电子商务安全与支付XXXX第章电子商务安全的管理保障

第3章

电子商务安全的管理保障

1学习目标

认识电子商务标准管理的意义，掌握电子商务标准管理的内容。了解计算机信息系统管理的内容。掌握网络服务管理和网络用户管理的内容。了解网络广告管理了解数字认证，掌握CFCA认证体系结构。2基本概念

电子商务标准计算机信息系统安全接入服务域名管理网上专用标示制度33.1电子商务标准管理

电子商务标准的作用标准是电子商务整体框架的重要组成部分电子商务相关标准为实现电子商务提供了统一平台电子商务标准是电子商务的基本安全屏障电子商务标准关系到国家的经济安全和经济利益4电子商务标准研究现状及发展趋势

国际上电子商务标准研究现状信息安全标准电子商务安全标准5国内电子商务标准研究现状

近年来，我国信息技术标准工作取得了丰硕的成果。但电子商务相关标准的制定工作相对薄弱。目前除了一些EDI标准及部分相关网络标准是从国际相应标准等同或等效转换而来外，我国还没有出台直接与电子商务的相关标准，包括国家标准、行业标准和地方标准。6电子商务标准的制定原则电子商电子商务标准体系是将电子商务建设中涉及的所有标准，按其内在联系形成的有序集合和科学整体，包括现有、应有和预计发展的所有电子商务涉及的标准与规定。电子商务标准体系的编制必须遵循以下的原则：7全面性系统性先进性。预见性。可扩充性。8电子商务标准的体系结构

考虑到与国际接轨的要求和我国电子商务发展的实际情况，我国电子商务标准体系可以从五个方面加以设计，即基础标准、安全标准、交易标准、服务标准和EDI标准。整个电子商务标准体系结构如图3-1所示。9图3‑1电子商务标准体系结构10

