電子商務(wù)安全與管理第三版教學(xué)課件第一章 電子商務(wù)安全導(dǎo)論

電子商務(wù)安全導(dǎo)論INTRODUCTIONTOE-COMMERCESECURITYChapter1電子商務(wù)面臨的安全問題01電子商務(wù)系統(tǒng)安全的構(gòu)成02電子商務(wù)安全的需求03電子商務(wù)安全的保障04目錄某公司以千禧一代（即80后90后）為目標(biāo)客群推出了數(shù)字銀行業(yè)務(wù)，以為重點(diǎn)在于把社交媒體與新用戶入門過程聯(lián)系起來，比如，允許使用社交網(wǎng)絡(luò)賬戶登錄。然而，深入顧客訪談與多個(gè)版本的原型（通過100-150次結(jié)構(gòu)性消費(fèi)者調(diào)查與反饋回路的篩選）顯示，事實(shí)恰恰相反，受過良好教育的城市新生代十分擔(dān)心資金賬戶與社交網(wǎng)絡(luò)連接后的安全隱患和隱私泄露風(fēng)險(xiǎn)。該公司已預(yù)計(jì)到嚴(yán)重的安全問題，用戶迭代得到的數(shù)據(jù)進(jìn)一步證明了安全問題對用戶的重要性，所以后來打消了用社交網(wǎng)絡(luò)賬戶登錄的念頭，并在新用戶入門中可視化展示安全相關(guān)提示。1案例中的公司遇到的安全問題是什么？它還有哪些潛在的安全問題需要面對？2安全問題會(huì)給電子商務(wù)企業(yè)帶來哪些負(fù)面影響？3如何減少安全問題的發(fā)生？中國的微眾銀行是騰訊投資參股的純數(shù)字銀行，在安全性方面和其他網(wǎng)銀一樣，也需要實(shí)名認(rèn)證和綁定銀行卡，以及設(shè)置安全密碼。資料來源：麥肯錫公司（2016-5-7）安全問題影響公司決策引例3PART1電子商務(wù)面臨的安全問題SecurityProblemsinE-Commerce4

高危漏洞占所有安全漏洞的比例逐年上升漏洞的大量存在是網(wǎng)絡(luò)安全問題的總體形勢趨于嚴(yán)峻的重要原因之一。電子商務(wù)安全問題不僅與計(jì)算機(jī)安全問題相關(guān)，而且與網(wǎng)絡(luò)安全問題有著千絲萬縷的聯(lián)系。2011-2015年CNVD漏洞收錄情況1.1.1安全問題的提出數(shù)據(jù)來源：CNCERT/CC2015年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述5主要針對安卓平臺(tái)進(jìn)行惡意扣費(fèi)、流氓留存和遠(yuǎn)程控制的惡意行為移動(dòng)互聯(lián)網(wǎng)惡意程序隨著智能手機(jī)普及后數(shù)量每年都在大幅度增長2005年-2015年移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量1.1.1安全問題的提出數(shù)據(jù)來源：CNCERT/CC2015年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述6針對金融支付的仿冒頁面數(shù)量上升最快網(wǎng)絡(luò)仿冒事件在CNCERT處置的各類網(wǎng)絡(luò)安全事件中數(shù)量位居第一網(wǎng)絡(luò)仿冒事件數(shù)量暴漲1.1.1安全問題的提出數(shù)據(jù)來源：CNCERT/CC2015年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述7中央系統(tǒng)安全性被破壞競爭者檢索商品的銷售情況客戶資料被競爭者獲悉被他人冒名而損害企業(yè)的名譽(yù)消費(fèi)者提交訂單后不付款虛假訂單中斷(攻擊系統(tǒng)的可用性)竊聽(攻擊系統(tǒng)的機(jī)密性)篡改(攻擊系統(tǒng)的完整性)偽造(攻擊系統(tǒng)的真實(shí)性)虛假訂單付款后收不到商品。機(jī)密性喪失拒絕服務(wù)商家客戶銀行以電子商務(wù)交易活動(dòng)中的對象為例1.1.2電子商務(wù)涉及的安全問題84.