電子商務(wù)安全技術(shù)實(shí)用教程第9章課件

第九章電子商務(wù)安全管理9.1信息安全體系與安全模型9.2電子商務(wù)風(fēng)險(xiǎn)管理與安全評(píng)估9.3電子商務(wù)信用管理9.5電子商務(wù)安全法律制度第九章電子商務(wù)安全管理9.1信息安全體系與安全模型19.1信息安全體系與安全模型9.1.1信息安全體系1.OSI安全體系結(jié)構(gòu)國(guó)際標(biāo)準(zhǔn)化組織ISO于1989年在原有網(wǎng)絡(luò)通信協(xié)議七層模型的基礎(chǔ)上擴(kuò)充了OSI參考模型，確立了信息安全體系結(jié)構(gòu)，國(guó)際標(biāo)準(zhǔn)ISO7498-2-1989《信息處理系統(tǒng)·開放系統(tǒng)互連、基本模型第2部分安全體系結(jié)構(gòu)》，為開放系統(tǒng)標(biāo)準(zhǔn)建立框架。OSI安全體系結(jié)構(gòu)包括五類安全服務(wù)以及八類安全機(jī)制。9.1信息安全體系與安全模型9.1.1信息安全體系2表9-1ISO7498-2的安全服務(wù)與機(jī)制安全服務(wù)安全機(jī)制對(duì)等實(shí)體鑒別訪問控制數(shù)據(jù)保密數(shù)據(jù)完整性抗抵賴加密√

√√

數(shù)字簽名√√

√√訪問控制

√

數(shù)據(jù)完整性

√√認(rèn)證交換√

業(yè)務(wù)流填充

√

路由控制

√

公證機(jī)制

√表9-1ISO7498-2的安全服務(wù)與機(jī)制安全服務(wù)對(duì)等實(shí)39.1.2網(wǎng)絡(luò)安全模型1．PPDR網(wǎng)絡(luò)安全模型PPDR是美國(guó)國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的動(dòng)態(tài)網(wǎng)絡(luò)安全體系的代表模型，也是動(dòng)態(tài)安全模型的雛形。PPDR的基本思想是：在整體安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具（如防火墻、身份認(rèn)證、加密等）的同時(shí)，利用檢測(cè)工具（如漏洞評(píng)估、入侵檢測(cè)等）了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。9.1.2網(wǎng)絡(luò)安全模型1．PPDR網(wǎng)絡(luò)安全模型49.1.2網(wǎng)絡(luò)安全模型2．PDRR網(wǎng)絡(luò)安全模型PDRR是美國(guó)國(guó)防部提出的安全模型，PDRR模型與前述的PPDR模型有很多相似之處。其中Protection（防護(hù)）和Detection（檢測(cè)）兩個(gè)環(huán)節(jié)的基本思想是相同的，PPDR模型中的Response（響應(yīng)）環(huán)節(jié)包含了緊急響應(yīng)和恢復(fù)處理兩部分，而在PDRR模型中Response（響應(yīng)）和Recovery（恢復(fù)）是分開的，內(nèi)容也有所擴(kuò)展。9.1.2網(wǎng)絡(luò)安全模型2．PDRR網(wǎng)絡(luò)安全模型59.1.3信息安全管理體系1.信息安全管理體系的概念信息安全管理體系ISMS（InformationSecurityManagementSystem），是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過程和資源的集合。

