《[财务管理]支付与安全.doc》由会员分享,可在线阅读,更多相关《[财务管理]支付与安全.doc(36页珍藏版)》请在三一文库上搜索。
1、第一章 电子商务系统安全与支付概述第一节网络信息安全一、网络信息安全的目标1、信息安全的概念:所谓信息安全,一般是指信息采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。2、信息安全传输:信息安全传输是指在网络上传递的信息没有被故意或偶然地非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。3、危及网络信息安全的因素的来源:主要来自两个方面:一是由于网络设计和网络管理方面的原因,无意间造成机密数据泄漏;二是攻击者采用不正当的手段通过网络获得数据。4、目标:一个良好的网络安全系统,不
2、仅应当能够防范恶意的无关人员,而且,应当能够防止专有数据和服务程序的偶然泄漏,同时不需要内部用户都成为安全专家。二、电子商务系统安全层次1、电子商务系统的两个层次:电子商务是建立在计算机网络系统之上的商务系统。从逻辑上看可以分成底层的物理系统和上层的业务系统。2、电子商务系统的两个安全层次一是保障底层的物理系统即计算机网络系统的安全;二是保障上层业务逻辑系统的安全。第一层安全措施是安全电子商务系统的基础,它保障了人们进行网上交易的虚拟场所的安全;第二层安全措施是安全电子商务系统的前提,它提供了网上交易不同于传统交易的交易规则,保证了网上交易过程的安全。第一层安全即计算机网络系统的安全首先是保障
3、计算机网络系统中的实体的安全,这些实体包括服务器、客户机、通信连接设备(路由器、交换机、集线器等)。其次是保障数据的安全,包括数据存储安全和数据传输安全(通信安全)。第二层安全措施的主要内容是网上身份认证和网上支付。(SET协议是解决网上支付问题的一种手段。)第二节 电子商务安全规范 当前电子商务的安全规范包括加密算法、报文摘要算法、安全套接层协议等方面的规范。一、加密算法:基本加密算法有两种对称密钥加密和非对称密钥加密,用于保证电子商务中数据的保密性、完整性、真实性和不可否认性。1、对称密钥加密对称密钥加密也叫秘密/专用密钥加密(Secret Key Encryption),即发送和接受数据
4、的双方必须使用相同的对称的密钥对明文进行加密和解密运算。最著名的对称密钥加密标准是数据加密标准(Data Encryption Standard,DES)。DES是一种使用56个数据位的密钥来操作64位数据块的块加密算法,由IBM公司推出。目前比DES算法更安全的对称密钥加密算法有:IDEA算法、RC2、RC4算法、Skipjack算法等。2、非对称密钥加密非对称密钥加密也叫公开密钥加密,由美国斯坦福大学赫尔曼教授于1977年提出。非对称密钥加密主要指每个人都有一对唯一对应的密钥:公开密钥和私有密钥,公钥对外公开,私钥由个人秘密保存;用其中一把密钥来加密,就只能用另一把密钥来解密。公开密钥加密
5、技术解决了密钥的发布和管理问题,是目前商业密码的核心。使用公开密钥技术,进行数据通信的双方可以安全的确认对方身份和公开密钥,提供通信的可鉴别性。非对称加密算法主要有:RSA、DSA、Diffie-Hellman、PKCS、PGP等,其中最著名的是RSA算法。二、报文摘要算法报文摘要(Message Digest):就是用HASH算法产生一个最能体现某段信息特征的固定长度的字符串,也称之为“数字指纹”(Digital Fingerprint).报文摘要算法的原理是采用一类特殊的散列函数(HASH函数),对输入的没有长度限制的报文数据方便地计算出固定长度的摘要输出,而且对于不同的输入报文很难生成相
6、同的摘要。报文摘要算法主要有安全散列算法和RSA公司的MD算法系列。Hash函数 Hash函数又名信息摘要(message digest)函数,可将一任意长度的信息浓缩为较短的固定长度的数据。其特点是:1.浓缩结果与源信息密切相关,源信息每一微小变化,都会使浓缩结果发生变化。 2. Hash函数所生成的映射关系是多对一关系。因此无法由浓缩结果推算出源信息。 3.运算效率较高。Hash函数一般用于为信息产生验证值,此外它也被用于用户密码存储。为避免密码被盗用,许多操作系统(如Windows NT、Unix)都只存储用户密码的Hash值,当用户登录时,则计算其输入密码的Hash值,并与系统储存的值
