電子商務(wù)的安全問(wèn)題及要求

電子商務(wù)的安全管理

（p255）

企業(yè)利用電子商務(wù)面臨的最重要問(wèn)題就是安全問(wèn)題，保證安全是進(jìn)行網(wǎng)上交易的基礎(chǔ)和保障。電子商務(wù)的安全問(wèn)題是一個(gè)系統(tǒng)性問(wèn)題，需要從技術(shù)上，管理上和法律上來(lái)綜合建設(shè)和完善安全保障體系。

電子商務(wù)的安全管理4.1電子商務(wù)的安全問(wèn)題及要求

4.2電子商務(wù)安全技術(shù)

4.3電子商務(wù)安全制度

4.4防止非法入侵

4.1電子商務(wù)的安全問(wèn)題及要求

一、電子商務(wù)的安全問(wèn)題

（一）電子商務(wù)交易帶來(lái)的安全威脅

（二）電子商務(wù)的安全風(fēng)險(xiǎn)來(lái)源

二、電子商務(wù)的安全要求

（一）有效性

（二）機(jī)密性（三）完整性（四）真實(shí)性和不可抵賴性的鑒別

三、電子商務(wù)安全管理思路

一、電子商務(wù)的安全問(wèn)題

（一）電子商務(wù)交易帶來(lái)的安全威脅在傳統(tǒng)交易過(guò)程中，買(mǎi)賣雙方是面對(duì)面的，很容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但是在電子商務(wù)過(guò)程中，買(mǎi)賣雙方通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系，建立交易雙方的安全和信任關(guān)系相當(dāng)困難。因此，在電子商務(wù)交易雙方都面臨著安全威脅。1.銷售者面臨的威脅2.購(gòu)買(mǎi)者面臨的威脅

1.銷售者面臨的威脅（1）中央系統(tǒng)安全性被破壞（2）競(jìng)爭(zhēng)者檢索商品遞送狀況（3）系統(tǒng)中存儲(chǔ)的客戶資料被競(jìng)爭(zhēng)者竊取。（4）被他人假冒而損害企業(yè)的信譽(yù)。（5）消費(fèi)者提交訂單后不付款。（6）競(jìng)爭(zhēng)對(duì)手提交虛假訂單。（7）被他人試探，丟失商業(yè)機(jī)密。入侵者假冒成合法用戶來(lái)改變用戶數(shù)據(jù)（如商品的送達(dá)地址）、解除用戶訂單或生產(chǎn)虛假訂單。有時(shí)惡意入侵者在一個(gè)很短的時(shí)間內(nèi)以大量的電子郵件配合，針對(duì)銀行或電子商務(wù)網(wǎng)站進(jìn)行攻擊，聲稱這個(gè)網(wǎng)站“正在維護(hù)中，請(qǐng)從這里訪問(wèn)您的賬戶”。惡意競(jìng)爭(zhēng)者以他人的名義來(lái)訂購(gòu)商品，從而了解有關(guān)商品的遞送狀況和貨物的庫(kù)存情況。不誠(chéng)實(shí)的人建立于銷售者服務(wù)器名字相同的另一個(gè)服務(wù)器來(lái)假冒銷售者。據(jù)中安在線2010年11月20日?qǐng)?bào)道，不法分子利用“taoba0”冒充“taobao”網(wǎng)站來(lái)竊取用戶賬號(hào)密碼，從而給淘寶客戶造成了巨大的經(jīng)濟(jì)損失。

案例：（二）電子商務(wù)的安全風(fēng)險(xiǎn)來(lái)源

1.網(wǎng)絡(luò)系統(tǒng)自身的安全風(fēng)險(xiǎn)2.信息傳輸風(fēng)險(xiǎn)3.信用風(fēng)險(xiǎn)4.管理風(fēng)險(xiǎn)5.法律風(fēng)險(xiǎn)1.網(wǎng)絡(luò)系統(tǒng)自身的安全風(fēng)險(xiǎn)①物理實(shí)體的安全風(fēng)險(xiǎn)

②計(jì)算機(jī)軟件系統(tǒng)風(fēng)險(xiǎn)③網(wǎng)絡(luò)協(xié)議的安全漏洞④黑客的惡意攻擊⑤計(jì)算機(jī)病毒攻擊1）設(shè)備故障2）電源故障：丟失數(shù)據(jù)、損壞硬件3）電磁泄漏導(dǎo)致信息失密4）搭線竊聽(tīng)5）自然災(zāi)害1.網(wǎng)絡(luò)系統(tǒng)自身的安全風(fēng)險(xiǎn)①物理實(shí)體的安全風(fēng)險(xiǎn)

②計(jì)算機(jī)軟件系統(tǒng)風(fēng)險(xiǎn)③網(wǎng)絡(luò)協(xié)議的安全漏洞④黑客的惡意攻擊⑤計(jì)算機(jī)病毒攻擊

網(wǎng)絡(luò)軟件的漏洞和“后門(mén)”是進(jìn)行網(wǎng)絡(luò)攻擊的首選目標(biāo)。應(yīng)該及時(shí)安裝補(bǔ)丁程序1.網(wǎng)絡(luò)系統(tǒng)自身的安全風(fēng)險(xiǎn)①物理實(shí)體的安全風(fēng)險(xiǎn)

②計(jì)算機(jī)軟件系統(tǒng)風(fēng)險(xiǎn)③網(wǎng)絡(luò)協(xié)議的安全漏洞

④黑客的惡意攻擊⑤計(jì)算機(jī)病毒攻擊網(wǎng)絡(luò)服務(wù)是通過(guò)各種各樣的協(xié)議完成的，協(xié)議的安全性是網(wǎng)絡(luò)安全的一個(gè)重要方面。如果網(wǎng)絡(luò)通信協(xié)議存在安全上的缺陷，攻擊者會(huì)利用協(xié)議的安全漏洞得逞的。1.網(wǎng)絡(luò)系統(tǒng)自身的安全風(fēng)險(xiǎn)①物理實(shí)體的安全風(fēng)險(xiǎn)

②計(jì)算機(jī)軟件系統(tǒng)風(fēng)險(xiǎn)③網(wǎng)絡(luò)協(xié)議的安全漏洞④黑客的惡意攻擊

⑤計(jì)算機(jī)病毒攻擊黑客（hacking）是指非法入侵計(jì)算機(jī)系統(tǒng)的人。黑客在網(wǎng)絡(luò)上經(jīng)常采用的手段有：利用操作系統(tǒng)提供的缺省賬戶進(jìn)行攻擊；截取口令方法：通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)或記錄用戶的擊鍵得到用戶的口令。尋找系統(tǒng)漏洞偷取特權(quán)清理磁盤(pán)等案例：

96年初CHINANET受到某高校的一個(gè)研究生的攻擊；96年秋，北京某ISP和它的用戶發(fā)生了一些矛盾，此用戶便攻擊該ISP的服務(wù)器，致使服務(wù)中斷了數(shù)小時(shí)。

97年初，北京某ISP被黑客成功侵入，并在清華大學(xué)“水木清華”BBS站的“黑客與解密”討論區(qū)張貼有關(guān)如何免費(fèi)通過(guò)該ISP進(jìn)入Internet的文章。

1.網(wǎng)絡(luò)系統(tǒng)自身的安全風(fēng)險(xiǎn)①物理實(shí)體的安全風(fēng)險(xiǎn)

②計(jì)算機(jī)軟件系統(tǒng)風(fēng)險(xiǎn)③網(wǎng)絡(luò)協(xié)議的安全漏洞④黑客的惡意攻擊⑤計(jì)算機(jī)病毒攻擊

計(jì)算機(jī)病毒是編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并且能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。怎么感染病毒呢？從互聯(lián)網(wǎng)上下載軟件運(yùn)行電子郵件中的附件通過(guò)交換磁盤(pán)來(lái)交換文件將文件在局域網(wǎng)中進(jìn)行復(fù)制案例：

