电子商务安全管理课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第二章 电子商务管理,【教学授课学时数】,学时,【教学目标与要求】,了解电子商务安全标准与相关组织；,掌握我国电子商务安全管理机构及原理；,掌握电子商务安全管理制度；,我国电子商务安全的相关法律法规。,【教学重点与难点】,电子商务安全管理制度的内容和国际电子商务立法的基本 原则和国内的立法原则。,第1节 安全标准与组织管理,电子商务的安全是建立在信息系统互联、互通、互操作意义上的安全，因此需要技术标准来规范系统的建设和使用。,（一）制定安全标准的组织,1.国际标准化组织,（ISOInternational Standardization Organization）,始建于1946年，是一个自发的非条约性组织，其成员是参加国的指定标准化机构，如ISO的美国成员就是美国国家标准研究所ANSI（The American National Standards Institute ）。,ISO负责制定广泛的技术标准，为世界各国的技术共享和技术质量保证起着导向和把关的作用。,ISO的目的是促进国际标准化和相关活动的开展，以便于商品和服务的国际交换，并以发展知识、科技和经济活动领域的合作作为己任，现已发布了覆盖领域极为广泛的13000多个国家标准（,）,ISO对信息系统的安全体系结构制定了开放系统互联,（OSIOpen System Interconnection )基本参考模型（ISO7489）。该模型提供了下述五种安全服务：,验证服务，包括对等实体和数据源验证；,访问控制服务；,数据保密服务；,数据完整性服务；,不可否认服务。,为了实施上述安全服务功能，ISO7498-2提供了下列安全机制：,加密机制；,数字签名机制；,访问控制机制；,数据完整性机制；,验证机制；,通信业务填充机制；,路由控制机制；,公证机制。,为了支持系统要求的不同安全级别，ISO7498-2还提供了如下五种机制：,可信功能；,安全标记；,事件检测；,安全审计跟踪；,安全恢复。,2.国际电报和电话咨询委员会（CCITT）,国际电报和电话咨询委员会,（CCITT-Consultative Commit of International Telegraph and Telephone)是一个联合条约组织，属于国际电信联盟ITU，由主要成员国的邮政、电报和电话当局组成，如美国在这一委员会的成员是美国国务院。CCITT主要从事涉及通信领域的接口通信协议的制定工作，并与ISO密切合作进行国际通信的标准工作。CCITT对国际通信中所使用的各种通信设备及规程的标准化提出了一系列的建议，其在数据通信领域的工作主要体现于V系列和X系列的建议中，其中在X.400和X.500中对信息安全问题有一系列的表述。,CCITT标准在1993年以后改称ITU标准。（ ),3.国际信息处理联合会第十一技术委员会,（IFIP TC 11 ）,International Federation for Information Processing,该组织是在国际上有重要影响的有关信息系统安全的国际组织。我国公安部代表我国参加该组织的活动，每年举行一次计算机安全的国际研讨会。该组织的机构组成如下：,WG 11.1 安全管理工作组；,WG 11.2 办公自动化安全工作组；,WG 11.3 数据库安全工作组；,WG 11.4 密码工作组；,WG 11.5 系统完整性与控件工作组；,WG 11.6 拟构成计算机事务处理工作组；,WG 11.7 计算机安全法律工作组；,WG 11.8计算机安全教育工作组。,（ ),4. 电气和电子工程师学会（IEEE）,电气和电子工程师学会（IEEEInstitute of Electrical Engineers) 是一个由电气工程师组成的世界上最大的专业学会，拥有近300，000成员，划分成许多部门。1980年2月，IEEE计算机学会专门建立了一个委员会负责制定有关网络的协议标准，其中有：,802.1：高层接口；,802.2：逻辑链路控制；,802.3：CSMA/CD网；,802.4：令牌总线网；,802.5：令牌环网；,802.6：城域网；,802.7：宽带技术咨询组；,802.8：光纤技术咨询组；,802.9：数据和话间综合网络。