電子商務(wù)安全電子商務(wù)安全評(píng)估與法律課件

1、電子商務(wù)安全電子商務(wù)安全評(píng)估與法律第第9章章 電子商務(wù)安全評(píng)估與法律保護(hù)電子商務(wù)安全評(píng)估與法律保護(hù)電子商務(wù)安全電子商務(wù)安全評(píng)估與法律第第9章章 電子商務(wù)安全評(píng)估與法律保護(hù)電子商務(wù)安全評(píng)估與法律保護(hù)任務(wù)驅(qū)動(dòng)任務(wù)驅(qū)動(dòng)隨著電子商務(wù)的發(fā)展，安全問(wèn)題顯得越來(lái)越突出。概括地說(shuō)，電子商務(wù)的安全主要體現(xiàn)在交易的有效性和可執(zhí)行性、交易機(jī)制的可靠性、交易過(guò)程的完整性和保密性。目前，電子商務(wù)安全問(wèn)題的解決，可以分為技術(shù)與法律兩方面。通過(guò)本章學(xué)習(xí)，學(xué)生應(yīng)該能夠掌握電子商務(wù)安全評(píng)估中的風(fēng)險(xiǎn)管理知識(shí)，了解安全成熟度模型，識(shí)別電子商務(wù)面臨的威脅，了解電子商務(wù)的安全評(píng)估方法，熟悉有關(guān)電子商務(wù)的基本法律法規(guī)。 電子商務(wù)安全電子

2、商務(wù)安全評(píng)估與法律第第9章章 電子商務(wù)安全評(píng)估與法律保護(hù)電子商務(wù)安全評(píng)估與法律保護(hù)本章內(nèi)容9.1電子商務(wù)安全評(píng)估9.2電子商務(wù)的法律法規(guī)電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.1 電子商務(wù)安全評(píng)估電子商務(wù)安全評(píng)估9.1.1風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理1風(fēng)險(xiǎn)的概念風(fēng)險(xiǎn)的概念風(fēng)險(xiǎn)是構(gòu)成安全基礎(chǔ)的基本觀念。風(fēng)險(xiǎn)是丟失需要保護(hù)的資產(chǎn)的可能性。如果沒(méi)有風(fēng)險(xiǎn)，就不需要安全了。 漏洞威脅威脅+漏洞風(fēng)險(xiǎn)電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.1 電子商務(wù)安全評(píng)估電子商務(wù)安全評(píng)估2風(fēng)險(xiǎn)的識(shí)別與測(cè)量風(fēng)險(xiǎn)的識(shí)別對(duì)一個(gè)組織而言，識(shí)別風(fēng)險(xiǎn)除了要識(shí)別漏洞和威脅外，還應(yīng)考慮已有的對(duì)策和預(yù)防措 施，如圖9-1所示。電子商務(wù)安全電子商務(wù)安全評(píng)

3、估與法律9.1 電子商務(wù)安全評(píng)估電子商務(wù)安全評(píng)估風(fēng)險(xiǎn)的測(cè)量風(fēng)險(xiǎn)測(cè)量是必須識(shí)別出在受到攻擊后該組織需要付出的代價(jià)。圖9-2表示風(fēng)險(xiǎn)測(cè)量的全部。電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.1 電子商務(wù)安全評(píng)估電子商務(wù)安全評(píng)估認(rèn)識(shí)到風(fēng)險(xiǎn)使該組織付出的代價(jià)也是確定如何管理風(fēng)險(xiǎn)的決定因素。風(fēng)險(xiǎn)永遠(yuǎn)不可能完全去除，風(fēng)險(xiǎn)必須管理。代價(jià)是多方面的，包括 ：資金時(shí)間資源信譽(yù)電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.1 電子商務(wù)安全評(píng)估電子商務(wù)安全評(píng)估9.1.2安全成熟度模型安全成熟度模型成熟度模型可用來(lái)測(cè)量組織的解決方案(軟件、硬件和系統(tǒng))的能力和效力。因此它可用于安全評(píng)估，以測(cè)量針對(duì)業(yè)界最佳實(shí)際的安全體系結(jié)構(gòu)?？梢跃鸵?/p>