7、进行比对,如果结果相同,就允许用户登录。Hash函数另一著名的应用是与公用钥匙加密法联合使用,以产生数字签名。 三、安全套接层协议(SSL)安全套接层协议 SSL( SSL Secure Sockets Layer)SSL协议提供的服务可以归纳为以下三个方面:1.用户和服务器的合法性认证 2.数据加密 3.维护数据的完整性SSL协议层包括两个协议子层:SSL记录协议与SSL握手协议 (1)SSL记录协议基本特点:1连接是专用的 2连接是可靠的(2)SSL握手协议基本特点:1能对通信双方的身份的认证 2进行协商的双方的秘密是安全的 3协商是可靠的 SSL安全技术在互联网服务器和客户机间提供了安全
8、的TCP/IP通道。 SSL可用于加密任何基于TCP/IP的应用,如HTTP、Telnet、FTP等。SSL协议属于网络对话层的标准协议,而SET协议是在对话层之上的应用层的网络标准协议 四、SET协议SET,即安全电子交易协议 (SET Secure Electronic Transaction)SET最初是由VISA CARD 和MASTER CARD合作开发完成的,其它合作开发伙伴还包括GTE、IBM、Microsoft、Netscape、SAIC、Terisa和VeriSign等。SET协议主要使用的技术包括:对称密钥加密、公共密钥加密、哈希(HASH)算法、数字签名技术以及公共密钥授
9、权机制等。 SET采用RSA公开密钥体系对通信双方进行认证,利用DES、RC4或任何标准对称加密方法进行信息的加密传输,并用HASH算法来鉴别消息真伪,有无涂改。SET体系中有一个关键的认证机构(CA),CA根据X.509标准发布和管理证书。SET协议运行的目标 :1.保障信息传递的安全性 2.保密性3.保证交易各方身份的真实性 4.保证网上交易的实时性 5.标准化、规范化SET协议涉及的对象:消费者、在线商店 、收单银行 、电子货币发行机构、认证中心(CA) 五、数字信封数字信封(也称为电子信封)并不是一种新的加密体系,它只是把两种密钥体系结合起来,获得了非对称密钥技术的灵活和对称密钥技术的
10、高效。数字信封:用公开秘钥对私有秘钥进行加密就形成了数字信封。数字信封使网上的信息传输的保密性得以解决六、数字签名数字签名就是通过一个单向函数对要传送的报文进行处理得到的,用以认证报文来源并检验报文是否发生变化的一个字母数字串,用这个字符串来代替签名或印章,起到与书写签名或印章同样的法律效用。简单讲经过加密的信息摘要就形成了数字签名。数字签名技术的目的是保证信息的完整性和真实性,具体来讲数字签名技术就要保证以下两点:1.文件内容没有被改变2.文件出自签字人之手和经过签字人批准(即签字没有被改动)七、数字证书:网络通信中标志通信各方身份信息的一系列数据,提供了一种在Internet上验证身份的方
11、式。数字证书最重要的信息是一对公用密钥体系中的密钥。数字证书的关键就是认证中心。网络发证机关(CA,Certificate Authority)是专门负责颁发公用钥匙持有证书的机构。 其与网络用户的关系如图所示八、公钥基础设施(PKI)1、 PKI简介:公钥基础设施PKI ( PKI Public Key Infrastructure )最主要的安全技术:(1)公钥加密技术(2)数字签名技术2 、 PKI的主要功能:(1)签发数字证书(2)作废证书(3)签发与发布证书作废表(4)存储与检索证书和证书作废表(5)密钥生成(6)密钥备份和恢复(7)密钥作废与更新(8)密钥归档(9)时间戳(10)基
12、于策略的证书校验注册管理 :认证中心(CA) 、 注册机构(RA)CA功能 Certificate Authority,认证中心 1. 签发证书:(1)证书序列号(2)证书所有者的唯一识别名(3)证书所有者的公开密钥(4)证书的有效期(5)CA对证书的数字签名等2. 作废证书证书管理1. 证书的存取(1) 证书存取库(Repository) (2)轻量目录访问协议(LDAP) 2. 证书链校验 (1)根认证中心(Root CA)(2)策略认证中心(Policy CA)(3)用户认证中心(User CA)(4)最终用户证书 3. 交叉认证(两个要点):(1) 两个CA建立起信任关系(2) 利用C