,近年来，IEEE还关注了公开密钥密码的标准化工作，着手制定了有关的标准P 1363，其中包括了RSA公开密钥密码、椭圆曲线公开密钥密码以及密钥交换等方面的内容。（ ),5.美国国家标准局与美国商业部技术标准研究所,美国国家标准局（NBSNational Bureau of Standards),与,美国商业部国家技术标准研究所（NISTNational Institute of Standards Technology),也是致力于信息安全标准制定的组织。,美国国家标准局是属于美国商业部的一个机构（现在其工作改由NIST进行），负责发布销售给美国联邦政府的设备的信息处理标准，其涉及的领域很宽，是ISO 和CCITT的代表。,美国商业部所属的国家技术标准研究所在联邦政府中承担的责任是建立技术、物理及行政管理的标准，制定保证联邦计算机系统高效低耗地运行和保证敏感信息安全规范。它与美国国家安全局（NSA）紧密合作，在NSA的指导监督下，制定计算机信息系统技术安全标准。,NIST的工作范围很广，是当前信息安全技术标准领域中最具影响力的标准化机构。其制定的信息安全规范和标准有很多，主要涉及下述方面：,访问控制技术和认证技术；,评价和保障；,密码；,电子商务；,一般计算机计算；,网络安全；,风险管理；,电讯；,联邦信息处理标准。,早在20世纪70年代，NIST就对,自动数据处理（ADP Automated Data Processing ）,的物理安全和风险管理提供了指南，1974年为美国实施隐私法指定了指南。,NIST在早期最具影响的工作之一，就是制定和公布了美国国家加密标准DES（data encryption standard ) ,后来又制定了DES的工作模式，以及使用EES在物理层进行保密数据通信的互操作性和保密性的要求等。DES在美国银行家协会和国家标准化组织的参与下得到了广泛的社会应用，成为密码史上的一个里程碑，至今影响全球。,（ ),6.美国国家标准协会（ANSI）,(American National Standards Institute),美国国家标准协会是由制定标准和使用标准的组织联合组成的非盈利非政府部门形式的民办机构。,但是不制定标准，标准是由其委托其他团体来制定的。,( ),（二）因特网标准与组织,1.因特网协会（ISOC Internet Society ）,是一个由来自180多个国家的150多个团体会员和10000多名个人会员组成的组织。,因特网协会声称其成立的 宗旨是要为因特网标准的设置提供支持，为,IAB（Internet Architecture Board）,和,IETF（The Internet Engineering Task Force）,提供法律上的保障。,在因特网协会中，负责协调因特网的设计、工程和管理工作的是因特网体系机构工作委员会（IAB）。,从制定规范到成为因特网会员，在这一发展过程中要经历一系列逐渐成熟的阶段，这一过程被称为因特网标准的制定过程。因特网标准的制定过程有三个公认的发展阶段，分别是：,提议阶段。,这是某个规范刚刚进入标准的制定过程的阶段。通常被提议的标准应该是比较稳定的，已经解决了设计上的问题，相信能被人们很好地理解，并且已经受到了因特网社会的认真关注，引起了因特网社会的兴趣，被认为是有价值的。一个规范作为提议标准的时间至少是6个月。,草案阶段。,这是当某个规范至少被应用于两个独立的互操作的实施项目中，并且取得了一定运作经验的阶段。草案标准无论是在其语义上还是在作为开发某个实施项目的基础上的，都必须能为人们很好地理解，而且相当稳定。一个标准作为草案标准的时间至少是4个月。,正式标准阶段。,这是一个规范进入到了技术成熟的高级阶段，而且通常人们相信，由该规范指定的协议或服务能给因特网社会带来极大的益处。,任何人都可以直接跟踪因特网标准的开发过程，并且任何人都可以方便地通过电子邮件向标准的制定过程提出自己的建议。,所有正处于制定过程中的规范都公布在因特网请求评议（RFC）的文件系列中。人们所熟悉的RFC有：,RFC791IP协议；,RFC793TCP协议；,RFC822SMTP协议；,RFC2068HTTP协议。,有关因特网RFC的信息可以在IETF的网站上查到。,（ ),2.因特网安全运作指导方针,为了电子商务的安全，我们必须要保护因特网的安全。RFC1281即因特网安全运作指导方针作为一份经久不衰的出版物，为人们如何在因特网社会中的协调努力实现一个安全的环境提供了指导。