《電子商務(wù)安全技術(shù)》 課件 模塊4、5 電子支付與網(wǎng)上銀行、電子商務(wù)安全管理

電子支付與網(wǎng)上銀行模塊四學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全學(xué)習(xí)單元一電子支付基礎(chǔ)知識(shí)學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)1.電子支付常見(jiàn)的業(yè)務(wù)類型（1）網(wǎng)上支付網(wǎng)上支付是電子支付的一種形式。廣義地講，網(wǎng)上支付是以互聯(lián)網(wǎng)為基礎(chǔ)，利用銀行所支持的某種數(shù)字金融工具，在消費(fèi)者和商家之間產(chǎn)生金融交換，從而實(shí)現(xiàn)從消費(fèi)者到金融機(jī)構(gòu)、商家之間的在線貨幣支付、現(xiàn)金流轉(zhuǎn)、資金清算、查詢統(tǒng)計(jì)等，由此向電子商務(wù)服務(wù)和其他服務(wù)提供金融支持。一、電子支付的類型及其基本特點(diǎn)（2）電話支付電話支付是電子支付的一種線下實(shí)現(xiàn)形式，是指消費(fèi)者使用電話（固定電話、手機(jī)等）或其他類似電話的終端設(shè)備，通過(guò)銀行系統(tǒng)就能從個(gè)人銀行賬戶里直接完成付款的支付方式。（3）移動(dòng)支付移動(dòng)支付是使用移動(dòng)設(shè)備通過(guò)無(wú)線方式完成支付行為的一種支付方式。移動(dòng)支付所使用的移動(dòng)終端可以是手機(jī)、掌上電腦（PDA）、便攜臺(tái)式機(jī)（移動(dòng)PC）等。學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)2.電子支付的特點(diǎn)電子支付在我國(guó)的發(fā)展始于網(wǎng)上銀行業(yè)務(wù)，隨著各大銀行的網(wǎng)上繳費(fèi)、移動(dòng)銀行和網(wǎng)上交易等逐漸發(fā)展起來(lái)，是電子商務(wù)的核心特征之一。與傳統(tǒng)的支付方式相比，電子支付具有很多獨(dú)特的特征，具體見(jiàn)表4-1-1。學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)1.電子支付系統(tǒng)的構(gòu)成電子支付系統(tǒng)是一個(gè)由買（消費(fèi)者）賣（商家）雙方、網(wǎng)絡(luò)金融服務(wù)機(jī)構(gòu)、網(wǎng)絡(luò)認(rèn)證中心、電子支付工具等各方組成的綜合性系統(tǒng)，如圖4-1-1所示。二、電子支付系統(tǒng)2.電子支付系統(tǒng)的功能（1）使用數(shù)字簽名和數(shù)字證書實(shí)現(xiàn)對(duì)各方的認(rèn)證為了實(shí)現(xiàn)協(xié)議的安全性，必須對(duì)參與交易的各方身份進(jìn)行有效性的認(rèn)證。（2）對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)的完整性商家一般可以利用消息摘要算法對(duì)數(shù)據(jù)進(jìn)行加密，以確保數(shù)據(jù)的完整性。（3）保證業(yè)務(wù)的完整性和不可抵賴性可以使用消息摘要算法以保證業(yè)務(wù)的完整性和不可抵賴性。（4）處理多方貿(mào)易業(yè)務(wù)的多邊支付問(wèn)題這種多邊支付的關(guān)系可以通過(guò)雙重簽名等技術(shù)來(lái)實(shí)現(xiàn)。學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)3.電子支付系統(tǒng)的安全需求（1）完整性與授權(quán)一個(gè)具有完整性的支付系統(tǒng)不允許一個(gè)用戶在沒(méi)有另一個(gè)用戶明確授權(quán)的情況下取走資金。同樣，沒(méi)有允許，系統(tǒng)也不能接收款項(xiàng)。授權(quán)構(gòu)成支付系統(tǒng)中最重要的環(huán)節(jié)。支付授權(quán)有三種方式：外部授權(quán)、口令授權(quán)和數(shù)字簽名。1）外部授權(quán)。在這種方式中，檢驗(yàn)方（銀行）通知交易的授權(quán)方（付款人），授權(quán)方通過(guò)一個(gè)安全的外部通道（如郵件或電話）同意或拒絕支付，這是目前用信用卡進(jìn)行郵匯和電匯的通用方法。學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)2）口令授權(quán)。對(duì)于一個(gè)用口令保護(hù)的交易，每個(gè)從授權(quán)方發(fā)來(lái)的信息都需要一個(gè)密碼檢查值。這個(gè)值由只有授權(quán)方和檢驗(yàn)方知道的密碼計(jì)算得出，而這個(gè)密碼可以是個(gè)人識(shí)別碼（PIN）、口令或任意形式的共享密碼。然而，短的共享PIN，如一個(gè)六位數(shù)字很容易遭受攻擊，它們本身不能提供高級(jí)的安全性，因此應(yīng)該只用于控制訪問(wèn)像智能卡這樣的物理標(biāo)記，因?yàn)橹悄芸ú捎冒踩艽a機(jī)制（如數(shù)字簽名）執(zhí)行實(shí)際授權(quán)。3）數(shù)字簽名。在這種類型的交易中，檢驗(yàn)方要求授權(quán)方的數(shù)字簽名。數(shù)字簽名提供一個(gè)原始的非拒絕支付證據(jù)，因?yàn)橹挥泻灻艽a的擁有者才能簽署有關(guān)信息，而知道相應(yīng)公鑰的任何人都可以驗(yàn)證簽名的真實(shí)性。學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)（2）保密性這里所說(shuō)的保密性是指防止泄露有關(guān)交易的各種信息，如付款人和收款人的標(biāo)識(shí)、交易的內(nèi)容和付款數(shù)量等。保密性要求上述這類信息只能讓交易的參與者知道，有時(shí)甚至要求只讓參與方的部分人知道。（3）可用性和可靠性所有的交易方要求無(wú)論何時(shí)都可以進(jìn)行支付和接收支付，即它們要么完整發(fā)生，要么根本不發(fā)生，不能處于一種未知或不一致的懸掛狀態(tài)。付款人不希望他們的錢由于網(wǎng)絡(luò)或系統(tǒng)的故障而丟失。可用性和可靠性假設(shè)基本網(wǎng)絡(luò)服務(wù)和軟硬件系統(tǒng)具有足夠的可靠性，為能恢復(fù)故障系統(tǒng)的信息，所有交易方需要某些可靠的存儲(chǔ)器和專用同步協(xié)議。學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)1.銀行卡銀行卡是指經(jīng)批準(zhǔn)由商業(yè)銀行（含郵政金融機(jī)構(gòu)）向社會(huì)發(fā)行的具有消費(fèi)信用、轉(zhuǎn)賬結(jié)算、存取現(xiàn)金等全部或部分功能的信用支付工具。銀行卡減少了現(xiàn)金和支票的流通，使銀行業(yè)務(wù)突破了時(shí)間和空間的限制。銀行卡自動(dòng)結(jié)算系統(tǒng)的運(yùn)用，使“無(wú)支票、無(wú)現(xiàn)金社會(huì)”的夢(mèng)想成為現(xiàn)實(shí)。三、電子支付工具銀行卡的分類方式一般有以下幾種。（1）按是否具有透支功能分類銀行卡按是否具有透支功能可分為信用卡和借記卡，見(jiàn)表4-1-2。學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)2）按幣種不同分類人民幣卡僅有人民幣單幣種賬戶，卡號(hào)一般以62開(kāi)頭，銀聯(lián)單組織標(biāo)識(shí)，僅能在境內(nèi)、境外銀聯(lián)網(wǎng)絡(luò)下使用。外幣卡僅有外幣單幣種賬戶，卡號(hào)根據(jù)發(fā)卡組織不同而定，可在境內(nèi)外發(fā)卡組織的網(wǎng)絡(luò)使用。雙幣卡，即銀聯(lián)和其他發(fā)卡組織共同發(fā)行，包含雙幣種（人民幣和外幣），可在境內(nèi)外銀聯(lián)網(wǎng)絡(luò)或另一發(fā)卡組織網(wǎng)絡(luò)下使用。（3）按發(fā)行對(duì)象不同分類銀行卡按發(fā)行對(duì)象不同可分為單位卡（商務(wù)卡）和個(gè)人卡。學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)（4）按信息載體不同分類芯片（IC）卡容量大，可存儲(chǔ)密鑰、數(shù)字證書、指紋等信息，卡上有讀寫保護(hù)，方便數(shù)據(jù)進(jìn)行加密保護(hù)，并且在使用保護(hù)上采取個(gè)人密碼、卡與讀寫器雙向認(rèn)證，防止卡片數(shù)據(jù)被復(fù)制，具有更高的安全性。磁條卡在通過(guò)寫磁設(shè)備后會(huì)被不法分子利用進(jìn)行偽卡的盜刷，安全系數(shù)較低。從2015年起，我國(guó)開(kāi)始淘汰磁條卡，全面應(yīng)用金融IC卡。學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)2.電子現(xiàn)金電子現(xiàn)金又稱數(shù)字現(xiàn)金，是一種以數(shù)據(jù)形式存在的現(xiàn)金貨幣。它把對(duì)應(yīng)的現(xiàn)金數(shù)值轉(zhuǎn)換成為一系列的加密序列數(shù)，通過(guò)這些序列數(shù)來(lái)表示現(xiàn)實(shí)中各種金額的幣值。數(shù)字人民幣是由中國(guó)人民銀行發(fā)行的數(shù)字形式的法定貨幣，是與紙幣和硬幣等價(jià)的電子現(xiàn)金，具有法償性和價(jià)值特征。其優(yōu)勢(shì)在于：①將數(shù)字人民幣轉(zhuǎn)到銀行卡無(wú)須手續(xù)費(fèi)，而且能“秒到賬”，效率高；②保護(hù)隱私，可控匿名，用戶即使沒(méi)有銀行賬戶，同樣可以利用手機(jī)號(hào)等身份標(biāo)識(shí)開(kāi)通數(shù)字錢包，且支持無(wú)網(wǎng)無(wú)電狀態(tài)支付；③在資產(chǎn)安全性方面更有保障，如果手機(jī)丟失，用戶可通過(guò)另外一個(gè)手機(jī)設(shè)備登錄數(shù)字人民幣App，防止資金損失。學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)3.電子錢包電子錢包是電子商務(wù)購(gòu)物（尤其是小額購(gòu)物）活動(dòng)中常用的一種支付工具，如中銀電子錢包（E-wallet）。電子錢包的表現(xiàn)形式有兩種：一種是智能卡形式；另一種是電子錢包軟件形式，這是電子錢包主要的表現(xiàn)形式。電子錢包的功能包括存儲(chǔ)個(gè)人信息（身份證、地址等），存儲(chǔ)電子貨幣（電子現(xiàn)金、信用卡、電子支票等），管理電子證書（證書的申請(qǐng)、存儲(chǔ)、刪除等），保存交易記錄以備日后查詢，保障電子交易的安全性。電子錢包比現(xiàn)金交易系統(tǒng)具有更高的可靠性，給予用戶較強(qiáng)的隱私保護(hù)，有利于降低交易成本和管理費(fèi)用，使發(fā)行者獲利的范圍擴(kuò)大，有利于銀行法定準(zhǔn)備金的管理。