電子商務(wù)安全

1、第6章 電子商務(wù)安全,第1節(jié) 計(jì)算機(jī)與網(wǎng)絡(luò)安全,第2節(jié) 電子商務(wù)安全管理制度,第3節(jié) 計(jì)算機(jī)病毒,1.1.1 計(jì)算機(jī)安全問(wèn)題主要 涉及的領(lǐng)域,計(jì)算機(jī)安全在工作上涉及的領(lǐng)域和它在技術(shù)上涉及的領(lǐng)域是不同的。傳統(tǒng)認(rèn)為，在工作上它所涉及的領(lǐng)域可分為三類：,1.1.2 計(jì)算機(jī)安全控制的技術(shù)手段,實(shí)體的安全技術(shù)：電源防護(hù)技術(shù)；防盜技術(shù)；環(huán)境保護(hù)；電磁兼容性。 存取控制技術(shù)：可以分為身份認(rèn)證、存取權(quán)限控制、數(shù)據(jù)庫(kù)保護(hù)等幾個(gè)層次。 病毒防治技術(shù)：從預(yù)防和清除兩個(gè)方面著手。 防火墻技術(shù)：防火墻應(yīng)具有以下五大基本功能： 數(shù)據(jù)加密技術(shù)。, 過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包； 管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為； 封堵某些禁止的訪問(wèn)行為；

2、記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)； 對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。,1.1.3 計(jì)算機(jī)控制制度,計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度 計(jì)算機(jī)機(jī)房安全管理制度 計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)備案制度 計(jì)算機(jī)信息媒體進(jìn)出境申報(bào)制度 計(jì)算機(jī)信息系統(tǒng)使用單位安全負(fù)責(zé)制度 計(jì)算機(jī)案件強(qiáng)行報(bào)告制度 計(jì)算機(jī)病毒及其有害數(shù)據(jù)的專管制度 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證制度,1.1.4 用于防范計(jì)算機(jī)犯罪的法律手段, 違反國(guó)家規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖 端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)； 對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、 干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行； 對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或傳輸?shù)臄?shù)據(jù) 和應(yīng)用程序

3、進(jìn)行刪除、修改、增加的操作； 故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影 響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行； 利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用 公款、竊取國(guó)家秘密或其他犯罪行為等。,我國(guó)的新刑法確定了計(jì)算機(jī)犯罪的五種主要形式：,1.1.5 計(jì)算機(jī)安全術(shù)語(yǔ),漏洞,威脅,威脅代理,攻擊,對(duì)策,1.2.1 對(duì)本地文件進(jìn)行加密和解密,Office文件格式加密 壓縮軟件加密 Windows 2000/XP的加密,Word和Excel文件加密 Access文件加密,WinZip加密 WinRAR加密,1.2.2 對(duì)郵件進(jìn)行加密和解密,端到端的安全電子郵件技術(shù) ：目前比較流行的電子郵件加密軟件是PGP（Pret

4、ty Good Privacy）和S/MIME（Secure Multi-Part Intermail Mail Extension）。 傳輸層的安全電子郵件技術(shù) ：一種是利用SSL SMTP和SSL POP ；另一種是利用VPN或者其他的IP通道技術(shù)，將所有的TCP/IP傳輸封裝起來(lái) 。,1.2.3 郵件服務(wù)器的安全和可靠性,網(wǎng)絡(luò)入侵（Network Intrusion）。其防范主要依賴于軟件編程時(shí)的嚴(yán)謹(jǐn)程度，一般選型時(shí)很難從外部衡量。 服務(wù)破壞（Denial of Service）。其防范可以從以下4個(gè)方面進(jìn)行：,防止來(lái)自外部網(wǎng)絡(luò)的攻擊； 防止來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊； 防止中繼攻擊； 為了靈活

