第9章安全电子支付机制

第9章电子支付安全管理主要内容与重点本章主要讲述以下3部分的内容：(1)电子支付安全技术保障的主要手段和一般应用方法。

其中分为电子支付网络平台、建立基于身份认证技术的密钥系统、落实网络安全等级保护制度三方面分别列举了电子支付安全目前的技术支持；(2)电子银行安全管理的内容。

首先介绍了电子银行如何进行安全评估，对评估的机构、标准、内容等进行了总结。

其次是针对《电子银行业务管理办法》，对电子银行业务进行有关规定的介绍。

最后讨论电子银行信用体系建设的重要性和需要注意的方面。

(3)加强电子支付安全综合管理。

梳理了电子支付管理的基本思路，提出要通过营造电子支付应用安全环境，健全电子支付安全体系，完善电子支付法律规范等方面进行电子支付管理。

通过对本章的学习，学生应明确电子支付网络平台、身份认证、单因子认证、双因子认证等概念。

了解电子支付安全管理的主要内容及目的，了解电子支付安全技术保障的主要手段和一般应用方法。

掌握电子支付安全管理保障的内容及存在问题。

了解《电子支付指引(第一号)》内容，掌握其适用范围及存在意义。

了解《电子银行业务管理办法》，掌握其中关键问题。

学习流程本章学习流程见图9-1。

f 电子支付网络平台的技术管理电子支付安全技术保障一一> 建立基于身份认证技术的密钥系统落实网络安全等级保护制度电子银行安全评估电子银行安全管理一-> 电子银行业务管理电子银行信用体系建设电子支付管理的基本思路________________________________ f 营造电子支付应用安全环境—加强电子支付安全综合管理——-> 健全电子支付安全体系完善电子支付法律规范图9T第九章学习流程考核要点提示1.电子支付过程中的安全隐患电子支付过程中面临的安全隐患大体上有这样几种：信息的窃取、盗用及篡改；无法有效确认身份；否认、修改、隐瞒支付行为和支付信息；网络支付系统的中断。

2.电子支付网络平台的技术管理（1）互联网金融行业的安全状况近年来，随着互联网金融行业的发展，互联网金融平台运营者的网络安全意识有所提升，互联网金融平台的网络安全防护能力有所加强，特别是规模较大的平台，但仍有部分平台安全防护能力不足，安全隐患较多。

《电子商务安全与支付》考纲、试题、答案一、考试说明《电子商务安全与支付》是电子商务的分支学科，它主要针对翻新的网络破坏和犯罪形式，新的安全技术不断出现和被采用，有力地保障了电子商务的正常开展，本门课程重点探讨信息系统安全防范技术、虚拟专用网络技术、数据备份与灾难恢复技术、安全交易加密技术、安全交易认证技术、安全交易协议技术等问题，同时涉及交易系统安全管理，介绍电子商务安全的相关法律和电子商务安全解决方案。

本课程闭卷考试，满分100分，考试时间90分钟。

考试试题题型及答题技巧如下：一、单项选择题 (每题2分，共20分)二、多选选择题 (每题3分，共15分)三、名词解释题 (每题5分，共20分)四、简答题（每题9分，共27分）答题技巧：能够完整例举出所有答题点，不需要全部展开阐述，适当展开一些，但一定要条理清晰，字迹工整，结构明朗。

五、分析题 (每题9分，共18分)答题技巧：对所考查的问题进行比较详尽的分析，把握大的方向的同时要尽可能的展开叙述，对问题进行分析，回答问题要全面，同时注意书写流畅、条理清晰。

二、复习重点内容第1章电子商务安全概述1. 网络攻击的分类（重点掌握）：WEB欺骗、网络协议攻击、IP欺骗、远程攻击2.电子商务的安全性需求（了解）：有效性、不可抵赖性、严密性3.因特网的主要安全协议（了解）：SSL协议、S-HTTP协议、 SET 协议4. 数字签名技术、防火墙技术（了解）第2章信息系统安全防范技术、1.电子商务的安全性需求（重点掌握）：有效性、不可抵赖性、严密性2. 计算机病毒按入侵方式分为操作系统型病毒、文件型病毒（了解）3.计算机病毒的传播途径（重点掌握）：（1）因特网传播：①通过电子邮件传播，②通过浏览网页和下载软件传播，③通过及时通讯软件传播；（2）局域网传播；（3）通过不可转移的计算机硬件设备传播；（4）通过移动存储设备传播;(5)无线设备传播。

