《电子商务和现代物流研究所制作课件.ppt》由会员分享,可在线阅读,更多相关《电子商务和现代物流研究所制作课件.ppt(79页珍藏版)》请在三一办公上搜索。
1、上海理工大学电子商务与现代物流研究所制作,1,上海理工大学电子商务与现代物流研究所制作1,第八章 电子商务安全管理,8.1 网络交易风险和安全管理的基本 思路 8.2 客户认证技术 8.3 防止黑客入侵 8.4 电子商务系统的安全管理制度 8.5 电子商务交易安全的法律保障,2,第八章 电子商务安全管理8.1 网络交易风险和安全管理的基本,8.1 网络交易风险和安全管理的基本思路,8.1.1 网络交易风险凸现8.1.2 网络交易风险源分析8.1.3 网络交易安全管理的基本思路,3,8.1 网络交易风险和安全管理的基本思路8.1.1 网络交易,8.1.1 网络交易风险凸现,2019年6月,湖南省
2、石门县刘政、覃业名等6人以石门县兴源公司的名义,利用Internet发布虚假商情,骗得深圳市威远工贸公司编制袋15万,价值20万元。在抗洪抢险期间,又采取订立虚假合同的方式,将所骗物资变卖到湖南津市、澧县、益阳等显示,获赃款9万余元,均被挥霍一空。 2019年4月19日至21日,由于温保成、王飞等人在互联网BBS站点上非法张贴帖子,带头散布谣言,严重损害了交通银行商业声誉,导致了交通银行郑州分行的重大挤兑事件。4月21日晚,郑州市公安局依照刑法第221条,刑事拘留了7名散布谣言、制造混乱、损害交通银行商业声誉的违法人员。,4,8.1.1 网络交易风险凸现2019年6月,湖南省石门县刘政,201
3、9年4月13日,我国某计算机用户发现其系统注册表被改动了,表里增加了一个新的启动程序。当用户登录工商银行的网上银行页面时,该程序就会自动监测到这个浏览动作,然后修改用户登录的合法页面。始作俑者就通过这个非法地址来搜集用户的网上银行账户信息。 2019年12月08日,中国银行发布声明,7日下午有不法分子制作该行的假网站,外观与真网站非常相似。而在此前,已有一个与中国工商银行网站十分相似的网站开始运行。真的工行网址与假的工商网址区别仅是字母i被换成了1。12月11日网上又发现一个假银联网站。假银联网站的主页上有中国银联的标志和一段有关银联的动画,要求用户填写姓名、账号、密码、持卡银行等信息,网页的
4、底栏还有各商业银行信用卡的标志(参见图8-1)。,5,2019年4月13日,我国某计算机用户发现其系统注册表被改动,图8-1 假银联网站主页,6,图8-1 假银联网站主页6,8.1.2 网络交易风险源分析,电子商务风险源分析主要是依据对网络交易整个运作过程的考察,确定交易流程中可能出现的各种风险,分析其危害性,旨在发现交易过程中潜在的安全隐患和安全漏洞,从而使网络交易安全管理有的放矢。 1.在线交易主体的市场准入问题 在电子商务环境下,任何人不经登记就可以借助计算机网络发出或接受网络信息,并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易安全性受到严重威胁。电子商务交易安全首先要解决
5、的问题就是确保网上交易主体的真实存在,且确定哪些主体可以进入虚拟市场从事在线业务。,7,8.1.2 网络交易风险源分析电子商务风险源分析主要是依据对,2.信息风险 买卖双方都可能在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息。 虚假信息包含有与事实不符和夸大事实两个方面。 从技术上看,网络交易的信息风险主要来自冒名偷窃、篡改数据、信息丢失等方面的风险。3.信用风险来自买方的信用风险。 来自卖方的信用风险。买卖双方都存在抵赖的情况。,8,2.信息风险 8,4. 电子合同问题电子商务法需要解决由于电子合同与传统合同的差别而引起的诸多问题,突出表现在书面形式,签字有效性、合同收讫、合同成立
6、地点、合同证据等方面。5.电子支付问题网上支付通过信用卡制服和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。,9,4. 电子合同问题9,6.在线消费者保护问题 在线市场的虚拟性和开放性,网上购物的便捷性使消费者保护成为突出的问题。在我国商业信用不高的状况下,网上出售的商品可能良莠不齐,质量难以让消费者信赖。7.电子商务中产品交付问题在线交易的标的物分两种,一种有形货物,另一种是无形的信息产品。有形货物的交付仍然可以沿用传统合同法的基本原理。信息产品的交付则具有不同于有形货物交付的特征,对于其权利的移转、退货、交付
