電子商務(wù)安全的管理保障課件

上一堂課內(nèi)容回顧第2章電子商務(wù)安全的技術(shù)保障 2.1加密技術(shù) 2.2數(shù)字簽名 2.3認(rèn)證技術(shù) 2.4防火墻技術(shù)（自習(xí)）上一堂課內(nèi)容回顧第2章電子商務(wù)安全的技術(shù)保障1第3章電子商務(wù)安全的管理保障第3章電子商務(wù)安全的管理保障2內(nèi)容回顧第1章電子商務(wù)安全與電子支付概論1.1電子商務(wù)發(fā)展概況1.2電子商務(wù)安全概述

1.2.1電子商務(wù)面臨的安全威脅 1.2.2電子商務(wù)的安全要素 1.2.3電子商務(wù)的安全體系結(jié)構(gòu)1.3電子商務(wù)基本流程1.4電子商務(wù)中的電子支付計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)電子商務(wù)交易風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)政策法律風(fēng)險(xiǎn)內(nèi)容回顧第1章電子商務(wù)安全與電子支付概論計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)3內(nèi)容回顧計(jì)算機(jī)網(wǎng)絡(luò)方面的風(fēng)險(xiǎn)網(wǎng)上交易方面的風(fēng)險(xiǎn)管理方面的風(fēng)險(xiǎn)政策法律方面的風(fēng)險(xiǎn)電子商務(wù)安全的技術(shù)保障電子商務(wù)安全的管理保障電子商務(wù)安全的法律保障如何保障？?jī)?nèi)容回顧計(jì)算機(jī)網(wǎng)絡(luò)方面的風(fēng)險(xiǎn)電子商務(wù)安全的技4（回顧）管理風(fēng)險(xiǎn)(P13)嚴(yán)格管理是降低網(wǎng)絡(luò)交易風(fēng)險(xiǎn)的重要保證:人員管理:是在線商店安全管理上最薄弱的環(huán)節(jié)。 企業(yè)內(nèi)部員工的疏失遠(yuǎn)比網(wǎng)絡(luò)上的黑客還要可怕!網(wǎng)絡(luò)交易技術(shù)管理的漏洞也帶來(lái)較大的交易風(fēng)險(xiǎn)。 有些操作系統(tǒng)中某些用戶是無(wú)口令的，如匿名FTP!（回顧）管理風(fēng)險(xiǎn)(P13)嚴(yán)格管理是降低網(wǎng)絡(luò)5補(bǔ)：管理風(fēng)險(xiǎn)—社會(huì)工程學(xué)攻擊社會(huì)工程學(xué)（攻擊）是使用計(jì)謀和假情報(bào)去獲得密碼和其他敏感信息的科學(xué)。或者說是一種通過對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來(lái)已成迅速上升甚至濫用的趨勢(shì)。補(bǔ)：管理風(fēng)險(xiǎn)—社會(huì)工程學(xué)攻擊社會(huì)工程學(xué)（攻擊）是使用計(jì)謀和6社會(huì)工程學(xué)攻擊研究一個(gè)站點(diǎn)的策略其中之一就是盡可能多地了解這個(gè)組織的個(gè)體，因此黑客不斷試圖尋找更加精妙的方法，他們希望從滲透的組織那里獲得信息。舉個(gè)例子：一組高中學(xué)生曾經(jīng)想要入侵某公司的網(wǎng)絡(luò)，他們擬定了一個(gè)表格，調(diào)查看上去顯得是無(wú)害的個(gè)人信息，例如所有秘書和行政人員和他們的配偶、孩子的名字。這些從學(xué)生轉(zhuǎn)變成的黑客說這種簡(jiǎn)單的調(diào)查是他們社會(huì)研究工作的一部分。利用這份表格這些學(xué)生能夠快速的進(jìn)入系統(tǒng)，因?yàn)榫W(wǎng)絡(luò)上的大多數(shù)人是使用寵物和他們配偶名字作為密碼。社會(huì)工程學(xué)攻擊7社會(huì)工程學(xué)攻擊舉例1、請(qǐng)狼入室李小姐是某個(gè)大公司的經(jīng)理秘書，她工作的電腦上存儲(chǔ)著公司的許多重要業(yè)務(wù)資料，所以屬于公司著重保護(hù)的對(duì)象，安全部門設(shè)置了層層安全防護(hù)措施，可以說，她的電腦要從外部攻破是根本不可能的事情。為了方便修改設(shè)置和查殺病毒，安全部門可以直接通過網(wǎng)絡(luò)服務(wù)終端對(duì)李小姐的電腦進(jìn)行全面設(shè)置。也許貪圖方便，維護(hù)員與李小姐的日常聯(lián)系是通過QQ進(jìn)行的。這天，李小姐剛打開QQ，就收到維護(hù)員的消息：“小李，我忘記登錄密碼了，快告訴我，有個(gè)緊急的安全設(shè)置要做呢！”因?yàn)楹途S護(hù)員很熟了，李小姐就把密碼發(fā)了過去。。。。一夜之間，公司的主要競(jìng)爭(zhēng)對(duì)手掌握了公司的業(yè)務(wù)！社會(huì)工程學(xué)攻擊舉例1、請(qǐng)狼入室李小姐是某個(gè)大公司的經(jīng)理秘書，8社會(huì)工程學(xué)攻擊舉例由于安全部門距離李小姐的工作地點(diǎn)有好些距離，管理不方便，所以公司讓他們直接通過網(wǎng)絡(luò)來(lái)管理機(jī)器！他與李小姐之間的聯(lián)系通過QQ進(jìn)行。問題偏偏就出在QQ上。作為安全人員，他自然知道密碼的重要性，因此他的任何密碼都設(shè)置得十分復(fù)雜，窮舉幾乎不可能。至于被入侵，那更不可能發(fā)生。然而百密仍有一疏，他做夢(mèng)也沒想到對(duì)手利用QQ的取回密碼功能輕易拿到了他的密碼。剖析：

李小姐正是出于對(duì)維護(hù)員的信任才被對(duì)方欺騙的。因?yàn)槟莻€(gè)在QQ上出現(xiàn)的維護(hù)員根本不是公司的維護(hù)員本人，而是對(duì)手盜取了維護(hù)員的QQ，再利用一個(gè)小小的信任關(guān)系，就輕易取得了登錄密碼。2、形同虛設(shè)的密碼社會(huì)工程學(xué)攻擊舉例由于安全部門距離李小姐的工作地點(diǎn)有好些9社會(huì)工程學(xué)攻擊舉例剖析：他在輸入提示答案的時(shí)候，下意識(shí)地輸入了心里最重要的那個(gè)人的名字。但是對(duì)手也知道他心里那個(gè)人的名字，所謂的“知己知彼”。小馬喜歡絢麗的QQ秀和一些特色服務(wù)，但舍不得花錢。好想有免費(fèi)的Q幣。某天一QQ好友給他發(fā)來(lái)一個(gè)URL，還說這個(gè)網(wǎng)站通過一定的點(diǎn)擊次數(shù)提供Q幣。如此好的機(jī)會(huì)小馬怎能放過？他根據(jù)網(wǎng)站的提示輸入了QQ號(hào)碼和密碼完成注冊(cè)，然后給QQ上的朋友們發(fā)了網(wǎng)址。然而等了許久，自己的Q幣依然沒有動(dòng)靜。第二天，小馬想登錄QQ時(shí)，卻發(fā)現(xiàn)怎么也登錄不上去了——QQ密碼被人改了。這是曾鬧得轟轟烈烈的QQ欺騙案件之一。3、E時(shí)代的守株待兔社會(huì)工程學(xué)攻擊舉例剖析：他在輸入提示答案的時(shí)候，下意識(shí)地輸入10社會(huì)工程學(xué)攻擊舉例剖析：這就是著名的“網(wǎng)絡(luò)釣魚”！論壇常有帖子：“……騰訊公司預(yù)留了專用號(hào)碼作為充值號(hào)，此號(hào)是自動(dòng)讀取指令的，為了不引起大家的注意，所以這個(gè)QQ比較普通，這個(gè)QQ一般隱身。只要發(fā)送{Jerusalum/PLO號(hào)碼}{VesselinBontchev密碼}{FRALDMUZKQ幣數(shù)量}，然后下線5分鐘，等著收Q幣吧?！贝蟾缒闶遣皇翘阈?？！改我密碼還要5分鐘??？麻煩你快一點(diǎn)好不好！還有QQ中獎(jiǎng)要求用戶填寫密碼以待“驗(yàn)證”等伎倆，無(wú)論什么手法，最終結(jié)局都是一樣的，那就是——用戶的密碼被人改掉。如此白癡的騙局，只要有點(diǎn)常識(shí)的人都不難理解其中的“笑話”，奇怪的是卻屢屢有人上當(dāng)，究其原因，就是因?yàn)閲?guó)人的貪小便宜心理作祟。社會(huì)工程學(xué)攻擊舉例剖析：這就是著名的“網(wǎng)絡(luò)釣魚”！大哥你是不11社會(huì)工程學(xué)攻擊舉例王先生是一家銀行的職員，通常都是直接在網(wǎng)絡(luò)上完成轉(zhuǎn)賬操作的。由于他的電腦水平不高，前不久被一個(gè)初學(xué)者駭客入侵了機(jī)器。在請(qǐng)來(lái)專業(yè)人員修復(fù)系統(tǒng)更改密碼后，王先生照例登錄網(wǎng)絡(luò)銀行為手機(jī)繳費(fèi)，可是才過一會(huì)兒他的冷汗就出來(lái)了：網(wǎng)絡(luò)銀行登錄不進(jìn)去了！深感大事不妙的王先生去銀行辦理了相關(guān)手續(xù)，查賬發(fā)現(xiàn)賬戶里的錢已經(jīng)被人劃走了。因?yàn)橥跸壬噶舜蟛糠秩硕紩?huì)犯的致命錯(cuò)誤：通常為了記憶方便，人們會(huì)把幾處的密碼都設(shè)置成一樣的，例如QQ、E-MAIL、FTP、網(wǎng)站等的密碼，而王先生更進(jìn)一步把所有密碼都弄成一樣的了，因此入侵者在得到王先生的機(jī)器登錄密碼后也就得到了網(wǎng)絡(luò)銀行的密碼。正是因?yàn)檫@個(gè)普遍心理特點(diǎn)，受害者往往都是被入侵者一鍋端了！因?yàn)楹?jiǎn)單密碼和相同密碼是大部分人都會(huì)碰到的心理弱點(diǎn)4、輕而易舉的入侵社會(huì)工程學(xué)攻擊舉例王先生是一家銀行的職員，通常都是直接12 電子商務(wù)的實(shí)質(zhì)仍然是商務(wù)。電子商務(wù)交易活動(dòng)越普遍,對(duì)安全管理的要求就越高。此時(shí)的管理，已不單純是對(duì)計(jì)算機(jī)系統(tǒng)的管理，而是涉及對(duì)虛擬環(huán)境中商務(wù)活動(dòng)各類參與主體的管理。防止前述問題的風(fēng)險(xiǎn)需要有完善的制度設(shè)計(jì)，形成一套相互關(guān)聯(lián)、相互制約的制度群。3.1電子商務(wù)標(biāo)準(zhǔn)管理3.2計(jì)算機(jī)信息系統(tǒng)管理3.3網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)用戶的管理3.4網(wǎng)絡(luò)廣告管理3.5電子認(rèn)證服務(wù)機(jī)構(gòu)管理 電子商務(wù)的實(shí)質(zhì)仍然是商務(wù)。電子商務(wù)交易活動(dòng)越普遍,對(duì)安全133.1電子商務(wù)標(biāo)準(zhǔn)管理（課本P61-68）電子商務(wù)標(biāo)準(zhǔn)的產(chǎn)生—需求產(chǎn)生標(biāo)準(zhǔn)