4.特洛伊木马种类（重点掌握）：破坏型特洛伊木马、破坏型特洛伊木马、远程访问型特洛伊木马、键盘记录型特洛伊木马5.常规的计算机病毒的防范措施（重点掌握）：（1）建立良好的安全习惯；（2）关闭或删除系统中不需要的服务；（3）经常升级操作系统的安全补丁；（4）使用复杂的密码;(5)迅速隔离受感染的计算机；（6）安徽专业的防病毒软件进行全面监控；（7）及时安装防火墙6. 防火墙的类型（重点掌握）：包过滤防火强、代理服务器防火墙7. 防火墙的安全业务（重点掌握）：用户认证、域名服务、邮件处理、IP安全保护第3章虚拟专用网络技术1. VPN网络安全技术包括（了解）：隧道技术、数据加解密技术、秘钥管理技术、设备身份认证技术。

A.加解密算法B.数字证书C.数字签名D.消息摘要第一章电子商务安全的现状与趋势一、单项选择题K 以下关于电子商务安全的描述哪一条是错误的？（） A. 应尽力提高电子商务系统的安全性，以达到绝对的安全。

B. 电子商务的安全性必须依赖整个网络的安全性。

C. 电子商务的安全性除了软件系统的安全，还必须考虑到硬件的物理安全。

D. 涉及电子商务的安全性时必须考虑到系统的灵活性与应用性。

答案：A2、能够有效的解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题的是（）A. PKIB. SETC. SSLD. ECC答案：A3、 在 PKI 的性能中，服务是指从技术上保证实体对其行为的认 可。

（）A. 认证B.数据完整性C.数据保密性D.不可否认性答案：D4、 以下不可否认业务中为了保护发信人的是（） A •源的不可否认性 B.递送的不可否认性5、确保发送者时候无法否认发送过这条信息是以下哪一个安全要素? ()A.保密性B.认证性C.完整性D.不可否认性 答案：D 6、保密性主要依靠以下哪种技术来实现（）?C.提交的不可否认性答案：DD. B 和 C答案：A7、不可否认性主要依靠以下哪种技术来实现？() A.加解密算法答案：cB.数字证书C.数字签名D.消息摘要8、在电子商务的安全需求中，交易过程中必须保证信息不会泄露给非授权的人 或实体指的是()A.可靠性B.真实性C.机密性D.完整性答案:C二、多项选择题仁网络安全性要求包括以下哪几个方面0A.保密性 D.可访问性答案：ABCDEB.认证性C.完整性E.不可否认性2、电子商务的安全性包括以下哪几个方面()A.密码安全 D.网络安全B.交易安全C.计算机安全E.信息安全答案：ACDEA ・接收客户机来的请求B.将客户的请求发送给服务器答案：ADE5、电子商务的安全需求包括()A.冒名偷窃D.虚假信息答案：ABCB.篡改数据C.信息丢失E.窃听信息3、网络交易的信息风险主要来自 ()4、Web 服务器的任务有() C. 解释服务器传送的html 等格式文档，通过浏览器显示给客户D.检查请求的合法性E. 把信息发送给请求的客户机A.不可抵赖性B.真实性C.机密性D.完整性E・有效性答案：ABCDE 三、判断题1、电子商务安全指的是整个计算机网络上所有有价值信息的安全问题，包括这些信息的泄露、修改、破坏等答案：错误2、信息安全是指对利用计算机网络进行安全商务活动的支持。

《非银行支付机构网络支付业务管理办法》全文据中国人民银行网站消息，为规范非银行支付机构网络支付业务，防范支付风险，保护当事人合法权益，12月28日，中国人民银行制定并发布了《非银行支付机构网络支付业务管理办法》。

