電子商務安全的現(xiàn)狀和趨勢

電子商務安全的現(xiàn)狀和趨勢第一頁，共三十四頁，編輯于2023年，星期日1.1電子商務安全問題1.2觸發(fā)電子商務安全問題的原因1.3電子商務安全的概念與基本要求1.4電子商務安全的現(xiàn)狀1.5網(wǎng)絡安全的十大不穩(wěn)定因素1.6電子商務安全防治措施1.7電子商務安全舉措2第二頁，共三十四頁，編輯于2023年，星期日1.1電子商務安全問題1.1.1漏洞1.1.2病毒1.1.3黑客攻擊1.網(wǎng)頁篡改2.僵尸網(wǎng)絡

1.1.4網(wǎng)絡仿冒3第三頁，共三十四頁，編輯于2023年，星期日1.1.1漏洞1995到2004年漏洞公布數(shù)量（單位：個）1.1電子商務安全問題4第四頁，共三十四頁，編輯于2023年，星期日1.1.1漏洞典型的安全漏洞1.Windows驚現(xiàn)高危漏洞，新圖片病毒能攻擊所有用戶2.WinXPSP2發(fā)現(xiàn)迄今最嚴重的安全漏洞3.采用SP2的系統(tǒng)發(fā)現(xiàn)10個嚴重安全漏洞。4.蘋果的漏洞補丁程序不起作用5.Solaris現(xiàn)致命漏洞，補丁遲遲不發(fā)布6.IE驚現(xiàn)最新地址欺騙漏洞7.IE和Mozilla等瀏覽器發(fā)現(xiàn)cookie漏洞8.Firefox和電子郵件客戶端出現(xiàn)三個安全漏洞9.黑客可以利用PHP“危急”漏洞控制Web服務器10.Java插件安全漏洞可能致使Windows和Linux受攻擊11.Real系列播放器發(fā)現(xiàn)危險級漏洞1.1電子商務安全問題5第五頁，共三十四頁，編輯于2023年，星期日1.1.2病毒蠕蟲病毒蠕蟲主要是利用系統(tǒng)的漏洞進行自動傳播復制，由于傳播過程中產(chǎn)生巨大的掃描或其他攻擊流量，從而使網(wǎng)絡流量急劇上升，造成網(wǎng)絡訪問速度變慢甚至癱瘓。1.1電子商務安全問題6第六頁，共三十四頁，編輯于2023年，星期日1.1.3黑客攻擊網(wǎng)頁篡改耐克網(wǎng)站被黑客篡改1.1電子商務安全問題7第七頁，共三十四頁，編輯于2023年，星期日1.1.3黑客攻擊網(wǎng)頁篡改2004年中國大陸網(wǎng)頁篡改情況（單位：件）1.1電子商務安全問題8第八頁，共三十四頁，編輯于2023年，星期日1.1.3黑客攻擊僵尸網(wǎng)絡僵尸網(wǎng)絡也稱為BotNet。Bot是robot的簡寫，通常是指可以自動地執(zhí)行預定義的功能，可以被預定義的命令控制，具有一定人工智能的程序。1.1電子商務安全問題9第九頁，共三十四頁，編輯于2023年，星期日1.1.4網(wǎng)絡仿冒2004年網(wǎng)絡仿冒事件報告（單位：起）1.1電子商務安全問題10第十頁，共三十四頁，編輯于2023年，星期日1.2觸發(fā)電子商務安全問題的原因1.2.1先天原因1.2.2后天原因1.管理2.人3.技術(shù)11第十一頁，共三十四頁，編輯于2023年，星期日1.2.1先天原因網(wǎng)絡的全球性、開放性和共享性使得電子商務傳輸過程中的信息安全存在先天不足。1.2.2后天原因管理——美國90%的IT企業(yè)對黑客的攻擊準備不足。人——黑客攻擊技術(shù)——軟件漏洞、后門1.2觸發(fā)電子商務安全問題的原因12第十二頁，共三十四頁，編輯于2023年，星期日1.3電子商務安全的概念與基本要求1.3.1電子商務系統(tǒng)安全的構(gòu)成1.系統(tǒng)實體安全2.系統(tǒng)運行安全3.信息安全1.3.2電子商務安全的需求13第十三頁，共三十四頁，編輯于2023年，星期日電子商務交易示意圖1.3電子商務安全的概念與基本要求14第十四頁，共三十四頁，編輯于2023年，星期日1.3.1電子商務系統(tǒng)安全的構(gòu)成計算機信息系統(tǒng)是指由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構(gòu)成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。1.3電子商務安全的概念與基本要求15第十五頁，共三十四頁，編輯于2023年，星期日1.3.1電子商務系統(tǒng)安全的構(gòu)成1.系統(tǒng)實體安全2.系統(tǒng)運行安全3.信息安全1.3電子商務安全的概念與基本要求16第十六頁，共三十四頁，編輯于2023年，星期日1.3.1電子商務系統(tǒng)安全的構(gòu)成1.3電子商務安全的概念與基本要求17第十七頁，共三十四頁，編輯于2023年，星期日1.3電子商務安全的概念與基本要求術(shù)語定義保密性（security）保護機密信息不被非法存取以及信息在傳輸過程中不被非法竊取。