《电子商务安全管理.ppt》由会员分享,可在线阅读,更多相关《电子商务安全管理.ppt(42页珍藏版)》请在三一办公上搜索。
1、第7章 电子商务安全管理,2,7.1 安全标准与组织7.2 安全协调机构与政策7.3 信息系统安全保护的相关规定7.4 电子商务安全管理制度7.5 电子商务安全的法律保障,目录,3,引例警方破获国内首起 网上拍卖诈骗案,电子商务时代的安全问题涉及方方面面,我国的法律领域在这些方面还几乎是空白。没有法律的约束,电子商务的安全管理难上加难。,4,7.1 安全标准与组织,7.1.1 制定安全标准的组织7.1.2 因特网标准和组织7.1.3 我国的信息安全标准化工作,5,7.1.1 制定安全标准的组织一、国际标准化组织(ISO)二、电信标准化部门(ITUT)三、国际信息处理联合会第十一技术委员会(IF
2、IP TC11)四、电气和电子工程师学会(IEEE)五、美国国家标准局与美国商业部国家技术标准研究所六、美国国家标准协会(ANSI),7.1安全标准与组织,6,一、国际标准化组织(ISO)OSI基本参考模型提供的五种安全服务:验证服务访问控制服务数据保密服务数据完整性服务不可否认服务,7.1安全标准与组织,7,ISO的主页,7.1安全标准与组织,8,ITUT的主页,7.1安全标准与组织,9,IFIP的主页,7.1安全标准与组织,10,IEEE的主页,7.1安全标准与组织,11,NIST的主页,7.1安全标准与组织,12,ANSI的主页,7.1安全标准与组织,13,7.1.2 因特网标准与组织一
3、、因特网体系,7.1安全标准与组织,14,ISOC的主页,7.1安全标准与组织,15,IAB的主页,7.1安全标准与组织,16,IETF的主页,7.1安全标准与组织,17,IRTF的主页,7.1安全标准与组织,18,RFC的主页,7.1安全标准与组织,19,二、因特网安全运作指导方针,7.1安全标准与组织,20,7.1.3 我国的信息安全标准化工作,7.1安全标准与组织,21,7.2.1 国际信息安全协调机构1988“莫里斯病毒事件”作用:解决Internet上存在的安全问题,调查Internet的脆弱性和发布信息CERT/CC三类工作:提供问题解决方案建立脆弱问题数据库进行信息反馈,7.2安
4、全协调机构与政策,22,CERT/CC的主页,7.2安全协调机构与政策,23,7.2.2 我国的信息安全管理机构及原则一、安全管理格局基本方针:兴利除弊、集中监控、分级管理、保障国家安全密码管理方针:统一领导、集中管理、定点研制、专控经营、满足使用二、法律政策原则(三层次)一层:从宪法的高度进行规范二层:直接约束计算机安全、因特网安全的法规三层:对信息内容、信息安全技术、信息安全产品的授权审批的规定三、机构部门安全管理原则“四有”原则,7.2安全协调机构与政策,24,7.3 信息系统安全保护的相关规定,7.3.1 信息系统安全保护7.3.2 国际联网管理7.3.3 商用密钥管理7.3.4 计算
5、机病毒防治7.3.5 安全产品检测与销售,25,7.3信息系统安全保护的相关规定,7.3.1 信息系统安全保护计算机信息系统的建设和运用,应当遵纪守法计算机信息系统安全等级保护制度计算机机房安全管理制度计算机信息系统国际联网备案制度计算机信息媒体进出境申报制度计算机信息系统使用单位安全负责制度计算机案件强行报告制度计算机病毒及其有害数据的专管制度计算机信息系统安全专用产品消受许可证制度,26,7.3信息系统安全保护的相关规定,7.3.2 国际联网管理中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国计算机信息网络国际联网管理暂行规定实施办法计算机信息网络国际联网安全保护管理办法中国
6、公用计算机互联网国际联网管理办法计算机信息网络国际联网出入口信道管理办法计算机信息系统国际联网保密管理规定互联网信息服务管理办法互联网安全保护技术措施规定,27,7.3信息系统安全保护的相关规定,7.3.3 商用密码管理7.3.4 计算机病毒防治7.3.5 安全产品检测与销售,28,7.4 电子商务安全管理制度,7.4.1 信息安全管理制度的内涵7.4.2 网络系统的日常维护制度7.4.3 病毒防范制度7.4.4 人员管理制度7.4.5 保密制度7.4.6 跟踪、审计、稽核制度7.4.7 应急措施制度,小目录,29,7.4电子商务安全管理制度,7.4.1 信息安全管理制度的内涵一、计算机信息安
