電子商務(wù)安全技術(shù)實(shí)用教程 課件第10章 電子商務(wù)安全管理

第十章電子商務(wù)安全管理10.1信息安全體系與安全模型10.2電子商務(wù)風(fēng)險(xiǎn)管理與安全評(píng)估10.3電子商務(wù)法律法規(guī)10.4電子商務(wù)信用體系10.1信息安全體系與安全模型9.1.1信息安全體系1.OSI安全體系結(jié)構(gòu)國(guó)際標(biāo)準(zhǔn)化組織ISO于1989年在原有網(wǎng)絡(luò)通信協(xié)議七層模型的基礎(chǔ)上擴(kuò)充了OSI參考模型，確立了信息安全體系結(jié)構(gòu)，國(guó)際標(biāo)準(zhǔn)ISO7498-2-1989《信息處理系統(tǒng)·開(kāi)放系統(tǒng)互連、基本模型第2部分安全體系結(jié)構(gòu)》，為開(kāi)放系統(tǒng)標(biāo)準(zhǔn)建立框架。OSI安全體系結(jié)構(gòu)包括五類安全服務(wù)以及八類安全機(jī)制。表10-1ISO7498-2的安全服務(wù)與機(jī)制安全服務(wù)安全機(jī)制對(duì)等實(shí)體鑒別訪問(wèn)控制數(shù)據(jù)保密數(shù)據(jù)完整性抗抵賴加密√

√√

數(shù)字簽名√√

√√訪問(wèn)控制

√

數(shù)據(jù)完整性

√√認(rèn)證交換√

業(yè)務(wù)流填充

√

路由控制

√

公證機(jī)制

√10.1.2網(wǎng)絡(luò)安全模型1．PPDR網(wǎng)絡(luò)安全模型PPDR是美國(guó)國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的動(dòng)態(tài)網(wǎng)絡(luò)安全體系的代表模型，也是動(dòng)態(tài)安全模型的雛形。PPDR的基本思想是：在整體安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具（如防火墻、身份認(rèn)證、加密等）的同時(shí)，利用檢測(cè)工具（如漏洞評(píng)估、入侵檢測(cè)等）了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過(guò)適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。9.1.2網(wǎng)絡(luò)安全模型2．PDRR網(wǎng)絡(luò)安全模型PDRR是美國(guó)國(guó)防部提出的安全模型，PDRR模型與前述的PPDR模型有很多相似之處。其中Protection（防護(hù)）和Detection（檢測(cè)）兩個(gè)環(huán)節(jié)的基本思想是相同的，PPDR模型中的Response（響應(yīng)）環(huán)節(jié)包含了緊急響應(yīng)和恢復(fù)處理兩部分，而在PDRR模型中Response（響應(yīng)）和Recovery（恢復(fù)）是分開(kāi)的，內(nèi)容也有所擴(kuò)展。10.1.3信息安全管理體系1.信息安全管理體系的概念信息安全管理體系ISMS（InformationSecurityManagementSystem），是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過(guò)程和資源的集合。

BS7799－2是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理體系范圍，制定信息安全方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制措施等一系列活動(dòng)來(lái)建立信息安全管理體系。圖10-3PDCA模型與信息安全管理體系過(guò)程10.2電子商務(wù)風(fēng)險(xiǎn)管理與安全評(píng)估10.2.1電子商務(wù)風(fēng)險(xiǎn)管理1.風(fēng)險(xiǎn)相關(guān)概念漏洞：是攻擊的可能的途徑。威脅：是一個(gè)可能破壞信息系統(tǒng)環(huán)境安全的動(dòng)作或事件。風(fēng)險(xiǎn)=威脅+漏洞2.風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估有時(shí)候也稱為風(fēng)險(xiǎn)分析，是組織使用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具，對(duì)信息和信息處理設(shè)施的威脅、影響和薄弱點(diǎn)及其發(fā)生的可能性的評(píng)估，也就是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程。風(fēng)險(xiǎn)計(jì)算：風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中，R表示風(fēng)險(xiǎn)計(jì)算函數(shù)；A,T,V分別表示資產(chǎn)、威脅和脆弱性；L表示安全事件發(fā)生的可能性；F表示安全事件發(fā)生后造成的損失；Ia表示資產(chǎn)重要程度；Va表示脆弱性的嚴(yán)重程度。3.風(fēng)險(xiǎn)管理的內(nèi)容與過(guò)程風(fēng)險(xiǎn)管理：指以可接受的費(fèi)用識(shí)別、控制、降低或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)管理通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)識(shí)別風(fēng)險(xiǎn)大小，通過(guò)制定信息安全方針，選擇適當(dāng)?shù)目刂颇繕?biāo)與控制方式使風(fēng)險(xiǎn)得到避免、轉(zhuǎn)移或降至一個(gè)可被接受的水平。風(fēng)險(xiǎn)管理的過(guò)程：風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理基于風(fēng)險(xiǎn)的決策10.2.2電子商務(wù)安全評(píng)估1．網(wǎng)絡(luò)安全評(píng)估（1）了解網(wǎng)絡(luò)的拓?fù)洌?）獲取公共訪問(wèn)機(jī)器的名字和IP地址（3）對(duì)全部可達(dá)主機(jī)做端口掃描的處理2．平臺(tái)安全評(píng)估（1）認(rèn)證基準(zhǔn)配置、操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)沒(méi)有變更（2）認(rèn)證管理員的口令3．應(yīng)用安全評(píng)估（1）編寫(xiě)質(zhì)量低的應(yīng)用程序（2）必須將黑客納入平臺(tái)安全評(píng)估中（3）黑客最通用的方法是安裝口令探測(cè)器以獲得口令進(jìn)行攻擊10.2.3信息安全等級(jí)標(biāo)準(zhǔn)1.美國(guó)可信計(jì)算系統(tǒng)評(píng)價(jià)準(zhǔn)則TCSEC1983年由美國(guó)國(guó)防部制定的5200.28安全標(biāo)準(zhǔn)即網(wǎng)絡(luò)安全橙皮書(shū)或桔皮書(shū)利用計(jì)算機(jī)安全級(jí)別評(píng)價(jià)計(jì)算機(jī)系統(tǒng)的安全性。目前比較流行的評(píng)估標(biāo)準(zhǔn)分為4個(gè)方面（類型）、7個(gè)安全等級(jí)表10-2TCSEC安全等級(jí)類別級(jí)別名稱主要特征DD低級(jí)保護(hù)沒(méi)有安全保護(hù)CC1自主安全保護(hù)自主存儲(chǔ)控制C2受控存儲(chǔ)控制單獨(dú)的可查性，安全標(biāo)識(shí)BB1標(biāo)識(shí)的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識(shí)B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證表10-3我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)等級(jí)名

