《电子商务安全管理》课件

第第7章章 电子商子商务安全管理安全管理精品第7章 电子商务安全管理精品17.1 安全安全标准与准与组织7.2 安全安全协调机构与政策机构与政策7.3 信息系信息系统安全保安全保护的相关的相关规定定7.4 电子商子商务安全管理制度安全管理制度7.5 电子商子商务安全的法律保障安全的法律保障目目录精品27.1 安全标准与组织目录精品2引例引例警方破警方破获国内首起国内首起 网上拍网上拍卖诈骗案案 电电子商子商子商子商务时务时代的安全代的安全代的安全代的安全问题问题涉及方方面面，涉及方方面面，涉及方方面面，涉及方方面面，我国的法律我国的法律我国的法律我国的法律领领域在域在域在域在这这些方面些方面些方面些方面还还几乎是空白。几乎是空白。几乎是空白。几乎是空白。没有法律的没有法律的没有法律的没有法律的约约束，束，束，束，电电子商子商子商子商务务的安全管理的安全管理的安全管理的安全管理难难上上上上加加加加难难。精品3引例警方破获国内首起 7.1 安全安全标准与准与组织7.1.1 7.1.1 制定安全制定安全标标准的准的组织组织7.1.2 7.1.2 因特网因特网标标准和准和组织组织7.1.3 7.1.3 我国的信息安全我国的信息安全标标准化工作准化工作精品47.1 安全标准与组织7.1.1 制定安全标准的组织精品47.1.1 制定安全标准的组织一、国一、国一、国一、国际标际标准化准化准化准化组织组织(ISO)(ISO)二、二、二、二、电电信信信信标标准化部准化部准化部准化部门门(ITUT)(ITUT)三、国三、国三、国三、国际际信息信息信息信息处处理理理理联联合会第十一技合会第十一技合会第十一技合会第十一技术术委委委委员员会会会会(IFIP TC11)(IFIP TC11)四、四、四、四、电电气和气和气和气和电电子工程子工程子工程子工程师师学会学会学会学会(IEEE)(IEEE)五、美国国家五、美国国家五、美国国家五、美国国家标标准局与美国商准局与美国商准局与美国商准局与美国商业业部国家技部国家技部国家技部国家技术标术标准研究所准研究所准研究所准研究所六、美国国家六、美国国家六、美国国家六、美国国家标标准准准准协协会会会会(ANSI)(ANSI)7.1安全安全标准与准与组织精品57.1.1 制定安全标准的组织7.1安全标准与组织精品5一、国一、国际标准化准化组织（ISO）OSIOSIOSIOSI基本参考模型提供的五种安全服基本参考模型提供的五种安全服务务：验证验证服服务务 访问访问控制服控制服务务 数据保密服数据保密服务务 数据完整性服数据完整性服务务 不可否不可否认认服服务务7.1安全安全标准与准与组织精品6一、国际标准化组织（ISO）7.1安全标准与组织精品6ISO的主页7.1安全安全标准与准与组织精品7ISO的主页7.1安全标准与组织精品7ITUT的主页7.1安全安全标准与准与组织精品8ITUT的主页7.1安全标准与组织精品8IFIP的主页7.1安全安全标准与准与组织精品9IFIP的主页7.1安全标准与组织精品9IEEE的主页7.1安全安全标准与准与组织精品10IEEE的主页7.1安全标准与组织精品10NIST的主页7.1安全安全标准与准与组织精品11NIST的主页7.1安全标准与组织精品11ANSI的主页7.1安全安全标准与准与组织精品12ANSI的主页7.1安全标准与组织精品127.1.2 7.1.2 因特网因特网标标准与准与组织组织 一、因特网体系一、因特网体系一、因特网体系一、因特网体系7.1安全安全标准与准与组织精品137.1.2 因特网标准与组织7.1安全标准与组织精品13ISOC的主页7.1安全安全标准与准与组织精品14ISOC的主页7.1安全标准与组织精品14IAB的主页7.1安全安全标准与准与组织精品15IAB的主页7.1安全标准与组织精品15IETF的主页7.1安全安全标准与准与组织精品16IETF的主页7.1安全标准与组织精品16IRTF的主页7.1安全安全标准与准与组织精品17IRTF的主页7.1安全标准与组织精品17RFC的主页7.1安全安全标准与准与组织精品18RFC的主页7.1安全标准与组织精品18 