《電子商務(wù)安全概述》

1.2電子商務(wù)平安概況1.2.1電子商務(wù)平安概念與特點(diǎn)1.2.2電子商務(wù)的風(fēng)險(xiǎn)與平安問題1.2.3電子商務(wù)系統(tǒng)平安的構(gòu)成來源：點(diǎn)點(diǎn)網(wǎng)diandian361.1.2.1電子商務(wù)平安概念與特點(diǎn)對(duì)電子商務(wù)平安的認(rèn)識(shí)應(yīng)注意以下幾個(gè)特點(diǎn)：1.平安不僅僅是平安管理部門的事情2.電子商務(wù)平安具有全面性、普遍性3.平安是一個(gè)系統(tǒng)概念4.平安是相對(duì)的、開展變化的5.平安是有代價(jià)的.1.2.1電子商務(wù)平安概念與特點(diǎn)電子商務(wù)平安必須具有如下三個(gè)特征：1.保密性〔Confidentiality〕2.完整性〔Integrity〕3.認(rèn)證性〔authenticity〕4.可控性〔accesscontrol〕5.不可否認(rèn)性〔non-repudiation〕

.1.2.2電子商務(wù)的風(fēng)險(xiǎn)與平安問題1.電子商務(wù)的風(fēng)險(xiǎn)要想有效管理電子商務(wù)風(fēng)險(xiǎn)，一個(gè)企業(yè)開展電子商務(wù)需要考慮風(fēng)險(xiǎn)的三個(gè)主要領(lǐng)域：危害性、不確定性和機(jī)遇。.1.2.2電子商務(wù)的風(fēng)險(xiǎn)與平安問題1.電子商務(wù)的風(fēng)險(xiǎn)〔1〕危害性傳統(tǒng)的風(fēng)險(xiǎn)管理趨于將注意力集中于危害性，也就是潛在的消極事件。在電子商務(wù)領(lǐng)域中，需要考慮的主要危險(xiǎn)包括：1)平安性。2)法律和規(guī)那么問題。3)稅收。4)電子商務(wù)的彈性。.1.2.2電子商務(wù)的風(fēng)險(xiǎn)與平安問題1.電子商務(wù)的風(fēng)險(xiǎn)〔2〕不確定性不確定性管理涉及規(guī)劃、決策制定、實(shí)施和監(jiān)控，以保證日常操作能夠提供有效果的和有效率的預(yù)計(jì)結(jié)果。在電子商務(wù)領(lǐng)域，需要管理的主要不確定性包括：1〕消費(fèi)者的信心。2〕與廣告商的關(guān)系。3〕改變流程。.1.2.2電子商務(wù)的風(fēng)險(xiǎn)與平安問題1.電子商務(wù)的風(fēng)險(xiǎn)〔3〕機(jī)遇通過確定市場(chǎng)中的商機(jī)來利用風(fēng)險(xiǎn)可以獲得有效的競(jìng)爭(zhēng)優(yōu)勢(shì)并增加收益。在電子商務(wù)領(lǐng)域，需要考慮的商機(jī)包括：1)建立客戶忠誠(chéng)度。2)優(yōu)化業(yè)務(wù)流程。3)創(chuàng)造新的產(chǎn)品和效勞。.1.2.2電子商務(wù)的風(fēng)險(xiǎn)與平安問題1.電子商務(wù)的風(fēng)險(xiǎn)從電子商務(wù)的交易實(shí)施過程的角度來看，存在著諸如產(chǎn)品識(shí)別、質(zhì)量控制、網(wǎng)上支付、物流配送和信息傳遞，對(duì)以下的風(fēng)險(xiǎn)因素進(jìn)行更詳細(xì)的分析：〔1〕產(chǎn)品識(shí)別風(fēng)險(xiǎn)〔2〕質(zhì)量控制風(fēng)險(xiǎn)〔3〕網(wǎng)上支付風(fēng)險(xiǎn)〔4〕物權(quán)轉(zhuǎn)移中的風(fēng)險(xiǎn)〔5〕信息傳遞風(fēng)險(xiǎn).1.2.2電子商務(wù)的風(fēng)險(xiǎn)與平安問題2.電子商務(wù)平安問題電子商務(wù)的平安問題主要涉及信息的平安問題、信用的平安問題、平安的管理問題以及電子商務(wù)平安的法律保障問題。.1.2.2電子商務(wù)的風(fēng)險(xiǎn)與平安問題2.電子商務(wù)平安問題〔1〕信息平安問題1〕信息泄密2〕信息篡改3〕信息喪失4〕信息破壞.1.2.2電子商務(wù)的風(fēng)險(xiǎn)與平安問題2.電子商務(wù)平安問題〔2〕信用平安問題1〕來自買方的信用平安問題2〕來自賣方的信用平安問題3〕買賣雙方的抵賴行為