7、全的定义为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露ISO计算机系统有能力控制给定的主体对给定的客体的存取美国防部可信计算机系统评级准则从保密性、完整性、可用性来衡量欧信息技术安全评级准则,30,7.4.1 信息安全管理制度的内涵二、计算机信息安全的基本要求(5条)认同用户和鉴别控制存取保障完整性审计容错三、信息安全管理制度指用文字形式对各项安全要求所作的规定,它是保证企业电子商务取得成功的重要基础工作,是企业人员安全工作德规范和准则。,7.4电子商务安全管理制度,31,7.4.2 网络系统的日常维护制度硬件的日常管理和维
8、护 网络设备 服务器和客户机 通信线路软件的日常管理和维护 支撑软件 应用软件数据备份,7.4电子商务安全管理制度,32,7.4.3 病毒防范制度给自己的计算机安装防病毒软件不打开陌生地址的电子邮件认真执行病毒定期清理制度控制权限高度警惕网络陷阱,7.4电子商务安全管理制度,33,7.4.4 人员管理制度严格选拔网上交易人员落实工作责任制贯彻电子商务安全运作基本原则,7.4电子商务安全管理制度,34,7.4.5 保密制度绝密级机密级秘密级,7.4电子商务安全管理制度,35,7.4.6 跟踪、审计、稽核制度跟踪制度要求企业建立网络交易系统日志机制,用来记录系统运行的全过程。审计制度包括:经常对系
9、统日志的检查、审核,及时发现系统故意入侵行为的记录和对系统安全功能违反的记录,监控和捕捉各种安全事件,保存、维护和管理系统日志。稽核制度是指工商管理、银行、税务人员利用计算机及网络系统,借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活动的合理性、安全性,堵塞漏洞,保证电子商务交易安全,发出相应的警示或做出处理处罚的有关决定的一系列步骤和措施。,7.4电子商务安全管理制度,36,7.4.7 应急措施制度应急措施指在计算机灾难事件(即紧急事件或安全事故)发生时,利用应急计划、辅助软件和应急设施,排除灾难和故障,保障计算机信息系统继续运行或紧急恢复。,7.4电子商务安全
10、管理制度,37,7.5电子商务安全的法律保障,7.5.1国际电子商务立法现状7.5.2我国电子商务立法现状7.5.3国内与电子商务相关的法律法规政策7.5.4电子签名法律,小目录,38,7.5.1国际电子商务立法现状一、国际电子商务立法进展二、国际电子商务立法原则电子商务基本上应由私营企业来主导电子商务应在开放、公平的竞争环境中发展政府干预应在需要时起到促进国际化法律环境建立、公平分配匮乏资源的作用,而且这种干预应是透明的、少量的、重要的、有目标的、非歧视性的、平等的,技术上是中性的使私营企业介入或涉入电子商务政策的制定电子商务交易应使用非电子手段的税收概念相结合电信设施建设应是经营者在开放、
11、公平的市场中竞争并逐步实现全球化保护个人隐私,对个人数据进行加密保护;商家应为消费者提供安全保障设施,并保证用户能方便实施、使用,7.5电子商务安全的法律保障,39,7.5.2我国电子商务立法现状一、我国电子商务立法的相关背景二、涉及的主要法律问题三、立法应遵循的指导原则国内立法指导原则鼓励和发展电子商务是中国电子商务立法的首要前提电子商务立法要与宪法和其他已存在的法律法规及我国认同的国际法保持一致电子商务立法要适合中国国情中国发展电子商务的指导意见初稿内容包括:电子萨胡的市场准入和后勤问题、电子商务法律框架、金融框架等。,7.5电子商务安全的法律保障,40,7.5.3国内与电子商务相关的法律法规政策 中华人民共和国电子签名法是我国第一部真正意义上的电子商务法。,7.5电子商务安全的法律保障,41,7.5.4电子签名法律电子签名法的主要特点电子签名国际立法状况我国的电子签名法,7.5电子商务安全的法律保障,Thanks!,