學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)4.電子支票電子支票是付款方向收款方簽發(fā)的、無(wú)條件的數(shù)字化支付指令。電子支票是網(wǎng)上銀行常用的一種電子支付工具，它是將傳統(tǒng)支票改變?yōu)閹в袛?shù)字簽名的電子報(bào)文，或利用其他數(shù)字電文代替?zhèn)鹘y(tǒng)支票的全部信息。網(wǎng)上銀行和大多數(shù)銀行金融機(jī)構(gòu)通過(guò)建立電子支票支付系統(tǒng)，在各個(gè)銀行之間發(fā)出和接收電子支票，向用戶提供電子支付服務(wù)。電子支票包含三個(gè)實(shí)體，即付款方、收款方和金融機(jī)構(gòu)。在通常情況下，電子支票的收發(fā)雙方都需要在銀行開(kāi)有賬戶，讓支票交換后的票款能直接在賬戶間轉(zhuǎn)移。學(xué)習(xí)單元1電子支付基礎(chǔ)知識(shí)學(xué)習(xí)單元二網(wǎng)上銀行的使用與安全1.低成本和價(jià)格優(yōu)勢(shì)（1）組建成本低（2）業(yè)務(wù)成本低（3）價(jià)格優(yōu)勢(shì)一、網(wǎng)上銀行的優(yōu)勢(shì)學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全2.互動(dòng)性與持續(xù)性服務(wù)網(wǎng)上銀行系統(tǒng)與客戶之間能夠?qū)崿F(xiàn)網(wǎng)絡(luò)在線實(shí)時(shí)溝通，客戶可以在任何時(shí)間、任何地方通過(guò)網(wǎng)絡(luò)得到銀行的金融服務(wù)。銀行業(yè)務(wù)不受時(shí)空限制，每天可向客戶提供24小時(shí)的不間斷服務(wù)。3.私密性與標(biāo)準(zhǔn)化服務(wù)網(wǎng)上銀行通過(guò)加密系統(tǒng)對(duì)客戶進(jìn)行隱私保護(hù)。網(wǎng)上銀行提供的服務(wù)比營(yíng)業(yè)網(wǎng)點(diǎn)更標(biāo)準(zhǔn)、更規(guī)范，避免了因工作人員業(yè)務(wù)素質(zhì)高低及情緒好壞所帶來(lái)的客戶服務(wù)滿意度的差異。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全4.業(yè)務(wù)全球化網(wǎng)上銀行是一個(gè)相對(duì)開(kāi)放的體系，可以利用網(wǎng)絡(luò)提供全球化的金融服務(wù)，可以快捷地進(jìn)行不同語(yǔ)言文字的轉(zhuǎn)換，為銀行開(kāi)拓國(guó)際市場(chǎng)創(chuàng)造了有利條件。傳統(tǒng)銀行是通過(guò)設(shè)立分支機(jī)構(gòu)來(lái)開(kāi)拓國(guó)際市場(chǎng)的，而網(wǎng)上銀行只需借助互聯(lián)網(wǎng)，便可以將其金融業(yè)務(wù)和市場(chǎng)延伸到全球的每個(gè)角落。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全工商銀行個(gè)人網(wǎng)上銀行的界面如圖4-2-1所示。二、網(wǎng)上銀行的注冊(cè)與使用學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全1.提供的服務(wù)（1）賬戶信息查詢登錄系統(tǒng)后展示賬戶余額，點(diǎn)擊明細(xì)可以查詢賬戶對(duì)應(yīng)的明細(xì)。對(duì)于貸記卡、準(zhǔn)貸記卡，展示距離還款日天數(shù)、賬單金額等。（2）轉(zhuǎn)賬交易5萬(wàn)元以下境內(nèi)人民幣網(wǎng)上銀行轉(zhuǎn)賬匯款實(shí)時(shí)到賬，且5000元以下的境內(nèi)人民幣網(wǎng)上銀行轉(zhuǎn)賬匯款免收手續(xù)費(fèi)。（3）理財(cái)服務(wù)可將資產(chǎn)負(fù)債圖形化、可視化，并根據(jù)客戶資產(chǎn)情況、交易行為等數(shù)據(jù)，主動(dòng)推薦不同的理財(cái)產(chǎn)品。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全（4）信息管理金融日歷可智能地記錄用戶辦理的金融服務(wù)，包括購(gòu)買的產(chǎn)品、客戶的收入和支出、信用卡還款等金融行為，用時(shí)間軸的方式展現(xiàn)并提示，還可以對(duì)金融日歷進(jìn)行個(gè)性化自定義設(shè)置。（5）生活服務(wù)提供手機(jī)充值、機(jī)票酒店預(yù)訂、生活?yuàn)蕵?lè)等涵蓋各種生活場(chǎng)景的服務(wù)。（6）購(gòu)物消費(fèi)通過(guò)網(wǎng)上銀行可直接購(gòu)買融e購(gòu)商品，積分可抵現(xiàn)、購(gòu)物可貸款。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全（7）安全工具工商銀行提供了三種類型的網(wǎng)上銀行安全工具，具體見(jiàn)表4-2-1。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全2.開(kāi)通注冊(cè)流程（1）柜面開(kāi)通柜面開(kāi)通網(wǎng)上銀行流程如圖4-2-2所示。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全（2）自助注冊(cè)自助注冊(cè)開(kāi)通網(wǎng)上銀行流程如圖4-2-3所示。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全1.技術(shù)安全風(fēng)險(xiǎn)（1）網(wǎng)上銀行客戶端安全認(rèn)證風(fēng)險(xiǎn)網(wǎng)上銀行客戶端使用證件號(hào)碼、用戶名和密碼登錄，一旦用戶計(jì)算機(jī)感染病毒、或被木馬、黑客攻擊，如果沒(méi)有進(jìn)行安全認(rèn)證，網(wǎng)上銀行用戶所做的所有操作都會(huì)被發(fā)送至控制用戶計(jì)算機(jī)的服務(wù)器后臺(tái)，嚴(yán)重影響用戶賬號(hào)和密碼安全。假冒銀行網(wǎng)站的釣魚網(wǎng)站會(huì)通過(guò)鍵盤記錄或者屏幕錄制等方式記錄用戶的所有操作，并將用戶賬號(hào)和密碼信息傳輸至竊取人指定的服務(wù)器中，從而危及用戶的資金安全。三、網(wǎng)上銀行的安全風(fēng)險(xiǎn)學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全（2）網(wǎng)絡(luò)傳輸風(fēng)險(xiǎn)網(wǎng)上銀行業(yè)務(wù)通過(guò)網(wǎng)絡(luò)在銀行和用戶之間進(jìn)行數(shù)據(jù)傳輸，在數(shù)據(jù)傳輸過(guò)程中要求進(jìn)行加密處理。（3）系統(tǒng)漏洞風(fēng)險(xiǎn)網(wǎng)上銀行應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)在技術(shù)上依然存在一些系統(tǒng)漏洞和隱患，因此漏洞往往會(huì)被黑客、計(jì)算機(jī)病毒所利用，進(jìn)而產(chǎn)生較大的信息安全風(fēng)險(xiǎn)。（4）數(shù)據(jù)安全風(fēng)險(xiǎn)網(wǎng)上銀行的數(shù)據(jù)要求絕對(duì)安全和保密。用戶基本信息、用戶支付信息、業(yè)務(wù)處理信息、數(shù)據(jù)交換信息等的丟失、泄露和篡改，都會(huì)使銀行產(chǎn)生不可估量的損失。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全2.管理安全風(fēng)險(xiǎn)（1）系統(tǒng)應(yīng)急風(fēng)險(xiǎn)部分銀行在系統(tǒng)建設(shè)和運(yùn)行過(guò)程中，沒(méi)有很好地按照業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃進(jìn)行演練，應(yīng)對(duì)電力中斷、地震、洪水等災(zāi)害措施不到位。（2）內(nèi)部控制風(fēng)險(xiǎn)網(wǎng)上銀行的內(nèi)部控制制度是指對(duì)網(wǎng)上銀行日常運(yùn)行處理過(guò)程進(jìn)行流程或制度的規(guī)范，一旦執(zhí)行不到位，將會(huì)造成網(wǎng)上銀行在運(yùn)行或者業(yè)務(wù)操作中出現(xiàn)問(wèn)題。（3）外包管理風(fēng)險(xiǎn)網(wǎng)上銀行在快速發(fā)展過(guò)程中，由于銀行相關(guān)人才不足，在系統(tǒng)開(kāi)發(fā)、運(yùn)行維護(hù)過(guò)程中，部分銀行通過(guò)購(gòu)買第三方外包服務(wù)的方式來(lái)提供網(wǎng)上銀行技術(shù)支持。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全3.業(yè)務(wù)安全風(fēng)險(xiǎn)業(yè)務(wù)安全風(fēng)險(xiǎn)是指來(lái)源于銀行內(nèi)部員工或者用戶的錯(cuò)誤操作、惡意操作而導(dǎo)致的潛在損失。商業(yè)銀行人員對(duì)業(yè)務(wù)不熟練，有可能導(dǎo)致網(wǎng)上銀行操作風(fēng)險(xiǎn)；網(wǎng)上銀行客戶由于缺乏網(wǎng)絡(luò)安全知識(shí)，也可能面臨相當(dāng)高的操作風(fēng)險(xiǎn)。4.法律法規(guī)風(fēng)險(xiǎn)上述網(wǎng)上銀行的風(fēng)險(xiǎn)會(huì)因有關(guān)法律法規(guī)中對(duì)于網(wǎng)上銀行交易權(quán)利和義務(wù)的規(guī)定還不清晰而加大。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全1.加強(qiáng)系統(tǒng)安全性網(wǎng)上銀行的關(guān)鍵環(huán)節(jié)就是網(wǎng)上銀行系統(tǒng)的安全性。銀行應(yīng)定期從以下幾個(gè)方面對(duì)網(wǎng)上銀行進(jìn)行入侵檢測(cè)和網(wǎng)絡(luò)滲透檢測(cè)，防范系統(tǒng)被入侵和攻擊。（1）物理安全保護(hù)好計(jì)算機(jī)硬件和存儲(chǔ)介質(zhì)，加強(qiáng)計(jì)算機(jī)機(jī)房、出入者身份證明、24小時(shí)值班的管理，以及實(shí)施各種硬件安全手段等預(yù)防措施。四、防范網(wǎng)上銀行風(fēng)險(xiǎn)的安全措施學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全（2）邏輯安全邏輯安全需要依靠用戶口令、文件許可等方法來(lái)實(shí)現(xiàn)，防止黑客入侵。高機(jī)密的信息應(yīng)與其他數(shù)據(jù)相隔離，對(duì)所有高機(jī)密數(shù)據(jù)的存取要嚴(yán)格控制。（3）管理安全管理安全包括軟件控制、違反安全的調(diào)查、審計(jì)跟蹤檢查以及責(zé)任控制檢查等。