自考电子商务与金融听课笔记(2)
时间:
未知2
经济类
论述题
40.简述PKI系统为证书申请者提供的功能
①证书请求②生成密钥对③生成证书请求格式④密钥更新请求⑤安装\存储私用⑥安装\存储证书⑦私钥的签名和解密⑧向其他用户传送证书⑨证书撤销要求
41.简述PKI系统中的CA功能
①批准证书请求②生成密钥对③密钥的备份④撤消证书⑤发布CRL⑥生成CA根证书⑦签发证书⑧证书发放⑨交叉认证
42.简述PKI的性能要求.
①易用性,这是对PKI最基本要求,PKI必须尽可能的向上层应用屏蔽密码服务实现细节,向用户屏蔽复杂的安全解决方案,使密码服务对用户而言简单易用 ②可扩展性,第一,PKI系统在体系结构上应具有可伸缩性,以适应扩大业务范围和增加多种应用的需要,特别是系统硬件和软件应采用模块化的可扩展结构,能够灵活配置.第二,所发行的证书应能够满足不同的业务需求,使用于多种支付手段③互操作性,要保证PKI的互操作性,必须将PKI建立在标准之上,这些标准包括加密标准,数字签名标准,HASH标准,密钥管理标准,证书格式,目录标准,文件信封格式,安全会话格式,安全应用程序接口规范等④支持多应用多平台,PKI应该面向广泛的网络应用,提供文件传输安全,文件存储安全,电子邮件安全,电子表单安全,Web应用安全等保护.PKI应该支持目前广泛使用的操作系统平台,包括Windows,UNIX,MAC等.
43.简述CFCA的建设原则.
①统一规划,联合共建/统一各商业银行业务需求,统一规划金融CA的服务功能,联合共建,资源共享,统一构建中国电子商务运作规范②试点先行,逐步扩展/金融CA在中国是首建,它的安全认证功能要在小范围内取得试点成功,然后再逐步完善扩充功能和规模,分阶段实施,逐步扩展,最终形成完整的中国金融认证系统.③技术先进,功能全面/先进的Entrust的Non-SET CA系统及先进的IBM的SET CA系统;支持的支付工具有信用卡和借记卡,支持PIN校验;应用模式支持B2B及B2C,包括网上银行及网上购物;③应用范围除北京之外,可覆盖全国,最后与国际接轨.④落实应用,快字为先/中国金融CA建设,在做到颁发证书的同时,要捆绑各种应用,发证书的目的是为了应用,因此要了解市场,落实应用;同时以"快"字当先,现在各商业银行迫切要求快上应用,如果发证时间满足不了各商业银行在时间上的需求,他们就要自行建立,就会失去联合共建的意义.因此,需要加快建设中国金融CA.⑤标准和开放/金融CA颁发证书,要符合国际标准,要具有通用性,能支持多家公司的支付网关,商户软件及客户电子钱包等应用套件;具有互操作性及支持交叉认证.
44.简述CFCA的功能子系统.
①操作子系统CA的主要职责是证书的签九管理,保证系统安全不间断地提供证书签发,发布和查询,CRL生成和发布,提供用户信息和证书的备份和归档,保证系统数据的完整性,并承担因操作运营错误所产生的一切后果,包括失密和为没有通过审核的用户发放证书等②业务受理审核子系统RA的主要职责是对申请者提交的申请资料及资格进行审核,决定是否签发证书,并承担因审核错误引起的一切后果,并由相应机构来承担这些责任.RA子系统采用分级结构,主要目的是为了满足国内金融系统管理上的需要.由此看来,一个认证中心系统是由两大部分组成:一部分是核心部分CA,另一部分是CA的延伸RA子系统,在中国CA的具体应用环境中,核心部分CA是集中管理的,而RA则主要分布于各商业银行管理,这构成中国CA的国情特色.
45.简述CFCA的证书申请方式
CFCA的证书申请方式分为在离线和在线两种:
①离线申请方式:所谓离线方式即面对面申请方用户,包括个人用户及商户到商业银行的受理点LRA及证书注册审批机构RA进行书面申请,填写按一定标准制定的表格同时提供有关的证件,申请信息是手工录入的,银行支付网关证书的申请,只能到CFCA的RA不面对面申请②在线申请方式:用户通过因特网,通过自己浏览器,到银行主页服务器上,下载标准表格,按内容提示进行表申请,也可以通过电子邮件和电话呼叫中心传递申请表格的有关信息有些信息仍需要人工录入的,以便进行审核.
46.简述CFCA的功能|考试 大
①证书的申请②证书的审批③证书的发放④证书的归档⑤证书的撤销⑥证书的更新⑦证书废止⑧CA的管理功能
47.简述金融CA系统的安全策略.
