電子商務(wù)安全體系分析

學(xué)習(xí)情境1

電子商務(wù)平安體系分析1.1電子商務(wù)及其系統(tǒng)構(gòu)成1.2電子商務(wù)平安概況1.3電子商務(wù)平安的保障1.4電子商務(wù)平安體系1.1電子商務(wù)及其系統(tǒng)構(gòu)成

電子商務(wù)的內(nèi)涵

電子商務(wù)系統(tǒng)構(gòu)成電子商務(wù)的內(nèi)涵1.世界電子商務(wù)會議關(guān)于電子商務(wù)的定義電子商務(wù)〔ELECTRONICCOMMERCE〕，是指對整個貿(mào)易活動實現(xiàn)電子化。2.政府部門對電子商務(wù)的定義電子商務(wù)是通過電子方式進(jìn)行的商務(wù)活動。包括貨物電子貿(mào)易和效勞、在線數(shù)據(jù)傳遞、電子資金劃撥、電子證券交易、電子貨運(yùn)單證、商業(yè)拍賣、合作設(shè)計和工程、在線資料、公共產(chǎn)品獲得。包括了產(chǎn)品〔如消費品、專門設(shè)備〕和效勞〔如信息效勞、金融和法律效勞〕、傳統(tǒng)活動〔如健身、體育〕和新型活動〔如虛擬購物、虛擬訓(xùn)練〕。電子商務(wù)的內(nèi)涵3.權(quán)威學(xué)者對電子商務(wù)的定義廣義地講，電子商務(wù)是一種現(xiàn)代商業(yè)方法。這種方法通過改善產(chǎn)品和效勞質(zhì)量、提高效勞傳遞速度，滿足政府組織、廠商和消費者的降低本錢的需求。這一概念也用于通過計算機(jī)網(wǎng)絡(luò)尋找信息以支持決策。一般地講，今天的電子商務(wù)通過計算機(jī)網(wǎng)絡(luò)將買方和賣方的信息、產(chǎn)品和效勞器聯(lián)系起來，而未來的電子商務(wù)者通過構(gòu)成信息高速公路的無數(shù)計算機(jī)網(wǎng)絡(luò)將買方和賣方聯(lián)系起來。電子商務(wù)的內(nèi)涵4.IT〔信息技術(shù)〕行業(yè)對電子商務(wù)的定義

IBM公司關(guān)于電子商務(wù)的描述，可以用一個公式來概括，即電子商務(wù)＝Web＋I(xiàn)T。它強(qiáng)調(diào)的是在網(wǎng)絡(luò)計算環(huán)境下的商業(yè)化應(yīng)用，是把買方、賣方、廠商及其合作伙伴在互聯(lián)網(wǎng)〔Internet〕、企業(yè)內(nèi)部網(wǎng)〔Intranet〕和企業(yè)外部網(wǎng)〔Extranet〕結(jié)合起來的應(yīng)用。電子商務(wù)的內(nèi)涵

狹義電子商務(wù)概念：電子商務(wù)的內(nèi)涵廣義電子商務(wù)概念：企業(yè)利用現(xiàn)代化信息技術(shù)開展的一切商務(wù)活動，如市場分析、客戶聯(lián)系、物資調(diào)配等。它既包括網(wǎng)上交易，還包括企業(yè)內(nèi)部業(yè)務(wù)活動〔如方案、生產(chǎn)、財務(wù)管理等〕以及企業(yè)之間的協(xié)作與協(xié)調(diào)。電子商務(wù)的內(nèi)涵

廣義電子商務(wù)和狹義電子商務(wù)電子商務(wù)的內(nèi)涵電子商務(wù)內(nèi)涵：1.電子商務(wù)的本質(zhì)是“商務(wù)〞，是在“電子〞根底上的商務(wù)2.電子商務(wù)的前提是商務(wù)信息化3.電子商務(wù)的核心是人4.電子商務(wù)是對傳統(tǒng)商務(wù)的改進(jìn)而不是革命5.電子工具必定是現(xiàn)代化的6.對象的變化也是至關(guān)重要的電子商務(wù)的內(nèi)涵電子商務(wù)的技術(shù)特征：1.信息化2.虛擬性3.集成性4.可擴(kuò)展性5.平安性6.系統(tǒng)性電子商務(wù)的內(nèi)涵電子商務(wù)的應(yīng)用特征：1.商務(wù)性2.效勞性3.協(xié)調(diào)性4.社會性5.全球性1.1.2電子商務(wù)系統(tǒng)構(gòu)成

