電子商務安全 第9章 電子商務安全管理

第9章電子商務安全管理9.1信息系統(tǒng)安全保護的相關規(guī)定9.1.1信息系統(tǒng)安全保護《中華人民共和國計算機信息系統(tǒng)安全保護條例》(以下簡稱條例)主要內容：1）公安部主管全國的計算機信息系統(tǒng)安全保護工作；2）計算機信息系統(tǒng)實行安全等級保護；3）健全安全管理制度；4）國家對計算機信息系統(tǒng)安全專用產(chǎn)品的銷售實行許可證制度；5）公安機關行使監(jiān)督職權，包括監(jiān)督、檢查、指導和查處危害信息系統(tǒng)安全的違法犯罪案件等。9.1.1信息系統(tǒng)安全保護《條例》九大制度：1）計算機信息系統(tǒng)的建設和應用，應當遵紀守法；2）計算機信息系統(tǒng)安全等級保護制度；3）計算機機房安全管理制度；4）計算機信息系統(tǒng)國際聯(lián)網(wǎng)備案制度；5）計算機信息媒體進出境申報制度；6）計算機信息系統(tǒng)使用單位安全負責制度；7）計算機案件強制報告制度；8）計算機病毒及其有害數(shù)據(jù)的專管制度；9）計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證制度。9.1.2國際聯(lián)網(wǎng)管理《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法》《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)出入口信道管理辦法》《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》《互聯(lián)網(wǎng)信息服務管理辦法》《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》9.1.3商用密碼管理《商用密碼管理條例》主要內容：國家密碼管理委員會及其辦公室主管全國的商用密碼管理工作。商用密碼技術屬于國家秘密，國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行?？毓芾怼Ｉ逃妹艽a的科研任務由密碼管理機構指定的單位承擔。商用密碼產(chǎn)品由密碼管理機構指定的單位生產(chǎn)，其品種和型號必須經(jīng)國家密碼管理機構批準，且必須經(jīng)產(chǎn)品質量檢測機構檢測合格。商用密碼產(chǎn)品由密碼管理機構許可的單位銷售。用戶只能使用經(jīng)密碼管理機構認可的商用密碼產(chǎn)品，且不得轉讓。9.1.4計算機病毒防治《計算機病毒防治管理辦法》主要內容：公安部公共信息網(wǎng)絡安全監(jiān)察部門主管全國的計算機病毒防治管理工作，地方各級公安機關具體負責本行政區(qū)域內的計算機病毒防治管理工作。任何單位和個人應接受公安機關對計算機病毒防治工作的監(jiān)督、檢查和指導，不得制作、傳播計算機病毒。計算機病毒防治產(chǎn)品廠商，應及時向計算機病毒防治產(chǎn)品檢測機構提交病毒樣本。擁有計算機信息系統(tǒng)的單位應建立病毒防治管理制度并采取防治措施。病毒防治產(chǎn)品應具有計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證，并貼有“銷售許可”標記。9.1.4安全產(chǎn)品檢測與銷售《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》主要內容：我國境內的安全專用產(chǎn)品進入市場銷售，實行銷售許可證制度。頒發(fā)銷售許可證前，產(chǎn)品必須進行安全功能的檢測和認定。公安部計算機管理監(jiān)察部門負責銷售許可證的審批頒發(fā)、檢測機構的審批、定期發(fā)布安全專用產(chǎn)品的檢測通告和經(jīng)安全功能檢測確認的安全專用產(chǎn)品目錄。銷售許可證只對所申請銷售的安全專用產(chǎn)品有效，有效期為兩年。9.2電子商務安全管理制度9.2.1信息安全管理制度的內涵信息安全的基本要求：1）認證用戶和鑒別2）控制存取3）保障完整性4）審計5）容錯9.2.2網(wǎng)絡系統(tǒng)的日常維護制度(1)硬件的日常管理和維護：1）網(wǎng)絡設備2）服務器和客戶機3）通信線路(2)軟件的日常管理和維護：1）支撐軟件2）應用軟件(3)數(shù)據(jù)備份9.2.3病毒防范制度1）安裝防病毒軟件2）不打開陌生地址的電子郵件3）認真執(zhí)行病毒定期清理制度4）控制權限9.2.4人員管理制度1）嚴格選拔網(wǎng)上交易人員2）落實工作責任制3）貫徹電子商務安全運作基本原則9.2.4人員管理制度1）嚴格選拔網(wǎng)上交易人員2）落實工作責任制3）貫徹電子商務安全運作基本原則雙人負責原則任期有限原則最小權限原則9.3電子商務安全風險管理9.3.1風險管理概述(1)企業(yè)內部風險1）技術風險2）戰(zhàn)略風險3）管理風險(2)企業(yè)外部風險1）漏洞2）威脅①目標②代理（特性：訪問、知識、動機）③事件9.3.1風險管理概述(3)威脅+漏洞=風險三個級別：低級別風險是漏洞使組織的風險達到一定水平，然而風險不一定發(fā)生。如有可能，應將這些產(chǎn)生低級別風險的漏洞去除，但應權衡去除漏洞的代價和能減少的風險損失。中級別風險是漏洞使組織的信息系統(tǒng)或場地的風險（機密性、完整性、可用性、可審性）達到相當?shù)乃?，并且已有發(fā)生事件的現(xiàn)實可能性。應采取措施去除漏洞。高級別風險是漏洞對組織的信息、系統(tǒng)或場地的機密性、完整性、可用性和可審性已構成現(xiàn)實危害，必須立即采取措施去除產(chǎn)生高級別風險的漏洞。9.3.2風險的識別與測量(1)風險的識別1）識別漏洞2）識別威脅3）檢查對策和預防措施4）識別風險9.3.2風險的識別與測量圖9.1風險評估的組成(1)風險的識別9.3.2風險的識別與測量(2)風險的測量傳統(tǒng)的風險測量的方法是：風險=威脅×漏洞×影響網(wǎng)絡安全風險的三維向量法：網(wǎng)絡風險=(網(wǎng)絡節(jié)點風險，通信鏈路風險，網(wǎng)絡管理風險)代價:1）資金2）時間3）資源4）信譽9.3.4風險管理策略(1)風險識別(2)風險分析(3)風險控制圖9.2風險評估—殘余風險接受過程9.3.4風險管理策略(1)物理安全(2)周邊防御(3)網(wǎng)絡防御(4)主機防御(5)應用程序防御(6)數(shù)據(jù)防御圖9.3有效的縱深防御策略9.4電子商務安全的法律保障網(wǎng)絡安全和交易安全知識產(chǎn)權保護電子合同問題

電子證據(jù)的獲取和認定網(wǎng)絡高科技犯罪問題常見安全問題及違規(guī)違法行為：《合同法》《侵權責任法》《電子簽名法》《關于維護互聯(lián)網(wǎng)安全的決定》《關于加強網(wǎng)絡信息保護的決定》《非金融機構支付服務管理辦法》《非銀行支付機構網(wǎng)絡支付業(yè)務管理辦法》《互聯(lián)網(wǎng)信息服務管理辦法》《電信條例》相關的民商事活動一般法：①法律位階低，亟須制定專門法，把分散的法規(guī)、規(guī)章統(tǒng)籌起來，以形成完整的電子商務法治體系；②結構混亂，開放性與兼容性不足，難以應對不斷出現(xiàn)的電子商務問題；③可操作性欠缺，規(guī)范促進效果不明顯；