电子商务..技术方案.pptVIP

第四章　电子商务的安全管理 第一节　电子商务的安全问题 一、电子商务的安全威胁和风险类型 （一）电子商务的安全威胁 1．销售者面临的安全威胁 （1）中央系统安全性被破坏 （2）竞争者检索商品递送状况 （3）客户资料被竞争者获悉 （4）被他人假冒而损害公司的信誉 （5）消费者提交订单后不付款 （6）虚假订单 2．购买者面临的安全威胁 （1）虚假订单 （2）付款后不能收到商品 （3）机密性丧失 （4）拒绝服务 （二）电子商务的安全风险类型 1．信息传输风险 （1）冒名偷窃 （2）篡改数据 （3）信息丢失 （4）信息传递过程中的破坏 （5）虚假信息 2．信用风险 （1）来自买方的信用风险 （2）来自卖方的信用风险 （3）买卖双方都存在抵赖的情况 3．管理风险 （1）交易流程管理风险 （2）人员管理风险 （3）网络交易技术管理的漏洞也带来较大的交易风险 4．法律风险 二、电子商务的安全管理要求与思路 （一）电子商务的安全要求 1．有效性 2．机密性 3．完整性 4．可靠性 （二）电子商务的安全管理思路 1．安全技术 2．管理制度 3．法律保障 第二节　电子商务的安全管理方法 一、客户认证技术 客户认证（Client Authentication，CA）是基于用户的客户端主机IP地址的一种认证机制，它是保证电子商务交易安全的一项重要技术。 客户认证主要包括身份认证和信息认证。 （一）身份认证 身份认证就是在交易过程中判明和确认贸易双方的真实身份 1．认证的功能 （1）可信性 （2）完整性 （3）不可抵赖性 （4）访问控制 2．身份认证的方式 （1）用户所知道的某个秘密信息 （2）用户所持有的某个秘密信息（硬件） （3）用户所具有的某些生物学特征 （二）信息认证 （1）对敏感的文件进行加密。 （2）保证数据的完整性。 （3）对数据和信息的来源进行验证，以确保发信人的身份。 （三）认证机构认证（CA） 　　　通过认证机构来认证买卖双方的身份，既可以保证网上交易的安全性，又可以保证高效性和专业性。 二、安全管理制度 （一）人员管理制度 （二）保密制度 信息的安全级别一般可分为三级： 绝密级 机密级 秘密级 （三）跟踪、审计、稽核制度 　　　　跟踪制度是要求企业建立网络交易系统日志机制用来记录系统运行的全过程。 　　　　审计制度包括经常对系统日志的检查、审核。 　　　稽核制度是指借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活动的合理性、安全性。 （四）网络系统的日常维护制度 （五）病毒防范制度 三、法律制度 （一）美国保证电子商务安全的相关法律 1．与网上交易相关法律调整的基本原则 （1）电子商务应在开放、公平的竞争环境中发展； （2）政府干预应在需要时起到促进国际化法律环境建立、公平分配匮乏资源的作用； （3）使私营企业介入或涉入电子商务政策的制定； （4）电子商务交易应同使用非电子手段的税收概念相结合； （5）保护个人隐私，对个人数据进行加密保护。 2．克服传统法规对网上交易推行带来执行障碍 （1）确定和认可通过电子手段形成的合同的规则和范式 （2）规定为法律和商业目的而作出的电子签名的可接受程度 （3）建立电子注册处 （4）推动建立其他形式的、适当的、高效率的、有效的国际商业交易的纠纷调解机制 （5）建立与软件和电子数据的许可证交易、使用和权利转让有关的标准和合同履行规则 （6）在国际上，美国政府支持所有国家采用联合国国际贸易法委员会提出的示范法作为电子商务使用的国际统一商业法规 3．电子支付的法律制度 4．信息安全的法律制度 5．消费者权益保护的法律制度 （二）ＷＴＯ有关电子商务的立法范围 １．跨境交易的税收和关税问题 ２．电子支付 ３．网上交易 ４．知识产权保护 ５．个人隐私 ６．安全保密 7．电信基础设施 8．技术标准 9．普遍服务 10．劳动力问题 11．政府引导 （三）我国保证电子商务安全的相关法律 　　1991年5月24日，国务院第八十三次常委会议通过了《计算机软件保护条例》。 　　1994年2月18日，国务院令第147号发布了《中华人民共和国计算机信息系统安全保护条例》。 　　1997年5月20日，国务院颁布了《国务院关于修改〈中华人民共和国计算机信息网络国际联网管理暂行规定〉的决定》。 第三节　防止非法入侵 一、网络“黑客”常用的攻击手段 （一）“黑客”的概念 一类是骇客，他们只想引人注目，证明自己的能力。 另一类是窃客，他们的行为带有强烈的目的性。 （二）“黑客”的攻击手段 1．中断（攻击系统的可用性） 2．窃听（攻击系统的机密性） 3．窜改（攻击系统的完整性） 4．伪造（