网上银行业务，其中中国银行采用的是SET协议，另外则使用了SSL。v招商银行的网上银行于2019年底正式运行，其功能主要包括了个人银行系统、网

2、上支付系统、网上证券统、网上商城系统等。v中国建设银行开发了日处理业务130万笔、允许5万个客户同时访问和交易的网上银行系统。4.1.1电子支付基础知识电子支付基础知识1.电子支付的概念v电子支付(E-payment)，也称数字化支付(digital payment)：指的是电子交易的当事人，包括消费者、商家和金融机构，使用安全电子支付手段通过网络进行的货币支付或资金流转。v两大国际信用卡组织VISA(维萨卡)和Master Card(万事达卡)合作制订的安全电子交易（SET）协议定义了一种电子支付过程标准，其目的就是保护万维网上支付卡交易的每一个环节。电子支付具有以下特征：（1）电子支付是采

3、用先进的技术通过数字流转来完成信息传输的，其各种支付方式都是通过数字化的方式进行款项支付的；而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等物理实体来完成款项支付的。（2）电子支付的工作环境是基于一个开放的系统平台（即Internet）；而传统的支付则是在较为封闭的系统中运作。（3）电子支付使用的是最先进的通信手段，而传统支付使用的则是传统的通信媒介；电子支付对软、硬件设施的要求很高，一般要求有联网的微机、相关的软件及其他一些配套设施，而传统支付则没有这么高的要求。（4）电子支付具有方便、快捷、高效、经济的优势。审核定单协商认证认证认证确认确认审核扣款 消 费 者 在 线 商 店支

4、付 网关 收 单 发卡银行认证 中心.（1）选定所要购买的物品，输入定货单。v（2）在线商店做出应答。v（3）消费者选择付款方式、确认定单，签发付款指令。v（4）在SET中，消费者必须对订单和付款指令进行数字签名。v（5）在线商店接受订单后，向消费者所在银行请求支付认可。v（6）在线商店发送订单确认信息给消费者。v（7）在线商店发送货物，或提供服务。1.电子货币概念电子货币概念v电子货币是指用一定金额的现金或存款从发行者处兑换并获得代表相同金额的数据，通过使用某些电子化方法将该数据直接转移给支付对象，清偿债务。v按支付方式可将电子货币分为储值卡型电子货币、银行卡型电子货币、电子支票和电子现金。

5、网上常用的电子货币有后三种。2.电子货币的发行和运行电子货币的发行和运行v电子货币发行和运行的流程分为三个步骤，即发行、流通和回收。v储值卡型电子货币是指某一行业或公司发行的可代替现金用的IC卡或磁卡。v例如，移动通信公司发行的电话充值卡，超市、百货商店发行的购物卡，石油公司发行的加油卡，交通部门发行的交通卡等。v银行卡型电子货币即实现了电子化应用的信用卡。信用卡1915年起源于美国，至今已有80多年的历史。v信用卡的最大特点是同时具备信贷与支付两种功能。v借记卡的特征是“先存款，后支用”，持卡人必须先在发卡机构存款，用款时以存款余额为限不允许透支。例如：建行的龙卡（储蓄卡）、工行的牡丹灵通卡

6、等。v贷记卡的特征是“先消费，后还款”，持卡人无须先在发卡机构存款，就可享用一定信贷额度的使用权。目前我国各商业银行正逐步发行、推广贷记卡。v电子支票：是将支票的全部内容电子化，然后借助于互联网完成支票在客户之间、银行客户与客户之间以及银行之间的传递，实现银行客户间的资金结算。v一个电子支票支付方案包括消费者和他的银行、商户和他的银行、不同银行之间支票的清算处理三个部分。v电子支票中包含有与纸质支票完全相同的支付信息，如收款方名称、付款方账户、金额和日期。v同时电子支票包含有数字证书和数字签名，它们连同加密解密技术一起，用来防止对银行和银行客户的欺诈，提高电子支票的安全性，以保证信息的真实性、

