電子商務(wù)安全管理課件

電子商務(wù)安全管理江西師范大學(xué)商學(xué)院電子商務(wù)教研室陳建副教授E-mail：88888k@

博客：

1電子商務(wù)安全管理江西師范大學(xué)商學(xué)院電子商務(wù)教研室陳建副教第2章電子商務(wù)安全管理2第2章電子商務(wù)安全管理22.1安全標(biāo)準(zhǔn)與組織2.2安全協(xié)調(diào)機(jī)構(gòu)與政策2.3電子商務(wù)安全管理制度2.4電子商務(wù)安全的法律保障目錄32.1安全標(biāo)準(zhǔn)與組織目錄32.1.1制定安全標(biāo)準(zhǔn)的組織2.1.2互聯(lián)網(wǎng)標(biāo)準(zhǔn)與組織2.1.3我國的信息安全標(biāo)準(zhǔn)化工作2.1安全標(biāo)準(zhǔn)與組織小目錄42.1.1制定安全標(biāo)準(zhǔn)的組織2.1安全標(biāo)準(zhǔn)與組織小目錄42.1.1制定安全標(biāo)準(zhǔn)的組織一、國際標(biāo)準(zhǔn)化組織(ISO)二、國際電報(bào)和電話咨詢委員會(CCITT)三、國際信息處理聯(lián)合會第十一技術(shù)委員會(IFIPTC11)四、電氣和電子工程師學(xué)會(IEEE)五、美國國家標(biāo)準(zhǔn)局與美國商業(yè)部國家技術(shù)標(biāo)準(zhǔn)研究所六、美國國家標(biāo)準(zhǔn)協(xié)會(ANSI)2.1安全標(biāo)準(zhǔn)與組織52.1.1制定安全標(biāo)準(zhǔn)的組織2.1安全標(biāo)準(zhǔn)與組織5一、國際標(biāo)準(zhǔn)化組織（ISO）

OSI基本參考模型提供的五種安全服務(wù)：驗(yàn)證服務(wù)訪問控制服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)完整性服務(wù)不可否認(rèn)服務(wù)2.1安全標(biāo)準(zhǔn)與組織6一、國際標(biāo)準(zhǔn)化組織（ISO）2.1安全標(biāo)準(zhǔn)與組織6ISO的主頁2.1安全標(biāo)準(zhǔn)與組織7ISO的主頁2.1安全標(biāo)準(zhǔn)與組織7ITU的主頁2.1安全標(biāo)準(zhǔn)與組織8ITU的主頁2.1安全標(biāo)準(zhǔn)與組織8IFIP的主頁2.1安全標(biāo)準(zhǔn)與組織9IFIP的主頁2.1安全標(biāo)準(zhǔn)與組織9IEEE的主頁2.1安全標(biāo)準(zhǔn)與組織10IEEE的主頁2.1安全標(biāo)準(zhǔn)與組織10NIST的主頁2.1安全標(biāo)準(zhǔn)與組織11NIST的主頁2.1安全標(biāo)準(zhǔn)與組織11ANSI的主頁2.1安全標(biāo)準(zhǔn)與組織12ANSI的主頁2.1安全標(biāo)準(zhǔn)與組織122.1.2互聯(lián)網(wǎng)標(biāo)準(zhǔn)與組織一、互聯(lián)網(wǎng)體系2.1安全標(biāo)準(zhǔn)與組織132.1.2互聯(lián)網(wǎng)標(biāo)準(zhǔn)與組織2.1安全標(biāo)準(zhǔn)與組織13ISOC的主頁2.1安全標(biāo)準(zhǔn)與組織14ISOC的主頁2.1安全標(biāo)準(zhǔn)與組織14IAB的主頁2.1安全標(biāo)準(zhǔn)與組織15IAB的主頁2.1安全標(biāo)準(zhǔn)與組織15IETF的主頁2.1安全標(biāo)準(zhǔn)與組織16IETF的主頁2.1安全標(biāo)準(zhǔn)與組織16IRTF的主頁2.1安全標(biāo)準(zhǔn)與組織17IRTF的主頁2.1安全標(biāo)準(zhǔn)與組織17RFC的主頁2.1安全標(biāo)準(zhǔn)與組織18RFC的主頁2.1安全標(biāo)準(zhǔn)與組織18互聯(lián)網(wǎng)草案的網(wǎng)頁2.1安全標(biāo)準(zhǔn)與組織19互聯(lián)網(wǎng)草案的網(wǎng)頁2.1安全標(biāo)準(zhǔn)與組織192.1安全標(biāo)準(zhǔn)與組織W3C的網(wǎng)頁202.1安全標(biāo)準(zhǔn)與組織W3C的網(wǎng)頁20二、互聯(lián)網(wǎng)安全運(yùn)作指導(dǎo)方針2.1安全標(biāo)