该文件规定，用户、服务商以及商品经销商具有下列相应责任：,（1）,用户,有责任了解和遵守其所使用的系统（计算 机系统网络系统）的安全政策。用户应 该对自己的行为负责任。,（2）,用户,有责任采取切实可行的安全机制和安全程序来保护其所拥有的数据，用户还有责任帮助保护其所使用的系统的安全。,（3）,计算机与网络服务提供商,有责任维护其所经营运作系统的安全，他们还有责任将其安全政策以及其政策的变动情况告知用户。,（4）,产品经销商和系统开发商,有责任提供可靠的具有一定安全控制功能的系统。,（5）,用户、服务提供商以及硬件经销商,有责任为保障安全而相互合作。,（6）有关因特网安全协议方面的技术改进应该寻求在一种可持续的基础上进行，同时，在因特网上的新协议和软件产品的设计与开发过程中，应该考虑安全技术人员的参与。,3.我国的信息安全标准化工作,我国是国际标准化组织的成员国。从20世纪80年代中期开始，我国自主制定和采取了一批相应的信息安全标准，对我国的信息安全起到了重要的指导作用。,但是，我们应该承认，标准的制定需要较为广泛的应用经验和较为深入的研究背景。由于这些方面的不足，所以我国信息安全标准化工作与国际已有的工作相比，覆盖面还不够大，对宏观和微观的指导作用也有待进一步提高。,我国已发布的有关信息安全的部分国家标准如下：,GB 4943-1995,，信息技术设备（包括电气事务设备）的安全（IEC950）。,GB 9361-1988,，计算机场地安全要求。,GB/T 9387.2-1995, 信息处理系统开放系统互联基本参考模型第2部分安全体系结构(ISO 7498-2:1989),GB/T 15227-1994, 信息处理64位块加密算法操作方式(ISO8372:1987), ,第 2 节 安全协调机构与政策,1.国际信息安全协调机构,信息安全管理离不开有组织的管理与协调活动。目前在国际上比较有名的按去协调机构是计算机应急响应小组。,1988年11月底，在发生“莫里斯病毒事件”的背景下，卡内基梅农大学的软件工程研究所成立了计算机应急响应小组（CERT/CC）。CERT/CC是一个以协调Internet安全问题解决方案为目的的国际性组织。该组织的作用是解决，Internet 上存在的安全问题，调查Internet的脆弱性和 发布信息。,CERT/CC的工作分为三类：,提供问题解决方案。,CERT/CC通过热线了解网络安全问题，通过建立并保持与受影响者和有关专家的对话来促使问题得到解决。,在向Internet用户收集脆弱性问题报告并对其进行确认的基础上，建立脆弱问题数据库以保证成员在解决问题的过程中尽快获得必要的信息。,进行信息反馈。,CERT/CC曾将进行调查分析作为自己的服务内容之一，绝大多数调查是为了获得必要的信息。但是，由于这些调查多由软件或硬件销售商进行，与网络的安全问题和脆弱性并无关系。所以这项服务将逐步被淘汰。,CERT/CC将其成员划分为三个组，分别是：运行组、教育与培训、研究与发展组。三个组的工作是：,运行组是CERT/CC与网络安全惟一的联系点，负责提供针对安全问题的24小时在线技术帮助，进行脆弱性咨询以及联系销售业务等事项。,教育与培训组负责对用户进行培训以及促进网络安全性的提高。,研究与发展组负责鼓励可信系统的发展。,由于Internet的广泛使用，分散于不同的国家的来自军界、政府机构和公司的诸多用户都会遇到网络安全问题。因此，自CERT/CC成立后，很多政府、商业和学术机构都组建了计算机信息安全问题小组。不过，CERT/CC始终是这一方面的规模最大，最著权威的组织。,2.我国的信息安全管理机构及原则,国务院信息化工作领导小组对因特网安全中的重大问题进行管理协调、国务院信息化领导小组办公室作为因特网安全工作的办事机构，负责组织、协调和制定有关因特网安全的政策、法规和标准，并对执行情况进行检查监督。,政府有关信息安全的其他管理和执法部门，如公安部、国家安全部、国家密码管理委员会、国家保密局、国务院新闻办公室等部门各依其职能和权限进行管理和执法。,对于网络实行分类分级管理。网络类别分为：,与国际上因特网网络连接的国际网络（Internet）,与国际专业计算机信息网络连接的国家网络（如国际金融计算机网络、国际气象计算机网络等）；,通过专线与国际联网的企业内部网络。,网络级别划分为因特网、接入网络、用户网络（个人、法人、其他组织）三级。