5、地制定規(guī)則以實(shí)現(xiàn)上述的防范措施， 郵件服務(wù)器應(yīng)有專門的編程接口。,1.3.1 數(shù)字簽名,數(shù)字簽名和書面簽名有相同之處，采用數(shù)字簽名，能確認(rèn)以下2點(diǎn)：,信息從簽發(fā)后到收到為止未曾做過(guò)任何修改。,信息是由簽名者發(fā)送的；,1.3.2 制定安全管理制度,電子商務(wù)安全需求主要有：交易實(shí)體身份真實(shí)性的需求；信息保密性的需求；信息完整性的需求；交易信息認(rèn)可的需求；訪問(wèn)控制的需求；信息的有效性需求。 電子商務(wù)安全隱患主要體現(xiàn)在以下幾個(gè)方面：,互聯(lián)網(wǎng)問(wèn)題； 操作系統(tǒng)的安全問(wèn)題； 應(yīng)用軟件的安全問(wèn)題； 通信傳輸協(xié)議的安全問(wèn)題； 網(wǎng)絡(luò)管理安全問(wèn)題。,1.3.3 安全電子商務(wù)結(jié)構(gòu),SSL（Secure Sockets

6、 Layer，安全套接層）協(xié)議和SET（Secure Electronic Transaction，安全電子交易）協(xié)議是安全交易體系中具有代表性的兩種交易規(guī)范。,1.4 網(wǎng)絡(luò)安全知識(shí),網(wǎng)絡(luò)安全涉及的領(lǐng)域大致可以分為3個(gè)領(lǐng)域：,（1）社會(huì)經(jīng)濟(jì)領(lǐng)域,（2）技術(shù)領(lǐng)域,（3）電子商務(wù)領(lǐng)域,2.2 網(wǎng)絡(luò)安全管理的一系列行政法規(guī),2.1 網(wǎng)絡(luò)安全的法律保障,2.1.1 利用新刑法打擊網(wǎng)絡(luò)犯罪,1997年10月1日施行的新刑法增加了計(jì)算機(jī)犯罪的新內(nèi)容，并將計(jì)算機(jī)犯罪分為兩大類五種類型： 非法侵入計(jì)算機(jī)信息系統(tǒng)罪； 破壞計(jì)算機(jī)信息系統(tǒng)功能罪； 破壞計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、應(yīng)用程序罪； 制作、傳播計(jì)算機(jī)破壞程序罪；

7、 以計(jì)算機(jī)為犯罪工具實(shí)施其他犯罪，如利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家機(jī)密、經(jīng)濟(jì)情報(bào)或商業(yè)秘密等。 以上這些規(guī)定，對(duì)于網(wǎng)絡(luò)犯罪同樣適用。,2.1.2不斷完善地方性網(wǎng)絡(luò)安全管理行政法規(guī),由于計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展速度極快， 而全國(guó)性的網(wǎng)絡(luò)安全法律的出 臺(tái)常常滯后，這就需要相應(yīng)的 地方性行政法規(guī)出臺(tái)，以彌補(bǔ) 全國(guó)性法律的時(shí)滯。,2.1.3 加大法制宣傳力度，提高全民族的網(wǎng)絡(luò)安全意識(shí),計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)在全社會(huì)普及，網(wǎng)絡(luò)安全 也日益關(guān)系到每一個(gè)人的切身利益。我們 必須從戰(zhàn)略高度認(rèn)識(shí)這一問(wèn)題，在各個(gè)應(yīng) 用領(lǐng)域、教育層次開展網(wǎng)絡(luò)安全教育，普 及網(wǎng)絡(luò)安全知識(shí)，宣傳網(wǎng)絡(luò)安全法律法規(guī)， 使人們的安全意

8、識(shí)跟上計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā) 展的步伐。,2.2.1加強(qiáng)因特網(wǎng)出入信道的管理,中華人民共和國(guó)計(jì)算機(jī)網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定規(guī)定，我國(guó)境內(nèi)的計(jì)算機(jī)互聯(lián)網(wǎng)必須使用國(guó)家公用電信網(wǎng)提供的國(guó)際出入信道進(jìn)行國(guó)際聯(lián)網(wǎng)。任何單位和個(gè)人不得自行建立或者使用其他信道進(jìn)行國(guó)際聯(lián)網(wǎng)。除國(guó)際出入口局作為國(guó)家總關(guān)口外，原郵電部還將中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng)劃分為全國(guó)骨干網(wǎng)和各省、市、自治區(qū)接入網(wǎng)進(jìn)行分層管理，以便對(duì)入網(wǎng)信息進(jìn)行有效的過(guò)濾、隔離和監(jiān)測(cè)。,2.2.2 市場(chǎng)準(zhǔn)入制度,中華人民共和國(guó)計(jì)算機(jī)網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定規(guī)定了從事因特網(wǎng)經(jīng)營(yíng)活動(dòng)和從事非經(jīng)營(yíng)活動(dòng)的接入單位必須具備的條件： 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例規(guī)定，