稱描

述第一級(jí)用戶自我保護(hù)級(jí)安全保護(hù)機(jī)制可以使用戶具備安全保護(hù)的能力，保護(hù)用戶信息免受非法的讀寫(xiě)破壞。第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)除具備第一級(jí)所有的安全保護(hù)功能外，要求創(chuàng)建和維護(hù)訪問(wèn)的審計(jì)跟蹤記錄，使所有用戶對(duì)自身行為的合法性負(fù)責(zé)第三級(jí)安全標(biāo)記保護(hù)級(jí)除具備前一級(jí)所有的安全保護(hù)功能外，還要求以訪問(wèn)對(duì)象標(biāo)記的安全級(jí)別限制訪問(wèn)者的權(quán)限，實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制訪問(wèn)第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)除具備前一級(jí)所有的安全保護(hù)功能外，還將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對(duì)關(guān)鍵部分可直接控制訪問(wèn)者對(duì)訪問(wèn)對(duì)象的存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力第五級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)除具備前一級(jí)所有的安全保護(hù)功能外，還特別增設(shè)了訪問(wèn)驗(yàn)證功能，負(fù)責(zé)仲裁訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)10.3電子商務(wù)法律法規(guī)電子商務(wù)安全法律法規(guī)的主要內(nèi)容電子商務(wù)涉及的法律法規(guī)問(wèn)題非常廣泛，如合同法、稅法、知識(shí)產(chǎn)權(quán)法、銀行法、票據(jù)法、海關(guān)法、廣告法、消費(fèi)者權(quán)益保護(hù)法、刑法及工商行政法規(guī)等等。10.3.1電子商務(wù)網(wǎng)絡(luò)安全的法律法規(guī)1.計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可2.國(guó)際互聯(lián)網(wǎng)出入信道的管理制度3.市場(chǎng)準(zhǔn)入制度4.計(jì)算機(jī)病毒防治管理辦法5.網(wǎng)絡(luò)經(jīng)營(yíng)者的責(zé)任10.3.2電子商務(wù)信息安全的法律法規(guī)目前我國(guó)出臺(tái)的電子商務(wù)信息安全的相關(guān)法律規(guī)范有以下方面：（1）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)；（2）計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)的安全保護(hù)；（3）計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)保密管理制度；（4）電子公告服務(wù)的信息安全；（5）新聞業(yè)務(wù)的信息管理。10.3.3電子商務(wù)交易安全的法律法規(guī)（1）電子商務(wù)信息服務(wù)的授權(quán)管理制度（2）電子商務(wù)安全交易的投訴處理機(jī)制（3）電子商務(wù)交易安全的法律規(guī)范10.3.4我國(guó)電子商務(wù)法《中華人民共和國(guó)電子商務(wù)法》是政府調(diào)整企業(yè)和個(gè)人以數(shù)據(jù)電文為交易手段，通過(guò)信息網(wǎng)絡(luò)所產(chǎn)生的，因交易形式所引起的各種商事交易關(guān)系，以及與這種商事交易關(guān)系密切相關(guān)的社會(huì)關(guān)系、政府管理關(guān)系的法律規(guī)范的總稱。2013年12月27日，全國(guó)人民代表大會(huì)常務(wù)委員會(huì)正式啟動(dòng)了《中華人民共和國(guó)電子商務(wù)法》的立法進(jìn)程。2018年8月31日，第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第五次會(huì)議表決通過(guò)《中華人民共和國(guó)電子商務(wù)法》，自2019年1月1日起施行?！