《電子商務(wù)安全管理》PPT課件.ppt

第7章 電子商務(wù)安全管理,上海財(cái)經(jīng)大學(xué) 勞幗齡,2,7.1 安全標(biāo)準(zhǔn)與組織 7.2 安全協(xié)調(diào)機(jī)構(gòu)與政策 7.3 信息系統(tǒng)安全保護(hù)的相關(guān)規(guī)定 7.4 電子商務(wù)安全管理制度 7.5 電子商務(wù)安全的法律保障,目錄,上海財(cái)經(jīng)大學(xué) 勞幗齡,3,引例警方破獲國(guó)內(nèi)首起 網(wǎng)上拍賣詐騙案,電子商務(wù)時(shí)代的安全問(wèn)題涉及方方面面，我國(guó)的法律領(lǐng)域在這些方面還幾乎是空白。沒有法律的約束，電子商務(wù)的安全管理難上加難。,上海財(cái)經(jīng)大學(xué) 勞幗齡,4,7.1 安全標(biāo)準(zhǔn)與組織,7.1.1 制定安全標(biāo)準(zhǔn)的組織 7.1.2 因特網(wǎng)標(biāo)準(zhǔn)和組織 7.1.3 我國(guó)的信息安全標(biāo)準(zhǔn)化工作,上海財(cái)經(jīng)大學(xué) 勞幗齡,5,7.1.1 制定安全標(biāo)準(zhǔn)的組織 一、國(guó)際標(biāo)準(zhǔn)化組織(ISO) 二、電信標(biāo)準(zhǔn)化部門(ITUT) 三、國(guó)際信息處理聯(lián)合會(huì)第十一技術(shù)委員會(huì)(IFIP TC11) 四、電氣和電子工程師學(xué)會(huì)(IEEE) 五、美國(guó)國(guó)家標(biāo)準(zhǔn)局與美國(guó)商業(yè)部國(guó)家技術(shù)標(biāo)準(zhǔn)研究所 六、美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)(ANSI),7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,6,一、國(guó)際標(biāo)準(zhǔn)化組織（ISO） OSI基本參考模型提供的五種安全服務(wù)： 驗(yàn)證服務(wù) 訪問(wèn)控制服務(wù) 數(shù)據(jù)保密服務(wù) 數(shù)據(jù)完整性服務(wù) 不可否認(rèn)服務(wù),7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,7,ISO的主頁(yè),7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,8,ITUT的主頁(yè),7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,9,IFIP的主頁(yè),7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,10,IEEE的主頁(yè),7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,11,NIST的主頁(yè),7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,12,ANSI的主頁(yè),7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,13,7.1.2 因特網(wǎng)標(biāo)準(zhǔn)與組織 一、因特網(wǎng)體系,7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,14,ISOC的主頁(yè),7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,15,IAB的主頁(yè),7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,16,IETF的主頁(yè),7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,17,IRTF的主頁(yè),7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,18,RFC的主頁(yè),7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,19,二、因特網(wǎng)安全運(yùn)作指導(dǎo)方針,7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,20,7.1.3 我國(guó)的信息安全標(biāo)準(zhǔn)化工作,7.1安全標(biāo)準(zhǔn)與組織,上海財(cái)經(jīng)大學(xué) 勞幗齡,21,7.2.1 國(guó)際信息安全協(xié)調(diào)機(jī)構(gòu) 1988“莫里斯病毒事件” 作用：解決Internet上存在的安全問(wèn)題，調(diào)查Internet的脆弱性和發(fā)布信息 CERT/CC三類工作： 提供問(wèn)題解決方案 建立脆弱問(wèn)題數(shù)據(jù)庫(kù) 進(jìn)行信息反饋,7.2安全協(xié)調(diào)機(jī)構(gòu)與政策,上海財(cái)經(jīng)大學(xué) 勞幗齡,22,CERT/CC的主頁(yè),7.2安全協(xié)調(diào)機(jī)構(gòu)與政策,上海財(cái)經(jīng)大學(xué) 勞幗齡,23,7.2.2 我國(guó)的信息安全管理機(jī)構(gòu)及原則 一、安全管理格局 基本方針：興利除弊、集中監(jiān)控、分級(jí)管理、保障國(guó)家安全 密碼管理方針：統(tǒng)一領(lǐng)導(dǎo)、集中管理、定點(diǎn)研制、?？