《电子商务安全管理》PPT课件.ppt

第7章电子商务安全管理 2 7 1安全标准与组织7 2安全协调机构与政策7 3信息系统安全保护的相关规定7 4电子商务安全管理制度7 5电子商务安全的法律保障 目录 3 引例 警方破获国内首起网上拍卖诈骗案 电子商务时代的安全问题涉及方方面面 我国的法律领域在这些方面还几乎是空白 没有法律的约束 电子商务的安全管理难上加难 4 7 1安全标准与组织 7 1 1制定安全标准的组织7 1 2因特网标准和组织7 1 3我国的信息安全标准化工作 5 7 1 1制定安全标准的组织一 国际标准化组织 ISO 二 电信标准化部门 ITU T 三 国际信息处理联合会第十一技术委员会 IFIPTC11 四 电气和电子工程师学会 IEEE 五 美国国家标准局与美国商业部国家技术标准研究所六 美国国家标准协会 ANSI 7 1安全标准与组织 6 一 国际标准化组织 ISO OSI基本参考模型提供的五种安全服务 验证服务访问控制服务数据保密服务数据完整性服务不可否认服务 7 1安全标准与组织 7 ISO的主页 7 1安全标准与组织 8 ITU T的主页 7 1安全标准与组织 9 IFIP的主页 7 1安全标准与组织 10 IEEE的主页 7 1安全标准与组织 11 NIST的主页 7 1安全标准与组织 12 ANSI的主页 7 1安全标准与组织 13 7 1 2因特网标准与组织一 因特网体系 7 1安全标准与组织 14 ISOC的主页 7 1安全标准与组织 15 IAB的主页 7 1安全标准与组织 16 IETF的主页 7 1安全标准与组织 17 IRTF的主页 7 1安全标准与组织 18 RFC的主页 7 1安全标准与组织 19 二 因特网安全运作指导方针 7 1安全标准与组织 20 7 1 3我国的信息安全标准化工作 7 1安全标准与组织 21 7 2 1国际信息安全协调机构1988 莫里斯病毒事件 作用 解决Internet上存在的安全问题 调查Internet的脆弱性和发布信息CERT CC三类工作 提供问题解决方案建立脆弱问题数据库进行信息反馈 7 2安全协调机构与政策 22 CERT CC的主页 7 2安全协调机构与政策 23 7 2 2我国的信息安全管理机构及原则一 安全管理格局基本方针 兴利除弊 集中监控 分级管理 保障国家安全密码管理方针 统一领导 集中管理 定点研制 专控经营 满足使用二 法律政策原则 三层次 一层 从宪法的高度进行规范二层 直接约束计算机安全 因特网安全的法规三层 对信息内容 信息安全技术 信息安全产品的授权审批的规定三 机构部门安全管理原则 四有 原则 7 2安全协调机构与政策 24 7 3信息系统安全保护的相关规定 7 3 1信息系统安全保护7 3 2国际联网管理7 3 3商用密钥管理7 3 4计算机病毒防治7 3 5安全产品检测与销售 25 7 3信息系统安全保护的相关规定 7 3 1信息系统安全保护计算机信息系统的建设和运用 应当遵纪守法计算机信息系统安全等级保护制度计算机机房安全管理制度计算机信息系统国际联网备案制度计算机信息媒体进出境申报制度计算机信息系统使用单位安全负责制度计算机案件强行报告制度计算机病毒及其有害数据的专管制度计算机信息系统安全专用产品消受许可证制度 26 7 3信息系统安全保护的相关规定 7 3 2国际联网管理 中华人民共和国计算机信息网络国际联网管理暂行规定 中华人民共和国计算机信息网络国际联网管理暂行规定实施办法 计算机信息网络国际联网安全保护管理办法 中国公用计算机互联网国际联网管理办法 计算机信息网络国际联网出入口信道管理办法 计算机信息系统国际联网保密管理规定 互联网信息服务管理办法 互联网安全保护技术措施规定 27 7 3信息系统安全保护的相关规定 7 3 3商用密码管理7 3 4计算机病毒防治7 3 5安全产品检测与销售 28 7 4电子商务安全管理制度 7 4 1信息安全管理制度的内涵7 4 2网络系统的日常维护制度7 4 3病毒防范制度7 