二、因特网安全运作指二、因特网安全运作指二、因特网安全运作指二、因特网安全运作指导导方方方方针针7.1安全安全标准与准与组织精品197.1安全标准与组织精品197.1.3 7.1.3 我国的信息安全我国的信息安全标标准化工作准化工作7.1安全安全标准与准与组织精品207.1.3 我国的信息安全标准化工作7.1安全标准与组织精品7.2.1 7.2.1 国国际际信息安全信息安全协调协调机构机构1988198819881988“莫里斯病毒事件莫里斯病毒事件莫里斯病毒事件莫里斯病毒事件”作用：作用：作用：作用：解决解决InternetInternet上存在的安全上存在的安全问题问题，调查调查InternetInternet的脆弱的脆弱性和性和发发布信息布信息CERT/CCCERT/CCCERT/CCCERT/CC三三三三类类工作工作工作工作：提供提供问题问题解决方案解决方案 建立脆弱建立脆弱问题问题数据数据库库 进进行信息反行信息反馈馈7.2安全安全协调机构与政策机构与政策精品217.2.1 国际信息安全协调机构7.2安全协调机构与政策精品CERT/CC的主页7.2安全安全协调机构与政策机构与政策精品22CERT/CC的主页7.2安全协调机构与政策精品227.2.2 7.2.2 我国的信息安全管理机构及原我国的信息安全管理机构及原则则一、安全管理格局一、安全管理格局一、安全管理格局一、安全管理格局 基本方基本方针针：兴兴利除弊、集中利除弊、集中监监控、分控、分级级管理、保障国家安全管理、保障国家安全 密密码码管理方管理方针针：统统一一领导领导、集中管理、定点研制、集中管理、定点研制、专专控控经营经营、满满足使用足使用 二、法律政策原二、法律政策原二、法律政策原二、法律政策原则则（三（三（三（三层层次）次）次）次）一一层层：从：从宪宪法的高度法的高度进进行行规规范范 二二层层：直接：直接约约束束计计算机安全、因特网安全的法算机安全、因特网安全的法规规 三三层层：对对信息内容、信息安全技信息内容、信息安全技术术、信息安全、信息安全产产品的授品的授权审权审批的批的规规定定 三、机构部三、机构部三、机构部三、机构部门门安全管理原安全管理原安全管理原安全管理原则则“四有四有”原原则则7.2安全安全协调机构与政策机构与政策精品237.2.2 我国的信息安全管理机构及原则7.2安全协调机构与7.3 信息系信息系统安全保安全保护的相关的相关规定定7.3.1 7.3.1 信息系信息系统统安全保安全保护护7.3.2 7.3.2 国国际联际联网管理网管理7.3.3 7.3.3 商用密商用密钥钥管理管理7.3.4 7.3.4 计计算机病毒防治算机病毒防治7.3.5 7.3.5 安全安全产产品品检测检测与与销销售售精品247.3 信息系统安全保护的相关规定7.3.1 信息系统安全保7.3信息系信息系统安全保安全保护的相关的相关规定定7.3.1 信息系统安全保护 计计算机信息系算机信息系算机信息系算机信息系统统的建的建的建的建设设和运用，和运用，和运用，和运用，应应当遵当遵当遵当遵纪纪守法守法守法守法 计计算机信息系算机信息系算机信息系算机信息系统统安全等安全等安全等安全等级级保保保保护护制度制度制度制度 计计算机机房安全管理制度算机机房安全管理制度算机机房安全管理制度算机机房安全管理制度 计计算机信息系算机信息系算机信息系算机信息系统统国国国国际联际联网网网网备备案制度案制度案制度案制度 计计算机信息媒体算机信息媒体算机信息媒体算机信息媒体进进出境申出境申出境申出境申报报制度制度制度制度 计计算机信息系算机信息系算机信息系算机信息系统统使用使用使用使用单单位安全位安全位安全位安全负责负责制度制度制度制度 计计算机案件算机案件算机案件算机案件强强行行行行报报告制度告制度告制度告制度 计计算机病毒及其有害数据的算机病毒及其有害数据的算机病毒及其有害数据的算机病毒及其有害数据的专专管制度管制度管制度管制度 计计算机信息系算机信息系算机信息系算机信息系统统安全安全安全安全专专用用用用产产品消受品消受品消受品消受许许可可可可证证制度制度制度制度精品257.3信息系统安全保护的相关规定7.3.1 