（4）操作系統(tǒng)安全計(jì)算機(jī)系統(tǒng)必須進(jìn)行用戶等級(jí)和權(quán)限管理，以防止互相干擾或破壞。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全（5）互聯(lián)網(wǎng)安全采用防火墻技術(shù)可有效防止黑客攻擊或者用戶的不適當(dāng)操作造成的可能對(duì)金融專用網(wǎng)的攻擊。通過(guò)設(shè)置支付網(wǎng)關(guān)，將公用網(wǎng)與銀行內(nèi)部專用網(wǎng)隔離，實(shí)施緩沖過(guò)濾功能，以便更好地保證銀行專用網(wǎng)的安全。（6）客戶端安全采取有效技術(shù)措施保證客戶端處理的敏感信息、客戶端與服務(wù)器交互的重要信息的機(jī)密性和完整性；保證所提供客戶端程序的真實(shí)性和完整性，以及敏感程序邏輯的機(jī)密性；保證客戶端程序能夠有抗逆向、抗反匯編的防護(hù)措施，能夠有效地防止不法分子對(duì)網(wǎng)上銀行的攻擊。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全2.完善內(nèi)部控制體系網(wǎng)上銀行信息系統(tǒng)的內(nèi)部操作人員對(duì)系統(tǒng)及其權(quán)限更了解，所以網(wǎng)上銀行系統(tǒng)更容易受到銀行內(nèi)部人員的侵?jǐn)_。因此，銀行更應(yīng)注重加強(qiáng)內(nèi)控管理，防止來(lái)自內(nèi)部的風(fēng)險(xiǎn)隱患。建立可靠的內(nèi)部控制體系，除了合理的安全技術(shù)以外，還需要建立系統(tǒng)維護(hù)制度、信息保密制度、數(shù)據(jù)備份制度、人員管理制度、風(fēng)險(xiǎn)預(yù)警制度、重大事項(xiàng)報(bào)告制度等，從而確保網(wǎng)上銀行系統(tǒng)有序正常運(yùn)行。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全3.加強(qiáng)外包服務(wù)管理首先，要選擇長(zhǎng)期可靠、綜合能力強(qiáng)的網(wǎng)上銀行外包服務(wù)商；其次，要做好網(wǎng)上銀行外包技術(shù)服務(wù)商的合同管理，規(guī)范和明確其提供的服務(wù)內(nèi)容；再次，要確保銀行等重要數(shù)據(jù)的安全性，對(duì)外包服務(wù)人員嚴(yán)格管理；然后，要加強(qiáng)網(wǎng)上銀行外包服務(wù)的過(guò)程管理，嚴(yán)格監(jiān)控外包服務(wù)，隨時(shí)了解外包服務(wù)狀態(tài)；最后，要加強(qiáng)網(wǎng)上銀行外包團(tuán)隊(duì)建設(shè)，建立良好的溝通機(jī)制。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全4.制訂應(yīng)急計(jì)劃網(wǎng)上銀行系統(tǒng)運(yùn)行需要有其他相關(guān)的業(yè)務(wù)系統(tǒng)支持，如網(wǎng)上銀行轉(zhuǎn)賬需要調(diào)用銀行核心系統(tǒng)，網(wǎng)上支付需要調(diào)用大小額支付系統(tǒng)等。當(dāng)出現(xiàn)系統(tǒng)故障或者發(fā)生不可抗力災(zāi)害時(shí)，每一個(gè)環(huán)節(jié)的停頓都可能對(duì)整個(gè)業(yè)務(wù)的連續(xù)性帶來(lái)影響。因此，應(yīng)該制訂詳細(xì)的網(wǎng)上銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全5.完善事前、事中和事后防御機(jī)制針對(duì)網(wǎng)上銀行的防御機(jī)制可以分成事前預(yù)防階段、事中防御階段和事后審計(jì)追蹤階段三個(gè)階段。（1）事前預(yù)防階段銀行要做好自身的安全措施，重點(diǎn)加強(qiáng)釣魚網(wǎng)站的早期發(fā)現(xiàn)、阻止釣魚網(wǎng)站蔓延、防御客戶端安全隱患，可以使用網(wǎng)銀安全助手、密碼控件等客戶端防范手段，對(duì)鍵盤錄入、SSL安全加密、反釣魚等進(jìn)行客戶端方面的預(yù)防，有效防范木馬、病毒的攻擊，進(jìn)一步提升用戶在客戶端的安全體驗(yàn)，增加用戶安全使用網(wǎng)上銀行的信心。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全（2）事中防御階段針對(duì)網(wǎng)上銀行認(rèn)證和交易，分辨并且阻止非法交易的進(jìn)行，可以采集分析交易信息，主動(dòng)防御，發(fā)現(xiàn)和終止身份冒用、套現(xiàn)、虛假交易等風(fēng)險(xiǎn)，如使用反欺詐交易平臺(tái)等。（3）事后審計(jì)追蹤階段通過(guò)網(wǎng)上銀行交易審計(jì)系統(tǒng)，保持完整交易記錄，追查攻擊者來(lái)源，可以利用網(wǎng)上銀行的內(nèi)部交易日志進(jìn)行審計(jì)分析。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全6.增強(qiáng)客戶操作風(fēng)險(xiǎn)防范網(wǎng)上銀行的客戶管理主要是指銀行對(duì)其向客戶提供的服務(wù)進(jìn)行管理，包括哪些客戶可以使用網(wǎng)上銀行，客戶可以使用哪些網(wǎng)上銀行服務(wù)等。（1）加強(qiáng)對(duì)申請(qǐng)簽約客戶的資格審查由于客戶在網(wǎng)上銀行不需要提供任何印鑒，僅憑移動(dòng)證書（USBKey）就可以辦理業(yè)務(wù)，所以網(wǎng)上銀行應(yīng)制定嚴(yán)格的開(kāi)戶審核手續(xù)。只有符合條件、信譽(yù)良好的客戶，才與其簽訂規(guī)范的網(wǎng)上銀行服務(wù)協(xié)議。銀行應(yīng)根據(jù)與客戶簽訂的協(xié)議，嚴(yán)格限定客戶在網(wǎng)上銀行的操作范圍。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全（2）加強(qiáng)對(duì)網(wǎng)上銀行客戶的身份驗(yàn)證客戶在通過(guò)網(wǎng)上銀行辦理業(yè)務(wù)時(shí)，無(wú)須與銀行工作人員進(jìn)行面對(duì)面的交易，因此對(duì)登錄網(wǎng)上銀行辦理業(yè)務(wù)的客戶身份進(jìn)行確認(rèn)，并對(duì)客戶的交易信息進(jìn)行保密，已經(jīng)成為網(wǎng)上銀行安全管理的前提和最重要的環(huán)節(jié)。（3）加強(qiáng)對(duì)網(wǎng)上銀行客戶的操作權(quán)限管理客戶需求不同，對(duì)網(wǎng)上銀行服務(wù)的要求就會(huì)不同，銀行需要對(duì)不同的客戶提供個(gè)性化、差別化的服務(wù)。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全（4）對(duì)網(wǎng)上銀行客戶交易過(guò)程進(jìn)行監(jiān)督為了及時(shí)地接收和處理網(wǎng)上銀行業(yè)務(wù)，防范網(wǎng)上銀行異常交易的發(fā)生，確保網(wǎng)上銀行業(yè)務(wù)的順利進(jìn)行，銀行應(yīng)對(duì)客戶在網(wǎng)上銀行發(fā)起的各類交易進(jìn)行實(shí)時(shí)、全程的監(jiān)控和管理。一筆網(wǎng)上銀行的業(yè)務(wù)，從客戶登錄網(wǎng)上銀行，發(fā)出交易指令算起，通過(guò)總行接入，分發(fā)到分支行，一直到最后進(jìn)行賬務(wù)處理，需要經(jīng)過(guò)互聯(lián)網(wǎng)、局域網(wǎng)等。因此，銀行需要對(duì)一筆網(wǎng)上銀行業(yè)務(wù)所涉及的多個(gè)環(huán)節(jié)進(jìn)行監(jiān)控。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全1.保管好數(shù)字證書和手機(jī)數(shù)字證書和手機(jī)（動(dòng)態(tài)密碼）是確保網(wǎng)上交易安全的重要手段，必須妥善保管。可以使用移動(dòng)證書或動(dòng)態(tài)密碼，并將查詢密碼和交易密碼設(shè)置為不同的密碼值。若使用USBKey登錄網(wǎng)上銀行，證書須下載到USBKey中，并妥善保管，僅在使用時(shí)才將USBKey插入計(jì)算機(jī)，并在完成交易后及時(shí)拔出。五、使用網(wǎng)上銀行的安全措施學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全2.保護(hù)好密碼網(wǎng)上銀行的查詢密碼、交易密碼，任何時(shí)候都不得泄露給他人（包括自稱銀行工作人員的任何人），否則將給賬戶帶來(lái)安全隱患。不要使用相同數(shù)字、連續(xù)數(shù)字、生日、電話號(hào)碼等作為密碼，查詢密碼和交易密碼應(yīng)不同，并定期更改。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全3.提高警惕，謹(jǐn)防欺詐提防假網(wǎng)站，網(wǎng)上購(gòu)物時(shí)需認(rèn)清網(wǎng)站地址，通過(guò)查詢密碼驗(yàn)證，確認(rèn)頁(yè)面顯示的客戶號(hào)后，再輸入動(dòng)態(tài)密碼。嚴(yán)防他人通過(guò)釣魚網(wǎng)站或虛假交易騙取動(dòng)態(tài)密碼。輸入動(dòng)態(tài)密碼前檢查短信中的收款賬號(hào)、交易金額等信息，尤其應(yīng)注意防范他人騙取動(dòng)態(tài)密碼后修改網(wǎng)上銀行通知手機(jī)號(hào)碼。在進(jìn)行轉(zhuǎn)賬、支付等關(guān)鍵交易時(shí)，要留意交易過(guò)程中收到的動(dòng)態(tài)密碼短信，并檢查短信中的收款賬號(hào)、交易金額等提示信息是否與實(shí)際操作相符。不法分子可能利用電子郵件、聊天工具發(fā)送木馬到用戶計(jì)算機(jī)，以竊取鍵盤輸入記錄。因此，來(lái)歷不明的電子郵件，陌生人通過(guò)聊天工具發(fā)送的文件、照片不要輕易點(diǎn)擊和打開(kāi)。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全4.關(guān)注個(gè)人計(jì)算機(jī)的安全性定期下載安裝最新的操作系統(tǒng)和瀏覽器安全程序或補(bǔ)丁，可將計(jì)算機(jī)中的hosts文件修改為只讀。安裝個(gè)人防火墻，以防黑客入侵，安裝并及時(shí)更新殺毒軟件，養(yǎng)成定期更新殺毒軟件的習(xí)慣，防止新型病毒的入侵。hosts文件是將一些常用的網(wǎng)址域名與IP地址建立關(guān)聯(lián)的系統(tǒng)文件。當(dāng)用戶在瀏覽器中輸入一個(gè)需要登錄的網(wǎng)址時(shí)，系統(tǒng)會(huì)首先自動(dòng)從hosts文件中尋找對(duì)應(yīng)的IP地址，一旦找到，系統(tǒng)會(huì)立即打開(kāi)對(duì)應(yīng)網(wǎng)頁(yè)，如果沒(méi)有找到，系統(tǒng)則將網(wǎng)址提交DNS服務(wù)器進(jìn)行IP地址的解析。