電子商務(wù)的安全管理3

電子商務(wù)理論主講：張宗祥1/15/20231知識(shí)回顧：8.1物流的概述8.2物流管理與物流系統(tǒng)8.3國(guó)內(nèi)外物流業(yè)的發(fā)展?fàn)顩r8.4電子商務(wù)與物流8.5現(xiàn)代物流技術(shù)1/15/20232第9章電子商務(wù)安全管理9.1電子商務(wù)的安全要求9.2電子商務(wù)的安全管理方法9.3防止非法入侵1/15/20233第一節(jié)電子商務(wù)的安全要求EB的安全問(wèn)題EB的安全管理返回本章首頁(yè)1/15/20234

電子商務(wù)的安全問(wèn)題電子商務(wù)交易帶來(lái)的安全威脅銷(xiāo)售者面臨威脅購(gòu)買(mǎi)者面臨威脅電子商務(wù)的安全風(fēng)險(xiǎn)來(lái)源

信息傳輸風(fēng)險(xiǎn)信用風(fēng)險(xiǎn)管理方面的風(fēng)險(xiǎn)法律方面的風(fēng)險(xiǎn)1/15/20235銷(xiāo)售者面臨威脅中央系統(tǒng)安全性被破壞：入侵者假冒成合法用戶來(lái)改變用戶數(shù)據(jù)（如商品送達(dá)地址）、解除用戶訂單或生成虛假訂單。競(jìng)爭(zhēng)者檢索商品遞送狀況：惡意競(jìng)爭(zhēng)者以他人的名義來(lái)訂購(gòu)商品，可了解有關(guān)商品的遞送和貨物的庫(kù)存情況?？蛻糍Y料被競(jìng)爭(zhēng)者獲悉:侵犯隱私、客戶被搶被他人假冒而損害公司的信譽(yù)：不誠(chéng)實(shí)的人建立與銷(xiāo)售者服務(wù)器名字相同的另一個(gè)服務(wù)器來(lái)假冒銷(xiāo)售者。消費(fèi)者提交訂單后不付款:嘗試性購(gòu)買(mǎi)，不方便虛假訂單:嘗試性獲取他人的機(jī)密數(shù)據(jù)1/15/20236購(gòu)買(mǎi)者面臨威脅虛假訂單：假冒者可能會(huì)以客戶的名字來(lái)訂購(gòu)商品，而且有可能收到商品，而此時(shí)客戶卻被要求付款或返還商品。付款后不能收到商品：在要求客戶付款后，銷(xiāo)售商中的內(nèi)部人員不將定單和錢(qián)轉(zhuǎn)發(fā)給執(zhí)行部門(mén)，使客戶不能收到商品。機(jī)密性喪失：客戶有可能將秘密的個(gè)人數(shù)據(jù)或自己的身份數(shù)據(jù)（如帳號(hào)、口令等）發(fā)送給冒充銷(xiāo)售商的機(jī)構(gòu)，這些信息也可能會(huì)在傳遞過(guò)程中被竊取。拒絕服務(wù)：攻擊者可能向銷(xiāo)售商的服務(wù)器發(fā)送大量的虛假定單來(lái)窮竭它的資源，從而使合法用戶不能得到正常的服務(wù)。1/15/20237信息傳輸風(fēng)險(xiǎn)信息傳輸風(fēng)險(xiǎn)含義指進(jìn)行網(wǎng)上交易時(shí)，因傳輸?shù)男畔⑹д婊蛘咝畔⒈环欠ǖ母`取、篡改和丟失，而導(dǎo)致網(wǎng)上交易的不必要損失。信息傳輸風(fēng)險(xiǎn)來(lái)源冒名偷竊:如“黑客”為了獲取重要的商業(yè)秘密、資源和信息，常常采用源IP地址欺騙攻擊。篡改數(shù)據(jù):攻擊者未經(jīng)授權(quán)進(jìn)入網(wǎng)絡(luò)交易系統(tǒng)，使用非法手段，刪除、修改、重發(fā)某些重要信息，破壞數(shù)據(jù)的完整性，損害他人的經(jīng)濟(jì)利益，或干擾對(duì)方的正確決策，造成網(wǎng)上交易的信息傳輸風(fēng)險(xiǎn)。1/15/20238信息傳輸風(fēng)險(xiǎn)信息丟失:可能有三種情況：一是因?yàn)榫€路問(wèn)題造成信息丟失；二是因?yàn)榘踩胧┎划?dāng)而丟失信息；三是在不同的操作平臺(tái)上轉(zhuǎn)換操作不當(dāng)而丟失信息。信息傳遞過(guò)程中的破壞:信息在網(wǎng)絡(luò)上傳遞時(shí)，要經(jīng)過(guò)多個(gè)環(huán)節(jié)。