电子商务与电子支付教辅及习题第9章

第9章电子支付安全管理
主要内容与重点
本章主要讲述以下3部分的内容：
(1)电子支付安全技术保障的主要手段和一般应用方法。

其中分为电子支付网络平台、建立基于身份认证技术的密钥系统、落实网络安全等级保护制度三方面分别列举了电子支付安全目前的技术支持；
(2)电子银行安全管理的内容。

首先介绍了电子银行如何进行安全评估，对评估的机构、标准、内容等进行了总结。

其次是针对《电子银行业务管理办法》，对电子银行业务进行有关规定的介绍。

最后讨论电子银行信用体系建设的重要性和需要注意的方面。

(3)加强电子支付安全综合管理。

梳理了电子支付管理的基本思路，提出要通过营造电子支付应用安全环境，健全电子支付安全体系，完善电子支付法律规范等方面进行电子支付管理。

通过对本章的学习，学生应明确电子支付网络平台、身份认证、单因子认证、双因子认证等概念。

了解电子支付安全管理的主要内容及目的，了解电子支付安全技术保障的主要手段和一般应用方法。

掌握电子支付安全管理保障的内容及存在问题。

了解《电子支付指引(第一号)》内容，掌握其适用范围及存在意义。

了解《电子银行业务管理办法》，掌握其中关键问题。

学习流程
本章学习流程见图9-1。

f 电子支付网络平台的技术管理
电子支付安全技术保障一一> 建立基于身份认证技术的密钥系统
落实网络安全等级保护制度
电子银行安全评估
电子银行安全管理一-> 电子银行业务管理
电子银行信用体系建设
电子支付管理的基本思路
________________________________ f 营造电子支付应用安全环境—加强电子支付安全综合管理——
-> 健全电子支付安全体系
完善电子支付法律规范
图9T第九章学习流程
考核要点提示
1.电子支付过程中的安全隐患
电子支付过程中面临的安全隐患大体上有这样几种：信息的窃取、盗用及篡改；无法有效确认身份；否认、修改、隐瞒支付行为和支付信息；网络支付系统的中断。

2.电子支付网络平台的技术管理
（1）互联网金融行业的安全状况
近年来，随着互联网金融行业的发展，互联网金融平台运营者的网络安全意识有所提升，互联网金融平台的网络安全防护能力有所加强，特别是规模较大的平台，但仍有部分平台安全防护能力不足，安全隐患较多。

（2）电子支付网络平台系统的安全措施
①保护网络安全。

根据自身的安全需求，制定相应的安全策略；制定网络安全的管理措施；使用防火墙，这也最主要的防护措施之一；尽可能纪录网络上的一切活动；注意对网络设备的物理保护；定期检查系统的脆弱性；建立可靠的识别和鉴别机制。

0保护应用服务安全。

应用安全指的是针对特定应用（如WEB服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。

虽然有些防护措施可能是网络安全业务的一种替代或重叠。

③保护系统安全。

所谓系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。

（3）电子支付中防火墙的应用
①业务Web服务器设置在防火墙之内。

将业务Web服务器装在防火墙内的好处是它可以得到安全防护，不容易被外界攻击，但Web服务器本身不易被外界应用，这种防火墙是创建一个“内部网络站点”，它仅能由内部网中的用户访问。

由于电子商务业务的需要，它仅用于企业面向职员的网络服务的专门站点中。

因此，一般性电子商务业务中将Web服务器设置在防火墙外更为常见。

0业务Web服务器设置在防火墙之外。

为了能使互联网上的所有用户都能够访问本业务Web 服务器，就要将Web服务器放到防火墙外面。

这种配置方式主要为了保护内部网络的安全，虽然Web服务器不受保护，但内部网处于良好的保护下，即使外部攻击者进入了该Web站点，而内部网络仍然是安全的。

这时Web服务器为了保护内部网络做出一定牺牲。

虽然防火墙在这种配置中对Web业务服务器并未起到一点保护作用，但是，可以通过系统软件和操作系统自身的病毒检测和安全控制功能来对Web服务器进行防护。

③除此以外，一些安全性较高的站点会采用一内一外，两个防火墙来保证站点的安全。

3.基于身份认证技术的密钥系统
综合应用身份认证技术是当前电子支付技术管理中的一个趋势。

我国铁路电子支付行业密钥系统的建立中综合应用加密技术，通过PSAM卡控制行业密钥文件的读写，达到了保护行业密钥的目的，能够满足行业信息保护需求。

（1）系统结构
铁路电子支付行业密钥系统包括密钥管理系统、PSAM（销售点终端安全存款模块，Purchase Secure Access Module）卡发卡系统和行业密钥传递程序3个部分。

