電子商務安全體系分析

學習情境1

電子商務平安體系分析1.1電子商務及其系統(tǒng)構成1.2電子商務平安概況1.3電子商務平安的保障1.4電子商務平安體系1.1電子商務及其系統(tǒng)構成

電子商務的內(nèi)涵

電子商務系統(tǒng)構成電子商務的內(nèi)涵1.世界電子商務會議關于電子商務的定義電子商務〔ELECTRONICCOMMERCE〕，是指對整個貿(mào)易活動實現(xiàn)電子化。2.政府部門對電子商務的定義電子商務是通過電子方式進行的商務活動。包括貨物電子貿(mào)易和效勞、在線數(shù)據(jù)傳遞、電子資金劃撥、電子證券交易、電子貨運單證、商業(yè)拍賣、合作設計和工程、在線資料、公共產(chǎn)品獲得。包括了產(chǎn)品〔如消費品、專門設備〕和效勞〔如信息效勞、金融和法律效勞〕、傳統(tǒng)活動〔如健身、體育〕和新型活動〔如虛擬購物、虛擬訓練〕。電子商務的內(nèi)涵3.權威學者對電子商務的定義廣義地講，電子商務是一種現(xiàn)代商業(yè)方法。這種方法通過改善產(chǎn)品和效勞質(zhì)量、提高效勞傳遞速度，滿足政府組織、廠商和消費者的降低本錢的需求。這一概念也用于通過計算機網(wǎng)絡尋找信息以支持決策。一般地講，今天的電子商務通過計算機網(wǎng)絡將買方和賣方的信息、產(chǎn)品和效勞器聯(lián)系起來，而未來的電子商務者通過構成信息高速公路的無數(shù)計算機網(wǎng)絡將買方和賣方聯(lián)系起來。電子商務的內(nèi)涵4.IT〔信息技術〕行業(yè)對電子商務的定義

IBM公司關于電子商務的描述，可以用一個公式來概括，即電子商務＝Web＋IT。它強調(diào)的是在網(wǎng)絡計算環(huán)境下的商業(yè)化應用，是把買方、賣方、廠商及其合作伙伴在互聯(lián)網(wǎng)〔Internet〕、企業(yè)內(nèi)部網(wǎng)〔Intranet〕和企業(yè)外部網(wǎng)〔Extranet〕結合起來的應用。電子商務的內(nèi)涵

狹義電子商務概念：電子商務的內(nèi)涵廣義電子商務概念：企業(yè)利用現(xiàn)代化信息技術開展的一切商務活動，如市場分析、客戶聯(lián)系、物資調(diào)配等。它既包括網(wǎng)上交易，還包括企業(yè)內(nèi)部業(yè)務活動〔如方案、生產(chǎn)、財務管理等〕以及企業(yè)之間的協(xié)作與協(xié)調(diào)。電子商務的內(nèi)涵

廣義電子商務和狹義電子商務電子商務的內(nèi)涵電子商務內(nèi)涵：1.電子商務的本質(zhì)是“商務〞，是在“電子〞根底上的商務2.電子商務的前提是商務信息化3.電子商務的核心是人4.電子商務是對傳統(tǒng)商務的改進而不是革命5.電子工具必定是現(xiàn)代化的6.對象的變化也是至關重要的電子商務的內(nèi)涵電子商務的技術特征：1.信息化2.虛擬性3.集成性4.可擴展性5.平安性6.系統(tǒng)性電子商務的內(nèi)涵電子商務的應用特征：1.商務性2.效勞性3.協(xié)調(diào)性4.社會性5.全球性1.1.2電子商務系統(tǒng)構成

1.電子商務系統(tǒng)的分類1〕按照商業(yè)活動的運作方式分類：我們可以將電子商務分為純電子商務和局部電子商務。當我們從商務涉及的產(chǎn)品〔product〕、過程〔process〕、交付代理〔deliveryagent〕三個維度上分析電子商務，會發(fā)現(xiàn)傳統(tǒng)商務在所有維度上都是物理的(physical)，而純電子商務在所有維度上都是數(shù)字的(digital)，除此之外，都屬于局部電子商務，它們是以數(shù)字和物理維度的結合來完成整個商務活動。1.1.2電子商務系統(tǒng)構成

2〕按照使用網(wǎng)絡的類型來分類：基于EDI網(wǎng)絡的電子商務，就是利用EDI網(wǎng)絡進行電子交易。3〕按照交易對象分類：B2B，B2C，B2G，C2G，C2C1.1.2電子商務系統(tǒng)構成