計(jì)算機(jī)技術(shù)發(fā)展迅速，原有的病毒防范技術(shù)、加密技術(shù)、防火墻技術(shù)等存在著被新技術(shù)攻擊的可能性。虛假信息:從買(mǎi)賣(mài)雙方自身的角度觀察，網(wǎng)上交易中的信息傳輸風(fēng)險(xiǎn)還可能來(lái)源于用戶以合法身份進(jìn)入系統(tǒng)后，買(mǎi)賣(mài)雙方都可能在網(wǎng)上發(fā)布虛假的供求信息，或以過(guò)期的信息冒充現(xiàn)在的信息，以騙取對(duì)方的錢(qián)款或貨物。對(duì)比：傳統(tǒng)有形，可留下痕跡；網(wǎng)上容易修改、無(wú)痕跡1/15/20239信用風(fēng)險(xiǎn)信用風(fēng)險(xiǎn)來(lái)源來(lái)自買(mǎi)方的信用風(fēng)險(xiǎn):對(duì)于個(gè)人消費(fèi)者來(lái)說(shuō)，可能在網(wǎng)絡(luò)上使用信用卡進(jìn)行支付時(shí)惡意透支，或使用偽造的信用卡騙取賣(mài)方的貨物行為；對(duì)于集團(tuán)購(gòu)買(mǎi)者來(lái)說(shuō)，存在拖延貨款的可能，賣(mài)方需要為此承擔(dān)風(fēng)險(xiǎn)。來(lái)自賣(mài)方的信用風(fēng)險(xiǎn):賣(mài)方不能按質(zhì)、按量、按時(shí)寄送消費(fèi)者購(gòu)買(mǎi)的貨物，或者不能完全履行與集團(tuán)購(gòu)買(mǎi)者簽定的合同，造成買(mǎi)方的風(fēng)險(xiǎn)。買(mǎi)賣(mài)雙方都存在抵賴的情況。信用風(fēng)險(xiǎn)特點(diǎn)傳統(tǒng)可以面對(duì)面，控制風(fēng)險(xiǎn)；網(wǎng)上交易時(shí)空分離，環(huán)節(jié)分離，更加依賴信用體系，同時(shí)信用體系也更加脆弱1/15/202310管理方面的的風(fēng)險(xiǎn)網(wǎng)上交易管管理風(fēng)險(xiǎn):是指由于交交易流程管管理、人員員管理、交交易技術(shù)管管理的不完完善所帶來(lái)來(lái)的風(fēng)險(xiǎn)。。交易流程管管理風(fēng)險(xiǎn):在網(wǎng)絡(luò)商品品中介交易易的過(guò)程中中，買(mǎi)賣(mài)雙雙方簽定合合同后，交交易中心不不僅要監(jiān)督督買(mǎi)方按時(shí)時(shí)付款，還還要監(jiān)督賣(mài)賣(mài)方按時(shí)提提供符合合合同要求的的貨物。人員員管管理理風(fēng)風(fēng)險(xiǎn)險(xiǎn):內(nèi)部部犯犯罪罪，，競(jìng)競(jìng)爭(zhēng)爭(zhēng)對(duì)對(duì)手手還還利利用用企企業(yè)業(yè)招招募募新新人人的的方方式式潛潛入入該該企企業(yè)業(yè)，，竊竊取取企企業(yè)業(yè)的的識(shí)識(shí)別別碼碼、、密密碼碼機(jī)機(jī)密密資資料料交易易技技術(shù)術(shù)管管理理風(fēng)風(fēng)險(xiǎn)險(xiǎn):無(wú)口口令令用用戶戶、、升升級(jí)級(jí)超超級(jí)級(jí)用用戶戶（（微微軟軟））比較較：：傳統(tǒng)統(tǒng)交交易易發(fā)發(fā)展展多多年年，，機(jī)機(jī)制制較較完完善善，，管管理理規(guī)規(guī)范范；；網(wǎng)網(wǎng)上上交交易易時(shí)時(shí)間間短短，，還還不不成成熟熟。。12/31/202211法律律方方面面的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)法律律上上還還是是找找不不到到現(xiàn)現(xiàn)成成的的條條文文保保護(hù)護(hù)網(wǎng)網(wǎng)絡(luò)絡(luò)交交易易中中的的交交易易方方式式造造成成風(fēng)風(fēng)險(xiǎn)險(xiǎn)。。