网络交易安全管理

第十二章 网络交易安全管理,12.1 网络交易风险和安全管理的基本思路 12.2 客户认证技术 12.3 防止黑客入侵 12.4 网络交易系统的安全管理制度 12.5 电子商务交易安全的法律保障,12.1 网络交易风险和安全管理的基本思路,12.1.1 网络交易风险凸现 伴随着电子商务交易额的不断增加，电子商务对安全方面的管理要求越来越高，所受到的重视程度也越来越高。 计算机的安全问题早已引起人们的重视。 大量的事实说明，保证电子商务的正常运作，必须高度重视安全问题。网络交易安全涉及社会的方方面面，不仅仅是一堵防火墙或一个电子签字就能简单解决的问题。安全问题是网络交易成功与否的关键所在。,12.1.2 网络交易风险源分析 1. 在线交易主体的市场准入问题 2. 信息风险 3. 信用风险 信用风险主要来自三个方面： (1) 来自买方的信用风险。 (2) 来自卖方的信用风险。 (3) 买卖双方都存在抵赖的情况 . 4. 网上欺诈犯罪 5. 电子合同问题,6. 电子支付问题 7. 在线消费者保护问题 8. 电子商务中产品交付问题 12.1.3 网络交易安全管理的基本思路 为了保障电子商务交易安全，必须对电子商务交易系统有一个深刻的理解。这一点至关重要，它直接关系到所建立的交易安全保障体系的有效性和生命力。 电子商务系统是活动在Internet 平台上的一个涉及信息、资金和物资交易的综合交易系统，其安全对象不是一般的系统，而是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统(Complex Giant System),电子商务交易安全过程也不是一般的工程化的过程，而是一个时时处处有人参与的、自我适应的、不断变化的、不断涌现新的整体特征的过程。所以，电子商务交易安全保障不是一般的管理手段的叠加和集成，而是综合集成，两者的本质区别在于后者强调人的关键作用。只有通过人网结合、人机结合，充分发挥各自优势的方法，才能经过综合集成，使系统表现出新的安全性质整体大于部分之和。 与电子商务交易系统相适应，电子商务交易安全也是一个系统工程，不是几个防火墙、几个密码器就可以解决的问题。,12.2 客户认证技术,12.2.1 身份认证 1. 身份认证的目标 身份认证的主要目标包括： (1) 确保交易者是交易者本人，而不是其他人。通过身份认证解决交易者是否存在问题，避免与虚假的交易者进行交易。 (2) 避免与超过权限的交易者进行交易。 (3) 访问控制。,2. 用户身份认证的基本方式 一般来说，用户身份认证可通过三种基本方式或其组合方式来实现： (1) 用户通过某个秘密信息，例如用户通过自己的口令访问系统资源。 (2) 用户知道某个秘密信息，并且利用包含这一秘密信息的载体访问系统资源，包含这一秘密信息的载体应当是合法持有并能够随身携带的物理介质。例如智能卡中存储用户的个人化参数，访问系统资源时必须持有智能卡，并知道个人化参数。 (3) 用户利用自身所具有的某些生物学特征，如指纹、声音、DNA图案、视网膜扫描等等，但这种方案一般造价较高，适用于保密程度很高的场合。,3. 身份认证的单因素法 用户身份认证的最简单方法就是口令。 对口令进行加密传输是一种改进的方法。 4. 基于智能卡的用户身份认证 基于智能卡的用户身份认证机制属于双因素法，它结合了基本认证方式中的第一种和第二种方法。用户的二元组信息预先存于智能卡中，然后在认证服务器中存入某个事先由用户选择的某个随机数。用户访问系统资源时，用户输入二元组信息。,5. 一次口令机制 最安全的身份认证机制是采用一次口令机制，即每次用户登录系统时口令互不相同。主要有两种实现方式。第一种采用“请求响应”方式。用户登录时系统随机提示一条信息，用户根据这一信息连同其个人化数据共同产生一个口令字，用户输入这个口令字，完成一次登录过程，或者用户对这一条信息实施电子签字后发送给认证服务器进行鉴别；第二种方法采用“时钟同步”机制，即根据这个同步时钟信息连同其个人化数据共同产生一个口令字。这两种方案均需要认证服务器端也产生与用户端相同的口令字(或检验签字)用于验证用户身份。,12.2.2 信息认证技术 1. 信息认证的目标 信息认证的主要目标包括： (1) 可信性。信息的来源是可信的，即信息接收者能够确认所获得的信息不是由冒充者所发出的。 (2) 完整性。要求信息在传输过程中保证其完整性，也即信息接收者能够确认所获得的信息在传输过程中没有被修改、遗失和替换。 (3) 不可抵赖性。要求信息的发送方不能否认自己所发出的信息。同样，信息的接收方不能否认已收到了信息。 (4) 保密性。对敏感的文件进行加密，即使别人截获文件也无法得到其内容。,2. 基于私有密钥体制的信息认证 基于私有密钥(Private Key，私钥)体制的信息认证是一种传统的信息认证方法。这种方法采用对称加密算法，也就是说，信息交换双方共同约定一个口令或一组密码，建立一个通信双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方，乙方用相同的私钥解密后获得甲方传递的信息。 由于通信双方共享同一密钥，通信的乙方可以确定信息是由甲方发出的。这是一种最简单的信息来源的认证方法。图12-1是对称加密示意图。,图12-1 对称加密示意图,对称加密算法在电子商务交易过程中存在三个问题： (1) 要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥。直接的面对面协商可能是不现实而且难于实施的，所以双方可能需要借助于邮件和电话等其他相对不够安全的手段来进行协商。 (2) 密钥的数目将快速增长而变得难于管理，因为每一对可能的通信实体需要使用不同的密钥，很难适应开放社会中大量的信息交流。 (3) 对称加密算法一般不能提供信息完整性的鉴别。,3. 基于公开密钥体制的信息认证 与对称加密算法不同，公开密钥加密体系采用的是非对称加密算法。使用公开密钥算法需要两个密钥公开密钥(Public Key，公钥)和私有密钥。如果用公开密钥对数据进行加密，只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。图12-2是使用公钥加密和对应的私钥解密的示意图。,图12-2 使用公钥加密和对应的私钥解密的示意图,4. 数字签字和验证 对文件进行加密只解决了第一个问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其他的手段。数字签字(Digita1 Signature)及验证(Verification)，就是实现信息在公开网络上的安全传输的重要方法。 图12-3显示了数字签字和验证的传输过程。,图12-3 数字签字和验证过程示意图,(1) 发送方首先用哈希函数将需要传送的消息转换成报文摘要； (2) 发送方采用自己的私有密钥对报文摘要进行加密，形成数字签字； (3) 发送方把加密后的数字签字附加在要发送的报文后面，传递给接收方； (4) 接受方使用发送方的公有密钥对数字签字进行解密，得到发送方形成的报文摘要； (5) 接收方用哈希函数将接收到的报文转换成报文摘要，与发送方形成的报文摘要相比较，若相同，说明文件在传输过程中没有被破坏。,5. 时间戳 在电子商务交易文件中，时间是十分重要的信息。同书面文件类似，文件签署的日期也是防止电子文件被伪造和篡改的关键性内容。数字时间戳服务(Digita1 Time Stamp sever，DTS)是网上电子商务安全服务项目之一，它能提供电子文件的日期和时间信息的安全保护。 时间戳(Time Stamp)是一个经加密后形成的凭证文档，它包括需加时间戳的文件的摘要(Digest)、DTS收到文件的日期和时间、DTS的数字签字三个部分。,12.2.3 通过认证机构认证 1. 数字证书 根据联合国电子签字示范法第一条，“证书”系指可证实签字人与签字生成数据有联系的某一数据电文或其他记录。最常用的CA证书是数字证书。 数字证书按照不同的分类有多种形式，如个人数字证书和单位数字证书，SSL数字证书和SET数字证书等。 数字证书由申请证书主体的信息和发行证书的CA签字两部分组成(参见图12-4)。,图12-4 数字证书的组成,2. 认证机构 认证机构(Certificate Authority，CA)在电子商务中具有特殊的地位。它是为了从根本上保障电子商务交易活动顺利进行而设立的，主要是解决电子商务活动中交易参与各方身份、资信的认定，维护交易活动的安全。CA是提供身份验证的第三方机构，由一个或多个用户信任的组织实体构成。