7、保密性、完整性和不可否认性。v电子现金又称为数字现金，是一种表示现金的加密序列数，它可以用来表示现实中各种金额的币值。v要获得电子现金，要从网上的货币服务器（或银行）购买电子现金，首先要在该银行建立一个账户，将足够资金存入该账户以支持今后的支付。v目前，多数电子现金系统要求买方在一家网络银行上拥有一个账户。这种要求对于全球性和多种现金交易非常严格，买方能够在国内获得服务并能在国外支付，就需要建立网络银行组织作为一个票据交换所。v现阶段主要有：电子现金券（网上代金券，网上折扣）分分 类类类类 型型使使 用用 特特 点点结算方结算方式式贷记卡贷记卡发卡行允许持卡人发卡行允许持卡人“先消费，后付款先

8、消费，后付款”，提供给持卡，提供给持卡人短期消费信贷，到期依据有关规定完成清偿人短期消费信贷，到期依据有关规定完成清偿借记卡借记卡持卡人在开立信用卡账户时按规定向发卡行交一定的备用持卡人在开立信用卡账户时按规定向发卡行交一定的备用金，持卡人完成消费后，银行会自动从其账户上扣除相应金，持卡人完成消费后，银行会自动从其账户上扣除相应的消费款项，急需时能为持卡人提供小额的善意透支的消费款项，急需时能为持卡人提供小额的善意透支使用权使用权限限金卡金卡允许透支限额相对较大（我国为允许透支限额相对较大（我国为1万元）万元）普通卡普通卡透支限额低（我国为透支限额低（我国为5千元）千元）持卡对持卡对象象个人卡

9、个人卡持有者是有稳定收入来源的社会各界人士，其信用卡持有者是有稳定收入来源的社会各界人士，其信用卡账户上的资金属持卡人个人存款账户上的资金属持卡人个人存款公司卡公司卡又称单位卡，是各企事业单位、部门中指定人员使用又称单位卡，是各企事业单位、部门中指定人员使用的卡，其信用卡账户资金属公款的卡，其信用卡账户资金属公款使用范使用范围围国际卡国际卡可以在全球许多国家和地区通行使用，如著名的可以在全球许多国家和地区通行使用，如著名的VISA卡和卡和MASTER卡等卡等地方卡地方卡只局限在某地区内使用，如我国各大商业银行发行的只局限在某地区内使用，如我国各大商业银行发行的人民币长城卡、牡丹卡、太平洋卡等都

10、属地方卡人民币长城卡、牡丹卡、太平洋卡等都属地方卡载体材载体材料料磁卡磁卡在信用卡背后贴有的磁条内存储有关信用卡业务所必在信用卡背后贴有的磁条内存储有关信用卡业务所必需的数据，使用时必须有专门的读卡设备读出其中所需的数据，使用时必须有专门的读卡设备读出其中所存储的数据信息存储的数据信息IC卡卡IC卡是集成电路卡（卡是集成电路卡（Integrated Circuits Card）的缩写，为的缩写，为法国人法国人Roland Moreno于于1970年所研制，并由法国年所研制，并由法国BULL公公司于司于1979年推出第一张可工作的年推出第一张可工作的IC卡。卡。IC卡的卡片卡的卡片中中嵌有嵌有芯

11、片，信用卡业务中的有关数据存储在芯片，信用卡业务中的有关数据存储在IC芯片中，既可以芯片中，既可以脱机使用也可以联机使用脱机使用也可以联机使用分分 类类类类 型型使使 用用 特特 点点v第一，方便。第二，安全，第三，通用，第四，增加社会效益。v“电子货币”的概念尚未深入每个人的心中，IC 智能卡在电信业使用广泛，而银行卡在我国使用比例不到1%。v美国通过银行卡进行个人日常支出比例已占到25%。1.面向商家的面向商家的MOSET模式模式v面向商家的MOSET(merchamoriented SET)模式不需要使用电子钱包。持卡人与商家之间通过SSL协议进行连接。vMOSET的优点:持卡人不必安装

