第七章节电子商务安全管理.ppt

第7章 电子商务安全管理;7.1 安全标准与组织 7.2 安全协调机构与政策 7.3 信息系统安全保护的相关规定 7.4 电子商务安全管理制度 7.5 电子商务安全的法律保障;引例——警方破获国内首起 网上拍卖诈骗案;7.1 安全标准与组织;7.1.1 制定安全标准的组织 一、国际标准化组织(ISO) 二、电信标准化部门(ITU—T) 三、国际信息处理联合会第十一技术委员会(IFIP TC11) 四、电气和电子工程师学会(IEEE) 五、美国国家标准局与美国商业部国家技术标准研究所 六、美国国家标准协会(ANSI) ;一、国际标准化组织（ISO） OSI基本参考模型提供的五种安全服务： 验证服务 访问控制服务 数据保密服务 数据完整性服务 不可否认服务 ;ISO的主页;ITU—T的主页;IFIP的主页;IEEE的主页;NIST的主页;ANSI的主页;7.1.2 因特网标准与组织 一、因特网体系 ;ISOC的主页;IAB的主页;IETF的主页;IRTF的主页;RFC的主页; 二、因特网安全运作指导方针 ;7.1.3 我国的信息安全标准化工作 ;7.2.1 国际信息安全协调机构 1988“莫里斯病毒事件” 作用：解决Internet上存在的安全问题，调查Internet的脆弱性和发布信息 CERT/CC三类工作： 提供问题解决方案 建立脆弱问题数据库 进行信息反馈;CERT/CC的主页;7.2.2 我国的信息安全管理机构及原则 一、安全管理格局 基本方针：兴利除弊、集中监控、分级管理、保障国家安全 密码管理方针：统一领导、集中管理、定点研制、专控经营、满足使用 二、法律政策原则（三层次） 一层：从宪法的高度进行规范 二层：直接约束计算机安全、因特网安全的法规 三层：对信息内容、信息安全技术、信息安全产品的授权审批的规定 三、机构部门安全管理原则 “四有”原则;7.3 信息系统安全保护的相关规定;7.3信息系统安全保护的相关规定;7.3信息系统安全保护的相关规定;7.3信息系统安全保护的相关规定;7.4 电子商务安全管理制度;7.4电子商务安全管理制度;7.4.1 信息安全管理制度的内涵 二、计算机信息安全的基本要求（5条） 认同用户和鉴别 控制存取 保障完整性 审计 容错 三、信息安全管理制度 指用文字形式对各项安全要求所作的规定，它是保证企业电子商务取得成功的重要基础工作，是企业人员安全工作德规范和准则。;7.4.2 网络系统的日常维护制度 硬件的日常管理和维护 网络设备 服务器和客户机 通信线路 软件的日常管理和维护 支撑软件 应用软件 数据备份;7.4.3 病毒防范制度 给自己的计算机安装防病毒软件 不打开陌生地址的电子邮件 认真执行病毒定期清理制度 控制权限 高度警惕网络陷阱 ;7.4.4 人员管理制度 严格选拔网上交易人员 落实工作责任制 贯彻电子商务安全运作基本原则 ;7.4.5 保密制度 绝密级 机密级 秘密级;7.4.6 跟踪、审计、稽核制度 跟踪制度要求企业建立网络交易系统日志机制，用来记录系统运行的全过程。 审计制度包括：经常对系统日志的检查、审核，及时发现系统故意入侵行为的记录和对系统安全功能违反的记录，监控和捕捉各种安全事件，保存、维护和管理系统日志。 稽核制度是指工商管理、银行、税务人员利用计算机及网络系统，借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活动的合理性、安全性，堵塞漏洞，保证电子商务交易安全，发出相应的警示或做出处理处罚的有关决定的一系列步骤和措施。;7.4.7 应急措施制度 应急措施 指在计算机灾难事件（即紧急事件或安全事故）发生时，利用应急计划、辅助软件和应急设施，排除灾难和故障，保障计算机信息系统继续运行或紧急恢复。;7.5电子商务安全的法律保障;7.5.1国际电子商务立法现状 一、国际电子商务立法进展 二、国际电子商务立法原则 电子商务基本上应由私营企业来主导 电子商务应在开放、公平的竞争环境中发展 政府干预应在需要时起到促进国际化法律环境建立、公平分配匮乏资源的作用，而且这种干预应是透明的、少量的、重要的、有目标的、非歧视性的、平等的，技术上是中性的 使私营企业介入或涉入电子商务政策的制定 电子商务交易应使用非电子手段的税收概念相结合 电信设施建设应是经营者在开放、公平的市场中竞争并逐步实现全球化 保护个人隐私，对个人数据进行加密保护；商家应为消费者提供安全保障设施，并保证用户能方便实施、使用;7.5.2我国电子商务立法现状 一、我国电子商务立法的相关背景 二、涉及的主要法律问题 三、立法应遵循的指导原则 国内立法指导原则 鼓励和发展电子商务是中国电子商务立法的首要前提