13、A的交叉证书校验最终用户的证书密钥管理:1.每个用户拥有两个公私密钥对 2.密钥的生命期1)密钥产生 2)密钥备份和恢复 3)密钥更新4)密钥归档 5)密钥销毁 3 、 PKI相关的国际标准定义PKI的标准: 1.国际电信联盟X.509协议2. PKCS美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准3.PKIXIETF组织中的PKI工作小组制定的系列国际标准依赖于PKI的标准 :1.安全的多用途互连网邮件扩展协议(S/MIME)2. 安全的套接层协议(SSL)、传输层安全协议(TLS)3. IP安全协议(IPSEC) 第三节电子商务和支付系统一、传统支付与结算的发展和方式1、支付结
14、算的概念:支付是为了清偿商务伙伴间由于商品交换和劳务活动引起的债权、债务关系,由银行所提供的金融服务业务,而这种结清债权和债务关系的经济行为就称为结算。中国票据法和支付结算办法中规定,支付结算的涵义是指单位、个人在社会经济活动中使用票据、信用卡和汇兑,托收承付、委托收款等结算方式时进行货币级支付及资金结算的行为。2、支付结算的特征(1)支付结算必须通过中央银行批准的金融结构进行。这与一般的货币给付及资金结算行为不同。(2)支付结算是一种必须使用一定法律形式而进行的行为。(3)支付结算的发生取决于委托人的意志。(4)支付结算实行统一和分级管理相结合的管理体制。3、常见的传统支付结算方式:(1)物
15、物交换的支付结算方式(2)货币支付结算方式以货币作为交换的媒介物;货币依次采用过:实物货币(如牛羊)贵金属货币(如金银)纸币等不同的形式在交易时采用“一手交钱,一手交货”的即时支付结算方式。(3)银行转账支付结算方式a.以银行信用为基础,借助银行为支付结算中介的货币给付行为,称之为银行转账支付结算方式;b.采用的支付手段包括现金、支票、本票、汇票、汇兑、委托收付、信用卡、信用证等;c.银行的资金转账支付结算方式主要有以下五类:信用卡支付结算 资金汇兑 支票支付结算自动清算所ACH(Automatic Clearing House)支付电子资金转账EFT(Electronic Funds Tra
16、nsfer)二、传统支付结算方式的缺陷性1、运作速度与处理效率比较低;2、大多数传统支付结算方式在支付安全上问题多,伪币、空头支票等现象造成支付结算的不确定性和商务风险增加,特别是跨区域远距离的支付结算;3、绝大多数传统支付结算方式应用起来并不方便,各类支付介质五花八门,发行者众多,使用的辅助工具、处理流程、应用规则和规范也均不同,这些给用户的应用造成了困难。4、传统的支付结算方式由于涉及较多的业务部门、人员、设备与较为复杂的业务处理流程,运作成本较高;5、传统的支付方式为用户提供全天候跨区域的支付结算服务不容易,甚至于很难;6、传统的支付结算方式特别是中国企业比较流行的纸质支票的应用并不是一
17、种即时的结算,企业资金的回笼有一定的滞后性,增加了企业的运作资金规模;现金的过多应用给企业的整体财务控制造成一定的困难,同样对国家控制金融风险不利,且给偷税漏税、违法交易提供了方便。三、支付是电子商务发展的瓶颈之一1、信息化、网络化要求高效准确、快捷安全、全天候、跨区域的新的商务活动电子商务2、信息网络技术的进步,电子商务的发展,都呼唤高质量、高效率、电子化、安全可靠的新的支付结算方式;3、传统支付结算方式的局限性; 4、中国目前金融电子化和信息化水平较低;5、人们悠久而固执的传统支付结算习惯。四、网络支付与结算的兴起1、网络支付与结算方式(1)网络支付结算的兴起:信息技术、网络技术、Inte
18、rnet 技术的发展;电子商务的发展和网络交易活动的不断拓展;(2)网络支付与结算的概念以电子商务为商业基础,以商业银行为主体,依托安全的Internet技术运作平台 ,通过网络进行的、为交易的客户间提供货币支付或资金流转等的现代化支付结算手段。它可以理解为电子支付的高级方式。2、电子商务推动多种支付方式的发展(1)电子商务的巨大潜力为各种支付方式提供了市场需求。(2)Internet将世界各地的付款者和收款者联系到一起,这些付款者和收款者来自不同法律制度的国家和不同的商业结构,并且已经接受不同的支付方式。因此,系统需要支持多种类型的支付方式。(3)作为一个开放网络,Internet要求安全技
