第7章 電子商務安全管理,上海財經大學 勞幗齡,2,7.1 安全標準與組織 7.2 安全協調機構與政策 7.3 信息系統安全保護的相關規定 7.4 電子商務安全管理制度 7.5 電子商務安全的法律保障,目錄,上海財經大學 勞幗齡,3,引例警方破獲國內首起 網上拍賣詐騙案,電子商務時代的安全問題涉及方方面面，我國的法律領域在這些方面還幾乎是空白。沒有法律的約束，電子商務的安全管理難上加難。,上海財經大學 勞幗齡,4,7.1 安全標準與組織,7.1.1 制定安全標準的組織 7.1.2 因特網標準和組織 7.1.3 我國的信息安全標準化工作,上海財經大學 勞幗齡,5,7.1.1 制定安全標準的組織 一、國際標準化組織(ISO) 二、電信標準化部門(ITUT) 三、國際信息處理聯合會第十一技術委員會(IFIP TC11) 四、電氣和電子工程師學會(IEEE) 五、美國國家標準局與美國商業部國家技術標準研究所 六、美國國家標準協會(ANSI),7.1安全標準與組織,上海財經大學 勞幗齡,6,一、國際標準化組織（ISO） OSI基本參考模型提供的五種安全服務： 驗證服務 訪問控制服務 數據保密服務 數據完整性服務 不可否認服務,7.1安全標準與組織,上海財經大學 勞幗齡,7,ISO的主頁,7.1安全標準與組織,上海財經大學 勞幗齡,8,ITUT的主頁,7.1安全標準與組織,上海財經大學 勞幗齡,9,IFIP的主頁,7.1安全標準與組織,上海財經大學 勞幗齡,10,IEEE的主頁,7.1安全標準與組織,上海財經大學 勞幗齡,11,NIST的主頁,7.1安全標準與組織,上海財經大學 勞幗齡,12,ANSI的主頁,7.1安全標準與組織,上海財經大學 勞幗齡,13,7.1.2 因特網標準與組織 一、因特網體系,7.1安全標準與組織,上海財經大學 勞幗齡,14,ISOC的主頁,7.1安全標準與組織,上海財經大學 勞幗齡,15,IAB的主頁,7.1安全標準與組織,上海財經大學 勞幗齡,16,IETF的主頁,7.1安全標準與組織,上海財經大學 勞幗齡,17,IRTF的主頁,7.1安全標準與組織,上海財經大學 勞幗齡,18,RFC的主頁,7.1安全標準與組織,上海財經大學 勞幗齡,19,二、因特網安全運作指導方針,7.1安全標準與組織,上海財經大學 勞幗齡,20,7.1.3 我國的信息安全標準化工作,7.1安全標準與組織,上海財經大學 勞幗齡,21,7.2.1 國際信息安全協調機構 1988“莫里斯病毒事件” 作用：解決Internet上存在的安全問題，調查Internet的脆弱性和發布信息 CERT/CC三類工作： 提供問題解決方案 建立脆弱問題數據庫 進行信息反饋,7.2安全協調機構與政策,上海財經大學 勞幗齡,22,CERT/CC的主頁,7.2安全協調機構與政策,上海財經大學 勞幗齡,23,7.2.2 我國的信息安全管理機構及原則 一、安全管理格局 基本方針：興利除弊、集中監控、分級管理、保障國家安全 密碼管理方針：統一領導、集中管理、定點研制、專控經營、滿足使用 二、法律政策原則（三層次） 一層：從憲法的高度進行規范 二層：直接約束計算機安全、因特網安全的法規 三層：對信息內容、信息安全技術、信息安全產品的授權審批的規定 三、機構部門安全管理原則 “四有”原則,7.2安全協調機構與政策,上海財經大學 勞幗齡,24,7.3 信息系統安全保護的相關規定,7.3.1 信息系統安全保護 7.3.2 國際聯網管理 7.3.3 商用密鑰管理 7.3.4 計算機病毒防治 7.3.5 安全產品檢測與銷售,上海財經大學 勞幗齡,25,7.3信息系統安全保護的相關規定,7.3.1 信息系統安全保護 計算機信息系統的建設和運用，應當遵紀守法 計算機信息系統安全等級保護制度 計算機機房安全管理制度 計算機信息系統國際聯網備案制度 計算機信息媒體進出境申報制度 計算機信息系統使用單位安全負責制度 計算機案件強行報告制度 計算機病毒及其有害數據的專管制度 計算機信息系統安全專用產品消受許可證制度,上海財經大學 勞幗齡,26,7.3信息系統安全保護的相關規定,7.3.2 國際聯網管理 中華人民共和國計算機信息網絡國際聯網管理暫行規定 中華人民共和國計算機信息網絡國際聯網管理暫行規定實施辦法 計算機信息網絡國際聯網安全保護管理辦法 中國公用計算機互聯網國際聯網管理辦法 計算機信息網絡國際聯網出入口信道管理辦法 計算機信息系統國際聯網保密管理規定 