1、電子商務安全電子商務安全評估與法律第第9章章 電子商務安全評估與法律保護電子商務安全評估與法律保護電子商務安全電子商務安全評估與法律第第9章章 電子商務安全評估與法律保護電子商務安全評估與法律保護任務驅動任務驅動隨著電子商務的發展，安全問題顯得越來越突出。概括地說，電子商務的安全主要體現在交易的有效性和可執行性、交易機制的可靠性、交易過程的完整性和保密性。目前，電子商務安全問題的解決，可以分為技術與法律兩方面。通過本章學習，學生應該能夠掌握電子商務安全評估中的風險管理知識，了解安全成熟度模型，識別電子商務面臨的威脅，了解電子商務的安全評估方法，熟悉有關電子商務的基本法律法規。 電子商務安全電子

2、商務安全評估與法律第第9章章 電子商務安全評估與法律保護電子商務安全評估與法律保護本章內容9.1電子商務安全評估9.2電子商務的法律法規電子商務安全電子商務安全評估與法律9.1 電子商務安全評估電子商務安全評估9.1.1風險管理風險管理1風險的概念風險的概念風險是構成安全基礎的基本觀念。風險是丟失需要保護的資產的可能性。如果沒有風險，就不需要安全了。 漏洞威脅威脅+漏洞風險電子商務安全電子商務安全評估與法律9.1 電子商務安全評估電子商務安全評估2風險的識別與測量風險的識別對一個組織而言，識別風險除了要識別漏洞和威脅外，還應考慮已有的對策和預防措 施，如圖9-1所示。電子商務安全電子商務安全評

3、估與法律9.1 電子商務安全評估電子商務安全評估風險的測量風險測量是必須識別出在受到攻擊后該組織需要付出的代價。圖9-2表示風險測量的全部。電子商務安全電子商務安全評估與法律9.1 電子商務安全評估電子商務安全評估認識到風險使該組織付出的代價也是確定如何管理風險的決定因素。風險永遠不可能完全去除，風險必須管理。代價是多方面的，包括 ：資金時間資源信譽電子商務安全電子商務安全評估與法律9.1 電子商務安全評估電子商務安全評估9.1.2安全成熟度模型安全成熟度模型成熟度模型可用來測量組織的解決方案(軟件、硬件和系統)的能力和效力。因此它可用于安全評估，以測量針對業界最佳實際的安全體系結構。可以就以

4、下3個方面進行分析：計劃、技術和配置、操作運行過程。安全計劃包括安全策略、標準、指南以及安全需求。技術和配置的成熟度水平根據選擇的特定產品、準則，在組織內的安置以及產品配置而定。操作運行過程包括變更管理、報警和監控，以及安全教育方面。 電子商務安全電子商務安全評估與法律9.1 電子商務安全評估電子商務安全評估1安全計劃一個好的安全體系結構必須建立在一個堅固的安全計劃基礎之上。計劃的文本必須清晰、完整。 2技術和配置3運行過程運行過程包括安全組件需要的必要支持和維護、變更管理、經營業務的連續性、用戶安全意識培訓、安全管理，以及安全報警與監控等。 電子商務安全電子商務安全評估與法律9.1 電子商務

5、安全評估電子商務安全評估9.1.3威脅威脅威脅包含3個組成部分：目標，可能受到攻擊的方面。代理，發出威脅的人或組織。事件，做出威脅的動作類型。 電子商務安全電子商務安全評估與法律9.1 電子商務安全評估電子商務安全評估1威脅的來源人為差錯和設計缺陷內部人員臨時員工自然災害和環境危害黑客和其他入侵者病毒和其他惡意軟件電子商務安全電子商務安全評估與法律9.1 電子商務安全評估電子商務安全評估2威脅情況與對策社會工程(系統管理過程)電子竊聽軟件缺陷信任轉移(主機之間的信任關系)數據驅動攻擊(惡意軟件)拒絕服務DNS欺騙源路由內部威脅電子商務安全電子商務安全評估與法律9.1 電子商務安全評估電子商務安