,我国信息安全管理的基本方针是：兴利除弊，集中监控，分级管理，保障国家安全。对于密码的管理实行“统一领导、集中管理、定点研制、专控经营、满足使用”的发展和管理方针。,法律政策原则：,第一个层次虽然没有直接描述信息安全，但是从国家宪法和其他部门法的高度对个人、法人和其他组织的有关涉及国家安全的信息的活动进行规范，如宪法、国家安全法、国家保密法等。,第二个层次是直接约束计算机安全、因特网安全的法规，如中华人民共和国计算机信息系统安全保护条例、中华人民共和国信息网络国际联网管理暂行规定、中华人民共和国计算机信息网络国际因特网安全保护管理办法等。,第三个层次是对信息内容、信息安全技术、信息安全产品的授权审批的规定，如电子出版物管理暂行规定、中国互联网域名注册暂行管理办法、计算机信息安全专用产品检测和销售许可证管理办法等。,3.机构或部门安全管理原则,规范原则；,预防原则；,立足国内原则；,选用成熟技术原则；,注重实效原则；,系统化原则 ；,均衡防护原则；,分权制衡原则；,应急原则；,灾难恢复原则。,第三节 电子商务安全管理制度,电子商务是在网上进行的交易，往往会遭受内外两方面的攻击，对于这些破坏安全性的攻击，光靠技术手段是无法完全防范的，所以建立电子商务安全管理制度尤为重要。,1.信息安全管理制度的内涵,ISO将计算机信息安全定义为：“,为处理数据系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更新和泄露。”,美国国防部于1983年公布了可信计算机系统评级标准，其基本意思是：,计算机安全是指计算机系统有能力控制给定的主体对给定的客体的存取。,在此之后，欧洲几个国家共同提出了信息技术安全评级准则，其基本意思是将计算机系统安全从三个方面来衡量，即保密性、完整性、可用性。,保密性：是指计算机系统能防止非法泄露计算机数据；,完整性：是指计算机系统能防止非法修改或删除计算机数据和程序；,可用性：是指计算机能防止非法独占计算机资源和数据，当用户需要使用计算机资源时能有资源可用。,计算机信息安全的基本要求有如下五条：,认同用户的鉴别。,要求用户在使用计算机以前首先向计算机输入自己的用户名和身份鉴别数据（如口令、识别卡、指纹等），以便计算机系统确认该用户的真实身份，防止冒名顶替和非法用机。,控制存取。,当用户已被计算机接受并注册登陆上机后，要求调用程序或数据时，计算机核对该用户的权限，根据用户对该项资源被授予的权限控制其对资源的存取。,保障完整性。,保护计算机体系的配置参数不被非法更改，保护计算机数据不被非法修改和删除。如果一项数据有多份拷贝，当用户在一处修改后，其他拷贝一同修改，以保障数据的一致性。,审计。,系统能记录用户所要求进行的操作及其相关的数据，能记录操作的结果，能判断违反安全的事件是否发生，如果发生则记录备查。审计能力的强弱对于防止计算机犯罪并获得法定证据尤其重要。,容错。,当计算机的元件突然发生故障，或计算机系统工作环境设备突然发生故障时，计算机系统能继续工作或迅速恢复。,信息安全管理制度是用文字对各项安全要求做做的规定，它是保证企业电子商务取得成功的重要基础工作，是企业人员安全工作的规范和准则。企业在开展电子商务的一开始，就应当形成一套完整的、适应网络环境的信息安全管理制度。这些制度应当包括人员管理、制度保密、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。,2.,网络系统的日常维护制度,（,1,）硬件的日常管理和维护,网络设备,服务器和客户机,通讯线路,（,2,）软件的日常管理和维护,支撑软件：,包括操作系统、数据库、开发工具及各种语言等，对于操作系统来说，一般需要进行以下维护工作：,定期清理日志文件、临时文件；,定期整理文件系统；,监测服务器上的活动状态和用户注册数；,处理运行中的死机情况等。,应用软件,应用软件的管理和维护工作主要是版本控制。为了保持个客户机上的版本一致，应设置一台安装服务器，当远程客户机应用软件需要更新时，就可以从网络上进行远程安装。,（,3,）数据备份,备份与恢复主要是利用多种介质，如磁介质、纸介质、光碟、微缩载体等，对信息系统数据进行储存、备份和恢复。这种保护措施还包括对系统设备的备份。,3.,病毒防范制度,1.,给自己的计算机安装防病毒软件,应用于网络的防病毒软件有两种：一种是单机版防病毒产品；另一种是联机版防病毒产品。