完整性（integrity）防止信息在傳輸過程中丟失和重復以及非法用戶對信息的惡意篡改。認證性（authenticity）確保交易信息的真實性和交易雙方身份的合法性可控性（accesscontrol）保證系統(tǒng)、數(shù)據(jù)和服務能由合法人員訪問不可否認性（non-repudiation）有效防止通信或交易雙方對已進行的業(yè)務的否認1.3.2電子商務安全的需求18第十八頁，共三十四頁，編輯于2023年，星期日1.4電子商務安全的現(xiàn)狀1.4.1法律法規(guī)建設1.電腦犯罪立法2.有關計算機安全的法律法規(guī)3.有關保護個人隱私的法律法規(guī)4.有關網(wǎng)絡知識產(chǎn)權(quán)保護的法律法規(guī)5.有關電子合同的法律法規(guī)1.4.2理論研究和技術(shù)開發(fā)19第十九頁，共三十四頁，編輯于2023年，星期日1.4電子商務安全的現(xiàn)狀1.4.1法律法規(guī)建設1.電腦犯罪立法犯罪行為美國英國澳大利亞中國香港黑客攻擊嘗試性（如口令猜測）成功攻擊，但不造成損失成功攻擊，且造成損失有進一步犯罪動機無有無有無有有有有有有有有有有有篡改行為未經(jīng)授權(quán)訪問并篡改電腦數(shù)據(jù)經(jīng)授權(quán)訪問電腦但擅自篡改電腦數(shù)據(jù)干預和破壞正常的電腦運行有有有有無無有有有無有有其他方面買賣口令跨國界適用涉及所有電腦有無無無無有無無無有無有最長刑期黑客行為篡改行為20年5年2年5年20年5年10年12年20第二十頁，共三十四頁，編輯于2023年，星期日1.4電子商務安全的現(xiàn)狀1.4.1法律法規(guī)建設2.有關計算機安全的法律法規(guī)國家/組織法律法規(guī)說明歐盟2001年《關于網(wǎng)絡犯罪的公約》加強社會防衛(wèi)，打擊盜版、網(wǎng)絡欺詐、兒童色情和危害網(wǎng)絡安全等嚴重的網(wǎng)絡犯罪美國1970年《金融秘密權(quán)利法》1984年《偽造存取手段以及計算機詐騙與濫用法》1986年《計算機詐騙與濫用法》《國家信息基礎保護法》1987年《聯(lián)邦計算機安全處罰條例》對金融業(yè)計算機存儲數(shù)據(jù)的保護作了規(guī)定明確了對網(wǎng)絡犯罪的處罰中國1994年《中華人民共和國計算機信息系統(tǒng)安全保護條例》1996年《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)暫行規(guī)定》1997年《計算機信息網(wǎng)絡安全保護管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》2000年《互聯(lián)網(wǎng)信息服務管理辦法》、《關于維護互聯(lián)網(wǎng)安全的決定》21第二十一頁，共三十四頁，編輯于2023年，星期日1.4電子商務安全的現(xiàn)狀1.4.1法律法規(guī)建設3.有關保護個人隱私的法律法規(guī)國家法律法規(guī)說明美國1980年《隱私保護法》1986年《電子通信隱私法》1988年《視頻隱私保護法》1997年《消費者因特網(wǎng)隱私保護法》1997年《聯(lián)邦因特網(wǎng)隱私保護法》1997年《通信隱私和消費者權(quán)利法》1997年《資料隱私法》1999年《因特網(wǎng)保護個人隱私的政策》1999年《金融服務現(xiàn)代化法》為計算機形式的文件提供隱私保護禁止個人在沒有獲權(quán)的情況下截取通信資料保護圖片傳輸?shù)碾[私要求計算機服務在公布用戶信息時必須事先得到用戶的書面同意禁止聯(lián)邦結(jié)構(gòu)在因特網(wǎng)上公布個人信息保護在線交易中的隱私權(quán)限制使用關于個人的信息禁止未經(jīng)消費者同意傳播消費者的信息英國1998年7月《數(shù)據(jù)保護法》澳大利亞“個人數(shù)據(jù)保護十原則”日本《個人數(shù)據(jù)保護法》22第二十二頁，共三十四頁，編輯于2023年，星期日1.4電子商務安全的現(xiàn)狀1.4.1法律法規(guī)建設4.