7、的完成等需要有相应的安全保障措施。,10,6.在线消费者保护问题 10,8.1.3 网络交易安全管理的基本思路,电子商务是活动在Internet 平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象不是一般的系统,而是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统(complex giant system)。它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。,11,8.1.3 网络交易安全管理的基本思路电子商务是活动在Int,电子商务交易安全要通过人网结合、人机结合,充分发挥各自优势的方法,才能经过综合集成,使系统表现出新的安全性质整体
8、大于部分之和。 与电子商务交易系统相适应,电子商务交易安全是一个系统工程。一个完整的网络交易安全体系,至少应包括三类措施,一是技术方面的措施,二是管理方面的措施,三是社会的政策与法律保障。,12,电子商务交易安全要通过人网结合、人机结合,充分发挥各自优势的,8.2 客户认证技术,8.2.1 身份认证 8.2.2 信息认证技术 8.2.3 通过认证机构认证,13,8.2 客户认证技术8.2.1 身份认证 13,8.2.1 身份认证,客户认证主要包括客户身份认证和客户信息认证。前者用于鉴别用户身份,保证通信双方的身份的真实性;后者用于保证通信双方的不可抵赖性和信息的完整性。1.身份认证的目标身份认
9、证包含识别和鉴别两个过程。身份标识是指定用户向系统出示自己的身份证明过程。身份鉴别是系统查核用户的身份证明的过程。身份认证的主要目标包括:(1)确保交易者是交易者本人,而不是其他人。(2)避免与超过权限的交易者进行交易。(3)访问控制。,14,8.2.1 身份认证客户认证主要包括客户身份认证和客户信息认,2.用户身份认证的基本方式用户身份认证可通过三种基本方式或其组合方式实现: (1)用户通过某个秘密信息,例如通过口令访问系统资源。(2)用户知道的某个秘密信息,并且利用包含这一秘密信息 的载体访问系统资源。 (3)用户利用自身所具有的某些生物学特征,如指纹、声音、 DNA图案、视网膜扫描等等。
10、根据在认证中采用因素的多少,可以分为单因素认证、双因素认证,多因素认证等方法。,15,2.用户身份认证的基本方式15,3.身份认证的单因素法用户身份认证的最简单方法就是口令。这种方法操作简单,但也最不安全。口令进行加密传输是一种改进的方法 。4.基于智能卡的用户身份认证基于智能卡的用户身份认证机制属于双因素法。用户的二元组信息预先存于智能卡中,然后在认证服务器中存入某个事先由用户选择的某个随机数。用户访问系统资源时,用户输入二元组信息。系统首先判断智能卡的合法性,然后由智能卡鉴别用户身份,若用户身份合法,再将智能卡中的随机数送给认证服务器作进一步认证。,16,3.身份认证的单因素法16,5.一
11、次口令机制 最安全的身份认证机制是采用一次口令机制,即每次用户登录系统时口令互不相同。主要有两种实现方式。一次口令机制主要有两种实现方式:(1)请求响答方式。(2)时钟同步机制。,17,5.一次口令机制 17,8.2.2 信息认证技术,1.信息认证的目标信息认证的主要目标包括:(1)可信性。信息的来源是可信的,即信息接收者能够确认所获得的信息不是由冒充者所发出的。(2)完整性。信息接收者能够确认所获得的信息在传输过程中没有被修改、延迟和替换。(3)不可抵赖性。要求通信双方不能否认自己所发出或接收的信息。(4)保密性。对敏感的文件进行加密,即使别人截获文件也无法得到其内容。,18,8.2.2 信
12、息认证技术1.信息认证的目标18,2.基于私有密钥体制的信息认证基于私有密钥体制采用了对称加密算法,即信息交换双方共同约定一个口令或一组密码,建立一个通讯双方共享的密钥。通信的甲方将要发送信息用私钥加密后传给乙方,乙方用相同的私钥解密后获得甲方传递的信息(参见图8-2)。对称加密算法有多种,最常用的是DES算法。对称加密算法在电子商务交易过程中存在三个问题:(1)要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥。(2)密钥的数目将快速增长而变得难于管理。(3)对称加密算法一般不提供信息完整性的鉴别。,19,2.基于私有密钥体制的信息认证19,图8-2 对称加密示意图,20,图8-