電子商務(wù)的法律法規(guī)保障問題3.安全管理問題2.信用安全問題1.信息安全問題主要的電子商務(wù)安全問題1.1.2電子商務(wù)涉及的安全問題9信息丟失篡改數(shù)據(jù)冒名偷竊“黑客”為了獲取重要的商業(yè)秘密、資源和信息，常常采用源IP地址欺騙攻擊。攻擊者未經(jīng)授權(quán)進(jìn)入電子商務(wù)系統(tǒng)，使用非法手段，刪除、修改、重發(fā)某些重要信息交易信息的丟失可能有三種情況；買賣雙方都可能在網(wǎng)絡(luò)上發(fā)布虛假的供求信息信息安全問題1.1.2電子商務(wù)涉及的安全問題信息傳遞出問題計(jì)算機(jī)病毒的侵襲、“黑客”的非法侵入、線路竊聽等很容易使重要數(shù)據(jù)在傳遞過程中泄露10買賣雙方都存在抵賴賣方的信用安全問題買方的信用安全問題分個(gè)人消費(fèi)者和集團(tuán)購買者兩種情況賣方不能按質(zhì)、按量、按時(shí)送寄消費(fèi)者購買的貨物，或者不能完全履行與集團(tuán)購買者簽訂的合同買賣雙方都有可能會(huì)抵賴曾經(jīng)發(fā)生過的交易。信用安全問題1.1.2電子商務(wù)涉及的安全問題11PART2電子商務(wù)系統(tǒng)安全的構(gòu)成CompositionofSecuritySystem12電子商務(wù)系統(tǒng)，從某種意義上來說，其實(shí)就是一種計(jì)算機(jī)信息系統(tǒng)計(jì)算機(jī)信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)可以從計(jì)算機(jī)信息系統(tǒng)的角度來闡述電子商務(wù)系統(tǒng)的安全，認(rèn)為電子商務(wù)系統(tǒng)的安全是由系統(tǒng)實(shí)體安全、系統(tǒng)運(yùn)行安全和系統(tǒng)信息安全這三個(gè)部分來組成的1231.2.1電子商務(wù)系統(tǒng)安全概述電子商務(wù)系統(tǒng)安全實(shí)體安全環(huán)境安全設(shè)備安全媒體安全運(yùn)行安全風(fēng)險(xiǎn)分析審計(jì)跟蹤備份與恢復(fù)應(yīng)急信息安全操作系統(tǒng)安全數(shù)據(jù)庫安全網(wǎng)絡(luò)安全病毒防護(hù)訪問控制加密鑒別13媒體安全設(shè)備安全環(huán)境安全1.2.2系統(tǒng)實(shí)體安全電子商務(wù)系統(tǒng)安全的第一部分:實(shí)體安全所謂實(shí)體安全，是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故（如電磁污染等）破壞的措施、過程。14前中后災(zāi)難發(fā)生時(shí)的影響分析受災(zāi)恢復(fù)計(jì)劃的概要設(shè)計(jì)或詳細(xì)制訂受災(zāi)恢復(fù)計(jì)劃的測試與完善。靜止區(qū)域保護(hù)，如通過電子手段（如紅外掃描等）或其它手段對特定區(qū)域（如機(jī)房等）進(jìn)行某種形式的保護(hù)（如監(jiān)測和控制等）活動(dòng)區(qū)域保護(hù)，對活動(dòng)區(qū)域（如活動(dòng)機(jī)房等）進(jìn)行某種形式的保護(hù)。

受災(zāi)保護(hù)就是系統(tǒng)要具有受災(zāi)報(bào)警、受災(zāi)保護(hù)和受災(zāi)恢復(fù)等功能，目的是保護(hù)電子商務(wù)系統(tǒng)免受水、火、有害氣體、地震、雷擊和靜電的危害。環(huán)境安全1.2.2系統(tǒng)實(shí)體安全為了實(shí)施受災(zāi)防護(hù)，在電子商務(wù)系統(tǒng)中應(yīng)考慮受災(zāi)恢復(fù)計(jì)劃輔助軟件，這主要是為制訂受災(zāi)難恢復(fù)計(jì)劃提供計(jì)算機(jī)輔助受災(zāi)保護(hù)區(qū)域防護(hù)區(qū)域防護(hù)就是要對特定區(qū)域提供某種形式的保護(hù)和隔離措施15設(shè)備安全1.2.2系統(tǒng)實(shí)體安全1設(shè)備防盜就是對電子商務(wù)系統(tǒng)的設(shè)備實(shí)施防盜保護(hù)，以提高系統(tǒng)設(shè)備和部件的安全性。