準(zhǔn)與組織212.1安全標(biāo)準(zhǔn)與組織212.1.3我國的信息安全標(biāo)準(zhǔn)化工作2.1安全標(biāo)準(zhǔn)與組織222.1.3我國的信息安全標(biāo)準(zhǔn)化工作2.1安全標(biāo)準(zhǔn)與組織222.2安全協(xié)調(diào)機(jī)構(gòu)與政策2.2.1國際信息安全協(xié)調(diào)機(jī)構(gòu)2.2.2我國的信息安全管理機(jī)構(gòu)及原則安全管理格局法律政策原則機(jī)構(gòu)部門安全管理原則小目錄232.2安全協(xié)調(diào)機(jī)構(gòu)與政策2.2.1國際信息安全協(xié)調(diào)機(jī)構(gòu)小2.2.1國際信息安全協(xié)調(diào)機(jī)構(gòu)1988“莫里斯病毒事件”作用：解決Internet上存在的安全問題，調(diào)查Internet的脆弱性和發(fā)布信息CERT/CC三類工作：提供問題解決方案建立脆弱問題數(shù)據(jù)庫進(jìn)行信息反饋2.2安全協(xié)調(diào)機(jī)構(gòu)與政策242.2.1國際信息安全協(xié)調(diào)機(jī)構(gòu)2.2安全協(xié)調(diào)機(jī)構(gòu)與政策242.2安全協(xié)調(diào)機(jī)構(gòu)與政策CERT/CC的網(wǎng)頁252.2安全協(xié)調(diào)機(jī)構(gòu)與政策CERT/CC的網(wǎng)頁252.2安全協(xié)調(diào)機(jī)構(gòu)與政策中國CERT的網(wǎng)頁262.2安全協(xié)調(diào)機(jī)構(gòu)與政策中國CERT的網(wǎng)頁262.2安全協(xié)調(diào)機(jī)構(gòu)與政策272.2安全協(xié)調(diào)機(jī)構(gòu)與政策272.2.2我國的信息安全管理機(jī)構(gòu)及原則一、安全管理格局機(jī)構(gòu)設(shè)置基本方針：興利除弊、集中監(jiān)控、分級管理、保障國家安全密碼管理方針：統(tǒng)一領(lǐng)導(dǎo)、集中管理、定點(diǎn)研制、?？亟?jīng)營、滿足使用二、法律政策原則（三層次）一層：從憲法的高度進(jìn)行規(guī)范二層：直接約束計(jì)算機(jī)安全、互聯(lián)網(wǎng)安全的法規(guī)三層：對信息內(nèi)容、信息安全技術(shù)、信息安全產(chǎn)品的授權(quán)審批的規(guī)定三、機(jī)構(gòu)部門安全管理原則“四有”原則2.2安全協(xié)調(diào)機(jī)構(gòu)與政策282.2.2我國的信息安全管理機(jī)構(gòu)及原則2.2安全協(xié)調(diào)機(jī)構(gòu)與2.3電子商務(wù)安全管理制度2.3.1信息安全管理制度的內(nèi)涵2.3.2網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度2.3.3病毒防范制度2.3.4人員管理制度2.3.5保密制度2.3.6跟蹤、審計(jì)、稽核制度2.3.7應(yīng)急措施制度小目錄292.3電子商務(wù)安全管理制度2.3.1信息安全管理制度的內(nèi)2.3電子商務(wù)安全管理制度2.3.1信息安全管理制度的內(nèi)涵一、計(jì)算機(jī)信息安全的定義為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露——ISO計(jì)算機(jī)系統(tǒng)有能力控制給定的主體對給定的客體的存取——美國防部《可信計(jì)算機(jī)系統(tǒng)評級準(zhǔn)則》從保密性、完整性、可用性來衡量——?dú)W《信息技術(shù)安全評級準(zhǔn)則》302.3電子商務(wù)安全管理制度2.3.1信息安全管理制度的內(nèi)涵2.3.1信息安全管理制度的內(nèi)涵二、計(jì)算機(jī)信息安全的基本要求（5條）認(rèn)同用戶和鑒別控制存取保障完整性審計(jì)容錯(cuò)三、信息安全管理制度指用文字形式對各項(xiàng)安全要求所作的規(guī)定，它是保證企業(yè)電子商務(wù)取得成功的重要基礎(chǔ)工作，是企業(yè)人員安全工作德規(guī)范和準(zhǔn)則。