在信息化時(shí)代，企業(yè)依靠越來(lái)越多的管理信息系統(tǒng)實(shí)現(xiàn)運(yùn)營(yíng)。面對(duì)五花八門的系統(tǒng)交互，企業(yè)首先要解決數(shù)據(jù)交換問題。（如何解決？）開發(fā)專用接口或統(tǒng)一數(shù)據(jù)格式成為人們常用的辦法。但是在互聯(lián)網(wǎng)上，這些辦法似乎頗有束縛。因此，定制數(shù)據(jù)交換標(biāo)準(zhǔn)的需求應(yīng)運(yùn)而生。1998年，國(guó)際標(biāo)準(zhǔn)化組織W3C推出XML，解決了數(shù)據(jù)交換的標(biāo)準(zhǔn)問題。（企業(yè)需求得到滿足了嗎？）3.1電子商務(wù)標(biāo)準(zhǔn)管理（課本P61-68）電子商務(wù)標(biāo)準(zhǔn)的產(chǎn)14然而，這還遠(yuǎn)遠(yuǎn)不能滿足企業(yè)的需求。企業(yè)要進(jìn)行商務(wù)，就要在不同商務(wù)平臺(tái)之間進(jìn)行對(duì)話，也就是進(jìn)行B2B交易。實(shí)現(xiàn)真正的B2B商務(wù)，不僅涉及到企業(yè)間的數(shù)據(jù)交換，更要涉及到企業(yè)間業(yè)務(wù)流程的相互操作。以一個(gè)簡(jiǎn)單的定單交易為例，其中包括了定單內(nèi)容的傳遞和對(duì)定單的處理。前者屬于數(shù)據(jù)交換，后者屬于流程交易。定單處理：If定單被拒絕then…If定單被承諾then…定單處理：If…then拒絕If…then承諾定單基于XML格式買方企業(yè)賣方企業(yè)確定可行的標(biāo)準(zhǔn)接口流程然而，這還遠(yuǎn)遠(yuǎn)不能滿足企業(yè)的需求。企業(yè)要進(jìn)行商務(wù)，就要在不同15在互聯(lián)網(wǎng)時(shí)代，企業(yè)所面對(duì)的客戶和供應(yīng)商已經(jīng)不再僅僅局限于本地有限的幾個(gè)，而是散布在世界各地的數(shù)目可觀的一批。如果說原來(lái)企業(yè)間交易可以通過專門開發(fā)的接口，那么面對(duì)數(shù)量眾多的異構(gòu)商務(wù)平臺(tái)，在實(shí)時(shí)性要求相當(dāng)苛刻的現(xiàn)在，專用接口已經(jīng)不能勝任，建立一個(gè)基于XML數(shù)據(jù)交換標(biāo)準(zhǔn)的、描述企業(yè)間商務(wù)流程交易的標(biāo)準(zhǔn)框架體系已經(jīng)成為必需。

如RosettaNet、CommerceNet、CommerceOne等，都是在B2B的實(shí)踐中，從需求中產(chǎn)生的、面向流程的標(biāo)準(zhǔn)。在互聯(lián)網(wǎng)時(shí)代，企業(yè)所面對(duì)的客戶和供應(yīng)商已經(jīng)不再僅僅局限于本地16標(biāo)準(zhǔn)面面觀從當(dāng)前的市場(chǎng)應(yīng)用情況來(lái)看，標(biāo)準(zhǔn)基本上分為兩層：底層的數(shù)據(jù)交換標(biāo)準(zhǔn)和高層的面向流程的標(biāo)準(zhǔn)。XML是至今為止用來(lái)做數(shù)據(jù)交換比較有效的語(yǔ)言之一。BizTalk是微軟公司倡導(dǎo)的標(biāo)準(zhǔn)，是利用Internet標(biāo)準(zhǔn)協(xié)議和格式來(lái)促進(jìn)企業(yè)內(nèi)部和企業(yè)間的應(yīng)用集成電子商務(wù)的XML框架，吸引了包括XMLSolutions在內(nèi)的全球許多組織的支持。目前，注重流程的標(biāo)準(zhǔn)大致分為兩類，一類來(lái)源于由多家企業(yè)自發(fā)組成的非營(yíng)利性行業(yè)標(biāo)準(zhǔn)化組織，如RosettaNet、CommerceNet等；另一類來(lái)源于電子商務(wù)及解決方案供應(yīng)商，如CommerceOne、Ariba等。標(biāo)準(zhǔn)面面觀從當(dāng)前的市場(chǎng)應(yīng)用情況來(lái)看，標(biāo)準(zhǔn)基本上分為兩層：底層17世界上第一個(gè)Internet電子商務(wù)標(biāo)準(zhǔn)1999年12月14日，在美國(guó)加州舊金山的St.Francis飯店，公布了世界上第一個(gè)INTERNET商務(wù)標(biāo)準(zhǔn)（TheStandardforInternetCommerce,Version1.0–1999）。

這一標(biāo)準(zhǔn)是由Ziff-Davis雜志牽頭，組織了301位世界著名的INTERNET和IT業(yè)巨頭、相關(guān)記者、民間團(tuán)體、學(xué)者等經(jīng)過半年時(shí)間，進(jìn)行兩輪投票后才最終確定下來(lái)的。雖然這也還只是1.0版，但它已經(jīng)在相當(dāng)程度上規(guī)范了利用INTERNET從事零售業(yè)的網(wǎng)上商店需要遵從的標(biāo)準(zhǔn)。整個(gè)標(biāo)準(zhǔn)分七項(xiàng)、47款。每一款項(xiàng)都注明是“最低要求”，還是“最佳選擇”。如果一個(gè)銷售商宣稱自己的網(wǎng)上商店符合這一標(biāo)準(zhǔn)，那它必須達(dá)到所有的最低標(biāo)準(zhǔn)。世界上第一個(gè)Internet電子商務(wù)標(biāo)準(zhǔn)1999年12月118一、信息中心必須建立一個(gè)信息中心，并且使消費(fèi)者在網(wǎng)站上的任何地方都可以找到這個(gè)信息中心的鏈接。（最低要求）銷售商必須使用“Information”這個(gè)詞作為該信息中心的標(biāo)題。（最低要求）

