计算机网络应用技能教程 项目7 风险与安全

项目七风险与安全任务一网上银行的风险与管理据《2008中国网上银行调查报告》显示：中国网上银行总体发展继续保持快速增长的势头，用户量及交易量同期高速增长。此外，网上银行对于传统柜台业务的替代性也进一步提升。全国范围内，个人网银用户比例为19.9%。在10个经济发达城市中，2008年使用个人网上银行的用户比例达到44.9%，比2007年高出7.1%。而在企业用户市场，这一趋势则更为明显：2008年全国企业网银用户的比例达到42.8%；在2008年10个经济发达城市调查结果中，使用企业网上银行的用户比例继续增长，比2007年增长了10.3个百分点。从不同规模企业网银用户总体发展情况看，企业规模越大，使用网银的比例越高。任务情境在另一项关于网银用户行为特征的调查中，安全性再次成为关注重点，调查结果显示：无论对企业网银用户还是个人用户（包含活动用户和潜在用户）而言，网银的安全性能仍然是他们选择网银时最看重的因素.任务一网上银行的风险与管理任务情境提出任务：1.什么是网上银行？2.网上银行面临的风险由哪些？3.如何应对网上银行的风险防范？本任务将从网上银行的定义入手，通过了解网上银行的基本系统框架，分析网上银行面临的风险和威胁，提出解决网上银行风险防范的办法。任务一网上银行的风险与管理任务情境1、了解网上银行1）网上银行的概念所谓网上银行，是指借助于互联网技术向客户提供金融信息和金融交易类服务的新兴银行。2）网上银行的特点全天候的服务\传统商业银行结构和运行模式的变革\运营成本成倍降低任务一网上银行的风险与管理任务分析2、网上银行的基本系统架构传统柜台和ATM一样，网上银行本质上是一个银行业务渠道系统，其基本架构可分为三部分：客户端、后台处理系统和CA认证中心，并通过银行自身的金融业务网接入其核心账务处理系统。任务一网上银行的风险与管理任务实施3、网上银行面临的风险（1）投入不足风险。（2）软件设计不规范风险。（3）内部管理风险。（4）信息传输风险。（5）外包风险。（6）客户安全意识风险。任务一网上银行的风险与管理任务实施4、网上银行的风险防范从银行方面：（1）加强风险提示和安全常识宣传，提高公众的风险防范意识。（2）加快相关法律法规建设，提高对网上银行违法犯罪的法律适用性和打击力度。（3）银行应建立一套科学有效的内控机制，实现内部管理和操作的制度化与规范化。（4）银行应加强技术防范体系，提高网上银行的抗攻击能力。（5）必须对网络设施、安全产品和服务器的安全配置制定产品级安全策略（6）必须做好关键设施的备份工作（7）银行必须不断地研究新技术、应用新技术，不断提高网上银行的安全技术水平。任务一网上银行的风险与管理任务实施从网上银行用户方面：（1）保护好网上银行的信息（2）做好交易记录（3）谨防钓鱼网站（4）不要把所有银行卡都绑定网银（5）健全软件(6)采用实体证书任务一网上银行的风险与管理任务实施随着电子商务的发展,网络银行、网络营销、网上购物、网上支付、网络广告等一大批前所未闻的新词汇正在为人们所熟悉和认同的时候电子商务中的网络安全问题也越来越多，如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为商家和用户都十分关心的话题。因此掌握和了解一些电子商务的网络安全技术意义重大。电子商务实际是基于互联网络开展的各种商务活动，由于Internet本身具有开放性，且交易各方具有不直接对面性，其资金流转具有计算机处理性和网络传输性，使得交易的安全成为了电子商务发展的核心和关键问题。任务二了解网络安全技术任务情境提出任务：1、电子商务对安全有何要求？2、根据电子商务的特点，一般使用哪些网络安全技术？任务二了解网络安全技术本任务将根据电子商务的特点，通过分析电子商务对安全的需求，进而了解电子商务中所使用的安全技术。通过对电子商务的安全需求和电子商务中采用的安全技术的了解，为我们以后电子商务活动中，如何保障电子商务安全打下坚实的基础。任务情境1、电子商务对安全的要求（1）有效性、真实性。（2）机密性。（3）数据的完整性。（4）可靠性、不可抵赖性和可控性。任务二了解网络安全技术任务实施2、电子商务系统中使用的安全技术（1）网络安全技术（2）信息加密技术。