2.3電子商務(wù)安全管理制度312.3.1信息安全管理制度的內(nèi)涵2.3電子商務(wù)安全管理制度2.3.2網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度一、硬件的日常管理和維護(hù)網(wǎng)絡(luò)設(shè)備服務(wù)器和客戶機(jī)通信線路二、軟件的日常管理和維護(hù)支撐軟件應(yīng)用軟件三、數(shù)據(jù)備份2.3電子商務(wù)安全管理制度322.3.2網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度2.3電子商務(wù)安全管理制度2.3.7應(yīng)急措施制度應(yīng)急措施指在計(jì)算機(jī)災(zāi)難事件（即緊急事件或安全事故）發(fā)生時(shí)，利用應(yīng)急計(jì)劃、輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)。2.3電子商務(wù)安全管理制度332.3.7應(yīng)急措施制度2.3電子商務(wù)安全管理制度332.4電子商務(wù)安全的法律保障2.4.1國際電子商務(wù)立法現(xiàn)狀2.4.2國內(nèi)電子商務(wù)立法現(xiàn)狀2.4.3國內(nèi)與電子商務(wù)相關(guān)的法律法規(guī)政策小目錄342.4電子商務(wù)安全的法律保障2.4.1國際電子商務(wù)立法現(xiàn)狀2.4.1國際電子商務(wù)立法現(xiàn)狀一、國際電子商務(wù)立法進(jìn)展二、國際電子商務(wù)立法原則電子商務(wù)基本上應(yīng)由私營企業(yè)來主導(dǎo)電子商務(wù)應(yīng)在開放、公平的競爭環(huán)境中發(fā)展政府干預(yù)應(yīng)在需要時(shí)起到促進(jìn)國際化法律環(huán)境建立、公平分配匱乏資源的作用，而且這種干預(yù)應(yīng)是透明的、少量的、重要的、有目標(biāo)的、非歧視性的、平等的，技術(shù)上是中性的使私營企業(yè)介入或涉入電子商務(wù)政策的制定電子商務(wù)交易應(yīng)使用非電子手段的稅收概念相結(jié)合電信設(shè)施建設(shè)應(yīng)是經(jīng)營者在開放、公平的市場中競爭并逐步實(shí)現(xiàn)全球化保護(hù)個(gè)人隱私，對個(gè)人數(shù)據(jù)進(jìn)行加密保護(hù)；商家應(yīng)為消費(fèi)者提供安全保障設(shè)施，并保證用戶能方便實(shí)事、使用2.4電子商務(wù)安全的法律保障352.4.1國際電子商務(wù)立法現(xiàn)狀2.4電子商務(wù)安全的法律保障32.4.2國內(nèi)電子商務(wù)立法現(xiàn)狀一、中國電子商務(wù)立法的相關(guān)背景二、涉及的主要法律問題三、立法應(yīng)遵循的指導(dǎo)原則國內(nèi)立法指導(dǎo)原則鼓勵(lì)和發(fā)展電子商務(wù)是中國電子商務(wù)立法的首要前提電子商務(wù)立法要與憲法和其他已存在的法律法規(guī)及我國認(rèn)同的國際法保持一致電子商務(wù)立法要適合中國國情《中國發(fā)展電子商務(wù)的指導(dǎo)意見初稿》內(nèi)容包括：電子商務(wù)的市場準(zhǔn)入和后勤問題、電子商務(wù)法律框架、金融框架等。2.4電子商務(wù)安全的法律保障362.4.2國內(nèi)電子商務(wù)立法現(xiàn)狀2.4電子商務(wù)安全的法律保障3謝謝！本章結(jié)束37謝謝！本章結(jié)束37電子商務(wù)安全管理江西師范大學(xué)商學(xué)院電子商務(wù)教研室陳建副教授E-mail：88888k@

博客：

38電子商務(wù)安全管理江西師范大學(xué)商學(xué)院電子商務(wù)教研室陳建副教第2章電子商務(wù)安全管理39第2章電子商務(wù)安全管理22.1安全標(biāo)準(zhǔn)與組織2.2安全協(xié)調(diào)機(jī)構(gòu)與政策2.3電子商務(wù)安全管理制度2.4電子商務(wù)安全的法律保障目錄402.1安全標(biāo)準(zhǔn)與組織目錄32.1.1制定安全標(biāo)準(zhǔn)的組織2.1.2互聯(lián)網(wǎng)標(biāo)準(zhǔn)與組織2.1.3我國的信息安全標(biāo)準(zhǔn)化工作2.1安全標(biāo)準(zhǔn)與組織小目錄412.1.1制定安全標(biāo)準(zhǔn)的組織2.1安全標(biāo)準(zhǔn)與組織小目錄42.1.1