《4[1].1电子商务的安全问题及要求.ppt》由会员分享,可在线阅读,更多相关《4[1].1电子商务的安全问题及要求.ppt(129页珍藏版)》请在三一文库上搜索。
1、电子商务的安全管理 (p255),企业利用电子商务面临的最重要问题就是安全问题, 保证安全是进行网上交易的基础和保障。 电子商务的安全问题是一个系统性问题,需要从技术 上,管理上和法律上来综合建设和完善安全保障体系。,电子商务的安全管理,4.1 电子商务的安全问题及要求 4.2 电子商务安全技术 4.3 电子商务安全制度 4.4 防止非法入侵,4.1 电子商务的安全问题及要求,一、电子商务的安全问题 (一)电子商务交易带来的安全威胁 (二)电子商务的安全风险来源 二、电子商务的安全要求 (一)有效性 (二)机密性 (三)完整性 (四)真实性和不可抵赖性的鉴别 三、电子商务安全管理思路,一、电子
2、商务的安全问题,(一)电子商务交易带来的安全威胁 在传统交易过程中,买卖双方是面对面的,很容易保证交易过程的安全性和建立起信任关系。 但是在电子商务过程中,买卖双方通过网络来联系,建立交易双方的安全和信任关系相当困难。 因此,在电子商务交易双方都面临着安全威胁。 1. 销售者面临的威胁 2. 购买者面临的威胁,1. 销售者面临的威胁 (1)中央系统安全性被破坏 (2)竞争者检索商品递送状况 (3)系统中存储的客户资料被竞争者窃取。 (4)被他人假冒而损害企业的信誉。 (5)消费者提交订单后不付款。 (6)竞争对手提交虚假订单。 (7)被他人试探,丢失商业机密。,入侵者假冒成合法用户来改变用户数
3、据(如商品的送达地址)、解除用户订单或生产虚假订单。 有时恶意入侵者在一个很短的时间内以大量的电子邮件配合,针对银行或电子商务网站进行攻击,声称这个网站“正在维护中,请从这里访问您的账户”。,恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况和货物的库存情况。,不诚实的人建立于销售者服务器名字相同的另一个服务器来假冒销售者。,据中安在线2010年11月20日报道,不法分子利用“taoba0”冒充“taobao”网站来窃取用户账号密码,从而给淘宝客户造成了巨大的经济损失。,案例:,2. 购买者面临的威胁 (1)虚假订单 (2)付款后不能收到商品 (3)丢失机密 (4)拒绝服务,假冒者可
4、能会以客户的名义来订购商品,而客户却被要求付款或返还商品。,在要求客户付款后,销售商中的内部人员不将订单和钱转发给执行部门,因而使客户不能收到商品。,用户在佯装的网页上将秘密的个人数据发送给冒充销售商的机构,这些信息可能会在传递过程中被窃取。,恶意攻击者可能向销售商的服务器发送大量的虚假订单来穷竭它的资源,从而使合法用户不能得到正常的服务。,张先生准备为自己买一个3G手机,无奈自己看中的一款产品目前在实体店中的销售价格超出了预算范围。于是,张先生准备在网上看看是否有更便宜的。结果功夫不负有心人,张先生在一个论坛中,发现有人介绍这款手机,而且价格仅是实体店中的三分之一,张先生迫不及待地登陆了帖子
5、中提到的网页,并按照网页上的提示完成了购买,并向页面上指定的帐户汇了钱。结果,两周过去了,张先生依然没有是收到手机,而再次登陆该网页的时候,已经无法打开。,案例:,(二)电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,1. 网络系统自身的安全风险,1)设备故障 2)电源故障:丢失数据、损坏硬件 3)电磁泄漏导致信息失密 4)搭线窃听 5)自然灾害,1. 网络系统自身的安全风险,网络软件的漏洞和“后门”是进行网络攻击的首选目标。 应该及时安装补丁程序,1. 网络系统自身的安全风险,网络服务是通过各种各样的协议完成的,协议的
6、安全 性是网络安全的一个重要方面。 如果网络通信协议存在安全上的缺陷,攻击者会利用 协议的安全漏洞得逞的。,1. 网络系统自身的安全风险,黑客(hacking)是指非法入侵计算机系统的人。 黑客在网络上经常采用的手段有: 利用操作系统提供的缺省账户进行攻击; 截取口令方法:通过网络监听或记录用户的击键得到用户的口令。 寻找系统漏洞 偷取特权 清理磁盘等,案例:,96年初CHINANET受到某高校的一个研究生的攻击; 96年秋,北京某ISP 和它的用户发生了一些矛盾,此用户便攻击该ISP的服务器,致使服务中断了数小时。,97年初,北京某ISP被黑客成功侵入,并在清华大学“ 水木清华” BBS站