例如，持卡人要与商家通信，持卡人从公开媒体上获得了商家的公开密钥，但持卡人无法确定商家不是冒充的(是有信誉的)，于是持卡人请求CA对商家认证，CA对商家进行调查、验证和鉴别后，将包含商家Public Key(公钥)的证书传给持卡人。同样，商家也可对持卡人进行验证，如图12-5所示。,图12-5 CA认证,3. 电子商务的CA认证体系 电子商务CA体系包括两大部分，即符合SET标准的SET CA认证体系(又叫“金融CA”体系)和基于X.509的PKI CA体系(又叫“非金融CA”体系)。 1) SET CA SET中CA的层次结构如图12-6所示。,图12-6 SET中CA的层次结构,2) PKI CA PKI是电子商务安全保障的重要基础设施之一。它具有多种功能，能够提供全方位的电子商务安全服务。图12-7是PKI的主要功能和服务的汇总。,图12-7 PKI的主要功能和服务,一个典型的PKI应用系统包括五个部分：密钥管理子系统(密钥管理中心)、证书受理子系统(注册系统)、证书签发子系统(签发系统)、证书发布子系统(证书发布系统)、目录服务子系统(证书查询验证系统)。图12-8显示了PKI体系的构成。,图12-8 PKI体系的构成,4. 证书的树形验证结构 在两方通信时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的权威CA处，就可确信证书的有效性。SET证书正是通过信任层次来逐级验证的。每一个证书与数字化签发证书的实体的签字证书关联。沿着信任树一直到一个公认的信任组织，就可确认该证书是有效的。例如，C的证书是由名称为B的CA签发的，而B的证书又是由名称为A的CA签发的，A是权威的机构，通常称为根认证中心(Root CA)。验证到了Root CA处，就可确信C的证书是合法的(参见图12-9)。,图12-9 证书的树形验证结构,5. 带有数字签字和数字证书的加密系统 安全电子商务使用的文件传输系统大都带有数字签字和数字证书，其基本流程如图12-10所示。,图12-10 带有数字签字和数字证书的加密系统,图12-10显示了整个文件加密传输的10个步骤： (1) 在发送方的网站上，将要传送的信息通过哈希函数变换为预先设定长度的报文摘要； (2) 利用发送方的私钥给报文摘要加密，结果是数字签字； (3) 将数字签字和发送方的认证证书附在原始信息上打包，使用DES算法生成的对称密钥在发送方的计算机上为信息包加密，得到加密信息包； (4) 用预先收到的接收方的公钥为对称密钥加密，得到数字信封； (5) 加密信息和数字信封合成一个新的信息包，通过因特网将加密信息和数字信封传到接收方的计算机上；,(6) 用接收方的私钥解密数字信封，得到对称密钥； (7) 用还原的对称密钥解密加密信息，得到原始信息、数字签字和发送方的认证证书； (8) 用发送方公钥(置于发送方的认证证书中)解密数字签字，得到报文摘要； (9) 将收到的原始信息通过哈希函数变换为报文摘要； (10) 将第8步和第9步得到的信息摘要加以比较，以确认信息的完整性。,6. 认证机构在电子商务中的地位和作用 电子商务认证机构对登记者履行下列监督管理职责： (1) 监督登记者按照规定办理登记、变更、注销手续； (2) 监督登记者按照电子商务的有关法律法规合法从事经营活动； (3) 制止和查处登记人的违法交易活动，保护交易人的合法权益。 12.2.4 我国电子商务认证机构的建设,1. 电子商务认证机构建设的不同思路 关于认证机构的建设，目前有三种典型的思路。 (1) 地区主管部门认为应当以地区为中心建立认证中心。 (2) 行业主管部门认为应当以行业为中心建立认证中心。 (3) 也有人提出建立几个国家级行业安全认证中心。 2. 电子商务认证机构建设的基本原则 电子商务认证机构的建设，应当遵循以下原则： (1) 权威性原则。,(2) 真实性原则。认证机构所提供的各类信息，必须真实、准确、完整、可靠。严禁为客户提供虚假信息。 (3) 机密性原则。认证机构的工作人员应当具有良好的政治素质，忠于职守，保证信息不被泄露给非授权人或实体。同时，应当配备先进的安全设备，能够有效防范外界黑客的非法入侵。 (4) 快捷性原则。认证机构的工作人员和设备都应当具有快速的反应能力，能够在很短的时间内处理各种客户认证业务。 (5) 经济性原则。,3. 