19、术保障。3、Internet支付系统的主要构成要素(1)金融结构(2)付款者和收款者(3)第三方非金融结构(4)各种金融网络4、支付模型的选择(1)电子商务环境下的支付模型:电子支付模型:是指各种电子支付方式的有机组合。(2)支付模型的选择标准:主要涉及风险、费用和方便性等方面,其中最重要的是付款者和收款者的关系、影响支付的风险及费用的平衡。5、常见的电子支付方式(1)电子支票(E-check)(2)电子信用卡(3)电子现金(E-cash)(4)微支付(MicroPayments)6、根据支付的商业环境来选择支付方式(1)如果商业顾客和供应商之间的关系是长期的,供应商可以接受延期支付的风险,来
20、鼓励一个长期的重复订购关系。在此种情况下可以选择的支付方式有纸面支票、电子支票、自动清算系统、财务电子数据交换和电汇等。这些支付方式可最小化费用但是没有提供不付款的保护。(2)顾客和商家长期重复支付的情况下,可选的支付方式有:顾客授权供货商自动从顾客的信用卡、支票或存款帐户扣出支付,而不需要预先通知。顾客通过电子函件接受到一个账单并且没有异议,达到规定时间间隔后,商家从顾客的信用卡、支票或存款帐户划拨。7、网络支付与结算面临的挑战(1)信誉不足,相关知识缺乏致使企业与客户普遍对网络支付结算的安全性、方便性持怀疑态度,对采用网络支付持谨慎心态,甚至是消极状态。(2)网络支付与结算方式改变了电子商
21、务双方支付结算的方式,需要改变过去的传统支付结算习惯,很多商家、客户难以适应和接受,进而抵制电子商务。(3)网络支付与结算需要一个完善的技术平台和管理机制,中间应用了很多高科技技术,目前很多银行的技术与管理控制能力还不足以支撑网络支付结算的可靠运转。(4)电子商务中网络支付与结算采用的方式能否真正做到低成本、快捷方便、安全可靠,还有待观察。本章思考题1、电子商务安全规范包括哪些主要内容?2、电子商务系统安全包括那两个层次?3、电子支付系统的主要构成要素有哪些?第二章 电子商务系统的安全需求电子商务给人们带来极大方便的同时,也带来了极大的安全隐患。第一节 安全问题产生一、交易的三个基本环节:不管
22、是传统商务交易活动,还是电子商务交易活动,其过程都可简单地概括为:查询、订货和交易三个环节。二、电子商务交易的基本过程1、客户在INTERNET上查询自己想购买的商品;2、客户输入定单,包括从网上商店购买的商品名称、数量、送货方式、时间、地点、收货人等;3、商家在得到订单信息后, 向顾客提供所购商品的单价、应付款、交货方式等信息;4、客户在确认上述信息后,用电子钱包或其他方式付款,例如:用信用卡付款。5、信用卡号码经过加密后发送到相应银行,商家收到的是经过加密的购货帐单,而不是直接得到信用卡信息,这样就保证了客户的信用卡信息不会泄露。6、如果经银行证明客户信用卡有效授权,商家就可以准备发货。同
23、时,商家留下整个交易过程中发生的财务数据,并且出示一份电子收据给消费者。7、上述交易过程完成后,销售商店就按照订单配送货物。银行在上述整个交易活动中处于重要地位,数据加密、数字签名等技术在其中发挥着重要作用。三、电子商务系统面临的主要威胁1、系统穿透2、违反授权原则3、在系统中植入非法程序4、通信监视5、通信干扰6、中断7、拒绝服务8、否认四、电子商务系统的安全需求电子商务系统的安全需求可分为交易环境的安全性、交易对象的安全性、交易过程的安全性和支付的安全性四个方面。1、交易环境的安全性:是指电子商务系统所采用的软硬件环境的安全,包括系统平台、网络通信、数据以及应用软件的安全。2、交易对象的安
24、全性:是指电子交易涉及的持卡人、发卡机构、商家、受卡行和支付网关等主题体对象的真实性和可信性。3、交易过程的安全性:是指各交易对象进行网上交易的可信性和不可抵赖性。4、支付的安全性:就是保障支付过程的真实性、可靠性、保密性。第二节 交易环境的安全性电子商务活动基于Internet的虚拟环境,因此,电子商务交易环境安全很大一部分涉及WWW的安全,本节以WWW安全为主展开介绍。一、客户机的安全性1、活动内容活动内容是指在页面上嵌入的对用户透明的程序,它可以完成一些动作。活动内容可显示动态图像、下载和播放音乐,或实现基于WWW的电子表格程序。活动内容的形式:Java小应用程序、ActiveX控件、J