法律律滯滯后后風(fēng)風(fēng)險(xiǎn)險(xiǎn):在網(wǎng)網(wǎng)上上交交易易可可能能會(huì)會(huì)承承擔(dān)擔(dān)由由于于法法律律滯滯后后而而無(wú)無(wú)法法保保證證合合法法交交易易的的權(quán)權(quán)益益所所造造成成的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)，，如如通通過(guò)過(guò)網(wǎng)網(wǎng)絡(luò)絡(luò)達(dá)達(dá)成成交交易易合合同同，，可可能能因因?yàn)闉榉ǚ陕蓷l條文文還還沒(méi)沒(méi)有有承承認(rèn)認(rèn)數(shù)數(shù)字字化化合合同同的的法法律律效效力力而而面面臨臨失失去去法法律律保保護(hù)護(hù)的的危危險(xiǎn)險(xiǎn)。。法律律調(diào)調(diào)整整風(fēng)風(fēng)險(xiǎn)險(xiǎn):在原原來(lái)來(lái)法法律律條條文文沒(méi)沒(méi)有有明明確確規(guī)規(guī)定定下下而而進(jìn)進(jìn)行行的的網(wǎng)網(wǎng)上上交交易易，，在在后后來(lái)來(lái)頒頒布布新新的的法法律律條條文文下下屬屬于于違違法法經(jīng)經(jīng)營(yíng)營(yíng)所所造造成成的的損損失失。。如如網(wǎng)網(wǎng)上上證證券券交交易易、、網(wǎng)網(wǎng)上上藥藥店店。。返回回本本節(jié)節(jié)12/31/202212電子商務(wù)的安安全管理電子商務(wù)的安安全要求電子商務(wù)安全全管理思路12/31/202213電子商商務(wù)的的安全全要求求有效性性:電子商商務(wù)以以電子子形式式取代代了紙紙張，，要對(duì)對(duì)網(wǎng)絡(luò)絡(luò)故障障、操操作錯(cuò)錯(cuò)誤、、應(yīng)用用程序序錯(cuò)誤誤、硬硬件故故障、、系統(tǒng)統(tǒng)軟件件錯(cuò)誤誤及計(jì)計(jì)算機(jī)機(jī)病毒毒所產(chǎn)產(chǎn)生的的潛在在威脅脅加以以控制制和預(yù)預(yù)防，，以保保證貿(mào)貿(mào)易數(shù)數(shù)據(jù)在在確定定的時(shí)時(shí)間、、確定定的地地點(diǎn)是是有效效的。。機(jī)密性性:作為貿(mào)貿(mào)易的的一種種手段段，電電子商商務(wù)的的信息息直接接代表表著個(gè)個(gè)人、、企業(yè)業(yè)或國(guó)國(guó)家的的商業(yè)業(yè)機(jī)密密。要要預(yù)防防非法法的信信息存存取和和信息息在傳傳輸過(guò)過(guò)程中中被非非法竊竊取。。完整性性:電子商商務(wù)簡(jiǎn)簡(jiǎn)化了了貿(mào)易易過(guò)程程，減減少了了人為為的干干預(yù)，，同時(shí)時(shí)也帶帶來(lái)維維護(hù)貿(mào)貿(mào)易各各方商商業(yè)信信息的的完整整、統(tǒng)統(tǒng)一的的問(wèn)題題。要要預(yù)防防對(duì)信信息的的隨意意生成成、修修改和和刪除除，同同時(shí)要要防止止數(shù)據(jù)據(jù)傳送送過(guò)程程中信信息的的丟失失和重重復(fù)。。真實(shí)性性和不不可抵抵賴性性的鑒鑒別:交易信信息的的傳輸輸過(guò)程程中為為參與與交易易的個(gè)個(gè)人、、企業(yè)業(yè)或國(guó)國(guó)家提提供可可靠的的標(biāo)識(shí)識(shí)12/31/202214電子商商務(wù)安安全管管理思思路重要性性:市場(chǎng)游游戲規(guī)規(guī)則的的保證證，市市場(chǎng)逆逆向選選擇（（回歸歸傳統(tǒng)統(tǒng)交易易來(lái)規(guī)規(guī)避網(wǎng)網(wǎng)上交交易風(fēng)風(fēng)險(xiǎn)，，雖然然網(wǎng)上上交易易費(fèi)用用很低