一、信息中心19二、需公布的內(nèi)容銷售商必須在信息中心公布如下內(nèi)容：銷售商的法定名稱以及業(yè)主；主要辦公地點(diǎn)；和銷售商聯(lián)系的渠道，如電話或EMAIL；特殊業(yè)務(wù)的專業(yè)許可證。（最低要求）必須在信息中心提供在廣告中沒有明確的客戶支付方式或其他使用第三方產(chǎn)品或服務(wù)的資料。（最低要求）

在消費(fèi)者被要求最終確認(rèn)訂單之前，銷售商必須為消費(fèi)者提供所有費(fèi)用的清單，包括商品/服務(wù)的費(fèi)用、運(yùn)費(fèi)、處理費(fèi)以及稅。（最低要求）

信息中心必須提供質(zhì)量保證的說明，包括擔(dān)保的有效期、適用的范圍、不適用的范圍、如何擔(dān)保等。（最低要求）對(duì)每個(gè)產(chǎn)品或服務(wù)都必須提供有關(guān)售后服務(wù)的信息，包括服務(wù)范圍、期限、如何進(jìn)行等。（最低要求）在信息中心中必須向客戶說明適用哪一國(guó)家或地區(qū)的法律。（最低要求）必須向客戶公布可以選擇的各種支付方式。（最低要求）必須提供有關(guān)處理取消訂單、退貨、退款的原則，包括可以取消訂單的有效期、哪些產(chǎn)品可以退貨、退貨的條件、取消訂單或者退貨的費(fèi)用、運(yùn)費(fèi)的支付方、消費(fèi)者何時(shí)可以得到退款等。（最低要求）必須公布銷售商從消費(fèi)者的信用卡上收款的規(guī)定。（最低要求）

二、需公布的內(nèi)容銷售商必須在信息中心公布如下內(nèi)容：銷售商的法20三、產(chǎn)品/服務(wù)如果銷售商在銷售或發(fā)貨上對(duì)不同消費(fèi)者（如特定地區(qū)或年齡）有限制必須明確說明。（最低要求）在消費(fèi)者最終訂貨之前，銷售商必須提供有關(guān)產(chǎn)品的供應(yīng)情況，即貨物發(fā)送或訂單的處理估計(jì)所需要的時(shí)間。（最低要求）銷售商必須在兩個(gè)工作日內(nèi)通知期貨訂購(gòu)者。（最低要求）必須用明顯的標(biāo)記，如顏色，圖標(biāo)等標(biāo)識(shí)那些在網(wǎng)站上列出，但不能從網(wǎng)絡(luò)上直接定購(gòu)的商品。（最低要求）

對(duì)于訂購(gòu)了無(wú)現(xiàn)貨的產(chǎn)品的消費(fèi)者，應(yīng)該在貨物到達(dá)后通知他們。（最佳選擇）

三、產(chǎn)品/服務(wù)如果銷售商在銷售或發(fā)貨上對(duì)不同消費(fèi)者（如特定地21四、保密和安全必須公布銷售商的保密原則，至少包括：銷售商將收集消費(fèi)者的哪些資料，在何處收集；使用這些資料的目的；銷售商是否會(huì)向第三方提供這些資料，如果提供，是在何種情況下；消費(fèi)者資料是否是整個(gè)商務(wù)計(jì)劃的一部分，如進(jìn)行目標(biāo)市場(chǎng)分析、建立各種促銷方案等；消費(fèi)者是否有可能限制使用私人資料，如何進(jìn)行。（最低要求）銷售商必須在主頁(yè)和信息中心提供標(biāo)記為“Privacy”的保密原則鏈接。（最低要求）消費(fèi)者必須有能力選擇銷售商是否可以利用收集到的消費(fèi)者資料主動(dòng)發(fā)送的各種信息，并且在這些資料被開始收集時(shí)就可以進(jìn)行這種選擇。（最低要求）消費(fèi)者必須有能力選擇是否同意將自己的私人信息提供給第三方，并且在這些資料被開始收集時(shí)就可以進(jìn)行這種選擇。（最低要求）如果有關(guān)交易的第三方（如購(gòu)物車、支付網(wǎng)關(guān)）的保密原則和銷售商的不同，銷售商必須提供指向第三方保密原則的鏈接。（最低要求）在整個(gè)交易過程中，銷售商必須對(duì)所有消費(fèi)者提供的信息進(jìn)行加密傳輸。（最低要求）銷售商必須對(duì)銷售商存儲(chǔ)的消費(fèi)者資料進(jìn)行加密處理。（最低要求）在信息中心，銷售商必須為消費(fèi)者提供哪些傳輸過程和資料是被保護(hù)的信息。（最低要求）四、保密和安全必須公布銷售商的保密原則，至少包括：銷售商將收22五、確認(rèn)和通知銷售商必須在消費(fèi)者訂貨后一個(gè)工作日內(nèi)向消費(fèi)者發(fā)出訂單確認(rèn)EMAIL。（最低要求）銷售商必須將總費(fèi)用包括在訂單確認(rèn)通知中，或者明確告訴消費(fèi)者從何處可以查找到總費(fèi)用。（最低要求）銷售商應(yīng)該在消費(fèi)者定購(gòu)的貨物被發(fā)運(yùn)或者服務(wù)被執(zhí)行后一個(gè)工作日內(nèi)通過EMAIL通知消費(fèi)者。（最佳選擇）銷售商必須將如下信息包含在發(fā)運(yùn)通知中，或者明確告訴消費(fèi)者從那里可以得到這些消息：貨物名稱、總費(fèi)用、貨物從哪里以何種方式運(yùn)出、估計(jì)的運(yùn)輸時(shí)間和如果有問題如何解決。（最低要求）如果消費(fèi)者選擇的運(yùn)輸方式可以進(jìn)行貨物在運(yùn)輸過程中的跟蹤，銷售商也應(yīng)該為消費(fèi)者提供這一方法。（最佳選擇）如果消費(fèi)者選擇的運(yùn)輸方式提供有關(guān)貨物已經(jīng)被收取和收取者姓名的資料，銷售商也應(yīng)該為消費(fèi)者提供這一方法。（最佳選擇）如果銷售商僅運(yùn)出消費(fèi)者定購(gòu)的部分商品時(shí)，銷售商應(yīng)該通知消費(fèi)者其他商品將在以后運(yùn)出。（最佳選擇）如果客戶取消訂單或者退貨，銷售商必須在三個(gè)工作日中通知消費(fèi)者已經(jīng)收到取消訂單或者退貨。（最低要求）五、確認(rèn)和通知銷售商必須在消費(fèi)者訂貨后一個(gè)工作日內(nèi)向消費(fèi)者發(fā)23六、幫助和客戶服務(wù)銷售商必須為消費(fèi)者提供通過EMAIL提問或投訴的渠道。（最低要求）銷售商必須在信息中心中提供獲得客戶服務(wù)條款的渠道。（最低要求）銷售商必須提供客戶反饋和文本投訴的渠道。（最低要求）銷售商必須在收到問題或投訴48小時(shí)內(nèi)向消費(fèi)者承認(rèn)收到了問題或投訴。（最低要求）如果投訴是有關(guān)商品而且銷售商自身不能解決，銷售商必須向消費(fèi)者提供和生產(chǎn)商聯(lián)系的適當(dāng)方法（最低要求）

六、幫助和客戶服務(wù)銷售商必須為消費(fèi)者提供通過EMAIL提問或24七、其他

銷售商應(yīng)該保證發(fā)運(yùn)的每個(gè)包裝都在運(yùn)輸機(jī)構(gòu)進(jìn)行了標(biāo)準(zhǔn)的防丟失、防盜和防損害保險(xiǎn)。（最佳選擇）銷售商必須按照可打印的格式向消費(fèi)者提供定購(gòu)貨物的發(fā)票。（最低要求）如果消費(fèi)者選擇的運(yùn)輸公司許可，銷售商應(yīng)該向消費(fèi)者提供可以進(jìn)行特別投遞的能力。（最佳選擇）如果消費(fèi)者以前已經(jīng)提供過必要的信息，銷售商應(yīng)該為消費(fèi)者提供“一鍵”購(gòu)物的能力。（最佳選擇）ECML（電子商務(wù)模式語(yǔ)言）的支持，允許消費(fèi)者在填寫購(gòu)物車表格時(shí)，避免重復(fù)性的輸入。（最佳選擇）銷售商應(yīng)該提供實(shí)時(shí)處理訂單和效驗(yàn)消費(fèi)者信用卡的能力。（最佳選擇）

銷售商應(yīng)該提供通過關(guān)鍵詞對(duì)整個(gè)站點(diǎn)的信息和產(chǎn)品進(jìn)行搜索的能力。（最佳選擇）銷售商應(yīng)該提供消費(fèi)者可以通過WEB來(lái)檢查訂單狀況的工具。（（最佳選擇）銷售商應(yīng)該提供消費(fèi)者可以檢查以前訂單的能力。（最佳選擇）銷售商應(yīng)該有一種系統(tǒng)化的方法來(lái)不斷處理消費(fèi)者的反饋和了解他們的滿意程度。（最佳選擇）