25、avaScript和VBScript。活动内容的启动:用户用浏览器可查看一个带有活动内容的WWW页面,小应用程序会随用户所看到的页面自动下载下来并开始在用户的计算机上启动运行。活动内容启动时存在的问题:由于活动内容模块是嵌在WWW页面里的,它对浏览页面的用户是完全透明的,企图破坏客户机的人可将破坏性的活动内容放进表面上看起来安全无害的WWW页面中(这种技术称之为特洛伊木马)。在WWW页面中加入活动内容为电子商务带来了多种威胁:通过WWW页面潜入的有恶意的程序可使通常存在Cookis里的信用卡号、用户名和口令等信息泄露。可以用一些专用软件或工具帮助识别、管理、显示和删除Cookis。2、Java
26、、Java小应用程序和JavaScript嵌入在WWW页面中的Java小应用程序可实现客户端的各种各样应用,这解放了非常繁忙的服务器,JAVA代码一旦在客户机上下载并运行,可能带来各种安全隐患。解决这个问题,专家提出了称为JAVA“运行程序安全区”的安全模式。遵守运行程序安全区原则的JAVA小应用程序不能执行文件输入、输出或删除操作,这就防止了破坏保密性和完整性的安全危险。当用户下载嵌入JavaScript代码的页面时,此代码就在客户机上运行。JavaScript会侵犯保密性和完整性,它会破坏硬盘,把电子函件的内容泄密或将敏感信息发给某个WWW服务器。还可以把所访问页面的URL记下来,捕捉填入
27、任何表中的信息等。JavaScript和Java小应用程序的区别: JavaScript程序不能自行启动,但它不在JAVA运行程序安全区的安全模式限制下运行。3、ActiveX控件ActiveX控件是一个对象,它含有由页面设计者放在页面来执行特定任务的程序。ActiveX控件只能在Windows环境下和支持 ActiveX控件的浏览器上运行。ActiveX控件的安全威胁:由于ActiveX控件可全权访问用户计算机中的所有系统资源,它能破坏保密性、完整性和即需性。4、图形文件、插件和电子函件的附件图形文件、插件和电子函件的附件均可存储可执行的内容,有些恶意代码或程序嵌入其中,将带来安全威胁。二、
28、通信信道的安全性1、对保密性的安全威胁:利用探测程序等特殊软件通过网络或通信线路截取敏感信息或个人机密信息。2、对完整性的安全威胁 3、对即需性的安全威胁也叫延迟安全威胁或拒绝安全威胁,其主要目的是破坏正常的计算机处理或完全拒绝处理。三、服务器的安全性1、WWW服务器的安全性在高权限下运行的WWW服务程序对WWW服务器构成安全威胁。WWW服务器不更改目录显示的缺省设置会对保密性构成威胁。WWW服务器要求用户输入用户名和口令时,其安全性也受到威胁。FTP程序会对WWW服务器的完整性带来安全威胁。2、公用网关接口的安全性以高权限运行的CGI脚本能自由访问系统资源,一旦有恶意CGI程序运行能够使系统
29、失灵。对废弃的CGI脚本的追踪,以非法访问WWW服务器及其资源。CGI脚本的运行不受Java运行程序安全区的限制。3、其他程序的安全性:对WWW服务器的攻击可能来自服务器上所运行的任何程序:如溢出、邮件炸弹、拒绝服务等。第三节 交易对象和交易过程的安全性一、电子交易的主体对象:1、客户或持卡人2、发卡机构3、商家4、受卡行5、支付网关二、典型电子交易过程:1、持卡人浏览网上商品2、持卡人选购商品,得到一个订货单3、持卡人选择付款方式4、持卡人将订货单和付款指令发给商户5、商户通过银行验证持卡人的帐号信息6、商户接收订货合同7、商户按订单将货物发给持卡人8、商户通过持卡人的开户行接收货款三、交易