低）防范體體系:技術(shù)方方面的的考慮慮:如如防火火墻技技術(shù)、、網(wǎng)絡(luò)絡(luò)防毒毒、信信息加加密存存儲(chǔ)通通信、、身份份認(rèn)證證、授授權(quán)等等制度方方面的的考慮慮:建建立各各種有有關(guān)的的合理理制度度，并并加強(qiáng)強(qiáng)嚴(yán)格格監(jiān)督督，如如建立立交易易的安安全制制度、、交易易安全全的實(shí)實(shí)時(shí)監(jiān)監(jiān)控、、提供供實(shí)時(shí)時(shí)改變變安全全策略略的能能力、、對(duì)現(xiàn)現(xiàn)有的的安全全系統(tǒng)統(tǒng)漏洞洞的檢檢查以以及安安全教教育等等。法律政政策與與法律律保障障:如如盡快快出臺(tái)臺(tái)電子子證據(jù)據(jù)法、、電子子商務(wù)務(wù)法、、網(wǎng)上上消費(fèi)費(fèi)者權(quán)權(quán)益法法等。。這方方面，，主要要發(fā)揮揮立法法部門(mén)門(mén)和執(zhí)執(zhí)法部部門(mén)的的作用用返回本本節(jié)12/31/202215第二節(jié)電子商務(wù)務(wù)的安全全管理方方法一、客戶戶認(rèn)證技技術(shù)二、安全全管理制制度三、法律律制度返回本章章首頁(yè)12/31/202216客戶認(rèn)證證技術(shù)客戶認(rèn)證證(ClientAuthentication，CA):---是是基于用用戶的客客戶端主主機(jī)IP地址的的一種認(rèn)認(rèn)證機(jī)制制，它允允許系統(tǒng)統(tǒng)管理員員為具有有某一特特定IP地址的的授權(quán)用用戶定制制訪問(wèn)權(quán)權(quán)限。特點(diǎn):---CA與IP地址址相關(guān)，，對(duì)訪問(wèn)問(wèn)的協(xié)議議不做直直接的限限制。服服務(wù)器和和客戶端端無(wú)需增增加、修修改任何何軟件。。系統(tǒng)管管理員可可以決定定對(duì)每個(gè)個(gè)用戶的的授權(quán)、、允許訪訪問(wèn)的服服務(wù)器資資源、應(yīng)應(yīng)用程序序、訪問(wèn)問(wèn)時(shí)間以以及允許許建立的的會(huì)話次次數(shù)等等等。內(nèi)容:身份認(rèn)證證信息認(rèn)證證通過(guò)認(rèn)證證機(jī)構(gòu)認(rèn)認(rèn)證（CA）12/31/202217身份認(rèn)證證就是在交交易過(guò)程程中判明明和確認(rèn)認(rèn)貿(mào)易雙雙方的真真實(shí)身份份危險(xiǎn)：某些非法法用戶采采用竊取取口令、、修改或或偽造等等方式對(duì)對(duì)網(wǎng)上交交易系統(tǒng)統(tǒng)進(jìn)行攻攻擊，阻阻止系統(tǒng)統(tǒng)資源的的合法管管理和使使用功能：可信性:信息的的來(lái)源是是可信的的，信息息接收者者能夠確確認(rèn)所獲獲得的信信息不是是由冒充充者所發(fā)發(fā)出的。。完整性:在傳輸輸過(guò)程中中保證其其完整性性，即信信息接收收者能夠夠確認(rèn)所所獲信息息在傳輸輸過(guò)程中中沒(méi)有被被修改、、延遲和和替換不可抵賴賴性:信信息的發(fā)發(fā)送方不不能否認(rèn)認(rèn)自己所所發(fā)出的的信息。。信息的的接收方方不能否否認(rèn)已收收到了信信息。訪問(wèn)控制制:拒絕絕非法用用戶訪問(wèn)問(wèn)系統(tǒng)資資源，合合法用戶戶只能訪訪問(wèn)系統(tǒng)統(tǒng)授權(quán)和和指定的的資源12/31/202218身份認(rèn)證方式:用戶所知道道的某個(gè)秘秘密信息，，如用戶知知道自己的的口令。用戶所持有有的某個(gè)秘秘密信息(硬件)，，即用戶必必須持有合合法的隨身身攜帶的物物理介質(zhì)，，例如智能能卡中存儲(chǔ)儲(chǔ)用戶的個(gè)個(gè)人化參數(shù)數(shù)，以及訪訪問(wèn)系統(tǒng)資資源時(shí)必須須要有的智智能卡。