設(shè)備防毀就是對電子商務(wù)系統(tǒng)的設(shè)備實(shí)施防毀保護(hù)，主要包括兩個(gè)方面功能防止電磁信息泄漏，可以提高系統(tǒng)內(nèi)敏感信息的安全性。防止線路截獲主要是要防止對電子商務(wù)系統(tǒng)通信線路的截獲和外界對電子商務(wù)系統(tǒng)的通信線路的干擾抗電磁干擾主要是要防止對電子商務(wù)系統(tǒng)的電磁干擾，從而保護(hù)系統(tǒng)內(nèi)部的信息電源保護(hù)主要是指為電子商務(wù)系統(tǒng)設(shè)備的可靠運(yùn)行提供能源保障2346516媒體數(shù)據(jù)的防盜，如防止媒體數(shù)據(jù)被非法拷貝。

媒體數(shù)據(jù)的銷毀，包括媒體的物理銷毀（如媒體粉碎等）和媒體數(shù)據(jù)的徹底銷毀（如消磁等），防止媒體數(shù)據(jù)刪除或銷毀后被他人恢復(fù)而泄露信息。

媒體數(shù)據(jù)的防毀，防止意外或故意的破壞而使媒體數(shù)據(jù)丟失。媒體的安全主要是要提供對媒體的安全保管目的是保護(hù)存儲(chǔ)在媒體上的信息媒體安全1.2.2系統(tǒng)實(shí)體安全媒體的安全媒體數(shù)據(jù)的安全區(qū)域防護(hù)就是要對特定區(qū)域提供某種形式的保護(hù)和隔離措施媒體數(shù)據(jù)的安全主要是要提供對媒體數(shù)據(jù)的保護(hù)，實(shí)施對媒體數(shù)據(jù)的安全刪除和媒體的安全銷毀目的是為了防止被刪除或者被銷毀的敏感數(shù)據(jù)被他人恢復(fù)媒體的防盜媒體的防毀，如防霉和防砸等。17風(fēng)險(xiǎn)分析1.2.3系統(tǒng)運(yùn)行安全電子商務(wù)系統(tǒng)安全的第二部分:運(yùn)行安全運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施（如風(fēng)險(xiǎn)分析，審計(jì)跟蹤，備份與恢復(fù)，應(yīng)急等）來保護(hù)信息處理過程的安全。備份與恢復(fù)審計(jì)跟蹤應(yīng)急措施18通過分析系統(tǒng)固有的脆弱性，旨在發(fā)現(xiàn)系統(tǒng)設(shè)計(jì)前潛在的安全隱患。系統(tǒng)設(shè)計(jì)前根據(jù)系統(tǒng)試運(yùn)行期的運(yùn)行狀態(tài)和結(jié)果，分析系統(tǒng)的潛在安全隱患，旨在發(fā)現(xiàn)系統(tǒng)設(shè)計(jì)的安全漏洞。系統(tǒng)試運(yùn)行前提供系統(tǒng)運(yùn)行記錄，跟蹤系統(tǒng)狀態(tài)的變化，分析系統(tǒng)運(yùn)行期的安全隱患，旨在發(fā)現(xiàn)系統(tǒng)運(yùn)行期的安全漏洞，并及時(shí)通告安全管理員。系統(tǒng)運(yùn)行期分析系統(tǒng)運(yùn)行記錄，旨在發(fā)現(xiàn)系統(tǒng)的安全隱患，為改進(jìn)系統(tǒng)的安全性提供分析報(bào)告。系統(tǒng)運(yùn)行后風(fēng)險(xiǎn)分析1.2.3系統(tǒng)運(yùn)行安全19保存、維護(hù)和管理審計(jì)日志實(shí)現(xiàn)對各種安全事故的定位記錄和跟蹤各種系統(tǒng)狀態(tài)的變化如提供對系統(tǒng)故意入侵行為的記錄和對系統(tǒng)安全功能違反的記錄。