12、电子钱包软件；持卡人不必向CA申请持卡人证书；持卡人购物时只需输入信用卡信息，是网上购物最简单的方法；由于SSL安全是现存大多数商家服务器采用的技术，商家为了接受MOSET而进行的修改相对SET而言要少得多。vMOSET的缺点：商家可以看见类似信用卡号码以及到期日的金融数据。v在无证书SET(certless SET)模式下，持卡人必须使用电子钱包在网上进行交易，但是并不需要持卡人向CA申请持卡人证书。v无证书SET的优点：持卡人不必向CA申请持卡人证书；信用卡号码以及相关金融信息对商家是不可见的；采用SET协议在持卡人、商家和支付网关之间传送金融和订单信息，比单纯使用SSL协议更安全；实现S

13、ET后，要接受无证书SET，商家无须进行任何改动，对支付网关的影响也很小。v无证书SET的缺点：持卡人必须安装电子钱包软件。vSET是Internet上安全可靠的支付手段。所有的SET成员都可互操作。各方(包括支付网关、商家和持卡人)必须拥有由可信的CA签署的有效证书。持卡人需要电子钱包软件来处理SET支付。v完全SET模式的优点：信用卡号码以及相关金融信息对商家不可见,商家只可检索订单信息；由于参与各方可以在线确认其他各方的身份,因而非常可靠。v完全SET模式有以下缺点：实现很复杂，所有SET成分必须可以互操作；持卡人需要安装电子钱包。vSSL协议主要用于浏览器和网络服务器之间的通信。SSL

14、提供了三种重要的功能：隐私、鉴证以及报文完整性。v参与SSL连接的每一方必须拥有一个安全证书,由各自的软件发送给对方。然后，每一方都用自己的和对方的证书对所发送的信息进行加密，以保证只有指定的接收者能够进行解密，并且另一方能够保证数据确实来源于它所宣称的地方，同时在传输过程中报文没有被篡改。1.电子化支付技术的发展阶段电子化支付技术的发展阶段银行采用电子化支付技术主要经历5个阶段。v(1)银行间电子资金转账(electronic funds transfer，EFT)。银行利用计算机处理银行之间的货币划汇业务，办理划汇结算。v(2)银行与其他机构之间资金的划汇结算，如代发工资等业务。v(3)利

15、用网络终端向消费者提供各项银行服务，如消费者在和银行主机联网的自动柜员机(ATM)上进行存取款、转账、密码设置和更改、账户查询等操作。v(4)利用银行POS(point of sales)终端向消费者提供自动付款服务。v(5)网上支付。它是最新发展阶段，消费者可以随时随地通过互联网络进行直接转账结算。v(1)储值卡型电子货币；v(2)银行卡型电子货币；v(3)电子支票；v(4)电子现金。v电子支付系统是银行金融电子化的重要标志，也是电子商务中的重要支付系统。v(1)大额支付系统。它主要处理银行间大额资金转账，如SWIFT系统连接全球各会员银行的金融数据通信计算机网络系统，进行银行间有关数据的交

16、换，具体资金清算通过各国的清算系统进行，如美国的CHIPS、FRB、CHAPS、日本的日银网络等。v(2)脱机小额支付系统。它主要处理预先授权的定期发放工资、定期缴纳公共设施缴费等。v(3)联机小额支付系统。指EFT-POS和ATM系统，其支付工具为银行卡，EFT-POS和ATM中需要对支付实时授信，确认身份等信息。v(4)数字现金支付系统。v(5)微支付系统。可以在单笔交易中有效地转移很小的支付金额(几分钱,甚至可能低于1分)的支付系统。v当前，比较具有影响的微型支付系统有Milicent、SubScrip、PayWord和MicroMint等。v1电子合同的概念电子合同的概念v电子合同是通