七、其他銷售商應(yīng)該保證發(fā)運(yùn)的每個(gè)包裝都在運(yùn)輸機(jī)構(gòu)進(jìn)行了標(biāo)準(zhǔn)25在該標(biāo)準(zhǔn)的首頁(yè)上寫著：“消費(fèi)者的滿意、信心和信任，銷售商的利潤(rùn)和變革”。這也就是這份標(biāo)準(zhǔn)的核心。任何人都可以從他的網(wǎng)站上獲得這一標(biāo)準(zhǔn)，而且鼓勵(lì)使用和散發(fā)這一標(biāo)準(zhǔn)。雖然這并不是一個(gè)法律文本，但有理由相信遵守這一標(biāo)準(zhǔn)的銷售商將獲得更大的發(fā)展。在該標(biāo)準(zhǔn)的首頁(yè)上寫著：“消費(fèi)者的滿意、信心和信任，銷售商的利26我國(guó)電子商務(wù)標(biāo)準(zhǔn)體系結(jié)構(gòu)電子商務(wù)相關(guān)標(biāo)準(zhǔn)體系基礎(chǔ)標(biāo)準(zhǔn)計(jì)算機(jī)基礎(chǔ)標(biāo)準(zhǔn)基礎(chǔ)通信標(biāo)準(zhǔn)網(wǎng)絡(luò)標(biāo)準(zhǔn)其他基礎(chǔ)標(biāo)準(zhǔn)安全標(biāo)準(zhǔn)加密標(biāo)準(zhǔn)認(rèn)證標(biāo)準(zhǔn)安全通信協(xié)議其他安全標(biāo)準(zhǔn)交易標(biāo)準(zhǔn)電子合同標(biāo)準(zhǔn)電子支付標(biāo)準(zhǔn)智能卡標(biāo)準(zhǔn)其他操作標(biāo)準(zhǔn)服務(wù)標(biāo)準(zhǔn)資質(zhì)標(biāo)準(zhǔn)服務(wù)質(zhì)量標(biāo)準(zhǔn)物流標(biāo)準(zhǔn)EDI標(biāo)準(zhǔn)單證標(biāo)準(zhǔn)報(bào)文標(biāo)準(zhǔn)其他標(biāo)準(zhǔn)其他標(biāo)準(zhǔn)我國(guó)電子商務(wù)標(biāo)準(zhǔn)體系結(jié)構(gòu)電子商務(wù)相關(guān)標(biāo)準(zhǔn)體系基礎(chǔ)標(biāo)準(zhǔn)計(jì)算機(jī)基273.2計(jì)算機(jī)信息系統(tǒng)管理(P68)計(jì)算機(jī)信息系統(tǒng)是電子商務(wù)運(yùn)行的基本單元，計(jì)算機(jī)系統(tǒng)運(yùn)行的安全與否，直接關(guān)系到電子商務(wù)整體運(yùn)行的安全。計(jì)算機(jī)信息系統(tǒng)的安全管理是電子商務(wù)安全管理中的一項(xiàng)基礎(chǔ)工作，必須認(rèn)真做好。計(jì)算機(jī)信息系統(tǒng)安全包括：實(shí)體安全、運(yùn)行安全、信息安全和人員安全等四方面的內(nèi)容。詳細(xì)內(nèi)容參見《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。3.2計(jì)算機(jī)信息系統(tǒng)管理(P68)計(jì)算機(jī)信息系統(tǒng)是電子商務(wù)283.3網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)用戶的管理網(wǎng)絡(luò)服務(wù)業(yè)的服務(wù)內(nèi)容：網(wǎng)絡(luò)服務(wù)業(yè)是指經(jīng)營(yíng)提供網(wǎng)絡(luò)上相關(guān)應(yīng)用服務(wù)的事業(yè)，如接入服務(wù)（AccessService）、域名（DomainName）服務(wù)、網(wǎng)絡(luò)信息服務(wù)、廣告服務(wù)、商業(yè)聯(lián)機(jī)服務(wù)等。網(wǎng)絡(luò)用戶的法律規(guī)范：用戶接入Internet的管理，用戶使用Internet的管理。3.3網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)用戶的管理網(wǎng)絡(luò)服務(wù)業(yè)的服務(wù)內(nèi)容：293.3.1網(wǎng)絡(luò)服務(wù)管理規(guī)范

接入服務(wù)的管理規(guī)范根據(jù)國(guó)務(wù)院批準(zhǔn)的《信息產(chǎn)業(yè)部職能配置、內(nèi)設(shè)機(jī)構(gòu)和人員編制規(guī)定》，由信息產(chǎn)業(yè)部負(fù)責(zé)對(duì)電信與信息服務(wù)市場(chǎng)進(jìn)行監(jiān)管，實(shí)行必要的經(jīng)營(yíng)許可制度，并審批和發(fā)放通信與信息服務(wù)的經(jīng)營(yíng)許可證。依據(jù)國(guó)務(wù)院1997年5月20日第218號(hào)令發(fā)布的《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》和原國(guó)務(wù)院信息化工作領(lǐng)導(dǎo)小組印發(fā)的《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》有關(guān)規(guī)定，決定自1998年11月1日起對(duì)從事計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)業(yè)務(wù)的經(jīng)營(yíng)單位實(shí)行經(jīng)營(yíng)許可證制度。3.3.1網(wǎng)絡(luò)服務(wù)管理規(guī)范

接入服務(wù)的管理規(guī)范30域名服務(wù)管理規(guī)范（P70-71）

具體參見《中國(guó)互聯(lián)網(wǎng)絡(luò)域名管理辦法》。

申請(qǐng)域名注冊(cè)服務(wù)機(jī)構(gòu)資格的，應(yīng)具備下列條件：依法設(shè)立的企業(yè)法人或事業(yè)法人；有與從事域名注冊(cè)活動(dòng)相適應(yīng)的資金和專業(yè)人員；有為用戶提供長(zhǎng)期服務(wù)的信譽(yù)和能力；有健全的網(wǎng)絡(luò)與信息安全保障措施；有業(yè)務(wù)發(fā)展計(jì)劃及相關(guān)技術(shù)方案；信息產(chǎn)業(yè)部規(guī)定的其他條件。域名服務(wù)管理規(guī)范（P70-71）

具體參見31注冊(cè)服務(wù)機(jī)構(gòu)在提供注冊(cè)服務(wù)時(shí)應(yīng)遵守以下規(guī)定：遵守國(guó)家主管部門和CNNIC的相關(guān)管理規(guī)定；注冊(cè)服務(wù)機(jī)構(gòu)不得代表任何實(shí)際或潛在的域名持有人；在域名申請(qǐng)人申請(qǐng)域名時(shí)，注冊(cè)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)與申請(qǐng)人簽訂書面注冊(cè)協(xié)議(包括電子形式)；注冊(cè)服務(wù)機(jī)構(gòu)負(fù)責(zé)審核域名注冊(cè)申請(qǐng)。注冊(cè)服務(wù)機(jī)構(gòu)在提供注冊(cè)服務(wù)時(shí)應(yīng)遵守以下規(guī)定：遵守國(guó)家主管部門322）域名注冊(cè)規(guī)則域名注冊(cè)管理機(jī)構(gòu)應(yīng)當(dāng)根據(jù)本辦法制定相應(yīng)的域名注冊(cè)實(shí)施細(xì)則，報(bào)信息產(chǎn)業(yè)部備案后施行。域名注冊(cè)不得含有以下內(nèi)容：2）域名注冊(cè)規(guī)則域名注冊(cè)管理機(jī)構(gòu)應(yīng)當(dāng)根據(jù)本辦法制定相應(yīng)的域名33反對(duì)憲法所確定的基本原則的；危害國(guó)家安全，泄露國(guó)家秘密，顛覆國(guó)家政權(quán)，破壞國(guó)家統(tǒng)一的；損害國(guó)家榮譽(yù)和利益的；煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的；破壞國(guó)家宗教政策，宣揚(yáng)邪教和封建迷信的；散布謠言，擾亂社會(huì)秩序，破壞社會(huì)穩(wěn)定的；散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的；侮辱或者誹謗他人，侵害他人合法權(quán)益的；含有法律、行政法規(guī)禁止的其他內(nèi)容的。反對(duì)憲法所確定的基本原則的；34網(wǎng)絡(luò)信息服務(wù)管理規(guī)范

1）對(duì)經(jīng)營(yíng)類互聯(lián)網(wǎng)信息服務(wù)的管理規(guī)范國(guó)務(wù)院新聞辦公室、信息產(chǎn)業(yè)部2005年9月25日聯(lián)合發(fā)布《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》，對(duì)從事互聯(lián)網(wǎng)信息服務(wù)機(jī)構(gòu)的基本條件以具體內(nèi)容作了相關(guān)的規(guī)定。網(wǎng)絡(luò)信息服務(wù)管理規(guī)范