BS7799－2是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍，制定信息安全方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制措施等一系列活動(dòng)來(lái)建立信息安全管理體系。9.1.3信息安全管理體系1.信息安全管理體系的概念6圖9-3PDCA模型與信息安全管理體系過程圖9-3PDCA模型與信息安全管理體系過程79.2電子商務(wù)風(fēng)險(xiǎn)管理與安全評(píng)估9.2.1電子商務(wù)風(fēng)險(xiǎn)管理1.風(fēng)險(xiǎn)相關(guān)概念漏洞：是攻擊的可能的途徑。威脅：是一個(gè)可能破壞信息系統(tǒng)環(huán)境安全的動(dòng)作或事件。風(fēng)險(xiǎn)=威脅+漏洞9.2電子商務(wù)風(fēng)險(xiǎn)管理與安全評(píng)估9.2.1電子商務(wù)風(fēng)險(xiǎn)管82.風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估有時(shí)候也稱為風(fēng)險(xiǎn)分析，是組織使用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具，對(duì)信息和信息處理設(shè)施的威脅、影響和薄弱點(diǎn)及其發(fā)生的可能性的評(píng)估，也就是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過程。風(fēng)險(xiǎn)計(jì)算：風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中，R表示風(fēng)險(xiǎn)計(jì)算函數(shù)；A,T,V分別表示資產(chǎn)、威脅和脆弱性；L表示安全事件發(fā)生的可能性；F表示安全事件發(fā)生后造成的損失；Ia表示資產(chǎn)重要程度；Va表示脆弱性的嚴(yán)重程度。2.風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估有時(shí)候也稱為風(fēng)險(xiǎn)分析，是組織使用適當(dāng)?shù)?9.2.2電子商務(wù)安全評(píng)估1．網(wǎng)絡(luò)安全評(píng)估（1）了解網(wǎng)絡(luò)的拓?fù)洌?）獲取公共訪問機(jī)器的名字和IP地址（3）對(duì)全部可達(dá)主機(jī)做端口掃描的處理2．平臺(tái)安全評(píng)估（1）認(rèn)證基準(zhǔn)配置、操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)沒有變更（2）認(rèn)證管理員的口令3．應(yīng)用安全評(píng)估（1）編寫質(zhì)量低的應(yīng)用程序（2）必須將黑客納入平臺(tái)安全評(píng)估中（3）黑客最通用的方法是安裝口令探測(cè)器以獲得口令進(jìn)行攻擊9.2.2電子商務(wù)安全評(píng)估1．網(wǎng)絡(luò)安全評(píng)估109.2.3信息安全等級(jí)標(biāo)準(zhǔn)1.美國(guó)可信計(jì)算系統(tǒng)評(píng)價(jià)準(zhǔn)則TCSEC1983年由美國(guó)國(guó)防部制定的5200.28安全標(biāo)準(zhǔn)即網(wǎng)絡(luò)安全橙皮書或桔皮書利用計(jì)算機(jī)安全級(jí)別評(píng)價(jià)計(jì)算機(jī)系統(tǒng)的安全性。目前比較流行的評(píng)估標(biāo)準(zhǔn)分為4個(gè)方面（類型）、7個(gè)安全等級(jí)9.2.3信息安全等級(jí)標(biāo)準(zhǔn)1.美國(guó)可信計(jì)算系統(tǒng)評(píng)價(jià)準(zhǔn)則TC11表9-2TCSEC安全等級(jí)類別級(jí)別名稱主要特征DD低級(jí)保護(hù)沒有安全保護(hù)CC1自主安全保護(hù)自主存儲(chǔ)控制C2受控存儲(chǔ)控制單獨(dú)的可查性，安全標(biāo)識(shí)BB1標(biāo)識(shí)的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識(shí)B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證表9-2TCSEC安全等級(jí)類別級(jí)別名稱主要特征DD低級(jí)保護(hù)12表9-3我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)等級(jí)名

