《电子商务法电子商务法 (11).ppt》由会员分享,可在线阅读,更多相关《电子商务法电子商务法 (11).ppt(22页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第11 章 电子商务安全规范电子商务法案11-1v 相关背景:互联网服务投诉创新高网络安全问题不容忽视v 据法制晚报报道,月日,中消协发布了年上半年的全国消协组织受理投诉的情况分析。分析数据显示,今年上半年,互联网服务投诉量居投诉量的第名,同比增幅.,增长数量达到件,创历史新高。在这些数据面前,互联网服务所存在的问题无处遁形,互联网发展之途显然不那么平坦。剥去了外表风光无限的外衣,互联网发展中的服务“伤疤”清晰可见。由此可见,安全问题已经成为互联网发展过程中无可回避的痛,严重妨碍了互联网作用的发挥。我们当然不能因为互联网尚存在不足就弃之不用,那么,目前能做的就只能是多方发力、破解网络安全难题了
2、。具体来说,可从以下几个方面做起:首先,加强法律监管势在必行。其次,网络安全架构的建设刻不容缓。第三,网民个人安全意识亟待提高。11.1 电子商务网络安全概述v 11.1.1 计算机网络安全v(1)计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。v(2)计算机网络安全应具有以下五个方面的特征:v 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。v 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。v 可用性:可被授权实体访问并
3、按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;v 可控性:对信息的传播及内容具有控制能力。v 可审查性:出现的安全问题时提供依据与手段。v(3)全方位的计算机安全体系:v 与其它安全体系(如保安系统)类似,企业应用系统的安全体系应包含:v 访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。v 检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。v 攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断
4、开网络连接、记录攻击过程、跟踪攻击源等)。v 加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。v 认证:良好的认证体系可防止攻击者假冒合法用户。v 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。v(4)影响计算机网络安全性的因素v 目前我国计算机网络安全存在几大隐患:影响计算机网络安全性的因素主要有以下几个方面。v 网络结构因素v 网络协议因素v 地域因素v 用户因素v 主机因素v 单位安全政策v 人员因素v(5)计算机网络安全分析v 物理安全分析v 网络结构的安全分析v 系统的安全分析v 应用系统的安全分析v 管理的安全风险分析v 11.1.2
5、电子商务风险v(1)问题的提出 v 电子商务这种新型的商业运作模式,是当代信息网络技术、电子技术和数据处理技术在商贸领域综合应用的产物,是国民经济和社会信息化的一个重要组成部分。但是,网络社会中的种种威胁安全的风险问题,也成为了阻碍电子商务发展的一大难题。在因特网上,不仅个人隐私权需要保护,而且,电子商务的各个环节,如在线数据传输、网上电子支付等,其安全保障则是命脉攸关的。因特网目前不能成为平稳固定的商务平台,其重要的原因之一,就是因特网上的用户不相信他们在网上的通讯和资料是安全的、不会受到干扰和篡改。v(2)电子商务风险分类:v 对于电子商务活动的参与人,包括商人、金融机构、网上服务提供商以
6、及消费者而言,他们经常会遇到以下种种风险问题:v 因电子商务交易的不确定性而引起的损失v 因欺诈而产生的直接经济损失v 因网络服务中断而导致的商业机会的丧失v 保密信息的外泄v 因非法使用而遭受的损失v 因系统被攻击而产生的损失v 11.1.3 电子商务网络安全 v(1)安全电子商务的含义v 从动态系统考察,安全电子商务应为一种交易中力图达到的理想的状态。电子商务中的安全问题不仅涉及相关的法律问题,而且同时涉及管理问题和技术问题。而另一方面,即便作出相关的法律规定以确保交易的安全,但实际上,许多法律规定的效果也需要相关的技术方面的支持才能实现。开放性和资源共享性,是计算机网络的最大优势,但也称