7、的“ 黑客与解密” 讨论区张贴有关如何免费通过该ISP进入Internet的文章。,1. 网络系统自身的安全风险,计算机病毒是编制或者在计算机程序 中插入的破坏计算机功能或者毁坏数据, 影响计算机使用,并且能自我复制的一组 计算机指令或程序代码。 怎么感染病毒呢? 从互联网上下载软件 运行电子邮件中的附件 通过交换磁盘来交换文件 将文件在局域网中进行复制,案例:,网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网
8、吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。,有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。,2. 信息传输风
9、险,如“黑客”为了获取重要的商业机密、 资源和信息,常采用源IP地址欺骗攻击。,信息传输风险是指进行网上交易时,因传输的信息失 真或者信息被非法地窃取、篡改和丢失,而导致网上交易 的不必要损失。,2. 信息传输风险,攻击者未经授权进入网络交易系统, 使用非法手段,删除、修改、重发某些重 要信息,破坏数据的完整性,损害他人的 经济利益,或干扰对方的正确决策,造成 网上交易的信息传输风险。,2. 信息传输风险,交易信息的丢失,可能有三种情况: 一是因为线路问题造成信息丢失; 二是因为安全措施不当而丢失信息; 三是在不同的操作平台上转换操作不 当而丢失数据。,2. 信息传输风险,信息在网上传递时,要
10、经过多个环节 和渠道,许多因素可能会影响到数据的真 实性和完整性。,2. 信息传输风险,用户以合法身份进入系统后,可能发 布虚假的供求信息,或以过期的信息冒充 现在的信息,以骗取对方的钱款或货物。,3. 信用风险,使用信用卡进行恶意透支,或使用伪 造的信用卡骗取卖方的货物;拖延货款。,3. 信用风险,卖方不能按质、按量、按时寄送消费者 购买的货物。,3. 信用风险,网上交易双方必须有良好的信用,而且 有一套有效的信用机制降低信用风险。,4. 网上交易管理风险,在网络商品中介交易的过程中,客户进入交易 中介中心,买卖双方签订合同,交易中心不仅要监 督买方按时付款,还要监督卖方按时提供符合合同 要
11、求的货物。 在这些环节上,存在大量管理问题,管理不善 会造成巨大的潜在风险。为防止此类风险,需要有 完善的制度设计,形成一套相互关联、相互制约的 制度。,4. 管理风险,人员管理常常是网上交易安全管理上的最薄弱 的环节,内部犯罪现象明显, 工作人员职业道德修 养不高,安全教育和管理松懈。 一些竞争对手还利用企业招募新人的方式潜入 该企业,或利用不正当的方式收买企业网络交易管 理人员,窃取企业的用户识别码、密码、传递方式 以及相关的机密文件资料。,4. 管理风险,有些操作系统中的某些用户是无口令的,如匿 名FTP,利用远程登录(Telnet)命令登录的这些无 口令用户,有可能恶意地把自己升级为超
12、级用户。,5. 法律风险,在网上交易可能会承担由于法律滞后, 即目前尚没有相关法律进行规范,因而无 法保证合法交易的权益所造成的风险。,5. 法律风险,在网上交易可能承担由于法律的事后 完善所带来的风险,即在原来法律条文没 有明确规定下而进行的网上交易,在后来 颁布新的法律条文下属于违法经营所造成 的损失。如,证券交易的主体的规定。,二、 电子商务的安全要求 电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,由此提出了相应的安全控制要求。 (一)有效性 (二)机密性 (三)完整性 (四)真实性和不可抵赖性的鉴别,电子商务以电子形式取代了纸张
13、,要对网络故障、操作 失误、应用程序错误、硬件故障、系统软件错误及计算机病 毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确 定的时间、确定的地点是有效的。,数据篡改,作为贸易的一种手段,电子商务的信息直接代表着个人、 企业或国家的商业机密。电子商务是建立在一个较为开放的 网络环境上的,维护商业机密是电子商务全面推广应用的重 要保障。因此,要预防非法的信息存取和信息在传输过程中 被非法窃取。,电子商务简化了贸易过程,减少了人为的干预,同时也 带来维护贸易各方商业信息的完整、统一的问题。贸易各方 信息的完整性将影响到贸易各方的交易和经营策略,保持贸 易各方信息的完整性是电子商务应用的基础。因