用戶所具有有的某些生生物學(xué)特征征，如指紋紋、聲音、、DNA圖圖案、視網(wǎng)網(wǎng)膜掃描等等等，這種種認(rèn)證方案案一般造價(jià)價(jià)較高，多多半適用于于保密程度度很高的場(chǎng)場(chǎng)合?；旌戏绞?。。12/31/202219信息認(rèn)證網(wǎng)絡(luò)傳輸過(guò)過(guò)程中信息息的保密性性問(wèn)題要求：對(duì)敏感的文文件進(jìn)行加加密，這樣樣即使別人人截獲文件件也無(wú)法得得到其內(nèi)容容。保證數(shù)據(jù)的的完整性，，防止截獲獲人在文件件中加入其其他信息。。對(duì)數(shù)據(jù)和信信息的來(lái)源源進(jìn)行驗(yàn)證證，以確保保發(fā)信人的的身份。實(shí)現(xiàn)：采用秘密密密鑰加密系系統(tǒng)(SecretKeyEncryption)、公開(kāi)密密鑰加密系系統(tǒng)(PublicKeyEncryption)或者兩者者相結(jié)合的的方式。為為保證信息息來(lái)源的確確定性，可可以采用加加密的數(shù)字字簽名方式式來(lái)實(shí)現(xiàn)，，因?yàn)閿?shù)字字簽名是唯唯一的而且且是安全。。加密后的文文件，即使使他人截取取信息也無(wú)無(wú)法知道信信息原始涵涵義,也無(wú)無(wú)法加入或或刪除信息息，因?yàn)闊o(wú)無(wú)法得到原原始信息。。12/31/202220通過(guò)認(rèn)證機(jī)機(jī)構(gòu)認(rèn)證（（CA）--專(zhuān)門(mén)機(jī)構(gòu)從從事（類(lèi)似似于公證服服務(wù)）買(mǎi)賣(mài)賣(mài)雙方的身身份確認(rèn)，，既可以保保證網(wǎng)上交交易的安全全性，又可可以保證高高效性和專(zhuān)專(zhuān)業(yè)性。一一般可用大大家信任的的一方負(fù)責(zé)責(zé)，如銀行行?；颈驹砝眍櫩涂拖蛳駽A申申請(qǐng)請(qǐng)證證書(shū)書(shū)時(shí)時(shí)，，可可提提交交自自己己的的駕駕駛駛執(zhí)執(zhí)照照、、身身份份證證或或護(hù)護(hù)照照，，經(jīng)經(jīng)驗(yàn)驗(yàn)證證后后，，頒頒發(fā)發(fā)證證書(shū)書(shū)，，證證書(shū)書(shū)包包含含了了顧顧客客的的名名字字和和他他的的公公鑰鑰，，以以此此作作為為網(wǎng)網(wǎng)上上證證明明自自己己身身份份的的依依據(jù)據(jù)。。做交交易易時(shí)時(shí)，，應(yīng)應(yīng)向向?qū)?duì)方方提提交交一一個(gè)個(gè)由由CA（（CertifiedAuthentication））簽簽發(fā)發(fā)的的包包含含個(gè)個(gè)人人身身份份的的證證書(shū)書(shū)，，以以使使對(duì)對(duì)方方相相信信自自己己的的身身份份。。CA中中心心負(fù)負(fù)責(zé)責(zé)證證書(shū)書(shū)的的發(fā)發(fā)放放、、驗(yàn)驗(yàn)收收，，并并作作為為中中介介承承擔(dān)擔(dān)信信用用連連帶帶責(zé)責(zé)任任。。返回回本本節(jié)節(jié)12/31/202221安全管理理制度度人員管理制度度保密制度跟蹤、審計(jì)、、稽核制度網(wǎng)絡(luò)系統(tǒng)的日日常維護(hù)制度度病毒防范制度度12/31/202222人員管理制度度管理方法:對(duì)有關(guān)人員進(jìn)進(jìn)行上崗培訓(xùn)訓(xùn)；落實(shí)工作責(zé)任任制，違反網(wǎng)網(wǎng)上交易安全全規(guī)定的行為為應(yīng)堅(jiān)決進(jìn)行行打擊并及時(shí)時(shí)的處理安全運(yùn)作基本本原則：雙人負(fù)責(zé)原則則任期有限原則則最小權(quán)限原則則12/31/202223保密安安全管管理制制度劃分信信息的的安全全級(jí)別別，確確定安安全防防范重重點(diǎn)絕密級(jí)級(jí):如如公司司戰(zhàn)略略計(jì)劃劃、公公司內(nèi)內(nèi)部財(cái)財(cái)務(wù)報(bào)報(bào)表等等。