如監(jiān)控和捕捉各種安全事件審計(jì)跟蹤1.2.3系統(tǒng)運(yùn)行安全20提供對系統(tǒng)設(shè)備的備份提供場點(diǎn)外的數(shù)據(jù)存儲(chǔ)，備份和恢復(fù)外提供場點(diǎn)內(nèi)高速度、大容量自動(dòng)的數(shù)據(jù)存儲(chǔ)，備份和恢復(fù)內(nèi)備份與恢復(fù)1.2.3系統(tǒng)運(yùn)行安全21提供實(shí)時(shí)應(yīng)急設(shè)施，實(shí)現(xiàn)應(yīng)急計(jì)劃，保障電子商務(wù)系統(tǒng)的正常安全運(yùn)行。提供非實(shí)時(shí)應(yīng)急設(shè)施，實(shí)現(xiàn)應(yīng)急計(jì)劃。所謂應(yīng)急計(jì)劃，是指在緊急狀態(tài)下，使系統(tǒng)能夠盡量完成原定任務(wù)的計(jì)劃。應(yīng)急計(jì)劃輔助軟件主要是為制訂應(yīng)急計(jì)劃提供計(jì)算機(jī)輔助應(yīng)急措施1.2.3系統(tǒng)運(yùn)行安全應(yīng)急計(jì)劃輔助軟件應(yīng)急設(shè)施應(yīng)急設(shè)施主要是提供緊急事件或安全事故發(fā)生時(shí)，電子商務(wù)系統(tǒng)實(shí)施應(yīng)急計(jì)劃所需要的措施，包括實(shí)時(shí)應(yīng)急設(shè)施、非實(shí)時(shí)應(yīng)急設(shè)施等。緊急事件或安全事故發(fā)生時(shí)的影響分析應(yīng)急計(jì)劃的概要設(shè)計(jì)或詳細(xì)制訂。應(yīng)急計(jì)劃的測試與完善。221.2.4信息安全電子商務(wù)系統(tǒng)安全的第三部分:信息安全所謂信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)、控制。即信息安全要確保信息的完整性、保密性、可用性和可控性。信息安全操作系統(tǒng)安全數(shù)據(jù)庫安全網(wǎng)絡(luò)安全病毒防護(hù)安全訪問控制安全加密鑒別23操作系統(tǒng)安全1.2.4信息安全信息安全中的操作系統(tǒng)安全指要對電子商務(wù)系統(tǒng)的硬件和軟件資源實(shí)行有效的控制，為所管理的資源提供相應(yīng)的安全保護(hù)可以是以底層操作系統(tǒng)所提供的安全機(jī)制為基礎(chǔ)構(gòu)作安全模塊也可以是完全取代底層操作系統(tǒng)目的是為建立安全信息系統(tǒng)提供一個(gè)可信的安全平臺(tái)。安全操作系統(tǒng)，是指從系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)和使用等各個(gè)階段都遵循了一套完整的安全策略的操作系統(tǒng)。操作系統(tǒng)安全部件的目的是要增強(qiáng)現(xiàn)有操作系統(tǒng)的安全性1224信息安全中的數(shù)據(jù)庫安全是指對數(shù)據(jù)庫系統(tǒng)所管理的數(shù)據(jù)和資源提供安全保護(hù)一般采用多種安全機(jī)制與操作系統(tǒng)相結(jié)合，來實(shí)現(xiàn)數(shù)據(jù)庫的安全保護(hù)。安全數(shù)據(jù)庫系統(tǒng)，是指從系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)、使用和管理等各個(gè)階段都遵循一套完整的系統(tǒng)安全策略的安全數(shù)據(jù)庫系統(tǒng)。數(shù)據(jù)庫系統(tǒng)安全部件，是指以現(xiàn)有數(shù)據(jù)庫系統(tǒng)所提供的功能為基礎(chǔ)構(gòu)作安全模塊，以增強(qiáng)現(xiàn)有數(shù)據(jù)庫系統(tǒng)的安全性12數(shù)據(jù)庫安全1.2.4信息安全25網(wǎng)絡(luò)安全1.2.4信息安全信息安全中的網(wǎng)絡(luò)安全是指提供訪問網(wǎng)絡(luò)資源或使用網(wǎng)絡(luò)服務(wù)的安全保護(hù)網(wǎng)絡(luò)安全管理，是指對網(wǎng)絡(luò)的使用提供安全管