17、过计算机网络系统订立的、以数据电文的方式生成、储存或传递的合同。v这里,“数据电文系指经由电子手段、光学手段或类似手段生成、储存或传递的信息，数据电文包括但不限于电子数据交换(EDI)、电子邮件、电报或传真所传递的信息”(联合国国际贸易法委员会电子商务示范法第2条a项)。v（1）信息产品合同与非信息产品合同）信息产品合同与非信息产品合同v（2）有形信息产品合同与无形信息产品合）有形信息产品合同与无形信息产品合同同v（3）信息许可使用合同与信息服务合同）信息许可使用合同与信息服务合同1网上银行的概念与特点：v网上银行(Internet Bank)或称电子银行,上网用户可以通过它管理个人的资金,进

18、行购物、理财或投资.v网上金融业务也从最初的帐户查询、转帐、代交费逐渐转向网上支付、证券交易等项目。网上银行具有明显的优势。v（1）网上银行的服务更能满足客户多样化的要求。v（2）银行的投资可以大大减少。（3）网上银行为银行开拓业务打下了良好的基础。如邮电、电力、工商、税务、交通等部门都致力开展网上交费业务，网上银行在这些方面有着良好前景。v（1）开户业务模块v（2）授权业务模块v（3）支付业务模块v（4）清算业务模块v（5）系统管理模块v主要的制约因素是网上安全和客户群体；v对于网上银行的客户而言，必须确认在网上输入的机密性资料不会被盗用，输入的交易资料不会被篡改并且能迅速传递到接收端系统。

19、另一个重要因素是客户群体，网上银行会有一个循序渐进的过程。v（1）进入Internet.v（2）加入Internet.v（3）利用Internet.（4）创新银行业务。支付网关，位于Internet和传统的银行专网之间，其主要作用是安全连接Internet和专网，将不安全的Internet上的交易信息传给安全的银行专网，起到隔离和保护专网的作用。主要功能有：将Internet传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包；接收银行系统内部的传回来的响应消息，将数据转换为Internet传送的数据格式，并对其进行加密。即支付网关主要完成通信、协议转换和数据加解密通信、协议转换和数据

20、加解密功能，以保护银行内部网络。ServerInternet内部网支付网关支付网关2.支付网关是整个系统的关键，它的主要功能有：（1）实现交易功能，即完成持卡人网上支付的正常流程。（2）进行交易的异常处理，如持卡人的帐户余额改动之后，并为未得到所期望的交易结果，则这样的交易将被部分或全部地冲正。（3）提供仲裁信息。（4）提供多种报表。（5）提供查询功能。（6）计费功能 网上支付最常见的信用卡、电子支票；数字现钞（e-cash），在数字现钞中，货币仅仅是一串数据位，银行可能发行这样的数据位串，或者从消费者的帐户中划出相等的纸币。v从2019年开始，移动支付就已经成为移动增值业务中的一个亮点。v目

21、前我国的移动支付业务发展重点不是很明显，银行信用卡捆绑的缴费业务、查询业务等v移动支付业务就是将移动网络与金融系统结合，商品交易、缴费等金融服务的业务，小商品交易、电子内容（产品）支付、服务付费、缴费等银行服务等几类。v小额服务付费是指用户通过手机来支付服务业务费用。最流行支付停车或者洗车费等。.v以缴费业务为代表的移动银行目前是我国银行系统参与的移动支付主要业务类型。“手机钱包”服务其实就是这个业务非常典型的应用，通过与银行的捆绑，将SIM卡与银行帐号自然联系起来。v电子内容（数字产品）支付其实已经是目前移动支付的一个主要业务。将来类似电子内容的很多服务和商品的支付会成为移动支付的主要收入来