信息系统安全保护7.3信息系信息系统安全保安全保护的相关的相关规定定7.3.2 国际联网管理 中中中中华华人民共和国人民共和国人民共和国人民共和国计计算机信息网算机信息网算机信息网算机信息网络络国国国国际联际联网管理网管理网管理网管理暂暂行行行行规规定定定定 中中中中华华人民共和国人民共和国人民共和国人民共和国计计算机信息网算机信息网算机信息网算机信息网络络国国国国际联际联网管理网管理网管理网管理暂暂行行行行规规定定定定实实施施施施办办法法法法 计计算机信息网算机信息网算机信息网算机信息网络络国国国国际联际联网安全保网安全保网安全保网安全保护护管理管理管理管理办办法法法法 中国公用中国公用中国公用中国公用计计算机互算机互算机互算机互联联网国网国网国网国际联际联网管理网管理网管理网管理办办法法法法 计计算机信息网算机信息网算机信息网算机信息网络络国国国国际联际联网出入口信道管理网出入口信道管理网出入口信道管理网出入口信道管理办办法法法法 计计算机信息系算机信息系算机信息系算机信息系统统国国国国际联际联网保密管理网保密管理网保密管理网保密管理规规定定定定 互互互互联联网信息服网信息服网信息服网信息服务务管理管理管理管理办办法法法法 互互互互联联网安全保网安全保网安全保网安全保护护技技技技术术措施措施措施措施规规定定定定精品267.3信息系统安全保护的相关规定7.3.2 国际联网管理精品7.3信息系信息系统安全保安全保护的相关的相关规定定7.3.3 商用密码管理7.3.4 计算机病毒防治7.3.5 安全产品检测与销售精品277.3信息系统安全保护的相关规定7.3.3 商用密码管理精品7.4 电子商子商务安全管理制度安全管理制度7.4.1 7.4.1 信息安全管理制度的内涵信息安全管理制度的内涵7.4.2 7.4.2 网网络络系系统统的日常的日常维护维护制度制度7.4.3 7.4.3 病毒防范制度病毒防范制度7.4.4 7.4.4 人人员员管理制度管理制度7.4.5 7.4.5 保密制度保密制度7.4.6 7.4.6 跟踪、跟踪、审计审计、稽核制度、稽核制度7.4.7 7.4.7 应应急措施制度急措施制度小目小目录精品287.4 电子商务安全管理制度7.4.1 信息安全管理制度的内7.4电子商子商务安全管理制度安全管理制度7.4.1 7.4.1 信息安全管理制度的内涵信息安全管理制度的内涵 一、一、一、一、计计算机信息安全的定算机信息安全的定算机信息安全的定算机信息安全的定义义 为为数据数据处处理系理系统统建立和采取的技建立和采取的技术术和管理的安全保和管理的安全保护护，保，保护护计计算机硬件、算机硬件、软软件和数据不因偶然和件和数据不因偶然和恶恶意的原因而遭到破坏、意的原因而遭到破坏、更改和泄露更改和泄露ISOISO 计计算机系算机系统统有能力控制有能力控制给给定的主体定的主体对给对给定的客体的存取定的客体的存取美国防部美国防部可信可信计计算机系算机系统评级统评级准准则则 从保密性、完整性、可用性来衡量从保密性、完整性、可用性来衡量欧欧信息技信息技术术安全安全评评级级准准则则精品297.4电子商务安全管理制度7.4.1 信息安全管理制度的内涵7.4.1 7.4.1 信息安全管理制度的内涵信息安全管理制度的内涵二、二、二、二、计计算机信息安全的基本要求（算机信息安全的基本要求（算机信息安全的基本要求（算机信息安全的基本要求（5 5 5 5条）条）条）条）认认同用同用户户和和鉴别鉴别 控制存取控制存取 保障完整性保障完整性 审计审计 容容错错 三、三、三、三、信息安全管理制度信息安全管理制度信息安全管理制度信息安全管理制度 指用文字形式指用文字形式对对各各项项安全要求所作的安全要求所作的规规定，它是保定，它是保证证企企业电业电子商子商务务取得成功的重要基取得成功的重要基础础工作，是企工作，是企业业人人员员安全工作德安全工作德规规范和准范和准则则。