30、双方面临的安全威胁:1、商家面临的主要安全威胁:(1)中央系统安全被破坏(2)竞争者检索商品递送情况(3)客户资料被竞争者获释(4)被他人假冒而损害公司信誉(5)消费者提交订单后不付款(6)虚假订单(7)获取他人的机密数据2、消费者面临的主要安全威胁:(1)虚假订单(2)付款后不能收到商品(3)机密性丧失(4)拒绝服务三、黑客攻击电子商务系统的主要手段1、中断(攻击系统的可用性)2、窃听(攻击系统的机密性)3、篡改(攻击系统的完整性)4、伪造(攻击系统的真实性)四、进行网上电子交易的安全性要求1、真实性要求2、有效性要求3、机密性要求4、完整性要求5、不可抵赖性要求第四节 网上支付的安全需求电
31、子商务中的网上支付结算体系是融购物流程、支付工具、安全技术、认证体系、信用体系及现在的金融体系为一体的综合大系统。一、与支付有关的信用体系的建立与完善1、支付承诺2、对违法者的惩罚3、信用积累制度4、身份认证二、网上支付系统的安全需求:1、使用X.509数字签名和数字证书实现对各方的认证,以证实身份的合法性。2、使用加密算法对业务进行加密,以防止未被授权的第三方获取消息的真正含义。3、使用消息摘要算法以确认业务的完整性。4、保证对业务的不可否认性。5、处理多方贸易的多边支付问题。第五节 电子商务系统的安全措施一、数据安全保护数据安全的主要措施是对数据进行加密。数据加密技术是实现数据的安全性、真
32、实性和完整性的重要手段。常见的数据加密体系有公开密钥加密体制和对称密钥加密体制二、网络安全性1、网络安全规划(1)威胁评估:非授权访问、信息泄露、拒绝服务(2)分布式控制实现网络安全的一种方法,是将一个大型网络中各段的责任和控制权分组管理。子网是分散网络控制的一种强有力手段。分布式控制的责任层次结构从高到低包括网络管理员、系统管理员和用户。(3)编写网络安全策略:网络用户的安全责任、系统管理员的责任、网络资源安全利用规则、检测到安全问题时的对策2、Internet的安全对策(1)电子邮件的安全对策:a. 实现电子邮件安全的手段是加密和签名。b . PEM(privacy enhanced ma
33、il)和PGP(pretty goog privacy):是实现电子邮件安全的两个代表性的策略。(2)WWW服务器和客户间的安全对策:SHTTP和SSL是两个著名的WWW服务器和客户间的安全对策。(3)为实现应用服务安全的加密与签名技术:以SET形式标准化。(4)Internet与Intranet的安全对策:防火墙技术3、动态网络安全对策解决动态网络安全的主要策略是P2DR模型P2DR模型包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)P2DR模型示意图在策略的指导下,防护、检测和响应组成一个完整的动态的安全环。三、
34、系统安全1、计算机系统安全(1)实现计算机系统安全的一些措施确保安装软件没有已知的安全弱点技术上确保系统具有最小穿透风险,可采取接入认证控制从管理上确保系统被穿透的风险极小化,对所有输入数据进审计,对所有用户严格安全管理 对入侵进行检测、审计和追踪(2)UNIX系统的安全机制:用户帐号的管理、用户组管理、口令维护、超级用户 2、应用系统安全(1)应用系统的可用性管理(2)应用系统的配置文件管理(3)应用系统的运行安全管理思考题1、电子商务系统的安全需求主要包括那几个方面?2、实现INTERNET安全的主要对策有哪些?3、电子商务系统的安全保障技术主要包括哪三个方面?第三章 电子货币与电子银行第
35、一节 电子货币货币:按照马克思的定义,本质上是一般等价物作用的特殊商品,同时,体现一定的社会生产关系。货币的形态:实物货币、金属货币、纸币、存款货币、电子货币等。电子货币是现代商品经济高度发达和银行转帐与结算技术不断进步的产物,代表了现代信用货币形式的发展方向,体现了现代支付手段的不断进化。一、电子货币概述1、电子货币(Electronic Money)的概念广义而言:电子货币是指以电子化机具和各类交易卡为媒介、以计算机技术和通信技术为手段、以电子数据流形式存储在银行的计算机系统并通过计算机网络以信息传递形式实现流通和支付功能的货币。2、电子货币的运作形态电子货币的运作形态是指电子货币的一般应