制定安全標(biāo)準(zhǔn)的組織一、國際標(biāo)準(zhǔn)化組織(ISO)二、國際電報(bào)和電話咨詢委員會(CCITT)三、國際信息處理聯(lián)合會第十一技術(shù)委員會(IFIPTC11)四、電氣和電子工程師學(xué)會(IEEE)五、美國國家標(biāo)準(zhǔn)局與美國商業(yè)部國家技術(shù)標(biāo)準(zhǔn)研究所六、美國國家標(biāo)準(zhǔn)協(xié)會(ANSI)2.1安全標(biāo)準(zhǔn)與組織422.1.1制定安全標(biāo)準(zhǔn)的組織2.1安全標(biāo)準(zhǔn)與組織5一、國際標(biāo)準(zhǔn)化組織（ISO）

OSI基本參考模型提供的五種安全服務(wù)：驗(yàn)證服務(wù)訪問控制服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)完整性服務(wù)不可否認(rèn)服務(wù)2.1安全標(biāo)準(zhǔn)與組織43一、國際標(biāo)準(zhǔn)化組織（ISO）2.1安全標(biāo)準(zhǔn)與組織6ISO的主頁2.1安全標(biāo)準(zhǔn)與組織44ISO的主頁2.1安全標(biāo)準(zhǔn)與組織7ITU的主頁2.1安全標(biāo)準(zhǔn)與組織45ITU的主頁2.1安全標(biāo)準(zhǔn)與組織8IFIP的主頁2.1安全標(biāo)準(zhǔn)與組織46IFIP的主頁2.1安全標(biāo)準(zhǔn)與組織9IEEE的主頁2.1安全標(biāo)準(zhǔn)與組織47IEEE的主頁2.1安全標(biāo)準(zhǔn)與組織10NIST的主頁2.1安全標(biāo)準(zhǔn)與組織48NIST的主頁2.1安全標(biāo)準(zhǔn)與組織11ANSI的主頁2.1安全標(biāo)準(zhǔn)與組織49ANSI的主頁2.1安全標(biāo)準(zhǔn)與組織122.1.2互聯(lián)網(wǎng)標(biāo)準(zhǔn)與組織一、互聯(lián)網(wǎng)體系2.1安全標(biāo)準(zhǔn)與組織502.1.2互聯(lián)網(wǎng)標(biāo)準(zhǔn)與組織2.1安全標(biāo)準(zhǔn)與組織13ISOC的主頁2.1安全標(biāo)準(zhǔn)與組織51ISOC的主頁2.1安全標(biāo)準(zhǔn)與組織14IAB的主頁2.1安全標(biāo)準(zhǔn)與組織52IAB的主頁2.1安全標(biāo)準(zhǔn)與組織15IETF的主頁2.1安全標(biāo)準(zhǔn)與組織53IETF的主頁2.1安全標(biāo)準(zhǔn)與組織16IRTF的主頁2.1安全標(biāo)準(zhǔn)與組織54IRTF的主頁2.1安全標(biāo)準(zhǔn)與組織17RFC的主頁2.1安全標(biāo)準(zhǔn)與組織55RFC的主頁2.1安全標(biāo)準(zhǔn)與組織18互聯(lián)網(wǎng)草案的網(wǎng)頁2.1安全標(biāo)準(zhǔn)與組織56互聯(lián)網(wǎng)草案的網(wǎng)頁2.1安全標(biāo)準(zhǔn)與組織192.1安全標(biāo)準(zhǔn)與組織W3C的網(wǎng)頁572.1安全標(biāo)準(zhǔn)與組織W3C的網(wǎng)頁20二、互聯(lián)網(wǎng)安全運(yùn)作指導(dǎo)方針2.1安全標(biāo)準(zhǔn)與組織582.1安全標(biāo)準(zhǔn)與組織212.1.3我國的信息安全標(biāo)準(zhǔn)化工作2.1安全標(biāo)準(zhǔn)與組織592.1.3我國的信息安全標(biāo)準(zhǔn)化工作2.1安全標(biāo)準(zhǔn)與組織222.2安全協(xié)調(diào)機(jī)構(gòu)與政策2.2.1國際信息安全協(xié)調(diào)機(jī)構(gòu)2.2.2我國的信息安全管理機(jī)構(gòu)及原則安全管理格局法律政策原則機(jī)構(gòu)部門安全管理原則小目錄602.2安全協(xié)調(diào)機(jī)構(gòu)與政策2.2.1國際信息安全協(xié)調(diào)機(jī)構(gòu)小2.2.1國際信息安全協(xié)調(diào)機(jī)構(gòu)1988“莫里斯病毒事件”作用：解決Internet上存在的安全問題，調(diào)查Internet的脆弱性和發(fā)布信息CERT/CC三類工