第三节 电子商务安全管理 第四节 电子商务安全的法律制度 主 讲：樊友蜀 PPT课件：何登科 聂平,淘宝“错价门”引发争议 互联网上从来不乏标价1元的商品。淘宝网上曾大量出现商品标价1元，引发网民争先恐后哄抢，但是之后许多订单被淘宝网取消。随后，淘宝网发布公告称，此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称：“服务器可能被攻击，已联系技术紧急处理。”这起“错价门”事件持续有两周，导致“错价门”的真实原因依然是个谜，但与此同时，这一事件暴露出来的我国电子商务安全问题不容小觑。在此次“错价门”事件中，消费者与商家完成交易，成功付款下了订单，买卖双方之间形成了合同关系。作为第三方交易平台的淘宝网关闭交易，这种行为本身是否合法？按照我国现行法律法规，淘宝网的行为涉嫌侵犯了消费者的自由交易权，损害了消费者的合法权益，应赔礼道歉并赔偿消费者的相应损失。 黑客热衷攻击重点目标 国外几年前就曾经发生过电子商务网站被黑客入侵的案例，国内的电子商务网站近两年也发生过类似事件。浙江义乌一些大型批发网站曾经遭到黑客近一个月的轮番攻击，网站图片几乎都不能显示，每天流失订单金额达上百万元。阿里巴巴网站也曾确认受到不明身份的网络黑客攻击，这些黑客采取多种手段攻击了阿里巴巴在我国大陆和美国的服务器，企图破坏阿里巴巴全球速卖通台的正常运营 总结：目前，我国电子商务领域安全问题日益凸显，比如，支付宝或者网银被盗现象频频发生，给用户造成越来越多的损失，这些现象对网络交易和电子商务提出了警示 !,第三节 电子商务安全管理 一.安全管理体系 由于互联网覆盖全球，信息内容广泛，用户结构复杂，因此不可能进行集中统一管理。电子商务的大量问题（控制通信路由选择，追踪和监控路由工程，控制和信息封闭流通，保证通信的可靠性和敏感信息的安全，提供源和目标的认证，实现法律意义上的公证和仲裁等）都涉及到安全问题，要对安全问题进行认真研究，做出解决方案，除了加强制度等管理措施外，还要强化系统本身的安全能力. (一)信息安全管理范围 网络信息安全管理，包括以下四类活动。 1.系统安全管理 2.安全服务管理 3.安全机制管理 4.信息安全管理,(二)安全体系结构 1.物理安全 物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护，是网络信息安全的基本保障。建立物理体系安全结构应该从以下3个方面考虑。 1）自然灾害，物理损坏，设备故障等。 2）电磁辐射，痕迹泄露等。 3）操作失误（格式硬盘，线路拆除），意外疏漏等。 2.访问控制 访问控制首先要把用户和数据进行分类，然后根据需要把二者匹配起来，把用户不同访问权限授予不同用户，只有被授权的用户才能访问到相应的数据。 3.数据保密 数据保密是保护网络中各系统之间的交换数据，防止因数据被截获而造成泄密。具体应考虑一下几个方面 1）连接保密，对某个连接上的所有用户提供保密。 2）选择字段保密，对协议数据单元的某一部分字段进行保密。 3）信息保密，对可能从信息观察流就能推导出的信息提供保密。 4.数据完整性 数据完整性保证接收方接受到的信息与发送方发送的信息完全一致，它包括可恢复的完整性，无恢复的完整性，目前主要通过数字签名来实现。 5.路由控制 在大型网络中，从源节点到目的节点可能有多条线路，有些线路可能是安全的，有些可能是不安全的。通过选择路由控制机制，可使信息发送者选择特殊路由，以保证数据的安全。,(三)建立全面实用的网络安全体系 随着计算机网络的迅速发展，其应用范围越来越广，规模越来越大，复制性随之增加。在很好地使用信息系统的同时，如何保障计算机网络的安全使用也成为一个越来越受重视的问题。 1.安全体系的定义 网络安全管理体系是一个在网络系统内结合安全技术与安全管理，以实现系统多层次安全保证的应用体系。 2.网络的完整性 网络是信息系统里连接主机，用户机及其他计算机设备的基础，是公司业务系统正常运行的首要保证。从管理的角度看，网络可以分为内部网与外部网。网络安全涉及内部网的完全保证以及两者之间连接的安全保证。具体的网络安全技术如下： 1）网络管理技术 2）通信安全技术 3）系统的完整性 4）系统性的病毒防范 5）系统的风险评估 6）非法入侵检测 7）安全审计,一.安全管理体系 （一）安全管理技术措施 1.加强场地设防 2.搞好备份应急工作 3.做好远程备份工作 4.选高素质的系统管理员 5.