4、下3個(gè)方面進(jìn)行分析：計(jì)劃、技術(shù)和配置、操作運(yùn)行過(guò)程。安全計(jì)劃包括安全策略、標(biāo)準(zhǔn)、指南以及安全需求。技術(shù)和配置的成熟度水平根據(jù)選擇的特定產(chǎn)品、準(zhǔn)則，在組織內(nèi)的安置以及產(chǎn)品配置而定。操作運(yùn)行過(guò)程包括變更管理、報(bào)警和監(jiān)控，以及安全教育方面。 電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.1 電子商務(wù)安全評(píng)估電子商務(wù)安全評(píng)估1安全計(jì)劃一個(gè)好的安全體系結(jié)構(gòu)必須建立在一個(gè)堅(jiān)固的安全計(jì)劃基礎(chǔ)之上。計(jì)劃的文本必須清晰、完整。 2技術(shù)和配置3運(yùn)行過(guò)程運(yùn)行過(guò)程包括安全組件需要的必要支持和維護(hù)、變更管理、經(jīng)營(yíng)業(yè)務(wù)的連續(xù)性、用戶安全意識(shí)培訓(xùn)、安全管理，以及安全報(bào)警與監(jiān)控等。 電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.1 電子商務(wù)

5、安全評(píng)估電子商務(wù)安全評(píng)估9.1.3威脅威脅威脅包含3個(gè)組成部分：目標(biāo)，可能受到攻擊的方面。代理，發(fā)出威脅的人或組織。事件，做出威脅的動(dòng)作類型。 電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.1 電子商務(wù)安全評(píng)估電子商務(wù)安全評(píng)估1威脅的來(lái)源人為差錯(cuò)和設(shè)計(jì)缺陷內(nèi)部人員臨時(shí)員工自然災(zāi)害和環(huán)境危害黑客和其他入侵者病毒和其他惡意軟件電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.1 電子商務(wù)安全評(píng)估電子商務(wù)安全評(píng)估2威脅情況與對(duì)策社會(huì)工程(系統(tǒng)管理過(guò)程)電子竊聽軟件缺陷信任轉(zhuǎn)移(主機(jī)之間的信任關(guān)系)數(shù)據(jù)驅(qū)動(dòng)攻擊(惡意軟件)拒絕服務(wù)DNS欺騙源路由內(nèi)部威脅電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.1 電子商務(wù)安全評(píng)估電子商務(wù)安

6、全評(píng)估9.1.4安全評(píng)估方法安全評(píng)估方法1安全評(píng)估過(guò)程安全評(píng)估過(guò)程安全評(píng)估方法的第一步是發(fā)現(xiàn)階段，所有有關(guān)安全體系結(jié)構(gòu)適用的文本都必須檢查，包括安全策略、標(biāo)準(zhǔn)、指南，信息等級(jí)分類和訪問(wèn)控制計(jì)劃，以及應(yīng)用安全需求。評(píng)估的第二步是人工檢查階段，將文本描述的體系結(jié)構(gòu)與實(shí)際的結(jié)構(gòu)進(jìn)行比較，找出其差別。可以采用手工的方法，也可采用自動(dòng)的方法。評(píng)估的第三步是漏洞測(cè)試階段。 安全評(píng)估的最后一步是認(rèn)證安全體系結(jié)構(gòu)的處理過(guò)程部分。 電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.1 電子商務(wù)安全評(píng)估電子商務(wù)安全評(píng)估2網(wǎng)絡(luò)安全評(píng)估網(wǎng)絡(luò)評(píng)估的第一步是了解網(wǎng)絡(luò)的拓?fù)?。假如防火墻在阻斷跟蹤路由分組，這就比較復(fù)雜，因?yàn)楦櫬酚善魇?/p>