學(xué)習(xí)單元2網(wǎng)上銀行的使用與安全學(xué)習(xí)單元三第三方支付平臺(tái)的使用與安全1.第三方支付平臺(tái)的運(yùn)行模式（1）消費(fèi)者在電子商務(wù)網(wǎng)站選購(gòu)商品，最后決定購(gòu)買，買賣雙方在網(wǎng)上達(dá)成交易意向。（2）消費(fèi)者選擇利用第三方支付平臺(tái)作為交易中介，用借記卡或信用卡將貨款劃到第三方賬戶，并設(shè)定發(fā)貨期限。（3）第三方支付平臺(tái)通知商家，消費(fèi)者的貨款已到賬，要求商家在規(guī)定時(shí)間內(nèi)發(fā)貨。一、第三方支付概述學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全（4）商家收到消費(fèi)者已付款的通知后按訂單發(fā)貨，并在網(wǎng)站上做相應(yīng)記錄，消費(fèi)者可在網(wǎng)站上查看所購(gòu)買商品的狀態(tài)。如果商家沒(méi)有發(fā)貨，則第三方支付平臺(tái)會(huì)通知消費(fèi)者交易失敗，并詢問(wèn)是將貨款劃回其賬戶還是暫存在支付平臺(tái)。（5）消費(fèi)者收到商品并確認(rèn)滿意后通知第三方支付平臺(tái)。如果消費(fèi)者對(duì)商品不滿意，或認(rèn)為與商家承諾有出入，可通知第三方支付平臺(tái)拒付貨款并將商品退回商家。（6）消費(fèi)者對(duì)商品滿意，第三方支付平臺(tái)將貨款劃入商家賬戶，交易完成；消費(fèi)者對(duì)商品不滿意，第三方支付平臺(tái)確認(rèn)商家收到退貨后，將該商品貨款劃回消費(fèi)者賬戶或暫存在第三方賬戶中，等待消費(fèi)者下一次交易支付時(shí)使用。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全2.第三方支付平臺(tái)的優(yōu)勢(shì)（1）促成商家和銀行的合作第三方支付平臺(tái)作為中介方，可以促成商家和銀行的合作。商家利用第三方支付平臺(tái)可以降低企業(yè)運(yùn)營(yíng)成本；銀行可以直接利用第三方支付平臺(tái)的服務(wù)系統(tǒng)提供服務(wù)，節(jié)省網(wǎng)關(guān)開(kāi)發(fā)成本。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全（2）有助于打破銀行卡壁壘第三方支付服務(wù)系統(tǒng)有助于打破銀行卡壁壘。每個(gè)銀行都有自己的銀行卡，這些自成體系的銀行卡分別與網(wǎng)站推出在線支付業(yè)務(wù)，客觀上造成消費(fèi)者要想在不同網(wǎng)站完成網(wǎng)上購(gòu)物，就必須擁有多家銀行卡；同時(shí)，電子商務(wù)網(wǎng)站也必須裝有各個(gè)銀行的認(rèn)證軟件。這樣就會(huì)制約網(wǎng)上支付業(yè)務(wù)的發(fā)展，而第三方支付服務(wù)系統(tǒng)可以很好地解決這個(gè)問(wèn)題。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全（3）提供增值服務(wù)第三方支付平臺(tái)能夠提供增值服務(wù)，幫助商家網(wǎng)站解決實(shí)時(shí)交易查詢和交易系統(tǒng)分析，提供方便快捷的退款服務(wù)和支付服務(wù)。（4）防止出現(xiàn)抵賴行為第三方支付平臺(tái)可以對(duì)交易雙方的交易進(jìn)行詳細(xì)記錄，從而防止交易雙方在交易過(guò)程中出現(xiàn)可能的抵賴行為，并為后續(xù)交易中可能出現(xiàn)的糾紛問(wèn)題提供相應(yīng)的證據(jù)。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全3.第三方支付產(chǎn)品簡(jiǎn)介（1）財(cái)付通財(cái)付通是騰訊集團(tuán)旗下的第三方支付平臺(tái)，它不僅為個(gè)人用戶提供支付服務(wù)，還為企業(yè)用戶提供專業(yè)資金收付解決方案。財(cái)付通業(yè)務(wù)覆蓋B2B、B2C和C2C各領(lǐng)域，提供網(wǎng)上支付及清算服務(wù)。針對(duì)個(gè)人用戶，財(cái)付通提供包括在線充值、提現(xiàn)、支付、交易管理等功能；針對(duì)企業(yè)用戶，財(cái)付通提供支付清算服務(wù)和QQ營(yíng)銷資源支持。除了傳統(tǒng)的網(wǎng)上支付業(yè)務(wù)，財(cái)付通還提供信用卡還款業(yè)務(wù)、“財(cái)付券”服務(wù)、生活繳費(fèi)業(yè)務(wù)、影視博覽、游戲充值、話費(fèi)充值等特色服務(wù)。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全2013年8月5日，財(cái)付通與微信合作推出微信支付。微信支付是集成在微信客戶端的支付功能，用戶可以通過(guò)手機(jī)完成快速的支付流程。微信支付以綁定銀行卡的快捷支付為基礎(chǔ)。用戶可在微信支付內(nèi)綁定銀行卡開(kāi)通快捷支付，綁定成功后無(wú)須登錄網(wǎng)上銀行即可輕松完成付款，減少跳轉(zhuǎn)銀行支付的煩瑣及泄露銀行卡密碼的擔(dān)憂。同時(shí)，用戶可以通過(guò)微信支付查詢交易記錄，微信支付查詢路徑為：“微信”—“我”—“服務(wù)”—“錢包”—“賬單”。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全（2）支付寶支付寶（中國(guó)）網(wǎng)絡(luò)技術(shù)有限公司是國(guó)內(nèi)最大的獨(dú)立第三方支付平臺(tái)，由阿里巴巴集團(tuán)創(chuàng)辦。支付寶從2004年建立開(kāi)始，與國(guó)內(nèi)外180多家銀行以及Visa、MasterCard國(guó)際組織等機(jī)構(gòu)建立戰(zhàn)略合作關(guān)系。支付寶主要提供支付及理財(cái)服務(wù)，包括網(wǎng)購(gòu)擔(dān)保交易、網(wǎng)絡(luò)支付轉(zhuǎn)賬、信用卡還款、手機(jī)充值、水電煤繳費(fèi)、個(gè)人理財(cái)?shù)榷鄠€(gè)領(lǐng)域。支付寶在進(jìn)入移動(dòng)支付領(lǐng)域后，為零售百貨、電影院線、連鎖商超和出租車等多個(gè)行業(yè)提供服務(wù)，還推出了余額寶等理財(cái)服務(wù)。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全使用支付寶支付服務(wù)需要先注冊(cè)一個(gè)支付寶賬戶，支付寶賬戶分為“個(gè)人賬戶”和“企業(yè)賬戶”兩類。注冊(cè)方式有兩種：一是通過(guò)支付寶官方網(wǎng)站進(jìn)行注冊(cè)，如圖4-3-1所示；二是通過(guò)手機(jī)端下載支付寶客戶端軟件完成注冊(cè)。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全用戶使用支付服務(wù)需要實(shí)名認(rèn)證，這是央行等監(jiān)管機(jī)構(gòu)提出的要求，實(shí)名認(rèn)證之后可以享受更多的支付服務(wù)，更重要的是有助于提升賬戶的安全性。支付寶的支付方式有多種，如圖4-3-2所示，用戶可以根據(jù)需要進(jìn)行設(shè)置。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全（3）銀聯(lián)在線銀聯(lián)電子支付服務(wù)有限公司是中國(guó)銀聯(lián)控股的銀行卡專業(yè)化服務(wù)公司，擁有面向全國(guó)的統(tǒng)一支付平臺(tái)，主要從事以互聯(lián)網(wǎng)等新興渠道為基礎(chǔ)的網(wǎng)上支付、企業(yè)B2B賬戶支付、電話支付、網(wǎng)上跨行轉(zhuǎn)賬、網(wǎng)上基金交易、企業(yè)公對(duì)私資金代付、自助終端支付等銀行卡網(wǎng)上支付及增值業(yè)務(wù)。中國(guó)銀聯(lián)處于我國(guó)銀行卡產(chǎn)業(yè)的核心和樞紐地位，對(duì)我國(guó)銀行卡產(chǎn)業(yè)發(fā)展起著基礎(chǔ)性作用。各銀行通過(guò)中國(guó)銀聯(lián)跨行交易清算系統(tǒng)，實(shí)現(xiàn)系統(tǒng)間的互聯(lián)互通，從而使銀行卡得以跨銀行、跨地區(qū)和跨境使用。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全銀聯(lián)在線就是中國(guó)銀聯(lián)為滿足各方網(wǎng)上支付需求而開(kāi)發(fā)的銀行卡網(wǎng)上交易轉(zhuǎn)接清算平臺(tái)，也是我國(guó)首個(gè)具有金融級(jí)預(yù)授權(quán)擔(dān)保交易功能、全面支持所有類型銀聯(lián)卡的集成化、綜合性網(wǎng)上支付平臺(tái)。使用銀聯(lián)在線，用戶購(gòu)買商品時(shí)無(wú)須開(kāi)通網(wǎng)上銀行，只需提供銀行卡卡號(hào)、戶名、手機(jī)號(hào)碼等信息，銀行驗(yàn)證手機(jī)號(hào)碼正確性后，第三方支付發(fā)送手機(jī)動(dòng)態(tài)口令到用戶手機(jī)號(hào)上，用戶輸入正確的手機(jī)動(dòng)態(tài)口令，即可完成支付。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全1.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要體現(xiàn)在三個(gè)方面：一是數(shù)據(jù)傳輸過(guò)程中可能遭到攻擊，威脅用戶資金安全；二是網(wǎng)上支付系統(tǒng)本身存在的安全設(shè)計(jì)上的缺陷可能被黑客利用，危害整個(gè)系統(tǒng)的安全，造成重大損失；三是計(jì)算機(jī)病毒可能突破網(wǎng)絡(luò)防范，入侵網(wǎng)上支付的主機(jī)系統(tǒng)，造成數(shù)據(jù)丟失等嚴(yán)重后果。二、第三方支付平臺(tái)面臨的安全風(fēng)險(xiǎn)學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全2.金融風(fēng)險(xiǎn)（1）沉淀資金風(fēng)險(xiǎn)在交易過(guò)程中，當(dāng)消費(fèi)者把資金轉(zhuǎn)到第三方支付平臺(tái)的賬戶，此時(shí)第三方對(duì)資金進(jìn)行保管，消費(fèi)者仍然擁有資金的所有權(quán)。當(dāng)消費(fèi)者收到商品，確認(rèn)付款后資金所有權(quán)轉(zhuǎn)到商家。第三方支付中一般規(guī)定只有當(dāng)消費(fèi)者收到商品并做出反饋后，系統(tǒng)才能把貨款劃到商家賬戶，這就形成了在途資金。與銀行系統(tǒng)運(yùn)營(yíng)過(guò)程中產(chǎn)生的在途資金相比，第三方支付中的在途資金沉淀時(shí)間更長(zhǎng)，加上買賣雙方暫存在支付平臺(tái)賬戶內(nèi)的資金，隨著用戶數(shù)量的增長(zhǎng)，資金沉淀量會(huì)非常巨大。