網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)犯罪2006年12月初，我國(guó)互聯(lián)網(wǎng)上大規(guī)模爆發(fā)“熊貓燒香”病毒及其變種。一只憨態(tài)可掬、頷首敬香的“熊貓”在互聯(lián)網(wǎng)上瘋狂“作案”。在病毒卡通化的外表下，隱藏著巨大的傳染潛力，短短三四個(gè)月，“燒香”潮波及上千萬(wàn)個(gè)人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶，造成直接和間接損失超過(guò)1億元。2007年2月3日，“熊貓燒香”病毒的制造者李俊落網(wǎng)。李俊向警方交代，他曾將“熊貓燒香”病毒出售給120余人，而被抓獲的主要嫌疑人僅有6人，所以不斷會(huì)有“熊貓燒香”病毒的新變種出現(xiàn)。

有關(guān)法律專家稱，“熊貓燒香”病毒的制造者是典型的故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行的行為。根據(jù)刑法規(guī)定，犯此罪后果嚴(yán)重的，處5年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處5年以上有期徒刑。通過(guò)上述案例可以看出隨著互聯(lián)網(wǎng)和電子商務(wù)的快速發(fā)展，利用網(wǎng)絡(luò)犯罪的行為會(huì)大量出現(xiàn)，為了保證電子商務(wù)的順利發(fā)展，法律保障是必不可少的。

2.信息傳輸風(fēng)險(xiǎn)冒名偷竊

篡改數(shù)據(jù)

信息丟失

信息傳遞過(guò)程中的破壞

虛假信息

如“黑客”為了獲取重要的商業(yè)機(jī)密、資源和信息，常采用源IP地址欺騙攻擊。信息傳輸風(fēng)險(xiǎn)是指進(jìn)行網(wǎng)上交易時(shí)，因傳輸?shù)男畔⑹д婊蛘咝畔⒈环欠ǖ馗`取、篡改和丟失，而導(dǎo)致網(wǎng)上交易的不必要損失。

2.信息傳輸風(fēng)險(xiǎn)冒名偷竊

篡改數(shù)據(jù)

信息丟失

信息傳遞過(guò)程中的破壞

虛假信息

攻擊者未經(jīng)授權(quán)進(jìn)入網(wǎng)絡(luò)交易系統(tǒng)，使用非法手段，刪除、修改、重發(fā)某些重要信息，破壞數(shù)據(jù)的完整性，損害他人的經(jīng)濟(jì)利益，或干擾對(duì)方的正確決策，造成網(wǎng)上交易的信息傳輸風(fēng)險(xiǎn)。請(qǐng)給丁匯100元乙甲請(qǐng)給丁匯100元請(qǐng)給丙匯100元丙請(qǐng)給丙匯100元2.信息傳輸風(fēng)險(xiǎn)冒名偷竊

篡改數(shù)據(jù)

信息丟失

信息傳遞過(guò)程中的破壞

虛假信息

交易信息的丟失，可能有三種情況：一是因?yàn)榫€路問(wèn)題造成信息丟失；二是因?yàn)榘踩胧┎划?dāng)而丟失信息；三是在不同的操作平臺(tái)上轉(zhuǎn)換操作不當(dāng)而丟失數(shù)據(jù)。2.信息傳輸風(fēng)險(xiǎn)冒名偷竊

篡改數(shù)據(jù)

信息丟失

信息傳遞過(guò)程中的破壞

虛假信息

信息在網(wǎng)上傳遞時(shí)，要經(jīng)過(guò)多個(gè)環(huán)節(jié)和渠道，許多因素可能會(huì)影響到數(shù)據(jù)的真實(shí)性和完整性。2.信息傳輸風(fēng)險(xiǎn)冒名偷竊

篡改數(shù)據(jù)

信息丟失

信息傳遞過(guò)程中的破壞

虛假信息

用戶以合法身份進(jìn)入系統(tǒng)后，可能發(fā)布虛假的供求信息，或以過(guò)期的信息冒充現(xiàn)在的信息，以騙取對(duì)方的錢(qián)款或貨物。3.信用風(fēng)險(xiǎn)來(lái)自買(mǎi)方的信用風(fēng)險(xiǎn)

來(lái)自賣方的信用風(fēng)險(xiǎn)買(mǎi)賣雙方都存在抵賴的情況

使用信用卡進(jìn)行惡意透支，或使用偽造的信用卡騙取賣方的貨物；拖延貨款。3.信用風(fēng)險(xiǎn)來(lái)自買(mǎi)方的信用風(fēng)險(xiǎn)

來(lái)自賣方的信用風(fēng)險(xiǎn)買(mǎi)賣雙方都存在抵賴的情況

賣方不能按質(zhì)、按量、按時(shí)寄送消費(fèi)者購(gòu)買(mǎi)的貨物。

3.信用風(fēng)險(xiǎn)來(lái)自買(mǎi)方的信用風(fēng)險(xiǎn)

來(lái)自賣方的信用風(fēng)險(xiǎn)買(mǎi)賣雙方都存在抵賴的情況

網(wǎng)上交易雙方必須有良好的信用，而且有一套有效的信用機(jī)制降低信用風(fēng)險(xiǎn)。4.網(wǎng)上交易管理風(fēng)險(xiǎn)交易流程管理風(fēng)險(xiǎn)

人員管理風(fēng)險(xiǎn)網(wǎng)絡(luò)交易技術(shù)管理的漏洞的交易風(fēng)險(xiǎn)

在網(wǎng)絡(luò)商品中介交易的過(guò)程中，客戶進(jìn)入交易中介中心，買(mǎi)賣雙方簽訂合同，交易中心不僅要監(jiān)督買(mǎi)方按時(shí)付款，還要監(jiān)督賣方按時(shí)提供符合合同要求的貨物。在這些環(huán)節(jié)上，存在大量管理問(wèn)題，管理不善會(huì)造成巨大的潛在風(fēng)險(xiǎn)。為防止此類風(fēng)險(xiǎn)，需要有完善的制度設(shè)計(jì)，形成一套相互關(guān)聯(lián)、相互制約的制度。4.管理風(fēng)險(xiǎn)交易流程管理風(fēng)險(xiǎn)人員管理風(fēng)險(xiǎn)

網(wǎng)絡(luò)交易技術(shù)管理的漏洞的交易風(fēng)險(xiǎn)人員管理常常是網(wǎng)上交易安全管理上的最薄弱的環(huán)節(jié)，內(nèi)部犯罪現(xiàn)象明顯，工作人員職業(yè)道德修養(yǎng)不高，安全教育和管理松懈。一些競(jìng)爭(zhēng)對(duì)手還利用企業(yè)招募新人的方式潛入該企業(yè)，或利用不正當(dāng)?shù)姆绞绞召I(mǎi)企業(yè)網(wǎng)絡(luò)交易管理人員，竊取企業(yè)的用戶識(shí)別碼、密碼、傳遞方式以及相關(guān)的機(jī)密文件資料。4.管理風(fēng)險(xiǎn)交易流程管理風(fēng)險(xiǎn)人員管理風(fēng)險(xiǎn)網(wǎng)絡(luò)交易技術(shù)管理的漏洞的交易風(fēng)險(xiǎn)

有些操作系統(tǒng)中的某些用戶是無(wú)口令的，如匿名FTP，利用遠(yuǎn)程登錄（Telnet）命令登錄的這些無(wú)口令用戶，有可能惡意地把自己升級(jí)為超級(jí)用戶。5.法律風(fēng)險(xiǎn)法律滯后的風(fēng)險(xiǎn)法律的事后完善的風(fēng)險(xiǎn)

在網(wǎng)上交易可能會(huì)承擔(dān)由于法律滯后，即目前尚沒(méi)有相關(guān)法律進(jìn)行規(guī)范，因而無(wú)法保證合法交易的權(quán)益所造成的風(fēng)險(xiǎn)。5.法律風(fēng)險(xiǎn)法律滯后的風(fēng)險(xiǎn)法律的事后完善的風(fēng)險(xiǎn)