作：提供問題解決方案建立脆弱問題數(shù)據(jù)庫進(jìn)行信息反饋2.2安全協(xié)調(diào)機(jī)構(gòu)與政策612.2.1國際信息安全協(xié)調(diào)機(jī)構(gòu)2.2安全協(xié)調(diào)機(jī)構(gòu)與政策242.2安全協(xié)調(diào)機(jī)構(gòu)與政策CERT/CC的網(wǎng)頁622.2安全協(xié)調(diào)機(jī)構(gòu)與政策CERT/CC的網(wǎng)頁252.2安全協(xié)調(diào)機(jī)構(gòu)與政策中國CERT的網(wǎng)頁632.2安全協(xié)調(diào)機(jī)構(gòu)與政策中國CERT的網(wǎng)頁262.2安全協(xié)調(diào)機(jī)構(gòu)與政策642.2安全協(xié)調(diào)機(jī)構(gòu)與政策272.2.2我國的信息安全管理機(jī)構(gòu)及原則一、安全管理格局機(jī)構(gòu)設(shè)置基本方針：興利除弊、集中監(jiān)控、分級管理、保障國家安全密碼管理方針：統(tǒng)一領(lǐng)導(dǎo)、集中管理、定點(diǎn)研制、專控經(jīng)營、滿足使用二、法律政策原則（三層次）一層：從憲法的高度進(jìn)行規(guī)范二層：直接約束計(jì)算機(jī)安全、互聯(lián)網(wǎng)安全的法規(guī)三層：對信息內(nèi)容、信息安全技術(shù)、信息安全產(chǎn)品的授權(quán)審批的規(guī)定三、機(jī)構(gòu)部門安全管理原則“四有”原則2.2安全協(xié)調(diào)機(jī)構(gòu)與政策652.2.2我國的信息安全管理機(jī)構(gòu)及原則2.2安全協(xié)調(diào)機(jī)構(gòu)與2.3電子商務(wù)安全管理制度2.3.1信息安全管理制度的內(nèi)涵2.3.2網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度2.3.3病毒防范制度2.3.4人員管理制度2.3.5保密制度2.3.6跟蹤、審計(jì)、稽核制度2.3.7應(yīng)急措施制度小目錄662.3電子商務(wù)安全管理制度2.3.1信息安全管理制度的內(nèi)2.3電子商務(wù)安全管理制度2.3.1信息安全管理制度的內(nèi)涵一、計(jì)算機(jī)信息安全的定義為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露——ISO計(jì)算機(jī)系統(tǒng)有能力控制給定的主體對給定的客體的存取——美國防部《可信計(jì)算機(jī)系統(tǒng)評級準(zhǔn)則》從保密性、完整性、可用性來衡量——?dú)W《信息技術(shù)安全評級準(zhǔn)則》672.3電子商務(wù)安全管理制度2.3.1信息安全管理制度的內(nèi)涵2.3.1信息安全管理制度的內(nèi)涵二、計(jì)算機(jī)信息安全的基本要求（5條）認(rèn)同用戶和鑒別控制存取保障完整性審計(jì)容錯(cuò)三、信息安全管理制度指用文字形式對各項(xiàng)安全要求所作的規(guī)定，它是保證企業(yè)電子商務(wù)取得成功的重要基礎(chǔ)工作，是企業(yè)人員安全工作德規(guī)范和準(zhǔn)則。2.3電子商務(wù)安全管理制度682.3.1信息安全管理制度的內(nèi)涵2.3電子商務(wù)安全管理制度2.3.2網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度一、硬件的日常管理和維護(hù)網(wǎng)絡(luò)設(shè)備服務(wù)器和客戶機(jī)通信線路二、軟件的日常管理和維護(hù)支撐軟件應(yīng)用軟件三、數(shù)據(jù)備份2.3電子商務(wù)安全管理制度692.3.2網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度2.3電子商務(wù)安全管理制度2.3.7應(yīng)急措施制度應(yīng)急措施指在計(jì)算機(jī)災(zāi)難事件（即緊急事件或安全事故）發(fā)生時(shí)，利用應(yīng)急計(jì)劃、輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)。2.3電子商務(wù)安全管理制度702.3.7應(yīng)急措施制度2.3電子商務(wù)安全管理制度