密钥管理系统生成各级密钥，行业密钥传递程序负责将密钥管理系统生成的行业密钥卡导入到其它系统，PSAM卡发卡系统实现将PSAM卡母卡中的密钥导入到PSAM卡发卡系统和发行PSAM卡功能，这3个系统相互配合实现行业相关信息的保护工作。

（2）关键技术
•内部认证
•外部认证
•安全控制
4.网络安全等级保护制度
根据《网络安全法》）第二十一条的规定，国家实行网络安全等级保护制度。

网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（4）采取数据分类、重要数据备份和加密等措施；
（5）法律、行政法规规定的其他义务。

5.电子银行安全评估
2001年6月，中国人民银行制定颁布了《网上银行业务管理暂行办法》。

为了进一步加强电子银行业务的安全与风险管理，保证电子银行安全评估的客观性、及时性、全面性和有效性，2006年3月中国银监会颁布了《电子银行安全评估指引》（简称《指引》）o
（1）电子银行评估的基本要求
•电子银行的安全评估是指金融机构在开展电子银行业务过程中，对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的
考察与评价。

•金融机构应建立电子银行安全评估的规章制度体系和工作规程，保证电子银行安全评估能够及时、客观地得以实施。

•开展电子银行业务的金融机构，应根据其电子银行发展和管理的需要，至少每2年对电子银行进行一次全面的安全评估。

（2）电子银行安全评估机构
承担金融机构电子银行安全评估工作的机构，可以是金融机构外部的社会专业化机构, 也可以是金融机构内部具备相应条件的相对独立部门。

外部机构从事电子银行安全评估，应具备以下条件：
•具有较为完善的开展电子银行安全评估业务的管理制度和操作规程；
•制定了系统、全面的评估手册或评估指导文件，评估手册或评估指导文件的内容应至少包括评估程序、评估方法和依据、评估标准等；
•拥有与电子银行安全评估相关的各类专业人才，了解国际和中国相关行业的行业标准；
•中国银监会规定的其他从事电子银行安全评估应当具备的条件。

金融机构内部部门从事电子银行安全评估，除应具备第八条规定的有关条件外，还应具备以下条件：
•必须独立于电子银行业务系统开发部门、运营部门和管理部门；
•未直接参与过有关电子银行设备的选购工作。

（3）电子银行安全评估的主要内容
•安全策略
•内控制度建设
•风险管理状况
•系统安全性
•电子银行业务运行连续性计划
•电子银行业务运行应急计划
•电子银行风险预警体系
•其他重要安全环节和机制的管理
6.电子银行业务管理
2006年1月，中国银监会颁布了《电子银行业务管理办法》（简称《管理办法》）o此次颁布的法规在一定程度上为电子银行的业务安全、风险管理、风险控制、安全控制提供了一定的标准。

（1）申请与变更
•银行业金融机构经批准获得开办电子银行业务的资格后，可以授权其分支机构同时开办部分或全部已获批准的电子银行业务。

•增加或变更不需审批或备案的电子银行业务品种，应在开办该品种后一个月之内报告中国银监会。

•己开办电子银行业务的金融机构决定终止电子银行服务，应提前三个月就终止电子银行服务的原因及相关问题的处置方案等报中国银监会备案，并同时予以公告。

•金融机构因电子银行系统升级、测试等原因，需要按计划暂时停止电子银行服务的，应选择恰当的时间，尽可能减少对客户的影响，并提前一周予以公告，并同时将有关情况
报告中国银监会。

•受突发事件或偶然因素影响非计划暂停电子银行服务，在正常工作时间内超过1个小时或者在正常工作时间外超过2个小时的，金融机构应在暂停服务后24小时之内，将事
故原因、影响、补救措施及处理情况等，向中国银监会报告。

（2）风险管理
•针对“网上黑客。

要求金融机构应在物理控制和软件控制两个方面建立对非法进入或越权进入的甄别、处理和报告机制；金融机构应保证所有的电子银行交易都有清晰的跟踪
记录，并且采用适当的技术和措施保存这些数据以及符合有关法律法规的时限要求。