亟?jīng)營(yíng)、滿足使用 二、法律政策原則（三層次） 一層：從憲法的高度進(jìn)行規(guī)范 二層：直接約束計(jì)算機(jī)安全、因特網(wǎng)安全的法規(guī) 三層：對(duì)信息內(nèi)容、信息安全技術(shù)、信息安全產(chǎn)品的授權(quán)審批的規(guī)定 三、機(jī)構(gòu)部門安全管理原則 “四有”原則,7.2安全協(xié)調(diào)機(jī)構(gòu)與政策,上海財(cái)經(jīng)大學(xué) 勞幗齡,24,7.3 信息系統(tǒng)安全保護(hù)的相關(guān)規(guī)定,7.3.1 信息系統(tǒng)安全保護(hù) 7.3.2 國(guó)際聯(lián)網(wǎng)管理 7.3.3 商用密鑰管理 7.3.4 計(jì)算機(jī)病毒防治 7.3.5 安全產(chǎn)品檢測(cè)與銷售,上海財(cái)經(jīng)大學(xué) 勞幗齡,25,7.3信息系統(tǒng)安全保護(hù)的相關(guān)規(guī)定,7.3.1 信息系統(tǒng)安全保護(hù) 計(jì)算機(jī)信息系統(tǒng)的建設(shè)和運(yùn)用，應(yīng)當(dāng)遵紀(jì)守法 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度 計(jì)算機(jī)機(jī)房安全管理制度 計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)備案制度 計(jì)算機(jī)信息媒體進(jìn)出境申報(bào)制度 計(jì)算機(jī)信息系統(tǒng)使用單位安全負(fù)責(zé)制度 計(jì)算機(jī)案件強(qiáng)行報(bào)告制度 計(jì)算機(jī)病毒及其有害數(shù)據(jù)的專管制度 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品消受許可證制度,上海財(cái)經(jīng)大學(xué) 勞幗齡,26,7.3信息系統(tǒng)安全保護(hù)的相關(guān)規(guī)定,7.3.2 國(guó)際聯(lián)網(wǎng)管理 中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定 中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng)國(guó)際聯(lián)網(wǎng)管理辦法 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)出入口信道管理辦法 計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定 互聯(lián)網(wǎng)信息服務(wù)管理辦法 互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,上海財(cái)經(jīng)大學(xué) 勞幗齡,27,7.3信息系統(tǒng)安全保護(hù)的相關(guān)規(guī)定,7.3.3 商用密碼管理 7.3.4 計(jì)算機(jī)病毒防治 7.3.5 安全產(chǎn)品檢測(cè)與銷售,上海財(cái)經(jīng)大學(xué) 勞幗齡,28,7.4 電子商務(wù)安全管理制度,7.4.1 信息安全管理制度的內(nèi)涵 7.4.2 網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度 7.4.3 病毒防范制度 7.4.4 人員管理制度 7.4.5 保密制度 7.4.6 跟蹤、審計(jì)、稽核制度 7.4.7 應(yīng)急措施制度,小目錄,上海財(cái)經(jīng)大學(xué) 勞幗齡,29,7.4電子商務(wù)安全管理制度,7.4.1 信息安全管理制度的內(nèi)涵 一、計(jì)算機(jī)信息安全的定義 為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露ISO 計(jì)算機(jī)系統(tǒng)有能力控制給定的主體對(duì)給定的客體的存取美國(guó)防部可信計(jì)算機(jī)系統(tǒng)評(píng)級(jí)準(zhǔn)則 從保密性、完整性、可用性來(lái)衡量歐信息技術(shù)安全評(píng)級(jí)準(zhǔn)則,上海財(cái)經(jīng)大學(xué) 勞幗齡,30,7.4.1 信息安全管理制度的內(nèi)涵 二、計(jì)算機(jī)信息安全的基本要求（5條） 認(rèn)同用戶和鑒別 控制存取 保障完整性 審計(jì) 容錯(cuò) 三、信息安全管理制度 指用文字形式對(duì)各項(xiàng)安全要求所作的規(guī)定，它是保證企業(yè)電子商務(wù)取得成功的重要基礎(chǔ)工作，是企業(yè)人員安全工作德規(guī)范和準(zhǔn)則。