1）對(duì)經(jīng)營(yíng)類互聯(lián)網(wǎng)信息35從事互聯(lián)網(wǎng)新聞服務(wù)機(jī)構(gòu)設(shè)立的基本條件：有健全的互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)章制度；有5名以上在新聞單位從事新聞工作3年以上的專職新聞編輯人員；有必要的場(chǎng)所、設(shè)備和資金，資金來(lái)源應(yīng)當(dāng)合法。從事互聯(lián)網(wǎng)新聞服務(wù)機(jī)構(gòu)設(shè)立的基本條件：36互聯(lián)網(wǎng)新聞信息服務(wù)單位登載、發(fā)送的新聞信息或者提供的時(shí)政類電子公告服務(wù)，不得含有下列內(nèi)容：

違反憲法確定的基本原則的；危害國(guó)家安全，泄露國(guó)家秘密，顛覆國(guó)家政權(quán)，破壞國(guó)家統(tǒng)一的；損害國(guó)家榮譽(yù)和利益的；煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的；破壞國(guó)家宗教政策，宣揚(yáng)邪教和封建迷信的；互聯(lián)網(wǎng)新聞信息服務(wù)單位登載、發(fā)送的新聞信息或者提供的時(shí)政類電37散布謠言，擾亂社會(huì)秩序，破壞社會(huì)穩(wěn)定的；散布淫穢、色情、賭博、暴力、恐怖或者教唆犯罪的；侮辱或者誹謗他人，侵害他人合法權(quán)益的；煽動(dòng)非法集會(huì)、結(jié)社、游行、示威、聚眾擾亂社會(huì)秩序的；以非法民間組織名義活動(dòng)的；含有法律、行政法規(guī)禁止的其他內(nèi)容的。散布謠言，擾亂社會(huì)秩序，破壞社會(huì)穩(wěn)定的；38違反本規(guī)定有下列行為之一的，由國(guó)務(wù)院新聞辦公室或者省、自治區(qū)、直轄市人民政府新聞辦公室依據(jù)各自職權(quán)責(zé)令改正，給予警告，可以并處3萬(wàn)元以下的罰款：未履行備案義務(wù)的；未履行報(bào)告義務(wù)的；未履行記錄、記錄備份保存或者提供義務(wù)的。違反本規(guī)定有下列行為之一的，由國(guó)務(wù)院新聞辦公室或者省、自治區(qū)392）對(duì)非經(jīng)營(yíng)類互聯(lián)網(wǎng)信息服務(wù)的管理規(guī)范為了更好規(guī)范互聯(lián)網(wǎng)信息服務(wù)，信息產(chǎn)業(yè)部于2005年1月28日審議并通過了《非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)備案管理辦法》，并于3月20日開始正式施行。2）對(duì)非經(jīng)營(yíng)類互聯(lián)網(wǎng)信息服務(wù)的管理規(guī)范為了更好規(guī)范互聯(lián)網(wǎng)信息403.3.2網(wǎng)絡(luò)用戶法律規(guī)范

接入管理根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》第十二條的規(guī)定，用戶使用的計(jì)算機(jī)或者計(jì)算機(jī)信息網(wǎng)絡(luò)必須通過接入網(wǎng)絡(luò)進(jìn)行國(guó)際聯(lián)網(wǎng)，不得以其他形式進(jìn)行國(guó)際聯(lián)網(wǎng)。根據(jù)該辦法的第十三條，用戶向接入單位申請(qǐng)國(guó)際互聯(lián)時(shí)，應(yīng)當(dāng)提供有效身份證明或者其他證明文件，并填寫用戶登記表。3.3.2網(wǎng)絡(luò)用戶法律規(guī)范

接入管理根據(jù)《中華41使用管理根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》第十三條的規(guī)定根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》第十八條的規(guī)定用戶在有權(quán)獲得接入單位提供的各項(xiàng)服務(wù)時(shí)；也有義務(wù)交納費(fèi)用遵守Internet的國(guó)際慣例使用管理根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)42再見Doyouhavemadeaprogresstoday?再見Doyouhavemadeaprogress43上一堂課內(nèi)容回顧第2章電子商務(wù)安全的技術(shù)保障 2.1加密技術(shù) 2.2數(shù)字簽名 2.3認(rèn)證技術(shù) 2.4防火墻技術(shù)（自習(xí)）上一堂課內(nèi)容回顧第2章電子商務(wù)安全的技術(shù)保障44第3章電子商務(wù)安全的管理保障第3章電子商務(wù)安全的管理保障45內(nèi)容回顧第1章電子商務(wù)安全與電子支付概論1.1電子商務(wù)發(fā)展概況1.2電子商務(wù)安全概述

1.2.1電子商務(wù)面臨的安全威脅 1.2.2電子商務(wù)的安全要素 1.2.3電子商務(wù)的安全體系結(jié)構(gòu)1.3電子商務(wù)基本流程1.4電子商務(wù)中的電子支付計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)電子商務(wù)交易風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)政策法律風(fēng)險(xiǎn)內(nèi)容回顧第1章電子商務(wù)安全與電子支付概論計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)46內(nèi)容回顧計(jì)算機(jī)網(wǎng)絡(luò)方面的風(fēng)險(xiǎn)網(wǎng)上交易方面的風(fēng)險(xiǎn)管理方面的風(fēng)險(xiǎn)政策法律方面的風(fēng)險(xiǎn)電子商務(wù)安全的技術(shù)保障電子商務(wù)安全的管理保障電子商務(wù)安全的法律保障如何保障？?jī)?nèi)容回顧計(jì)算機(jī)網(wǎng)絡(luò)方面的風(fēng)險(xiǎn)電子商務(wù)安全的技47（回顧）管理風(fēng)險(xiǎn)(P13)嚴(yán)格管理是降低網(wǎng)絡(luò)交易風(fēng)險(xiǎn)的重要保證:人員管理:是在線商店安全管理上最薄弱的環(huán)節(jié)。 企業(yè)內(nèi)部員工的疏失遠(yuǎn)比網(wǎng)絡(luò)上的黑客還要可怕!網(wǎng)絡(luò)交易技術(shù)管理的漏洞也帶來(lái)較大的交易風(fēng)險(xiǎn)。 有些操作系統(tǒng)中某些用戶是無(wú)口令的，如匿名FTP!（回顧）管理風(fēng)險(xiǎn)(P13)嚴(yán)格管理是降低網(wǎng)絡(luò)48補(bǔ)：管理風(fēng)險(xiǎn)—社會(huì)工程學(xué)攻擊社會(huì)工程學(xué)（攻擊）是使用計(jì)謀和假情報(bào)去獲得密碼和其他敏感信息的科學(xué)?；蛘哒f是一種通過對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來(lái)已成迅速上升甚至濫用的趨勢(shì)。補(bǔ)：管理風(fēng)險(xiǎn)—社會(huì)工程學(xué)攻擊社會(huì)工程學(xué)（攻擊）是使用計(jì)謀和49社會(huì)工程學(xué)攻擊研究一個(gè)站點(diǎn)的策略其中之一就是盡可能多地了解這個(gè)組織的個(gè)體，因此黑客不斷試圖尋找更加精妙的方法，他們希望從滲透的組織那里獲得信息。舉個(gè)例子：一組高中學(xué)生曾經(jīng)想要入侵某公司的網(wǎng)絡(luò)，他們擬定了一個(gè)表格，調(diào)查看上去顯得是無(wú)害的個(gè)人信息，例如所有秘書和行政人員和他們的配偶、孩子的名字。這些從學(xué)生轉(zhuǎn)變成的黑客說這種簡(jiǎn)單的調(diào)查是他們社會(huì)研究工作的一部分。利用這份表格這些學(xué)生能夠快速的進(jìn)入系統(tǒng)，因?yàn)榫W(wǎng)絡(luò)上的大多數(shù)人是使用寵物和他們配偶名字作為密碼。社會(huì)工程學(xué)攻擊50社會(huì)工程學(xué)攻擊舉例1、請(qǐng)狼入室李小姐是某個(gè)大公司的經(jīng)理秘書，她工作的電腦上存儲(chǔ)著公司的許多重要業(yè)務(wù)資料，所以屬于公司著重保護(hù)的對(duì)象，安全部門設(shè)置了層層安全防護(hù)措施，可以說，她的電腦要從外部攻破是根本不可能的事情。為了方便修改設(shè)置和查殺病毒，安全部門可以直接通過網(wǎng)絡(luò)服務(wù)終端對(duì)李小姐的電腦進(jìn)行全面設(shè)置。也許貪圖方便，維護(hù)員與李小姐的日常聯(lián)系是通過QQ進(jìn)行的。這天，李小姐剛打開QQ，就收到維護(hù)員的消息：“小李，我忘記登錄密碼了，快告訴我，有個(gè)緊急的安全設(shè)置要做呢！”因?yàn)楹途S護(hù)員很熟了，李小姐就把密碼發(fā)了過去。。。。一夜之間，公司的主要競(jìng)爭(zhēng)對(duì)手掌握了公司的業(yè)務(wù)！社會(huì)工程學(xué)攻擊舉例1、請(qǐng)狼入室李小姐是某個(gè)大公司的經(jīng)理秘書，51社會(huì)工程學(xué)攻擊舉例由于安全部門距離李小姐的工作地點(diǎn)有好些距離，管理不方便，所以公司讓他們直接通過網(wǎng)絡(luò)來(lái)管理機(jī)器！他與李小姐之間的聯(lián)系通過QQ進(jìn)行。問題偏偏就出在QQ上。作為安全人員，他自然知道密碼的重要性，因此他的任何密碼都設(shè)置得十分復(fù)雜，窮舉幾乎不可能。至于被入侵，那更不可能發(fā)生。然而百密仍有一疏，他做夢(mèng)也沒想到對(duì)手利用QQ的取回密碼功能輕易拿到了他的密碼。剖析：