7、用來(lái)繪制網(wǎng)絡(luò)拓?fù)涞?。第二步是獲取公共訪問(wèn)機(jī)器的名字和IP地址，這是比較容易完成的。只要使用DNS并在ARIN(American Registry for Internet Number)試注冊(cè)所有的公共地址。最后一步是對(duì)全部可達(dá)主機(jī)做端口掃描的處理。端口是用于TCPIP和UDP網(wǎng)絡(luò)中將一個(gè)端口標(biāo)識(shí)到一個(gè)邏輯連接的術(shù)語(yǔ)。 電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.1 電子商務(wù)安全評(píng)估電子商務(wù)安全評(píng)估3平臺(tái)安全評(píng)估平臺(tái)安全評(píng)估的目的是認(rèn)證平臺(tái)的配置(操作系統(tǒng)對(duì)已知漏洞不易受損、文件保護(hù)及配置文件有適當(dāng)?shù)谋Ｗo(hù))。認(rèn)證的惟一方法是在平臺(tái)自身上執(zhí)行一個(gè)程序。有時(shí)該程序稱為代理，因?yàn)榧械墓芾沓绦蛴纱碎_始。假

8、如平臺(tái)已經(jīng)適當(dāng)加固，那么就有一個(gè)基準(zhǔn)配置。評(píng)估的第一部分是認(rèn)證基準(zhǔn)配置、操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)(、telnet、SSH等)沒(méi)有變更。黑客首先是將這些文件替換成自己的版本。這些版本通常是記錄管理員的口令，并轉(zhuǎn)發(fā)給Internet上的攻擊者。假如任何文件需打補(bǔ)丁或使用服務(wù)包，代理將通知管理員。第二部分測(cè)試是認(rèn)證管理員的口令，大部分機(jī)器不允許應(yīng)用用戶登錄到平臺(tái)，對(duì)應(yīng)用的用戶鑒別是在平臺(tái)上運(yùn)行的，而不是平臺(tái)本身。4應(yīng)用安全評(píng)估電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.1 電子商務(wù)安全評(píng)估電子商務(wù)安全評(píng)估9.1.5安全評(píng)估準(zhǔn)則安全評(píng)估準(zhǔn)則1可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則2信息技術(shù)安全評(píng)估準(zhǔn)則3通用安全評(píng)估準(zhǔn)則4計(jì)算機(jī)信

9、息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.2電子商務(wù)的法律法規(guī)電子商務(wù)的法律法規(guī)9.2.1電子商務(wù)發(fā)展中遇到的法律問(wèn)題電子商務(wù)發(fā)展中遇到的法律問(wèn)題1跨國(guó)界網(wǎng)絡(luò)經(jīng)濟(jì)對(duì)各國(guó)法律的沖擊2網(wǎng)上簽訂合同的有效性發(fā)盤的生效發(fā)盤的撤回與撤銷接受的生效與撤回合同的形式問(wèn)題3網(wǎng)上知識(shí)產(chǎn)權(quán)的保護(hù)域名保護(hù)版權(quán)保護(hù)專利權(quán)保護(hù)4隱私權(quán)的保護(hù)電子商務(wù)安全電子商務(wù)安全評(píng)估與法律9.2.2電子商務(wù)的立法狀況電子商務(wù)的立法狀況1國(guó)際范圍內(nèi)的電子商務(wù)法律建設(shè)國(guó)際范圍內(nèi)的電子商務(wù)法律建設(shè)聯(lián)合國(guó)聯(lián)合國(guó)電子商務(wù)示范法電子商務(wù)示范法美國(guó)的電子商務(wù)立法美國(guó)的電子商務(wù)立法歐盟有關(guān)電子商務(wù)的立法狀況歐盟有關(guān)電子商務(wù)的立法狀況新加坡的電子商務(wù)立法新加坡的電子商務(wù)立法日本推動(dòng)電子商務(wù)發(fā)展的政策文件日本推動(dòng)電子商務(wù)發(fā)展的政策文件澳大利亞的電子商務(wù)立法澳大利亞的電子商務(wù)立法電子商務(wù)安全電子商務(wù)安全評(píng)估與法律2我國(guó)電子商務(wù)的立法現(xiàn)狀我國(guó)電子商務(wù)活動(dòng)的法律建設(shè)現(xiàn)狀我國(guó)現(xiàn)階段電子商務(wù)活動(dòng)的立法任務(wù)3我國(guó)電子商務(wù)立法的總則立法目的消除電子商務(wù)發(fā)展的法律障礙。消除現(xiàn)有法律適用上的不確定性，保護(hù)合理的商業(yè)預(yù)期，保障交易安全。建立一個(gè)清晰的法律框架