电子商务相关标准体系

基础标准计算机基础标准基础通讯标准网络标准其他基础标准

安全标准加密标准安全通信协议其他安全标准认证标准交易标准电子合同标准智能卡标准其他操作标准电子支付标准

服务标准资质标准物流标准服务质量标准

其他标准EDI标准单证标准其他标准报文标准3.2计算机机信息息系统统管理理计算机机信息息系统统安全全概述述计算机机信息息系统统，按按照《中华人人民共共和国国计算算机信信息系系统安安全保保护条条例》，是指指“由计算算机及及其相相关的的和配配套的的设备备、设设施（（含网网络））构成成的，，按照照一定定的应应用目目标和和规则则对信信息进进行采采集、、加工工、存存储、、传输输、检检索等等处理理的人人机系系统”。11计算机机系统统的出出现，，是人人类历历史上上相当当重要要的一一次信信息革革命。。它从从1946年诞生生至今今，经经历了了科学学计算算、过过程控控制、、数据据加工工、信信息处处理、、人工工智能能等应应用发发展过过程，，功能能逐步步完善善，现现已进进入大大规模模的网网络系系统普普及应应用阶阶段。。12在实际际应用用中的的计算算机信信息系系统中中，每每天都都面临临着这这样或或那样样的威威胁。。这些些威胁胁有可可能是是来自自外部部自然然环境境的影影响，，如自自然灾灾害、、机器器设备备的故故障等等因素素，也也可能能是由由于操操作使使用者者自身身失误误而产产生的的．尽尽管这这些都都是偶偶然的的事件件，但但其发发生却却是必必然的的。另另外，，还存存在着着少数数人进进行攻攻击的的威胁胁、计计算机机犯罪罪的威威胁，，计算算机病病毒的的威胁胁以及及信息息战的的威胁胁等方方面。。13计算机机信息息系统统安全全的内内容计算机机信息息系统统实体体安全全。计算机机信息息系统统运行行安全全。计算机机信息息系统统信息息安全全。计算机机信息息系统统人员员安全全。143.3网络服服务和和网络络用户户的管管理网络服服务业业是指指以经经营提提供网网络上上相关关应用用服务务的事事业，，如接接入服服务（（AccessService）、域域名（（DomainName）服务、网网络信息服服务、广告告服务、商商业联机服服务等。15网络服务管管理规范接入服务的的管理规范范根据国务院院批准的《信息产业部部职能配置置、内设机机构和人员员编制规定定》，由信息产产业部负责责对电信与与信息服务务市场进行行监管，实实行必要的的经营许可可制度，并并审批和发发放通信与与信息服务务的经营许许可证。依依据国务院院1997年5月20日第218号令发布的的《中华人民共共和国计算算机信息网网络国际联联网管理暂暂行规定》和原国务院院信息化工工作领导小小组印发的的《中华人民共共和国计算算机信息网网络国际联联网管理暂暂行规定实实施办法》有关规定，，决定自1998年11月1日起对从事事计算机信信息网络国国际联网业业务的经营营单位实行行经营许可可证制度。。16域名服务管管理规范申请域名注注册服务机机构资格的的，应具备备下列条件件：依法设立的的企业法人人或事业法法人；有与从事域域名注册活活动相适应应的资金和和专业人员员；有为用户提提供长期服服务的信誉誉和能力；；有健全的网网络与信息息安全保障障措施；有业务发展展计划及相相关技术方方案；信息产业部部规定的其其他条件。。17注册服务机机构在提供供注册服务务时应遵守守以下规定定：遵守国家主主管部门和和CNNIC的相关管理理规定；注册服务机机构不得代代表任何实实际或潜在在的域名持持有人；在域名申请请人申请域域名时，注注册服务机机构应当与与申请人签签订书面注注册协议(包括电子形形式)；注册服务机机构负责审审核域名注注册申请。。182）域名注册册规则域名注册管管理机构应应当根据本本办法制定定相应的域域名注册实实施细则，，报信息产产业部备案案后施行。。域名注册不不得含有以以下内容：：19反对宪法所所确定的基基本原则的的；危害国家安安全，泄露露国家秘密密，颠覆国国家政权，，破坏国家家统一的；；损害国家荣荣誉和利益益的；煽动民族仇仇恨、民族族歧视，破破坏民族团团结的；破坏国家宗宗教政策，，宣扬邪教教和封建迷迷信的；散布谣言，，扰乱社会会秩序，破破坏社会稳稳定的；散布淫秽、、色情、赌赌博、暴力力、凶杀、、恐怖或者者教唆犯罪罪的；侮辱或者诽诽谤他人，，侵害他人人合法权益益的；含有法律、、行政法规规禁止的其其他内容的的。20网络信息服服务管理规规范1）对经营类类互联网信信息服务的的管理规范范国务院新闻闻办公室、、信息产业业部2005年9月25日联合发布布《互联网新闻闻信息服务务管理规定定》，对从事互互联网信息息服务机构构的基本条条件以具体体内容作了了相关的规规定。