13、2 对称加密示意图 20,3.基于公开密钥体制的信息认证公开密钥加密体系采用的是非对称加密算法。使用公开密钥算法需要两个密钥:公开密钥和私有密钥。公开密钥体制常用的加密算法是RSA算法。图8-3是使用公钥加密和对应的私钥解密的示意图。,图8-3使用公钥加密和对应的私钥解密的示意图,21,3.基于公开密钥体制的信息认证图8-3使用公钥加密和对应的,4.数字签字和验证文件的数字签字过程实际上是通过一个哈希函数来实现的。哈希函数将需要传送的文件转化为一组具有固定长度的单向Hash值,形成报文摘要。发送方用自己的私有密钥对报文摘要进行加密,然后将其与原始的报文附加在一起,即合称为数字签字。数字签字代表
14、了文件的特征,文件如果发生改变,数字签字的值也将发生变化。数字签字机制提供一种鉴别方法,通过它能够实现对原始报文的鉴别和验证。,22,4.数字签字和验证22,图8-4 数字签字和验证过程示意图,图8-4显示了数字签字和验证的传输过程。,23,图8-4 数字签字和验证过程示意图 图8-4显示了数字签字和,图8-4的运作步骤如下:(1)发送方首先用哈希函数,将需要传送的消息转换成报文摘要。(2)发送方采用自己的私有密钥对报文摘要进行加密,形成数字签字。(3)发送方把加密后的数字签字附加在要发送的报文后面,传递给接收方。(4)接受方使用发送方的公有密钥对数字签字进行解密,得到发送方形成的报文摘要。(
15、5)接收方用哈希函数将接收到的报文转换成报文摘要,与发送方形成的报文摘要相比较,若相同,说明文件在传输过程中没有被破坏。,24,图8-4的运作步骤如下:24,5.时间戳时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签字三个部分。时间戳产生的过程为:用户首先将需要加时间戳的文件用Hash函数转化为报文摘要,然后将该摘要加密后发送到提供时间戳服务的机构,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签字),然后送回用户。,25,5.时间戳25,8.2.3 通过认证机构认证,1.数字证书 数字证书作
16、为网上交易双方真实身份证明的依据,是一个经证书授权中心(CA)数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件,由可信任的、公正的权威机构CA颁发。数字证书按照不同的分类有多种形式,如个人数字证书和单位数字证书,SSL数字证书和SET数字证书等。数字证书由两部分组成:申请证书主体的信息和发行证书的CA签字(参见图8-5)。,26,8.2.3 通过认证机构认证1.数字证书 26,图8-5 数字证书的组成,27,图8-5 数字证书的组成 27,2.认证机构(Certificate Authority,CA)认证机构是为了从根本上保障电子商务交易活动顺利进行而设立的,主要是解决
17、电子商务活动中交易参与各方身份、资信的认定,维护交易活动的安全。CA 是提供身份验证的第三方机构,由一个或多个用户信任的组织实体构成。CA 的功能主要有:接收注册请求,处理、批准/拒绝请求,颁发证书。在实际运作中,CA也可由大家都信任的一方担当,例如在客户、商家、银行三角关系中,客户使用的是由某个银行发的卡,而商家又与此银行有业务关系。在此情况下,客户和商家都信任该银行,可由该银行担当CA角色,接收、处理他的卡客户证书和商家证书的验证请求。,28,2.认证机构(Certificate Authority,,图8-6 CA认证,持卡人要与商家通信,持卡人从公开媒体上获得了商家的公开密钥,但持卡人
18、无法确定商家不是冒充的,于是持卡人请求CA对商家认证,CA对商家进行调查、验证和鉴别后,将包含商家公钥的证书传给持卡人。同样,商家也可对持卡人进行验证,如图8-6所示。,29,图8-6 CA认证持卡人要与商家通信,持卡人从公开媒体上获得,3.电子商务的CA认证体系电子商务CA体系包括两大部分,即符合SET标准的SET CA认证体系(又叫金融CA体系)和基于X.509的 PKI CA体系(又叫非金融CA体系)。 1)SET CA SET协议中可以看出,由于采用公开密钥加密算法,认证中心(CA)就成为整个系统的安全核心。 在SET中,CA所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。S