14、此,要预防 对信息的随意生产、修改和删除,同时要防止数据传送过程 中信息的丢失和重复。,要在交易信息的传输过程中为参与交易的个人、企业或 国家甚至是交易信息本身提供可靠的标识,如电子签名、时 间戳等。,三、电子商务安全管理思路,电子商务的安全管理,就是通过一个完整的综合 保障体系,规避各种风险,以保证网上交易的顺利进 行。 无论从保护合法市场交易利益,还是市场本身的 发展来看,确保网上交易安全是电子虚拟市场要解决 的首先问题和基本问题,需要各方配合加强对网上交 易安全性的监管。,网上交易安全管理,应采用综合防范的思路,从技术、管理、法律等方面建立一个完整的网络交易安全体系。 (1)技术方面:防
15、火墙技术、网络防毒等。 (2)加强监管:建立各种有关的合理制度,并严格监督。 (3)社会的法律政策与法律保障:尽快出台和完善相关的法律制度,严惩破坏合法网上交易权益的行为。,4.2 电子商务安全技术,交易方自身网络安全保障技术 (一)用户账号管理和网络杀毒技术 (二)防火墙技术 (三)虚拟专用技术 (四)入侵检测技术 电子商务信息传输安全保障技术 (一)加密技术 (二)数字摘要技术 身份和信息认证技术 (一)身份认证 (二)信息认证 (三)通过认证机构认证 电子商务安全支付技术 (一)SSL安全协议 (二)SET安全协议,一、交易方自身网络安全保障技术 (一)用户账号管理和网络杀毒技术 (二)
16、防火墙技术 (三)虚拟专用技术 (四)入侵检测技术,获取合法的账号和密码是黑客攻击网络系统最常使用的方法。因此, 用户账号的安全管理措施包括: (1)技术层面的安全支持,即针对用户账号完整性的技术,包括用户分组管理(对不同的成员赋予不同的权限)、单一登录密码制(用户在企业计算机网络任何地方都使用同一个用户名和密码)、用户认证(结合多种手段如电话号码、IP地址、用户使用的时间等精确地确认用户)。 (2)在企业信息管理的政策方面有相应的措施,即划分不同的用户级别,制定密码政策(如密码的长度、密码定期更换、密码的组成等),对职员的流动采取必要的措施,以及对职员进行计算机安全的教育。 两者相互作用才能
17、在一定程度上真正有效地保证用户账号的保密性。 采取多方面的防治措施预防病毒、检查病毒、消除病毒。,防火墙是由软件和硬件设备组合而成的,是处于企业内部网和外部网 之间,用户加强内外之间安全防范的一个或一组系统。 一个好的防火墙系统应具有以下几方面的作用: 1、限制他人进入内部网络,过滤掉不安全服务和非法用户 2、允许内部网的一部分被外部网访问,另一部分被保护起来。 3、限定内部网对特殊的站点访问 4、为监视互联网的安全提供方便,防火墙有没有缺陷呢? 防火墙限制了有用的网络服务 防火墙不能防范不经由防火墙的攻击 防火墙不能防范来自网络内部的攻击,虚拟专用网(VPN),这是指利用隧道技术把两个或多个
18、专用网络通过公共网(通常指Internet)安全地连接到一起,组成虚拟的统一的专用网的技术。 其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专用网络所需的端到端物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、帧中继等之上的逻辑网络,用户数据在逻辑链路中传输。,通过VPN组建的企业内部网,入侵检测( “IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。 入侵检测通过执行以下任务来实现: 监视、分析用户及系统活动; 系统构造和弱点的审计; 识别反映已知进攻的活动模式并向
19、相关人士报警; 异常行为模式的统计分析; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。,实时监控非法入侵的过程示意图,报警 日志记录,攻击检测,记录入侵 过程,重新配置 防火墙 路由器,内部入侵,入侵检测,记录,终止入侵,二、电子商务信息传输安全保障技术 (一)加密技术 (二)数字摘要技术,(一)、加密技术,加密技术是认证技术及其他许多安全技术的基础。 “加密”,简单地说,就是使用数学的方法将原始信息(明文)重新组织与变换成只有授权用户才能解读的密码形式(密文)。 而“解密”就是将密文重新恢复成明文。,加密技术包括两个元素: 算法是在加密和解密时所使
