電子商務(wù)理論與實務(wù) 課件 第六章 電子商務(wù)安全與法律

第六章電子商務(wù)安全與法律2本章內(nèi)容電子商務(wù)安全1電子商務(wù)法律23第一節(jié)電子商務(wù)安全(一)電子商務(wù)的安全需求1.有效性2.機密性3.完整性4.可靠性和可用性5.不可抵賴性一、電子商務(wù)安全概述4第一節(jié)電子商務(wù)安全計算機病毒的攻擊。計算機病毒是帶有一段惡意指令的程序,會隱藏在系統(tǒng)中不斷感染內(nèi)存或硬盤上的程序,只要滿足病毒設(shè)計者預(yù)定的條件,病毒就會發(fā)作。黑客的惡意攻擊。黑客程序?qū)嶋H上也是人們編寫的程序,它能夠控制和操縱遠程計算機。(二)電子商務(wù)系統(tǒng)面臨的威脅5第一節(jié)電子商務(wù)安全(三)電子商務(wù)安全控制體系圖6—1電子商務(wù)安全控制體系結(jié)構(gòu)6第一節(jié)電子商務(wù)安全防火墻是在內(nèi)聯(lián)網(wǎng)與外聯(lián)網(wǎng)之間實施安全防范的系統(tǒng),可被認(rèn)為是一種訪問控制機制,用于確定哪些內(nèi)部服務(wù)允許外部訪問,以及哪些外部服務(wù)允許內(nèi)部訪問。實現(xiàn)防火墻技術(shù)的主要途徑有:數(shù)據(jù)包過濾、應(yīng)用網(wǎng)關(guān)和代理服務(wù)。二、防火墻技術(shù)圖6—2防火墻7第一節(jié)電子商務(wù)安全

包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過,依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯,檢查數(shù)據(jù)流中每個數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP/UDP端口與TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。(一)包過濾技術(shù)8第一節(jié)電子商務(wù)安全應(yīng)用網(wǎng)關(guān)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾,它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議(即數(shù)據(jù)過濾協(xié)議),能夠?qū)?shù)據(jù)包進行分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸入輸出的通信環(huán)境給予嚴(yán)格的控制,以防有價值的程序和數(shù)據(jù)被竊取。(二)應(yīng)用網(wǎng)關(guān)技術(shù)9第一節(jié)電子商務(wù)安全

代理服務(wù)技術(shù)作用于應(yīng)用系統(tǒng)層,用來提供對應(yīng)用系統(tǒng)層服務(wù)的控制。這種代理服務(wù)技術(shù)準(zhǔn)許網(wǎng)絡(luò)管理員允諾或拒絕特定的應(yīng)用程序或某個應(yīng)用程序的特定功能。(三)代理服務(wù)技術(shù)10第一節(jié)電子商務(wù)安全

加密技術(shù)是實現(xiàn)信息保密性的一種重要手段,目的是防止合法接收者之外的人獲取信息系統(tǒng)中的機密信息。加密算法有兩種基本形式:私鑰加密算法和公鑰加密算法。三、加密技術(shù)11第一節(jié)電子商務(wù)安全三、加密技術(shù)12第一節(jié)電子商務(wù)安全

(一)私鑰密碼體制1.私鑰密碼體制簡介所謂私鑰密碼體制,指的是在加解密的過程中,加密密鑰和解密密鑰相同,或可以從其中一個推出另一個,也就是在整個加解密過程中只有一個密鑰出現(xiàn),也稱對稱密碼體制。對稱密碼體制的算法簡單,系統(tǒng)開銷小,效率高,速度比公鑰加密技術(shù)快得多,適合加密大量的數(shù)據(jù),在實際加密應(yīng)用中廣泛使用。三、加密技術(shù)13第一節(jié)電子商務(wù)安全2.DES對于對稱加密,其常見加密標(biāo)準(zhǔn)為DES。DES算法原是IBM為保護產(chǎn)品的機密于1971—1972年成功研制的,后被美國國家標(biāo)準(zhǔn)局和國家安全局選為數(shù)據(jù)加密標(biāo)準(zhǔn),并于1977年頒布使用。國際標(biāo)準(zhǔn)化組織也已將DES作為數(shù)據(jù)加密標(biāo)準(zhǔn)。DES對64位二進制數(shù)據(jù)加密,產(chǎn)生64位密文數(shù)據(jù)。使用的密鑰為64位,實際密鑰長度為56位(有8位用于奇偶校驗)。解密時的過程和加密時相似,但密鑰的順序正好相反。三、加密技術(shù)14第一節(jié)電子商務(wù)安全(二)公鑰密碼體制1.公鑰密碼體制簡介公鑰密碼體制出現(xiàn)于1976年。它最主要的特點就是加密和解密使用不同的密鑰,每個用戶保存著一對密鑰:公開密鑰(publickey,PK)和私人密鑰(secretkey,SK),因此,這種體制又稱為雙鑰或非對稱密鑰密碼體制。三、加密技術(shù)15第一節(jié)電子商務(wù)安全