吨腥A人民共和國(guó)電子商務(wù)法》對(duì)電子商務(wù)經(jīng)營(yíng)者、電子商務(wù)合同的訂立與履行、電子商務(wù)爭(zhēng)議解決、電子商務(wù)促進(jìn)和法律責(zé)任這5個(gè)方面做了規(guī)定。明確規(guī)定了電子商務(wù)各方主體的合法權(quán)益，規(guī)范了電子商務(wù)行為，為網(wǎng)購(gòu)消費(fèi)者撐起了法律的“保護(hù)傘”，是電子商務(wù)領(lǐng)域的一部基礎(chǔ)性法律。電子商務(wù)法的10個(gè)特點(diǎn)：1．將微商、代購(gòu)、網(wǎng)絡(luò)直播納入范疇2．電子商務(wù)平臺(tái)不得刪除消費(fèi)者評(píng)價(jià)3．制約大數(shù)據(jù)殺熟4．禁止“默認(rèn)勾選”，應(yīng)顯著提示搭售5．押金退還不得設(shè)置不合理?xiàng)l件6．規(guī)范電子商務(wù)合同的訂立與履行中的難點(diǎn)問(wèn)題7．平臺(tái)不能強(qiáng)制商家“二選一”8．平臺(tái)經(jīng)營(yíng)者自營(yíng)應(yīng)顯著標(biāo)記9．強(qiáng)化經(jīng)營(yíng)者舉證責(zé)任10．平臺(tái)經(jīng)營(yíng)者未盡義務(wù)應(yīng)依法擔(dān)責(zé)10.4電子商務(wù)信用管理10.4.1社會(huì)信用體系1.社會(huì)信用體系的概念社會(huì)信用體系也稱國(guó)家信用管理體系或國(guó)家信用體系社會(huì)信用體系的建立和完善是社會(huì)市場(chǎng)經(jīng)濟(jì)不斷走向成熟的重要標(biāo)志之一社會(huì)信用體系是以相對(duì)完善的法律、法規(guī)體系為基礎(chǔ)，以建立和完善信用信息共享機(jī)制為核心，以信用服務(wù)市場(chǎng)的培育和形成為動(dòng)力，以信用服務(wù)行業(yè)主體競(jìng)爭(zhēng)力的不斷提高為支撐，以政府強(qiáng)有力的監(jiān)管體系作保障的國(guó)家社會(huì)治理機(jī)制圖10-4社會(huì)信用體系組成2.社會(huì)信用體系的結(jié)構(gòu)從縱向延伸的角度①信用管理行業(yè)②信用法律體系從橫向分割的角度①公共信用體系②企業(yè)信用體系③個(gè)人信用體系10.4.2電子商務(wù)信用體系的建設(shè)1.電子商務(wù)信用體系的概念電子商務(wù)信用體系是指在電子商務(wù)活動(dòng)過(guò)程中，用于收集、整理、查證參與電子商務(wù)活動(dòng)相關(guān)成員的信用狀況，以及由國(guó)家、地方或行業(yè)管理部門(mén)建立的監(jiān)督、管理與保障有關(guān)成員信用活動(dòng)規(guī)范發(fā)展的一系列機(jī)制與行為規(guī)范的總和。電子商務(wù)信用體系具有全球性、網(wǎng)絡(luò)性、動(dòng)態(tài)性的特點(diǎn)。2.電子商務(wù)信用體系的內(nèi)容（1）電子商務(wù)的基本規(guī)則和法律規(guī)范（2）信用交易的工具和手段（3）信用中介服務(wù)機(jī)構(gòu)（4）電子商務(wù)信用統(tǒng)計(jì)監(jiān)測(cè)體系（5）電子商務(wù)經(jīng)營(yíng)主體內(nèi)部信用管理制度10.4.2電子商務(wù)信用體系的建設(shè)3.我國(guó)電子商務(wù)信用體系模式（1）中介人模式（2）擔(dān)保人模式（3）委托授權(quán)經(jīng)營(yíng)模式（4）網(wǎng)站經(jīng)營(yíng)模式4.淘寶的信用評(píng)價(jià)圖10-9C2C電子商務(wù)信用評(píng)價(jià)模型4.淘寶的信用評(píng)價(jià)圖10-10淘寶網(wǎng)商用評(píng)價(jià)體系4.淘寶的信用評(píng)價(jià)淘寶會(huì)員在淘寶網(wǎng)中每使用支付寶成功交易一次，就可以對(duì)交易對(duì)象做一次信用評(píng)價(jià)。各項(xiàng)指標(biāo)打分分值為：1分（非常不滿意），2分（不滿意），3分（一般），4分（滿意），5分（非常滿意）。評(píng)價(jià)分為好評(píng)、中評(píng)、差評(píng)3類，每種評(píng)價(jià)對(duì)應(yīng)一個(gè)信用積分，具體為：好評(píng)加1分，中評(píng)不加分，差評(píng)扣1分。在交易中作為賣家的角色，其信用度分為15個(gè)級(jí)別，其評(píng)分越高，等級(jí)就越高。近幾年建立了芝麻信用、掌柜