20、用的信息变换规则。(如公式、法则或程序)。 密钥是控制加密和解密过程的一组随机数码(控制只是指与密钥有关,而与算法无关)。 现代密码学的一个基本原则是:一切秘密寓于密钥之中。密码算法可以公开,真正需要保密的是密钥。因此,称密钥是加密或解密过程中的关键要素。,古典加密技术 替代算法,恺撒密码 (单字母替换) 明文:a b c d e f g h i j k l m n o p q 密文:d e f g h i j k l m n o p q r s t 此时密钥为3,即每个字母顺序推后3个。 解密使用相同的方法,密钥为-3 。,例如: 将字母的自然顺序保持不变,但使之分别与相差4个字母的字母相对
21、应。 How are you Lsa evi csy,对称密钥密码体制,加密技术的类型,非对称密钥密码体制,加密密钥与解密密钥是相同的。密钥必须通过安全可靠的途径传递。由于密钥管理成为影响系统安全的关键性因素,使它难以满足系统的开放性要求。,把加密过程和解密过程设计成不同的途径,当算法公开时,在计算上不可能由加密密钥求得解密密钥,因而加密密钥可以公开,而只需秘密保存解密密钥即可。,公开密钥密码体制产生于1976年,又称双钥或非对称密钥密码体制。 1977年麻省理工学院的三位科学家Rivest、Shamir和Adleman提出最著名和使用最广泛的公钥加密方法RSA 公开密钥密码系统。,非对称密钥
22、算法的加密解密流程,非对称密钥密码体制,非对称加密方式中密钥的分发与管理,非对称密钥密码体制,老张,小李的公开密匙,小李,老张,密文,小李,小李的私有密匙,老张的私有密匙,老张的公开密匙,密文,鉴别,保密,用RSA鉴别,只有老张能发出该信息 用RSA保密,只有小李能解开该信息,非对称密钥密码体制,非对称密钥密码技术的优缺点: 优点: 第一,在多人之间进行保密信息传输所需的密钥组合数量很小; 第二,密钥的发布不成问题; 第三,公开密钥系统可实现数字签名。 缺点: 加密解密比私有密钥加密系统的速度慢得多。,对称密钥技术,加密和解密双方使用相同的密钥。 对称密钥密码体系最著名的算法有DES(美国数据
23、加密标准)、AES(高级加密标准)和IDEA(欧洲数据加密标准)。,对称密钥加密技术,举例,Happy New Year,每个字母用前一字母代替,例G代替H,Gzoox Mdv Xdzq,密文,明文,明文,Happy New Year,每个字母用后一个字母代替,一个简单的加密算法ROT13,最简单的加密算法之一是ROT13。在这种算法中,每个字母都被分配给一个数字。A变成了1,B变成了2,等等以此类推。如果你现在写下“HELLO”,把每个字母转换成数字,并加上13,然后在把这个数字转换成字母。如果数字大于26,就相应把它减少26,以便让这个数字处于字母表的范围内。这样HELLO变成了8,5,1
24、2,12,15。给每个数字加上13,变成21,18,25,25,28。由于28大于26,将其减去26,这样你最后得到的数字序列是21,18,25,25,2。再转换成字母后,就是URYYB。,图为有6个用户的网络其对称密钥的分发情况。,对称式密钥加密技术的优缺点: 优点:对称密钥密码体系的优点是加密、解密速度很快(高效) 。 缺点:对称加密系统存在的最大问题是密钥的分发和管理问题。 比如对于具有n个用户的网络,需要n(n1)/2个密钥,在用户群不是很大的情况下,对称加密系统是有效的,但是对于大型网络,用户群很大而且分布很广时,密钥的分配和保存就成了大问题,同时也就增加了系统的开销。,对称密钥加密
25、与非对称密钥加密体制对比,(1)数字摘要(Digital Digest),数字摘要:是确保信息完整性的技术,它采用单向散列函数(Hash函数)对文件中若干重要元素进行某种变换运算得到固定长度的摘要码(也称数字指纹Finger Print),并在传输信息时将之加入原文件(明文)一同传给接收方。,不同的明文,其数字摘要不同; 相同的明文,其数字摘要一定相同!,数字摘要过程,(1)数字摘要(Digital Digest),数字摘要的一般过程为: (1)对原文使用Hash算法得到信息摘要; (2)发送端将消息(明文)和摘要一同发送; (3)接收方收到后,用同样的Hash函数对所收到的消息产生一个摘要;