2.RSA算法在公開密鑰密碼體制中,最有名的一種是RSA體制。它已被ISO/TC97的數(shù)據(jù)加密技術(shù)分委員會SC20推薦為公開密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。RSA公鑰加密算法是1977年由羅恩·里夫斯特(RonRivest)、阿迪·沙米爾奇(AdiShamirh)和萊恩·阿德曼(LenAdleman)在美國麻省理工學(xué)院開發(fā)的。三、加密技術(shù)16第一節(jié)電子商務(wù)安全

2.RSA算法其算法的原理如下:(1)隨機選擇兩個大素數(shù)p和q,p不等于q,為了獲得最大程度的安全性,兩數(shù)的長度一樣。計算n=pq。(2)選擇一個大于1小于n的自然數(shù)e,e必須與(p-1)×(q-1)互素。(3)用輾轉(zhuǎn)相除法(歐式算法)計算出d:d×emod((p-1)×(q-1))=1。(4)銷毀p和q。最終得到的n和e就是公鑰,d就是私鑰,發(fā)送方使用n去加密數(shù)據(jù),接收方只有使用d才能解開數(shù)據(jù)內(nèi)容。三、加密技術(shù)17第一節(jié)電子商務(wù)安全

在使用中將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來:發(fā)送方在發(fā)送數(shù)據(jù)時必須加上數(shù)字簽名,即用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名,然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。當(dāng)接收方收到這些密文后,接收方用自己的私鑰將密文解密,得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名,然后用發(fā)送方公布的公鑰對數(shù)字簽名進行解密,如果成功,則確定是由發(fā)送方發(fā)出的。數(shù)字簽名每次還與被傳送的數(shù)據(jù)和時間等因素有關(guān)。由于加密強度高,而且并不要求通信雙方事先要建立某種信任關(guān)系或共享某種秘密,因此十分適合互聯(lián)網(wǎng)上使用。三、加密技術(shù)18第一節(jié)電子商務(wù)安全SSL協(xié)議提供的安全連接具有以下三個基本特點:(1)連接是保密的,對于每個連接都有一個唯一的會話密鑰,采用對稱密碼體制(如DES等)來加密數(shù)據(jù)。(2)連接是可靠的,消息的傳輸采用信息驗證算法(如MD5,SHE等)進行完整性檢驗。(3)對端實體的鑒別采用非對稱密碼體制(如RSA等)進行認(rèn)證。四、安全套接層協(xié)議19第一節(jié)電子商務(wù)安全(二)SSL握手協(xié)議1.SSL握手協(xié)議的功能SSL握手協(xié)議用于在通信雙方建立安全傳輸通道,具體實現(xiàn)以下功能:(1)在客戶端驗證服務(wù)器,SSL協(xié)議采用公鑰方式進行身份認(rèn)證;(2)在服務(wù)器端驗證客戶;(3)客戶端和服務(wù)器之間協(xié)商雙方都支持的加密算法和壓縮算法(4)產(chǎn)生對稱加密算法的會話密鑰;(5)建立加密SSL連接。四、安全套接層協(xié)議20第一節(jié)電子商務(wù)安全2.握手過程圖6—4