•金融机构应当保障电子银行运营设施设备，以及安全控制设施设备的安全，对电子银行的重要设施设备和数据，采取适当的保护措施。

•金融机构应采用适当的加密技术和措施，保证电子交易数据传输的保密性、真实性，以及交易数据的完整性和交易的不可否认性。

•金融机构需要采取适当的措施和采用适当的技术，鉴定与识别启动网上银行服务的客户真实身份，并对其权限实施有效管理。

（3）数据交换转移管理
建立电子银行数据交换机制的金融机构，或者电子银行平台实现相互连接的金融机构, 应当建立联合风险管理委员会，负责协调跨行间的业务风险管理。

（4）业务监督
根据监管的需要，电子银行可以独立或者聘请外部机构对电子银行业务系统进行安全漏洞扫描、攻击测试等，开展电子银行业务的金融机构应当积极配合，并严格保密有关结果，不得将有关结论用于宣传活动中。

7.电子银行信用体系建设
2014年6月，国务院印发《社会信用体系建设规划纲要（2014—2020年）》,将金融领域信用建设列入重点领域，要求创新金融信用产品，改善金融服务，维护金融消费者个人信息安全，保护金融消费者合法权益。

电子银行信用体系的建设，应当注意以下方面：
•完善金融信用信息基础数据库
•推动金融业统一征信平台建设
•加强协调，推动信息共享
•保护用户合法权益，依法使用企业和个人信用信息
8.电子支付管理
（1）基本思路
电子支付本质仍属于金融，没有改变金融风险隐蔽性、传染性、广泛性和突发性的特点。

加强电子支付的监管是促进电子支付健康发展的内在要求。

同时，电子支付是新生事物和新兴业态，要制定适度宽松的监管政策，为电子支付创新留有余地和空间。

要通过鼓励创新和加强监管相互支撑，促进电子支付健康发展，更好地服务实体经济。

电子支付监管应遵循“依法监管、适度监管、分类监管、协同监管、创新监管”的原则，科学合理界定不同电子支付的业务边界及准入条件，落实监管责任，明确风险底线，保护合法经营，坚决打击违法和违规行为。

（2）营造电子支付应用安全环境
•加强用户对身份验证或密码钥匙的常规了解
•培养消费者的维权意识
•加强电子支付信息保护。

电子支付信息涉及用户的重要信息
（3）健全电子支付安全体系
•要积极研发访问控制、存储保护、身份验证、安全服务协议、等全方位的安全技术，打好基础工程。

•要完善电子支付监管机构，提供强力的组织保障。

•要健全电子支付管理制度和风险管控等机制，提高安全监管效果。

•加强安全人才培养，提供智力支撑。

•构筑由银行、第三方支付机构、安全厂商、商户、监管机构共同合作的电子支付安全生态系统，提供全面安全防护。

（4）完善电子支付法律规范
•要与国际电子支付法律接轨，完善相关的法律规范
•制定有关电子货币、电子支付管理制度以及电子支付结算等标准，为行业发展提供规范•加强对第三方支付机构的规范，重点从准入审批逐步转向风险防控和高管准入等方面•要密切关注电子支付业务的最新发展和科技创新，及时研究制定有关法律法规，明确界定电子支付产业链各参与者的职责、权利和义务
•加强对网络犯罪的监控，联合第三方支付企业、安全厂商，通过技术手段严厉打击侵犯网上支付安全的犯罪行为
综合练习
一、单项选择题
1.电子商务中的______ 对安全的要求最严格，因此更倾向于在 ________ 而不是在_______ 采取各项安全措施。

A.应用层；应用层；操作层
B.网络层；网络层；应用层
C.应用层；应用层；网络层
D.以上都不是
（参考答案：Co参见教科书9.1.1）
2.为了进一步加强电子银行业务的安全与风险管理，保证电子银行安全评估的客观性、及
时性、全面性和有效性，2006年3月中国银监会颁布了 _________ o
A.《电子银行业务管理办法》
B.《网上银行业务管理暂行办法》
C.《电子银行安全评估指引》
D.以上都不是
（参考答案：Co参见教科书9.2.1）
3.开展电子银行业务的金融机构，应根据其电子银行发展和管理的需要，至少每____________
年对电子银行进行一次全面的安全评估。