,7.4電子商務(wù)安全管理制度,上海財(cái)經(jīng)大學(xué) 勞幗齡,31,7.4.2 網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度 硬件的日常管理和維護(hù) 網(wǎng)絡(luò)設(shè)備 服務(wù)器和客戶機(jī) 通信線路 軟件的日常管理和維護(hù) 支撐軟件 應(yīng)用軟件 數(shù)據(jù)備份,7.4電子商務(wù)安全管理制度,上海財(cái)經(jīng)大學(xué) 勞幗齡,32,7.4.3 病毒防范制度 給自己的計(jì)算機(jī)安裝防病毒軟件 不打開陌生地址的電子郵件 認(rèn)真執(zhí)行病毒定期清理制度 控制權(quán)限 高度警惕網(wǎng)絡(luò)陷阱,7.4電子商務(wù)安全管理制度,上海財(cái)經(jīng)大學(xué) 勞幗齡,33,7.4.4 人員管理制度 嚴(yán)格選拔網(wǎng)上交易人員 落實(shí)工作責(zé)任制 貫徹電子商務(wù)安全運(yùn)作基本原則,7.4電子商務(wù)安全管理制度,上海財(cái)經(jīng)大學(xué) 勞幗齡,34,7.4.5 保密制度 絕密級(jí) 機(jī)密級(jí) 秘密級(jí),7.4電子商務(wù)安全管理制度,上海財(cái)經(jīng)大學(xué) 勞幗齡,35,7.4.6 跟蹤、審計(jì)、稽核制度 跟蹤制度要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機(jī)制，用來(lái)記錄系統(tǒng)運(yùn)行的全過(guò)程。 審計(jì)制度包括：經(jīng)常對(duì)系統(tǒng)日志的檢查、審核，及時(shí)發(fā)現(xiàn)系統(tǒng)故意入侵行為的記錄和對(duì)系統(tǒng)安全功能違反的記錄，監(jiān)控和捕捉各種安全事件，保存、維護(hù)和管理系統(tǒng)日志。 稽核制度是指工商管理、銀行、稅務(wù)人員利用計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)，借助于稽核業(yè)務(wù)應(yīng)用軟件調(diào)閱、查詢、審核、判斷轄區(qū)內(nèi)各電子商務(wù)參與單位業(yè)務(wù)經(jīng)營(yíng)活動(dòng)的合理性、安全性，堵塞漏洞，保證電子商務(wù)交易安全，發(fā)出相應(yīng)的警示或做出處理處罰的有關(guān)決定的一系列步驟和措施。,7.4電子商務(wù)安全管理制度,上海財(cái)經(jīng)大學(xué) 勞幗齡,36,7.4.7 應(yīng)急措施制度 應(yīng)急措施 指在計(jì)算機(jī)災(zāi)難事件（即緊急事件或安全事故）發(fā)生時(shí)，利用應(yīng)急計(jì)劃、輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)。,7.4電子商務(wù)安全管理制度,上海財(cái)經(jīng)大學(xué) 勞幗齡,37,7.5電子商務(wù)安全的法律保障,7.5.1國(guó)際電子商務(wù)立法現(xiàn)狀 7.5.2我國(guó)電子商務(wù)立法現(xiàn)狀 7.5.3國(guó)內(nèi)與電子商務(wù)相關(guān)的法律法規(guī)政策 7.5.4電子簽名法律,小目錄,上海財(cái)經(jīng)大學(xué) 勞幗齡,38,7.5.1國(guó)際電子商務(wù)立法現(xiàn)狀 一、國(guó)際電子商務(wù)立法進(jìn)展 二、國(guó)際電子商務(wù)立法原則 電子商務(wù)基本上應(yīng)由私營(yíng)企業(yè)來(lái)主導(dǎo) 電子商務(wù)應(yīng)在開放、公平的競(jìng)爭(zhēng)環(huán)境中發(fā)展 政府干預(yù)應(yīng)在需要時(shí)起到促進(jìn)國(guó)際化法律環(huán)境建立、公平分配匱乏資源的作用，而且這種干預(yù)應(yīng)是透明的、少量的、重要的、有目標(biāo)的、非歧視性的、平等的，技術(shù)上是中性的 使私營(yíng)企業(yè)介入或涉入電子商務(wù)政策的制定 電子商務(wù)交易應(yīng)使用非電子手段的稅收概念相結(jié)合 電信設(shè)施建設(shè)應(yīng)是經(jīng)營(yíng)者在開放、公平的市場(chǎng)中競(jìng)爭(zhēng)并逐步實(shí)現(xiàn)全球化 保護(hù)個(gè)人隱私，對(duì)個(gè)人數(shù)據(jù)進(jìn)行加密保護(hù)；商家應(yīng)為消費(fèi)者提供安全保障設(shè)施，并保證用戶能方便實(shí)施、使用,7.5電子商務(wù)安全的法律保障,上海財(cái)經(jīng)大學(xué) 勞幗齡,39,7.5.2我國(guó)電子商務(wù)立法現(xiàn)狀 一、我國(guó)電子商務(wù)立法的相關(guān)背景 二、涉及的主要法律問(wèn)題 三、立法應(yīng)遵循的指導(dǎo)原則 國(guó)內(nèi)立法指導(dǎo)原則 鼓勵(lì)和發(fā)展電子商務(wù)是中國(guó)電子商務(wù)立法的首要前提 電子商務(wù)立法要與憲法和其他已存在的法律法規(guī)及我國(guó)認(rèn)同的國(guó)際法保持一致 電子商務(wù)立法要適合中國(guó)國(guó)情 中國(guó)發(fā)展電子商務(wù)的指導(dǎo)意見初稿內(nèi)容包括：電子薩胡的市場(chǎng)準(zhǔn)入和