22、源。v如：博彩、彩票投注服务。4.2.1 电子商务的安全保障电子商务的安全保障 在电子商务过程中，买卖双方是通在电子商务过程中，买卖双方是通过网络来联系的，不论远隔千山万水，还过网络来联系的，不论远隔千山万水，还是近在咫尺，建立交易双方的安全和信任是近在咫尺，建立交易双方的安全和信任关系一定的困难。关系一定的困难。Web ServerThe InternetEncryption线路安全线路安全客户安全客户安全连接安全连接安全 The IntranetWeb ServerWeakness:External access now granted.Are applications and netwo

23、rk secure?信息资本信息资本Enterprise Networku没有边界没有边界u没有中央管理没有中央管理u是开放的、标准的是开放的、标准的u没有审计记录没有审计记录INTERNETINTERNET 中央系统安全性被破坏。中央系统安全性被破坏。竞争对手检索商品递送状况。竞争对手检索商品递送状况。被他人假冒而损害公司的信誉。被他人假冒而损害公司的信誉。买方提交订单后买方提交订单后 获取他人的机密数据。获取他人的机密数据。v付款后不能收到商品。v机密性丧失。v 拒绝服务。v(3)信息传输问题信息传输问题v冒名偷窃。v篡改数据。v信息丢失。v信息传递过程中的破坏。v虚假信息。v来自买方的信

24、用问题。v来自卖方的信用风险。v买卖双方都存在抵赖的情况。由于电子商务是在开放的网络上进行的商务活动,订货信息、谈判信息、机密的商务往来文件、支付信息等大量商务信息在计算机系统中存放、传输和处理。计算机诈骗、计算机病毒等造成的商务信息被窃、篡改和破坏,以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重地危害着电子商务系统的安全。v电子商务系统是一个计算机系统，其安全性是一个系统的概念，不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关。它包括：v电子商务系统的硬件安全、v软件安全、v运行安全v电子商务安全立法。v(1)信息传输的保密性信息传输的保密性v

25、(2)交易文件的完整性交易文件的完整性v(3)信息的不可否认性信息的不可否认性v(4)交易者身份的真实性交易者身份的真实性 电子商务安全管理关键是要落实到制度上。这些制度包括保密制度、系统维护制度、数据备份制度、病毒定期清理制度等。v信息的安全级别一般分为三级。v1)绝密级绝密级 此部分网址、密码不在因特网上公开，只限高层管理人员掌握。如公司经营状况报告、订货/出货价格、公司发展规划等。v2)机密级机密级 此部分只限公司中层管理人员以上使用。如公司日常管理情况、会议通知等。v3)秘密级秘密级 此部分在因特网上公开，供消费者浏览,但必须保护程序，防止黑客侵入。如公司简介、新产品介绍及订货方式等。

26、v网管人员必须建立系统档案网管人员必须建立系统档案,v网络设备，一般都有相应的网管软件，可以做到对网络拓扑结构的自动识别、显示和管理，网络系统结点配置与管理系统故障诊断等，还可以进行网络系统调优、负载平衡等。v对于内部线路，应尽可能采用结构化布线。v对于支撑软件一般需要进行定期清理日志文件、临时文件，定期执行整理文件系统，检测服务器上的活动状态和用户注册数，处理运行中的死机情况。v对于应用软件主要是版本控制。设置一台安装服务器，当远程客户机软件需要更新时，可从网络上远程安装。v对于重要数据，应定期、完整、真实、准确地转储到不可更改的介质上，并要求集中和异地保存，保存期限至少2年，保证系统发生故

27、障时能够快速恢复。v重要数据的存储应采用只读式数据记录设备，备份的数据必须指定专人负责保管；v数据保管员必须对备份数据进行规范的登记管理，v备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施等 v1)给计算机安装防病毒软件v2)不打开陌生电子邮件v3)认真执行病毒定期清理制度v4)控制权限v5)高度警惕网络陷阱v在计算机灾难事件发生时，利用应急计划辅助软件和应急设施排除灾难和故障，保障计算机继续运行。v目前运用的数据恢复技术主要是瞬时复制技术、远程磁盘镜像技术和数据库恢复技术。v1)管理好Cookies。v2)禁用或限制使用Java、Java小程序脚本、Active X控件和插件。它们