SSL握手協(xié)議工作流程示意圖21第一節(jié)電子商務(wù)安全(三)SSL記錄協(xié)議

SSL記錄協(xié)議從高層接收到數(shù)據(jù)后要經(jīng)過分段、壓縮和加密處理,最后由傳輸層發(fā)送出去。在SSL協(xié)議中,所有的傳輸數(shù)據(jù)都被封裝在記錄中,SSL記錄協(xié)議規(guī)定了記錄頭和記錄數(shù)據(jù)的格式。四、安全套接層協(xié)議22第一節(jié)電子商務(wù)安全(一)安全電子交易協(xié)議的功能(1)保證信息的機密性,保證信息安全傳輸。(2)保證支付信息的完整性(3)認(rèn)證商家和客戶,驗證公共網(wǎng)絡(luò)上進行交易活動的商家、持卡人及交易活動的合法性。(4)有廣泛的互操作性,保證采用的通信協(xié)議、信息格式和標(biāo)準(zhǔn)具有普遍性五、安全電子交易協(xié)議23第一節(jié)電子商務(wù)安全(二)安全電子交易的應(yīng)用流程(1)持卡人在商家的Web主頁上查看在線商品目錄,瀏覽商品。(2)持卡人選擇要購買的商品。(3)持卡人填寫訂單,訂單通過信息流從商家傳過來。(4)持卡人選擇付款方式,此時SET開始介入。(5)持卡人發(fā)送給商家一個完整的訂單及要求付款的指令。五、安全電子交易協(xié)議24第一節(jié)電子商務(wù)安全(二)安全電子交易的應(yīng)用流程(6)商家接受訂單后,向持卡人的金融機構(gòu)請求支付認(rèn)可。(7)商家將訂單確認(rèn)信息發(fā)送給顧客。顧客端軟件可記錄交易日志,以備將來查詢。(8)商家給顧客裝運貨物,或完成訂購服務(wù)。(9)商家從持卡人的金融機構(gòu)請求支付。五、安全電子交易協(xié)議25第一節(jié)電子商務(wù)法律(一)電子商務(wù)法的內(nèi)涵電子商務(wù)法是指調(diào)整電子商務(wù)活動中所產(chǎn)生的社會關(guān)系的法律規(guī)范的總稱。電子商務(wù)法是一個新興的綜合法律領(lǐng)域,是調(diào)整以數(shù)據(jù)電文為交易手段而形成的商事關(guān)系的規(guī)范體系。一、電子商務(wù)法概述26第二節(jié)電子商務(wù)法律(二)電子商務(wù)法的特征1.國際性2.技術(shù)性3.安全性4.開放性5.協(xié)作性一、電子商務(wù)法概述27第二節(jié)電子商務(wù)法律全球的網(wǎng)絡(luò)與電子商務(wù)蓬勃發(fā)展、日新月異,多個國際組織、區(qū)域性組織和各國政府加快制定有關(guān)網(wǎng)絡(luò)和電子商務(wù)操作及運作的規(guī)范,努力為網(wǎng)絡(luò)和電子商務(wù)的健康、快速發(fā)展?fàn)I造一個良好的、完善的法律環(huán)境。二、國外的電子商務(wù)立法28第二節(jié)電子商務(wù)法律(一)我國電子商務(wù)立法的歷程我國先后出臺了《電信服務(wù)標(biāo)準(zhǔn)》、《電信管理條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理辦法》、《商用密碼管理條例》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》、《電信網(wǎng)碼號資源管理暫行辦法》、《軟件產(chǎn)品管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行辦法》、《信息產(chǎn)業(yè)部關(guān)于開放我國IP電話業(yè)務(wù)的通告》。三、國內(nèi)的電子商務(wù)立法29第二節(jié)電子商務(wù)法律(二)我國電子商務(wù)立法的進展(1)電子商務(wù)與互聯(lián)網(wǎng)的立法工作取得重大進展,相關(guān)法規(guī)與規(guī)章紛紛出臺,連同相關(guān)政策、地方法規(guī)及司法解釋在內(nèi),達數(shù)十種之多。這些法規(guī)涉及互聯(lián)網(wǎng)安全、保密、基礎(chǔ)設(shè)施建設(shè)、融資、廣告、經(jīng)營許可、新聞發(fā)布等諸多領(lǐng)域,初步形成了一個系統(tǒng),并基本做到了與國際接軌。