稱描

述第一級(jí)用戶自我保護(hù)級(jí)安全保護(hù)機(jī)制可以使用戶具備安全保護(hù)的能力，保護(hù)用戶信息免受非法的讀寫破壞。第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)除具備第一級(jí)所有的安全保護(hù)功能外，要求創(chuàng)建和維護(hù)訪問的審計(jì)跟蹤記錄，使所有用戶對(duì)自身行為的合法性負(fù)責(zé)第三級(jí)安全標(biāo)記保護(hù)級(jí)除具備前一級(jí)所有的安全保護(hù)功能外，還要求以訪問對(duì)象標(biāo)記的安全級(jí)別限制訪問者的權(quán)限，實(shí)現(xiàn)對(duì)訪問對(duì)象的強(qiáng)制訪問第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)除具備前一級(jí)所有的安全保護(hù)功能外，還將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對(duì)關(guān)鍵部分可直接控制訪問者對(duì)訪問對(duì)象的存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力第五級(jí)訪問驗(yàn)證保護(hù)級(jí)除具備前一級(jí)所有的安全保護(hù)功能外，還特別增設(shè)了訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪問者對(duì)訪問對(duì)象的所有訪問表9-3我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)等級(jí)名稱描139.3電子商務(wù)信用管理9.3.1電子商務(wù)信用1.信用的概念“信用”是指?jìng)€(gè)人或組織被他人信任的程度、守承諾的程度。信任是一種在不確定性風(fēng)險(xiǎn)情勢(shì)存在的情況下，一方主體相信另一方主體會(huì)按照共同的期望行事，不攻擊其脆弱性的一種主觀信念，所以，信任首先是一種主觀的信念、個(gè)人的意愿。2.電子商務(wù)中的信息不對(duì)稱電子商務(wù)活動(dòng)是一種全新的商業(yè)模式，是買賣雙方不直接見面的虛擬經(jīng)營(yíng)，這種虛擬性，更容易產(chǎn)生信用危機(jī)。3.電子商務(wù)中的信用問題（1）互聯(lián)網(wǎng)的特征與信用問題（2）電子商務(wù)的特性與信用問題（3）信用問題成為電子商務(wù)發(fā)展瓶頸9.3電子商務(wù)信用管理9.3.1電子商務(wù)信用144.電子商務(wù)信用模式（1）中介人模式：將電子商務(wù)網(wǎng)站作為交易中介人。（2）擔(dān)保人模式：以網(wǎng)站或網(wǎng)站的經(jīng)營(yíng)企業(yè)為交易各方提供擔(dān)保為特征。（3）網(wǎng)站經(jīng)營(yíng)模式：通過建立網(wǎng)上商店的方式進(jìn)行交易活動(dòng)。（4）委托授權(quán)經(jīng)營(yíng)模式：要求參與交易的當(dāng)事人按預(yù)設(shè)條件在協(xié)議銀行中建立交易公共賬戶。4.電子商務(wù)信用模式（1）中介人模式：將電子商務(wù)網(wǎng)站作為交易159.3.2電子商務(wù)社會(huì)信用體系9.3.2電子商務(wù)社會(huì)信用體系162.電子商務(wù)信用體系的規(guī)范化管理（1）經(jīng)營(yíng)許可管理：網(wǎng)站級(jí)別認(rèn)證、企業(yè)資信狀況、儲(chǔ)備金管理、信息發(fā)布準(zhǔn)則、客戶信用信息管理等。（2）信息發(fā)布管理：網(wǎng)站的認(rèn)證級(jí)別、自身的信用級(jí)別、商業(yè)信息、服務(wù)條款、監(jiān)督機(jī)構(gòu)規(guī)定的其他信息。（3）電子交易管理：信用記錄、保證金條款、電子合同管理等。（4）內(nèi)部作業(yè)管理：開展電子商務(wù)的企業(yè)應(yīng)強(qiáng)化內(nèi)部作業(yè)程序的管理。（5）服務(wù)管理：平臺(tái)服務(wù)商應(yīng)加強(qiáng)對(duì)網(wǎng)上交易主體的管理，監(jiān)控他們的實(shí)時(shí)交易行為。（6）清算程序管理：結(jié)算作為交易過程的最后一個(gè)環(huán)節(jié)，也起著非常重要的作用。2.電子商務(wù)信用體系的規(guī)范化管理（1）經(jīng)營(yíng)許可管理：網(wǎng)站級(jí)179.3.3電子商務(wù)信任機(jī)制1.信用評(píng)價(jià)機(jī)制：電子商務(wù)企業(yè)信用評(píng)級(jí)指標(biāo)分為定性和定量?jī)深?.信用跟蹤機(jī)制：信用跟蹤是一個(gè)動(dòng)態(tài)持續(xù)的機(jī)制，可分為跟蹤與反饋兩個(gè)子系統(tǒng)。3.信用保障機(jī)制：保障機(jī)制的存在意義在于加快建設(shè)良好的電子商務(wù)信用環(huán)境，同時(shí)推進(jìn)整個(gè)社會(huì)信用體系的完善。9.3.3電子商務(wù)信任機(jī)制1.信用評(píng)價(jià)機(jī)制：電子商務(wù)企業(yè)信189.4電子商務(wù)法律法規(guī)9.4.1電子商務(wù)安全法律法規(guī)的主要內(nèi)容電子商務(wù)涉及的法律法規(guī)問題非常廣泛，如合同法、稅法、知識(shí)產(chǎn)權(quán)法、銀行法、票據(jù)法、海關(guān)法、廣告法、消費(fèi)者權(quán)益保護(hù)法、刑法及工商行政法規(guī)等等。9.4電子商務(wù)法律法規(guī)9.4.1電子商務(wù)安全法律法規(guī)的主要199.4.2電子商務(wù)網(wǎng)絡(luò)安全法1.計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可2.國(guó)際互聯(lián)網(wǎng)出入信道的管理制度3.市場(chǎng)準(zhǔn)入制度4.計(jì)算機(jī)病毒防治管理辦法5.網(wǎng)絡(luò)經(jīng)營(yíng)者的責(zé)任9.4.2電子商務(wù)網(wǎng)絡(luò)安全法1.計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品209.4.3電子商務(wù)信息安全法目前我國(guó)出臺(tái)的電子商務(wù)信息安全的相關(guān)法律規(guī)范有以下方面：（1）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)；（2）計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)的安全保護(hù)；（3）計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)保密管理制度；（4）電子公告服務(wù)的信息安全；（5）新聞業(yè)務(wù)的信息管理。9.4.3電子商務(wù)信息安全法目前我國(guó)出臺(tái)的電子商務(wù)信息安全的219.4.4電子商務(wù)交易安全法（1）電子商務(wù)信息服務(wù)的授權(quán)管理制度（2）電子商務(wù)安全交易的投訴處理機(jī)制（3）電子商務(wù)交易安全的法律規(guī)范9.4.4電子商務(wù)交易安全法（1）電子商務(wù)信息服務(wù)的授權(quán)管22本章小結(jié)電子商務(wù)的安全管理是通過一個(gè)完整的綜合保障體系，來(lái)規(guī)避信息傳輸風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)，以保證網(wǎng)上交易的順利進(jìn)行。美國(guó)可信計(jì)算系統(tǒng)評(píng)價(jià)準(zhǔn)則TCSEC，包括4各類別和7個(gè)層次我國(guó)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》將信息系統(tǒng)安全層次分為5個(gè)等級(jí)。提高整個(gè)社會(huì)的信用體系是電子商務(wù)安全的基礎(chǔ)保障。電子商務(wù)安全立法與管理是在安全策略指導(dǎo)下進(jìn)行的一系列管理活動(dòng)。本章小結(jié)電子商務(wù)的安全管理是通過一個(gè)完整的綜合保障體系，來(lái)規(guī)23第九章電子商務(wù)安全管理9.1信息安全體系與安全模型9.2電子商務(wù)風(fēng)險(xiǎn)管理與安全評(píng)估9.3電子商務(wù)信用管理9.5電子商務(wù)安全法律制度第九章電子商務(wù)安全管理9.1信息安全體系與安全模型249.1信息安全體系與安全模型9.1.1信息安全體系1.OSI安全體系結(jié)構(gòu)國(guó)際標(biāo)準(zhǔn)化組織ISO于1989年在原有網(wǎng)絡(luò)通信協(xié)議七層模型的基礎(chǔ)上擴(kuò)充了OSI參考模型，確立了信息安全體系結(jié)構(gòu)，國(guó)際標(biāo)準(zhǔn)ISO7498-2-1989《信息處理系統(tǒng)·開放系統(tǒng)互連、基本模型第2部分安全體系結(jié)構(gòu)》，為開放系統(tǒng)標(biāo)準(zhǔn)建立框架。OSI安全體系結(jié)構(gòu)包括五類安全服務(wù)以及八類安全機(jī)制。9.1信息安全體系與安全模型9.1.1信息安全體系25表9-1ISO7498-2的安全服務(wù)與機(jī)制安全服務(wù)安全機(jī)制對(duì)等實(shí)體鑒別訪問控制數(shù)據(jù)保密數(shù)據(jù)完整性抗抵賴加密√