7.4电子商子商务安全管理制度安全管理制度精品307.4.1 信息安全管理制度的内涵7.4电子商务安全管理制度7.4.2 7.4.2 网网络络系系统统的日常的日常维护维护制度制度硬件的日常管理和硬件的日常管理和硬件的日常管理和硬件的日常管理和维护维护 网网络设备络设备 服服务务器和客器和客户户机机 通信通信线线路路软软件的日常管理和件的日常管理和件的日常管理和件的日常管理和维护维护 支撑支撑软软件件 应应用用软软件件数据数据数据数据备备份份份份7.4电子商子商务安全管理制度安全管理制度精品317.4.2 网络系统的日常维护制度7.4电子商务安全管理制度7.4.3 7.4.3 病毒防范制度病毒防范制度给给自己的自己的自己的自己的计计算机安装防病毒算机安装防病毒算机安装防病毒算机安装防病毒软软件件件件不打开陌生地址的不打开陌生地址的不打开陌生地址的不打开陌生地址的电电子子子子邮邮件件件件认认真真真真执执行病毒定期清理制度行病毒定期清理制度行病毒定期清理制度行病毒定期清理制度控制控制控制控制权权限限限限高度警惕网高度警惕网高度警惕网高度警惕网络络陷阱陷阱陷阱陷阱7.4电子商子商务安全管理制度安全管理制度精品327.4.3 病毒防范制度7.4电子商务安全管理制度精品327.4.4 7.4.4 人人员员管理制度管理制度严严格格格格选选拔网上交易人拔网上交易人拔网上交易人拔网上交易人员员落落落落实实工作工作工作工作责责任制任制任制任制贯彻电贯彻电子商子商子商子商务务安全运作基本原安全运作基本原安全运作基本原安全运作基本原则则7.4电子商子商务安全管理制度安全管理制度精品337.4.4 人员管理制度7.4电子商务安全管理制度精品337.4.5 7.4.5 保密制度保密制度绝绝密密密密级级机密机密机密机密级级秘密秘密秘密秘密级级7.4电子商子商务安全管理制度安全管理制度精品347.4.5 保密制度7.4电子商务安全管理制度精品34 7.4.6 7.4.6 跟踪、跟踪、审计审计、稽核制度、稽核制度跟踪制度跟踪制度跟踪制度跟踪制度要求企要求企要求企要求企业业建立网建立网建立网建立网络络交易系交易系交易系交易系统统日志机制，用来日志机制，用来日志机制，用来日志机制，用来记录记录系系系系统统运行的全运行的全运行的全运行的全过过程。程。程。程。审计审计制度制度制度制度包括：包括：包括：包括：经经常常常常对对系系系系统统日志的日志的日志的日志的检查检查、审审核，及核，及核，及核，及时发现时发现系系系系统统故意入侵行故意入侵行故意入侵行故意入侵行为为的的的的记录记录和和和和对对系系系系统统安全功能安全功能安全功能安全功能违违反的反的反的反的记录记录，监监控和捕控和捕控和捕控和捕捉各种安全事件，保存、捉各种安全事件，保存、捉各种安全事件，保存、捉各种安全事件，保存、维护维护和管理系和管理系和管理系和管理系统统日志。日志。日志。日志。稽核制度稽核制度稽核制度稽核制度是指工商管理、是指工商管理、是指工商管理、是指工商管理、银银行、税行、税行、税行、税务务人人人人员员利用利用利用利用计计算机及网算机及网算机及网算机及网络络系系系系统统，借助于稽核，借助于稽核，借助于稽核，借助于稽核业务应业务应用用用用软软件件件件调阅调阅、查询查询、审审核、判断核、判断核、判断核、判断辖辖区内区内区内区内各各各各电电子商子商子商子商务务参与参与参与参与单单位位位位业务经营业务经营活活活活动动的合理性、安全性，堵塞漏的合理性、安全性，堵塞漏的合理性、安全性，堵塞漏的合理性、安全性，堵塞漏洞，保洞，保洞，保洞，保证电证电子商子商子商子商务务交易安全，交易安全，交易安全，交易安全，发发出相出相出相出相应应的警示或做出的警示或做出的警示或做出的警示或做出处处理理理理处罚处罚的有关决定的一系列步的有关决定的一系列步的有关决定的一系列步的有关决定的一系列步骤骤和措施。和措施。和措施。和措施。7.4电子商子商务安全管理制度安全管理制度精品357.4.6 跟踪、审计、稽核制度7.4电子商务安全管理制度精7.4.7 7.4.7 应应急措施制度急措施制度应应急措施急措施急措施急措施 指在指在计计算机算机灾灾灾灾难难事件事件事件事件（即（即紧紧急事件或安全事故）急事件或安全事故）发发生生时时，利，利用用应应急急计计划、划、辅辅助助软软件和件和应应急急设设施，排除灾施，排除灾难难和故障，保障和故障，保障计计算机信息系算机信息系统继续统继续运行或运行或紧紧急恢复。