19、ET中CA的层次结构如图8-7所示。,30,3.电子商务的CA认证体系30,图8-7 SET中CA的层次结构,31,图8-7 SET中CA的层次结构31,2)PKI CAPKI是提供公钥加密和数字签字服务的安全基础平台,目的是管理密钥和证书。PKI 是创建、颁发、管理、撤消公钥证书所涉及到的所有软件、硬件的集合体。PKI将公开密钥技术、数字证书、证书发放机构(CA)和安全策略等安全措施整合起来,成为目前公认的在大型开放网络环境下解决信息安全问题最可行、最有效的方法。图8-8是PKI的主要功能和服务的汇总。,32,2)PKI CA32,图8-8 PKI的主要功能和服务,33,图8-8 PKI的主
20、要功能和服务 33,图8-9 PKI体系的构成,一个典型的PKI应用系统包括五个部分:密钥管理子系统、证书受理子系统、证书签发子系统、证书发布子系统、目录服务子系统。,34,图8-9 PKI体系的构成 一个典型的PKI应用系统包括五,4.证书的树形验证结构在双方通信时,通过出示由某个 CA 签发的证书来证明自己的身份,如果对签发证书的CA本身不信任,则可验证CA的身份,依次类推,一直到公认的权威CA处(参见图8-10)。,图8-10 证书的树形验证结构,35,4.证书的树形验证结构图8-10 证书的树形验证结构35,5.带有数字签字和数字证书的加密系统安全电子商务使用的文件传输系统大都带有数字
21、签字和数字证书,其基本流程如图8-11所示。,图8-11 带有数字签字和数字证书的加密系统,36,5.带有数字签字和数字证书的加密系统图8-11 带有数字签字,图8-11显示了整个文件加密传输的10个步骤:(1)在发送方的网站上,将要传送的信息通过哈什函数变换为预先设定长度的报文摘要;(2)利用发送方的私钥给报文摘要加密,结果是数字签字;(3)将数字签字和发送方的认证证书附在原始信息上打包,使用DES算法生成的对称密钥在发送方的计算机上为信息包加密,得到加密信息包。(4)用预先收到的接收方的公钥为对称密钥加密,得到数字信封;(5)加密信息和数字信封合成一个新的信息包,通过互联网将加密信息和数字
22、信封传导接收方的计算机上;,37,图8-11显示了整个文件加密传输的10个步骤:37,(6)用接收方的私钥解密数字信封,得到对称密钥;(7)用还原的对称密钥解密加密信息,得到原始信息、数字签字和发送方的认证证书;(8)用发送方公钥(置于发送方的认证证书中)解密数字签字,得到报文摘要;(9)将收到的原始信息通过哈什函数变换为报文摘要;(10)将第8步和第9步得到的信息摘要加以比较,以确认信息的完整性。,38,(6)用接收方的私钥解密数字信封,得到对称密钥;38,8.3 防止黑客入侵,8.3.1 黑客的基本概念 8.3.2 网络黑客常用的攻击手段8.3.3 防范黑客攻击的主要技术手段,39,8.3
23、 防止黑客入侵8.3.1 黑客的基本概念 39,8.3.1 黑客的基本概念,黑客(hacker),源于英语动词hack,分为骇客和窃客。骇客只想引人注目,证明自己的能力,不会去破坏系统。他们追求的是从侵入行为本身获得巨大的成功的满足。窃客的行为带有强烈的目的性。主要是窃取国家情报、科研情报;也瞄准了银行的资金和电子商务的整个交易过程。,40,8.3.1 黑客的基本概念黑客(hacker),源于英语动词,8.3.2 网络黑客常用的攻击手段,1.口令攻击 黑客首先通过进入系统的常用服务,或对网络通信进行监视,使用扫描工具获取目标主机的有用信息。2.服务攻击 和目标主机建立大量的连接。 向远程主机发
24、送大量的数据包。 利用即时消息功能,以极快的速度用无数的消息轰炸某个特定用户。 利用网络软件在实现协议时的漏洞,向目标主机发送特定格式的数据包,从而导致主机瘫痪。,41,8.3.2 网络黑客常用的攻击手段1.口令攻击 41,3.电子邮件轰炸 用户就会在很短的时间内收到大量的电子邮件,这样使得用户系统的正常业务不能开展,系统功能丧失,严重时会使系统关机,甚至使整个网络瘫痪。4.利用文件系统入侵如果FTP服务器上的用户权限设置不当或保密程度不好,极易造成泄密事件。5. 计算机病毒 计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或