√√

數(shù)字簽名√√

√√訪問控制

√

數(shù)據(jù)完整性

√√認(rèn)證交換√

業(yè)務(wù)流填充

√

路由控制

√

公證機(jī)制

√表9-1ISO7498-2的安全服務(wù)與機(jī)制安全服務(wù)對(duì)等實(shí)269.1.2網(wǎng)絡(luò)安全模型1．PPDR網(wǎng)絡(luò)安全模型PPDR是美國(guó)國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的動(dòng)態(tài)網(wǎng)絡(luò)安全體系的代表模型，也是動(dòng)態(tài)安全模型的雛形。PPDR的基本思想是：在整體安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具（如防火墻、身份認(rèn)證、加密等）的同時(shí)，利用檢測(cè)工具（如漏洞評(píng)估、入侵檢測(cè)等）了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。9.1.2網(wǎng)絡(luò)安全模型1．PPDR網(wǎng)絡(luò)安全模型279.1.2網(wǎng)絡(luò)安全模型2．PDRR網(wǎng)絡(luò)安全模型PDRR是美國(guó)國(guó)防部提出的安全模型，PDRR模型與前述的PPDR模型有很多相似之處。其中Protection（防護(hù)）和Detection（檢測(cè)）兩個(gè)環(huán)節(jié)的基本思想是相同的，PPDR模型中的Response（響應(yīng)）環(huán)節(jié)包含了緊急響應(yīng)和恢復(fù)處理兩部分，而在PDRR模型中Response（響應(yīng)）和Recovery（恢復(fù)）是分開的，內(nèi)容也有所擴(kuò)展。9.1.2網(wǎng)絡(luò)安全模型2．PDRR網(wǎng)絡(luò)安全模型289.1.3信息安全管理體系1.信息安全管理體系的概念信息安全管理體系ISMS（InformationSecurityManagementSystem），是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過程和資源的集合。