李小姐正是出于對(duì)維護(hù)員的信任才被對(duì)方欺騙的。因?yàn)槟莻€(gè)在QQ上出現(xiàn)的維護(hù)員根本不是公司的維護(hù)員本人，而是對(duì)手盜取了維護(hù)員的QQ，再利用一個(gè)小小的信任關(guān)系，就輕易取得了登錄密碼。2、形同虛設(shè)的密碼社會(huì)工程學(xué)攻擊舉例由于安全部門距離李小姐的工作地點(diǎn)有好些52社會(huì)工程學(xué)攻擊舉例剖析：他在輸入提示答案的時(shí)候，下意識(shí)地輸入了心里最重要的那個(gè)人的名字。但是對(duì)手也知道他心里那個(gè)人的名字，所謂的“知己知彼”。小馬喜歡絢麗的QQ秀和一些特色服務(wù)，但舍不得花錢。好想有免費(fèi)的Q幣。某天一QQ好友給他發(fā)來(lái)一個(gè)URL，還說這個(gè)網(wǎng)站通過一定的點(diǎn)擊次數(shù)提供Q幣。如此好的機(jī)會(huì)小馬怎能放過？他根據(jù)網(wǎng)站的提示輸入了QQ號(hào)碼和密碼完成注冊(cè)，然后給QQ上的朋友們發(fā)了網(wǎng)址。然而等了許久，自己的Q幣依然沒有動(dòng)靜。第二天，小馬想登錄QQ時(shí)，卻發(fā)現(xiàn)怎么也登錄不上去了——QQ密碼被人改了。這是曾鬧得轟轟烈烈的QQ欺騙案件之一。3、E時(shí)代的守株待兔社會(huì)工程學(xué)攻擊舉例剖析：他在輸入提示答案的時(shí)候，下意識(shí)地輸入53社會(huì)工程學(xué)攻擊舉例剖析：這就是著名的“網(wǎng)絡(luò)釣魚”！論壇常有帖子：“……騰訊公司預(yù)留了專用號(hào)碼作為充值號(hào)，此號(hào)是自動(dòng)讀取指令的，為了不引起大家的注意，所以這個(gè)QQ比較普通，這個(gè)QQ一般隱身。只要發(fā)送{Jerusalum/PLO號(hào)碼}{VesselinBontchev密碼}{FRALDMUZKQ幣數(shù)量}，然后下線5分鐘，等著收Q幣吧。”大哥你是不是太搞笑？！改我密碼還要5分鐘??？麻煩你快一點(diǎn)好不好！還有QQ中獎(jiǎng)要求用戶填寫密碼以待“驗(yàn)證”等伎倆，無(wú)論什么手法，最終結(jié)局都是一樣的，那就是——用戶的密碼被人改掉。如此白癡的騙局，只要有點(diǎn)常識(shí)的人都不難理解其中的“笑話”，奇怪的是卻屢屢有人上當(dāng)，究其原因，就是因?yàn)閲?guó)人的貪小便宜心理作祟。社會(huì)工程學(xué)攻擊舉例剖析：這就是著名的“網(wǎng)絡(luò)釣魚”！大哥你是不54社會(huì)工程學(xué)攻擊舉例王先生是一家銀行的職員，通常都是直接在網(wǎng)絡(luò)上完成轉(zhuǎn)賬操作的。由于他的電腦水平不高，前不久被一個(gè)初學(xué)者駭客入侵了機(jī)器。在請(qǐng)來(lái)專業(yè)人員修復(fù)系統(tǒng)更改密碼后，王先生照例登錄網(wǎng)絡(luò)銀行為手機(jī)繳費(fèi)，可是才過一會(huì)兒他的冷汗就出來(lái)了：網(wǎng)絡(luò)銀行登錄不進(jìn)去了！深感大事不妙的王先生去銀行辦理了相關(guān)手續(xù)，查賬發(fā)現(xiàn)賬戶里的錢已經(jīng)被人劃走了。因?yàn)橥跸壬噶舜蟛糠秩硕紩?huì)犯的致命錯(cuò)誤：通常為了記憶方便，人們會(huì)把幾處的密碼都設(shè)置成一樣的，例如QQ、E-MAIL、FTP、網(wǎng)站等的密碼，而王先生更進(jìn)一步把所有密碼都弄成一樣的了，因此入侵者在得到王先生的機(jī)器登錄密碼后也就得到了網(wǎng)絡(luò)銀行的密碼。正是因?yàn)檫@個(gè)普遍心理特點(diǎn)，受害者往往都是被入侵者一鍋端了！因?yàn)楹?jiǎn)單密碼和相同密碼是大部分人都會(huì)碰到的心理弱點(diǎn)4、輕而易舉的入侵社會(huì)工程學(xué)攻擊舉例王先生是一家銀行的職員，通常都是直接55 電子商務(wù)的實(shí)質(zhì)仍然是商務(wù)。電子商務(wù)交易活動(dòng)越普遍,對(duì)安全管理的要求就越高。此時(shí)的管理，已不單純是對(duì)計(jì)算機(jī)系統(tǒng)的管理，而是涉及對(duì)虛擬環(huán)境中商務(wù)活動(dòng)各類參與主體的管理。防止前述問題的風(fēng)險(xiǎn)需要有完善的制度設(shè)計(jì)，形成一套相互關(guān)聯(lián)、相互制約的制度群。3.1電子商務(wù)標(biāo)準(zhǔn)管理3.2計(jì)算機(jī)信息系統(tǒng)管理3.3網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)用戶的管理3.4網(wǎng)絡(luò)廣告管理3.5電子認(rèn)證服務(wù)機(jī)構(gòu)管理 電子商務(wù)的實(shí)質(zhì)仍然是商務(wù)。電子商務(wù)交易活動(dòng)越普遍,對(duì)安全563.1電子商務(wù)標(biāo)準(zhǔn)管理（課本P61-68）電子商務(wù)標(biāo)準(zhǔn)的產(chǎn)生—需求產(chǎn)生標(biāo)準(zhǔn)

在信息化時(shí)代，企業(yè)依靠越來(lái)越多的管理信息系統(tǒng)實(shí)現(xiàn)運(yùn)營(yíng)。面對(duì)五花八門的系統(tǒng)交互，企業(yè)首先要解決數(shù)據(jù)交換問題。（如何解決？）開發(fā)專用接口或統(tǒng)一數(shù)據(jù)格式成為人們常用的辦法。但是在互聯(lián)網(wǎng)上，這些辦法似乎頗有束縛。因此，定制數(shù)據(jù)交換標(biāo)準(zhǔn)的需求應(yīng)運(yùn)而生。1998年，國(guó)際標(biāo)準(zhǔn)化組織W3C推出XML，解決了數(shù)據(jù)交換的標(biāo)準(zhǔn)問題。（企業(yè)需求得到滿足了嗎？）3.1電子商務(wù)標(biāo)準(zhǔn)管理（課本P61-68）電子商務(wù)標(biāo)準(zhǔn)的產(chǎn)57然而，這還遠(yuǎn)遠(yuǎn)不能滿足企業(yè)的需求。企業(yè)要進(jìn)行商務(wù)，就要在不同商務(wù)平臺(tái)之間進(jìn)行對(duì)話，也就是進(jìn)行B2B交易。實(shí)現(xiàn)真正的B2B商務(wù)，不僅涉及到企業(yè)間的數(shù)據(jù)交換，更要涉及到企業(yè)間業(yè)務(wù)流程的相互操作。以一個(gè)簡(jiǎn)單的定單交易為例，其中包括了定單內(nèi)容的傳遞和對(duì)定單的處理。前者屬于數(shù)據(jù)交換，后者屬于流程交易。定單處理：If定單被拒絕then…If定單被承諾then…定單處理：If…then拒絕If…then承諾定單基于XML格式買方企業(yè)賣方企業(yè)確定可行的標(biāo)準(zhǔn)接口流程然而，這還遠(yuǎn)遠(yuǎn)不能滿足企業(yè)的需求。企業(yè)要進(jìn)行商務(wù)，就要在不同58在互聯(lián)網(wǎng)時(shí)代，企業(yè)所面對(duì)的客戶和供應(yīng)商已經(jīng)不再僅僅局限于本地有限的幾個(gè)，而是散布在世界各地的數(shù)目可觀的一批。如果說原來(lái)企業(yè)間交易可以通過專門開發(fā)的接口，那么面對(duì)數(shù)量眾多的異構(gòu)商務(wù)平臺(tái)，在實(shí)時(shí)性要求相當(dāng)苛刻的現(xiàn)在，專用接口已經(jīng)不能勝任，建立一個(gè)基于XML數(shù)據(jù)交換標(biāo)準(zhǔn)的、描述企業(yè)間商務(wù)流程交易的標(biāo)準(zhǔn)框架體系已經(jīng)成為必需。