25、者程序代码。黑客常常利用计算机病毒对目标主机进行攻击。,42,3.电子邮件轰炸 42,6.IP欺骗 IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击,它伪造他人的源地址,让一台计算机来扮演另一台计算机,借以达到蒙混过关的目的。IP欺骗主要包括简单的地址伪造和序列号预测两种。简单的地址伪造是指黑客将自己的数据包的源地址改为其他主机的地址,然后发向目标主机,使目标主机无法正确找到数据包的来源。序列号预测的攻击方法是,黑客通过伪造TCP序列号、修改数据包的源地址等方法,使数据包伪装成来自被信任或正在通信的计算机,而被目标主机接收。,43,6.IP欺骗 43,8.3.3 防范黑客攻击的主要技术手段
26、,防范黑客的技术措施根据所选用的产品的不同,可以分为7类:入侵检测设备,访问设备、浏览器/服务器软件、证书、商业软件、防火墙和安全工具包/软件。 1.入侵检测技术 入侵检测系统主要完成以下几种功能:监视、分析用户及系统活动;对系统配置和弱点进行监测;识别与已知的攻击模式匹配的活动;对异常活动模式进行统计分析;评估重要系统和数据文件的完整性;对操作系统进行跟踪管理,识别用户违反安全策略的行为并自动记录有关入侵者的信息。,44,8.3.3 防范黑客攻击的主要技术手段,2.防火墙技术 1)传统防火墙 传统防火墙的类型主要有三种:包过滤、应用层网关、电路层网关。2)新型防火墙新型防火墙的设计目标是既有
27、包过滤的功能,又能在应用层进行代理,能从数据链路层到应用层进行全方位安全处理。 新型防火墙的设计综合了包过滤技术和代理技术,克服了二者在安全方面的缺陷;能够从TCP/IP协议的数据链路层一直到应用层施加全方位的控制。,45,2.防火墙技术 45,图8-12 新型防火墙的系统构成,新型防火墙的系统构成如图8-12所示。,46,图8-12 新型防火墙的系统构成 新型防火墙的系统构成,3.物理隔离技术物理隔离卡安装在主板和硬盘之间,完全控制硬盘读写操作,并控制了网络连接及通讯线路。物理隔离卡主要分为单硬盘物理隔离卡和双硬盘物理隔离卡。单硬盘物理隔离卡是通过把用户的一个硬盘分成两个区,一个为公共硬盘/
28、区(外网),另一个为安全硬盘/区(内网),将一台普通计算机变成两台虚拟计算机,每次启动进入其中的一个硬盘/区。图8-13是单硬盘物理隔离卡示意图。,47,3.物理隔离技术47,图8-13 单硬盘物理隔离卡工作示意图,48,图8-13 单硬盘物理隔离卡工作示意图48,双硬盘物理隔离卡的基本原理是:在连接内部网络的同时,启动内网硬盘及其操作系统,同时关闭外网硬盘;在连接外部网络的同时,启动外网硬盘及其操作系统,同时关闭内网硬盘。,49,双硬盘物理隔离卡的基本原理是:在连接内部网络的同时,启动内网,8.4 电子商务系统的安全管理制度,8.4.1 电子商务系统的安全管理制度的涵义 8.4.2 人员管理
29、制度 8.4.3 保密制度8.4.4 跟踪、审计、稽核制度8.4.5 网络系统的日常维护制度8.4.6 用户管理8.4.7 病毒防范制度8.4.8 应急措施,50,8.4 电子商务系统的安全管理制度8.4.1 电子商务系统的,8.4.1 电子商务系统的 安全管理制度的涵义,电子商务系统安全管理制度是用文字形式对各项安全要求所做的规定,它是保证企业电子商务取得成功的重要基础工作,是企业网络营销人员安全工作的规范和准则。电子商务系统安全管理制度包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。,51,8.4.1 电子商务系统的,8.4.2 人员管理制度,(1
30、)严格网络营销人员的选拔,将经过一定时间的考察、责任心强、讲原则、守纪律、了解市场、懂得营销、具有基本网络知识的人员委派到岗位。(2)落实工作责任制,不仅要求网络营销人员,完成规定的营销任务,而且要求他们严格遵守企业的网络营销安全制度。(3)贯彻电子商务安全运作基本原则,包括双人负责原则;任期有限原则,;最小权限原则等。,52,8.4.2 人员管理制度(1)严格网络营销人员的选拔,将经过,8.4.3 保密制度,电子商务涉及企业的市场、生产、财务、供应等多方面的机密,需要很好地划分信息的安全级别,确定安全防范重点,提出相应的保密措施。信息的安全级别一般可分为三级:(1)绝密级。此部分网址、密码不