三、國內(nèi)的電子商務(wù)立法30第二節(jié)電子商務(wù)法律(二)我國電子商務(wù)立法的進展(2)電子商務(wù)與互聯(lián)網(wǎng)的司法工作成果頗豐,隨著重大案例的裁判,一些基本原則得到了各級法院的普遍認(rèn)可,有的上升為司法解釋。三、國內(nèi)的電子商務(wù)立法31第二節(jié)電子商務(wù)法律(二)我國電子商務(wù)立法的進展(3)在對電子商務(wù)與互聯(lián)網(wǎng)的行政管理上,工商管理機關(guān)、版權(quán)部門等也都進行了一些探索。比如,許多省市工商行政管理局推出紅盾網(wǎng),既可以提供資信的初步證明,又是一種投訴渠道,同時還采取基本不設(shè)門檻與不告不理的做法,可以說,很好地結(jié)合了互聯(lián)網(wǎng)與電子商務(wù)的特點,比較切實可行。三、國內(nèi)的電子商務(wù)立法32第二節(jié)電子商務(wù)法律(二)我國電子商務(wù)立法的進展(4)2018年8月31日第十三屆全國人民代表大會常務(wù)委員會第五次會議通過,2019年1月1日正式實施的《中華人民共和國電子商務(wù)法》是我國第一部電子商務(wù)領(lǐng)域的系統(tǒng)性的法律?！吨腥A人民共和國電子商務(wù)法》包含七章共八十九條法律條文,對電子商務(wù)消費者權(quán)益、電子商務(wù)經(jīng)營者做了詳細界定,對電子商務(wù)活動中的爭端問題明確了解決辦法,對凈化和規(guī)范國內(nèi)電子商務(wù)市場起到了良好的作用。三、國內(nèi)的電子商務(wù)立法33第二節(jié)電子商務(wù)法律(一)電子簽名案例1.電子簽名第一案案情摘要2004年1月,楊先生結(jié)識了女孩韓某。同年8月27日,韓某發(fā)短信給楊先生,向他借錢應(yīng)急,短信中說:“我需要5000元,剛回北京做了眼睛手術(shù),不能出門,你匯到我卡里。”楊先生隨即將錢匯給了韓某。一個多星期后,楊先生再次收到韓某的短信,又借給韓某6000元。因都是短信來往,兩次匯款楊先生都沒有索要借據(jù)。四、國內(nèi)的電子商務(wù)相關(guān)法律案例34第二節(jié)電子商務(wù)法律(一)電子簽名案例1.電子簽名第一案案情摘要此后,因韓某一直沒提還款的事,而且又向楊先生借款,楊先生有所警惕,于是向韓某催要。但一直索要未果,于是起訴至海淀法院,要求韓某歸還其11000元錢,并提交了銀行匯款憑條兩張,韓某卻稱這是楊先生歸還以前欠她的款項。四、國內(nèi)的電子商務(wù)相關(guān)法律案例35第二節(jié)電子商務(wù)法律(一)電子簽名案例1.電子簽名第一案案情摘要為此,在庭審中,楊先生在向法院提交證據(jù)時,除了提供銀行匯款憑條兩張外,還提交了自己使用的號碼為“1391166××××”的飛利浦移動電話一部,其中記載了部分短信息內(nèi)容。如:2004年8月27日15:05,“那就借點資金援助吧?！?004年8月27日15:13,“你怎么這么實在!我需要五千,這個數(shù)不大也不小,另外我昨天剛回北京做了個眼睛手術(shù),現(xiàn)在根本出不了門,見人都沒法見,你要是資助就得匯到我卡里!”等韓某發(fā)來的18條短信.四、國內(nèi)的電子商務(wù)相關(guān)法律案例36第二節(jié)電子商務(wù)法律(一)電子簽名案例1.電子簽名第一案案情摘要后經(jīng)法官核實,楊先生提供的發(fā)送短信的手機號碼撥打后接聽者是韓某本人。而韓某本人也承認(rèn),自己從2003年七八月份開始使用這個手機號碼。四、國內(nèi)的電子商務(wù)相關(guān)法律案例37(一)電子簽名案例2.法庭審理及法律依據(jù)法院經(jīng)審理認(rèn)為,依據(jù)《最高人民法院關(guān)于民事訴訟證據(jù)的若干規(guī)定》中關(guān)于承認(rèn)的相關(guān)規(guī)定,對于“1391173××××”的移動電話號碼是否由韓女士使用,韓女士在第一次庭審中明確表示承認(rèn),在第二次法庭辯論終結(jié)前韓女士委托代理人撤回承認(rèn),但其變更意思表示未經(jīng)楊先生同意,亦未有充分證據(jù)證明其承認(rèn)行為是在受脅迫或者重大誤解情況下做出的,原告楊先生對該手機號碼是否為被告所使用不再承擔(dān)舉證責(zé)任,而應(yīng)由被告對該手機其沒有使用過承擔(dān)舉證責(zé)任,被告未能提供相關(guān)證據(jù),故法院確認(rèn)該號碼系韓女士使用。