在網(wǎng)上交易可能承擔(dān)由于法律的事后完善所帶來(lái)的風(fēng)險(xiǎn)，即在原來(lái)法律條文沒(méi)有明確規(guī)定下而進(jìn)行的網(wǎng)上交易，在后來(lái)頒布新的法律條文下屬于違法經(jīng)營(yíng)所造成的損失。如，證券交易的主體的規(guī)定。二、電子商務(wù)的安全要求

電子商務(wù)發(fā)展的核心和關(guān)鍵問(wèn)題是交易的安全性。由于Internet本身的開(kāi)放性，使網(wǎng)上交易面臨了種種危險(xiǎn)，由此提出了相應(yīng)的安全控制要求。（一）有效性

（二）機(jī)密性（三）完整性（四）真實(shí)性和不可抵賴性的鑒別

電子商務(wù)以電子形式取代了紙張，要對(duì)網(wǎng)絡(luò)故障、操作失誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)間、確定的地點(diǎn)是有效的。有效性

機(jī)密性

完整性

真實(shí)性和不可抵賴性的鑒別

存1000美元到Bob的賬號(hào)客戶銀行存900美元到Mallet的賬號(hào)存100美元到Bob賬號(hào)數(shù)據(jù)篡改

作為貿(mào)易的一種手段，電子商務(wù)的信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。有效性

機(jī)密性

完整性

真實(shí)性和不可抵賴性的鑒別

登錄：用戶名：dan密碼：M-y-p-a-s-s-w-o-r-dd-a-n

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問(wèn)題。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。因此，要預(yù)防對(duì)信息的隨意生產(chǎn)、修改和刪除，同時(shí)要防止數(shù)據(jù)傳送過(guò)程中信息的丟失和重復(fù)。有效性

機(jī)密性

完整性

真實(shí)性和不可抵賴性的鑒別

要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家甚至是交易信息本身提供可靠的標(biāo)識(shí)，如電子簽名、時(shí)間戳等。有效性

機(jī)密性

完整性

真實(shí)性和不可抵賴性的鑒別

有效性

機(jī)密性

完整性

真實(shí)性和不可抵賴性的鑒別

我是Bob，將公司與思科公司的所有通信記錄發(fā)送給我BobMalletDataBase三、電子商務(wù)安全管理思路

電子商務(wù)的安全管理，就是通過(guò)一個(gè)完整的綜合保障體系，規(guī)避各種風(fēng)險(xiǎn)，以保證網(wǎng)上交易的順利進(jìn)行。

無(wú)論從保護(hù)合法市場(chǎng)交易利益，還是市場(chǎng)本身的發(fā)展來(lái)看，確保網(wǎng)上交易安全是電子虛擬市場(chǎng)要解決的首先問(wèn)題和基本問(wèn)題，需要各方配合加強(qiáng)對(duì)網(wǎng)上交易安全性的監(jiān)管。

網(wǎng)上交易安全管理，應(yīng)采用綜合防范的思路，從技術(shù)、管理、法律等方面建立一個(gè)完整的網(wǎng)絡(luò)交易安全體系。（1）技術(shù)方面：防火墻技術(shù)、網(wǎng)絡(luò)防毒等。（2）加強(qiáng)監(jiān)管：建立各種有關(guān)的合理制度，并嚴(yán)格監(jiān)督。（3）社會(huì)的法律政策與法律保障：盡快出臺(tái)和完善相關(guān)的法律制度，嚴(yán)懲破壞合法網(wǎng)上交易權(quán)益的行為。

4.2電子商務(wù)安全技術(shù)

交易方自身網(wǎng)絡(luò)安全保障技術(shù)（一）用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù)（二）防火墻技術(shù)（三）虛擬專用技術(shù)（四）入侵檢測(cè)技術(shù)電子商務(wù)信息傳輸安全保障技術(shù)

（一）加密技術(shù)

（二）數(shù)字摘要技術(shù)身份和信息認(rèn)證技術(shù)

（一）身份認(rèn)證

（二）信息認(rèn)證

（三）通過(guò)認(rèn)證機(jī)構(gòu)認(rèn)證

電子商務(wù)安全支付技術(shù)

（一）SSL安全協(xié)議

（二）SET安全協(xié)議

一、交易方自身網(wǎng)絡(luò)安全保障技術(shù)（一）用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù)（二）防火墻技術(shù)（三）虛擬專用技術(shù)（四）入侵檢測(cè)技術(shù)獲取合法的賬號(hào)和密碼是黑客攻擊網(wǎng)絡(luò)系統(tǒng)最常使用的方法。因此，用戶賬號(hào)的安全管理措施包括：（1）技術(shù)層面的安全支持，即針對(duì)用戶賬號(hào)完整性的技術(shù)，包括用戶分組管理（對(duì)不同的成員賦予不同的權(quán)限）、單一登錄密碼制（用戶在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)任何地方都使用同一個(gè)用戶名和密碼）、用戶認(rèn)證（結(jié)合多種手段如電話號(hào)碼、IP地址、用戶使用的時(shí)間等精確地確認(rèn)用戶）。（2）在企業(yè)信息管理的政策方面有相應(yīng)的措施，即劃分不同的用戶級(jí)別，制定密碼政策（如密碼的長(zhǎng)度、密碼定期更換、密碼的組成等），對(duì)職員的流動(dòng)采取必要的措施，以及對(duì)職員進(jìn)行計(jì)算機(jī)安全的教育。兩者相互作用才能在一定程度上真正有效地保證用戶賬號(hào)的保密性。采取多方面的防治措施預(yù)防病毒、檢查病毒、消除病毒。用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù)防火墻技術(shù)虛擬專用技術(shù)

入侵檢測(cè)技術(shù)

防火墻是由軟件和硬件設(shè)備組合而成的，是處于企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)之間，用戶加強(qiáng)內(nèi)外之間安全防范的一個(gè)或一組系統(tǒng)。一個(gè)好的防火墻系統(tǒng)應(yīng)具有以下幾方面的作用：

1、限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶2、允許內(nèi)部網(wǎng)的一部分被外部網(wǎng)訪問(wèn)，另一部分被保護(hù)起來(lái)。3、限定內(nèi)部網(wǎng)對(duì)特殊的站點(diǎn)訪問(wèn)4、為監(jiān)視互聯(lián)網(wǎng)的安全提供方便用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù)防火墻技術(shù)虛擬專用技術(shù)

入侵檢測(cè)技術(shù)防火墻有沒(méi)有缺陷呢？防火墻限制了有用的網(wǎng)絡(luò)服務(wù)防火墻不能防范不經(jīng)由防火墻的攻擊防火墻不能防范來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊

虛擬專用網(wǎng)（VPN），這是指利用隧道技術(shù)把兩個(gè)或多個(gè)專用網(wǎng)絡(luò)通過(guò)公共網(wǎng)（通常指Internet）安全地連接到一起，組成虛擬的統(tǒng)一的專用網(wǎng)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專用網(wǎng)絡(luò)所需的端到端物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM(異步傳輸模式)、幀中繼等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。

用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù)防火墻技術(shù)虛擬專用技術(shù)

入侵檢測(cè)技術(shù)內(nèi)部網(wǎng)內(nèi)部網(wǎng)互聯(lián)網(wǎng)通過(guò)VPN組建的企業(yè)內(nèi)部網(wǎng)

入侵檢測(cè)（“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。入侵檢測(cè)通過(guò)執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。

用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù)防火墻技術(shù)虛擬專用技術(shù)

入侵檢測(cè)技術(shù)實(shí)時(shí)監(jiān)控非法入侵的過(guò)程示意圖報(bào)警日志記錄攻擊檢測(cè)記錄入侵過(guò)程重新配置防火墻路由器內(nèi)部入侵入侵檢測(cè)記錄終止入侵

二、電子商務(wù)信息傳輸安全保障技術(shù)

（一）加密技術(shù)