理，包括四個(gè)方面的功能安全網(wǎng)絡(luò)系統(tǒng)，是指對網(wǎng)絡(luò)資源的訪問和網(wǎng)絡(luò)服務(wù)的使用提供一套完整的安全保護(hù)，是從網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)、實(shí)現(xiàn)、使用和管理各個(gè)階段都遵循一套完整的安全策略的網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)安全部件，是指對網(wǎng)絡(luò)系統(tǒng)的某個(gè)過程、部分或服務(wù)提供安全保護(hù)，以增強(qiáng)整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性12326計(jì)算機(jī)病毒防護(hù)1.2.4信息安全計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用、并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼單機(jī)系統(tǒng)病毒防護(hù)，既可以通過軟件也可以通過硬件來實(shí)現(xiàn)，側(cè)重于防護(hù)本地計(jì)算機(jī)資源網(wǎng)絡(luò)系統(tǒng)的病毒防護(hù)，側(cè)重于防護(hù)網(wǎng)絡(luò)系統(tǒng)資源。12信息安全中的計(jì)算機(jī)病毒防護(hù)是提供對計(jì)算機(jī)病毒的防護(hù)，即通過建立系統(tǒng)保護(hù)機(jī)制，來預(yù)防、檢測和消除病毒。病毒防護(hù)既包括單機(jī)系統(tǒng)的防護(hù)也包括網(wǎng)絡(luò)系統(tǒng)的防護(hù)。27訪問控制1.2.4信息安全訪問控制訪問控制，是指對主體訪問客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域（出入控制）和限制使用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲(chǔ)數(shù)據(jù)的過程（存取控制）。出入控制，主要是用于阻止非授權(quán)用戶進(jìn)入機(jī)構(gòu)或組織，一般是以電子技術(shù)、生物技術(shù)或者電子技術(shù)與生物技術(shù)相結(jié)合的方式來阻止非授權(quán)用戶進(jìn)入。存取控制，主要是提供主體訪問客體時(shí)的存取控制，如通過對授權(quán)用戶存取系統(tǒng)敏感信息時(shí)進(jìn)行安全性檢查，以實(shí)現(xiàn)對授權(quán)用戶的存取權(quán)限的控制。12信息安全中的訪問控制信息安全中的訪問控制，是要保證系統(tǒng)的外部用戶或內(nèi)部用戶對系統(tǒng)資源的訪問以及對敏感信息的訪問方式符合組織安全策略。28加密1.2.4信息安全密鑰分發(fā)密鑰更新密鑰回收密鑰歸檔密鑰恢復(fù)密鑰審計(jì)利用加密設(shè)備可以實(shí)現(xiàn)對數(shù)據(jù)的加密加密設(shè)備密鑰管理密鑰管理提供對密鑰的管理，如認(rèn)證機(jī)構(gòu)提供對用戶的公開密鑰的管理和密鑰恢復(fù)等對文字的加密對語音的加密對圖像、圖形的加密29鑒別1.2.4信息安全信息安全中的鑒別主要提供身份鑒別和信息鑒別身份鑒別是提供對信息收發(fā)方（包括用戶、設(shè)備和進(jìn)程）真實(shí)身份的鑒別信息鑒別則是提供對信息的正確性、完整性和不可否認(rèn)性的鑒別。身份鑒別，主要用于阻止非授權(quán)用戶對系統(tǒng)資源的訪問。完整性鑒別，是提供信息的完整性鑒別，使得用戶、設(shè)備、進(jìn)程可以證實(shí)接收到的信息的完整性，其主要功能是證實(shí)信息內(nèi)容未被非法修改或遺漏。