28、可能会获取用户的用户标识、IP地址和口令等信息，影响系统的安全。v3)调整自动完成功能的设置。v1.SSL协议协议v(1)SSL协议概述协议概述vSSL(Secure Socket Layer)安全套接层协议主要适用于点对点之间的信息传输,通过在浏览器软件和WWW服务器建立一条安全通道,从而实现在Internet中传输保密文件。vSSL是一个用来保证安全传输文件的协议。它包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。SSL协议包括两个子协议：SSL记录协议和SSL握手协议。v(3)SSL

29、握手过程握手过程 SSL协议同时使用对称密钥算法和公钥加密算法。v(4)认证服务器的身份认证服务器的身份v(5)认证客户端的身份认证客户端的身份 SSL只做能到资料保密，厂商无法确定是谁填写了这份资料。v(1)SET协议概述协议概述vSET(安全电子交易安全电子交易)v SET协议提供对买方、商户和收单行的认证，确保交易数据的安全性、完整性和交易的不可否认性，特别是保证了不会将持卡人的信用卡号泄露给商户。vSET协议支持了电子商务的特殊安全需要，如：购物信息和支付信息的私密性；使用数字签名确保支付信息的完整性；使用数字签名和持卡人证书，对持卡人的信用卡进行认证；使用数字签名和商户证书，对商户进

30、行认证：保证各方对有关事项的不可否认性。v、v(1)Digicash Digicash是一个匿名的数字现金协议。v(2)First Virtual First Virtual允许客户自由地购买商品，然后First Virtual使用E-mail同客户证实每一笔交易。v(3)Netbill v1.认证中心认证中心 认证中心（certificate authotity，CA）在电子商务的交易过程中，扮演着一个买卖双方签约、履约的监督管理的角色，买卖双方有义务接受认证中心的监督管理。v认证中心隶属于国家工商局的电子商务认证机构的功能主要有：接受个人或法人的登记请求，审查、批准或拒绝请求，保存登记者登

31、记档案信息和公钥，颁发电子证书等。v计算机网络安全体系结构包含:网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。v主要安全技术:主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术。v密码技术是保证网络、信息安全的核心技术。v信息在网络中传输时，通常不是以明文而是以密文的方式进行通信传输的。v加强商业活动的机密性，以明文传输的信息数据，会被他人轻而易举地读懂、窃取盗用及篡改。v数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的代码，通常称为“密文”。v只能在输

32、入相应的密钥之后才能显示出本来内容，保护数据不被非法窃取、阅读的目的。v(1)对称密码体制和非对称密码体制对称密码体制和非对称密码体制v对称密码体制：又称为秘密密码体制，加对称密码体制：又称为秘密密码体制，加密密钥和解密密钥相同或者一个可由另一密密钥和解密密钥相同或者一个可由另一个导出。个导出。v非对称密码体制：称为公开密码体制，即加密密钥公开，解密密钥不公开。v分组密码体制：根据密码算法对明文信息的加密分组密码体制：根据密码算法对明文信息的加密方式进行分类的方法。如果密文仅与给定的密码方式进行分类的方法。如果密文仅与给定的密码算法和密钥有关，与被处理的明文数据段在整个算法和密钥有关，与被处理

33、的明文数据段在整个明文或者密文中所处的位置无关。明文或者密文中所处的位置无关。v序列密码体制：密文不仅与给定的密码算法和密钥有关，同时也是被处理的明文数据段在整个明文或者密文中所处的位置的函数。v摘要是一种防止改动的方法，其中用到的函数叫摘要函数。这些函数的输入可以是任意大小的消息，而输出是一个固定长度的摘要。（1）端到端的安全电子邮件技术）端到端的安全电子邮件技术v端到端的安全电子邮件技术也称点对点的安全电端到端的安全电子邮件技术也称点对点的安全电子邮件技术，用来确保邮件从发送端到接收端的子邮件技术，用来确保邮件从发送端到接收端的整个过程中，没有被修改，没有被窃取偷看，并整个过程中，没有被修