26、 (4)用接收方产生的摘要与发送方发来的摘要进行对比,若两者相同则表明所收到的消息是完整的,原文在传输过程中没有被修改,否则就说明原文被修改过,不是原消息。,数字摘要解决了信息传输的完整性是否被破坏的安全问题,但是没有解决信息的保密问题。,三、身份和信息认证技术,客户认证技术是保证网上交易安全的一项重要技术。 从认证途径来看,客户认证主要包括: (一)身份认证 (二)信息认证 (三)通过认证机构认证 身份认证和认证机构认证常常用于鉴别用户身份,而信息认证常用于保证通信双方的不可抵赖性和信息的完整性。,身份认证就是在交易过程中判明和确认贸易双方的真 实身份。 某些非法用户常采用窃取口令、修改或伪
27、造、阻断服 务等等方式对网上交易系统进行攻击,阻止系统资源的合 法管理和使用。,因此,要求认证机构或信息服务商应当提供如下认证 的功能: 1)可信性:信息来源可信,接收者能确认发送者; 2)完整性:信息在传输过程中没有被修改、替换等; 3)不可抵赖性:发送者和接受者不能否认各自行为; 4)访问控制:拒绝非法用户访问系统资源,合法用户 只能访问系统授权和指定的资源。,一般来说,用户身份认证可通过三种基本方式或其组 合方式来实现: 1)用户所知道的某个秘密信息,如口令; 2)用户所持有的某个秘密信息(硬件),即用户必须 持有合法的随身携带的物理介质,例如智能卡中存储用户 的个人化参数,以及访问系统
28、资源时必须有的智能卡。 3)用户所具有的某些生物学特征,如指纹。成本高, 多用于保密程度很高的场合。,商务活动通过公开网络进行数据传输,对传输过程中 信息的保密性、完整性和不可抵赖性提出了更高的要求。 1)对敏感的文件进行加密(加密技术) 2)保证数据的完整性(数据摘要技术) 3)对数据和信息的来源进行验证(数字签名技术),第二节 电子商务安全技术,身份和信息认证技术,通过认证机构提供认证服务的基本原理和流程是:在 做交易时,应向对方提交一个由CA签发的包含个人身份的 证书,以使对方相信自己的身份。 顾客向CA申请证书时,可提交自己的驾驶执照、身份 证或护照,经验证后,颁发证书。证书包含了顾客
29、的名字 和他的公钥,以此作为网上证明自己的身份的依据。,第二节 电子商务安全技术,交易方自身网络安全保障技术 (一)用户账号管理和网络杀毒技术 (二)防火墙技术 (三)虚拟专用技术 (四)入侵检测技术 电子商务信息传输安全保障技术 (一)加密技术 (二)数字摘要技术 身份和信息认证技术 (一)身份认证 (二)信息认证 (三)通过认证机构认证 电子商务安全支付技术 (一)SSL安全协议 (二)SET安全协议,第二节 电子商务安全技术,电子商务安全支付技术 (一)SSL安全协议 (二)SET安全协议,如何通过电子支付安全地完成整个交易过程?目 前虽然还没有形成公认成熟的解决办法,但人们还是 不断通
30、过各种途径进行大量的探索,SSL安全协议和 SET安全协议已广泛应用于电子支付。,第二节 电子商务安全技术,电子商务安全支付技术,SSL安全协议(安全套接层)是一种安全通信协议,它 能够对信用卡信息和个人信息提供较强的保护。 此协议假定商家是可信的,协议运行的基点是商家对 客户信息保密的承诺。SSL安全协议有利于商家而不利于客 户。整个过程缺少客户对商家的认证。 SSL安全协议逐渐被SET协议所取代。,第二节 电子商务安全技术,电子商务安全支付技术,SET安全协议(安全电子交易)是由信息卡公司推出的 规范。SET在保留对客户信用卡认证的前提下,又增加了对 商家身份的认证。 SET安全协议能够保
31、证信息在网上安全传输;保证电子 商务参与者信息的相互隔离(商家看不到信用卡信息); 解决多方认证问题;保证交易的实时性;可以运行在不同 的硬件和操作系统平台上。,第二节 电子商务安全技术,交易方自身网络安全保障技术 (一)用户账号管理和网络杀毒技术 (二)防火墙技术 (三)虚拟专用技术 (四)入侵检测技术 电子商务信息传输安全保障技术 (一)加密技术 (二)数字摘要技术 身份和信息认证技术 (一)身份认证 (二)信息认证 (三)通过认证机构认证 电子商务安全支付技术 (一)SSL安全协议 (二)SET安全协议,第三节 电子商务安全制度,安全管理制度 (一)人员管理制度 (二)保密制度 (三)跟