（二）數(shù)字摘要技術(shù)（一）、加密技術(shù)加密技術(shù)是認(rèn)證技術(shù)及其他許多安全技術(shù)的基礎(chǔ)。

“加密”，簡(jiǎn)單地說(shuō)，就是使用數(shù)學(xué)的方法將原始信息（明文）重新組織與變換成只有授權(quán)用戶才能解讀的密碼形式（密文）。而“解密”就是將密文重新恢復(fù)成明文。加密技術(shù)包括兩個(gè)元素：算法是在加密和解密時(shí)所使用的信息變換規(guī)則。(如公式、法則或程序)。密鑰是控制加密和解密過(guò)程的一組隨機(jī)數(shù)碼(控制只是指與密鑰有關(guān)，而與算法無(wú)關(guān))。現(xiàn)代密碼學(xué)的一個(gè)基本原則是：一切秘密寓于密鑰之中。密碼算法可以公開(kāi)，真正需要保密的是密鑰。因此，稱密鑰是加密或解密過(guò)程中的關(guān)鍵要素。古典加密技術(shù)－

替代算法愷撒密碼(單字母替換)明文：abcdefghijklmnopq密文：defghijklmnopqrst此時(shí)密鑰為3，即每個(gè)字母順序推后3個(gè)。解密使用相同的方法，密鑰為-3。

例如：將字母的自然順序保持不變，但使之分別與相差4個(gè)字母的字母相對(duì)應(yīng)。

HowareyouLsaevicsy對(duì)稱密鑰密碼體制加密技術(shù)的類型非對(duì)稱密鑰密碼體制加密密鑰與解密密鑰是相同的。密鑰必須通過(guò)安全可靠的途徑傳遞。由于密鑰管理成為影響系統(tǒng)安全的關(guān)鍵性因素，使它難以滿足系統(tǒng)的開(kāi)放性要求。

把加密過(guò)程和解密過(guò)程設(shè)計(jì)成不同的途徑，當(dāng)算法公開(kāi)時(shí)，在計(jì)算上不可能由加密密鑰求得解密密鑰，因而加密密鑰可以公開(kāi)，而只需秘密保存解密密鑰即可。

公開(kāi)密鑰密碼體制產(chǎn)生于1976年，又稱雙鑰或非對(duì)稱密鑰密碼體制。1977年麻省理工學(xué)院的三位科學(xué)家Rivest、Shamir和Adleman提出最著名和使用最廣泛的公鑰加密方法RSA公開(kāi)密鑰密碼系統(tǒng)。非對(duì)稱密鑰算法的加密解密流程

加密原文密文原文解密公鑰私鑰非對(duì)稱密鑰密碼體制非對(duì)稱加密方式中密鑰的分發(fā)與管理非對(duì)稱密鑰密碼體制老張小李的公開(kāi)密匙小李老張密文小李小李的私有密匙老張的私有密匙老張的公開(kāi)密匙密文鑒別保密用RSA鑒別,只有老張能發(fā)出該信息用RSA保密,只有小李能解開(kāi)該信息非對(duì)稱密鑰密碼體制非對(duì)稱密鑰密碼技術(shù)的優(yōu)缺點(diǎn)：優(yōu)點(diǎn)：第一，在多人之間進(jìn)行保密信息傳輸所需的密鑰組合數(shù)量很小；第二，密鑰的發(fā)布不成問(wèn)題；第三，公開(kāi)密鑰系統(tǒng)可實(shí)現(xiàn)數(shù)字簽名。缺點(diǎn)：加密／解密比私有密鑰加密系統(tǒng)的速度慢得多。

對(duì)稱密鑰技術(shù)，加密和解密雙方使用相同的密鑰。對(duì)稱密鑰密碼體系最著名的算法有DES（美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)）、AES(高級(jí)加密標(biāo)準(zhǔn))和IDEA（歐洲數(shù)據(jù)加密標(biāo)準(zhǔn)）。對(duì)稱密鑰加密技術(shù)明文加密算法解密算法密文明文密鑰K密鑰KAB舉例HappyNewYear每個(gè)字母用前一字母代替,例G代替HGzooxMdvXdzq密文明文明文HappyNewYear每個(gè)字母用后一個(gè)字母代替一個(gè)簡(jiǎn)單的加密算法——ROT13最簡(jiǎn)單的加密算法之一是ROT13。在這種算法中，每個(gè)字母都被分配給一個(gè)數(shù)字。A變成了1，B變成了2，等等以此類推。如果你現(xiàn)在寫(xiě)下“HELLO”，把每個(gè)字母轉(zhuǎn)換成數(shù)字，并加上13，然后在把這個(gè)數(shù)字轉(zhuǎn)換成字母。如果數(shù)字大于26，就相應(yīng)把它減少26，以便讓這個(gè)數(shù)字處于字母表的范圍內(nèi)。這樣HELLO變成了8，5，12，12，15。給每個(gè)數(shù)字加上13，變成21，18，25，25，28。由于28大于26，將其減去26，這樣你最后得到的數(shù)字序列是21，18，25，25，2。再轉(zhuǎn)換成字母后，就是URYYB。ABCDEFGHIJKLM12345678910111213NOPQRSTUVWXYZ14151617181920212223242526圖為有6個(gè)用戶的網(wǎng)絡(luò)其對(duì)稱密鑰的分發(fā)情況。

對(duì)稱式密鑰加密技術(shù)的優(yōu)缺點(diǎn)：

優(yōu)點(diǎn)：對(duì)稱密鑰密碼體系的優(yōu)點(diǎn)是加密、解密速度很快(高效)。

缺點(diǎn)：對(duì)稱加密系統(tǒng)存在的最大問(wèn)題是密鑰的分發(fā)和管理問(wèn)題。比如對(duì)于具有n個(gè)用戶的網(wǎng)絡(luò)，需要n(n－1)/2個(gè)密鑰，在用戶群不是很大的情況下，對(duì)稱加密系統(tǒng)是有效的，但是對(duì)于大型網(wǎng)絡(luò)，用戶群很大而且分布很廣時(shí)，密鑰的分配和保存就成了大問(wèn)題，同時(shí)也就增加了系統(tǒng)的開(kāi)銷。對(duì)稱密鑰加密與非對(duì)稱密鑰加密體制對(duì)比特性對(duì)稱密鑰加密非對(duì)稱密鑰加密密鑰的數(shù)目單一密鑰密鑰是成對(duì)的密鑰種類密鑰是秘密的一個(gè)私有、一個(gè)公開(kāi)密鑰管理簡(jiǎn)單不好管理需要數(shù)字證書(shū)及可靠第三者相對(duì)速度非?？炻猛居脕?lái)做大量資料的加密用來(lái)做加密小文件或?qū)π畔⒑炞值炔惶珖?yán)格保密的應(yīng)用（1）數(shù)字摘要（DigitalDigest）

數(shù)字摘要：是確保信息完整性的技術(shù)，它采用單向散列函數(shù)（Hash函數(shù)）對(duì)文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要碼（也稱數(shù)字指紋FingerPrint）,并在傳輸信息時(shí)將之加入原文件（明文）一同傳給接收方。

不同的明文，其數(shù)字摘要不同；相同的明文，其數(shù)字摘要一定相同??！數(shù)字摘要過(guò)程（1）數(shù)字摘要（DigitalDigest）

數(shù)字摘要的一般過(guò)程為：

(1)對(duì)原文使用Hash算法得到信息摘要；(2)發(fā)送端將消息（明文）和摘要一同發(fā)送；(3)接收方收到后，用同樣的Hash函數(shù)對(duì)所收到的消息產(chǎn)生一個(gè)摘要； (4)用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來(lái)的摘要進(jìn)行對(duì)比，若兩者相同則表明所收到的消息是完整的，原文在傳輸過(guò)程中沒(méi)有被修改，否則就說(shuō)明原文被修改過(guò)，不是原消息。

數(shù)字摘要解決了信息傳輸?shù)耐暾允欠癖黄茐牡陌踩珕?wèn)題，但是沒(méi)有解決信息的保密問(wèn)題。

三、身份和信息認(rèn)證技術(shù)