如RosettaNet、CommerceNet、CommerceOne等，都是在B2B的實(shí)踐中，從需求中產(chǎn)生的、面向流程的標(biāo)準(zhǔn)。在互聯(lián)網(wǎng)時(shí)代，企業(yè)所面對(duì)的客戶和供應(yīng)商已經(jīng)不再僅僅局限于本地59標(biāo)準(zhǔn)面面觀從當(dāng)前的市場(chǎng)應(yīng)用情況來(lái)看，標(biāo)準(zhǔn)基本上分為兩層：底層的數(shù)據(jù)交換標(biāo)準(zhǔn)和高層的面向流程的標(biāo)準(zhǔn)。XML是至今為止用來(lái)做數(shù)據(jù)交換比較有效的語(yǔ)言之一。BizTalk是微軟公司倡導(dǎo)的標(biāo)準(zhǔn)，是利用Internet標(biāo)準(zhǔn)協(xié)議和格式來(lái)促進(jìn)企業(yè)內(nèi)部和企業(yè)間的應(yīng)用集成電子商務(wù)的XML框架，吸引了包括XMLSolutions在內(nèi)的全球許多組織的支持。目前，注重流程的標(biāo)準(zhǔn)大致分為兩類，一類來(lái)源于由多家企業(yè)自發(fā)組成的非營(yíng)利性行業(yè)標(biāo)準(zhǔn)化組織，如RosettaNet、CommerceNet等；另一類來(lái)源于電子商務(wù)及解決方案供應(yīng)商，如CommerceOne、Ariba等。標(biāo)準(zhǔn)面面觀從當(dāng)前的市場(chǎng)應(yīng)用情況來(lái)看，標(biāo)準(zhǔn)基本上分為兩層：底層60世界上第一個(gè)Internet電子商務(wù)標(biāo)準(zhǔn)1999年12月14日，在美國(guó)加州舊金山的St.Francis飯店，公布了世界上第一個(gè)INTERNET商務(wù)標(biāo)準(zhǔn)（TheStandardforInternetCommerce,Version1.0–1999）。

這一標(biāo)準(zhǔn)是由Ziff-Davis雜志牽頭，組織了301位世界著名的INTERNET和IT業(yè)巨頭、相關(guān)記者、民間團(tuán)體、學(xué)者等經(jīng)過半年時(shí)間，進(jìn)行兩輪投票后才最終確定下來(lái)的。雖然這也還只是1.0版，但它已經(jīng)在相當(dāng)程度上規(guī)范了利用INTERNET從事零售業(yè)的網(wǎng)上商店需要遵從的標(biāo)準(zhǔn)。整個(gè)標(biāo)準(zhǔn)分七項(xiàng)、47款。每一款項(xiàng)都注明是“最低要求”，還是“最佳選擇”。如果一個(gè)銷售商宣稱自己的網(wǎng)上商店符合這一標(biāo)準(zhǔn)，那它必須達(dá)到所有的最低標(biāo)準(zhǔn)。世界上第一個(gè)Internet電子商務(wù)標(biāo)準(zhǔn)1999年12月161一、信息中心必須建立一個(gè)信息中心，并且使消費(fèi)者在網(wǎng)站上的任何地方都可以找到這個(gè)信息中心的鏈接。（最低要求）銷售商必須使用“Information”這個(gè)詞作為該信息中心的標(biāo)題。（最低要求）

一、信息中心62二、需公布的內(nèi)容銷售商必須在信息中心公布如下內(nèi)容：銷售商的法定名稱以及業(yè)主；主要辦公地點(diǎn)；和銷售商聯(lián)系的渠道，如電話或EMAIL；特殊業(yè)務(wù)的專業(yè)許可證。（最低要求）必須在信息中心提供在廣告中沒有明確的客戶支付方式或其他使用第三方產(chǎn)品或服務(wù)的資料。（最低要求）

在消費(fèi)者被要求最終確認(rèn)訂單之前，銷售商必須為消費(fèi)者提供所有費(fèi)用的清單，包括商品/服務(wù)的費(fèi)用、運(yùn)費(fèi)、處理費(fèi)以及稅。（最低要求）

信息中心必須提供質(zhì)量保證的說明，包括擔(dān)保的有效期、適用的范圍、不適用的范圍、如何擔(dān)保等。（最低要求）對(duì)每個(gè)產(chǎn)品或服務(wù)都必須提供有關(guān)售后服務(wù)的信息，包括服務(wù)范圍、期限、如何進(jìn)行等。（最低要求）在信息中心中必須向客戶說明適用哪一國(guó)家或地區(qū)的法律。（最低要求）必須向客戶公布可以選擇的各種支付方式。（最低要求）必須提供有關(guān)處理取消訂單、退貨、退款的原則，包括可以取消訂單的有效期、哪些產(chǎn)品可以退貨、退貨的條件、取消訂單或者退貨的費(fèi)用、運(yùn)費(fèi)的支付方、消費(fèi)者何時(shí)可以得到退款等。（最低要求）必須公布銷售商從消費(fèi)者的信用卡上收款的規(guī)定。（最低要求）

二、需公布的內(nèi)容銷售商必須在信息中心公布如下內(nèi)容：銷售商的法63三、產(chǎn)品/服務(wù)如果銷售商在銷售或發(fā)貨上對(duì)不同消費(fèi)者（如特定地區(qū)或年齡）有限制必須明確說明。（最低要求）在消費(fèi)者最終訂貨之前，銷售商必須提供有關(guān)產(chǎn)品的供應(yīng)情況，即貨物發(fā)送或訂單的處理估計(jì)所需要的時(shí)間。（最低要求）銷售商必須在兩個(gè)工作日內(nèi)通知期貨訂購(gòu)者。（最低要求）必須用明顯的標(biāo)記，如顏色，圖標(biāo)等標(biāo)識(shí)那些在網(wǎng)站上列出，但不能從網(wǎng)絡(luò)上直接定購(gòu)的商品。（最低要求）

對(duì)于訂購(gòu)了無(wú)現(xiàn)貨的產(chǎn)品的消費(fèi)者，應(yīng)該在貨物到達(dá)后通知他們。（最佳選擇）

三、產(chǎn)品/服務(wù)如果銷售商在銷售或發(fā)貨上對(duì)不同消費(fèi)者（如特定地64四、保密和安全必須公布銷售商的保密原則，至少包括：銷售商將收集消費(fèi)者的哪些資料，在何處收集；使用這些資料的目的；銷售商是否會(huì)向第三方提供這些資料，如果提供，是在何種情況下；消費(fèi)者資料是否是整個(gè)商務(wù)計(jì)劃的一部分，如進(jìn)行目標(biāo)市場(chǎng)分析、建立各種促銷方案等；消費(fèi)者是否有可能限制使用私人資料，如何進(jìn)行。（最低要求）銷售商必須在主頁(yè)和信息中心提供標(biāo)記為“Privacy”的保密原則鏈接。（最低要求）消費(fèi)者必須有能力選擇銷售商是否可以利用收集到的消費(fèi)者資料主動(dòng)發(fā)送的各種信息，并且在這些資料被開始收集時(shí)就可以進(jìn)行這種選擇。（最低要求）消費(fèi)者必須有能力選擇是否同意將自己的私人信息提供給第三方，并且在這些資料被開始收集時(shí)就可以進(jìn)行這種選擇。（最低要求）如果有關(guān)交易的第三方（如購(gòu)物車、支付網(wǎng)關(guān)）的保密原則和銷售商的不同，銷售商必須提供指向第三方保密原則的鏈接。（最低要求）在整個(gè)交易過程中，銷售商必須對(duì)所有消費(fèi)者提供的信息進(jìn)行加密傳輸。（最低要求）銷售商必須對(duì)銷售商存儲(chǔ)的消費(fèi)者資料進(jìn)行加密處理。（最低要求）在信息中心，銷售商必須為消費(fèi)者提供哪些傳輸過程和資料是被保護(hù)的信息。（最低要求）四、保密和安全必須公布銷售商的保密原則，至少包括：銷售商將收65五、確認(rèn)和通知銷售商必須在消費(fèi)者訂貨后一個(gè)工作日內(nèi)向消費(fèi)者發(fā)出訂單確認(rèn)EMAIL。（最低要求）銷售商必須將總費(fèi)用包括在訂單確認(rèn)通知中，或者明確告訴消費(fèi)者從何處可以查找到總費(fèi)用。（最低要求）銷售商應(yīng)該在消費(fèi)者定購(gòu)的貨物被發(fā)運(yùn)或者服務(wù)被執(zhí)行后一個(gè)工作日內(nèi)通過EMAIL通知消費(fèi)者。（最佳選擇）銷售商必須將如下信息包含在發(fā)運(yùn)通知中，或者明確告訴消費(fèi)者從那里可以得到這些消息：貨物名稱、總費(fèi)用、貨物從哪里以何種方式運(yùn)出、估計(jì)的運(yùn)輸時(shí)間和如果有問題如何解決。（最低要求）如果消費(fèi)者選擇的運(yùn)輸方式可以進(jìn)行貨物在運(yùn)輸過程中的跟蹤，銷售商也應(yīng)該為消費(fèi)者提供這一方法。（最佳選擇）如果消費(fèi)者選擇的運(yùn)輸方式提供有關(guān)貨物已經(jīng)被收取和收取者姓名的資料，銷售商也應(yīng)該為消費(fèi)者提供這一方法。（最佳選擇）如果銷售商僅運(yùn)出消費(fèi)者定購(gòu)的部分商品時(shí)，銷售商應(yīng)該通知消費(fèi)者其他商品將在以后運(yùn)出。（最佳選擇）如果客戶取消訂單或者退貨，銷售商必須在三個(gè)工作日中通知消費(fèi)者已經(jīng)收到取消訂單或者退貨。（最低要求）五、確認(rèn)和通知銷售商必須在消費(fèi)者訂貨后一個(gè)工作日內(nèi)向消費(fèi)者發(fā)66六、幫助和客戶服務(wù)銷售商必須為消費(fèi)者提供通過EMAIL提問或投訴的渠道。（最低要求）銷售商必須在信息中心中提供獲得客戶服務(wù)條款的渠道。（最低要求）銷售商必須提供客戶反饋和文本投訴的渠道。（最低要求）銷售商必須在收到問題或投訴48小時(shí)內(nèi)向消費(fèi)者承認(rèn)收到了問題或投訴。（最低要求）如果投訴是有關(guān)商品而且銷售商自身不能解決，銷售商必須向消費(fèi)者提供和生產(chǎn)商聯(lián)系的適當(dāng)方法（最低要求）