1.電子商務(wù)系統(tǒng)的分類1〕按照商業(yè)活動的運(yùn)作方式分類：我們可以將電子商務(wù)分為純電子商務(wù)和局部電子商務(wù)。當(dāng)我們從商務(wù)涉及的產(chǎn)品〔product〕、過程〔process〕、交付代理〔deliveryagent〕三個維度上分析電子商務(wù)，會發(fā)現(xiàn)傳統(tǒng)商務(wù)在所有維度上都是物理的(physical)，而純電子商務(wù)在所有維度上都是數(shù)字的(digital)，除此之外，都屬于局部電子商務(wù)，它們是以數(shù)字和物理維度的結(jié)合來完成整個商務(wù)活動。1.1.2電子商務(wù)系統(tǒng)構(gòu)成

2〕按照使用網(wǎng)絡(luò)的類型來分類：基于EDI網(wǎng)絡(luò)的電子商務(wù)，就是利用EDI網(wǎng)絡(luò)進(jìn)行電子交易。3〕按照交易對象分類：B2B，B2C，B2G，C2G，C2C1.1.2電子商務(wù)系統(tǒng)構(gòu)成

2.電子商務(wù)的一般框架1.1.2電子商務(wù)系統(tǒng)構(gòu)成

3.電子商務(wù)系統(tǒng)的根本組成1.1.2電子商務(wù)系統(tǒng)構(gòu)成

4.電子商務(wù)系統(tǒng)的結(jié)構(gòu)〔1〕客戶機(jī)/效勞器〔C/S〕結(jié)構(gòu)：C/S結(jié)構(gòu)通過將任務(wù)合理分配到Client端和Server端，降低了系統(tǒng)的通訊開銷，可以充分利用兩端硬件環(huán)境的優(yōu)勢?！?〕B/W/S三層結(jié)構(gòu)：B/W/S〔browser/webserver/databaseserver〕三層結(jié)構(gòu)〔3〕電子商務(wù)系統(tǒng)結(jié)構(gòu)1.2電子商務(wù)平安概況電子商務(wù)平安概念與特點電子商務(wù)的風(fēng)險與平安問題電子商務(wù)系統(tǒng)平安的構(gòu)成電子商務(wù)平安概念與特點電子商務(wù)平安保護(hù)在電子商務(wù)系統(tǒng)里的企業(yè)或個人資產(chǎn)〔物理化的和電子化的〕不受未經(jīng)授權(quán)的訪問、使用、竄改或破壞。繼續(xù)電子商務(wù)平安概念與特點對電子商務(wù)平安的認(rèn)識應(yīng)注意以下幾個特點：1.平安不僅僅是平安管理部門的事情2.電子商務(wù)平安具有全面性、普遍性3.平安是一個系統(tǒng)概念4.平安是相對的、開展變化的5.平安是有代價的繼續(xù)電子商務(wù)平安概念與特點電子商務(wù)平安的特征1.保密性〔Confidentiality〕2.完整性〔Integrity〕3.可用性〔Availability〕繼續(xù)電子商務(wù)的風(fēng)險與平安問題1.電子商務(wù)的風(fēng)險要想有效管理電子商務(wù)風(fēng)險，一個企業(yè)開展電子商務(wù)需要考慮風(fēng)險的三個主要領(lǐng)域：危害性不確定性機(jī)遇電子商務(wù)的風(fēng)險與平安問題〔1〕危害性傳統(tǒng)的風(fēng)險管理趨于將注意力集中于危害性，也就是潛在的消極事件。在電子商務(wù)領(lǐng)域中，需要考慮的主要危險包括：1)平安性。2)法律和規(guī)那么問題。3)稅收。4)電子商務(wù)的彈性。返回電子商務(wù)的風(fēng)險與平安問題〔2〕不確定性不確定性管理，涉及規(guī)劃、決策制定、實施和監(jiān)控，以保證日常操作能夠提供有效果的和有效率的預(yù)計結(jié)果。在電子商務(wù)領(lǐng)域，需要管理的主要不確定性包括：1〕消費者的信心。2〕與廣告商的關(guān)系。3〕改變流程。返回電子商務(wù)的風(fēng)險與平安問題〔3〕機(jī)遇通過確定市場中的商機(jī)來利用風(fēng)險可以獲得有效的競爭優(yōu)勢并增加收益。