以下是收集的《非银行支付机构网络支付业务管理办法》全文：第一章总则第一条为规范非银行支付机构(以下简称支付机构)网络支付业务，防范支付风险，保护当事人合法权益，根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》(中国人民银行令〔xx〕第2号发布)等规定，制定本办法。

第二条支付机构从事网络支付业务，适用本办法。

本办法所称支付机构是指依法取得《支付业务许可证》，获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构。

本办法所称网络支付业务，是指收款人或付款人通过计算机、移动终端等电子设备，依托公共网络信息系统远程发起支付指令，且付款人电子设备不与收款人特定专属设备交互，由支付机构为收付款人提供货币资金转移服务的活动。

本办法所称收款人特定专属设备，是指专门用于交易收款，在交易过程中与支付机构业务系统交互并参与生成、传输、处理支付指令的电子设备。

第三条支付机构应当遵循主要服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨，基于客户的银行账户或者按照本办法规定为客户开立支付账户提供网络支付服务。

本办法所称支付账户，是指获得互联网支付业务许可的支付机构，根据客户的真实意愿为其开立的，用于记录预付交易资金余额、客户凭以发起支付指令、反映交易明细信息的电子簿记。

支付账户不得透支，不得出借、出租、出售，不得利用支付账户从事或者协助他人从事非法活动。

第四条支付机构基于银行卡为客户提供网络支付服务的，应当执行银行卡业务相关监管规定和银行卡行业规范。

支付机构对特约商户的拓展与管理、业务与风险管理应当执行《银行卡收单业务管理办法》(中国人民银行公告〔xx〕第9号公布)等相关规定。

国家开放大学《互联网金融概论》形成性考核试题1-4参考答案形成性考核试题（一）（满分：100分；考核范围：第一章——第三章）一、名词解释题（每题4分，共40分）1.金融——指货币的发行、流通和回笼，贷款的发放和收回，存款的存入和提取，汇兑的往来等经济活动。

2.互联网金融——是指狭义上的概念，即指通过计算机连接终端和网络服务平台所提供的所有金融服务与金融产品所形成的虚拟金融市场。

3.监管套利——是指各种金融市场参与主体通过注册地转换、金融产品异地销售等途径，从监管要求较高的市场转移到监管要求较低的市场，从而全部或者部分地规避监管、牟取超额利益的行为。

4.规模经济——是指由于生产规模的适度扩大，使生产要素得到更有效的配置，引起产品平均成本降低，进而获得更大的经济效益。

相反，如果因生产规模过大或过小，生产要素不能得到合理配置，造成经济效率损失，则成为规模不经济。

5.长尾理论——指只要产品的存储和流通的渠道足够大，需求不旺或销量不佳的产品所共同占据的市场份额可以和那些少数热销产品所占据的市场份额相匹敌甚至更大，即众多小市场汇聚成可产生与主流相匹敌的市场能量。

6.网络效应——在经济学中，网络效应是一种现象，用户从某种商品或服务中获得的价值或效用取决于兼容产品的用户数量。

7.信息不对称——是指交易一方对交易另一方的了解不充分，双方处于不平等地位的一种状态。

8.存款货币——是一种特殊类型的信用货币，信用货币creditmoney是指以货币发行人信用为担保的货币，而存款货币是以发行该存款的储蓄机构的信用状况作为担保的信用货币。

9.数字货币——就是以数字形式承载纸币、硬币同等货币价值的一种国家法定钱币。

10.区块链——是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。

二、问答题（每题10分，共60分）1.互联网金融的本质是什么？答：互联网金融的本质是金融基础设施，是与金融机构和金融市场相同的金融基础设施。

《电子商务法(4版) 苏丽琴著电子工业出版社》【简介范本一：电子商务法(4版) 苏丽琴著电子工业出版社简介：《电子商务法(4版)》是由苏丽琴撰写的电子商务法方面的著作，此书出版于电子工业出版社。