.1.2.2電子商務(wù)的風(fēng)險(xiǎn)與平安問題2.電子商務(wù)平安問題〔3〕平安的管理問題嚴(yán)格管理是降低電子商務(wù)風(fēng)險(xiǎn)的重要保證，平安管理的目的其實(shí)就是提供從事商務(wù)活動(dòng)的可信的運(yùn)行環(huán)境，需要有完善的管理制度和相關(guān)的技術(shù)支持。

.1.2.2電子商務(wù)的風(fēng)險(xiǎn)與平安問題2.電子商務(wù)平安問題〔4〕平安的法律保障問題電子商務(wù)的技術(shù)設(shè)計(jì)是先進(jìn)的、超前的、具有強(qiáng)大的生命力，但同時(shí)也必須清楚地認(rèn)識(shí)到，在目前的法律上是沒有現(xiàn)成的條文來保護(hù)電子商務(wù)交易中的交易方式的，在網(wǎng)上交易可能會(huì)承擔(dān)由于法律滯后而帶來的平安風(fēng)險(xiǎn)。

.1.2.2電子商務(wù)的風(fēng)險(xiǎn)與平安問題2.電子商務(wù)平安問題電子商務(wù)給傳統(tǒng)稅收也造成了沖擊，各國(guó)之間的稅收平衡問題也突顯出來，會(huì)引發(fā)新的稅收風(fēng)險(xiǎn)。.1.2.3電子商務(wù)系統(tǒng)平安的構(gòu)成1.系統(tǒng)實(shí)體平安實(shí)體平安，是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施以及其他媒體免受自然災(zāi)害和其他環(huán)境事故〔如電磁污染等〕破壞的措施、過程。電子商務(wù)系統(tǒng)的實(shí)體平安由三個(gè)局部組成：環(huán)境平安、設(shè)備平安和媒體平安。.1.2.3電子商務(wù)系統(tǒng)平安的構(gòu)成1.系統(tǒng)實(shí)體平安〔1〕環(huán)境平安環(huán)境平安就是要對(duì)電子商務(wù)系統(tǒng)所在的環(huán)境加以平安保護(hù)，主要包括災(zāi)害保護(hù)和區(qū)域保護(hù)?！?〕設(shè)備平安設(shè)備平安是指對(duì)電子商務(wù)系統(tǒng)的設(shè)備〔包括網(wǎng)絡(luò)〕進(jìn)行平安保護(hù)，主要是設(shè)備防盜、設(shè)備防毀、防電磁信息泄漏、防線路截獲、抗電磁干擾以及電源保護(hù)?！?〕媒體平安實(shí)體平安中的媒體平安指對(duì)媒體數(shù)據(jù)和媒體本身實(shí)施平安保護(hù)。.1.2.3電子商務(wù)系統(tǒng)平安的構(gòu)成2.系統(tǒng)運(yùn)行平安電子商務(wù)系統(tǒng)平安的第二個(gè)局部是運(yùn)行平安，運(yùn)行平安是指為保障系統(tǒng)功能的平安實(shí)現(xiàn)，提供一套平安措施來保護(hù)信息處理過程的平安。電子商務(wù)系統(tǒng)的運(yùn)行平安涉及到四個(gè)方面：風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)和應(yīng)急措施。.1.2.3電子商務(wù)系統(tǒng)平安的構(gòu)成2.系統(tǒng)運(yùn)行平安〔1〕風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析就是要對(duì)電子商務(wù)系統(tǒng)進(jìn)行人工或自動(dòng)的風(fēng)險(xiǎn)分析?！?〕審計(jì)跟蹤審計(jì)跟蹤就是要對(duì)電子商務(wù)系統(tǒng)進(jìn)行人工或自動(dòng)的審計(jì)跟蹤，保存審計(jì)記錄和維護(hù)詳盡的審計(jì)日志。〔3〕備份與恢復(fù)運(yùn)行平安中的備份與恢復(fù)，就是要提供對(duì)系統(tǒng)設(shè)備和系統(tǒng)數(shù)據(jù)的備份與恢復(fù)?！?