38第二節(jié)電子商務(wù)法律(一)電子簽名案例經(jīng)法院對楊先生提供的移動電話短信息生成、儲存、傳遞數(shù)據(jù)電文方法的可靠性,保持內(nèi)容完整性方法的可靠性,用以鑒別發(fā)件人方法的可靠性進行審查,可以認(rèn)定該移動電話短信息內(nèi)容作為證據(jù)的真實性。根據(jù)證據(jù)規(guī)則的相關(guān)規(guī)定,錄音錄像及數(shù)據(jù)電文可以作為證據(jù)使用,但數(shù)據(jù)電文可以直接作為認(rèn)定事實的證據(jù),還應(yīng)有其他書面證據(jù)相佐證。四、國內(nèi)的電子商務(wù)相關(guān)法律案例39第二節(jié)電子商務(wù)法律(二)網(wǎng)絡(luò)合同糾紛案例1.基本案情2014年4月8日,小米科技有限責(zé)任公司(以下簡稱小米公司)在其官方網(wǎng)站上發(fā)布的廣告顯示:10400mAh移動電源,“米粉節(jié)”特價49元。當(dāng)日,王某在該網(wǎng)站上訂購了以下兩款移動電源:小米金屬移動電源10400mAh銀色69元,小米移動電源5200mAh銀色39元。王某提交訂單后,于當(dāng)日通過支付寶向小米公司付款108元。同月12日,王某收到上述兩個移動電源及配套的數(shù)據(jù)線。四、國內(nèi)的電子商務(wù)相關(guān)法律案例40第二節(jié)電子商務(wù)法律(二)網(wǎng)絡(luò)合同糾紛案例1.基本案情同月17日,王某發(fā)現(xiàn)使用5200mAh移動電源的原配數(shù)據(jù)線不能給手機充滿電,故與小米公司的客服聯(lián)系,要求調(diào)換數(shù)據(jù)線。小米公司同意調(diào)換并已收到該數(shù)據(jù)線。此后,王某以小米公司對其實施價格欺詐為由,向北京市海淀區(qū)人民法院起訴,請求撤銷網(wǎng)絡(luò)購物合同,王某退還小米公司兩個涉案移動電源,并請求小米公司:(1)賠償500元;(2)退還購貨價款108元;(3)支付快遞費15元;(4)賠償交通費、打印費、復(fù)印費100元。四、國內(nèi)的電子商務(wù)相關(guān)法律案例41第二節(jié)電子商務(wù)法律(二)網(wǎng)絡(luò)合同糾紛案例2.法庭審理及法律依據(jù)一審法院認(rèn)為,涉案網(wǎng)絡(luò)購物合同有效,小米公司的行為不構(gòu)成欺詐,王某的訴訟請求證據(jù)不足,故判決駁回其訴訟請求。王某不服,向北京市第一中級人民法院提起上訴稱,小米公司提前一周打出原價69元移動電源“米粉節(jié)”賣49元的廣告,欺騙消費者排隊搶購,銷售當(dāng)天廣告還在,但商品卻賣69元,小米公司設(shè)定了定時搶購,搶購時間不到20分鐘,其行為已構(gòu)成價格欺詐。四、國內(nèi)的電子商務(wù)相關(guān)法律案例42第二節(jié)電子商務(wù)法律(二)網(wǎng)絡(luò)合同糾紛案例2.法庭審理及法律依據(jù)二審法院認(rèn)為,涉案網(wǎng)購合同有效,消費者擁有公平交易權(quán)和商品知情權(quán)。王某由于認(rèn)同小米公司廣告價格49元,故在“米粉節(jié)”當(dāng)日做出搶購的意思表示,其真實意思表示的價格應(yīng)為49元,但從小米網(wǎng)站訂單詳情可以看出,王某于2014年4月8日14時30分下單,訂單中10400mAh移動電源的價格卻為69元而非49元。小米公司現(xiàn)認(rèn)可小米商城活動界面顯示錯誤,存在廣告價格與實際結(jié)算價格不一致之情形,但其解釋為電腦后臺系統(tǒng)出現(xiàn)錯誤。四、國內(nèi)的電子商務(wù)相關(guān)法律案例43第二節(jié)電子商務(wù)法律(二)網(wǎng)絡(luò)合同糾紛案例2.法庭審