34、改，没有被窃取偷看，并且不可否认。即电子商务中的完整性、保密性和且不可否认。即电子商务中的完整性、保密性和不可否认性。不可否认性。v目前比较成型的端到端安全邮件的标准有目前比较成型的端到端安全邮件的标准有PGP（安全邮件标准（安全邮件标准）和）和S/MIME（邮件的附件标（邮件的附件标准准）。）。v主要有两种方式实现电子邮件在传输过程中的安全:一种是利用SSL SMTP和SSL POP:另一种是利用VPN或者其他的E通道技术，将所有的TCP/IP传输封装起来。vSMTP（邮件传输协议）：是发信的协议标准vPOP（邮箱协议，是收信的协议）。v目前，对邮件服务器的攻击主要分网络入侵（Network

35、 Intrusion）和服务破坏（Denial of Service）两种。v3.数字签名技术数字签名技术v数字签名是使用公共密钥加密来完成，一个数字签名数字签名是使用公共密钥加密来完成，一个数字签名是与书写签名起同样作用的一种技术，用来证明信息是与书写签名起同样作用的一种技术，用来证明信息的来源和正文。的来源和正文。v数字签名也称电子签名。它是一个仅能由发送方才能产生的标记，其他人只能简单地识别此标记是属于谁的，数字签名是产生与真实签名有相同效果的一种协议，和真实签名一样，数字签名用于保证信息的防篡改和防伪造。v4.2.5 网络安全技术网络安全技术v什么是防火墙？什么是防火墙？v防火墙防火墙

36、：在被保护网络和在被保护网络和InternetInternet之间，之间，或者和其它网络之间限制访问的软件和或者和其它网络之间限制访问的软件和硬件的组合。硬件的组合。ServerInternet内部网防火墙防火墙v v能做什么？能做什么？v安全把关安全把关v网络活动统计网络活动统计v内部隔离内部隔离不能做什么？不能做什么？l不能防范内部入侵不能防范内部入侵l不能防范新的威胁不能防范新的威胁l控制粒度粗控制粒度粗v1)屏蔽路由器v2)双宿主机防火墙v3)屏蔽主机防火墙v4)屏蔽子网防火墙v1)数据包过滤技术v2)数据包过滤原则v3)代理服务v4)流过滤技术v5)智能防火墙技术：智能防火墙的关键技

37、术包括防攻击技术、防扫描技术、防欺骗技术、入侵防御技术、包擦洗和协议正常化技术及AAA技术等。v数据过滤：数据过滤：一个设备采取的有选择地控制来往于一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过滤可以发生在路网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。由器或网桥上。ServerInternet内部网屏蔽路由器v代理服务代理服务：代理服务是运行在防火墙主机上的代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有应用程序或服务器程序。它在幕后处理所有InternetInternet用户和内部网之间的通讯以代替直接用户和内部网之间的通讯以代替直接交谈。交谈。

38、ServerInternet内部网代理服务v虚拟专用网VPN（virtual private network）即通过一个公共网络建立一个临时的、安全的连接。是一条穿过混乱的公用网络的安全、稳定的隧道，它是对企业内部网的扩展。vVPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可提供以下功能：v1）加密数据以保证通过公网传输的信息即使被他人截获也不会泄露。v2）信息认证和身份认证保证信息的完整性、合法性，并能鉴别用户的身份。v3）提供访问控制不同的用户有不同的访问权限。v1）成本较低。v2）网络结构灵活。v3）管理方便。1.计算机