36、用方式,即用一定金额的现金或存款从电子货币发行机构兑换,并获得代表相同金额的特殊电子数据,通过使用某些电子化方法将该特殊数据直接转移给支付对象,从而实现债务清偿。电子货币的基本运作形态电子货币发行和运行的基本运作流程分为三个步骤:发行、流通和回收。中介结构介入的典型运作形态有中介机构介入的电子货币发行和运行的运作流程分为五个步骤,涉及五个当事者 3、电子货币的特征(1)形式方面的特征:传统货币以贵金属、纸币等实物形式存在,而且形式比较单一。电子货币是一种电子符号或电子指令,其存在形式随处理的媒体而不断变化。电子货币采用了许多安全保障措施和技术,以保证其使用的安全可靠。(2)技术方面的特征:电子
37、货币使用电子化方法并且采用了安全对策。(3)结算方面的特征:电子货币按支付结算中资金的应用状况表现为预付型、即付型和后付型三种。(4)流通规律的特征:电子货币中只能换手一次必须返回发行者的流通形式,如电子支票。电子货币中可多次换手即多次辗转流通的形式,如电子现金。(5)电子化方法的特征:可分为“支付手段的电子化”和“支付方法的电子化”。支付手段的电子化是对货币价值本身进行电子化,电子货币即电磁记录本身是保有“价值”的,可以理解为“电子等价物”,如电子现金、Mondex等。 “支付方法的电子化”是指支付中使用电子化的方法将“等价物”转移的指令传递给结算服务提供者以完成结算,如ATM转帐结算、银行
38、POS的信用卡结算、电子支票结算等。4、电子货币蕴涵的货币职能一些电子货币如电子现金确实蕴涵着可以执行货币职能的特征和潜力,但目前应用状况基本上还不能视为“通货”,因为缺乏“通”的应用特征。目前电子货币蕴涵着货币作为普遍等价物的功能,由于应用范围上的缺陷性和人们的观念等原因,其仍然依赖实体货币,很难单独执行货币的职能。未来发展:电子货币必将成为名副其实的货币。5、电子货币在网络支付结算中的优势(1)快捷方便(2)处理简单(3)简化国际汇兑(4)安全性(5)汇总统计容易二、电子货币的分类1、按电子货币的支付方式分类(1)“储值卡型”电子货币典型的有金融IC卡目前使用的金融IC卡大约有三种:用完即
39、弃的IC卡 可重复使用的IC卡与用户银行信用卡相结合的IC卡金卡、贵宾卡等(2)“信用卡应用型”电子货币“信用卡应用型”电子货币是指实现网络结算的广义信用卡信用卡本质上是银行或专门的发行公司发给消费者使用的一种信用凭证,是一种把支付和信贷两项银行基本功能融为一体的金融业务。(3)“存款利用型”电子货币 “存款利用型”电子货币是指用一种电子化的支付方法在计算机网络上传递的存款货币。最典型的“存款利用型”电子货币是电子支票。(4)“现金模拟型”电子货币 “现金模拟型”电子货币是利用信息技术完全模仿当前的纸币,是一种能够进行网上即时支付的电子货币。最典型的“现金模拟型”电子货币是数字现金或电子现金。
40、2、按电子货币的流通形态分类(1)开环型电子货币:开环型电子货币是指货币的余额信息在个人或企业之间可以辗转不断地流通下去,信息的流通路径没有限定的终点,不构成固定的流通闭合环路,其流通形态类似于日常生活中的现金,可以无数次换手。目前真正意义上的开环型电子货币只有英国威斯敏斯特国家银行开发的Mondex电子零钱。(2)闭环型电子货币:用电子货币进行支付后,一次支付的余额信息必须返回发行主体进行结算。闭环型电子货币表现出用于支付的金额信息在“发行主体顾客商店发行主体”这样的闭合环路中流动的特征。除电子现金以外的任何电子货币都属于闭环型电子货币三、电子货币发展中的一些问题1、安全性问题概括起来就是:
41、(1)真实性(2)保密性(3)不可否认性(4)有效性(5)完整性一个成熟的电子货币应用系统需要解决安全性、真实性、匿名性和可分性四个关键的技术问题,也就是:(1)要保证网络上在线交易、资金转移和电子货币的绝对安全;(2)买卖双方能够确认收到的电子货币是真实有效的;(3)确保商家、消费者和他们之间的交易是匿名的,以保护相关隐私;(4)电子货币是可以灵活分割使用的。解决电子货币安全问题的总体方法是使用加密技术和建立第三方认证机构2、标准化问题(1)全球经济一体化、电子商务的发展和全球化都要求在全世界范围内实现电子货币标准化。(2)多种电子货币各自为阵、自立标准,限制了电子货币在Internet上的