如果第三方支付企業(yè)出于逐利的需要，將此在途資金用作風(fēng)險(xiǎn)投資，一旦投資失敗，投資無(wú)法收回，則第三方支付將會(huì)遭受重大流動(dòng)性風(fēng)險(xiǎn)。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全（2）洗錢風(fēng)險(xiǎn)洗錢是指將毒品犯罪、黑社會(huì)性質(zhì)的組織犯罪、恐怖活動(dòng)犯罪、走私犯罪或者其他犯罪的違法所得及其產(chǎn)生的收益，通過(guò)各種手段掩飾、隱瞞其來(lái)源和性質(zhì)，使其在形式上合法化的行為。第三方支付平臺(tái)出現(xiàn)后，反洗錢工作又面臨新的挑戰(zhàn)。1）網(wǎng)絡(luò)交易更具隱蔽性。網(wǎng)絡(luò)交易的多個(gè)環(huán)節(jié)都可以被利用來(lái)轉(zhuǎn)移“黑錢”，并且速度快，瞬間即可到賬，監(jiān)管機(jī)構(gòu)難以掌握全部環(huán)節(jié)。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全2）網(wǎng)絡(luò)交易在一定程度上脫離了傳統(tǒng)監(jiān)管部門的監(jiān)管。第三方支付平臺(tái)將款項(xiàng)在銀行之間的流動(dòng)割裂開(kāi)來(lái)，監(jiān)管機(jī)構(gòu)難以像追蹤銀行款項(xiàng)流動(dòng)一樣，追蹤第三方支付平臺(tái)款項(xiàng)的流動(dòng)。3）網(wǎng)絡(luò)交易真假難辨，增加監(jiān)管機(jī)構(gòu)監(jiān)測(cè)的難度。網(wǎng)絡(luò)交易具有一定的虛擬性，從外部來(lái)看，很難識(shí)別是否真的進(jìn)行了交易，從而影響監(jiān)管機(jī)構(gòu)對(duì)可疑交易的判斷。央行在《非金融機(jī)構(gòu)支付服務(wù)管理辦法》中規(guī)定：支付機(jī)構(gòu)應(yīng)當(dāng)遵守反洗錢的有關(guān)規(guī)定，履行反洗錢的義務(wù)。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全（3）套現(xiàn)風(fēng)險(xiǎn)通過(guò)第三方支付平臺(tái)進(jìn)行套現(xiàn)，是指持卡人通過(guò)互聯(lián)網(wǎng)進(jìn)行虛假交易，利用第三方支付平臺(tái)套取信用額度并獲得現(xiàn)金的行為。采取這種方式，持卡人可以長(zhǎng)期套取銀行的資金，實(shí)現(xiàn)無(wú)息用款，而第三方支付平臺(tái)則僅僅是被動(dòng)地充當(dāng)中介的作用。信用卡套現(xiàn)是一項(xiàng)央行嚴(yán)厲打擊的非法行為。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全1.加強(qiáng)宏觀監(jiān)管宏觀監(jiān)管在于從宏觀層面對(duì)第三方支付進(jìn)行規(guī)范，促進(jìn)第三方支付持續(xù)、健康、協(xié)調(diào)發(fā)展，防止第三方支付引起的混亂和風(fēng)險(xiǎn)。第三方支付作為營(yíng)利性組織，經(jīng)營(yíng)過(guò)程必然存在風(fēng)險(xiǎn)，且由于其涉及資金流通，因此存在著嚴(yán)重的外部負(fù)效應(yīng)，需對(duì)其進(jìn)行監(jiān)管和經(jīng)營(yíng)約束。根據(jù)現(xiàn)有法律法規(guī)，監(jiān)督管理第三方支付機(jī)構(gòu)的部門主要有中國(guó)人民銀行、市場(chǎng)監(jiān)督管理部門、信息產(chǎn)業(yè)管理部門及稅務(wù)機(jī)關(guān)等。三、第三方支付平臺(tái)安全風(fēng)險(xiǎn)的防范學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全2.完善法律法規(guī)并強(qiáng)化執(zhí)行盡管中國(guó)人民銀行已頒布了《非金融機(jī)構(gòu)支付服務(wù)管理辦法》《支付機(jī)構(gòu)互聯(lián)網(wǎng)支付業(yè)務(wù)風(fēng)險(xiǎn)防范指引》《支付機(jī)構(gòu)互聯(lián)網(wǎng)支付業(yè)務(wù)管理辦法（征求意見(jiàn)稿）》和《支付清算組織管理辦法（征求意見(jiàn)稿）》，對(duì)第三方支付的申請(qǐng)與許可、監(jiān)督與管理、罰則等進(jìn)行了規(guī)定，但由于第三方支付涉及的部門多、牽涉的情況復(fù)雜、面臨的問(wèn)題多，相關(guān)的法律法規(guī)尚未完全建立起來(lái)，所以，相關(guān)部門要適應(yīng)第三方支付新的發(fā)展形勢(shì)，加快法律法規(guī)制定的步伐，盡快建立適應(yīng)我國(guó)國(guó)情的第三方支付監(jiān)管法律體系。同時(shí)，要加強(qiáng)對(duì)現(xiàn)有法律法規(guī)的執(zhí)行力度，加大對(duì)違法違紀(jì)支付行為的懲處力度，使現(xiàn)有的監(jiān)管措施能夠落到實(shí)處。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全3.建立健全市場(chǎng)準(zhǔn)入制度和退出機(jī)制根據(jù)《非金融機(jī)構(gòu)支付服務(wù)管理辦法》和《非金融機(jī)構(gòu)支付服務(wù)管理辦法實(shí)施細(xì)則》的規(guī)定，我國(guó)對(duì)第三方支付采取許可制度，對(duì)取得支付許可證的條件做出了具體規(guī)定，提出了注冊(cè)資本最低限額、管理人員、設(shè)施、風(fēng)險(xiǎn)管理措施等方面的具體要求。要加大對(duì)現(xiàn)有支付業(yè)務(wù)許可條件的執(zhí)行力度，同時(shí)，需要建立健全市場(chǎng)退出制度。對(duì)于不符合支付業(yè)務(wù)許可條件或是已拿到支付業(yè)務(wù)許可證后由于條件變化而不再具備條件的企業(yè)，要采取摘牌、收購(gòu)或兼并等措施，使其退出第三方支付市場(chǎng)。學(xué)習(xí)單元3第三方支付平臺(tái)的使用與安全電子商務(wù)安全管理模塊五學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理學(xué)習(xí)單元3電子商務(wù)安全管理制度學(xué)習(xí)單元一電子商務(wù)安全法律法規(guī)學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)1.網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求為加強(qiáng)網(wǎng)絡(luò)安全專用產(chǎn)品安全管理，推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn)，避免重復(fù)認(rèn)證、檢測(cè)，自2023年7月1日起，列入《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照《信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求》等相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后，方可銷售或者提供。一、電子商務(wù)網(wǎng)絡(luò)安全的法律法規(guī)2023年7月，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同工業(yè)和信息化部、公安部、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)等部門更新了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》，明確了路由器、交換機(jī)、服務(wù)器（機(jī)架式）和可編程邏輯控制器（PLC設(shè)備）等四類網(wǎng)絡(luò)關(guān)鍵設(shè)備，見(jiàn)表5-1-1。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)2.國(guó)際互聯(lián)網(wǎng)出入信道的管理制度《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》規(guī)定：“計(jì)算機(jī)信息網(wǎng)絡(luò)直接進(jìn)行國(guó)際聯(lián)網(wǎng)，必須使用郵電部國(guó)家公用電信網(wǎng)提供的國(guó)際出入口信道。任何單位和個(gè)人不得自行建立或者使用其他信道進(jìn)行國(guó)際聯(lián)網(wǎng)?！背龂?guó)際通信業(yè)務(wù)出入口局作為國(guó)家總關(guān)口外，工業(yè)和信息化部還將中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng)劃分為全國(guó)骨干網(wǎng)和各省、自治區(qū)、直轄市接入網(wǎng)進(jìn)行分層管理，以便對(duì)入網(wǎng)信息進(jìn)行有效的過(guò)濾、隔離和檢測(cè)。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)3.市場(chǎng)準(zhǔn)入制度《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》規(guī)定了“從事國(guó)際聯(lián)網(wǎng)經(jīng)營(yíng)活動(dòng)的和從事非經(jīng)營(yíng)活動(dòng)的接入單位必須具備下列條件：（一）是依法設(shè)立的企業(yè)法人或者事業(yè)法人；（二）具備相應(yīng)的計(jì)算機(jī)信息網(wǎng)絡(luò)、裝備以及相應(yīng)的技術(shù)人員和管理人員；（三）具有健全的安全保密管理制度和技術(shù)保護(hù)措施；（四）符合法律和國(guó)務(wù)院規(guī)定的其他條件”。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)4.計(jì)算機(jī)病毒防治管理辦法《計(jì)算機(jī)病毒防治管理辦法》規(guī)定：“任何單位和個(gè)人不得有下列傳播計(jì)算機(jī)病毒的行為：（一）故意輸入計(jì)算機(jī)病毒，危害計(jì)算機(jī)信息系統(tǒng)安全；（二）向他人提供含有計(jì)算機(jī)病毒的文件、軟件、媒體；（三）銷售、出租、附贈(zèng)含有計(jì)算機(jī)病毒的媒體；（四）其他傳播計(jì)算機(jī)病毒的行為?！