客戶認(rèn)證技術(shù)是保證網(wǎng)上交易安全的一項(xiàng)重要技術(shù)。從認(rèn)證途徑來(lái)看，客戶認(rèn)證主要包括：

（一）身份認(rèn)證（二）信息認(rèn)證（三）通過(guò)認(rèn)證機(jī)構(gòu)認(rèn)證身份認(rèn)證和認(rèn)證機(jī)構(gòu)認(rèn)證常常用于鑒別用戶身份，而信息認(rèn)證常用于保證通信雙方的不可抵賴性和信息的完整性。身份認(rèn)證就是在交易過(guò)程中判明和確認(rèn)貿(mào)易雙方的真實(shí)身份。

某些非法用戶常采用竊取口令、修改或偽造、阻斷服務(wù)等等方式對(duì)網(wǎng)上交易系統(tǒng)進(jìn)行攻擊，阻止系統(tǒng)資源的合法管理和使用。身份認(rèn)證信息認(rèn)證通過(guò)認(rèn)證機(jī)構(gòu)認(rèn)證因此，要求認(rèn)證機(jī)構(gòu)或信息服務(wù)商應(yīng)當(dāng)提供如下認(rèn)證的功能：

1）可信性：信息來(lái)源可信，接收者能確認(rèn)發(fā)送者；2）完整性：信息在傳輸過(guò)程中沒(méi)有被修改、替換等；

3）不可抵賴性：發(fā)送者和接受者不能否認(rèn)各自行為；

4）訪問(wèn)控制：拒絕非法用戶訪問(wèn)系統(tǒng)資源，合法用戶只能訪問(wèn)系統(tǒng)授權(quán)和指定的資源。身份認(rèn)證信息認(rèn)證通過(guò)認(rèn)證機(jī)構(gòu)認(rèn)證一般來(lái)說(shuō)，用戶身份認(rèn)證可通過(guò)三種基本方式或其組合方式來(lái)實(shí)現(xiàn)：

1）用戶所知道的某個(gè)秘密信息，如口令；

2）用戶所持有的某個(gè)秘密信息（硬件），即用戶必須持有合法的隨身攜帶的物理介質(zhì)，例如智能卡中存儲(chǔ)用戶的個(gè)人化參數(shù)，以及訪問(wèn)系統(tǒng)資源時(shí)必須有的智能卡。3）用戶所具有的某些生物學(xué)特征，如指紋。成本高，多用于保密程度很高的場(chǎng)合。身份認(rèn)證信息認(rèn)證通過(guò)認(rèn)證機(jī)構(gòu)認(rèn)證商務(wù)活動(dòng)通過(guò)公開(kāi)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸，對(duì)傳輸過(guò)程中信息的保密性、完整性和不可抵賴性提出了更高的要求。

1）對(duì)敏感的文件進(jìn)行加密（加密技術(shù)）

2）保證數(shù)據(jù)的完整性（數(shù)據(jù)摘要技術(shù)）

3）對(duì)數(shù)據(jù)和信息的來(lái)源進(jìn)行驗(yàn)證（數(shù)字簽名技術(shù)）身份認(rèn)證信息認(rèn)證通過(guò)認(rèn)證機(jī)構(gòu)認(rèn)證

第二節(jié)電子商務(wù)安全技術(shù)

身份和信息認(rèn)證技術(shù)

通過(guò)認(rèn)證機(jī)構(gòu)提供認(rèn)證服務(wù)的基本原理和流程是：在做交易時(shí)，應(yīng)向?qū)Ψ教峤灰粋€(gè)由CA簽發(fā)的包含個(gè)人身份的證書(shū)，以使對(duì)方相信自己的身份。

顧客向CA申請(qǐng)證書(shū)時(shí)，可提交自己的駕駛執(zhí)照、身份證或護(hù)照，經(jīng)驗(yàn)證后，頒發(fā)證書(shū)。證書(shū)包含了顧客的名字和他的公鑰，以此作為網(wǎng)上證明自己的身份的依據(jù)。身份認(rèn)證信息認(rèn)證通過(guò)認(rèn)證機(jī)構(gòu)認(rèn)證

第二節(jié)電子商務(wù)安全技術(shù)

交易方自身網(wǎng)絡(luò)安全保障技術(shù)（一）用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù)（二）防火墻技術(shù)（三）虛擬專用技術(shù)（四）入侵檢測(cè)技術(shù)電子商務(wù)信息傳輸安全保障技術(shù)

（一）加密技術(shù)

（二）數(shù)字摘要技術(shù)身份和信息認(rèn)證技術(shù)

（一）身份認(rèn)證

（二）信息認(rèn)證

（三）通過(guò)認(rèn)證機(jī)構(gòu)認(rèn)證

電子商務(wù)安全支付技術(shù)

（一）SSL安全協(xié)議

（二）SET安全協(xié)議

第二節(jié)電子商務(wù)安全技術(shù)

電子商務(wù)安全支付技術(shù)

（一）SSL安全協(xié)議

（二）SET安全協(xié)議

如何通過(guò)電子支付安全地完成整個(gè)交易過(guò)程？目前雖然還沒(méi)有形成公認(rèn)成熟的解決辦法，但人們還是不斷通過(guò)各種途徑進(jìn)行大量的探索，SSL安全協(xié)議和SET安全協(xié)議已廣泛應(yīng)用于電子支付。

第二節(jié)電子商務(wù)安全技術(shù)

電子商務(wù)安全支付技術(shù)

SSL安全協(xié)議（安全套接層）是一種安全通信協(xié)議，它能夠?qū)π庞每ㄐ畔⒑蛡€(gè)人信息提供較強(qiáng)的保護(hù)。此協(xié)議假定商家是可信的，協(xié)議運(yùn)行的基點(diǎn)是商家對(duì)客戶信息保密的承諾。SSL安全協(xié)議有利于商家而不利于客戶。整個(gè)過(guò)程缺少客戶對(duì)商家的認(rèn)證。

SSL安全協(xié)議逐漸被SET協(xié)議所取代。SSL安全協(xié)議SET安全協(xié)議

第二節(jié)電子商務(wù)安全技術(shù)

電子商務(wù)安全支付技術(shù)

SET安全協(xié)議（安全電子交易）是由信息卡公司推出的規(guī)范。SET在保留對(duì)客戶信用卡認(rèn)證的前提下，又增加了對(duì)商家身份的認(rèn)證。

SET安全協(xié)議能夠保證信息在網(wǎng)上安全傳輸；保證電子商務(wù)參與者信息的相互隔離（商家看不到信用卡信息）；解決多方認(rèn)證問(wèn)題；保證交易的實(shí)時(shí)性；可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。SSL安全協(xié)議SET安全協(xié)議

第二節(jié)電子商務(wù)安全技術(shù)

交易方自身網(wǎng)絡(luò)安全保障技術(shù)（一）用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù)（二）防火墻技術(shù)（三）虛擬專用技術(shù)（四）入侵檢測(cè)技術(shù)電子商務(wù)信息傳輸安全保障技術(shù)

（一）加密技術(shù)

（二）數(shù)字摘要技術(shù)身份和信息認(rèn)證技術(shù)

（一）身份認(rèn)證

（二）信息認(rèn)證

（三）通過(guò)認(rèn)證機(jī)構(gòu)認(rèn)證

電子商務(wù)安全支付技術(shù)