BS7799－2是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍，制定信息安全方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制措施等一系列活動(dòng)來(lái)建立信息安全管理體系。9.1.3信息安全管理體系1.信息安全管理體系的概念29圖9-3PDCA模型與信息安全管理體系過程圖9-3PDCA模型與信息安全管理體系過程309.2電子商務(wù)風(fēng)險(xiǎn)管理與安全評(píng)估9.2.1電子商務(wù)風(fēng)險(xiǎn)管理1.風(fēng)險(xiǎn)相關(guān)概念漏洞：是攻擊的可能的途徑。威脅：是一個(gè)可能破壞信息系統(tǒng)環(huán)境安全的動(dòng)作或事件。風(fēng)險(xiǎn)=威脅+漏洞9.2電子商務(wù)風(fēng)險(xiǎn)管理與安全評(píng)估9.2.1電子商務(wù)風(fēng)險(xiǎn)管312.風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估有時(shí)候也稱為風(fēng)險(xiǎn)分析，是組織使用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具，對(duì)信息和信息處理設(shè)施的威脅、影響和薄弱點(diǎn)及其發(fā)生的可能性的評(píng)估，也就是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過程。風(fēng)險(xiǎn)計(jì)算：風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中，R表示風(fēng)險(xiǎn)計(jì)算函數(shù)；A,T,V分別表示資產(chǎn)、威脅和脆弱性；L表示安全事件發(fā)生的可能性；F表示安全事件發(fā)生后造成的損失；Ia表示資產(chǎn)重要程度；Va表示脆弱性的嚴(yán)重程度。2.風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估有時(shí)候也稱為風(fēng)險(xiǎn)分析，是組織使用適當(dāng)?shù)?29.2.2電子商務(wù)安全評(píng)估1．網(wǎng)絡(luò)安全評(píng)估（1）了解網(wǎng)絡(luò)的拓?fù)洌?）獲取公共訪問機(jī)器的名字和IP地址（3）對(duì)全部可達(dá)主機(jī)做端口掃描的處理2．平臺(tái)安全評(píng)估（1）認(rèn)證基準(zhǔn)配置、操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)沒有變更（2）認(rèn)證管理員的口令3．應(yīng)用安全評(píng)估（1）編寫質(zhì)量低的應(yīng)用程序（2）必須將黑客納入平臺(tái)安全評(píng)估中（3）黑客最通用的方法是安裝口令探測(cè)器以獲得口令進(jìn)行攻擊9.2.2電子商務(wù)安全評(píng)估1．網(wǎng)絡(luò)安全評(píng)估339.2.3信息安全等級(jí)標(biāo)準(zhǔn)1.美國(guó)可信計(jì)算系統(tǒng)評(píng)價(jià)準(zhǔn)則TCSEC1983年由美國(guó)國(guó)防部制定的5200.28安全標(biāo)準(zhǔn)即網(wǎng)絡(luò)安全橙皮書或桔皮書利用計(jì)算機(jī)安全級(jí)別評(píng)價(jià)計(jì)算機(jī)系統(tǒng)的安全性。目前比較流行的評(píng)估標(biāo)準(zhǔn)分為4個(gè)方面（類型）、7個(gè)安全等級(jí)9.2.3信息安全等級(jí)標(biāo)準(zhǔn)1.美國(guó)可信計(jì)算系統(tǒng)評(píng)價(jià)準(zhǔn)則TC34表9-2TCSEC安全等級(jí)類別級(jí)別名稱主要特征DD低級(jí)保護(hù)沒有安全保護(hù)CC1自主安全保護(hù)自主存儲(chǔ)控制C2受控存儲(chǔ)控制單獨(dú)的可查性，安全標(biāo)識(shí)BB1標(biāo)識(shí)的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識(shí)B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證表9-2TCSEC安全等級(jí)類別級(jí)別名稱主要特征DD低級(jí)保護(hù)35表9-3我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)等級(jí)名