4 4人员管理制度7 4 5保密制度7 4 6跟踪 审计 稽核制度7 4 7应急措施制度 小目录 29 7 4电子商务安全管理制度 7 4 1信息安全管理制度的内涵一 计算机信息安全的定义为数据处理系统建立和采取的技术和管理的安全保护 保护计算机硬件 软件和数据不因偶然和恶意的原因而遭到破坏 更改和泄露 ISO计算机系统有能力控制给定的主体对给定的客体的存取 美国防部 可信计算机系统评级准则 从保密性 完整性 可用性来衡量 欧 信息技术安全评级准则 30 7 4 1信息安全管理制度的内涵二 计算机信息安全的基本要求 5条 认同用户和鉴别控制存取保障完整性审计容错三 信息安全管理制度指用文字形式对各项安全要求所作的规定 它是保证企业电子商务取得成功的重要基础工作 是企业人员安全工作德规范和准则 7 4电子商务安全管理制度 31 7 4 2网络系统的日常维护制度硬件的日常管理和维护网络设备服务器和客户机通信线路软件的日常管理和维护支撑软件应用软件数据备份 7 4电子商务安全管理制度 32 7 4 3病毒防范制度给自己的计算机安装防病毒软件不打开陌生地址的电子邮件认真执行病毒定期清理制度控制权限高度警惕网络陷阱 7 4电子商务安全管理制度 33 7 4 4人员管理制度严格选拔网上交易人员落实工作责任制贯彻电子商务安全运作基本原则 7 4电子商务安全管理制度 34 7 4 5保密制度绝密级机密级秘密级 7 4电子商务安全管理制度 35 7 4 6跟踪 审计 稽核制度跟踪制度要求企业建立网络交易系统日志机制 用来记录系统运行的全过程 审计制度包括 经常对系统日志的检查 审核 及时发现系统故意入侵行为的记录和对系统安全功能违反的记录 监控和捕捉各种安全事件 保存 维护和管理系统日志 稽核制度是指工商管理 银行 税务人员利用计算机及网络系统 借助于稽核业务应用软件调阅 查询 审核 判断辖区内各电子商务参与单位业务经营活动的合理性 安全性 堵塞漏洞 保证电子商务交易安全 发出相应的警示或做出处理处罚的有关决定的一系列步骤和措施 7 4电子商务安全管理制度 36 7 4 7应急措施制度应急措施指在计算机灾难事件 即紧急事件或安全事故 发生时 利用应急计划 辅助软件和应急设施 排除灾难和故障 保障计算机信息系统继续运行或紧急恢复 7 4电子商务安全管理制度 37 7 5电子商务安全的法律保障 7 5 1国际电子商务立法现状7 5 2我国电子商务立法现状7 5 3国内与电子商务相关的法律法规政策7 5 4电子签名法律 小目录 38 7 5 1国际电子商务立法现状一 国际电子商务立法进展二 国际电子商务立法原则电子商务基本上应由私营企业来主导电子商务应在开放 公平的竞争环境中发展政府干预应在需要时起到促进国际化法律环境建立 公平分配匮乏资源的作用 而且这种干预应是透明的 少量的 重要的 有目标的 非歧视性的 平等的 技术上是中性的使私营企业介入或涉入电子商务政策的制定电子商务交易应使用非电子手段的税收概念相结合电信设施建设应是经营者在开放 公平的市场中竞争并逐步实现全球化保护个人隐私 对个人数据进行加密保护 商家应为消费者提供安全保障设施 并保证用户能方便实施 使用 7 5电子商务安全的法律保障 39 7 5 2我国电子商务立法现状一 我国电子商务立法的相关背景二 涉及的主要法律问题三 立法应遵循的指导原则国内立法指导原则鼓励和发展电子商务是中国电子商务立法的首要前提电子商务立法要与宪法和其他已存在的法律法规及我国认同的国际法保持一致电子商务立法要适合中国国情 中国发展电子商务的指导意见初稿 内容包括 电子萨胡的市场准入和后勤问题 电子商务法律框架 金融框架等 7 5电子商务安全的法律保障 40 7 5 3国内与电子商务相关的法律法规政策 中华人民共和国电子签名法 是我国第一部真正意义上的电子商务法 7 5电子商务安全的法律保障 41 7 5 4电子签名法律电子签名法的主要特点电子签名国际立法状况我国的电子签名法 7 5电子商务安全的法律保障 Thanks