（一）SSL安全協(xié)議

（二）SET安全協(xié)議

第三節(jié)電子商務(wù)安全制度

安全管理制度（一）人員管理制度

（二）保密制度

（三）跟蹤、審計(jì)、稽核制度

（四）系統(tǒng)維護(hù)制度

（五）病毒防范制度法律制度

（一）美國(guó)保證電子商務(wù)安全的相關(guān)法律

（二）我國(guó)保證電子商務(wù)安全的相關(guān)法律

第三節(jié)電子商務(wù)安全制度

安全管理制度

（一）人員管理制度

（二）保密制度

（三）跟蹤、審計(jì)、稽核制度

（四）系統(tǒng)維護(hù)制度

（五）病毒防范制度法律制度

（一）美國(guó)保證電子商務(wù)安全的相關(guān)法律

（二）我國(guó)保證電子商務(wù)安全的相關(guān)法律

第三節(jié)電子商務(wù)安全制度

安全管理制度（一）人員管理制度

（二）保密制度

（三）跟蹤、審計(jì)、稽核制度

（四）系統(tǒng)維護(hù)制度

（五）病毒防范制度網(wǎng)上交易系統(tǒng)安全管理制度是用文字形式對(duì)各項(xiàng)安全要求的規(guī)定，它是保證企業(yè)在網(wǎng)上經(jīng)營(yíng)管理取得成功的基礎(chǔ)。是否健全及實(shí)施安全管理制度，關(guān)系到網(wǎng)上交易是否安全地、順利地進(jìn)行。安全制度包括：

第三節(jié)電子商務(wù)安全制度

安全管理制度首先，對(duì)有關(guān)人員進(jìn)行上崗培訓(xùn)。其次，落實(shí)工作責(zé)任制，對(duì)違反網(wǎng)上交易安全規(guī)定的行為應(yīng)堅(jiān)決進(jìn)行打擊，對(duì)有關(guān)人員要進(jìn)行及時(shí)的處理。第三，貫徹網(wǎng)上交易安全運(yùn)作基本原則：1）雙人負(fù)責(zé)原則：重要業(yè)務(wù)不安排一個(gè)人單獨(dú)管理，實(shí)行兩人或多人相互制約的機(jī)制。2）任期有限原則：任何人不得長(zhǎng)期擔(dān)任與交易安全有關(guān)的職務(wù)。3）最小權(quán)限原則：明確規(guī)定只有網(wǎng)絡(luò)管理員才可以進(jìn)行物流訪問(wèn)，只有網(wǎng)絡(luò)管理員才可進(jìn)行軟件安裝工作。人員管理保密跟蹤、審計(jì)、稽核系統(tǒng)維護(hù)病毒防范

第三節(jié)電子商務(wù)安全制度

安全管理制度保密制度需要很好地劃分信息的安全級(jí)別，確定安全防范重點(diǎn)，并提出相應(yīng)的保密措施。安全級(jí)別一般可分為三級(jí)：1）絕密級(jí)：如企業(yè)戰(zhàn)略計(jì)劃，此部分網(wǎng)址、密碼不在Internet上公開(kāi)，只限于公司高層人員掌握。2）機(jī)密級(jí)：如會(huì)議通知，此部分網(wǎng)址、密碼不在Internet上公開(kāi)，只限于公司中層以上人員使用。3）秘密級(jí)：如訂貨方式，此部分網(wǎng)址、密碼在Internet上公開(kāi)，供消費(fèi)者瀏覽，但必須有保護(hù)程序，防止黑客入侵。人員管理保密跟蹤、審計(jì)、稽核系統(tǒng)維護(hù)病毒防范

第三節(jié)電子商務(wù)安全制度

安全管理制度

跟蹤制度要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)的日志機(jī)制，用來(lái)記錄系統(tǒng)運(yùn)行的全過(guò)程。

審計(jì)制度包括經(jīng)常對(duì)系統(tǒng)日志的檢查、審核，及時(shí)發(fā)現(xiàn)對(duì)系統(tǒng)故意入侵行為的記錄和對(duì)系統(tǒng)安全功能違反的記錄，監(jiān)控和捕捉各種安全事件，保存、維護(hù)和管理系統(tǒng)日志。

稽核制度是指工商管理、銀行、稅務(wù)人員利用計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)，借助于稽核業(yè)務(wù)應(yīng)用軟件調(diào)閱、查詢、審核、判斷轄區(qū)內(nèi)各電子商務(wù)參與單位業(yè)務(wù)經(jīng)營(yíng)活動(dòng)的合理性、安全性，堵塞漏洞，保證網(wǎng)上交易安全，發(fā)出相應(yīng)的警示或作出處理處罰的有關(guān)決定的一些列步驟和措施。人員管理保密跟蹤、審計(jì)、稽核系統(tǒng)維護(hù)病毒防范

第三節(jié)電子商務(wù)安全制度

安全管理制度對(duì)網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)可從幾個(gè)方面進(jìn)行：1）對(duì)于可管設(shè)備，通過(guò)安裝網(wǎng)管軟件進(jìn)行系統(tǒng)故障診斷、顯示及通告，網(wǎng)絡(luò)流量與狀態(tài)的監(jiān)控、統(tǒng)計(jì)與分析，以及網(wǎng)絡(luò)性能調(diào)優(yōu)、負(fù)載平衡等。2）對(duì)于不可管設(shè)備應(yīng)通過(guò)手工操作來(lái)檢查狀態(tài)，做到定期檢查與隨機(jī)抽查相結(jié)合，以便及時(shí)準(zhǔn)確地掌握網(wǎng)絡(luò)的運(yùn)行狀況，一旦有故障發(fā)生能及時(shí)處理。3）定期進(jìn)行數(shù)據(jù)備份人員管理保密跟蹤、審計(jì)、稽核系統(tǒng)維護(hù)病毒防范

第三節(jié)電子商務(wù)安全制度

安全管理制度目前主要通過(guò)采用防毒軟件進(jìn)行防毒。應(yīng)用于網(wǎng)絡(luò)的防毒軟件有兩種：（1）單機(jī)版防病毒產(chǎn)品：是以事后消毒為原理的，當(dāng)系統(tǒng)被病毒感染后才發(fā)揮作用，適合于個(gè)人用戶。（2）聯(lián)機(jī)版防病毒產(chǎn)品：屬于事前的防范，其原理是在網(wǎng)絡(luò)端口設(shè)置一個(gè)病毒過(guò)濾器。即事前在系統(tǒng)上安裝一個(gè)防病毒的網(wǎng)絡(luò)軟件，它能夠在病毒入侵到系統(tǒng)之前，將其擋在系統(tǒng)外邊。許多病毒都有一個(gè)潛伏期，有必要實(shí)行病毒定期清理制度清除處于前預(yù)期的病毒，防止病毒突然爆發(fā)，使計(jì)算機(jī)始終處于良好的工作狀態(tài)，保證網(wǎng)上交易的正常進(jìn)行。人員管理保密跟蹤、審計(jì)、稽核系統(tǒng)維護(hù)病毒防范

第三節(jié)電子商務(wù)安全制度

安全管理制度（一）人員管理制度

（二）保密制度

（三）跟蹤、審計(jì)、稽核制度

（四）系統(tǒng)維護(hù)制度

（五）病毒防范制度法律制度

（一）美國(guó)保證電子商務(wù)安全的相關(guān)法律

（二）我國(guó)保證電子商務(wù)安全的相關(guān)法律

第三節(jié)電子商務(wù)安全制度

法律制度

（一）美國(guó)保證電子商務(wù)安全的相關(guān)法律

（二）我國(guó)保證電子商務(wù)安全的相關(guān)法律

第三節(jié)電子商務(wù)安全制度

法律制度

（一）美國(guó)保證電子商務(wù)安全的相關(guān)法律

1.與網(wǎng)上交易相關(guān)法律調(diào)整的基本原則2.電子支付的法律制度3.信息安全的法律制度4.消費(fèi)者權(quán)益保護(hù)的法律制度