2.電子商務的一般框架1.1.2電子商務系統(tǒng)構成

3.電子商務系統(tǒng)的根本組成1.1.2電子商務系統(tǒng)構成

4.電子商務系統(tǒng)的結構〔1〕客戶機/效勞器〔C/S〕結構：C/S結構通過將任務合理分配到Client端和Server端，降低了系統(tǒng)的通訊開銷，可以充分利用兩端硬件環(huán)境的優(yōu)勢?！?〕B/W/S三層結構：B/W/S〔browser/webserver/databaseserver〕三層結構〔3〕電子商務系統(tǒng)結構1.2電子商務平安概況電子商務平安概念與特點電子商務的風險與平安問題電子商務系統(tǒng)平安的構成電子商務平安概念與特點電子商務平安保護在電子商務系統(tǒng)里的企業(yè)或個人資產(chǎn)〔物理化的和電子化的〕不受未經(jīng)授權的訪問、使用、竄改或破壞。繼續(xù)電子商務平安概念與特點對電子商務平安的認識應注意以下幾個特點：1.平安不僅僅是平安管理部門的事情2.電子商務平安具有全面性、普遍性3.平安是一個系統(tǒng)概念4.平安是相對的、開展變化的5.平安是有代價的繼續(xù)電子商務平安概念與特點電子商務平安的特征1.保密性〔Confidentiality〕2.完整性〔Integrity〕3.可用性〔Availability〕繼續(xù)電子商務的風險與平安問題1.電子商務的風險要想有效管理電子商務風險，一個企業(yè)開展電子商務需要考慮風險的三個主要領域：危害性不確定性機遇電子商務的風險與平安問題〔1〕危害性傳統(tǒng)的風險管理趨于將注意力集中于危害性，也就是潛在的消極事件。在電子商務領域中，需要考慮的主要危險包括：1)平安性。2)法律和規(guī)那么問題。3)稅收。4)電子商務的彈性。返回電子商務的風險與平安問題〔2〕不確定性不確定性管理，涉及規(guī)劃、決策制定、實施和監(jiān)控，以保證日常操作能夠提供有效果的和有效率的預計結果。在電子商務領域，需要管理的主要不確定性包括：1〕消費者的信心。2〕與廣告商的關系。3〕改變流程。返回電子商務的風險與平安問題〔3〕機遇通過確定市場中的商機來利用風險可以獲得有效的競爭優(yōu)勢并增加收益。