32、踪、审计、稽核制度 (四)系统维护制度 (五)病毒防范制度 法律制度 (一)美国保证电子商务安全的相关法律 (二)我国保证电子商务安全的相关法律,第三节 电子商务安全制度,安全管理制度 (一)人员管理制度 (二)保密制度 (三)跟踪、审计、稽核制度 (四)系统维护制度 (五)病毒防范制度 法律制度 (一)美国保证电子商务安全的相关法律 (二)我国保证电子商务安全的相关法律,第三节 电子商务安全制度,安全管理制度 (一)人员管理制度 (二)保密制度 (三)跟踪、审计、稽核制度 (四)系统维护制度 (五)病毒防范制度,网上交易系统安全管理制度是用文字形式 对各项安全要求的规定,它是保证企业在网上
33、经营管理取得成功的基础。是否健全及实施安 全管理制度,关系到网上交易是否安全地、顺 利地进行。 安全制度包括:,第三节 电子商务安全制度,安全管理制度,首先,对有关人员进行上岗培训。 其次,落实工作责任制,对违反网上交易安全规定的 行为应坚决进行打击,对有关人员要进行及时的处理。 第三,贯彻网上交易安全运作基本原则: 1)双人负责原则:重要业务不安排一个人单独管理, 实行两人或多人相互制约的机制。 2)任期有限原则:任何人不得长期担任与交易安全有 关的职务。 3)最小权限原则:明确规定只有网络管理员才可以进 行物流访问,只有网络管理员才可进行软件安装工作。,第三节 电子商务安全制度,安全管理制
34、度,保密制度需要很好地划分信息的安全级别,确定安全 防范重点,并提出相应的保密措施。安全级别一般可分为 三级: 1)绝密级:如企业战略计划,此部分网址、密码不在 Internet上公开,只限于公司高层人员掌握。 2)机密级:如会议通知,此部分网址、密码不在 Internet上公开,只限于公司中层以上人员使用。 3)秘密级:如订货方式,此部分网址、密码在 Internet上公开,供消费者浏览,但必须有保护程序,防止 黑客入侵。,第三节 电子商务安全制度,安全管理制度,跟踪制度要求企业建立网络交易系统的日志机制,用 来记录系统运行的全过程。 审计制度包括经常对系统日志的检查、审核,及时发 现对系统
35、故意入侵行为的记录和对系统安全功能违反的记 录,监控和捕捉各种安全事件,保存、维护和管理系统日 志。 稽核制度是指工商管理、银行、税务人员利用计算机 及网络系统,借助于稽核业务应用软件调阅、查询、审核、 判断辖区内各电子商务参与单位业务经营活动的合理性、 安全性,堵塞漏洞,保证网上交易安全,发出相应的警示 或作出处理处罚的有关决定的一些列步骤和措施。,第三节 电子商务安全制度,安全管理制度,对网络系统的日常维护可从几个方面进行: 1)对于可管设备,通过安装网管软件进行系统故障诊 断、显示及通告,网络流量与状态的监控、统计与分析, 以及网络性能调优、负载平衡等。 2)对于不可管设备应通过手工操作
36、来检查状态,做到 定期检查与随机抽查相结合,以便及时准确地掌握网络的 运行状况,一旦有故障发生能及时处理。 3)定期进行数据备份,第三节 电子商务安全制度,安全管理制度,目前主要通过采用防毒软件进行防毒。应用于网络的 防毒软件有两种: (1)单机版防病毒产品:是以事后消毒为原理的,当 系统被病毒感染后才发挥作用,适合于个人用户。 (2)联机版防病毒产品:属于事前的防范,其原理是 在网络端口设置一个病毒过滤器。即事前在系统上安装一 个防病毒的网络软件,它能够在病毒入侵到系统之前,将 其挡在系统外边。 许多病毒都有一个潜伏期,有必要实行病毒定期清理 制度清除处于前预期的病毒,防止病毒突然爆发,使计
37、算 机始终处于良好的工作状态,保证网上交易的正常进行。,第三节 电子商务安全制度,安全管理制度 (一)人员管理制度 (二)保密制度 (三)跟踪、审计、稽核制度 (四)系统维护制度 (五)病毒防范制度 法律制度 (一)美国保证电子商务安全的相关法律 (二)我国保证电子商务安全的相关法律,第三节 电子商务安全制度,法律制度 (一)美国保证电子商务安全的相关法律 (二)我国保证电子商务安全的相关法律,第三节 电子商务安全制度,法律制度 (一)美国保证电子商务安全的相关法律 1. 与网上交易相关法律调整的基本原则 2. 电子支付的法律制度 3. 信息安全的法律制度 4. 消费者权益保护的法律制度,第三