此此部分分網(wǎng)址址、密密碼不不在Internet上上公開(kāi)開(kāi)，只只限于于高層層掌握握機(jī)密級(jí)級(jí):如如公司司的日日常管管理情情況、、會(huì)議議通知知等。。此部部分網(wǎng)網(wǎng)址、、密碼碼不在在Internet上公公開(kāi)，，只限限中層層以上上使用用。秘密級(jí)級(jí):如如公司司簡(jiǎn)介介、新新產(chǎn)品品介紹紹及訂訂貨方方式等等。此此部分分網(wǎng)址址、密密碼在在Internet上公公開(kāi)，，供消消費(fèi)者者瀏覽覽，但但必須須有保保護(hù)程程序，，防止止“黑黑客””入侵侵。對(duì)密鑰鑰進(jìn)行行管理理:大量的的交易易必然然使用用大量量的密密鑰，，密鑰鑰管理理貫穿穿于密密鑰的的產(chǎn)生生、傳傳遞和和銷(xiāo)毀毀的全全過(guò)程程。密密鑰需需要定定期更更換，，否則則可能能使““黑客客”通通過(guò)積積累密密文增增加破破譯機(jī)機(jī)會(huì)。。12/31/202224跟蹤、、審計(jì)計(jì)、稽稽核制制度跟蹤制制度要求企企業(yè)建建立網(wǎng)網(wǎng)絡(luò)交交易系系統(tǒng)日日志機(jī)機(jī)制，，自動(dòng)動(dòng)記錄錄系統(tǒng)統(tǒng)運(yùn)行行的全全過(guò)程程內(nèi)容包包括:操作作日期期、操操作方方式、、登錄錄次數(shù)數(shù)、運(yùn)運(yùn)行時(shí)時(shí)間、、交易易內(nèi)容容等審計(jì)制制度包括經(jīng)經(jīng)常對(duì)對(duì)系統(tǒng)統(tǒng)日志志的檢檢查、、審核核，及及時(shí)發(fā)發(fā)現(xiàn)對(duì)對(duì)系統(tǒng)統(tǒng)故意意入侵侵行為為的記記錄和和對(duì)系系統(tǒng)安安全功功能違違反的的記錄錄，監(jiān)監(jiān)控和和捕捉捉各種種安全全事件件，保保存、、維護(hù)護(hù)和管管理系系統(tǒng)日日志。。稽核核制制度度是指指工工商商管管理理、、銀銀行行、、稅稅務(wù)務(wù)人人員員利利用用計(jì)計(jì)算算機(jī)機(jī)及及網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)，，借借助助于于稽稽核核業(yè)業(yè)務(wù)務(wù)應(yīng)應(yīng)用用軟軟件件調(diào)調(diào)閱閱、、查查詢?cè)?、、審審核核、、判判斷斷轄轄區(qū)區(qū)內(nèi)內(nèi)各各電電子子商商務(wù)務(wù)參參與與單單位位業(yè)業(yè)務(wù)務(wù)經(jīng)經(jīng)營(yíng)營(yíng)活活動(dòng)動(dòng)的的合合理理性性、、安安全全性性，，堵堵塞塞漏漏洞洞，，保保證證網(wǎng)網(wǎng)上上交交易易安安全全，，發(fā)發(fā)出出相相應(yīng)應(yīng)的的警警示示或或作作出出處處理理處處罰罰的的有有關(guān)關(guān)決決定定的的一一系系列列步步驟驟及及措措施施。。12/31/202225網(wǎng)絡(luò)系統(tǒng)統(tǒng)的日常常維護(hù)制制度對(duì)于可管管設(shè)備:通過(guò)安裝裝網(wǎng)管軟軟件進(jìn)行行系統(tǒng)故故障診斷斷、顯示示及通告告，網(wǎng)絡(luò)絡(luò)流量與與狀態(tài)的的監(jiān)控、、統(tǒng)計(jì)與與分析，，以及網(wǎng)網(wǎng)絡(luò)性能能調(diào)優(yōu)、、負(fù)載平平衡等對(duì)于不可可管設(shè)備備:通過(guò)手工工操作來(lái)來(lái