稱描

述第一級(jí)用戶自我保護(hù)級(jí)安全保護(hù)機(jī)制可以使用戶具備安全保護(hù)的能力，保護(hù)用戶信息免受非法的讀寫破壞。第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)除具備第一級(jí)所有的安全保護(hù)功能外，要求創(chuàng)建和維護(hù)訪問的審計(jì)跟蹤記錄，使所有用戶對(duì)自身行為的合法性負(fù)責(zé)第三級(jí)安全標(biāo)記保護(hù)級(jí)除具備前一級(jí)所有的安全保護(hù)功能外，還要求以訪問對(duì)象標(biāo)記的安全級(jí)別限制訪問者的權(quán)限，實(shí)現(xiàn)對(duì)訪問對(duì)象的強(qiáng)制訪問第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)除具備前一級(jí)所有的安全保護(hù)功能外，還將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對(duì)關(guān)鍵部分可直接控制訪問者對(duì)訪問對(duì)象的存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力第五級(jí)訪問驗(yàn)證保護(hù)級(jí)除具備前一級(jí)所有的安全保護(hù)功能外，還特別增設(shè)了訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪問者對(duì)訪問對(duì)象的所有訪問表9-3我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)等級(jí)名稱描369.3電子商務(wù)信用管理9.3.1電子商務(wù)信用1.信用的概念“信用”是指?jìng)€(gè)人或組織被他人信任的程度、守承諾的程度。信任是一種在不確定性風(fēng)險(xiǎn)情勢(shì)存在的情況下，一方主體相信另一方主體會(huì)按照共同的期望行事，不攻擊其脆弱性的一種主觀信念，所以，信任首先是一種主觀的信念、個(gè)人的意愿。2.電子商務(wù)中的信息不對(duì)稱電子商務(wù)活動(dòng)是一種全新的商業(yè)模式，是買賣雙方不直接見面的虛擬經(jīng)營(yíng)，這種虛擬性，更容易產(chǎn)生信用危機(jī)。3.電子商務(wù)中的信用問題（1）互聯(lián)網(wǎng)的特征與信用問題（2）電子商務(wù)的特性與信用問題（3）信用問題成為電子商務(wù)發(fā)展瓶頸9.3電子商務(wù)信用管理9.3.1電子商務(wù)信用374.電子商務(wù)信用模式（1）中介人模式：將電子商務(wù)網(wǎng)站作為交易中介人。（2）擔(dān)保人模式：以網(wǎng)站或網(wǎng)站的經(jīng)營(yíng)企業(yè)為交易各方提供擔(dān)保為特征。（3）網(wǎng)站經(jīng)營(yíng)模式：通過建立網(wǎng)上商店的方式進(jìn)行交易活動(dòng)。（4）委托授權(quán)經(jīng)營(yíng)模式：要求參與交易的當(dāng)事人按預(yù)設(shè)條件在協(xié)議銀行中建立交易公共賬戶。4.電子商務(wù)信用模式（1）中介人模式：將電子商務(wù)網(wǎng)站作為交易389.3.2電子商務(wù)社會(huì)信用體系9.3.2電子商務(wù)社會(huì)信用體系392.電子商務(wù)信用體系的規(guī)范化管理（1）經(jīng)營(yíng)許可管理：網(wǎng)站級(jí)別認(rèn)證、企業(yè)資信狀況、儲(chǔ)備金管理、信息發(fā)布準(zhǔn)則、客戶信用信息管理等。（2）信息發(fā)布管理：網(wǎng)站的認(rèn)證級(jí)別、自身的信用級(jí)別、商業(yè)信息、服務(wù)條款、監(jiān)督機(jī)構(gòu)規(guī)定的其他信息。（3）電子交易管理：信用記錄、保證金條款、電子合同管理等。（4）內(nèi)部作業(yè)管理：開展電子商務(wù)的企業(yè)應(yīng)強(qiáng)化內(nèi)部作業(yè)程序的管理。（5）服務(wù)管理：平臺(tái)服務(wù)商應(yīng)加強(qiáng)對(duì)網(wǎng)上交易主體的管理，監(jiān)控他們的實(shí)時(shí)交易行為。（6）清算程序管理：結(jié)算作為交易過程的最后一個(gè)環(huán)節(jié)，也起著非常重要的作用。2.電子商務(wù)信用體系的規(guī)范化管理（1）經(jīng)營(yíng)許可管理：網(wǎng)站級(jí)409.3.3電子商務(wù)信任機(jī)制1.信用評(píng)價(jià)機(jī)制：電子商務(wù)企業(yè)信用評(píng)級(jí)指標(biāo)分為定性