网络金融安全

单击此处添加标题TEXT一.网络金融安全概述二.网络金融安全技术三.网络金融重要安全事件一.网络金融安全概述网络金融安全包括网络安全，数据安全，应用系统安全，通俗来讲，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改和泄漏。1.网络金融用户分类：(1)个人用户(2)企业用户2.网络金融主要活动：(1)网络银行包括账户查询，电子支付，代收代缴，理财等等。(2)网络证券包括股票交易、债券交易(3)网络保险咨询、评估、购买、理赔3.网络金融用户面临的问题资金安全性信息保密性协议有效性4.网络金融活动中的密码安全措施(1)软键盘技术主在是防止计算机中可能存在的木马程序恶意记录键盘输入的密码。(2)动态口令可以有效保护交易和登录的认证安全，采用动态口令无需定期密码，对企事业内部应用尤其有用。动态令牌即是用来生成动态口令终端。(3)USBkey对于银行来讲叫U盾。对于其他行业讲叫加密狗。将客户端登录时所需的认证信息均可写入到usbkey内，从而让key取代传统的“用户名+密码”的登录方式。二.网络金融安全技术网络金融安全安全技术包括防火墙技术，入侵检测技术IDS，网络加密安全协议SSL和SET等，这些技术随着网络的发展也在不断进步。单击此处添加标题TEXT防火墙和入侵检测系统IDS1.防火墙(1)定义(2)特性(3)设计原则(4)作用(5)组成内联网Email处理域名服务网关代理认证SOCKS过滤器因特网安全操作系统(6)分类数据包过滤应用级网关代理服务2.入侵检测系统IDS(1)定义(2)分类：基于主机模型基于网络模型基于标识基于异常情况实时入侵检测事后入侵检测(3)缺点：IDS对数据的检测对IDS自身攻击的防护单击此处添加标题TEXT网络安全加密协议SSL和SET1.SSL协议全称是SecuritySocketLayer，为Netscape所研发，用以保障在Internet上数据传输的安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。(1)SSL协议提供的主要服务:认证用户和服务器，确保数据发送到正确的客户机和服务器加密数据以防止数据中途被窃取维护数据的完整性，确保数据在传输过程中不被改变(2)基于SSL的电子交易过程:持卡人特约商店收单银行，选购商品生成订单认证商家建立连接发送订单支付信息通知交易成功请求响应支付2.SET协议SecureElectronicTransaction，被称之为安全电子交易协议，是由MasterCard和Visa联合Netscape，Microsoft等公司，于1997年6月1日推出的一种新的电子支付模型，主要是为了解决用户，商家，银行之间通过信用卡的交易而设计的，目前成为目前公认的信用卡网上交易的国际标准。基于SET的电子交易过程:持卡人特约商户收单银行订单确认确认签发付款指令订单支付确认提供货物或服务输入订单请求支付许可返回确认信息请求支付支付完成3.SET与SSL协议交易过程对比:交易模式SETSSL优点身份确认、交易安全、资料完整、交易不可否认消费者使用方便缺点需要向银行取得信用卡和在线取得数字证书的时间和动作风险负担较大、黑客容易侵入、信用卡易被冒刷和外漏安全性高低风险责任归属SET相关银行组织商家及消费者三.网络金融重要安全事件随着我国网络经济的迅速发展，一些安全事件频频发生，折射出我国网络金融发展过程中所面对的巨大挑战。超级网银授权漏洞2013年6月，“超级网银”授权漏洞风波爆发，安徽的陈女士在网购时被骗子诱导进行了“超级网银”授权支付操作，短短24秒内10万元被骗。陈女士店家厂家④支付货款“QQ客服”⑥链接⑦签约授权陈女士并未泄露密码，骗子如何得逞？那么，问题来了：骗子登陆本人网银账户选择“签约他行账户”陈女士户名、账号、开户行信息跳转到陈女士开户行的网银界面陈女士链接证件号码、登陆密码、附加码插入U盾确认支付协议完成交易取得账户操作权包括转账“超级网银”的授权操作存在的安全风险第一，“超级网银”授权不会对双方身份和关系进行验证第二，授权操作的过程比较简单，只需将授权页面的链接复制下来，通过聊天软件发送给他人“签约”，就可以在不同电脑上实现授权。第三，部分银行没有在授权界面中提醒用户设置额度，获得授权的账户可以无限制转账。第四，个别银行解除授权的操作比授权更复杂，甚至只允许被授权账户确认解除。总之不要相信陌生人听妈妈的话