有關網(wǎng)絡知識產(chǎn)權(quán)保護的法律法規(guī)國家/組織法律法規(guī)說明世界知識產(chǎn)權(quán)組織1996年12月《世界知識產(chǎn)權(quán)組織版權(quán)保護條約》對信息網(wǎng)絡環(huán)境下的軟件、數(shù)據(jù)庫的著作權(quán)保護和信息數(shù)字化、網(wǎng)絡傳輸、技術(shù)措施、版本信息等問題進行了解釋歐盟2001年《關于網(wǎng)絡犯罪的公約》加強社會防衛(wèi)，打擊盜版、網(wǎng)絡欺詐、兒童色情和危害網(wǎng)絡安全等嚴重的網(wǎng)絡犯罪美國1997年《禁止電子盜竊法》是保護網(wǎng)絡知識產(chǎn)權(quán)方面最重大的進步《數(shù)字版權(quán)凈化和技術(shù)教育法》通過豁免遠程教學的版權(quán)，限制了數(shù)字版權(quán)侵犯的范圍《在線版權(quán)有限責任法》保護因特網(wǎng)服務提供商，使他們在無法控制或不知侵害結(jié)果的特殊情況下直接或間接違法時免予承擔責任1998年《數(shù)字版權(quán)法》侵權(quán)行為即使不帶有營利性的動機，達到一定條件亦可被判定為犯罪23第二十三頁，共三十四頁，編輯于2023年，星期日1.4電子商務安全的現(xiàn)狀1.4.1法律法規(guī)建設5.有關電子合同的法律法規(guī)我國2005年4月1日出臺的《中華人民共和國電子簽名法》承認了電子簽名的法律效力，它是我國電子商務領域的第一部國家法，具有劃時代的意義。24第二十四頁，共三十四頁，編輯于2023年，星期日1.4電子商務安全的現(xiàn)狀1.4.2理論研究和技術(shù)開發(fā)在提供保密性的加密算法里，有基于分組加密的DES算法，有基于大數(shù)因子分解的RSA算法，還有基于NP完全理論的背包加密算法，基于離散對數(shù)的ElGamal加密算法等等；在提供完整性和不可否認性的數(shù)字簽名里，不僅有RSA簽名和ElGamal簽名，還有盲簽名、多重簽名和定向簽名、代理簽名等；在提供認證性領域里，有目前流行的公鑰基礎設施（PKI）；更有防火墻、授權(quán)服務器等產(chǎn)品來提供可控性。25第二十五頁，共三十四頁，編輯于2023年，星期日1.5網(wǎng)絡安全的十大不穩(wěn)定因素1.Cookie2.CGI(通用網(wǎng)關接口)3.Java4.自由軟件5.電子郵件6.微軟7.認證和授權(quán)8.Linux9.ICP10.網(wǎng)絡管理員26第二十六頁，共三十四頁，編輯于2023年，星期日1.6電子商務安全防治措施1.6.1技術(shù)措施1.6.2管理措施27第二十七頁，共三十四頁，編輯于2023年，星期日1.6電子商務安全防治措施1.6.1技術(shù)措施1.網(wǎng)絡安全檢測設備2.訪問設備3.防火墻4.瀏覽器/服務器軟件5.端口保護6.訪問控制7.數(shù)據(jù)加密8.數(shù)字證書9.保護傳輸線路安全10.路由選擇機制11.流量控制12.防入侵措施28第二十八頁，共三十四頁，編輯于2023年，星期日1.6電子商務安全防治措施1.6.2管理措施1.人員管理制度2.保密制度3.跟蹤、審計、稽核制度4.系統(tǒng)維護制度硬件的日常管理與維護軟件的日常管理與維護5.數(shù)據(jù)容災制度6.病毒防范制度7.應急措施29第二十九頁，共三十四頁，編輯于2023年，星期日1.7電子商務安全舉措1.7.1未來電子商務安全工作1.7.2加強網(wǎng)絡安全的十條建議30第三十頁，共三十四頁，編輯于2023年，星期日1.7電子商務安全舉措1.7.1未來電子商務安全工作加強立法，參照先進國家已有的有效法律，不斷創(chuàng)新，完善保護電子商務安全和打擊網(wǎng)絡犯罪的法律保障體系。建立相關機構(gòu)，采取實際措施打擊網(wǎng)絡犯罪。加大對網(wǎng)絡安全技術(shù)的投入，提高網(wǎng)絡安全技術(shù)水平。鼓勵企業(yè)加強自我保護，防范網(wǎng)絡犯罪侵害。加強國際合作，增強全球范圍內(nèi)打擊網(wǎng)絡犯罪的力度。加強對國民的網(wǎng)絡安全教育，注重對優(yōu)秀計算機人才的培養(yǎng)。31第三十一頁，共三十四頁，編輯于2023年，星期日1.7電子商務安全舉措1.7.2加強網(wǎng)絡安全的十條建議1.安裝操作系統(tǒng)和服務器所有的補丁程序。2.為網(wǎng)絡設備升級。3.如果是通過網(wǎng)絡服務商提供接入服務的，應當與網(wǎng)絡服務商保持聯(lián)系，不要讓自己無意中卷入了拒絕服務攻擊，時刻保證自己的設備安全無憂。4.通過使用防火墻等方式，制定嚴格的網(wǎng)絡安全規(guī)則，對進出網(wǎng)絡的信息進行嚴格限定。5.將網(wǎng)絡的TCP超時限制縮短至15分鐘（9