31、在互联网络上公开,只限于公司高层人员掌握。(2)机密级。此部分网址、密码不在互联网络上公开,只限于公司中层以上人员使用。(3)秘密级。此部分网址、密码在互联网络上公开,供消费者浏览,但必须有保护程序,防止黑客入侵。,53,8.4.3 保密制度电子商务涉及企业的市场、生产、财务、供应,8.4.4 跟踪、审计、稽核制度,跟踪制度要求企业建立网络交易系统日志机制,用来记录系统运行的全过程。审计制度包括经常对系统日志的检查、审核。稽核制度是指工商管理、银行、税务人员发出相应的警示或作出处理处罚的有关决定的一系列步骤及措施。,54,8.4.4 跟踪、审计、稽核制度跟踪制度要求企业建立网络交易,8.4.5
32、 网络系统的日常维护制度,1.硬件的日常管理和维护1)网络设备 2)服务器和客户机3)通信线路2.软件的日常管理和维护 1)支撑软件 2)应用软件3.数据备份制度,55,8.4.5 网络系统的日常维护制度1.硬件的日常管理和维护5,8.4.6 用户管理,广域网上一般都有几个至十几个应用系统,每个应用系统都设置了若干角色,用户管理的任务就是增加/删除用户、增加/修改用户组号。 例如,要增加一个用户,须进行如下工作(以Unix为例):(1)在用户使用的客户机上增加用户并分配组号;(2)在用户使用的服务器数据库上增加用户并分配组号;(3)分配该用户的广域网访问权限。,56,8.4.6 用户管理广域网
33、上一般都有几个至十几个应用系统,,8.4.7 病毒防范制度,1.安装防病毒软件应用于网络的防病毒软件有两种:一种是单机版防病毒产品;另一种是联机版防病毒产品。2.认真执行病毒定期清理制度 病毒定期清理制度可以清除处于潜伏期的病毒,防止病毒的突然爆发,使计算机始终处于良好的工作状态。,57,8.4.7 病毒防范制度1.安装防病毒软件57,3.控制权限可以将网络系统中易感染病毒的文件的属性、权限加以限制,对各终端用户,只许他们具有只读权限,断绝病毒入侵的渠道,达到预防的目的。 4.高度警惕网络陷阱网络上常常会出现非常诱人的广告、免费使用的承诺,在从事网络营销时对此应保持高度的警惕。 网络病毒主要的
34、传播渠道是电子邮件。由于文字处理软件Word具有夹带宏病毒是可能,所以,当收到陌生地址的电子邮件时,最好不要在进行网络交易的时候打开。,58,3.控制权限58,8.4.8 应急措施,应急措施是指在计算机灾难事件,即紧急事件或安全事故发生时,利用应急计划辅助软件和应急设施,排除灾难和故障,保障计算机信息系统继续运行或紧急恢复。灾难恢复包括许多工作。一方面是硬件的恢复,使计算机系统重新运转起来;另一方面是数据的恢复。,59,8.4.8 应急措施应急措施是指在计算机灾难事件,即紧急事件,1)瞬时复制技术 瞬时复制技术就是计算机在某一灾难时刻自动复制数据的技术。瞬时复制的备份数据可以典型地用来产生磁带
35、备份或用作远程恢复节点的基本数据。2)远程磁盘镜像技术 远程磁盘镜像技术在远程备份中心提供主数据中心的磁盘影像。这种技术的最主要的优点是可以把数据中心磁盘中的数据复制到远程备份中心,而无需考虑数据在磁盘上是如何组织的。3)数据库恢复技术 数据库恢复技术是产生和维护一份或多份数据库数据的复制。它为用户提供了更大的灵活性。,60,1)瞬时复制技术 60,8.5 电子商务交易安全的法律保障,8.5.1 电子合同法律制度 8.5.2 电子签字法律制度 8.5.3 我国电子商务交易安全的法律保8.5.4 我国电子商务立法的若干基本问题,61,8.5 电子商务交易安全的法律保障8.5.1 电子合同法律制,
36、8.5.1 电子合同法律制度,1.电子合同及其书面形式 电子合同系指经电子、光学或类似手段生成、储存或传递的合同。电子合同通过数据电文(包括电报、传真、电子数据交换和电子邮件)传递信息,其所包含的信息应能够有形地表现所载内容,并能够完整调取以备日后查用。电子合同自身有一些缺点:易消失性、作为证据的局限性、易改动性。,62,8.5.1 电子合同法律制度 1.电子合同及其书面形式 62,我国合同法也将传统的书面合同形式扩大到数据电文形式。第十一条规定:书面形式是指合同书、信件以及数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。,63,我国合同法也将传统的书面