在電子商務(wù)領(lǐng)域，需要考慮的商機(jī)包括：返回1)建立客戶忠誠度。2)優(yōu)化業(yè)務(wù)流程。3)創(chuàng)造新的產(chǎn)品和效勞。電子商務(wù)的風(fēng)險與平安問題從電子商務(wù)的交易實施過程的角度來看，存在著諸如產(chǎn)品識別、質(zhì)量控制、網(wǎng)上支付、物流配送和信息傳遞，對以下的風(fēng)險因素進(jìn)行更詳細(xì)的分析：〔1〕產(chǎn)品識別風(fēng)險〔2〕質(zhì)量控制風(fēng)險〔3〕網(wǎng)上支付風(fēng)險〔4〕物權(quán)轉(zhuǎn)移中的風(fēng)險〔5〕信息傳遞風(fēng)險繼續(xù)電子商務(wù)的風(fēng)險與平安問題2.電子商務(wù)平安問題電子商務(wù)的平安問題主要涉及信息的平安問題、信用的平安問題、平安的管理問題以及電子商務(wù)平安的法律保障問題。繼續(xù)電子商務(wù)的風(fēng)險與平安問題〔1〕信息平安問題1〕信息泄密2〕信息篡改3〕信息喪失4〕信息破壞繼續(xù)電子商務(wù)的風(fēng)險與平安問題〔2〕信用平安問題1〕來自買方的信用平安問題2〕來自賣方的信用平安問題3〕買賣雙方的抵賴行為繼續(xù)電子商務(wù)的風(fēng)險與平安問題〔3〕平安的管理問題嚴(yán)格管理是降低電子商務(wù)風(fēng)險的重要保證。平安管理的目的，就是提供從事商務(wù)活動的可信的運(yùn)行環(huán)境，需要有完善的管理制度和相關(guān)的技術(shù)支持。人員管理常常是電子商務(wù)平安管理上的最薄弱環(huán)節(jié)。此外，目前現(xiàn)有的信息系統(tǒng)絕大多數(shù)都缺少平安管理員，缺少信息系統(tǒng)平安管理的技術(shù)標(biāo)準(zhǔn)，缺少定期的平安測試與檢查，更缺少平安監(jiān)控。繼續(xù)電子商務(wù)的風(fēng)險與平安問題〔4〕平安的法律保障問題電子商務(wù)的技術(shù)設(shè)計是先進(jìn)的、超前的、具有強(qiáng)大的生命力，但同時也必須清楚地認(rèn)識到，在目前的法律上是沒有現(xiàn)成的條文來保護(hù)電子商務(wù)交易中的交易方式的，在網(wǎng)上交易可能會承擔(dān)由于法律滯后而帶來的平安風(fēng)險。繼續(xù)電子商務(wù)的風(fēng)險與平安問題此外，電子商務(wù)給傳統(tǒng)稅收也造成了沖擊，各國之間的稅收平衡問題也突顯出來，會引發(fā)新的稅收風(fēng)險。繼續(xù)電子商務(wù)系統(tǒng)平安的構(gòu)成電子商務(wù)系統(tǒng)，從某種意義上說，就是一種建立在網(wǎng)絡(luò)環(huán)境里的計算機(jī)信息系統(tǒng)。1.系統(tǒng)實體平安2.系統(tǒng)運(yùn)行平安3.系統(tǒng)信息平安任務(wù)：試分析電子商務(wù)系統(tǒng)平安的構(gòu)成。電子商務(wù)系統(tǒng)平安的構(gòu)成1.系統(tǒng)實體平安實體平安，是指保護(hù)計算機(jī)設(shè)備、設(shè)施以及其他媒體免受自然災(zāi)害和其他環(huán)境事故〔如電磁污染等〕破壞的措施、過程。繼續(xù)電子商務(wù)系統(tǒng)平安的構(gòu)成系統(tǒng)實體平安的組成：〔1〕環(huán)境平安——就是要對電子商務(wù)系統(tǒng)所在的環(huán)境加以平安保護(hù)，主要包括災(zāi)害保護(hù)和區(qū)域保護(hù)?！?〕設(shè)備平安——是指對電子商務(wù)系統(tǒng)的設(shè)備〔包括網(wǎng)絡(luò)〕進(jìn)行平安保護(hù)，主要是設(shè)備防盜、設(shè)備防毀、防電磁信息泄漏、防線路截獲、抗電磁干擾以及電源保護(hù)?！?〕媒體平安——指對媒體數(shù)據(jù)和媒體本身實施平安保護(hù)。繼續(xù)電子商務(wù)系統(tǒng)平安的構(gòu)成2.系統(tǒng)運(yùn)行平安是指為保障系統(tǒng)功能的平安實現(xiàn)，提供一套平安措施來保護(hù)信息處理過程的平安。繼續(xù)電子商務(wù)系統(tǒng)平安的構(gòu)成〔1〕風(fēng)險分析，就是要對電子商務(wù)系統(tǒng)進(jìn)行人工或自動的風(fēng)險分析。〔2〕審計跟蹤，就是要對電子商務(wù)系統(tǒng)進(jìn)行人工或自動的審計跟蹤，保存審計記錄和維護(hù)詳盡的審計日志?！?〕備份與恢復(fù)，運(yùn)行平安中的備份與恢復(fù)，就是要提供對系統(tǒng)設(shè)備和系統(tǒng)數(shù)據(jù)的備份與恢復(fù)?！?〕應(yīng)急，運(yùn)行平安中的應(yīng)急措施，是為了在緊急事件或平安事故發(fā)生時，提供保障電子商務(wù)系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)所需要的策略。