电子商务安全与管理【】.pptVIP

内容提要 安全管理内容(主要指企业／认证机构) 交易人员管理、交易过程管理、交易系统管理、交易信息管理 重点 标准的管理、计算机信息系统的管理、网络服务与网络用户的管理、网络广告的管理、认证机构的管理 案例导读:数字证书为什么普及速度不快? 2005年6月17日，万事达卡国际组织公开宣布，储存有大约4000万美国信用卡客户信息的电脑系统 遭到一名黑客入侵，遭入侵的数据库中的信息包括信用卡持有人姓名、银行账号、信用卡号、口令以及有效日期等，这些信息都能够被用来盗用资金。 网上银行 功能:资金划转、在线支付、缴纳水电气费、购买基金等 家庭理财 基本使用方式:卡号﹢密码登陆 安全问题:病毒、木马、黑客、假网站诈骗，窃取客户资金(如:〝网银大盗〞病毒) 安全改进技术措施:防火墙机制、数据网络传输加密、USBKey移动数字证书(使用时需输入usbkey密码)、帐号(别名)、登陆密码、支付密码(动态密码、个性化密码输入)、图形校验码 问题: 过程繁琐 数字证书的用户信息审查、用户认证缺乏标准 数字证书的格式不统一，通用性差，证书发放机构太多(100多家)，电子认证系统不统一，CFCA中国金融认证中心影响有限 4.1 电子商务标准管理 4.1.1 电子商务标准的作用 标准是电子商务整体框架的重要组成部分 电子商务相关标准为实现电子商务提供了统一平台 电子商务标准是电子商务的基本安全屏障 电子商务标准关系到国家的经济安全和经济利益 4.1 电子商务标准管理 4.1.2 电子商务标准的研究现状与发展趋势 国际上电子商务标准研究现状 信息安全标准 20世纪70年代开始安全标准的制定，如1977年联邦信息处理标准(FIPS，检测密码产品)、1985年TCSEC(桔皮书，检测计算机安全产品，将安全分为4个方面7个等级)、1989年ISO7498‐2(信息处理系统开放互连基本参考模型) 、1991年信息技术安全评价准则(ITSEC,提出信息安全的保密性、完整性、可用性，定义7个安全等级，10种安全功能)、1993年信息技术安全性评价联邦准则(FC)等 4.1 电子商务标准管理 4.1.2 电子商务标准的研究现状与发展趋势 国际上电子商务标准研究现状 电子商务安全标准 1997年，ISO／ITC成立电子商务业务工作组(BT‐EC)，确立电子商务标准的重点:用户接口、基本功能、数据及客体 1998年，ISO、ITC和联合国经济委员会(UN／ECE)签署〝理解备忘录〞，以扩充参与标准制定的部分 1999年，制定互联网商务标准，规范网上商店等 4.1 电子商务标准管理 4.1.2 电子商务标准的研究现状与发展趋势 我国电子商务标准研究现状 总体上相对薄弱 问题 在标准体制方面，尚未建立起基于XML的电子商务标准体制，与国际主流体制和我国电子商务的发展需求不相适应 在标准内容方面，业务流程和在线支付标准几乎空白，部分标准内容交叉、重复 在标准的市场适应性方面，约一半以上的标准处于几乎未被使用的状态，尤其是报文标准 原因:标准制定计划未完全受需求的驱动，标准的用户未成为标准制定的主体 4.1 电子商务标准管理 4.1.2 电子商务标准的研究现状与发展趋势 标准制定原则与标准体系 原则 全面性、系统性、先进性、预见性、可扩充性 标准体系 P67 基础标准:计算机基础标准、基础通信标准、网络标准、其他 安全标准:加密标准、认证标准、安全通信协议、其他 交易标准:电子合同标准、电子支付标准、智能卡标准、其他 服务标准:资质标准、服务质量标准、物流标准 EDI标准:单证标准、报文标准、其他 其他标准 4.2 计算机信息系统的管理 实体安全 运行安全 信息安全 人员安全 4.3 网络服务和网络用户的管理 网络服务业 指以经营提供网络上相关应用服务的事业，如接入服务、域名服务、网络信息服务、广告服务、商业联机服务等 网络服务公司可以提供消费者申请、取得网络域名的服务。当消费者的域名受到侵害时，网络服务公司可以协助消费者开展反抢注、反侵权的斗争。此外，有的网络服务公司自己先申请取得域名权，然后再出租给消费者使用。 网络服务管理规范 接入服务管理规范 域名服务管理规范 网络信息服务管理规范 4.4 网络广告的管理 网络广告 网络广告组织的管理 网站广告经营主体资格的管制 网上专用标识制度 特殊广告发布前的审查管制 网络广告的第三方评估与监测 强化行业自律 网络广告内容的管理 真实性 合法性 科学性 4.5 电子认证服务机构的管理 4.5.1 电子认证服务提供者 电子认证服务:是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。 电子认证服务提供者:是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构 4.5 电子认证服务机构的管理 4.5.1