①管理安全策略②数据安全策略③系统安全策略
48.简述CFCA支持B2B网上购物模式的交易流程及特点 (05简)
交易流程为:①企业客户在下载CFCA根证书及装好企业能证书后,可访问商家的Web主页②用户浏览,选择欲购物品,填好订单及支付账号③商家客户端的支付交易请示传送到银行支付服务器④银行支付器进行交易处理⑤银行支付服务器将这笔交易中的扣款转帐信息返送给商家⑥商家的Web Server把交易成功的信息显示给用户,表示支付已接受.这种交易模式的特点是: ①双方认证②完整的密钥和证书的生命周期管理体系③对用户而言具有通用性和透明性④客户端,服务器自动CRL查询⑤强大的密码机制⑥双重密钥对机制,具有不可否认性
49.简述CFCA SET标准持卡人证书的网上申请和审批流程
①持卡人使用浏览器,通过CFCA主页访问商业银行提供的Web登记服务器,并在该服务器上进行证书申请登记②每天申请信息将被按照不同的商业银行分别保存在不同文件中由各商业银行总行分别取走③申请信息将被导入到商业银行总行的RA服务器,然后分发给相应的分行.该批记录将提交给指定的审批人员④审批人员审批记录,对于有问题的记录,审批人员应当拒绝申请并记录原因,由录入员进行修改⑤对审批通过的记录,若尚未输入密码信封序列号,则审批人员取出一个密码信封,把信封编号记入该记录,并将该密码信封邮寄给持卡人⑥审批合格的持上门服务人可得到含有E-Wallet软件的光盘,也可从网上下载E-Wallet软件⑦审批合格的持卡人的预审批记录被传递到商业银行总行,再从商业银行总行RA服务器付给CFCA的RA服务器,然后传递到CFCA的CA服务器⑧从商业银行总行RA端传来持卡人预审批信息表中,当持卡人连接到Paymemt Regmemt Registry服务器上的持卡人预审批信息表中.当持卡人连接到Paymemt Regmemt 服务器集聚证书时,Paymemt Regmemt 服务器将会根据该表灭检验竺卡人的身份是否合法⑨持卡人利用Internet浏览器,链接到CFCA主页,持卡人选择相应的超链接,并唤醒E-Wallet系统.持卡人选择获取相应银行卡的证书的按钮,CA Server向该持卡人的E-Wallet发出政策文本和注册表格⑩持瞳人提交输入信息到CA服务器.CA服务器通过API检查持卡人输入数据的合法性,进行证书的发放或拒绝.证书成功发放,证书相关信息被记入数据库,证书将自动通过Internet下载到持卡人端.
50.简述网上纠纷的处理.
①问题申诉程序②银行协调办法③仲裁④上诉法院解决|
60.简述电子支票应用支付过程.
①购买电子支票②电子支票付款③清算
61.使用电子支票薄有什么好处?
书①保证了用户私钥的安全性②标准化和简化了密钥生成,分发和使用,使电子支票的用户不需要专门的技能和培训就能建立起很高的信任机制③能理解电子支票的语法,对电子支票的的关键数据建立日志并保存,提供了使用卡进行数字签名的安全记录,还提供了解决"特洛伊木马"问题的入口点④能随机自动生成递增的,惟一的"电子支票号"杜绝了由于Email出现问题或人为原因造成的支票副本,防止对支票的多次兑现.
62.简述电子现金的属性.
①货币从价值:电子现金必须的一定的现金,银行授权的信用或银行证明的现金支票进行支持,当电子现金被一家银行产生并被一家所接受时不能存在任何不兼容性问题②可交换性:电子现金可以与纸币,商品或服务,网上银行卡,银行账户存储金额,支票或负债等进行互换,但是,电子现金就面临多银行的广泛使用问题③可存储性:可存储将允许用户在家庭,办公室对存储在一个计算机的外存,IC卡,或者其他更易于传输的标准或特殊用途的设备中的电子现金进行存储和检索.电子现金的存储是从银行账户中提取一定数量的电子现金,存入上述设备中④重复性:必须防止电子现金的复制和重复使用.一般的电子现金系统会建立事后检测和惩罚.
63.电子现金的支付过程:(05简)
(1)购买E-cash:买方在电子现金发布银行开立E-cash帐号并购买E-cash。
(2)存储E-cash:使用专用的软件从E-cash银行取出一定数量的E-cash存在特定的设备上。
(3)用E-cash购买商品或服务:买方同意接收E-cash的卖方订货,用卖方的公钥加密E-cash后,传给卖方。
(4)资金清算,接收E-cash的卖方与E-cash发放银行之间进行清算,E-cash银行将买方商品的钱支付给卖方。
(5)确认订单:卖方获得付款后,向买方发送定单确认信息。
64.简述Mondex卡对卡的价值转移机制
卡对卡的价值转移包括身份认证及读写功能,价值转移通过VIP协议进行,其过程是:客户到特约商户买东西时,将卡片插入POS后商户要认证客户,这一下3后商户签署支付要求送到客户卡中,客户再认证商户的凭证,如商户凭证正确则客户签署支付要求送到客户卡中,客户再蛮不讲理客户的凭证,如商户凭证正确则客户签署支付信息到商户.客户卡片减去要支付的值,商户现再一次验证数字签名后才能送回确认信息商户在其卡片中增加相应的值,即付款方余额先减少,收款方余额后增加,个人之间价值转移过程类似.Mondex所有交易皆在卡片之间进行,系统中的诸终端如POS,ATM,Mondex电话等不需要安全模块,这种卡对卡的转移也导致了清算体制的革新,使参与单位建立营运系统的成本大大减少.