9、進(jìn)行國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)，由計(jì)算機(jī)信息系統(tǒng)的使用單位報(bào)省級(jí)以上的人民政府公安機(jī)關(guān)備案。,是依法設(shè)立的企業(yè)法人或者事業(yè)單位。 具備相應(yīng)的計(jì)算機(jī)信息網(wǎng)絡(luò)、裝備以及相應(yīng)的 技術(shù)人員和管理人員。 具備健全的安全保密管理制度和技術(shù)保護(hù)措施。 符合法律和國(guó)務(wù)院規(guī)定的其他條件。,2.2.3 安全責(zé)任,中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定第13條規(guī)定，從事因特網(wǎng)業(yè)務(wù)的單位和個(gè)人，應(yīng)當(dāng)遵守國(guó)家有關(guān)法律、行政法規(guī)，嚴(yán)格執(zhí)行安全保密制度，不得利用因特網(wǎng)從事危害國(guó)家安全、泄露國(guó)家秘密等違法犯罪活動(dòng)，不得制作、查閱、復(fù)制和傳播妨礙社會(huì)治安的信息和淫穢色情等信息。,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行管理部門必須設(shè)有安全組

10、織 或安全負(fù)責(zé)人 。,每個(gè)工作站和每個(gè)終端都要建立健全網(wǎng)絡(luò)操作的 各項(xiàng)制度 。,網(wǎng)絡(luò)用戶也應(yīng)提高安全意識(shí) 。,3.1 如何判斷計(jì)算機(jī)感染了病毒,3.2 計(jì)算機(jī)病毒,3.1 如何判斷計(jì)算機(jī)感染了病毒,文件的大小和日期是否變化; 系統(tǒng)啟動(dòng)速度是否比平時(shí)慢; 沒(méi)做寫操作時(shí)出現(xiàn)磁盤有寫保護(hù)信息; 對(duì)貼有寫保護(hù)的軟盤操作時(shí)音響很大; 系統(tǒng)運(yùn)行速度異常慢; 鍵盤、打印、顯示有異?，F(xiàn)象; 有特殊文件自動(dòng)生成; 磁盤空間自動(dòng)產(chǎn)生壞簇或磁盤空間減少; 文件莫名其妙有丟失; 系統(tǒng)異常死機(jī)的次數(shù)增加。 COMMAND.COM文件被修改。 AUTOEXEC.BAT、CONFIG.SYS被修改。 程序裝入時(shí)間比平常長(zhǎng)，訪問(wèn)磁盤時(shí)間比平常長(zhǎng)。 用戶并沒(méi)有訪問(wèn)的設(shè)備出現(xiàn)“忙”信號(hào)。 出現(xiàn)莫名其妙的隱藏文件。,3.2.1 計(jì)算機(jī)病毒的分類,按其表現(xiàn)性質(zhì)可分為良性的和惡性的。 按激活的時(shí)間可分為定時(shí)的和隨機(jī)的。 按其入侵方式可分為：操作系統(tǒng)型病毒；源碼病毒；外殼病毒；入侵病毒。 按其是否有傳染性可分為不可傳染性和傳染性病毒。 按傳染方式可分磁盤引導(dǎo)區(qū)傳染的計(jì)算機(jī)病毒，操作系統(tǒng)傳染的計(jì)算機(jī)病毒和一般應(yīng)用程序傳染的計(jì)算機(jī)病毒。 根據(jù)病毒存在的媒體可分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。 根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒。 根據(jù)病毒破壞的能力可分為：