不可否認(rèn)性鑒別，是使得信息發(fā)送者不可否認(rèn)對信息的發(fā)送和信息接收者不可否認(rèn)對信息的接收12330PART3電子商務(wù)安全的需求RequirementsofE-CommerceSecurity311.3電子商務(wù)安全的需求術(shù)語定義保密性保護(hù)機(jī)密信息不被非法存取以及信息在傳輸過程中不被非法竊取完整性防止信息在傳輸過程中丟失、重復(fù)及非法用戶對信息的惡意篡改認(rèn)證性確保交易信息的真實(shí)性和交易雙方身份的合法性可控性保證系統(tǒng)、數(shù)據(jù)和服務(wù)能由合法人員訪問，保證數(shù)據(jù)的合法使用不可否認(rèn)性有效防止通信或交易雙方對已進(jìn)行的業(yè)務(wù)的否認(rèn)321.3電子商務(wù)安全的需求不同方面消費(fèi)者角度商家角度保密性除了我指定的接收方外還有其他人能讀取我的信息嗎？信息或者機(jī)密數(shù)據(jù)是否會(huì)被那些未經(jīng)授權(quán)者看到？完整性我發(fā)出或接收的信息是否被篡改了？網(wǎng)站上的數(shù)據(jù)是否未經(jīng)授權(quán)就被改變了？數(shù)據(jù)是否來自合法的消費(fèi)者嗎？認(rèn)證性誰在和我做交易？我如何確認(rèn)此人或者此商家就是他所聲稱的那個(gè)？消費(fèi)者的真實(shí)身份是什么？可控性我能訪問該網(wǎng)站嗎？我能控制電子商務(wù)商家對我提交的個(gè)人信息的使用嗎？網(wǎng)站在正常運(yùn)營嗎？如果可能的話，作為電子商務(wù)交易的一部分所采集到的個(gè)人數(shù)據(jù)該如何使用？消費(fèi)者個(gè)人信息可以在沒得到其授權(quán)的情況下使用嗎？不可否認(rèn)性和我進(jìn)行交易的商家以后是否會(huì)否認(rèn)曾進(jìn)行過交易？消費(fèi)者會(huì)否認(rèn)曾訂購過產(chǎn)品嗎？33PART4電子商務(wù)安全的保障GuaranteeofE-Commercesecurity34技術(shù)措施涉及到信息加密技術(shù)，數(shù)字簽名技術(shù)，TCP/IP服務(wù)以及防火墻的構(gòu)造選擇等。電子商務(wù)相關(guān)法律主要涉及有商務(wù)過程、信息技術(shù)、權(quán)益保護(hù)、配套服務(wù)和管理制度等五個(gè)方面，包括電腦犯罪立法、計(jì)算機(jī)安全法規(guī)、隱私保護(hù)、網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)保護(hù)、電子合同相關(guān)法規(guī)等。安全管理措施通常是以制度的形式出現(xiàn)，即用條文對各項(xiàng)安全要求做出規(guī)定。這些制度主要包括人員管理制度，保密制度，跟蹤、審計(jì)、稽核制度，系統(tǒng)維護(hù)制度，數(shù)據(jù)備份制度，病毒防范制度和應(yīng)急措施等。技術(shù)措施管理措施法律環(huán)境1.4電子商務(wù)安全的保障35防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道或一組執(zhí)行策略的防御系統(tǒng)。TCP/IP是網(wǎng)絡(luò)中使用的基本的通信協(xié)議，它提供了電子郵件，文件傳輸，遠(yuǎn)程終端訪問，萬維網(wǎng)訪問等一系列標(biāo)準(zhǔn)的服務(wù)。數(shù)字簽名技術(shù)，可以防止他人對傳輸?shù)奈募M(jìn)行破壞以及確定發(fā)信人的身份。信息加密技術(shù)，是電子商務(wù)安全技術(shù)中一個(gè)重要的組成部分，應(yīng)根據(jù)信息系統(tǒng)安全策略來制定保密策略，選擇合理、合適的加密方式。1.4.1技術(shù)措施361人員管理制度，需要嚴(yán)格選拔，落實(shí)工作責(zé)任制，貫徹電子商務(wù)安全運(yùn)行基本原則哪些是可以讓客戶隨意訪問的，哪些是公司普通員工可以訪問的，哪些又是高級(jí)管理員才能訪問的，這些都應(yīng)該通過保密制度明確下來。