第三節(jié)電子商務(wù)安全制度

法律制度

（一）美國(guó)保證電子商務(wù)安全的相關(guān)法律

1.與網(wǎng)上交易相關(guān)法律調(diào)整的基本原則2.電子支付的法律制度3.信息安全的法律制度4.消費(fèi)者權(quán)益保護(hù)的法律制度在美國(guó)各州實(shí)行的《統(tǒng)一商業(yè)法規(guī)》（UCC），通過(guò)下面一些方式來(lái)克服傳統(tǒng)法規(guī)的對(duì)網(wǎng)上交易推行帶來(lái)的執(zhí)行障礙：（1）確定和認(rèn)可通過(guò)電子手段形成的合同的規(guī)則和范式，規(guī)定約束電子合同履行的標(biāo)準(zhǔn)，定義構(gòu)成有效電子書(shū)寫(xiě)文件和原始文件的條件，鼓勵(lì)政府各部門(mén)、廠商認(rèn)可和接受正式的電子合同、公證文件等。（2）規(guī)定為法律和商業(yè)目的而做出的電子簽名的可接受程度，鼓勵(lì)國(guó)內(nèi)和國(guó)際規(guī)則的協(xié)調(diào)統(tǒng)一，支持電子簽名和其他身份認(rèn)證手續(xù)的可接受性。（3）建立電子注冊(cè)處。在美國(guó)各州實(shí)行的《統(tǒng)一商業(yè)法規(guī)》（UCC），通過(guò)下面一些方式來(lái)克服傳統(tǒng)法規(guī)的對(duì)網(wǎng)上交易推行帶來(lái)的執(zhí)行障礙：（4）推動(dòng)建立其他形式的、適當(dāng)?shù)?、高效率的、有效的?guó)際商業(yè)交易的糾紛調(diào)解機(jī)制，支持在法庭上和仲裁過(guò)程中使用計(jì)算機(jī)證據(jù)。（5）建立于軟件和電子數(shù)據(jù)的許可證交易、使用和權(quán)力轉(zhuǎn)讓有關(guān)的標(biāo)準(zhǔn)和任選的合同履行規(guī)則。（6）在國(guó)際上，美國(guó)政府支持所有國(guó)家采用聯(lián)合國(guó)國(guó)際貿(mào)易法委員會(huì)提出的示范法作為電子商務(wù)使用的國(guó)際統(tǒng)一商業(yè)法規(guī)。

第三節(jié)電子商務(wù)安全制度

法律制度

（一）美國(guó)保證電子商務(wù)安全的相關(guān)法律

2.電子支付的法律制度3.信息安全的法律制度4.消費(fèi)者權(quán)益保護(hù)的法律制度

1.與網(wǎng)上交易相關(guān)法律調(diào)整的基本原則

1978年制定的《1978年電子資金劃撥法》，其主要內(nèi)容是保護(hù)銀行客戶的合法權(quán)益，使用于客戶是自然人的小額電子資金劃撥。1989年的《統(tǒng)一商業(yè)法規(guī)》，對(duì)大額電子支付系統(tǒng)進(jìn)行了調(diào)整。該法第一次對(duì)電子支付下了定義：電子支付是支付命令發(fā)送方把存放于商業(yè)銀行的資金，通過(guò)一條線路劃入受益方開(kāi)戶銀行，以支付給受益方的一系列轉(zhuǎn)移過(guò)程。該法詳細(xì)規(guī)定了電子支付命令的簽發(fā)與接受，接受銀行對(duì)發(fā)送發(fā)支付命令的執(zhí)行，電子支付的當(dāng)事人的權(quán)利、義務(wù)以及責(zé)任的承擔(dān)等。

第三節(jié)電子商務(wù)安全制度

法律制度

（一）美國(guó)保證電子商務(wù)安全的相關(guān)法律

3.信息安全的法律制度4.消費(fèi)者權(quán)益保護(hù)的法律制度1.與網(wǎng)上交易相關(guān)法律調(diào)整的基本原則2.電子支付的法律制度

《信息系統(tǒng)安全性指南》涵蓋了九項(xiàng)安全性原則，這些原則系統(tǒng)地闡述了高層次的需求，諸如明確安全責(zé)任的需求、知曉安全措施和手續(xù)的需求以及尊重其他用戶的權(quán)利和合法利益的需求等。美國(guó)聯(lián)邦政府為了保證網(wǎng)上交易信息的安全，制定與實(shí)施了相關(guān)的法規(guī)。

第三節(jié)電子商務(wù)安全制度

法律制度

（一）美國(guó)保證電子商務(wù)安全的相關(guān)法律

4.消費(fèi)者權(quán)益保護(hù)的法律制度1.與網(wǎng)上交易相關(guān)法律調(diào)整的基本原則2.電子支付的法律制度3.信息安全的法律制度消費(fèi)者在網(wǎng)上購(gòu)物，個(gè)人隱私信息可能被商家掌握和非法使用；因無(wú)法親自體驗(yàn)和挑選產(chǎn)品，存在退貨問(wèn)題。美國(guó)頒布法規(guī)禁止商家利用消費(fèi)者的個(gè)人隱私信息進(jìn)行商業(yè)活動(dòng)，侵犯消費(fèi)者的權(quán)益。歐盟規(guī)定消費(fèi)者在歐盟內(nèi)部跨國(guó)購(gòu)買(mǎi)商品，起訴商家時(shí)可以用消費(fèi)者本國(guó)相關(guān)法律起訴，而不用到商家所在國(guó)家進(jìn)行起訴，以保護(hù)消費(fèi)者的權(quán)益。

第三節(jié)電子商務(wù)安全制度

法律制度

（一）美國(guó)保證電子商務(wù)安全的相關(guān)法律

（二）我國(guó)保證電子商務(wù)安全的相關(guān)法律

第三節(jié)電子商務(wù)安全制度

法律制度

（二）我國(guó)保證電子商務(wù)安全的相關(guān)法律

我國(guó)電子商務(wù)的發(fā)展仍處于初級(jí)階段，有關(guān)立法不夠健全。我國(guó)計(jì)算機(jī)立法工作開(kāi)始于20世紀(jì)80年代。1997年10月1日，我國(guó)的新刑法，增加計(jì)算機(jī)犯罪的罪名。

1999年3月，我國(guó)頒布的《合同法》將傳統(tǒng)的書(shū)面合同形式擴(kuò)大到數(shù)據(jù)電文形式，即電子合同。2004年8月通過(guò)《中華人民共和國(guó)電子簽名法》。

第三節(jié)電子商務(wù)安全制度

法律制度

案例1：電子合同某實(shí)業(yè)有限公司已經(jīng)注冊(cè)了電子信箱；某木制品加工廠也注冊(cè)了電子信箱。1999年3月5日上午，某實(shí)業(yè)有限公司給某木制品加工廠發(fā)出要求購(gòu)買(mǎi)其廠生產(chǎn)的辦公家具的電子郵件一份，電子郵件中明確了如下內(nèi)容：(1)需要辦公桌8張，椅子16張；(2)要求在3月12日之前將貨送至某實(shí)業(yè)有限公司；(3)總價(jià)格不高于15000元。

第三節(jié)電子商務(wù)安全制度

法律制度

案例1：電子合同電子郵件還對(duì)辦公桌椅的尺寸、式樣、顏色作了說(shuō)明，并附了樣圖。當(dāng)天下午3時(shí)35分18秒，某木制品加工廠也以電子郵件回復(fù)某實(shí)業(yè)有限公司，對(duì)某實(shí)業(yè)有限公司的要求全部認(rèn)可。為對(duì)某實(shí)業(yè)有限公司負(fù)責(zé)起見(jiàn)，3月6日某木制品加工廠還專門(mén)派人到某實(shí)業(yè)有限公司作了確認(rèn)，但雙方都沒(méi)有簽署任何書(shū)面文件。

第三節(jié)電子商務(wù)安全制度

法律制度

案例1：電子合同1999年3月11日，某木制品加工廠將上述桌椅送至某實(shí)業(yè)有限公司。由于某實(shí)業(yè)有限公司已于10日以11000元的價(jià)格購(gòu)買(mǎi)了另一家工廠生產(chǎn)的辦公桌椅，就以雙方?jīng)]有簽署書(shū)面合同為由拒收，雙方協(xié)商不成，3月16日某木制品加工廠起訴至法院。庭審中，雙方對(duì)用電子郵件方式買(mǎi)賣辦公桌椅及某木制品加工廠去人確認(rèn)、3月11日送貨上門(mén)等均無(wú)異議，4月15日法院判決某木制品加工廠勝訴。

