NISP 一级 | 5.2 网络金融交易安全

关注这个证书的其他相关笔记：NISP 一级 —— 考证笔记合集-CSDN博客

0x01：什么是“网上金融交易”？

网上金融交易是指用户通过因特网完成各种网络金融服务和网络电子商务支付。

网络金融服务包括账户开户、查询、对帐、行内转账、跨行转账、信贷、网上证券、投资理财等服务项目，用户可以是不出户就完成各种金融业务。

网络电子商务支付可以使用银行卡或者第三方支付平台完成网络购物如购买飞机票和火车票等。

为保障安全，网上金融交易一般不采用简单的账户/口令的验证方式来识别用户身份，多采取双因素身份认证识别用户身份，只有通过身份认证的用户才能通过网络完成各种转账、支付等操作。

0x02：网上金融交易安全

网上金融交易常用的安全措施如下：

1. U 盾（USB-Key）

2. 手机短信验证

3. 口令卡

4. 采用安全超文本传输协议（HTTPS）

0x0201：U 盾（USB-Key）

U 盾是用于网上电子银行签名和数字认证的工具，它内置微型智能卡处理器，采用非对称加密体制对网上数据进行加密、解密和数字签名。

用户选择使用 U 盾后，所有涉及资金对外转移的网银操作，都必须使用 U盾才能完成。

使用 U 盾时，除了需要将 U 盾插入计算机，还需要输入设置的口令才能完成身份认证。

0x0202：手机短信验证

用户向网络金融交易平台发出交易请求后，网络金融平台通过短信向用户绑定的手机号码发出一次性口令，只有在输入正确的用户口令和短信验证口令后，整个交易才能被确认并完成。

0x0203：口令卡

口令卡相当于一种动态的电子银行口令。

口令卡上以矩阵的形式印有若干字符串，用户在使用电子银行进行对外转账、缴费等支付交易时，电子银行系统就会随机给出一组口令卡坐标。用户根据坐标从卡片中找到口令组合并输入。

只有口令组合输入正确时，用户才能完成相关交易。

这种口令组合是动态变化的，用户每次使用时输入的口令都不一样，交易结束后即失效，从而防止攻击者窃取用户口令。

0x0204：采用安全超文本传输协议

安全超文本传输协议是以安全为目标的 HTTP 通信协议（Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS)，是 HTTP 协议的安全版。

HTTPS 协议提供了身份验证与加密通信的方法，广泛用于因特网上安全敏感的通信。例如银行网站登录采用的是 HTTPS 方式，该安全协议可以很大程度上保障用户数据传输的安全。