目录：第一章电子商务的基本概念1.1 电子商务的定义1.2 电子商务的特点1.3 电子商务的发展历程第二章电子商务法的基本原则2.1 自由贸易原则2.2 合同自由原则2.3 平等互惠原则第三章电子商务合同的订立与履行3.1 电子合同的有效性3.1.1 电子合同的形式要件3.1.2 电子合同的签署方式3.2 电子商务合同的履行方式3.2.1 线上交付与线下交付3.2.2 电子支付与线下支付第四章电子支付与网络安全4.1 电子支付的基本概念4.2 电子支付的种类4.2.1 在线支付4.2.2 移动支付4.3 网络安全保护4.3.1 网络安全的威胁4.3.2 网络安全的保障措施第五章网络经营与网络服务5.1 网络经营的主体5.1.1 电子商务平台经营者5.1.2 电子商务实体经营者5.2 网络服务的责任与义务5.2.1 信息安全保护责任5.2.2 侵权责任附件：1. 电子商务法相关法律条文2. 相关法律文件法律名词及注释：1. 电子商务：通过互联网、电信、电子数据交换网络等方式开展的各种商务活动。

2. 电子合同：指以数据电文形式达成，并通过计算机进行签署的合同。

3. 在线支付：指通过互联网直接进行支付，无需线下介入的支付方式。

4. 网络安全：指对网络系统、数据和信息进行保护，防止网络中的各种威胁和攻击。

---------------------------------------------------------------------------------------------------------------------------------------范本二：电子商务法(4版) 苏丽琴著电子工业出版社简介：《电子商务法(4版)》是苏丽琴教授所著的电子商务法方面的教材。

第九章1、下列哪些说法是不正确的？(2分)A.电子商务交易中卖方应承担按照网络交易规定方式支付价款的义务B.安全原则是电子商务立法中强制性规范立法的基础C.电子商务立法的作用主要体现在鼓励电子商务从业人员钻研业务、敬业爱岗D.当发生卖方不履行合同义务，如卖方不交付标的物或单据或交付迟延；交付的标的物不符合合同规定以及第三者对交付的标的物存在权利或权利主张等违约行为时，买方可以选择的救济方法有要求卖方实际履行合同义务，交付替代物或对标的物进行修理、补救2、下列选项中属于职业道德范畴的是(1分)A.员工的技术水平B.企业经营业绩C.企业发展战略D.人们的内心信念3、对待职业和岗位，（）并不是爱岗敬业所要求的。

(1分)A.树立职业理想B.一职定终身，不改行C.强化职业责任D.干一行爱一行专一行4、职业道德的特征之一是内容上的（）。

(1分)A.多样性和稳定性B.强制性和局限性C.连续性和有限性D.稳定性和连续性5、下列事项中属于办事公道的是(1分)A.有求必应，来者不拒B.不徇私情，不计个人得失C.顾全大局，一切听从上级D.知人善任，努力培养知己6、下列事项中属于办事公道的是(1分)A.大公无私，拒绝亲戚求助B.知人善任，努力培养知己C.原则至上，不计个人得失D.顾全大局，一切听从上级7、关于创新的错误论述是(1分)A.优质高效需要开拓创新B.开拓创新需要有坚定的信心和意志C.创新是个人事业取得成功的关键因素D.创新就是否定常规8、下列关于职业道德的说法，错误的是(1分)A.职业道德是事业成功的重要前提，没有职业道德的人干不好任何工作。

B.职业道德是人们在从事职业的过程中形成的一种内在的、强制性的约束机制。

C.职业道德是指从事一定职业劳动的人们，在特定的工作和劳动中以其内心信念和特殊社会手段来维系的，以善恶进行评价的心理意识、行为准则的总和。

D.在市场经济条件下，职业道德具有促使人们的行为规范化以及提高企业竞争力的作用。

电子支付指引(第一号)文章属性•【制定机关】中国人民银行•【公布日期】2005.10.26•【文号】中国人民银行公告[2005]第23号•【施行日期】2005.10.26•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国人民银行公告（[2005]第23号）为规范电子支付业务，防范支付风险，保证资金安全，维护银行及其客户在电子支付活动中的合法权益，促进电子支付业务健康发展，中国人民银行制定了《电子支付指引（第一号）》，现予公布。