互聯網信息服務管理辦法 互聯網安全保護技術措施規定,上海財經大學 勞幗齡,27,7.3信息系統安全保護的相關規定,7.3.3 商用密碼管理 7.3.4 計算機病毒防治 7.3.5 安全產品檢測與銷售,上海財經大學 勞幗齡,28,7.4 電子商務安全管理制度,7.4.1 信息安全管理制度的內涵 7.4.2 網絡系統的日常維護制度 7.4.3 病毒防范制度 7.4.4 人員管理制度 7.4.5 保密制度 7.4.6 跟蹤、審計、稽核制度 7.4.7 應急措施制度,小目錄,上海財經大學 勞幗齡,29,7.4電子商務安全管理制度,7.4.1 信息安全管理制度的內涵 一、計算機信息安全的定義 為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄露ISO 計算機系統有能力控制給定的主體對給定的客體的存取美國防部可信計算機系統評級準則 從保密性、完整性、可用性來衡量歐信息技術安全評級準則,上海財經大學 勞幗齡,30,7.4.1 信息安全管理制度的內涵 二、計算機信息安全的基本要求（5條） 認同用戶和鑒別 控制存取 保障完整性 審計 容錯 三、信息安全管理制度 指用文字形式對各項安全要求所作的規定，它是保證企業電子商務取得成功的重要基礎工作，是企業人員安全工作德規范和準則。,7.4電子商務安全管理制度,上海財經大學 勞幗齡,31,7.4.2 網絡系統的日常維護制度 硬件的日常管理和維護 網絡設備 服務器和客戶機 通信線路 軟件的日常管理和維護 支撐軟件 應用軟件 數據備份,7.4電子商務安全管理制度,上海財經大學 勞幗齡,32,7.4.3 病毒防范制度 給自己的計算機安裝防病毒軟件 不打開陌生地址的電子郵件 認真執行病毒定期清理制度 控制權限 高度警惕網絡陷阱,7.4電子商務安全管理制度,上海財經大學 勞幗齡,33,7.4.4 人員管理制度 嚴格選拔網上交易人員 落實工作責任制 貫徹電子商務安全運作基本原則,7.4電子商務安全管理制度,上海財經大學 勞幗齡,34,7.4.5 保密制度 絕密級 機密級 秘密級,7.4電子商務安全管理制度,上海財經大學 勞幗齡,35,7.4.6 跟蹤、審計、稽核制度 跟蹤制度要求企業建立網絡交易系統日志機制，用來記錄系統運行的全過程。 審計制度包括：經常對系統日志的檢查、審核，及時發現系統故意入侵行為的記錄和對系統安全功能違反的記錄，監控和捕捉各種安全事件，保存、維護和管理系統日志。 稽核制度是指工商管理、銀行、稅務人員利用計算機及網絡系統，借助于稽核業務應用軟件調閱、查詢、審核、判斷轄區內各電子商務參與單位業務經營活動的合理性、安全性，堵塞漏洞，保證電子商務交易安全，發出相應的警示或做出處理處罰的有關決定的一系列步驟和措施。,7.4電子商務安全管理制度,上海財經大學 勞幗齡,36,7.4.7 應急措施制度 應急措施 指在計算機災難事件（即緊急事件或安全事故）發生時，利用應急計劃、輔助軟件和應急設施，排除災難和故障，保障計算機信息系統繼續運行或緊急恢復。,7.4電子商務安全管理制度,上海財經大學 勞幗齡,37,7.5電子商務安全的法律保障,7.5.1國際電子商務立法現狀 7.5.2我國電子商務立法現狀 7.5.3國內與電子商務相關的法律法規政策 7.5.4電子簽名法律,小目錄,上海財經大學 勞幗齡,38,7.5.1國際電子商務立法現狀 一、國際電子商務立法進展 二、國際電子商務立法原則 電子商務基本上應由私營企業來主導 電子商務應在開放、公平的競爭環境中發展 政府干預應在需要時起到促進國際化法律環境建立、公平分配匱乏資源的作用，而且這種干預應是透明的、少量的、重要的、有目標的、非歧視性的、平等的，技術上是中性的 使私營企業介入或涉入電子商務政策的制定 電子商務交易應使用非電子手段的稅收概念相結合 電信設施建設應是經營者在開放、公平的市場中競爭并逐步實現全球化 保護個人隱私，對個人數據進行加密保護；商家應為消費者提供安全保障設施，并保證用戶能方便實施、使用,7.5電子商務安全的法律保障,上海財經大學 勞幗齡,39,7.5.2我國電子商務立法現狀 一、我國電子商務立法的相關背景 二、涉及的主要法律問題 三、立法應遵循的指導原則 國內立法指導原則 鼓勵和發展電子商務是中國電子商務立法的首要前提 電子商務立法要與憲法和其他已存在的法律法規及我國認同的國際法保持一致 電子商務立法要適合中國國情 中國發展電子商務的指導意見初稿內容包括：電子薩胡的市場準入和