6、全評估9.1.4安全評估方法安全評估方法1安全評估過程安全評估過程安全評估方法的第一步是發現階段，所有有關安全體系結構適用的文本都必須檢查，包括安全策略、標準、指南，信息等級分類和訪問控制計劃，以及應用安全需求。評估的第二步是人工檢查階段，將文本描述的體系結構與實際的結構進行比較，找出其差別。可以采用手工的方法，也可采用自動的方法。評估的第三步是漏洞測試階段。 安全評估的最后一步是認證安全體系結構的處理過程部分。 電子商務安全電子商務安全評估與法律9.1 電子商務安全評估電子商務安全評估2網絡安全評估網絡評估的第一步是了解網絡的拓撲。假如防火墻在阻斷跟蹤路由分組，這就比較復雜，因為跟蹤路由器是

7、用來繪制網絡拓撲的。第二步是獲取公共訪問機器的名字和IP地址，這是比較容易完成的。只要使用DNS并在ARIN(American Registry for Internet Number)試注冊所有的公共地址。最后一步是對全部可達主機做端口掃描的處理。端口是用于TCPIP和UDP網絡中將一個端口標識到一個邏輯連接的術語。 電子商務安全電子商務安全評估與法律9.1 電子商務安全評估電子商務安全評估3平臺安全評估平臺安全評估的目的是認證平臺的配置(操作系統對已知漏洞不易受損、文件保護及配置文件有適當的保護)。認證的惟一方法是在平臺自身上執行一個程序。有時該程序稱為代理，因為集中的管理程序由此開始。假

8、如平臺已經適當加固，那么就有一個基準配置。評估的第一部分是認證基準配置、操作系統、網絡服務(、telnet、SSH等)沒有變更。黑客首先是將這些文件替換成自己的版本。這些版本通常是記錄管理員的口令，并轉發給Internet上的攻擊者。假如任何文件需打補丁或使用服務包，代理將通知管理員。第二部分測試是認證管理員的口令，大部分機器不允許應用用戶登錄到平臺，對應用的用戶鑒別是在平臺上運行的，而不是平臺本身。4應用安全評估電子商務安全電子商務安全評估與法律9.1 電子商務安全評估電子商務安全評估9.1.5安全評估準則安全評估準則1可信計算機系統評估準則2信息技術安全評估準則3通用安全評估準則4計算機信

9、息系統安全保護等級劃分準則電子商務安全電子商務安全評估與法律9.2電子商務的法律法規電子商務的法律法規9.2.1電子商務發展中遇到的法律問題電子商務發展中遇到的法律問題1跨國界網絡經濟對各國法律的沖擊2網上簽訂合同的有效性發盤的生效發盤的撤回與撤銷接受的生效與撤回合同的形式問題3網上知識產權的保護域名保護版權保護專利權保護4隱私權的保護電子商務安全電子商務安全評估與法律9.2.2電子商務的立法狀況電子商務的立法狀況1國際范圍內的電子商務法律建設國際范圍內的電子商務法律建設聯合國聯合國電子商務示范法電子商務示范法美國的電子商務立法美國的電子商務立法歐盟有關電子商務的立法狀況歐盟有關電子商務的立法狀況新加坡的電子商務立法新加坡的電子商務立法日本推動電子商務發展的政策文件日本推動電子商務發展的政策文件澳大利亞的電子商務立法澳大利亞的電子商務立法電子商務安全電子商務安全評估與法律2我國電子商務的立法現狀我國電子商務活動的法律建設現狀我國現階段電子商務活動的立法任務3我國電子商務立法的總則立法目的消除電子商務發展的法律障礙。消除現有法律適用上的不確定性，保護合理的商業預期，保障交易安全。建立一個清晰的法律框架