本公告自公布之日起施行。

中国人民银行二00五年十月二十六日电子支付指引(第一号)第一章总则第一条为规范和引导电子支付的健康发展，保障当事人的合法权益，防范支付风险，确保银行和客户资金的安全，制定本指引。

第二条电子支付是指单位、个人（以下简称客户）直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为。

电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。

境内银行业金融机构（以下简称银行）开展电子支付业务，适用本指引。

第三条银行开展电子支付业务应当遵守国家有关法律、行政法规的规定，不得损害客户和社会公共利益。

银行与其他机构合作开展电子支付业务的，其合作机构的资质要求应符合有关法规制度的规定，银行要根据公平交易的原则，签订书面协议并建立相应的监督机制。

第四条客户办理电子支付业务应在银行开立银行结算账户（以下简称账户），账户的开立和使用应符合《人民币银行结算账户管理办法》、《境内外汇账户管理规定》等规定。

第五条电子支付指令与纸质支付凭证可以相互转换，二者具有同等效力。

第六条本指引下列用语的含义为：（一）“发起行”，是指接受客户委托发出电子支付指令的银行。

（二）“接收行”，是指电子支付指令接收人的开户银行；接收人未在银行开立账户的，指电子支付指令确定的资金汇入银行。

（三）“电子终端”，是指客户可用以发起电子支付指令的计算机、电话、销售点终端、自动柜员机、移动通讯工具或其他电子设备。

电子支付相关规章制度范本第一章总则第一条为规范和促进电子支付市场的健康发展，维护金融信息安全，保护用户权益和金融消费者利益，根据相关法律法规，制定本规章。

第二条本规章适用于我国电子支付业务的相关主体及其从事的电子支付活动。

第三条电子支付是指利用信息网络和电子设备，以电子方式进行货币支付的行为。

第四条电子支付的主要内容包括但不限于网络支付、手机支付、POS支付、无感支付、P2P支付等方式。

第五条电子支付业务主体应当依法经营，合规开展电子支付业务。

第六条电子支付业务主体应当依法设立专门的风控部门，健全风险管理制度，确保电子支付活动的安全和稳定运行。

第七条电子支付业务主体应当建立健全客户身份识别制度，加强客户身份认证工作，确保交易真实合法。

第八条电子支付业务主体应当建立信息安全管理制度，加强信息安全保护，防范网络安全风险。

第九条电子支付业务主体应当依法合规开展反洗钱和反恐怖融资工作，建立完善的反洗钱和反恐怖融资内控制度。

第十条电子支付业务主体应当建立健全客户投诉处理机制，及时有效处理用户投诉，保障用户合法权益。

第十一条电子支付业务主体应当接受相关监管部门的监督检查，如实提供相关资料和信息。

第二章电子支付业务管理第十二条电子支付业务主体应当依法申请开展电子支付业务，获得相关资质和许可。

第十三条电子支付业务主体应当建立客户风险评估制度，识别和评估客户的风险等级，实施差异化管理。

第十四条在开展电子支付业务时，电子支付业务主体应当按照客户身份识别和客户身份验证的规定，进行客户身份识别和验证。

第十五条对于高风险交易和高风险客户，电子支付业务主体应当采取额外的防范和监控措施。

第十六条电子支付业务主体应当采取措施，提高客户认可度和信任度，增强用户体验和用户黏性。

第十七条电子支付业务主体应当建立健全风险管理制度，全面评估和监测风险，及时有效应对风险。

第十八条电子支付业务主体应当建立健全内部控制机制，明确责任部门和责任人，强化风险管理和内部监控。

电子支付&结算复习资料一：选择1．以下（ D ）不属于支付活动的组成要素。

A. 参与主体B. 市场行为方式C．债权债务关系D．金融机构2．下列不属于支付服务组织的是（ D ）。