前者属于事后消毒，当系统被病毒感染后才能发挥这种软件的作用，适合于个人用户，这类产品主要有,KV300,、,AV95,、瑞星等。,后者属于事前的防范，其原理是在网络端口设置一个病毒过滤器，即在系统上安装一个防病毒的网络软件，它能够在病毒入侵到系统之前，将其挡在系统外。,不打开陌生人的电子邮件,认真执行病毒定期清理制度,控制权限（属性设置、权限设置、只读等）,高度警惕网络陷阱,4.,人员管理制度,从事网上交易的人员，一方面必须具有传统市场交易的知识和经验；另一方面又必须具有相应的计算机网络知识和操作技能。,（1）严格网上交易人员 的选拔,（2）落实工作制度,（3）贯彻电子商务安全运作基本原则,双人负责原则。重要业务不要一个人单独管理，实行两个人或多人相互制约的机制。,任期有限限制。任何人不得长期担任与教育安全有关的职务。,最小权限原则。明确规定只有网络管理员才可以进行物理访问，只有网络人员才可以进行软件安装工作。,5. 保密制度,网上交易涉及企业 的市场、生产、财务、供应等多方面的机密，需要很好地划分信息的安全级别，确定安全防范重点，提出相应的保密措施。信息的安全级别一般可以分为三级：,（1）绝密级：,如公司经营状况报告、订/出货价格、公司的发展规划等。此部分网址、密码不在因特网上公开，只限于公司高层人员掌握。,（2）机密级：,如公司的日常管理情况、会议通知等。此部分网址、密码不在因特网上公开，只限于公司中层以上人员使用。,秘密级：,如公司简介、新产品介绍及定货方式等。此部分网址、密码在因特网上公开，供消费者浏览，但必须有 保护程序，防止“黑客”入侵。,保密工作的另重要内容是对密钥的管理。大量的交易必然使用大量的密钥，密钥管理必须贯穿于密钥的产生、传递和销毁的全过程。密钥需要定期更换，否则可能使“黑客”通过积累密文增加破译机会。,6. 跟踪、审计、稽核制度,跟踪制度要求企业建立网络交易系统日志机制，用来记录系统运行的全过程。系统日志文件是自动生成的，内容包括操作日期、操作方式、登陆次数、运行时间、交易内容等。它对系统的运行监督、维护分析、故障排除，对于防止案件的发生或在发生案件后为侦破提供监督数据，都可以起到非常重要的作用。,审计制度包括经常对系统日志的检查、审核，及时发现故意入侵系统行为的记录和违反系统安全功能的记录，监控和捕捉各种安全事件，保存、维护和管理系统日志。,稽核制度是指工商管理、银行、税务人员利用计算机及网络系统，借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活动的合理性、安全性，堵塞漏洞，保证电子商务交易安全，发出相应的警示或作出处理处罚的有关决定的一系列步骤及措施。,7. 应急措施制度,应急措施是指在计算机灾难事件（即紧急事件或安全事故）发生时，利用应急计划、辅助软件和应急设施，排除灾难和故障，保障计算机信息系统继续运行或紧急恢复。在启动电子商务业务时，就必须制定交易安全计划和应急方案，一旦发生意外，立即实施，以最大限度地减少损失，尽快恢复系统的正常工作。,灾难恢复包括许多工作。一方面是硬件的恢复，使计算机系统重新运转起来。另一方面是数据的恢复。一般来讲，数据的恢复更为重要，难度也更大。,目前运用的数据恢复技术主要是瞬时复制技术、远程磁盘镜像技术和数据库恢复技术。,第四节 电子商务按的法律保障,（1）国际电子商务立法原则,电子商务基本上由私营企业来主导。,电子商务应在开放、公平的竞争环境中发展。,政府干预应在需要时起到促进国际化法律环境建立、 公平分配匮乏资源的作用，而且这些干预应是透明的、少量的、重要的、有目标的、非歧视性的、平等的，技术上是中性的。,使私营企业介入或干涉入电子政策的制定。,电子商务交易应同非电子手段的税收概念相结合。,电信设施建设应使经营者在开放、公平的市场中竞争并逐步实现全球化。,保护个人私隐，对个人数据进行加密保护；商家应为消费者提供安全保障设施，并保证用户能方便实施、使用。,（2）涉及的主要法律问题,知识产权保护；,电子合同的法律地位；,电子证据的认定；,防止侵犯个人私隐；,制止利用高科技手段犯罪。,（3）国内立法遵循的指导思想,中国电子商务立法应遵循的指导原则：,鼓励和发展电子商务是中国电子商务立法的首要前提；,电子商务立法要与宪法和其他已存法律法规及我国认同的国际法律保持一致；,电子商务立法要适合我国国情。,