39、病毒计算机病毒v（1）计算机病毒的定义及其分类v计算机病毒，是指编制或者在计算机程序中插人的破坏计算机功能或者数据、影响计算机使用、并且能够自我复制的一组计算机指令或者程序代码，或简单地定义为一段附着在其他程序上的可以实现自我繁殖的程序代码。v计算机病毒可分为：文件病毒、引导扇区病毒、多裂变病毒、秘密病毒、异形病毒等。v计算机病毒共同的特征是：v1）感染性。这是病毒的基本特征，自我复制能力。v2）破坏性。病毒会对系统产生不同程度的影响。v3）隐藏性。用户通常感觉不到病毒的入侵。v4）潜伏性。一般不会马上发作。v5）可激活性。病毒因某个事件或数值的出现而发作。v6）针对性。病毒的编制者往往有特殊

40、的破坏目的。v计算机病毒入侵点是从电脑传到另一台电脑的外部存储器。v在网络系统中可能的入侵点还包括服务器、E-mail附件、BBS上下载的文件、WWW站点、FTP文件下载、共享网络文件及常规的网络通信、盗版软件、示范软件、电脑实验室和其他共享设备。此外，也可以有其他的入侵点。v病毒的工作方式与病毒所能表现出来的几种特性或功能有：感染、变异、触发、破坏以及高级功能（如隐身和多态）。v1）攻击系统数据区。v2）攻击文件。v3）攻击内存。v4）干扰系统运行，使运行速度下降。v5）干扰键盘、喇叭或屏幕。v6）攻击CMOS。在机器的CMOS中，保存着系统的重要数据，如系统时钟、磁盘v7）干扰打印机。v网

41、络病毒的主要特点是：它们一般不需要宿主程序，多数都能够跨平台，借助网络迅速传播，破坏系统数据；v有一些能够窃取使用者的重要数据资料，如个人的数据文件、网络账号和密码、信用卡信息等。v（1）特洛伊木马（Trojan Horse）特洛伊木马是一种程序，它驻留在目标计算机里，在目标计算机系统启动的时候，自动启动，然后在某一端口进行侦听，常简称为木马。它会在用户毫无觉察的情况下，对计算机做任何能做的事.例如:a.可查看被入侵计算机中的所有文件并删除、修改该计算机中任何文件及重要资料，还能使该计算机关机或重新启动；b.可获得该计算机中的众多口令，包括上网用户标识和口令；c.可查看该计算机的名称、当前用户

42、、CPU类型、操作系统版本、内容大小、硬盘数量、硬盘容量以及是否有远程磁盘、CDROM等信息；d.可攻击与计算机联网的其他计算机；甚至看到目标计算机当时的屏幕内容。v1)电子邮件病毒v2)蠕虫（Worm Virus）v3)宏病毒（Macro Virus）v4)VBS脚本病毒v5)恶意网页病毒v6)结合黑客技术的病毒（1）病毒的预防作为应急措施，应牢记下列几条1）当出现病毒传染迹象时，应立即隔离被感染的系统和网络并进行处理。2）不知应如何处理，此时，应立即请求专家的帮助。3）注意观察下列现象：v文件的大小和日期发生变化；v系统启动速度比平时慢；v不做写操作时出现“磁盘有写保护”信息；v对贴有写保护的软盘操作时声音很大；v系统运行速度异常慢；v用MI检查内存发现不该驻留的程序已驻留；v键盘、打印或显示有异常现象；v有特殊文件自动生成；v磁盘空间自动产生坏簇或磁盘空间减少；v文件莫名其妙地丢失；v系统异常死机的次数增加等。v首先，应该考虑在何处安装病毒防治软件。在网络的多个层次上设置全面保护措施。v有效的多层保护措施必须具备四个特性：集成性。单点管理。自动化。多层分布。v工作站是病毒进入网络的主要途径。v邮件服务器是防病毒软件的第二个着眼点口邮件是重要的病毒来源。v1）制定计划。v2）调查。v3）测试。v4）维护。v5）系统安装。