37、合同形式扩大到数据电文形式。第十,2.电子合同的订立 1)当事人所在地 以电子方式缔结合同的当事方必须明确指明其相关的营业地所在地点。对无营业地的法律实体,可考虑信息系统的支持设备和技术的所在地,或可能与某种系统联通进行查询的访问地,以确定这类法律实体的营业地所在地。2)要约与邀请要约 凡不是向一个人或几个特定的人提出,而可供使用信息系统的人一般查询的,应当仅视为邀请要约。因为在这些情况下承受约束的意图被认为是不明确的。,64,2.电子合同的订立 64,3)接受要约在电子合同中,除非各当事人另有约定,要约和接受要约可以通过数据电文表示。点击同意按钮表示接受要约。4) 发出和收到 电子合同有下列
38、情形之一的,视为发件人发送: (1)经发件人授权发送的; (2)发件人的信息系统自动发送的; (3)收件人按照发件人认可的方法进行验证后结果相符的。当事人对前款规定的事项另有约定的,从其约定。,65,3)接受要约65,收件人指定特定系统接收电子合同系统的,电子合同进入该特定系统的时间,视为该电子合同的接收时间;未指定特定系统的,电子合同进入收件人的任何系统的首次时间,视为该电子合同的接收时间。当事人对电子合同的发送时间、接收时间另有约定的,从其约定。 发件人的主营业地为电子合同的发送地点,收件人的主营业地为电子的接收地点。没有主营业地的,其经常居住地为发送或者接收地点。当事人对数据电文的发送地
39、点、接收地点另有约定的,从其约定。,66,66,8.5.2 电子签名法律制度,1.电子签名的概念 电子签名法第二条规定:电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。 2.电子签名的功能 确定一个人的身份。肯定是该人自己的签字。使该人与文件内容发生关系。,67,8.5.2 电子签名法律制度1.电子签名的概念 67,3.可靠的电子签名的要求电子签名法第十三条规定,电子签名同时符合下列条件的,视为可靠的电子签名: (1)电子签名制作数据用于电子签名时,属于电子签名人专有; (2)签署时电子签名制作数据仅由电子签名人控制; (3)签署后对电子签名的任何改
40、动能够被发现; (4)签署后对数据电文内容和形式的任何改动能够被发现。 第十三条提出了认定可靠电子签名的四个基本条件,且四个条件需要同时满足。,68,3.可靠的电子签名的要求68,4.电子签名的法律效力电子签名法第十三条规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。 这一条是电子签名法的核心,它确立了可靠的电子签名的法律效力。当一个电子签名被认定是可靠的电子签名时,该电子签名就与手写签名或者盖章具有了同等的法律效力。电子签名获得法律效力,意味着互联网上用户的身份确定成为可能。使用电子签名业务的用户将不再对与其交流信息的对方一无所知,在这个基础上,网络才有可能真正跃出媒体之外,充分运
41、用到商务、政务、科学研究、日常生活等诸多方面,从而使虚拟空间真正全面地与现实世界接轨。,69,4.电子签名的法律效力69,5.电子签名中当事各方的基本行为规范电子签名法第十五条规定,电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。,70,5.电子签名中当事各方的基本行为规范70,从电子签名人的角度看,妥善保管电子签名制作数据应注意以下几个方面的问题:(1)建立完善的电子签名制作数据管理制度,妥善放置电子签名制作数据,严格控制网络内部用户的越权访问;(2)设置防火墙、防病毒软件、物理隔离器之类的
42、安全装置,并经常更新;(3)定期评估网络、操作系统等自身的安全性,发现系统漏洞并及时更改; (4)加强备份和灾难备份工作,定期更换电子签名制作数据; 发现电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。,71,从电子签名人的角度看,妥善保管电子签名制作数据应注意以下几个,8.5.3 我国电子商务交易安全的 法律保护,电子商务交易安全的法律保护问题,涉及到两个基本方面:第一,电子商务交易首先的一种商品交易,其安全问题应当通过民商法加以保护;第二,电子商务交易是通过计算机及其网络而实现的,其安全与否以来于计算机及其网络自身的安全程度。,72,8.5.