)檢查狀狀態(tài)，做做到定期期檢查與與隨機(jī)抽抽查相結(jié)結(jié)合，以以便及時(shí)時(shí)準(zhǔn)確地地掌握網(wǎng)網(wǎng)絡(luò)的運(yùn)運(yùn)行狀況況，一旦旦有故障障發(fā)生能能及時(shí)處處理定期進(jìn)行行數(shù)據(jù)備備份:數(shù)據(jù)備份份與恢復(fù)復(fù)主要是是利用多多種介質(zhì)質(zhì)，如磁磁介質(zhì)、、紙介質(zhì)質(zhì)、光碟碟、微縮縮載體等等，對(duì)信信息系統(tǒng)統(tǒng)數(shù)據(jù)進(jìn)進(jìn)行存儲(chǔ)儲(chǔ)、備份份和恢復(fù)復(fù)。這種種保護(hù)措措施還包包括對(duì)系系統(tǒng)設(shè)備備的備份份12/31/202226病毒防范制度度目前主要通過(guò)過(guò)采用防病毒毒軟件進(jìn)行防防毒應(yīng)用于網(wǎng)絡(luò)的的防病毒軟件件有兩種：一種是單機(jī)版版防病毒產(chǎn)品品:以事后消毒為為原理的，當(dāng)當(dāng)系統(tǒng)被病毒毒感染之后才才能發(fā)揮這種種軟件的作用用，適合于個(gè)個(gè)人用戶。另一種是聯(lián)機(jī)機(jī)版防病毒產(chǎn)產(chǎn)品:屬于事前的防防范，其原理理是在網(wǎng)絡(luò)端端口設(shè)置一個(gè)個(gè)病毒過(guò)濾器器。返回本節(jié)12/31/202227法律制度涉及法律問(wèn)題題：合同的執(zhí)行、、賠償、個(gè)人人隱私、資金金安全、知識(shí)識(shí)產(chǎn)權(quán)保護(hù)、、稅收等諸問(wèn)問(wèn)題難以解決決美國(guó)保證電子子商務(wù)安全的的相關(guān)法律原則：采取非限制性性、面向市場(chǎng)場(chǎng)的做法，即即頒布實(shí)施的的法律是保護(hù)護(hù)電子商務(wù)發(fā)發(fā)展，而不是是限制電子商商務(wù)的發(fā)展統(tǒng)一商業(yè)法規(guī)規(guī)（UCC））電子支付的法法律制度信息安全的法法律制度消費(fèi)者權(quán)益保保護(hù)的法律制制度：個(gè)人隱私信息息可能被商家家掌握和非法法利用；消費(fèi)費(fèi)者退貨問(wèn)題題；跨越國(guó)界界物。禁止商商家利用消費(fèi)費(fèi)者的個(gè)人隱隱私信息進(jìn)行行商業(yè)活動(dòng)；；起訴商家時(shí)時(shí)可以用消費(fèi)費(fèi)者本國(guó)相關(guān)關(guān)法律起訴12/31/202228我國(guó)國(guó)保保證證電電子子商商務(wù)務(wù)安安全全的的相相關(guān)關(guān)法法律律現(xiàn)行行法法規(guī)規(guī):1991年5月24日，，國(guó)國(guó)務(wù)務(wù)院院第第八八十十三三次次常常委委會(huì)會(huì)議議通通過(guò)過(guò)了了《《計(jì)計(jì)算算機(jī)機(jī)軟軟件件保保護(hù)護(hù)條條例例》》1994年2月18日，，國(guó)國(guó)務(wù)務(wù)院院令令第第147號(hào)發(fā)發(fā)布布了了《《中中華華人人民民共共和和國(guó)國(guó)計(jì)計(jì)算算機(jī)機(jī)信信息息系系統(tǒng)統(tǒng)安安全全保保護(hù)護(hù)條條例例》》1997年10月1日起起我我國(guó)國(guó)實(shí)實(shí)行行的的新新刑刑法法，，第第一一次次增增加加了了計(jì)計(jì)算算機(jī)機(jī)犯犯罪罪的的罪罪名名存在在問(wèn)問(wèn)題題:立法法主主要要集集中中在在涉涉及及信信息息技技術(shù)術(shù)領(lǐng)領(lǐng)域域的的計(jì)計(jì)算算機(jī)機(jī)立立法法和和網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