65.简述网上银行的特点.
①降低了经营成本②不受时间和空间的约束③虚拟化的金额服务机构④拓宽了业务范围⑤使银行的经营观念发生变化⑥提高了管理水平
66.简述网外网上银行发展战略.
①大银行的网上银行发展战略⑴收购已有的虚拟网上银行⑵组建自己的网上银行②社会银行的网上银行发展战略③虚拟⑴全方位发展战备⑵特色化发展战略
67.简述国外银行业务的分类. 网上银行战略
世界著名的投资银行机构--美国高盛投资银行鼗网上银行业务分为4类;①基本业务,如余额查询,同一银行内部账户转移②较为高级银行业务,如详细账户明细,交费,对第三方支付,收单业务,银行业务通知,个人融资理财,个人化网页③利用因特网作为营销渠道,如存款产品,大额存单,消费信贷④利用因特网交叉出售产品和服务.如,保险,银行信托产品,股票交易,互助基金.
67.简述网上银行业务的四种运营模式.
①补充性服务渠道.这是网上银行发展的初级阶级的典型形态.这时的网上业务主要表现为传统银行在因特网上设立网站,介绍银行自身情况,发布的有关金融信息,能完成基本的交易类服务,但是在账务系统,后台处理,市场定位和管理机构等方面还不具备独立的形态.②虚拟分支机构,这是目前传统银行发展网上银行的流行样式.传统银行以其现有银行专用网络系统与因特网联网,提供互联网服务,为客户提供账户查询,资金转帐,网上支付等金融服务.当通过网上渠道提供的业务种类日渐增加多时,要求银行对网上业务群进行整合.在管理上出现了专门的部门机构,在会计和账户处理上设置了虚拟支行.此时的网上金融服务虽然实际上并未有任何经营半自动脱离传统架构,但在成长过程中已体现出网络作为渠道的优越性③独立的虚拟银行,这是网络银行理想化的未来模型.即没有传统的营业网点,直接建立在因特网上的网络银行,这是一种虚拟银行的形式④网上金融门户.这是指将银行,证券和保险所提供的金融产品和服务整合在网络平台上,实现一揽了网上金融服务.在服务种类上,网上金融门户是多家金融机构网上服务网上服务的结合,与各金融机构的交易系统存在直接的物理连接,属于真正的一站服务.
68.简述网上银行业务中的风险类别及产生原因.
①操作风险.操作风险可能源于系统的可靠性或完整性严重不足,也可能源于客户的误操作或系统设计,实施中的或系统设计.操作风险包括:⑴安全性风险⑵系统设计,实施和维护方面的风险⑶客户误操作风险⑷银行内部组织与管理风险②战略风险.如果网上银行业务的决策和实施与该银行的总体不一致,这将难银行造成战略风险③信誉风险.信誉风险是指负责的公众舆论而导致资金或客户流失的风险④法律风险.法律风险是指违反或不遵守有关的法律,法规,或者没能完善地约定各方在法律上的权利和义务而造成的风险.
69.简述网上银行的风险管理方法.
银行应该制定恰当的风险管理程序,以评估,控制和监控来自网上银行新业务的任何形式的风险,特别是与技术相关的风险.①评估风险.评估风险是一个不断进行的进程,是管理和监控风险的前提,它通常包括如下三个步骤:识别风险,确定银行的风险承受能力,确定风险暴露是否在银行的承受能力之内.②管理和控制风险.风险管理程序应该包括如下的内容:实施安全策略与安全措施,系统的评估与升级,采取措施来控制和管理外包括风险,信息披露和客户培训,制定应急计划等③监控风险.系统测试和审计是监控风险的两个要素.
70.简述网上银行的系统体系结构及各组成部分的任务.
网上银行的系统体系结构采取网上银行中心--传统业务处理系统的两级结构模式是一种合理结构.网上银行中心完成因特网与传统业务处理系统之间的交易信息格式转换,传统业务处理系统完成具体的账务处理.整个系统包括网站,网上银行中,CA中心,传统业务处理系统,签约柜台等部分.其中网站负责提供银行的主页服务,其中包括与网上银行系统的超链接,各种公共信息和形象宣传.网上银行中心在因特网与传统业务处理系统之间安全地转发风外银行服务请求和处理结果,负责客户申请受理,业务管理,报表处理,客户信息管理等.网上银行中心一般不设账务体系,它只是因特网与传统业务处理系统之间的安全通道.网上银行中心与CA之间可以通过企业内部网安全电子邮件交换客户的证书申请及申请结果信息.CA中心负责审核,生成,发放和管理网上银行系统所需要的证书,证书是网上身份证,网上银行系统中交易实体,包括客户浏览器和交易服务器均使用证书不确认双方的身份.传统业务处理系统一般通过业务前置机接入网上银行中心.签约柜台负责客户身份及签约账户的真实性审核.网上银行中心与签约柜台之间可以通过企业网安全电子邮件交换客户身份及签约账户认证信息.