繼續(xù)電子商務(wù)系統(tǒng)平安的構(gòu)成3.信息平安是指防止信息財產(chǎn)被成心的或偶然的非授權(quán)泄漏、更改、破壞或使信息被非法的系統(tǒng)辨識、控制，信息平安要確保信息的完整性、保密性、可用性和可控性。信息平安由七個局部組成：〔1〕操作系統(tǒng)平安〔2〕數(shù)據(jù)庫平安〔3〕網(wǎng)絡(luò)平安〔4〕計算機(jī)病毒防護(hù)〔5〕訪問控制〔6〕加密〔7〕鑒別繼續(xù)〔1〕操作系統(tǒng)平安是指對計算機(jī)信息系統(tǒng)的硬件和軟件資源的有效控制，能夠為所管理的資源提供相應(yīng)的平安保護(hù)。操作系統(tǒng)的平安由兩個局部組成：1〕平安操作系統(tǒng)：指從系統(tǒng)設(shè)計、實現(xiàn)和使用等各個階段都遵循了一套完整的平安策略的操作系統(tǒng)。2)操作系統(tǒng)平安部件：操作系統(tǒng)平安部件的目的是增強(qiáng)現(xiàn)有操作系統(tǒng)的平安性。繼續(xù)〔2〕數(shù)據(jù)庫平安——是對數(shù)據(jù)庫系統(tǒng)所管理的數(shù)據(jù)和資源提供平安保護(hù)。1)平安數(shù)據(jù)庫系統(tǒng)，是指從系統(tǒng)設(shè)計、實現(xiàn)、使用和管理等各個階段都遵循一套完整的系統(tǒng)平安策略的數(shù)據(jù)庫系統(tǒng)。2)數(shù)據(jù)庫系統(tǒng)平安部件，是以現(xiàn)有數(shù)據(jù)庫系統(tǒng)所提供的功能為根底構(gòu)建平安模塊，旨在增強(qiáng)現(xiàn)有數(shù)據(jù)庫系統(tǒng)的平安性。繼續(xù)〔3〕網(wǎng)絡(luò)平安——是指提供訪問網(wǎng)絡(luò)平安資源或使用網(wǎng)絡(luò)效勞的平安保護(hù)。1)網(wǎng)絡(luò)平安管理，是指為網(wǎng)絡(luò)的使用提供平安管理。2)平安網(wǎng)絡(luò)系統(tǒng)，對網(wǎng)絡(luò)資源的訪問和網(wǎng)絡(luò)效勞的使用提供一套完整的平安保護(hù)，即從網(wǎng)絡(luò)系統(tǒng)的設(shè)計、實現(xiàn)、使用和管理各個階段，遵循一套完整的平安策略的網(wǎng)絡(luò)系統(tǒng)。3)網(wǎng)絡(luò)系統(tǒng)平安部件。繼續(xù)〔4〕計算機(jī)病毒防護(hù)1)單機(jī)系統(tǒng)病毒防護(hù)2)網(wǎng)絡(luò)系統(tǒng)病毒防護(hù)3)網(wǎng)絡(luò)系統(tǒng)平安部件〔5〕訪問控制1〕出入控制，是為了阻止非授權(quán)用戶進(jìn)入機(jī)構(gòu)或組織。2〕存取控制，是針對主體訪問客體時的存取控制，如通過對授權(quán)用戶存取系統(tǒng)敏感信息時進(jìn)行平安性檢查，以實現(xiàn)對授權(quán)用戶的存取權(quán)限的控制。繼續(xù)〔6〕加密加密，是將明文數(shù)據(jù)進(jìn)行某種變換，使其成為不可理解的形式的過程。加密必須依賴兩個要素：算法和密鑰?！?〕鑒別鑒別是指提供身份鑒別和信息鑒別。身份鑒別，是提供對信息收發(fā)方〔包括用戶，設(shè)備和進(jìn)程〕真實身份的鑒別；信息鑒別，是提供對信息的正確性，完整性和不可否認(rèn)性的鑒別。繼續(xù)1.3電子商務(wù)平安的保障1.3.1電子商務(wù)平安技術(shù)1.3.2電子商務(wù)平安國際標(biāo)準(zhǔn)1.3.3電子商務(wù)平安法律要素繼續(xù)電子商務(wù)平安技術(shù)繼續(xù)電子商務(wù)平安技術(shù)1.加密解密技術(shù)加密技術(shù)是信息平安技術(shù)中的一個重要的組成局部。加密就是用基于數(shù)學(xué)方法的程序和保密的密鑰對信息進(jìn)行編碼，把計算機(jī)數(shù)據(jù)變成一堆雜亂無章難以理解的字符串，也就是把明文變成密文。2.數(shù)字簽名技術(shù)通過數(shù)字簽名技術(shù)可以確認(rèn)當(dāng)事人的身份，起到了簽名或蓋章的作用，簽字方不能夠抵賴。通過數(shù)字簽名技術(shù)也能夠幫助我們鑒別信息自簽發(fā)后到收到為止是否被篡改正。繼續(xù)電子商務(wù)平安技術(shù)3.數(shù)字時間戳由DTS效勞機(jī)構(gòu)提供的電子商務(wù)平安效勞工程。專門用于證明信息的發(fā)送時間。4.驗證技術(shù)驗證是在遠(yuǎn)程通信中獲得信任的手段，是平安效勞中最為根本的內(nèi)容，因為必須通過可靠的驗證來進(jìn)行訪問控制，決定誰有權(quán)接受或修改信息，增強(qiáng)責(zé)任性以及實現(xiàn)不可否認(rèn)效勞。驗證常用的三種根本方式是口令方式、標(biāo)記方式、人體生物學(xué)特征方式。繼續(xù)電子商務(wù)平安技術(shù)5.數(shù)字證書技術(shù)