38、节 电子商务安全制度,法律制度 (一)美国保证电子商务安全的相关法律 1. 与网上交易相关法律调整的基本原则 2. 电子支付的法律制度 3. 信息安全的法律制度 4. 消费者权益保护的法律制度,在美国各州实行的统一商业法规(UCC),通过下面 一些方式来克服传统法规的对网上交易推行带来的执行障碍: (1)确定和认可通过电子手段形成的合同的规则和范式, 规定约束电子合同履行的标准,定义构成有效电子书写文件和 原始文件的条件,鼓励政府各部门、厂商认可和接受正式的电 子合同、公证文件等。 (2)规定为法律和商业目的而做出的电子签名的可接受程 度,鼓励国内和国际规则的协调统一,支持电子签名和其他身份
39、认证手续的可接受性。 (3)建立电子注册处。,在美国各州实行的统一商业法规(UCC),通过下面 一些方式来克服传统法规的对网上交易推行带来的执行障碍: (4)推动建立其他形式的、适当的、高效率的、有效的国 际商业交易的纠纷调解机制,支持在法庭上和仲裁过程中使用计 算机证据。 (5)建立于软件和电子数据的许可证交易、使用和权力转让 有关的标准和任选的合同履行规则。 (6)在国际上,美国政府支持所有国家采用联合国国际贸易 法委员会提出的示范法作为电子商务使用的国际统一商业法规。,第三节 电子商务安全制度,法律制度 (一)美国保证电子商务安全的相关法律 2. 电子支付的法律制度 3. 信息安全的法律
40、制度 4. 消费者权益保护的法律制度 1. 与网上交易相关法律调整的基本原则,1978年制定的1978年电子资金划拨法,其主要内容是 保护银行客户的合法权益,使用于客户是自然人的小额电子资 金划拨。 1989年的统一商业法规,对大额电子支付系统进行了 调整。该法第一次对电子支付下了定义:电子支付是支付命令 发送方把存放于商业银行的资金,通过一条线路划入受益方开 户银行,以支付给受益方的一系列转移过程。 该法详细规定了电子支付命令的签发与接受,接受银行对发 送发支付命令的执行,电子支付的当事人的权利、义务以及责任 的承担等。,第三节 电子商务安全制度,法律制度 (一)美国保证电子商务安全的相关法
41、律 3. 信息安全的法律制度 4. 消费者权益保护的法律制度 1. 与网上交易相关法律调整的基本原则 2. 电子支付的法律制度,信息系统安全性指南涵盖了九项安全性原则,这些原则 系统地阐述了高层次的需求,诸如明确安全责任的需求、知晓安 全措施和手续的需求以及尊重其他用户的权利和合法利益的需求 等。美国联邦政府为了保证网上交易信息的安全,制定与实施了 相关的法规。,第三节 电子商务安全制度,法律制度 (一)美国保证电子商务安全的相关法律 4. 消费者权益保护的法律制度 1. 与网上交易相关法律调整的基本原则 2. 电子支付的法律制度 3. 信息安全的法律制度,消费者在网上购物,个人隐私信息可能被
42、商家掌握和非法使 用;因无法亲自体验和挑选产品,存在退货问题。 美国颁布法规禁止商家利用消费者的个人隐私信息进行商业 活动,侵犯消费者的权益。欧盟规定消费者在欧盟内部跨国购买 商品,起诉商家时可以用消费者本国相关法律起诉,而不用到商 家所在国家进行起诉,以保护消费者的权益。,第三节 电子商务安全制度,法律制度 (一)美国保证电子商务安全的相关法律 (二)我国保证电子商务安全的相关法律,第三节 电子商务安全制度,法律制度 (二)我国保证电子商务安全的相关法律 我国电子商务的发展仍处于初级阶段,有关立法不够健全。 我国计算机立法工作开始于20世纪80年代。1997年10月1日,我国的新刑法,增加计
43、算机犯罪的罪名。 1999年3月,我国颁布的合同法将传统的书面合同形式扩大到数据电文形式,即电子合同。 2004年8月通过中华人民共和国电子签名法。,第三节 电子商务安全制度,法律制度 案例1:电子合同 某实业有限公司已经注册了电子信箱;某木制品加工厂也注册了电子信箱。1999年3月5日上午,某实业有限公司给某木制品加工厂发出要求购买其厂生产的办公家具的电子邮件一份,电子邮件中明确了如下内容: (1)需要办公桌8张,椅子16张; (2)要求在3月12日之前将货送至某实业有限公司; (3)总价格不高于15000元。,第三节 电子商务安全制度,法律制度 案例1:电子合同 电子邮件还对办公桌椅的尺寸
44、、式样、颜色作了说明,并附了样图。当天下午3时35分18秒,某木制品加工厂也以电子邮件回复某实业有限公司,对某实业有限公司的要求全部认可。为对某实业有限公司负责起见,3月6日某木制品加工厂还专门派人到某实业有限公司作了确认,但双方都没有签署任何书面文件。,第三节 电子商务安全制度,法律制度 案例1:电子合同 1999年3月11日,某木制品加工厂将上述桌椅送至某实业有限公司。由于某实业有限公司已于10日以11000元的价格购买了另一家工厂生产的办公桌椅,就以双方没有签署书面合同为由拒收,双方协商不成,3月16日某木制品加工厂起诉至法院。 庭审中,双方对用电子邮件方式买卖办公桌椅及某木制品加工厂去