42、大规模的应用和推广,进而限制了电子商务的效率、方便性,而且重复开发,资源浪费严重,也增加了应用的复杂性,并提高了运作成本。(3)一个成熟良好的电子货币应用策略是在全世界范围内建立统一的电子货币标准。3、法律问题(1)不管传统货币还是电子货币,均可能遇到某些突发事件而造成损失。(2)目前在电子货币的使用上,国际上没有统一公认的相关法律加强对电子货币的监管与责任细分,增加了电子货币支付结算企业或个人的商务风险。(3)如何制定相关法律,加强对电子货币的监管,以便在突发事件发生后明确网络上当事各方的法律责任,已经成为电子货币发展的当务之急。4、审计问题电子货币的主要特性:(1)电子货币体积小甚至无形。
43、(2)电子货币可以方便地进行远距离转移。(3)有些电子货币如电子现金有很强的匿名性。电子货币的以上特性容易被犯罪分子所利用,成为洗钱等犯罪活动的工具。必须研究新技术、新方法和新手段,以加强电子货币的审计,不给犯罪分子可乘之机。四、电子货币的发展现状1、国外发达国家电子货币的发展概况(1)20世纪70年代开始,电子货币特别是信用卡在西方发达国家进入普及应用阶段。(2)20世纪80年代以来,西方发达国家逐步建成覆盖全国或欧美日联通的电子金融结算网络。(3)发展到现在,西方发达国家电子货币的运用基本普及到个人、企业与政府机构,完成了金融电子化阶段而进入信息化阶段。2、我国电子货币的发展概况(1)20
44、世纪90年代以来,以“三金工程”为先导,中国的金融电子化水平有了很大提高。(2)各个银行相继都发行了自己的电子货币,如各种银行卡。(3)以中国银行的电子联行系统为核心,各银行的电子汇兑系统也逐步建立起来。(4)中国与西方发达国家相比,电子货币的普及率、应用水平还有很大差距。五、中国电子货币的应用实例介绍在中国发行的包括信用卡、储蓄卡、IC卡在内的银行卡中,中国建设银行发行的“龙卡系列银行卡”是一个具有很好代表性的电子货币研发、实施和应用实例。第二节 电子银行与银行的电子化一、电子银行的产生与发展1、电子支付系统的建立需求:商品经济发展要求方便快捷的支付结算,并进一步要求银行业务处理方式的变革。
45、计算机技术、网络技术、通信技术和其他信息技术的发展为银行业务处理方式的变革提供了技术支持。建立基于信息技术之上的电子支付系统是现实的需求。2、电子支付系统的出现与发展C&C技术与银行业务处理的结合,形成各种电子支付结算系统。电子支付系统大大加快了资金的流动速度。EFT系统、信用卡支付系统等电子支付系统的出现,就是银行电子化的开始。3、电子银行的产生与概念20世纪80年代中期以前,主要实现各个银行以EFT为基础的电子化业务处理系统的互通互联、综合集成,使银行能跨行、跨区域地能为客户提供方便快捷的基础金融业务。20世纪80年代后期至90年代初期,IT技术的不断发展及在金融领域的广泛应用,银行逐步建
46、立起“以客户为中心”的管理体系和科学的金融监控体系。随着银行电子化和信息化的不断推进,银行EFT系统逐渐发展成电子银行系统,银行也从手工操作逐步发展成高度自动化和现代化的电子银行。电子银行就是以信息技术和网络技术为基础,借助各种电子业务系统,通过网上电子传输的办法,向顾客提供全方位、全天候、高品质、安全可靠的金融服务,并实现了经营管理和安全监控信息化的银行。电子银行从根本上改变了传统银行的业务模式、管理模式和管理体制,建立了以信息为基础的自动化业务处理和以客户关系管理为核心的科学管理新模式。4、电子银行的发展传统银行一般只进行金融交易,只起信用中介作用,而电子银行则表现为进行金融交易和金融信息
47、交换两个主要方面,具有支付结算服务和金融信息增值服务两种功能。银行的电子化建设开始于20世纪50年代。20世纪80年代后期开始进入电子银行时代。20世纪90年代,电子银行通过与Internet的Web技术结合,诞生了网络银行。网络银行是电子银行发展到目前为止的最高层次,它提供基于Internet的各种银行综合业务。二、电子银行的体系结构1、电子银行的系统构成(1)电子银行的基本结构与EFT系统类似(2)电子银行的金融信息和交易体系,该体系的核心是客户,第二层是会计结算,第三层是包含支付结算在内的交易服务,最外层是金融信息服务。(3)现代电子银行体系包含以下三类系统:建立在联机的集中式(或分布式)业务数据库上的金融综合业务服务系统。建立在数据仓库之上的以IT为核心的金融增值信息服务系统。金融安全监控和预警系统2、电子银行的金融综合业务服务系统体系结构设计目前国际银行普遍采用的一种典型的电子