睂W(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)該辦法還規(guī)定：“計(jì)算機(jī)信息系統(tǒng)的使用單位在計(jì)算機(jī)病毒防治工作中應(yīng)當(dāng)履行下列職責(zé)：（一）建立本單位的計(jì)算機(jī)病毒防治管理制度；（二）采取計(jì)算機(jī)病毒安全技術(shù)防治措施；（三）對(duì)本單位計(jì)算機(jī)信息系統(tǒng)使用人員進(jìn)行計(jì)算機(jī)病毒防治教育和培訓(xùn)；（四）及時(shí)檢測(cè)、清除計(jì)算機(jī)信息系統(tǒng)中的計(jì)算機(jī)病毒，并備有檢測(cè)、清除的記錄；（五）使用具有計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證的計(jì)算機(jī)病毒防治產(chǎn)品；（六）對(duì)因計(jì)算機(jī)病毒引起的計(jì)算機(jī)信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故及時(shí)向公安機(jī)關(guān)報(bào)告，并保護(hù)現(xiàn)場(chǎng)?！睂W(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)1.信息系統(tǒng)安全等級(jí)保護(hù)制度根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239—2019）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448—2019）等標(biāo)準(zhǔn)的描述，等級(jí)保護(hù)的對(duì)象是信息和信息載體，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)應(yīng)用等。按照這些等級(jí)保護(hù)對(duì)象的重要程度，以及一旦遭到破壞的危害程度等因素，將等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)分為五級(jí)，不同級(jí)別的等級(jí)保護(hù)對(duì)象要求具備不同的安全保護(hù)能力，其中第一至第四級(jí)安全保護(hù)能力要求見(jiàn)表5-1-2。二、電子商務(wù)信息安全的法律法規(guī)學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)常見(jiàn)的第二級(jí)安全保護(hù)能力系統(tǒng)一般是企業(yè)的展示網(wǎng)站，沒(méi)有交易行為、沒(méi)有隱私信息、沒(méi)有用戶信息等，一旦受到惡意攻擊，只會(huì)影響企業(yè)本身。第三級(jí)安全保護(hù)能力系統(tǒng)一般涉及電子商務(wù)網(wǎng)站、物流平臺(tái)、貨運(yùn)網(wǎng)站、政府單位系統(tǒng)等的交易信息、用戶信息、隱私信息等，一旦受到攻擊，將對(duì)社會(huì)和國(guó)家產(chǎn)生一定的影響。因此，涉及用戶信息安全、企業(yè)安全、國(guó)家機(jī)密、公民信息和資金安全的系統(tǒng)，只有通過(guò)信息安全等級(jí)保護(hù)測(cè)評(píng)才能上線。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)對(duì)于已運(yùn)營(yíng)（運(yùn)行）的第二級(jí)安全保護(hù)能力及以上電子商務(wù)系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。對(duì)于新建第二級(jí)安全保護(hù)能力及以上電子商務(wù)系統(tǒng)，應(yīng)由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)；跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)2.電子商務(wù)信息安全相關(guān)法律法規(guī)目前我國(guó)出臺(tái)的電子商務(wù)信息安全的相關(guān)法律規(guī)范有《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)1.電子商務(wù)交易的簽證授權(quán)2005年4月1日我國(guó)出臺(tái)了《中華人民共和國(guó)電子簽名法》，承認(rèn)了電子簽名的法律效力，其被認(rèn)為是我國(guó)第一部真正意義上的電子商務(wù)法。需要注意的是，從概念上說(shuō)，電子簽名與數(shù)字簽名是不同的。數(shù)字簽名的概念來(lái)源于科學(xué)技術(shù)領(lǐng)域，特指利用公鑰密碼技術(shù)而實(shí)現(xiàn)的對(duì)數(shù)據(jù)的鑒別。而電子簽名是法律上根據(jù)簽名的基本功能而定義的。電子簽名與數(shù)字簽名的關(guān)系是：電子簽名是法律上為了追求技術(shù)中立性而泛化的概念，數(shù)字簽名是電子簽名的一種特定實(shí)現(xiàn)形式。三、電子商務(wù)交易安全的法律法規(guī)2.電子商務(wù)交易安全的投訴處理機(jī)制中國(guó)消費(fèi)者協(xié)會(huì)以“全國(guó)消費(fèi)者協(xié)會(huì)投訴與咨詢信息系統(tǒng)”為依托建立了“電商消費(fèi)維權(quán)綠色通道（直通車）平臺(tái)”，加入該平臺(tái)的有淘寶網(wǎng)、京東商城、蘇寧易購(gòu)、唯品會(huì)、1號(hào)店、聚美優(yōu)品、國(guó)美在線、攜程、去哪兒、優(yōu)酷土豆、風(fēng)行網(wǎng)、美團(tuán)、大眾點(diǎn)評(píng)、餓了么、網(wǎng)易考拉海購(gòu)、滴滴、優(yōu)信二手車、中國(guó)移動(dòng)、人人車、58同城、途虎養(yǎng)車等電子商務(wù)企業(yè)。全國(guó)各級(jí)消費(fèi)者協(xié)會(huì)在接到消費(fèi)者投訴后將投訴信息錄入系統(tǒng)，加入系統(tǒng)的電子商務(wù)企業(yè)會(huì)在七個(gè)工作日內(nèi)進(jìn)行處理。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)3.電子商務(wù)交易安全的法律規(guī)范電子商務(wù)交易安全的法律保障問(wèn)題涉及兩個(gè)基本方面：第一，電子商務(wù)交易首先是一種商品交易，其安全問(wèn)題應(yīng)當(dāng)通過(guò)民商法和電子商務(wù)法律法規(guī)加以保護(hù)；第二，電子商務(wù)交易是通過(guò)計(jì)算機(jī)及其網(wǎng)絡(luò)實(shí)現(xiàn)的，其安全與計(jì)算機(jī)及其網(wǎng)絡(luò)自身的安全程度有關(guān)，其安全問(wèn)題可以通過(guò)網(wǎng)絡(luò)信息安全法律法規(guī)加以保護(hù)。2018年制定的《中華人民共和國(guó)電子商務(wù)法》（以下簡(jiǎn)稱《電子商務(wù)法》），就是我國(guó)建構(gòu)與互聯(lián)網(wǎng)時(shí)代的社會(huì)經(jīng)濟(jì)生活相適應(yīng)的法律體系的重要法律，該法的制定對(duì)我國(guó)電子商務(wù)的健康可持續(xù)發(fā)展將會(huì)產(chǎn)生深遠(yuǎn)的影響。《電子商務(wù)法》的重要任務(wù)之一就是針對(duì)新型的市場(chǎng)主體——電子商務(wù)平臺(tái)經(jīng)營(yíng)者來(lái)建章立制，并用了接近一半的條文，對(duì)平臺(tái)的法律地位、權(quán)利、義務(wù)與責(zé)任做出詳盡規(guī)定。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)《電子商務(wù)法》對(duì)電子商務(wù)經(jīng)營(yíng)者、電子商務(wù)合同的訂立與履行、電子商務(wù)爭(zhēng)議解決、電子商務(wù)促進(jìn)和法律責(zé)任等方面做了規(guī)定，明確規(guī)定了電子商務(wù)各方主體的合法權(quán)益，規(guī)范了電子商務(wù)行為，為網(wǎng)購(gòu)消費(fèi)者撐起了法律的“保護(hù)傘”，是電子商務(wù)領(lǐng)域的一部基礎(chǔ)性法律?！峨娮由虅?wù)法》的亮點(diǎn)主要有以下幾方面：1.將微商、代購(gòu)、網(wǎng)絡(luò)直播納入范疇從平臺(tái)購(gòu)物到朋友圈購(gòu)物，再到直播購(gòu)物，消費(fèi)者的網(wǎng)購(gòu)渠道越來(lái)越多。《電子商務(wù)法》明確將微商、代購(gòu)、網(wǎng)絡(luò)直播納入電子商務(wù)經(jīng)營(yíng)者范疇，明確其受該法制約。四、電子商務(wù)法2.電子商務(wù)平臺(tái)不得刪除消費(fèi)者評(píng)價(jià)很多消費(fèi)者明明購(gòu)買了質(zhì)量有問(wèn)題的產(chǎn)品，真實(shí)的評(píng)價(jià)卻在評(píng)論區(qū)“消失”了。這種情況今后將會(huì)改善，電子商務(wù)法明確不得刪除評(píng)價(jià)。3.制約大數(shù)據(jù)殺熟互聯(lián)網(wǎng)的計(jì)算能力強(qiáng)大，它可以根據(jù)不同人的購(gòu)買喜好、習(xí)慣，做出“千人千面”的頁(yè)面?！峨娮由虅?wù)法》實(shí)施后，電子商務(wù)平臺(tái)理應(yīng)推出允許用戶關(guān)閉“個(gè)性化推薦”的選項(xiàng)。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)4.禁止“默認(rèn)勾選”，應(yīng)顯著提示搭售默認(rèn)同意獲取個(gè)人信息、買機(jī)票搭“專車”接送等，這樣的消費(fèi)場(chǎng)景曾無(wú)數(shù)次上演。這些互聯(lián)網(wǎng)平臺(tái)的貓膩——“默認(rèn)勾選”將成為歷史，消費(fèi)頁(yè)面應(yīng)讓消費(fèi)者知情，并主動(dòng)勾選“同意”。5.押金退還不得設(shè)置不合理?xiàng)l件《電子商務(wù)法》規(guī)定經(jīng)營(yíng)者要明示押金退還方式和程序，不得設(shè)置不合理?xiàng)l件，符合規(guī)定的押金退還要及時(shí)。今后，押金退還的程序會(huì)更加明確，消費(fèi)者的權(quán)益會(huì)得到更好的保障。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)6.規(guī)范電子商務(wù)合同的訂立與履行中的難點(diǎn)問(wèn)題《電子商務(wù)法》規(guī)范了各類合同訂立與履行的難點(diǎn)問(wèn)題，包括快遞、支付等各個(gè)環(huán)節(jié)都有相應(yīng)的規(guī)范。7.平臺(tái)不能強(qiáng)制商家“二選一”為了在電子商務(wù)促銷季里獲得更大的流量，有平臺(tái)會(huì)對(duì)商家強(qiáng)制“二選一”。在《電子商務(wù)法》中，這一行為被明確禁止。8.平臺(tái)經(jīng)營(yíng)者自營(yíng)應(yīng)設(shè)顯著標(biāo)識(shí)在電子商務(wù)平臺(tái)上，消費(fèi)者經(jīng)常會(huì)看到“自營(yíng)”的標(biāo)識(shí)。