在電子商務領域，需要考慮的商機包括：返回1)建立客戶忠誠度。2)優(yōu)化業(yè)務流程。3)創(chuàng)造新的產(chǎn)品和效勞。電子商務的風險與平安問題從電子商務的交易實施過程的角度來看，存在著諸如產(chǎn)品識別、質(zhì)量控制、網(wǎng)上支付、物流配送和信息傳遞，對以下的風險因素進行更詳細的分析：〔1〕產(chǎn)品識別風險〔2〕質(zhì)量控制風險〔3〕網(wǎng)上支付風險〔4〕物權轉移中的風險〔5〕信息傳遞風險繼續(xù)電子商務的風險與平安問題2.電子商務平安問題電子商務的平安問題主要涉及信息的平安問題、信用的平安問題、平安的管理問題以及電子商務平安的法律保障問題。繼續(xù)電子商務的風險與平安問題〔1〕信息平安問題1〕信息泄密2〕信息篡改3〕信息喪失4〕信息破壞繼續(xù)電子商務的風險與平安問題〔2〕信用平安問題1〕來自買方的信用平安問題2〕來自賣方的信用平安問題3〕買賣雙方的抵賴行為繼續(xù)電子商務的風險與平安問題〔3〕平安的管理問題嚴格管理是降低電子商務風險的重要保證。平安管理的目的，就是提供從事商務活動的可信的運行環(huán)境，需要有完善的管理制度和相關的技術支持。人員管理常常是電子商務平安管理上的最薄弱環(huán)節(jié)。此外，目前現(xiàn)有的信息系統(tǒng)絕大多數(shù)都缺少平安管理員，缺少信息系統(tǒng)平安管理的技術標準，缺少定期的平安測試與檢查，更缺少平安監(jiān)控。繼續(xù)電子商務的風險與平安問題〔4〕平安的法律保障問題電子商務的技術設計是先進的、超前的、具有強大的生命力，但同時也必須清楚地認識到，在目前的法律上是沒有現(xiàn)成的條文來保護電子商務交易中的交易方式的，在網(wǎng)上交易可能會承擔由于法律滯后而帶來的平安風險。繼續(xù)電子商務的風險與平安問題此外，電子商務給傳統(tǒng)稅收也造成了沖擊，各國之間的稅收平衡問題也突顯出來，會引發(fā)新的稅收風險。繼續(xù)電子商務系統(tǒng)平安的構成電子商務系統(tǒng)，從某種意義上說，就是一種建立在網(wǎng)絡環(huán)境里的計算機信息系統(tǒng)。1.系統(tǒng)實體平安2.系統(tǒng)運行平安3.系統(tǒng)信息平安任務：試分析電子商務系統(tǒng)平安的構成。電子商務系統(tǒng)平安的構成1.系統(tǒng)實體平安實體平安，是指保護計算機設備、設施以及其他媒體免受自然災害和其他環(huán)境事故〔如電磁污染等〕破壞的措施、過程。繼續(xù)電子商務系統(tǒng)平安的構成系統(tǒng)實體平安的組成：〔1〕環(huán)境平安——就是要對電子商務系統(tǒng)所在的環(huán)境加以平安保護，主要包括災害保護和區(qū)域保護?！?〕設備平安——是指對電子商務系統(tǒng)的設備〔包括網(wǎng)絡〕進行平安保護，主要是設備防盜、設備防毀、防電磁信息泄漏、防線路截獲、抗電磁干擾以及電源保護?！?〕媒體平安——指對媒體數(shù)據(jù)和媒體本身實施平安保護。繼續(xù)電子商務系統(tǒng)平安的構成2.系統(tǒng)運行平安是指為保障系統(tǒng)功能的平安實現(xiàn)，提供一套平安措施來保護信息處理過程的平安。繼續(xù)電子商務系統(tǒng)平安的構成〔1〕風險分析，就是要對電子商務系統(tǒng)進行人工或自動的風險分析?！?〕審計跟蹤，就是要對電子商務系統(tǒng)進行人工或自動的審計跟蹤，保存審計記錄和維護詳盡的審計日志?！?〕備份與恢復，運行平安中的備份與恢復，就是要提供對系統(tǒng)設備和系統(tǒng)數(shù)據(jù)的備份與恢復?！?〕應急，運行平安中的應急措施，是為了在緊急事件或平安事故發(fā)生時，提供保障電子商務系統(tǒng)繼續(xù)運行或緊急恢復所需要的策略。繼續(xù)電子商務系統(tǒng)平安的構成3.信息平安是指防止信息財產(chǎn)被成心的或偶然的非授權泄漏、更改、破壞或使信息被非法的系統(tǒng)辨識、控制，信息平安要確保信息的完整性、保密性、可用性和可控性。信息平安由七個局部組成：〔1〕操作系統(tǒng)平安〔2〕數(shù)據(jù)庫平安〔3〕網(wǎng)絡平安〔4〕計算機病毒防護〔5〕訪問控制〔6〕加密〔7〕鑒別繼續(xù)〔1〕操作系統(tǒng)平安是指對計算機信息系統(tǒng)的硬件和軟件資源的有效控制，能夠為所管理的資源提供相應的平安保護。操作系統(tǒng)的平安由兩個局部組成：1〕平安操作系統(tǒng)：指從系統(tǒng)設計、實現(xiàn)和使用等各個階段都遵循了一套完整的平安策略的操作系統(tǒng)。2)操作系統(tǒng)平安部件：操作系統(tǒng)平安部件的目的是增強現(xiàn)有操作系統(tǒng)的平安性。繼續(xù)〔2〕數(shù)據(jù)庫平安——是對數(shù)據(jù)庫系統(tǒng)所管理的數(shù)據(jù)和資源提供平安保護。1)平安數(shù)據(jù)庫系統(tǒng)，是指從系統(tǒng)設計、實現(xiàn)、使用和管理等各個階段都遵循一套完整的系統(tǒng)平安策略的數(shù)據(jù)庫系統(tǒng)。2)數(shù)據(jù)庫系統(tǒng)平安部件，是以現(xiàn)有數(shù)據(jù)庫系統(tǒng)所提供的功能為根底構建平安模塊，旨在增強現(xiàn)有數(shù)據(jù)庫系統(tǒng)的平安性。繼續(xù)〔3〕網(wǎng)絡平安——是指提供訪問網(wǎng)絡平安資源或使用網(wǎng)絡效勞的平安保護。1)網(wǎng)絡平安管理，是指為網(wǎng)絡的使用提供平安管理。2)平安網(wǎng)絡系統(tǒng)，對網(wǎng)絡資源的訪問和網(wǎng)絡效勞的使用提供一套完整的平安保護，即從網(wǎng)絡系統(tǒng)的設計、實現(xiàn)、使用和管理各個階段，遵循一套完整的平安策略的網(wǎng)絡系統(tǒng)。3)網(wǎng)絡系統(tǒng)平安部件。繼續(xù)〔4〕計算機病毒防護1)單機系統(tǒng)病毒防護2)網(wǎng)絡系統(tǒng)病毒防護3)網(wǎng)絡系統(tǒng)平安部件〔5〕訪問控制1〕出入控制，是為了阻止非授權用戶進入機構或組織。2〕存取控制，是針對主體訪問客體時的存取控制，如通過對授權用戶存取系統(tǒng)敏感信息時進行平安性檢查，以實現(xiàn)對授權用戶的存取權限的控制。繼續(xù)〔6〕加密加密，是將明文數(shù)據(jù)進行某種變換，使其成為不可理解的形式的過程。加密必須依賴兩個要素：算法和密鑰?！?〕鑒別鑒別是指提供身份鑒別和信息鑒別。身份鑒別，是提供對信息收發(fā)方〔包括用戶，設備和進程〕真實身份的鑒別；信息鑒別，是提供對信息的正確性，完整性和不可否認性的鑒別。繼續(xù)1.3電子商務平安的保障1.3.1電子商務平安技術1.3.2電子商務平安國際標準1.3.3電子商務平安法律要素繼續(xù)電子商務平安技術繼續(xù)電子商務平安技術1.加密解密技術加密技術是信息平安技術中的一個重要的組成局部。加密就是用基于數(shù)學方法的程序和保密的密鑰對信息進行編碼，把計算機數(shù)據(jù)變成一堆雜亂無章難以理解的字符串，也就是把明文變成密文。2.數(shù)字簽名技術通過數(shù)字簽名技術可以確認當事人的身份，起到了簽名或蓋章的作用，簽字方不能夠抵賴。通過數(shù)字簽名技術也能夠幫助我們鑒別信息自簽發(fā)后到收到為止是否被篡改正。繼續(xù)電子商務平安技術3.數(shù)字時間戳由DTS效勞機構提供的電子商務平安效勞工程。專門用于證明信息的發(fā)送時間。4.驗證技術驗證是在遠程通信中獲得信任的手段，是平安效勞中最為根本的內(nèi)容，因為必須通過可靠的驗證來進行訪問控制，決定誰有權接受或修改信息，增強責任性以及實現(xiàn)不可否認效勞。驗證常用的三種根本方式是口令方式、標記方式、人體生物學特征方式。繼續(xù)電子商務平安技術5.數(shù)字證書技術