（3）数字签名技术。（4）防火墙技术。（5）入侵检测系统。（6）安全认证技术。（7）防病毒系统。任务二了解网络安全技术任务实施任务三CA安全控制及管理随着计算机网络技术的迅速发展和信息化建设的大力推广，越来越多传统办公和业务处理模式开始走向电子化和网络化，从而极大地提高了效率、节约了成本。与传统的面对面的手工处理方式相比，基于网络的电子化业务处理系统必须解决以下问题：1、如何在网络上识别用户的真实身份；2、如何保证网络上传送的业务数据不被篡改；3、如何保证网络上传送的业务数据的机密性；4、如何使网络上的用户行为不可否认；任务情境基于公开密钥算法的数字签名技术和加密技术，为解决上述问题提供了理论依据和技术可行性；同时，《中华人民共和国电子签名法》的颁布和实施为数字签名的使用提供了法律依据，使得数字签名与传统的手工签字和盖章具有了同等的法律效力。PKI（PublicKeyInfrastructure）是使用公开密钥密码技术来提供和实施安全服务的基础设施，其中CA（CertificateAuthority）系统是PKI体系的核心，主要实现数字证书的发放和密钥管理等功能。数字证书由权威公正的CA中心签发，是网络用户的身份证明。使用数字证书，结合数字签名、数字信封等密码技术，可以实现对网上用户的身份认证，保障网上信息传送的真实性、完整性、保密性和不可否认性。数字证书目前已广泛应用于安全电子邮件、网上商城、网上办公、网上签约、网上银行、网上证券、网上税务等行业和业务领域任务三CA安全控制及管理任务分析1、认识CA系统和数字证书CA（certificationauthority）是以构建在公钥基础设施PKI（publickeyinfrastructure）基础之上的产生和确定数字证书的第三方可信机构（trustedthirdparty），其主要进行身份证书的发放，并按设计者制定的策略，管理电子证书的正常使用。目前在实际应用中主要存在两种类型的CA：（1）独立的第三方CA（2）各类应用系统自己建设的CA任务三CA安全控制及管理任务实施2、CA认证体系的组成（1）KMC（密钥管理中心）：提供加密证书密钥对进行全过程管理的功能，包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等；（2）CA（证书签发管理系统）：提供用户数字证书的签发和管理；（3）RA（证书注册管理系统）：提供用户数字证书的申请、身份审核、证书下载与证书管理等服务。任务三CA安全控制及管理任务实施3、CA认证体系的职责和功能CA至少担负着以下几项具体的职责：（1）验证并标识公开密钥信息提交认证的实体的身份；（2）确保用于产生数字证书的非对称密钥对的质量；（3）保证认证过程和用于签名公开密钥信息的私有密钥的安全；（4）确保两个不同的实体未被赋予相同的身份，以便把它们区别开来；（5）管理包含于公开密钥信息中的证书材料信息，例如数字证书序列号、认证机构标识等；（6）维护并发布撤销证书列表；（7）指定并检查证书的有效期；（8）通知在公开密钥信息中标识的实体，数字证书已经发布；（9）记录数字证书产生过程的所有步骤。任务三CA安全控制及管理任务实施•任务实施CA安全认证体系的功能：CA安全认证体系的主要功能包括：签发数字证书、管理下级审核注册机构、接受下级审核注册机构的业务申请、维护和管理所有证书目录服务、向密钥管理中心申请密钥、实体鉴别密钥器的管理，等等。•CA金融体系就是金融系统的CA认证。任务三CA安全控制及管理任务实施4、数字证书的应用无论网络实名接入认证还是多种资源的复杂业务访问都离不开数字身份的安全管理。数字身份的应用范畴包括人员、机构、网络、设备、应用系统等等。人员、机构、网络、应用系统都需要拥有自己的数字身份，在相互访问时，对彼此数字身份进行认证，并依据安全策略，进行访问控制。任务三CA安全控制及管理任务实施5、支付宝数字证书的申请（1）登陆支付宝网站（），登陆支付宝账户，依次选择“安全中心”—“安全产品”。（2）选择安装数字证书助手的ActiveX控件。（3）输入身份证号码、使用地点和验证码。（4）输入收到的短信验证码。（5）提示“数字证书已经安装成功”。任务三CA安全控制及管理任务实施