7、为电子商务发展中安全问题的主要根源。而其安全性主要依赖于加密、交易双方当事人的身份鉴别、数据信息存取控制策略等技术性手段。而其中第三方认证技术的作用尤为重要。v(2)安全电子商务的要求v 电子商务所涉及的安全,并没有超出普通的网络安全问题,只是由于其全球化特性,使其安全问题更为突出而已。电子商务安全要求包括四个方面:v 数据传输的安全性与可控制性v 数据的完整性与可用性v 身份认证v 交易的不可抵赖性v(3)电子商务网络安全的分类v 电子商务网络安全从整体上可分为两大部分:计算机网络安全和商务交易安全v 计算机网络安全的内容包括:v 1.未进行操作系统相关安全配置v 2.未进行CGI 程序代码
8、审计v 3.拒绝服务(DoS,Denial of Service)攻击v 4.安全产品使用不当v 5.缺少严格的网络安全管理制度v 计算机商务交易安全的内容包括:v 1.窃取信息v 2.篡改信息v 3.假冒v 4.恶意破坏v(3)电子商务的安全保障体系v 为了实现安全体系结构要求的安全服务,建议采用以下8 中安全机制:加密;数字签名;访问控制;数据完整;交换鉴别;业务流量填充;路由控制;网络公证。v 在电子商务的安全保护体系中,法律体系的建设是不可缺少的。就电子商务安全方面有关的法律,应考虑以下几个方面:v 电子数据信息安全法,互联网络法,电子信息犯罪法,电子信息知识产权保护法,电子信息个人隐
9、私法,电子信息出入境法。11.2 我国网络安全法律规定v 11.2.1 我国涉及交易安全的若干法律法规v 我国现行的涉及交易安全的法律法规主要有四类:(1)综合性法律,主要是民法通则和刑法中有关保护交易安全的条文;(2)规范交易主体的有关法律,如公司法、国有企业法、集体企业法、合伙企业法、私营企业法、外资企业法等;(3)规范交易行为的有关法律,包括经济合同法、产品质量法、财产保险法、价格法、消费者权益保护法、广告法、反不正当竞争法等;(4)监督交易行为的有关法律,如会计法、审计法、票据法、银行法等。v 11.2.2 我国涉及网络安全的行政法规v 国务院颁布的中华人民共和国计算机信息网络国际联网
10、管理暂行规定(以下简称规定)和公安部颁发的计算机信息网络国际联网安全保护管理办法(以下简称办法)就是两个对电子商务具有重大影响的重要行政法规。v(1)安全管理新思路v 其指导思想主要包括以下几个方面:体现促进经济发展的原则;体现保障安全的原则;体现严格管理的原则;体现与国家现行法律体系一致性原则。v(2)适用范围与调整对象v 规定和办法的调整对象是中华人民共和国境内从事计算机信息网络国际联网业务的单位和个人。主要包括:国际出入口信道提供单位和互联单位的主管部门或主管单位、国际出入口信道提供单位、互联单位、接入单位、适用计算机信息网络国际联网的个人、法人和其他组织。v 计算机信息网络国际联网业务
11、主要包括:提供国际出入口信道、接入服务、信息房屋、适用计算机信息网络提供的各类功能,以及与计算机信息网络国际联网有关的其他业务。11.3 网络安全的法律保障机制 v 虽然我国已颁布相当数量的信息网络安全方面的法律规范,但总的说来还有很多潜在的不安全因素,为确保网络安全,除技术安全措施和安全管理制度外,必须建立完善的法律保障机制。v(1)确立网络安全的保护理念 v(2)网络安全法律体系v(3)网络安全法律效率v(4)借鉴国际信息安全立法和加强合作11.4 电子商务安全和管理措施v 11.4.1 电子商务信息安全问题v(1)电子商务信息安全v(2)电子商务信息安全机制v(3)电子商务中的信息安全技
12、术v(4)数字认证及数字认证授权机构 v(5)电子商务信息安全协议 v 11.4.2 电子商务网络安全管理v(1)威胁电子商务网络安全因素v(2)安全防范意识v(3)网络安全的结构层次v 11.4.3 未来网络安全趋势v 未来二三十年,信息战在军事决策与行动方面的作用将显著增强。在诸多决定性因素中包括以下几点:互联网、无线宽带及射频识别等新技术的广泛应用;实际战争代价高昂且不得人心,以及这样一种可能性,即许多信息技术可秘密使用,使黑客高手能够反复打进对手的计算机网络。v(1)技术对经济与社会的支配力量日益加重v(2)先进的通信技术正在改变我们的工作与生活方式v(3)全球经济日益融合v(4)研究与发展(R D)促进全球经济增长的作用日益增强v(5)技术变化随着新一代的发明与应用而加速在发展极快的设计学科,大学生一年级时所学的最新知识到毕业时大多已经过时。
黑公网安备:91230400333293403D