建立专用的网络防火墙 6.不使用来历不明的软件 7.采用数据加密技术 8.加强安全管理制度 9.完善安全管理 制度 10.健全网络管理监督体系 （二）技术设备 为了保证计算机系统，网络系统和信息安全，今年针对不同的问题研发了许多技术和产品，解决了安全需求的特定方面的问题。 1.防火墙产品 2.VPN设备 3.系统日志审计工具 4.信息网关 5.授权和身份认证系统 6.安全路由器 7.安全性分析工具 8.安全监测预警系统,（三）安全管理要点 1.物理设施的管理 2.系统配置的管理 3.事件处理管理 4.安全审计管理 5.安全恢复管理 6.秘钥管理 7.访问控制管理 三 人员管理 （一）安全管理首先是人的管理 网络安全的强度只取决于网络中最弱连接的强弱程度，最危险的是个人警惕性的丧失。许多事例说明，威胁信息系统安全的重要因素是系统工作人员，建设一支高度自觉，遵纪守法的技术人员队伍是计算机安全工作中最重要的一环。为此应采取以下措施。 1.思想教育 加强思想和职业道德教育，定期对工作人员的政治思想，业务水平进行考核审查，发现问题，及时处理。 2.明确职责 明确工作人员的岗位和职责范围，各自负责，互相制约，达到安全的目的。特别要坚持系统程序员与操作员分离的原则，以减少计算机犯罪的机会。 3.技术培训 加强技术培训和安全教育，提高工作人员的业务水平和安全意识，保证信息系统的正常运行。,（二）人员管理机制和原则 以下活动中，需要规范的人员管理机制来保障网络应用系统的信息安全： 访问控制证件的发放与回收； 信息处理系统使用的媒介发放与回收； 处理保密信息； 硬件和软件的维护； 系统软件的设计，实现和修改； 重要程序的和数据的删除和销毁； 人员管理的主要原则如下: 1.多人负责原则 2.任期有限原则 3.职责分离原则 （三）安全管理责任 网络安全管理既要保证网络用户好网络资源不被非法使用，又要保证网络管理系统 本身不被未经授权的访问。制定合理的安全管理责任范围，是保证网络安全的重要策略 之一。 1.网络设备的安全管理 2.软件的安全管理 3.秘钥的安全管理 4.管理网络的安全管理 5.安全的行政管理,（四）信息安全管理规范 信息管理部门应根据管理原则和各部门具体情况，制定相应的管理制度或采用 相应的规范，具体工作介绍如下。 1）根据工作的重要程度，确定该系统的安全需求。 2）根据确定的安全需求，确定安全管理范围。 3）制定相应的机房出入管理制度。 4）制定严格的操作规程。 5）制定完备的系统维护制度。 6）制定应急措施。 操作系统的管理和组织信息系统的硬件，软件和信息资源，它既是安全危害的对象 又是实现安全控制的重要技术措施。其安全机制有以下几个。 1.系统登录。 2.身份认证。 1）用本身特征进行鉴别。 2）用所知道的事进行鉴别。 3）用户拥有的物品进行鉴别 3.文件和资源的访问控制。 4.选择性访问控制 5.强制性访问控制,四. 电子商务的安全风险管理 1.风险管理规则 电子商务运行过程中由于技术，设备，管理各方面的问题，存在一定的风险，有时会出现一些突发事件，对此必须要有一定的应对和防范措施 风险管理规则的制定过程中主要有以下三个阶段。 1）评估阶段 2）开发和实施阶段 3）运行阶段 2.风险管理步骤 1）风险识别。电子商务系统的安全要求是通过对风险系统评估而确认的，风险识别是在收集有关各种威胁，漏洞和相关对策等信息的基础上，识别各种可能对电子商务系统造成潜在威胁的安全风险。 2）风险分析。风险分析是运用分析，比较，评估等各种定性，定量的方法，确定电子商务安全风险要素的重要性，对风险排序并评估其对电子商务系统各方面的可能后果，从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上使电子商务的整体风险得到有效的控制。 3）风险控制。风险控制是选择和运用一定的风险控制手段，以保证风险可以降到一个可以接受的水平,3.风险管理对策 纵深防御战略 各层的主要防御内容： 1）物理安全 2）周边防御 3）网络防御 4）主机防御 5）应用程序防御 6）数据防御,第四节 电子商务安全的法律制度 一.我过保证电子商务安全的相关法律 （一）电子签名法 1.电子签名法的主要内容 2.电子签名法对电子商务的影响 （二）保证电子商务安全的其他相关法律 1.法律 2.行政法规 3.部门规章及规范性文件 二.美国保证电子商务安全的相关法律 1.信息安全的法律制度 2.消费者权益保护的法律制度,