国家级电子商务认证机构的设立 同传统的交易一样，电子商务交易主要涉及下述几个方面的任务： (1) 身份认证。 (2) 资信认证。 (3) 税收认证。 (4) 外贸认证 为便于开展业务，国家认证中心可以在各省和直辖市设立相应的分支机构，从而形成类似于管理上直线职能制组织结构的认证系统(参见图12-11),图12-11 国家电子商务认证中心组织结构设想图,国家电子商务认证中心主要承担根认证工作。这些工作包括： (1) 对职能认证系统和省市分认证中心进行政策指导和业务管理； (2) 汇总职能认证中心和省市分认证中心的数据； (3) 负责数字凭证的管理与签发； (4) 提供数字时间戳服务； (5) 负责使用者密码的产生与保管； (6) 对交易纠纷提供证明资料等。,12.3 防止黑客入侵,12.3.1 黑客的基本概念 黑客(Hacker)，源于英语动词Hack，意为“劈、砍”，引申为“辟出、开辟”；进一步的意思是“干了一件非常漂亮的工作”。在20世纪麻省理工学院校园俚语中,“黑客”则有“恶作剧”之意。到了6070年代，它又专用来形容独立思考却奉公守法的计算机迷。今天的黑客可分为两类。一类是骇客，他们只想引人注目，证明自己的能力，在进入网络系统后，不会去破坏系统，或者仅仅会做一些无伤大雅的恶作剧。他们追求的是从侵入行为本身获得巨大的成功的满足。另一类黑客是窃客，他们的行为带有强烈的目的性。,12.3.2 网络黑客常用的攻击手段 1. 口令攻击 2. 服务攻击 黑客所采用的服务攻击手段主要有四种： (1) 和目标主机建立大量的连接。 (2) 向远程主机发送大量的数据包 (3) 利用即时消息功能，以极快的速度用无数的消息“轰炸”某个特定用户。 (4) 利用网络软件在实现协议时的漏洞。,3. 电子邮件轰炸 用数百条消息填塞某人的E-mail信箱也是一种在线袭扰的方法。当用户受到这种叫做“电子邮件炸弹(E-mail Bomb)”的攻击后，用户就会在很短的时间内收到大量的电子邮件，这样使得用户系统的正常业务不能开展，系统功能丧失，严重时会使系统关机，甚至使整个网络瘫痪。 还有一种方法是邮件直接夹带或在附件中夹带破坏性执行程序。用户不小心点击了这类邮件或附件，就会自动启动有害程序，带来不可预测的严重后果。,4. 利用文件系统入侵 FTP(文件传输协议)是因特网上最早应用的不同系统之间交换数据的协议之一。FTP的实现依靠TCP在主机之间进行的数据传输。只要安装了FTP客户和服务程序，就可以在不同的主机(硬件和操作系统都可以不同)之间进行数据交换。如果FTP服务器上的用户权限设置不当或保密程度不好，极易造成泄密事件。 5. 计算机病毒 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,6. IP欺骗 IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击，它伪造他人的源地址，让一台计算机来扮演另一台计算机，借以达到蒙混过关的目的。IP欺骗主要包括简单的地址伪造和序列号预测两种。 12.3.3 防范黑客攻击的主要技术手段 1. 入侵检测技术 2. 防火墙技术 1) 传统防火墙 传统防火墙的类型主要有三种：包过滤、应用层网关和电路层网关。,2) 新型防火墙 TCP/IP的数据链路层一直到应用层施加全方位的控制。 新型防火墙的系统构成如图12-12所示。,图12-12 新型防火墙的系统构成,3. 物理隔离技术 物理隔离技术是近年来发展起来的防止外部黑客攻击的有效手段。物理隔离产品主要有物理隔离卡和隔离网闸。 即使黑客写了一段很高明的程序进入了内网，他也无法窃取到任何保密数据(参见图12-13)。,图12-13 物理隔离卡工作示意图,物理隔离交换机不但具有传统交换机的功能，而且增加了选择网络的能力(参见图12-14)。,图12-14 物理隔离网闸示意图,12.4 网络交易系统的安全管理制度,12.4.1 网络交易系统的安全管理制度的涵义 网络交易系统安全管理制度是用文字形式对各项安全要求所做的规定，它是保证企业网络营销取得成功的重要基础工作，是企业网络营销人员安全工作的规范和准则。企业在参与网络营销伊始，就应当形成一套完整的、适应于网络环境的安全管理制度。这些制度应当包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。