全方方面面立立法法，，對(duì)對(duì)于于涉涉及及交交易易本本身身的的商商法法和和民民法法還還缺缺乏乏相相應(yīng)應(yīng)具具體體規(guī)規(guī)定定努力力方方向向:一方方面面盡盡快快完完善善現(xiàn)現(xiàn)有有市市場(chǎng)場(chǎng)的的法法律律體體系系建建設(shè)設(shè)；；另一一方方面面，，要要針針對(duì)對(duì)新新市市場(chǎng)場(chǎng)、、新新問(wèn)問(wèn)題題提提出出新新法法案案返回回本本節(jié)節(jié)12/31/202229第三節(jié)防防止止非法入入侵一、網(wǎng)絡(luò)絡(luò)“黑客客”常用用的攻擊擊手段二、防范范非法入入侵的技技術(shù)措施施返回本章章首頁(yè)12/31/202230“黑客客”的的概念念“黑客客(Hacker)”源源于英英語(yǔ)動(dòng)動(dòng)詞Hack，，意為為“劈劈，砍砍”，，引申申為““辟出出，開(kāi)開(kāi)辟””，進(jìn)進(jìn)一步步的意意思是是“干干了一一件非非常漂漂亮的的工作作”。。在本本世紀(jì)紀(jì)早期期的麻麻省理理工學(xué)學(xué)院校校園侵侵語(yǔ)中中，““黑客客”則則有““惡作作劇””之意意，尤尤指手手法巧巧妙、、技術(shù)術(shù)高明明的惡惡作劇劇?！昂诳涂汀鳖?lèi)類(lèi)型駭客，他們們只想想引人人注目目，證證明自自己的的能力力，在在進(jìn)入入網(wǎng)絡(luò)絡(luò)系統(tǒng)統(tǒng)后，，不會(huì)會(huì)去破破壞系系統(tǒng)，，或者者僅僅僅會(huì)做做一些些無(wú)傷傷大雅雅的惡惡作劇劇。他他們追追求的的是從從侵入入行為為本身身獲得得巨大大的成成功的的滿足足。竊客，他們們的行行為帶帶有強(qiáng)強(qiáng)烈的的目的的性。。早期期的““黑客客”主主要是是竊取取國(guó)家家情報(bào)報(bào)、科科研情情報(bào)，，而現(xiàn)現(xiàn)在的的這些些“黑黑客””的目目標(biāo)大大部分分瞄準(zhǔn)準(zhǔn)了銀銀行的的資金金和電電子商商務(wù)的的整個(gè)個(gè)交易易過(guò)程程。12/31/202231網(wǎng)絡(luò)“黑黑客”常常用的攻攻擊手段段中斷（攻擊系系統(tǒng)的可可用性））：破壞壞系統(tǒng)中中的硬件件、硬盤(pán)盤(pán)、線路路、文件件系統(tǒng)等等，使系系統(tǒng)不能能正常工工作；竊聽(tīng)（攻擊系系統(tǒng)的機(jī)機(jī)密性））：通過(guò)過(guò)搭線和和電磁泄泄漏等手手段造成成泄密，，或?qū)I(yè)業(yè)務(wù)流量量進(jìn)行分分析，獲獲取有用用情報(bào)。。竄改（攻擊系系統(tǒng)的完完整性））：竄改改系統(tǒng)中中數(shù)據(jù)內(nèi)內(nèi)容，修修正消息息次序、、時(shí)間（（延時(shí)和和重放））；偽造（攻擊系系統(tǒng)的真真實(shí)性））：將偽偽造的假假消息注注入系統(tǒng)統(tǒng)、假冒冒合法人人接入系系統(tǒng)、重重放截獲獲的合法法消息實(shí)實(shí)現(xiàn)非法法目的，，否認(rèn)消消息的接接收或發(fā)發(fā)送等；；轟炸（攻擊系系統(tǒng)的健健壯性））：用數(shù)百百條消息息填塞某某人的E—mail信信箱也是是一種在在線襲擾擾的方法法。12/31/202232防范非法入侵侵的技術(shù)措施施網(wǎng)絡(luò)絡(luò)安安全全檢檢測(cè)測(cè)設(shè)設(shè)備備：：對(duì)訪訪問(wèn)問(wèn)者者進(jìn)進(jìn)行行監(jiān)監(jiān)督督控控制制，，一一旦旦發(fā)發(fā)現(xiàn)現(xiàn)有有異異常常情情況況，，馬馬上上采采取取應(yīng)應(yīng)對(duì)對(duì)措措施施，，防防止止非非法法入入侵侵者者進(jìn)進(jìn)一一步