數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用于證明某一主體〔如個人用戶、效勞器等〕的身份以及其公鑰的合法性的一種權(quán)威性的電子文檔。它由權(quán)威公正的第三方機(jī)構(gòu)，即CA中心簽發(fā)，類似于現(xiàn)實生活中的身份證。繼續(xù)電子商務(wù)平安國際標(biāo)準(zhǔn)1.SSLSSL是通過在收發(fā)雙方建立平安通道來提高應(yīng)用程序間交換數(shù)據(jù)的平安性，從而實現(xiàn)瀏覽器和效勞器〔通常是Web效勞器〕之間的平安通信。SSL是一種利用公共密鑰技術(shù)的工業(yè)標(biāo)準(zhǔn)，廣泛用于Internet。目前大多數(shù)瀏覽器都支持SSL，很多Web效勞器也支持SSL。繼續(xù)電子商務(wù)平安國際標(biāo)準(zhǔn)2.SETSET協(xié)議是信用卡在互聯(lián)網(wǎng)上進(jìn)行支付的一種開放式標(biāo)準(zhǔn)，也是銀行卡平安支付的具體標(biāo)準(zhǔn)。目前已經(jīng)被廣為認(rèn)可而成了事實上的國際通用的網(wǎng)上支付標(biāo)準(zhǔn)，其交易形態(tài)將成為未來電子商務(wù)的標(biāo)準(zhǔn)。SET的制定與推廣既為業(yè)務(wù)相互滲透的各家信用卡公司提供了統(tǒng)一的平安通信標(biāo)準(zhǔn)，也促進(jìn)了信用卡在互聯(lián)網(wǎng)上作為支付工具的應(yīng)用。繼續(xù)電子商務(wù)平安法律要素1.保障交易各方身份認(rèn)證的法律電子交易的各方都需要擁有和證明自己的合法身份，通過設(shè)立在交易參與方之外的，第三方的公正機(jī)構(gòu)〔CA中心〕可以達(dá)成這樣的目標(biāo)，即取得由數(shù)字證書認(rèn)證中心簽發(fā)的數(shù)字化的證書，在交易的各個環(huán)節(jié)，交易的各方都可以檢驗對方數(shù)字證書的有效性。繼續(xù)電子商務(wù)平安法律要素2.電子合同的法律地位電子商務(wù)活動中，電子合同的有效性、電子簽章和數(shù)字