今后，這些標(biāo)識(shí)必須更加明顯。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)9.強(qiáng)化經(jīng)營(yíng)者舉證責(zé)任消費(fèi)者和商家出現(xiàn)消費(fèi)紛爭(zhēng)，平臺(tái)應(yīng)積極配合消費(fèi)者舉證，提供必要的便利來(lái)維護(hù)消費(fèi)者權(quán)益?！峨娮由虅?wù)法》要求平臺(tái)經(jīng)營(yíng)者完整保留交易數(shù)據(jù)信息，幫助還原事情的真相。10.平臺(tái)經(jīng)營(yíng)者應(yīng)依法擔(dān)責(zé)平臺(tái)經(jīng)營(yíng)者建構(gòu)一個(gè)網(wǎng)絡(luò)交易空間，讓其他經(jīng)營(yíng)者入駐，成為平臺(tái)內(nèi)經(jīng)營(yíng)者，并且獨(dú)立開(kāi)展交易活動(dòng)。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)學(xué)習(xí)單元二電子商務(wù)安全風(fēng)險(xiǎn)管理1.電子商務(wù)安全風(fēng)險(xiǎn)的定義廣義的電子商務(wù)安全風(fēng)險(xiǎn)是指威脅電子商務(wù)安全的各類風(fēng)險(xiǎn)，覆蓋電子商務(wù)的整個(gè)流程、全部參與者、各類軟件硬件設(shè)施、內(nèi)外部運(yùn)行環(huán)境，包括信息安全風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)和政策風(fēng)險(xiǎn)等。狹義的電子商務(wù)安全風(fēng)險(xiǎn)則主要關(guān)注信息技術(shù)和操作層面，主要包括信息安全風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)，不包括商業(yè)活動(dòng)本身的風(fēng)險(xiǎn)。一、電子商務(wù)安全風(fēng)險(xiǎn)學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理專家學(xué)者將電子商務(wù)產(chǎn)業(yè)架構(gòu)為底層基礎(chǔ)和電子商務(wù)產(chǎn)業(yè)兩大部分，其中底層基礎(chǔ)又包括電信基礎(chǔ)設(shè)施、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、互聯(lián)網(wǎng)軟件工具及語(yǔ)言；電子商務(wù)產(chǎn)業(yè)包括安全、電子支付、金融服務(wù)軟件和業(yè)務(wù)商務(wù)軟件四個(gè)基礎(chǔ)層次以及上層的商務(wù)內(nèi)容部分，見(jiàn)表5-2-1。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理2.電子商務(wù)安全風(fēng)險(xiǎn)的主要特點(diǎn)從事電子商務(wù)活動(dòng)的所有機(jī)構(gòu)、企業(yè)以及個(gè)人都暴露在安全風(fēng)險(xiǎn)中，都可能在不同程度上遭受網(wǎng)絡(luò)犯罪的侵害。了解電子商務(wù)安全風(fēng)險(xiǎn)的主要特點(diǎn)有助于清楚認(rèn)識(shí)風(fēng)險(xiǎn)形勢(shì)，提升風(fēng)險(xiǎn)管理水平。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理現(xiàn)階段電子商務(wù)安全風(fēng)險(xiǎn)的主要特點(diǎn)可以歸納為以下幾點(diǎn)。（1）攻擊具有普遍性，風(fēng)險(xiǎn)無(wú)處不在網(wǎng)絡(luò)黑客無(wú)孔不入，出于牟利、破壞、好奇等各種目的對(duì)他人的信息資產(chǎn)進(jìn)行攻擊或竊取。（2）信息和數(shù)據(jù)成為主要侵害對(duì)象信息和數(shù)據(jù)的價(jià)值已經(jīng)得到廣泛認(rèn)同，黑客也不例外，企業(yè)及個(gè)人信息成為網(wǎng)絡(luò)犯罪的主要攻擊和牟利對(duì)象。（3）安全問(wèn)題造成的損失日益增大針對(duì)電子商務(wù)的網(wǎng)絡(luò)犯罪手段在不斷升級(jí)，各種傳統(tǒng)詐騙手段配合網(wǎng)絡(luò)技術(shù)、移動(dòng)技術(shù)，使得電子商務(wù)安全形勢(shì)更加復(fù)雜，其造成的損失也在逐年攀升。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理3.電子商務(wù)安全風(fēng)險(xiǎn)的主要危害（1）直接損失電子商務(wù)安全風(fēng)險(xiǎn)導(dǎo)致的直接損失是指網(wǎng)絡(luò)犯罪直接造成的企業(yè)有形和無(wú)形財(cái)產(chǎn)損失。（2）間接損失電子商務(wù)安全風(fēng)險(xiǎn)導(dǎo)致的間接損失主要包括企業(yè)業(yè)務(wù)中斷損失、業(yè)務(wù)恢復(fù)投入以及賠償?shù)谌綋p失等。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理4.我國(guó)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)急響應(yīng)體系國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡(jiǎn)稱國(guó)家互聯(lián)網(wǎng)應(yīng)急中心，CNCERT），為非政府非營(yíng)利的網(wǎng)絡(luò)安全技術(shù)中心，是我國(guó)網(wǎng)絡(luò)安全應(yīng)急體系的核心協(xié)調(diào)機(jī)構(gòu)。作為國(guó)家級(jí)應(yīng)急中心，CNCERT的主要職責(zé)是：按照“積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速響應(yīng)、力?；謴?fù)”的方針，開(kāi)展互聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件的預(yù)防、發(fā)現(xiàn)、預(yù)警和協(xié)調(diào)處置等工作，維護(hù)國(guó)家公共互聯(lián)網(wǎng)安全，保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全運(yùn)行，減少電子商務(wù)運(yùn)行過(guò)程中的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理1.風(fēng)險(xiǎn)識(shí)別分析階段風(fēng)險(xiǎn)識(shí)別分析是收集信息，確定電子商務(wù)系統(tǒng)的薄弱點(diǎn)和面臨的威脅，對(duì)可能造成的損失進(jìn)行評(píng)價(jià)的過(guò)程。該階段的主要任務(wù)是全面評(píng)估電子商務(wù)的安全現(xiàn)狀、要保護(hù)的信息及資產(chǎn)等，同時(shí)進(jìn)行基本的安全風(fēng)險(xiǎn)識(shí)別和分析。二、電子商務(wù)安全風(fēng)險(xiǎn)管理流程學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理（1）風(fēng)險(xiǎn)識(shí)別的一般步驟在風(fēng)險(xiǎn)管理中，識(shí)別風(fēng)險(xiǎn)、給出風(fēng)險(xiǎn)的客觀評(píng)價(jià)是至關(guān)重要的，是風(fēng)險(xiǎn)控制實(shí)施的基礎(chǔ)所在。通常，在電子商務(wù)安全風(fēng)險(xiǎn)管理中風(fēng)險(xiǎn)識(shí)別應(yīng)遵循以下步驟。1）信息資產(chǎn)的識(shí)別與評(píng)估。評(píng)估范圍內(nèi)的資產(chǎn)主要包括數(shù)據(jù)與文檔、書面合同、軟件資產(chǎn)、人員、服務(wù)以及實(shí)物資產(chǎn)。列出所有信息資產(chǎn)后，為每項(xiàng)資產(chǎn)賦值。2）威脅的識(shí)別與評(píng)估。對(duì)每一項(xiàng)關(guān)鍵信息資產(chǎn)進(jìn)行威脅識(shí)別，繼而確定威脅發(fā)生的可能性。企業(yè)應(yīng)根據(jù)經(jīng)驗(yàn)或者有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅發(fā)生的頻率或者概率。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理3）薄弱點(diǎn)評(píng)估。企業(yè)需要保護(hù)的信息資產(chǎn)存在可能被威脅利用的薄弱點(diǎn)，即漏洞。企業(yè)應(yīng)針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找出每一種威脅所能利用的薄弱點(diǎn)，并針對(duì)薄弱點(diǎn)的嚴(yán)重性進(jìn)行評(píng)估。企業(yè)還應(yīng)對(duì)已有的安全控制的有效性進(jìn)行確認(rèn)，確保其持續(xù)有效。在分析系統(tǒng)威脅以及薄弱點(diǎn)的時(shí)候，可以分成兩個(gè)階段來(lái)考慮：一是識(shí)別可能發(fā)生的威脅和存在的薄弱點(diǎn)；二是分析這些問(wèn)題可能對(duì)組織產(chǎn)生影響的可能性、影響的范圍及程度等。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理（2）風(fēng)險(xiǎn)識(shí)別的常用方法1）風(fēng)險(xiǎn)分析調(diào)查表法。這是風(fēng)險(xiǎn)管理人員及有關(guān)專家學(xué)者通過(guò)對(duì)企業(yè)可能遭受的風(fēng)險(xiǎn)加以詳盡的調(diào)查與分析，編制各種調(diào)查表供企業(yè)參考的一種方法。調(diào)查表應(yīng)盡可能提出比較詳盡的問(wèn)題。2）事故樹(shù)分析法。事故樹(shù)分析法是指對(duì)可能引起損失的事故進(jìn)行研究，并探究其原因和結(jié)果的一種方法。事故樹(shù)分析法可以識(shí)別各種促成損失的事故的風(fēng)險(xiǎn)因素，還可以計(jì)算事故的概率，是定性和定量相結(jié)合的方法，在風(fēng)險(xiǎn)管理中運(yùn)用很廣。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理2.風(fēng)險(xiǎn)評(píng)估階段風(fēng)險(xiǎn)評(píng)估階段就是確定企業(yè)安全需求的過(guò)程。