43、3 我国电子商务交易安全的,1.我国涉及交易安全的法律法规我国现行的涉及交易安全的法律法规主要有四类:(1)综合性法律。主要是民法通则和刑法中有关保护交易安全的条文。(2)规范交易主体的有关法律。如公司法、国有企业法、集体企业法、合伙企业法、私营企业法、外资企业法等。(3)规范交易行为的有关法律。包括经济合同法、产品质量法、财产保险法、价格法、消费者权益保护法、广告法、反不正当竞争法等。(4)监督交易行为的有关法律。如会计法、审计法、票据法、银行法等。,73,1.我国涉及交易安全的法律法规73,作为2019年4月1日实施的中华人民共和国电子签名法就是我国第一部涉及电子商务领域信息核证安全的法律
44、。 电子签名法的一个重要配套规章,电子认证服务管理办法(以下简称管理办法)已于2019年2月8日以信息产业部部令的形式发布。 2019年10月中国人民银行发布的电子支付指引(第一号)则是对虚拟社会中支付安全的一部部门规章。,74,2.我国涉及计算机安全的法律法规 1991年,国务院通过了计算机软件保护条例。1994年,国务院发布中华人民共和国计算机信息系统安全保护条例。2019年,国务院发布中华人民共和国计算机信息网络国际联网管理暂行规定。2019年,我国实行新刑法。2000年,信息产业部发布关于互联网中文域名管理的通告,2019年8月又发布中国互联网络域名管理办法。,75,2.我国涉及计算机
45、安全的法律法规 75,3.我国保护计算机网络安全的法律法规1)加强国际互联网出入信道的管理我国境内的计算机互联网必须使用国家公用电信网提供的国际出入信道进行国际联网。任何单位和个人不得自行建立或者使用其它信道进行国际联网。 2)市场准入制度从事国际互联网经营活动和从事非经营活动的接入单位必须具备的条件:(1)是依法设立的企业法人或者事业单位;(2)具备相应的计算机信息网络、装备以及相应的技术人员和管理人员;,76,3.我国保护计算机网络安全的法律法规76,(3)具备健全的安全保密管理制度和技术保护措施;(4)符合法律和国务院规定的其他条件。 3)安全责任从事国际互联网业务的单位和个人,应当遵守
46、国家有关法律、行政法规,严格执行安全保密制度。计算机网络系统运行管理部门,必须设有安全组织或安全负责人。每个工作站和每个终端,都要建立健全网络操作的各项制度。网络用户也应提高安全意识。,77,(3)具备健全的安全保密管理制度和技术保护措施;77,第八章结束,78,第八章结束78,PPT,就是Power Point简称.Power Point 是美国微软公司出品的办公软件系列重要组件之一(还有Excel,Word等)。Microsoft Office PowerPoint 是一种演示文稿图形程序,Power Point是功能强大的演示文稿制作软件。可协助用户独自或联机创建永恒的视觉效果。它增强了多媒体支持功能,利用Power Point制作的文稿,可以通过不同的方式播放,也可将演示文稿打印成一页一页的幻灯片,使用幻灯片机或投影仪播放,可以将演示文稿保存到光盘中以进行分发,并可在幻灯片放映过程中播放音频流或视频流。对用户界面进行了改进并增强了对智能标记的支持,可以更加便捷地查看和创建高品质的演示文稿。【更多专业书籍、论文报告、教学资料、书画艺术、教学课件、office模板、中小学试题、历史哲学等资料,请在我的主页查找 docin/see161 】,79,79,