,12.4.2 人员管理制度 (1) 严格网络营销人员的选拔。将经过一定时间的考察、责任心强、讲原则、守纪律、了解市场、懂得营销、具有基本网络知识的人员委派到这种岗位上。 (2) 落实工作责任制。不仅要求网络营销人员完成规定的营销任务，而且要求他们严格遵守企业的网络营销安全制度。特别是在当前企业人员流动频率较高的情况下，更要明确网络营销人员的责任，对违反网络交易安全规定的行为应坚决进行打击，对有关人员要进行及时处理。 (3) 贯彻电子商务安全运作的基本原则。,12.4.3 保密制度 电子商务涉及企业的市场、生产、财务、供应等多方面的机密，需要很好地划分信息的安全级别，确定安全防范重点，提出相应的保密措施。信息的安全级别一般可分为三级： (1) 绝密级。如公司经营状况报告，订/出货价格，公司的发展规划等。此部分网址、密码不在因特网络上公开，只限于公司高层人员掌握。 (2) 机密级。如公司的日常管理情况、会议通知等，此部分网址、密码不在因特网络上公开，只限于公司中层以上人员使用。 (3) 秘密级。,12.4.4 跟踪、审计、稽核制度 跟踪制度要求企业建立网络交易系统日志机制，用来记录系统运行的全过程。系统日志文件是自动生成的，内容包括操作日期、操作方式、登录次数、运行时间、交易内容等。它对于系统的运行监督、维护分析、故障恢复，对于防止案件的发生或在发生案件后为侦破提供监督数据，都可以起到非常重要的作用。 12.4.5 网络系统的日常维护制度 1. 硬件的日常管理和维护 1) 网络设备 (1)可管设备 (2) 不可管设备。,2) 服务器和客户机 3) 通信线路 2. 软件的日常管理和维护 1) 支撑软件 对于操作系统，一般需要进行以下的维护工作： (1) 定期清理日志文件、临时文件； (2) 定期整理文件系统； (3) 监测服务器上的活动状态和用户注册数； (4) 处理运行中的死机情况等。,2) 应用软件 3. 数据备份制度 12.4.6 用户管理 广域网上一般都有几个至十几个应用系统，每个应用系统都设置了若干角色，用户管理的任务就是增加/删除用户、增加/修改用户组号。例如，要增加一个用户，须进行如下工作(以UNIX为例)： (1) 在用户使用的客户机上增加用户并分配组号； (2) 在用户使用的服务器数据库上增加用户并分配组号； (3) 分配该用户的广域网访问权限。,12.4.7 病毒防范制度 1. 安装防病毒软件 2. 认真执行病毒定期清理制度 3. 控制权限 12.4.8 应急措施 目前运用的数据恢复技术主要是瞬时复制技术、远程磁盘镜像技术和数据库恢复技术。 1) 瞬时复制技术 2) 远程磁盘镜像技术 3) 数据库恢复技术,12.5 电子商务交易安全的法律保障,12.5.1 电子合同法律制度 1. 电子合同及其书面形式 合同，亦称契约。根据我国民法通则第85条的规定，“合同是当事人之间设立、变更、终止民事关系的协议。依法成立的合同，受法律保护。”合同是当事人在地位平等基础上自愿协商产生的，它反映了双方或多方意思表示一致的法律行为。现阶段，合同已经成为保障市场经济正常运行的重要手段。,这种方法具有以下特点： (1) 电子数据的易消失性。 (2) 电子数据作为证据的局限性。 (3) 电子数据的易改动性。 2. 电子合同的订立 1) 当事人所在地 2) 要约与邀请要约 3) 接受要约 4) 发出和收到,参照联合国销售公约和电子商务示范法，电子合同收到和发出的时间与地点应符合以下规定： (1) 除非当事人另有约定，数据电文的发出时间以其进入发端人或代表发端人发送数据电文的人控制范围之外的某一信息系统的时间为准。 (2) 除非当事人另有约定，收件人为接收数据电文指定了某一信息系统的，以数据电文进入该指定信息系统的时间为收到时间； (3) 除非发端人和收件人另有约定，数据电文以发端人设有营业地的地点视为其发出地点，以收件人设有营业地的地点视为其收到地点。,5) 自动交易 合同无法律效力，并且不可执行： (1) 该自动计算机系统未提供该自然人预防或者纠正错误的机会的； (2) 该自然人在发现错误后尽实际可能立即将该错误通知对方并指出自己在数据电文中造成错误的； (3) 该自然人采取合理步骤，包括遵照对方指示采取步骤退还因错误而可能接受到的任何货物或服务，或者根据指示销毁这种货物或服务的； (4) 该自然人没有获得可能从对方收受到的任何货物或服务产生的任何重大利益和价值或从中受益的。