企業(yè)在經(jīng)過(guò)了風(fēng)險(xiǎn)識(shí)別分析之后，應(yīng)利用適當(dāng)?shù)娘L(fēng)險(xiǎn)測(cè)量工具或方法確定風(fēng)險(xiǎn)的大小與風(fēng)險(xiǎn)等級(jí)，以便正確識(shí)別與選擇恰當(dāng)和正確的安全控制方法，從而避免出現(xiàn)投入成本和所保護(hù)的信息和資產(chǎn)嚴(yán)重不匹配。目前，國(guó)內(nèi)已有一些關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的研究和應(yīng)用，如風(fēng)險(xiǎn)評(píng)估矩陣與問(wèn)卷方法、專家系統(tǒng)相結(jié)合。此外，網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估方法常用定量因子分析方法、時(shí)間序列模型、決策樹(shù)方法和回歸模型等。信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)內(nèi)容要求比較高，它要求員工具有很高的技術(shù)水平。而且信息安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)集綜合性、專業(yè)性于一體的工作，不僅涉及公司的所有業(yè)務(wù)信息，也涉及人力、物力和財(cái)力的方方面面，因此需要各部門之間相互配合。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理3.風(fēng)險(xiǎn)控制階段風(fēng)險(xiǎn)控制階段的任務(wù)是通過(guò)實(shí)施一系列的安全控制措施使風(fēng)險(xiǎn)降低到企業(yè)可以接受的水平。風(fēng)險(xiǎn)控制在滿足費(fèi)用和風(fēng)險(xiǎn)平衡的原則下，可以選擇下列途徑來(lái)實(shí)現(xiàn)風(fēng)險(xiǎn)可接受的目的，如避免風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、減少威脅、減少薄弱點(diǎn)、減弱威脅可能的影響程度、探測(cè)有害事件等。在經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估后，企業(yè)應(yīng)采用合適的方法進(jìn)行風(fēng)險(xiǎn)控制。風(fēng)險(xiǎn)控制的選擇以風(fēng)險(xiǎn)評(píng)估的結(jié)果為依據(jù)，決定需要保護(hù)的資產(chǎn)、采用何種形式保護(hù)，從而減少或消除風(fēng)險(xiǎn)損失，達(dá)到企業(yè)可以接受的風(fēng)險(xiǎn)水平。在傳統(tǒng)的金融機(jī)構(gòu)風(fēng)險(xiǎn)管理中，風(fēng)險(xiǎn)控制的基本方法主要包括規(guī)避、預(yù)防和分散；從財(cái)務(wù)角度出發(fā)的風(fēng)險(xiǎn)控制對(duì)策包括風(fēng)險(xiǎn)自留和風(fēng)險(xiǎn)轉(zhuǎn)移。在企業(yè)的電子商務(wù)安全風(fēng)險(xiǎn)控制中，可以借鑒這些方法。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理1.安全風(fēng)險(xiǎn)管理策略應(yīng)遵循的原則安全風(fēng)險(xiǎn)管理策略是指能夠接觸企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息的人員必須恪守的一系列規(guī)則和條文的明確規(guī)定，其對(duì)每一個(gè)用戶、管理員和其他中高層管理者都確定了各自的安全目標(biāo)，這些目標(biāo)大多是基于以下因素的權(quán)衡：高質(zhì)量的服務(wù)和安全性，易用性和安全性，安全費(fèi)用和風(fēng)險(xiǎn)損失。三、電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理制定安全風(fēng)險(xiǎn)管理策略的主要目的是讓用戶和管理者牢記自身對(duì)保護(hù)企業(yè)網(wǎng)絡(luò)技術(shù)和信息財(cái)產(chǎn)的不可推卸的責(zé)任和義務(wù)，并為安全問(wèn)題造成的預(yù)期損失制定一個(gè)最高限額。安全風(fēng)險(xiǎn)管理策略首先是一個(gè)安全管理指導(dǎo)方針，因此必須在制定之初全盤考慮外界環(huán)境的各種限制條件。相關(guān)法律法規(guī)是任何被其管轄范圍內(nèi)的組織都必須遵守的，是其存在和發(fā)展的前提，因此必須遵循。而組織業(yè)務(wù)要求或組織的目標(biāo)則是一個(gè)組織存在和運(yùn)作的依據(jù)，電子商務(wù)模式不過(guò)是組織為了實(shí)現(xiàn)其業(yè)務(wù)目的而采取的一種手段，因此電子商務(wù)安全風(fēng)險(xiǎn)管理歸根結(jié)底也是為企業(yè)的整體目標(biāo)服務(wù)的，所以不能脫離組織的目標(biāo)而單獨(dú)考慮安全問(wèn)題。經(jīng)濟(jì)原則是任何以營(yíng)利為目的的企業(yè)必然要遵守的準(zhǔn)則，企業(yè)非公益組織，必須考慮成本和收益之間的關(guān)系，因此安全風(fēng)險(xiǎn)管理也不能無(wú)視成本，盲目追求高的安全水平。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理2.安全風(fēng)險(xiǎn)管理策略的總體框架企業(yè)的安全風(fēng)險(xiǎn)管理策略構(gòu)造如圖5-2-1所示。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理學(xué)習(xí)單元三電子商務(wù)安全管理制度1.硬件的日常管理和維護(hù)企業(yè)建設(shè)自己的局域網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)參與電子商務(wù)活動(dòng)，其局域網(wǎng)絡(luò)的日常管理和維護(hù)就十分重要了，特別是那些運(yùn)行關(guān)鍵信息的局域網(wǎng)絡(luò)，如銀行、郵電、稅務(wù)等。網(wǎng)絡(luò)管理員必須建立系統(tǒng)設(shè)備檔案，記錄設(shè)備型號(hào)、生產(chǎn)廠家、配置參數(shù)、安裝時(shí)間、安裝地點(diǎn)、上網(wǎng)目錄和內(nèi)容。對(duì)于服務(wù)器和客戶機(jī)等，還應(yīng)記錄其內(nèi)存、硬盤容量和型號(hào)、終端型號(hào)及數(shù)量、操作系統(tǒng)名、數(shù)據(jù)庫(kù)名等。一、網(wǎng)絡(luò)系統(tǒng)日常維護(hù)制度學(xué)習(xí)單元3電子商務(wù)安全管理制度（1）網(wǎng)絡(luò)設(shè)備對(duì)于網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)，有網(wǎng)管軟件的應(yīng)及時(shí)安裝網(wǎng)管軟件。這些軟件可以做到對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的自動(dòng)識(shí)別、顯示和管理，網(wǎng)絡(luò)系統(tǒng)節(jié)點(diǎn)的配置和管理，系統(tǒng)故障的診斷、顯示及通告，網(wǎng)絡(luò)流量與業(yè)態(tài)的監(jiān)控、統(tǒng)計(jì)與分析，還可以進(jìn)行網(wǎng)絡(luò)性能調(diào)優(yōu)、負(fù)載平衡等。學(xué)習(xí)單元3電子商務(wù)安全管理制度（2）服務(wù)器和客戶機(jī)服務(wù)器系統(tǒng)必須及時(shí)升級(jí)安裝安全補(bǔ)丁，彌補(bǔ)系統(tǒng)漏洞；必須為服務(wù)器系統(tǒng)做好病毒及木馬的實(shí)時(shí)監(jiān)測(cè)，及時(shí)升級(jí)病毒庫(kù)。管理員對(duì)服務(wù)器和客戶機(jī)賬戶與口令應(yīng)嚴(yán)格保密、定期修改，以保證系統(tǒng)安全，防止對(duì)系統(tǒng)的非法入侵。注意對(duì)服務(wù)器硬盤等硬件做評(píng)估，保障服務(wù)器以最佳狀態(tài)工作。（3）通信線路對(duì)于內(nèi)部線路，應(yīng)盡可能采用結(jié)構(gòu)化布線。雖然采用結(jié)構(gòu)化布線系統(tǒng)在建設(shè)初期會(huì)增加投資，但這樣做可以大大降低網(wǎng)絡(luò)故障率，即使有故障發(fā)生也較容易排除。學(xué)習(xí)單元3電子商務(wù)安全管理制度2.軟件的日常管理和維護(hù)（1）支撐軟件支撐軟件包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、開(kāi)發(fā)工具及各種語(yǔ)言等。對(duì)于操作系統(tǒng)來(lái)說(shuō)，一般需要進(jìn)行以下維護(hù)工作：1）定期進(jìn)行系統(tǒng)更新和補(bǔ)丁管理。2）定期整理文件系統(tǒng)，清理系統(tǒng)垃圾，進(jìn)行系統(tǒng)優(yōu)化。3）監(jiān)測(cè)服務(wù)器上的活動(dòng)狀態(tài)和用戶注冊(cè)數(shù)。4）監(jiān)控系統(tǒng)資源的使用情況。5）處理運(yùn)行中的死機(jī)情況等。學(xué)習(xí)單元3電子商務(wù)安全管理制度（2）應(yīng)用軟件應(yīng)用軟件的管理和維護(hù)主要是版本控制。為了保持各客戶機(jī)上的版本一致，應(yīng)設(shè)置一臺(tái)安裝服務(wù)器，當(dāng)遠(yuǎn)程客戶機(jī)應(yīng)用軟件需要更新時(shí)，就可以從網(wǎng)絡(luò)上進(jìn)行遠(yuǎn)程安裝。學(xué)習(xí)單元3電子商務(wù)安全管理制度3.數(shù)據(jù)備份為規(guī)范數(shù)據(jù)備份管理工作，合理存儲(chǔ)歷史數(shù)據(jù)及保證數(shù)據(jù)的安全性，防止因硬件故障、意外斷電、病毒等因素造成數(shù)據(jù)的丟失，保障正常的知識(shí)產(chǎn)權(quán)利益和技術(shù)資料的儲(chǔ)備，一般電子商務(wù)公司會(huì)編制公司數(shù)據(jù)備份制度和方案，由備份管理人員負(fù)責(zé)制定備份、恢復(fù)策略，組織實(shí)施備份、恢復(fù)操作，指導(dǎo)備份介質(zhì)的取放、更換和登記工作。公司大多會(huì)根據(jù)情況將數(shù)據(jù)分為一般數(shù)據(jù)和重要數(shù)據(jù)兩種。一般數(shù)據(jù)（如服務(wù)器共享文件夾下面的數(shù)據(jù)）主要指?jìng)€(gè)人或部門的各種信息及辦公文檔、電子郵件、人事檔案、考勤管理、監(jiān)控?cái)?shù)據(jù)等，一般由個(gè)人或各部門每月自行備份，部門經(jīng)理負(fù)責(zé)整理歸檔后刻盤，備份管理人員每半年對(duì)一般數(shù)據(jù)資料進(jìn)行選擇性收集歸檔。重要數(shù)據(jù)主要包括各部門日常表單記錄、財(cái)務(wù)數(shù)據(jù)、技術(shù)部門圖紙、商務(wù)部標(biāo)書、