第三節(jié)電子商務(wù)安全制度

法律制度

案例2：網(wǎng)上復(fù)制權(quán)與傳播權(quán)侵權(quán)案1998年4月，世紀(jì)互聯(lián)公司在未取得作家王蒙、張潔、張抗抗、畢淑敏、劉震云、張承志同意的情況下，將他們的作品《堅(jiān)硬的稀粥》、《漫長(zhǎng)的路》、《白罄粟》、《預(yù)約死亡》、《一地雞毛》、《黑駿馬》和《北方的河》上傳到被告的網(wǎng)站上供人瀏覽或者下載。為此6位作家認(rèn)為被告作為提供互聯(lián)網(wǎng)絡(luò)內(nèi)容的服務(wù)商，未經(jīng)許可以營(yíng)利目的使用原告的作品，侵害了原告的著作權(quán)，請(qǐng)求法院判決被告停止侵權(quán)、公開(kāi)致歉、賠償經(jīng)濟(jì)損失和精神損失，承擔(dān)訴訟費(fèi)、調(diào)查費(fèi)等合理費(fèi)用。

第三節(jié)電子商務(wù)安全制度

法律制度

案例2：網(wǎng)上復(fù)制權(quán)與傳播權(quán)侵權(quán)案

北京市海淀區(qū)人民法院經(jīng)審理認(rèn)為，被告未經(jīng)許可將原告的作品在網(wǎng)上傳播，侵害了原告對(duì)其作品享有的使用權(quán)和獲得報(bào)酬權(quán)。依據(jù)著作權(quán)法第10條第5項(xiàng)、第45條第5項(xiàng)和第8項(xiàng)的規(guī)定，作出判決：①判決被告停止使用原告的作品；②判決被告在其網(wǎng)站分別向原告公開(kāi)致歉，致歉內(nèi)容須經(jīng)法院審核；③判決被告向原告賠償經(jīng)濟(jì)損失；④駁回原告要求被告賠償精神損失的訴訟請(qǐng)求。

第三節(jié)電子商務(wù)安全制度

法律制度

案例3：非法入侵網(wǎng)站案

2001年8月2日

14時(shí)，王群非法侵入“楚天人才熱線”，將該網(wǎng)站主頁(yè)改為一面五星紅旗，并附上“加入我們，成為中國(guó)黑客聯(lián)盟的一分子”等內(nèi)容，致使網(wǎng)站癱瘓。當(dāng)天18時(shí)，王群非法侵入湖北大冶市政府網(wǎng)站后，對(duì)載有當(dāng)?shù)仡I(lǐng)導(dǎo)人照片和“領(lǐng)導(dǎo)致詞”等內(nèi)容的首頁(yè)進(jìn)行了惡意篡改。次日又將網(wǎng)站主頁(yè)變?yōu)橐粡埪泱w女人照片，致使網(wǎng)站關(guān)閉。王群還以同樣的手段，侵入“科技之光”、“黃石熱線”等網(wǎng)站，更改主頁(yè)，造成惡劣社會(huì)影響。

第三節(jié)電子商務(wù)安全制度

法律制度

案例3：網(wǎng)上復(fù)制權(quán)與傳播權(quán)侵權(quán)案法院認(rèn)定，被告人王群利用從網(wǎng)上獲取的方法，搜索掃描各網(wǎng)站服務(wù)器系統(tǒng)的漏洞，并利用漏洞對(duì)計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)進(jìn)行刪除、修改、增加，后果嚴(yán)重，行為已構(gòu)成破壞計(jì)算機(jī)系統(tǒng)罪。湖北省武漢市江岸區(qū)人民法院判處王群有期徒刑1年。

第三節(jié)電子商務(wù)安全制度

安全管理制度（一）人員管理制度

（二）保密制度

（三）跟蹤、審計(jì)、稽核制度

（四）系統(tǒng)維護(hù)制度

（五）病毒防范制度法律制度

（一）美國(guó)保證電子商務(wù)安全的相關(guān)法律

（二）我國(guó)保證電子商務(wù)安全的相關(guān)法律

第四節(jié)防止非法入侵

網(wǎng)絡(luò)“黑客”常用的攻擊手段

（一）“黑客”的概念（二）“黑客”的攻擊手段防范非法入侵的技術(shù)措施（一）網(wǎng)絡(luò)安全檢查設(shè)備（二）訪問(wèn)設(shè)備（三）防火墻（四）安全工具包/軟件

第四節(jié)防止非法入侵

網(wǎng)絡(luò)“黑客”常用的攻擊手段

（一）“黑客”的概念（二）“黑客”的攻擊手段防范非法入侵的技術(shù)措施（一）網(wǎng)絡(luò)安全檢查設(shè)備（二）訪問(wèn)設(shè)備（三）防火墻（四）安全工具包/軟件

第四節(jié)防止非法入侵

網(wǎng)絡(luò)“黑客”常用的攻擊手段

（一）“黑客”的概念（二）“黑客”的攻擊手段

第四節(jié)防止非法入侵

網(wǎng)絡(luò)“黑客”常用的攻擊手段

（一）“黑客”的概念黑客可以分為兩類：一類是駭客，他們只想引人注目，證明自己的能力，在進(jìn)入網(wǎng)絡(luò)系統(tǒng)后，不會(huì)破壞系統(tǒng)，僅僅做一些無(wú)傷大雅的惡作劇。他們追求的是從侵入行為本身獲得巨大的成功的滿足。另一類是竊客，其行為帶有強(qiáng)烈的目的性。早期竊取國(guó)家情報(bào)、科研情報(bào)，現(xiàn)在瞄準(zhǔn)了銀行的資金和電子商務(wù)的整個(gè)交易過(guò)程。

第四節(jié)防止非法入侵

網(wǎng)絡(luò)“黑客”常用的攻擊手段

（二）“黑客”的攻擊手段黑客攻擊電子商務(wù)系統(tǒng)的手段：1.中斷（攻擊系統(tǒng)的可用性）2.竊聽(tīng)（攻擊系統(tǒng)的機(jī)密性）3.篡改（攻擊系統(tǒng)的完整性）4.偽造（攻擊系統(tǒng)的真實(shí)性）5.轟炸（攻擊系統(tǒng)的健壯性）

第四節(jié)防止非法入侵

網(wǎng)絡(luò)“黑客”常用的攻擊手段

（二）“黑客”的攻擊手段黑客攻擊電子商務(wù)系統(tǒng)的手段：1.中斷（攻擊系統(tǒng)的可用性）破壞系統(tǒng)中的硬件、硬盤(pán)、線路、文件系統(tǒng)等，使系統(tǒng)不能正常工作。2.竊聽(tīng)（攻擊系統(tǒng)的機(jī)密性）3.篡改（攻擊系統(tǒng)的完整性）4.偽造（攻擊系統(tǒng)的真實(shí)性）5.轟炸（攻擊系統(tǒng)的健壯性）

第四節(jié)防止非法入侵

網(wǎng)絡(luò)“黑客”常用的攻擊手段

（二）“黑客”的攻擊手段黑客攻擊電子商務(wù)系統(tǒng)的手段：1.中斷（攻擊系統(tǒng)的可用性）2.竊聽(tīng)（攻擊系統(tǒng)的機(jī)密性）通過(guò)搭線和電磁泄漏等手段造成泄密，或?qū)I(yè)務(wù)流量進(jìn)行分析，獲取有用的情報(bào)。3.篡改（攻擊系統(tǒng)的完整性）4.偽造（攻擊系統(tǒng)的真實(shí)性）5.轟炸（攻擊系統(tǒng)的健壯性）

第四節(jié)防止非法入侵

網(wǎng)絡(luò)“黑客”常用的攻擊手段

（二）“黑客”的攻擊手段黑客攻擊電子商務(wù)系統(tǒng)的手段：1.