跟蹤制度是以系統(tǒng)自動(dòng)生成日志文件的形式來記錄系統(tǒng)運(yùn)行的全過程?；酥贫仁轻槍ζ髽I(yè)外部的監(jiān)督單位建立的。審計(jì)則是針對企業(yè)內(nèi)部員工。系統(tǒng)維護(hù)制度分為硬件的日常管理管理與維護(hù)和軟件的日常管理與維護(hù)容災(zāi)按其容災(zāi)能力的高低可分為多個(gè)層次，企業(yè)應(yīng)該根據(jù)自身情況，對不同安全級(jí)別的數(shù)據(jù)制定不同的數(shù)據(jù)容災(zāi)制度。從事網(wǎng)上交易的企業(yè)和個(gè)人都應(yīng)當(dāng)建立病毒防范制度，排除病毒的騷擾。23461.4.2管理措施應(yīng)急措施是指利用應(yīng)急計(jì)劃、輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)正常運(yùn)行。7537本章小結(jié)38本章指出了電子商務(wù)安全問題在電子商務(wù)發(fā)展中的重要地位，概述了電子商務(wù)系統(tǒng)安全構(gòu)成，電子商務(wù)的安全需求，最后提出電子商務(wù)安全保障需要通過技術(shù)、管理與法律三方面的配合才能成功實(shí)現(xiàn)。電子商務(wù)在發(fā)展過程中遇到了幾大瓶頸問題，安全、物流、支付和信用等，其中從廣義來說，支付和信用問題都屬于安全范疇的問題，因此電子商務(wù)安全問題在電子商務(wù)發(fā)展中舉足輕重。它主要涉及信息安全問題、信用安全問題、安全管理問題和安全保障法律問題。初步了解這些問題是我們提出有效的安全保障措施的前提。從計(jì)算機(jī)信息系統(tǒng)的角度劃分電子商務(wù)系統(tǒng)的安全可知，電子商務(wù)系統(tǒng)的安全由系統(tǒng)實(shí)體安全、系統(tǒng)運(yùn)行安全和系統(tǒng)信息安全三個(gè)部分組成。其中實(shí)體安全包括環(huán)境安全、設(shè)備安全和媒體安全；運(yùn)行安全包括風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)和應(yīng)急；信息安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒防護(hù)、訪問控制、加密和鑒別。從系統(tǒng)的角度出發(fā)劃分電子商務(wù)安全為人們的實(shí)際工作提供了完整有序的指導(dǎo)。電子商務(wù)的安全需求可以歸納為五大特性，分別是保密性、完整性、認(rèn)證性、可控性、和不可否認(rèn)性。要保障電子商務(wù)安全，僅僅依靠技術(shù)是無法實(shí)現(xiàn)的，必須依靠技術(shù)手段、管理措施和法律保護(hù)三方面的配合才能實(shí)現(xiàn)。所以在把握電子商務(wù)安全問題時(shí)，要全面的看待。關(guān)鍵術(shù)語39電子商務(wù)安全問題電子商務(wù)系統(tǒng)安全電子商務(wù)安全保障保密性完整性認(rèn)證性可控性不可否認(rèn)性1電子商務(wù)的安全涉及哪些問題？什么是實(shí)體安全？具體由哪幾部分組成？什么是媒體數(shù)據(jù)安全？媒體數(shù)據(jù)安全涉及哪些安全功能？什么是風(fēng)險(xiǎn)分析？風(fēng)險(xiǎn)分析涉及哪些安全功能？什么是信息安全？具體包括哪些安全內(nèi)容？什么是身份鑒別？什么是信息鑒別？2357思考題什么是運(yùn)行安全？具體由哪幾部分組成？電子商務(wù)的安全應(yīng)當(dāng)從哪幾個(gè)方面來綜合考慮？48640攜程旅行網(wǎng)（/）是中國在線旅游行業(yè)中占據(jù)較大優(yōu)勢的一家。2015年5月28日11時(shí)許，攜程服務(wù)器遭到不明攻擊，酒店數(shù)據(jù)庫也出現(xiàn)故障，導(dǎo)