〕應(yīng)急運(yùn)行平安中的應(yīng)急措施，是為了在緊急事件或平安事故發(fā)生時(shí)，提供保障電子商務(wù)系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)所需要的策略。.1.2.3電子商務(wù)系統(tǒng)平安的構(gòu)成3.信息平安信息平安是指防止信息財(cái)產(chǎn)被成心的或偶然的非授權(quán)泄漏、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)、控制，信息平安要確保信息的完整性、保密性、可用性和可控性。信息平安由七個(gè)局部組成：.1.2.3電子商務(wù)系統(tǒng)平安的構(gòu)成3.信息平安〔1〕操作系統(tǒng)平安1)平安操作系統(tǒng)：指從系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)和使用等各個(gè)階段都遵循了一套完整的平安策略的操作系統(tǒng)。2)操作系統(tǒng)平安部件：操作系統(tǒng)平安部件的目的是增強(qiáng)現(xiàn)有操作系統(tǒng)的平安性。.1.2.3電子商務(wù)系統(tǒng)平安的構(gòu)成3.信息平安〔2〕數(shù)據(jù)庫(kù)平安1)平安數(shù)據(jù)庫(kù)系統(tǒng)，是指從系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)、使用和管理等各個(gè)階段都遵循一套完整的系統(tǒng)平安策略的數(shù)據(jù)庫(kù)系統(tǒng)。2)數(shù)據(jù)庫(kù)系統(tǒng)平安部件，是以現(xiàn)有數(shù)據(jù)庫(kù)系統(tǒng)所提供的功能為根底構(gòu)建平安模塊，旨在增強(qiáng)現(xiàn)有數(shù)據(jù)庫(kù)系統(tǒng)的平安性。.1.2.3電子商務(wù)系統(tǒng)平安的構(gòu)成3.信息平安〔3〕網(wǎng)絡(luò)平安1)網(wǎng)絡(luò)平安管理指為網(wǎng)絡(luò)的使用提供平安管理。2)平安網(wǎng)絡(luò)系統(tǒng)對(duì)網(wǎng)絡(luò)資源的訪問和網(wǎng)絡(luò)效勞的使用提供一套完整的平安保護(hù)，即從網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)、實(shí)現(xiàn)、使用和管理各個(gè)階段，遵循一套完整的平安策略的網(wǎng)絡(luò)系統(tǒng)。3)網(wǎng)絡(luò)系統(tǒng)平安部件.1.2.3電子商務(wù)系統(tǒng)平安的構(gòu)成3.信息平安〔4〕計(jì)算機(jī)病毒防護(hù)1)單機(jī)系統(tǒng)病毒防護(hù)2)網(wǎng)絡(luò)系統(tǒng)病毒防護(hù)3)網(wǎng)絡(luò)系統(tǒng)平安部件〔5〕訪問控制1〕出入控制是為了阻止非授權(quán)用戶進(jìn)入機(jī)構(gòu)或組織。2〕存取控制是針對(duì)主體訪問客體時(shí)的存取控制，如通過對(duì)授權(quán)用戶存取系統(tǒng)敏感信息時(shí)進(jìn)行平安性檢查，以實(shí)現(xiàn)對(duì)授權(quán)用戶的存取權(quán)限的控制.1.2.3電子商務(wù)系統(tǒng)平安的構(gòu)成3.信息平安〔6〕加密加密是將明文數(shù)據(jù)進(jìn)行某種變換，使其成為不可理解的形式的過程。加密必須依賴兩個(gè)要素：算法和密鑰zzly001。〔7〕鑒別鑒別是指提供身份鑒別和信息鑒別。身份鑒別是提供對(duì)信息收發(fā)方〔包括用戶，設(shè)備和進(jìn)程〕真實(shí)身份的鑒別；信息鑒別是提供對(duì)信息的正確性，完整性和不可否認(rèn)性的鑒別。.1.3電子商務(wù)平安的保障1.3.1電子商務(wù)平安技術(shù)1.3.2電子商務(wù)平安國(guó)際標(biāo)準(zhǔn)1.3.3電子商務(wù)平安法律要素.1.3.1電子商務(wù)平安技術(shù).1.3.1電子商務(wù)平安技術(shù)1.