A. 中央银行B.商业银行C. 支付清算组织D.银监会3．下列不属于电子支付系统组成要素的是（ C ）。

A. 支付服务系统B.支付清算系统C. 网上支付系统D.支付信息管理系统4．通过拨打工商银行95588进行的支付属于以下（ A ）支付方式。

A. 银行支付B.移动支付C. 第三方支付D. 网上银行支付5．以下不属于客户与银行之间的支付系统的是（ D ）。

A. POS系统B. ATM系统C. 家庭银行（HB）系统D. FEDWIRE系统1. 校园卡属于（Ｄ）。

A. 储蓄卡B.虚拟卡C. 联名卡D.储值卡2. 电子现金的特点是（ＡＢＣＤ）。

A. 独立性B. 匿名性C. 可迁移性D. 可分性E. 安全性3．通过拨打工商银行95588进行的支付属于以下（Ａ）支付方式。

A. 银行支付B.移动支付C. 第三方支付D. 网上银行支付4．利用支付宝支付属于（Ｄ）支付方式。

A. 网上银行支付B. 支付C. 银联电子支付D.第三方支付5．以下（Ｂ）支付工具对应的不是电子货币。

A. 银行卡B.支票C. 储值卡D.虚拟卡1．个人通过INTERNET查询其在招商银行的储蓄卡的余额需要使用（Ｄ）实现。

A. 银行B. 企业网上银行C. 第三方支付机构D. 个人网上银行2．下列不属于网上银行功能的是（Ｄ）。

A. 发布公共信息B. 账务查询C.支付D. 存折补登3. 企业网上银行支付一般分为四个阶段：准备阶段、买方购物阶段、买方支付阶段以与（Ｂ）阶段。

A. 卖方发布信息B. 银行后台清算兑付C. 卖方确认收款D. 买方确认收货4．下列（Ｃ）不属于网上银行系统在运行过程中受到的安全威胁。

A. 假冒用户身份B. 抵赖C. 拨打欺骗D. 丢失信息5．中国农业银行的“K宝”、中国工商银行的“U盾”、中国建设银行的“网银盾”属于网上银行的（Ａ）类安全技术措施。

安徽省农村合作金融机构电子支付密码系统业务管理办法（试行）第一章总则第一条为规范安徽省农村合作金融机构电子支付密码系统业务管理,规范操作，防范和化解支付风险,保障存款人及银行资金安全,根据中国人民银行支付结算有关制度办法及有关规定等票据法、支付结算办法及人行关于支付密码方面的规定，制定本办法。

第二条本办法适用于安徽省农村合作金融机构。

第三条安徽省农村合作金融机构电子支付密码系统(以下简称电子支付密码系统),是根据中国人民银行、国家密码委员会办公室(现国家商用密码管理局，下同）有关技术规范与业务标准，依托自身计算机网络系统设计建设，用于对存款人身份及支付信息进行核验,控制结算账户支付操作的支付安全保障系统。

第四条电子支付密码系统核验设备及软件,由省联社根据中国人民银行及国家密码管理委员会办公室的标准确定。

第五条电子支付密码是指存款人在签发票据和结算凭证时，通过支付密码器采集票据、结算凭证上的重要信息及数据进行加密运算,生成的一个唯一的包含存款人身份信息和支付信息的密码数据。

本办法所称存款人,是指在各行社营业机构开立本、外币银行结算账户的机关、团体、部队、企业、事业单位、其他组织、个体工商户和自然人。

推广初期开立基本账户和自身有需求的客户第六条支付密码器是存款人用于采集支付凭证信息编制电子支付密码的工具。

第七条电子支付密码系统实行统一管理省联社负责,分级实施行社负责本行社该项业务的推广及与当地人行沟通,各司其职、安全规范的原则。

统一管理,省联社统一负责电子支付密码系统的设计、建设及推广应用,统一负责电子支付密码的核验、业务管理与系统运行维护。

分级实施,省联社负责组织电子支付密码系统的实施及相关事项的处理、相关参数的设置、维护;行社负责本行（社)电子支付密码系统的推广应用、业务管理,并负责与人民银行当地分支行相关事项的协调。

各司其职,各级会计结算、科技部门各司其职，共同负责电子支付密码系统的管理。

会计结算部门负责营业机构的业务培训、指导及电子支付密码业务的管理、监督;科技部门负责系统的管理、运行和维护。