45、人确认、3月11日送货上门等均无异议,4月15日法院判决某木制品加工厂胜诉。,第三节 电子商务安全制度,法律制度 案例2:网上复制权与传播权侵权案 1998年4月,世纪互联公司在未取得作家王蒙、张洁、张抗抗、毕淑敏、刘震云、张承志同意的情况下,将他们的作品坚硬的稀粥、漫长的路、白罄粟、预约死亡、一地鸡毛、黑骏马和北方的河上传到被告的网站上供人浏览或者下载。为此6位作家认为被告作为提供互联网络内容的服务商,未经许可以营利目的使用原告的作品,侵害了原告的著作权,请求法院判决被告停止侵权、公开致歉、赔偿经济损失和精神损失,承担诉讼费、调查费等合理费用。,第三节 电子商务安全制度,法律制度 案例2:网
46、上复制权与传播权侵权案 北京市海淀区人民法院经审理认为,被告未经许可将原告的作品在网上传播,侵害了原告对其作品享有的使用权和获得报酬权。依据著作权法第10条第5项、第45条第5项和第8项的规定,作出判决: 判决被告停止使用原告的作品; 判决被告在其网站分别向原告公开致歉,致歉内容须经法院审核; 判决被告向原告赔偿经济损失; 驳回原告要求被告赔偿精神损失的诉讼请求。,第三节 电子商务安全制度,法律制度 案例3:非法入侵网站案 2001年8月2日 14时,王群非法侵入“楚天人才热线”,将该网站主页改为一面五星红旗,并附上“加入我们,成为中国黑客联盟的一分子”等内容,致使网站瘫痪。当天18时,王群非
47、法侵入湖北大冶市政府网站后,对载有当地领导人照片和“领导致词”等内容的首页进行了恶意篡改。次日又将网站主页变为一张裸体女人照片,致使网站关闭。王群还以同样的手段,侵入“科技之光”、“黄石热线”等网站,更改主页,造成恶劣社会影响。,第三节 电子商务安全制度,法律制度 案例3:网上复制权与传播权侵权案 法院认定,被告人王群利用从网上获取的方法,搜索扫描各网站服务器系统的漏洞,并利用漏洞对计算机信息系统中的数据进行删除、修改、增加,后果严重,行为已构成破坏计算机系统罪。湖北省武汉市江岸区人民法院判处王群有期徒刑1年。,第三节 电子商务安全制度,安全管理制度 (一)人员管理制度 (二)保密制度 (三)
48、跟踪、审计、稽核制度 (四)系统维护制度 (五)病毒防范制度 法律制度 (一)美国保证电子商务安全的相关法律 (二)我国保证电子商务安全的相关法律,第四节 防止非法入侵,网络“黑客”常用的攻击手段 (一)“黑客”的概念 (二)“黑客”的攻击手段 防范非法入侵的技术措施 (一)网络安全检查设备 (二)访问设备 (三)防火墙 (四)安全工具包/软件,第四节 防止非法入侵,网络“黑客”常用的攻击手段 (一)“黑客”的概念 (二)“黑客”的攻击手段 防范非法入侵的技术措施 (一)网络安全检查设备 (二)访问设备 (三)防火墙 (四)安全工具包/软件,第四节 防止非法入侵,网络“黑客”常用的攻击手段 (
49、一)“黑客”的概念 (二)“黑客”的攻击手段,第四节 防止非法入侵,网络“黑客”常用的攻击手段 (一)“黑客”的概念 黑客可以分为两类: 一类是骇客,他们只想引人注目,证明自己的能力,在进入网络系统后,不会破坏系统,仅仅做一些无伤大雅的恶作剧。他们追求的是从侵入行为本身获得巨大的成功的满足。 另一类是窃客,其行为带有强烈的目的性。早期窃取国家情报、科研情报,现在瞄准了银行的资金和电子商务的整个交易过程。,第四节 防止非法入侵,网络“黑客”常用的攻击手段 (二)“黑客”的攻击手段 黑客攻击电子商务系统的手段: 1.中断(攻击系统的可用性) 2.窃听(攻击系统的机密性) 3.篡改(攻击系统的完整性) 4.伪造(攻击系统的真实性) 5.轰炸(攻击系统的健壮性),第四节 防止非法入侵,网络“黑客”常用的攻击手段 (二)“黑客”的攻击手段 黑客攻击电子商务系统的手段: 1.中断(攻击系统的可用性) 破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正常工作。 2.窃听(攻击系统的机密性) 3.篡改(攻击系统的完整性) 4.伪造(攻击系统的真实性) 5.轰