數(shù)字證書就是標志網(wǎng)絡用戶身份信息的一系列數(shù)據(jù)，用于證明某一主體〔如個人用戶、效勞器等〕的身份以及其公鑰的合法性的一種權威性的電子文檔。它由權威公正的第三方機構，即CA中心簽發(fā)，類似于現(xiàn)實生活中的身份證。繼續(xù)電子商務平安國際標準1.SSLSSL是通過在收發(fā)雙方建立平安通道來提高應用程序間交換數(shù)據(jù)的平安性，從而實現(xiàn)瀏覽器和效勞器〔通常是Web效勞器〕之間的平安通信。SSL是一種利用公共密鑰技術的工業(yè)標準，廣泛用于Internet。目前大多數(shù)瀏覽器都支持SSL，很多Web效勞器也支持SSL。繼續(xù)電子商務平安國際標準2.SETSET協(xié)議是信用卡在互聯(lián)網(wǎng)上進行支付的一種開放式標準，也是銀行卡平安支付的具體標準。目前已經(jīng)被廣為認可而成了事實上的國際通用的網(wǎng)上支付標準，其交易形態(tài)將成為未來電子商務的標準。SET的制定與推廣既為業(yè)務相互滲透的各家信用卡公司提供了統(tǒng)一的平安通信標準，也促進了信用卡在互聯(lián)網(wǎng)上作為支付工具的應用。繼續(xù)電子商務平安法律要素1.保障交易各方身份認證的法律電子交易的各方都需要擁有和證明自己的合法身份，通過設立在交易參與方之外的，第三方的公正機構〔CA中心〕可以達成這樣的目標，即取得由數(shù)字證書認證中心簽發(fā)的數(shù)字化的證書，在交易的各個環(huán)節(jié)，交易的各方都可以檢驗對方數(shù)字證書的有效性。繼續(xù)電子商務平安法律要素2.電子合同的法律地位電子商務活動中，電子合同的有效性、電子簽章和數(shù)字