急恢复。7.4电子商子商务安全管理制度安全管理制度精品367.4.7 应急措施制度7.4电子商务安全管理制度精品367.5电子商子商务安全的法律保障安全的法律保障7.5.17.5.1国国际电际电子商子商务务立法立法现现状状7.5.27.5.2我国我国电电子商子商务务立法立法现现状状7.5.37.5.3国内与国内与电电子商子商务务相关的法律法相关的法律法规规政策政策7.5.47.5.4电电子子签签名法律名法律小目小目录精品377.5电子商务安全的法律保障7.5.1国际电子商务立法现状小7.5.17.5.1国国际电际电子商子商务务立法立法现现状状 一、国一、国一、国一、国际电际电子商子商子商子商务务立法立法立法立法进进展展展展 二、国二、国二、国二、国际电际电子商子商子商子商务务立法原立法原立法原立法原则则 电电子商子商务务基本上基本上应应由私由私营营企企业业来主来主导导 电电子商子商务应务应在开放、公平的在开放、公平的竞竞争争环环境中境中发发展展 政府干政府干预应预应在需要在需要时时起到促起到促进进国国际际化法律化法律环环境建立、公平分配境建立、公平分配匮匮乏乏资资源的作用，而且源的作用，而且这这种干种干预应预应是透明的、少量的、重要的、有目是透明的、少量的、重要的、有目标标的、非歧的、非歧视视性的、平等的，技性的、平等的，技术术上是中性的上是中性的 使私使私营营企企业业介入或涉入介入或涉入电电子商子商务务政策的制定政策的制定 电电子商子商务务交易交易应应使用非使用非电电子手段的税收概念相子手段的税收概念相结结合合 电电信信设设施建施建设应设应是是经营经营者在开放、公平的市者在开放、公平的市场场中中竞竞争并逐步争并逐步实现实现全全球化球化 保保护护个人个人隐隐私，私，对对个人数据个人数据进进行加密保行加密保护护；商家；商家应为应为消消费费者提供安者提供安全保障全保障设设施，并保施，并保证证用用户户能方便能方便实实施、使用施、使用7.5电子商子商务安全的法律保障安全的法律保障精品387.5.1国际电子商务立法现状7.5电子商务安全的法律保障精7.5.27.5.2我国我国电电子商子商务务立法立法现现状状 一、我国一、我国一、我国一、我国电电子商子商子商子商务务立法的相关背景立法的相关背景立法的相关背景立法的相关背景 二、涉及的主要法律二、涉及的主要法律二、涉及的主要法律二、涉及的主要法律问题问题 三、立法三、立法三、立法三、立法应应遵循的指遵循的指遵循的指遵循的指导导原原原原则则 国内立法指国内立法指导导原原则则 鼓励和鼓励和发发展展电电子商子商务务是中国是中国电电子商子商务务立法的首要前提立法的首要前提 电电子商子商务务立法要与立法要与宪宪法和其他已存在的法律法法和其他已存在的法律法规规及我国及我国认认同的同的国国际际法保持一致法保持一致 电电子商子商务务立法要适合中国国情立法要适合中国国情 中国中国发发展展电电子商子商务务的指的指导导意意见见初稿初稿内容包括：内容包括：电电子子萨萨胡胡的市的市场场准入和后勤准入和后勤问题问题、电电子商子商务务法律框架、金融框架等。法律框架、金融框架等。7.5电子商子商务安全的法律保障安全的法律保障精品397.5.2我国电子商务立法现状7.5电子商务安全的法律保障精7.5.37.5.3国内与国内与电电子商子商务务相关的法律法相关的法律法规规政策政策 中中华华人民共和国人民共和国电电子子签签名法名法是我国第一部真正意是我国第一部真正意义义上的上的电电子商子商务务法。法。7.5电子商子商务安全的法律保障安全的法律保障精品407.5.3国内与电子商务相关的法律法规政策7.5电子商务安全7.5.47.5.4电电子子签签名法律名法律电电子子子子签签名法的主要特点名法的主要特点名法的主要特点名法的主要特点电电子子子子签签名国名国名国名国际际立法状况立法状况立法状况立法状况我国的我国的我国的我国的电电子子子子签签名法名法名法名法7.5电子商子商务安全的法律保障安全的法律保障精品417.5.4电子签名法律7.5电子商务安全的法律保障精品41Thanks!精品Thanks!精品42