加密解密技術(shù)加密技術(shù)是信息平安技術(shù)中的一個(gè)重要的組成局部加密就是用基于數(shù)學(xué)方法的程序和保密的密鑰對(duì)信息進(jìn)行編碼，把計(jì)算機(jī)數(shù)據(jù)變成一堆雜亂無章難以理解的字符串，也就是把明文變成密文。2.數(shù)字簽名技術(shù)通過數(shù)字簽名技術(shù)可以確認(rèn)當(dāng)事人的身份，起到了簽名或蓋章的作用，簽字方不能夠抵賴。以后我們還會(huì)學(xué)習(xí)到，通過數(shù)字簽名技術(shù)也能夠幫助我們鑒別信息自簽發(fā)后到收到為止是否被篡改正。.1.3.1電子商務(wù)平安技術(shù)3.數(shù)字時(shí)間戳4.驗(yàn)證技術(shù)驗(yàn)證是在遠(yuǎn)程通信中獲得信任的手段，是平安效勞中最為根本的內(nèi)容，因?yàn)楸仨毻ㄟ^可靠的驗(yàn)證來進(jìn)行訪問控制，決定誰有權(quán)接受或修改信息，增強(qiáng)責(zé)任性以及實(shí)現(xiàn)不可否認(rèn)效勞。驗(yàn)證常用的三種根本方式是口令方式、標(biāo)記方式、人體生物學(xué)特征方式。.1.3.1電子商務(wù)平安技術(shù)5.數(shù)字證書技術(shù)數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用于證明某一主體〔如個(gè)人用戶、效勞器等〕的身份以及其公鑰的合法性的一種權(quán)威性的電子文檔。它由權(quán)威公正的第三方機(jī)構(gòu)，即CA中心簽發(fā)，類似于現(xiàn)實(shí)生活中的身份證。.1.3.2電子商務(wù)平安國(guó)際標(biāo)準(zhǔn)1.SSLSSL是通過在收發(fā)雙方建立平安通道來提高應(yīng)用程序間交換數(shù)據(jù)的平安性，從而實(shí)現(xiàn)瀏覽器和效勞器〔通常是Web效勞器〕之間的平安通信。SSL是一種利用公共密鑰技術(shù)的工業(yè)標(biāo)準(zhǔn)，廣泛用于Internet。目前大多數(shù)瀏覽器都支持SSL，很多Web效勞器也支持SSL。.1.3.2電子商務(wù)平安國(guó)際標(biāo)準(zhǔn)2.SETSET協(xié)議是信用卡在互聯(lián)網(wǎng)上進(jìn)行支付的一種開放式標(biāo)準(zhǔn)，也是銀行卡平安支付的具體標(biāo)準(zhǔn)。目前已經(jīng)被廣為認(rèn)可而成了事實(shí)上的國(guó)際通用的網(wǎng)上支付標(biāo)準(zhǔn)，其交易形態(tài)將成為未來電子商務(wù)的標(biāo)準(zhǔn)。SET的制定與推廣既為業(yè)務(wù)相互滲透的各家信用卡公司提供了統(tǒng)一的平安通信標(biāo)準(zhǔn)，也促進(jìn)了信用卡在互聯(lián)網(wǎng)上作為支付工具的應(yīng)用。.1.3.3電子商務(wù)平安法律要素1.保障交易各方身份認(rèn)證的法律電子交易的各方都需要擁有和證明自己的合法身份，通過設(shè)立在交易參與方之外的，第三方的公正機(jī)構(gòu)〔CA中心〕可以達(dá)成這樣的目標(biāo)，即取得由數(shù)字證書認(rèn)證中心簽發(fā)的數(shù)字化的證書，在交易的各個(gè)環(huán)節(jié)，交易的各方都可以檢驗(yàn)對(duì)方數(shù)字證書的有效性。.1.3.3電子商務(wù)平安法律要素2.電子合同的法律地位電子商務(wù)活動(dòng)中，電子合同的有效性、電子簽章和數(shù)字簽名的有效性是各國(guó)共同關(guān)注的法律問題。需要制定有關(guān)法律對(duì)電子合同的法律效力、數(shù)字簽名、電子商務(wù)憑證的合法性予以確認(rèn)；需要對(duì)電子商務(wù)憑證、電子支付數(shù)據(jù)的偽造、變更、涂銷做出相應(yīng)的法律規(guī)定。.1.