六、幫助和客戶服務(wù)銷售商必須為消費(fèi)者提供通過EMAIL提問或67七、其他

銷售商應(yīng)該保證發(fā)運(yùn)的每個(gè)包裝都在運(yùn)輸機(jī)構(gòu)進(jìn)行了標(biāo)準(zhǔn)的防丟失、防盜和防損害保險(xiǎn)。（最佳選擇）銷售商必須按照可打印的格式向消費(fèi)者提供定購(gòu)貨物的發(fā)票。（最低要求）如果消費(fèi)者選擇的運(yùn)輸公司許可，銷售商應(yīng)該向消費(fèi)者提供可以進(jìn)行特別投遞的能力。（最佳選擇）如果消費(fèi)者以前已經(jīng)提供過必要的信息，銷售商應(yīng)該為消費(fèi)者提供“一鍵”購(gòu)物的能力。（最佳選擇）ECML（電子商務(wù)模式語(yǔ)言）的支持，允許消費(fèi)者在填寫購(gòu)物車表格時(shí)，避免重復(fù)性的輸入。（最佳選擇）銷售商應(yīng)該提供實(shí)時(shí)處理訂單和效驗(yàn)消費(fèi)者信用卡的能力。（最佳選擇）

銷售商應(yīng)該提供通過關(guān)鍵詞對(duì)整個(gè)站點(diǎn)的信息和產(chǎn)品進(jìn)行搜索的能力。（最佳選擇）銷售商應(yīng)該提供消費(fèi)者可以通過WEB來(lái)檢查訂單狀況的工具。（（最佳選擇）銷售商應(yīng)該提供消費(fèi)者可以檢查以前訂單的能力。（最佳選擇）銷售商應(yīng)該有一種系統(tǒng)化的方法來(lái)不斷處理消費(fèi)者的反饋和了解他們的滿意程度。（最佳選擇）

七、其他銷售商應(yīng)該保證發(fā)運(yùn)的每個(gè)包裝都在運(yùn)輸機(jī)構(gòu)進(jìn)行了標(biāo)準(zhǔn)68在該標(biāo)準(zhǔn)的首頁(yè)上寫著：“消費(fèi)者的滿意、信心和信任，銷售商的利潤(rùn)和變革”。這也就是這份標(biāo)準(zhǔn)的核心。任何人都可以從他的網(wǎng)站上獲得這一標(biāo)準(zhǔn)，而且鼓勵(lì)使用和散發(fā)這一標(biāo)準(zhǔn)。雖然這并不是一個(gè)法律文本，但有理由相信遵守這一標(biāo)準(zhǔn)的銷售商將獲得更大的發(fā)展。在該標(biāo)準(zhǔn)的首頁(yè)上寫著：“消費(fèi)者的滿意、信心和信任，銷售商的利69我國(guó)電子商務(wù)標(biāo)準(zhǔn)體系結(jié)構(gòu)電子商務(wù)相關(guān)標(biāo)準(zhǔn)體系基礎(chǔ)標(biāo)準(zhǔn)計(jì)算機(jī)基礎(chǔ)標(biāo)準(zhǔn)基礎(chǔ)通信標(biāo)準(zhǔn)網(wǎng)絡(luò)標(biāo)準(zhǔn)其他基礎(chǔ)標(biāo)準(zhǔn)安全標(biāo)準(zhǔn)加密標(biāo)準(zhǔn)認(rèn)證標(biāo)準(zhǔn)安全通信協(xié)議其他安全標(biāo)準(zhǔn)交易標(biāo)準(zhǔn)電子合同標(biāo)準(zhǔn)電子支付標(biāo)準(zhǔn)智能卡標(biāo)準(zhǔn)其他操作標(biāo)準(zhǔn)服務(wù)標(biāo)準(zhǔn)資質(zhì)標(biāo)準(zhǔn)服務(wù)質(zhì)量標(biāo)準(zhǔn)物流標(biāo)準(zhǔn)EDI標(biāo)準(zhǔn)單證標(biāo)準(zhǔn)報(bào)文標(biāo)準(zhǔn)其他標(biāo)準(zhǔn)其他標(biāo)準(zhǔn)我國(guó)電子商務(wù)標(biāo)準(zhǔn)體系結(jié)構(gòu)電子商務(wù)相關(guān)標(biāo)準(zhǔn)體系基礎(chǔ)標(biāo)準(zhǔn)計(jì)算機(jī)基703.2計(jì)算機(jī)信息系統(tǒng)管理(P68)計(jì)算機(jī)信息系統(tǒng)是電子商務(wù)運(yùn)行的基本單元，計(jì)算機(jī)系統(tǒng)運(yùn)行的安全與否，直接關(guān)系到電子商務(wù)整體運(yùn)行的安全。計(jì)算機(jī)信息系統(tǒng)的安全管理是電子商務(wù)安全管理中的一項(xiàng)基礎(chǔ)工作，必須認(rèn)真做好。計(jì)算機(jī)信息系統(tǒng)安全包括：實(shí)體安全、運(yùn)行安全、信息安全和人員安全等四方面的內(nèi)容。詳細(xì)內(nèi)容參見《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。3.2計(jì)算機(jī)信息系統(tǒng)管理(P68)計(jì)算機(jī)信息系統(tǒng)是電子商務(wù)713.3網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)用戶的管理網(wǎng)絡(luò)服務(wù)業(yè)的服務(wù)內(nèi)容：網(wǎng)絡(luò)服務(wù)業(yè)是指經(jīng)營(yíng)提供網(wǎng)絡(luò)上相關(guān)應(yīng)用服務(wù)的事業(yè)，如接入服務(wù)（AccessService）、域名（DomainName）服務(wù)、網(wǎng)絡(luò)信息服務(wù)、廣告服務(wù)、商業(yè)聯(lián)機(jī)服務(wù)等。網(wǎng)絡(luò)用戶的法律規(guī)范：用戶接入Internet的管理，用戶使用Internet的管理。3.3網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)用戶的管理網(wǎng)絡(luò)服務(wù)業(yè)的服務(wù)內(nèi)容：723.3.1網(wǎng)絡(luò)服務(wù)管理規(guī)范

接入服務(wù)的管理規(guī)范根據(jù)國(guó)務(wù)院批準(zhǔn)的《信息產(chǎn)業(yè)部職能配置、內(nèi)設(shè)機(jī)構(gòu)和人員編制規(guī)定》，由信息產(chǎn)業(yè)部負(fù)責(zé)對(duì)電信與信息服務(wù)市場(chǎng)進(jìn)行監(jiān)管，實(shí)行必要的經(jīng)營(yíng)許可制度，并審批和發(fā)放通信與信息服務(wù)的經(jīng)營(yíng)許可證。依據(jù)國(guó)務(wù)院1997年5月20日第218號(hào)令發(fā)布的《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》和原國(guó)務(wù)院信息化工作領(lǐng)導(dǎo)小組印發(fā)的《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》有關(guān)規(guī)定，決定自1998年11月1日起對(duì)從