,6) 形式要求 7) 拟由当事人提供的一般资料 12.5.2 电子签字法律制度 1. 电子签字(Electronic signature)的概念 2. 电子签字的功能 以纸张为基础的传统签字主要是为了履行下述功能： (1) 确定一个人的身份； (2) 肯定是该人自己的签字； (3) 使该人与文件内容发生关系。,3. 电子签字中当事各方的基本行为规范 在证书中，提供商应提供基本资料，使依赖方能够鉴定供应商的身份： (1) 证书中所指明的人在签字时拥有对签字装置的控制权； (2) 在证书签发之日或之前签字装置运作正常。 在与依赖方的交往中，证书服务提供商还应提供关于下列方面的附加信息： (1) 用以鉴别签字人的方法； (2) 对签字装置或证书的可能用途或使用金额上的任何限制；,(3) 签字装置的运作状况； (4) 测验服务供应商责任范围或程度的任何限制； (5) 是否存在签字人发出关于签字装置已经失密的通知的途径； (6) 是否提供及时的撤销服务。 4. 符合电子签字的法律要求 可靠的电子签字应符合下列条件： (1) 签字生成数据在其使用的范围内与签字人而不是还与其他任何人相关联；,(2) 签字生成数据在签字时处于签字人而不是处于其他任何人的控制之中； (3) 凡在签字后对电子签字的任何篡改均可被觉察； (4) 如果签字的法律要求目的是对签字涉及的信息的完整性提供保证，则凡在签字后对该信息的任何篡改均可被觉察。 5. 我国法律对电子签字法律地位的态度 12.5.3 我国电子商务交易安全的法律保护 1. 我国涉及交易安全的法律法规,我国现行涉及交易安全的法律法规主要有四类： (1) 综合性法律。主要是民法通则和刑法中有关保护交易安全的条文。 (2) 规范交易主体的有关法律，如公司法、国有企业法、集体企业法、合伙企业法、私营企业法、外资企业法等。 (3) 规范交易行为的有关法律。包括经济合同法、产品质量法、财产保险法、价格法、消费者权益保护法、广告法、反不正当竞争法等。 (4) 监督交易行为的有关法律，如会计法、审计法、票据法、银行法等。,2. 我国涉及计算机安全的法律法规 我国的计算机安全立法工作开始于20世纪80年代。 1991年5月24日，国务院第八十三次常委会会议通过了计算机软件保护条例 1996年3月，国家新闻出版署发布了电子出版物暂行规定，2002年6月，国家新闻出版署与信息产业部又联合发布了因特网出版管理暂行规定，文化部于2002年5月发布了关于加强网络文化市场管理的通知。 3. 我国保护计算机网络安全的法律法规 1) 加强国际因特网出入信道的管理,2) 市场准入制度 中华人民共和国计算机网络国际联网管理暂行规定规定了从事国际因特网经营活动和从事非经营活动的接入单位必须具备的条件： (1) 依法设立的企业法人或者事业单位； (2) 具备相应的计算机信息网络、装备以及相应的技术人员和管理人员； (3) 具备健全的安全保密管理制度和技术保护措施； (4) 符合法律和国务院规定的其他条件。,3) 安全责任 12.5.4 我国电子商务立法的若干基本问题 1. 电子商务立法形式的选择 1) 电子商务法的地位 2) 电子商务立法途径 2. 电子商务立法目的 1) 为电子商务的健康、快速发展创造一个良好的法律环境 2) 弥补现有法律的缺陷和不足 3) 鼓励利用现代信息技术促进交易活动,3. 电子商务立法指导思想与原则 1) 与联合国电子商务示范法保持一致 2) 不偏重任何技术 3) 依赖“功能等同”方法 4) 跟踪计算机技术的最新发展 4. 电子商务立法范围 1) 电子商务法的调整对象 2) 电子商务法所涉及的技术范围 3) 电子商务法所涉及的商务范围 5. 电子商务立法框架,1) 第一部分，总则 第一章，一般条款。 第二章，对数据电文适用法律要求。 第三章，数据电文的形成与传递。 第四章，电子支付。 第五章，认证机构。 第六章，网络服务商。 第七章，政府作用。 2) 第二部分，电子商务的特定领域,第八章，网络零售业。包括网络零售业的范围、市场准入制度、网络零售规范等。 第九章，网络广告业。包括网络广告的定义、活动主体、行为准则、网络广告审查等。 第十章，知识产权贸易。包括网络环境下的版权、专利、商标和技术成果交易等。 第十一章，货物运输,