A.1
B.2
C.3
D.4
（参考答案：Bo参见教科书9.2.1）
4.外部机构从事电子银行安全评估，应具备的条件不包括__________ o
A.具有较为完善的开展电子银行安全评估业务的管理制度和操作规程
B.未直接参与过有关电子银行设备的选购工作
C.拥有与电子银行安全评估相关的各类专业人才，了解国际和中国相关行业的行业标准
D.制定了系统、全面的评估手册或评估指导文件，评估手册或评估指导文件的内容应至少包括评估程序、评估方法和依据、评估标准等
（参考答案：Bo参见教科书9.2.1）
5.未实现数据集中处理和管理的金融机构，其分支机构开办电子银行业务或变更需要审
批、备案的电子银行业务品种，应持其总行的相应授权文件，向___________ 的分支机构备案。

A.中国银监会机关
B.所在地中国银监会
C.注册地中国银监会
D.认证地中国银监会
（参考答案：Bo参见教科书9.2.1）
二、多项选择题
1.一个完整的网络交易安全体系，至少应包括_________ O
A.信息的窃取、盗用及篡改
B.否认、修改、隐瞒支付行为和支付信息
C.无法有效确认身份
D.保障网络支付系统的中断
（参考答案：A, B, C, Do参见教科书9.1页）
2.具体到网络支付业务中，根据需要可以按照防火墙和相应业务Web服务器所处的位置, 有哪
几种配置方式？
A.业务Web服务器设置在防火墙之内
B.业务Web服务器设置在防火墙之外
C.业务Web服务器设置在防火墙之间
D.一内一外
（参考答案：A, B, Do参见教科书9.1.1）
3.铁路电子支付行业密钥系统有哪些关键技术？
A.管理制度
B.内部认证
C.外部认证
D.安全控制
（参考答案：B, C, Do参见教科书9.1.3）
4.金融机构内部部门从事电子银行安全评估，除应具备第八条规定的有关条件外，还应
具备以下条件： _______ o
A.必须独立于电子银行业务系统开发部门、运营部门和管理部门
B.具有较为完善的开展电子银行安全评估业务的管理制度和操作规程
C.未直接参与过有关电子银行设备的选购工作
D.拥有与电子银行安全评估相关的各类专业人才，了解国际和中国相关行业的行业标准
（参考答案：A, Co参见教科书9.2.1）
5.电子银行安全评估的内容包括 ________ o
A.安全策略
B.内控制度建设
C.风险管理状况
D.系统安全性
（参考答案：A, B, C, Do参见教科书9.2.1）
6.2006年1月，中国银监会颁布了《电子银行业务管理办法》，在一定程度上为电子银行的
提供了一定的标准。

A.业务安全
B.风险管理
C.风险控制
D.安全控制
（参考答案：A, B, C, Do参见教科书9.2.2）
三、判断题
1.在移动互联网技术发展和应用普及的背景下，绝大多数的互联网金融平台通过移动APP 开展业务。

（参考答案：对。

参见教科书9.1.1）
2.一般性电子商务业务中将Web服务器设置在防火墙外更为常见。

（参考答案：对。

参见教科书9.1.1）
3.铁路电子支付行业密钥系统包括密钥管理系统、PSAM（销售点终端安全存款模块，Purchase
Secure Access Module）卡发卡系统2 个部分。

（参考答案：错。

参见教科书9.1.2）
4.电子银行是电子支付的核心角色。

（参考答案：对。

参见教科书9.2）
5.电子银行业务运行连续性计划是保障业务连续运营的设备和系统能力、保证业务连续运营的制度安排和执行情况。

（参考答案：对。

参见教科书9.2.1）
6.电子银行的安全评估，是指银行在开展电子银行业务过程中，对电子银行的安全策略、内控
制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。

（参考答案：错。

参见教科书9.2.1）
7.承担金融机构电子银行安全评估工作的机构，只能是是金融机构外部的社会专业化机构。

（参考答案：错。

参见教科书9.3.2）
8.增加或变更不需审批或备案的电子银行业务品种，应在开办该品种后六个月之内报告中国银监会。

（参考答案：错。

参见教科书9.2.2）
1.电子支付网络平台的安全措施主要从 _______ 、_______ 和______ 三个方面来阐述。

（参考答案：保护网络安全，保护应用服务安全，保护系统安全。

参见教科书9.1.1）
2.在电子商务业务活动中，包括网络支付与结算业务在内，____________ 、________ 与,
均需在网络上进行互动、实时的信息交换。

（参考答案：商家，银行，客户。

参见教科书
9.1.1）
3.综合应用身份认证技术是当前_______ 中的一个趋势。

（参考答案：电子支付技术管理。

参见教科书9.1.2）
4.2006年1月，中国银监会颁布了 _______ o此次颁布的法规在一定程度上为电子银行的业务安全、风险管理、风险控制、安全控制提供了一定的标准。

（参考答案：《电子银行业务管理办法》。

参见教科书9.2.2）
5.应用安全指的是针对特定应用（如WEB服务器、网络支付专用软件系统）所建立的
___________________ O
（参考答案：安全防护措施。

参见教科书9.1.1）
6.建立电子银行数据交换机制的金融机构，或者电子银行平台实现相互连接的金融机构,
应当建立_______ ,负责协调跨行间的业务风险管理。

（参考答案：联合风险管理委员会。

参见教科书9.2.2）
7.针对“网上黑客”，要求金融机构应在_______ 和_______ 两个方面建立对非法进入或越权进入的甄别、处理和报告机制。

（参考答案：物理控制，软件控制。

参见教科书9.2.2）
8.2014年6月，国务院印发 _______ ,将金融领域信用建设列入重点领域。

（参考答案：《社会信用体系建设规划纲要（2014—2020年）》。

参见教科书9.2.3）
9.______ 、_______ 、证监会、保监会会同有关行政执法部门，根据职责分工依法开展电
子支付领域消费者和投资者权益保护工作。

（参考答案：人民银行，银监会。

参见教科书9.3.1）
10.电子支付本质仍属于金融，没有改变金融风险________ 、_______、广泛性和突发性的特
点。

（参考答案：隐蔽性，传染性。

参见教科书9.3.1）
五、电子商务术语翻译
1.Purchase Secure Access Module
（参考答案：销售点终端安全存款模块。

参见教科书9.1.2）
2.Webview
（参考答案：网页视图。

参见教科书9.1.1）
1.电子银行的安全评估
（参考答案：是指金融机构在开展电子银行业务过程中，对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。

参见教科书9.1.2）
七、简答题
1.请简述电子支付网络平台系统有哪些安全措施。

（参考答案：（1）保护网络安全。

（2）保护应用服务安全。

（3）保护系统安全。

参见教科书9.1.1）
2 .请简述电子支付中为什么要应用防火墙。

（参考答案：在电子商务业务活动中，包括网络支付与结算业务在内，商家、银行与客户均需在网络上进行互动、实时的信息交换，例如商品的查询、订单的填写、支付方式的选择与支付表单的提交、确认支付等等，这些主要是基于WWW方式进行，所以商家与银行必然需要设置对应的业务Web服务器，面对客户提供网络服务。

为了保证包括网络支付在内的网络业务能够顺利进行，防火墙与这些业务Web服务器之间就要进行必要的关联设置, 以便商家和银行既能利用业务Web服务器对外提供网络业务服务，又能借助防火墙保证内部网安全。

参见教科书9.1.2）
3.请简述我国铁路电子支付行业为何要建立密钥系统。

（参考答案：我国铁路电子支付行业密钥系统的建立中综合应用加密技术，通过PSAM 卡控制行业密钥文件的读写，达到了保护行业密钥的目的，能够满足行业信息保护需求。

参见教科书9.1.2）
4.请简述电子银行安全评估的主要内容。

（参考答案：（1）安全策略（2）内控制度建设（3）风险管理状况（4）系统安全性（5）电子银行业务运行连续性计划（6）电子银行业务运行应急计划（7）电子银行风险预警体系（8）其他重要安全环节和机制的管理。

参见教科书9.1.3）
5.请简述电子支付管理的基本思路。

（参考答案：电子支付本质仍属于金融，没有改变金融风险隐蔽性、传染性、广泛性和突发性的特点。

加强电子支付的监管是促进电子支付健康发展的内在要求。

同时，电子支付是新生事物和新兴业态，要制定适度宽松的监管政策，为电子支付创新留有余地和空间。

要通过鼓励创新和加强监管相互支撑，促进电子支付健康发展，更好地服务实体经济。

电子支付监管应遵循“依法监管、适度监管、分类监管、协同监管、创新监管”的原则，科学合理界定不同电子支付的业务边界及准入条件，落实监管责任，明确风险底线，保护合法经营, 坚决打击违法和违规行为。

参见教科书9.3.1）。