从事互联网网新闻服务务机构设立立的基本条条件：21有健全的互互联网新闻闻信息服务务管理规章章制度；有5名以上在新新闻单位从从事新闻工工作3年以上的专专职新闻编编辑人员；；有必要的场场所、设备备和资金，，资金来源源应当合法法。22互联网新闻闻信息服务务单位登载载、发送的的新闻信息息或者提供供的时政类类电子公告告服务，不不得含有下下列内容：：违反宪法确确定的基本本原则的；；危害国家安安全，泄露露国家秘密密，颠覆国国家政权，，破坏国家家统一的；；损害国家荣荣誉和利益益的；煽动民族仇仇恨、民族族歧视，破破坏民族团团结的；破坏国家宗宗教政策，，宣扬邪教教和封建迷迷信的；23散布谣言，，扰乱社会会秩序，破破坏社会稳稳定的；散布淫秽、、色情、赌赌博、暴力力、恐怖或或者教唆犯犯罪的；侮辱或者诽诽谤他人，，侵害他人人合法权益益的；煽动非法集集会、结社社、游行、、示威、聚聚众扰乱社社会秩序的的；以非法民间间组织名义义活动的；；含有法律、、行政法规规禁止的其其他内容的的。24违反本规定定有下列行行为之一的的，由国务务院新闻办办公室或者者省、自治治区、直辖辖市人民政政府新闻办办公室依据据各自职权权责令改正正，给予警警告，可以以并处3万元以下的的罚款：未履行备案案义务的；；未履行报告告义务的；；未履行记录录、记录备备份保存或或者提供义义务的。252）对非经营营类互联网网信息服务务的管理规规范为了更好规规范互联网网信息服务务，信息产产业部于2005年1月28日审议并通通过了《非经营性互互联网信息息服务备案案管理办法法》，并于3月20日开始正式式施行。26网络用户法法律规范接入管理根据《中华人民共共和国计算算机信息网网络国际联联网管理暂暂行规定实实施办法》第十二条的的规定，用用户使用的的计算机或或者计算机机信息网络络必须通过过接入网络络进行国际际联网，不不得以其他他形式进行行国际联网网。根据该该办法的第第十三条，，用户向接接入单位申申请国际互互联时，应应当提供有有效身份证证明或者其其他证明文文件，并填填写用户登登记表。27使用管理根据《中华人民共共和国计算算机信息网网络国际联联网管理暂暂行规定》第十三条的的规定根据《中华人民共共和国计算算机信息网网络国际联联网管理暂暂行规定实实施办法》第十八条的的规定用户在有权权获得接入入单位提供供的各项服服务时；也也有义务交交纳费用遵守Internet的国际惯例例283.4网络广告管管理2013年全球因特特网上的广广告支出已已达到447亿美元。2013年中国网络络广告市场场规模为231.3亿元。由于于网络广告告涉及的受受众面很广广，造成的的影响面很很大，网络络广告管理理的任务非非常繁重。。29网络广告组组织的管理理在网上从事事广告业务务的主要是是一些大型型网络公司司、依托网网络公司的的广告企业业以及自建建网站的中中小广告公公司，他们们是网络广广告组织管管理的主要要对象。30网站广告经经营主体资资格的管制制从事广告制制作和发布布属于一种种特殊营业业行为，因因此，只有有在工商局局注册登记记取得许可可后方能从从事广告发发布活动。。这是根据据商事法和和工商管理理规则得出出的一般性性结论，但但目前国家家立法尚未未对此做出出明确规规规定。31网上专用标标识制度为了防范利利用网站发发布虚假信信息和欺诈诈性广告，，一些地区区试行网上上专用标识识制度。32特殊广告发发布前的审审查管制我国对一些些种类的广广告实行审审查制度。。根据《广告法》第34条，利用广广播、电影影、电视、、报纸、期期刊以及其其他媒介发发布药品、、医疗器械械、农药、、兽药等商商品的广告告和法律、、行政法规规规定应当当进行审查查的其他广广告，必须须在发布前前依照有关关法律、行行政法规由由有关行政政主管部门门对广告内内容进行审审查；未经经审查，不不得发布。。33网络络广广告告的的第第三三方方评评估估与与监监测测专业业的的评评估估应应当当包包括括两两方方面面，，首首先先是是量量的的评评估估，，比比较较计计划划和和执执行行在在量量上上的的区区别别。。其其次次是是研研究究广广告告的的衰衰竭竭过过程程，，方方法法是是将将同同步步广广告告每每天天的的点点击击率率在在坐坐标标轴轴上上连连线线。。研研究究每每个个创创意意衰衰竭竭的的时时间间，，为为设设定定更更换换广广告告创创意意间间隔隔提提供供依依据据。。34强化化行行业业自自律律网络络广广告告业业与与其其他他的的市市场场竞竞争争一一样样需需要要行行业业自自律律，，过过度度放放纵纵只只会会使使这这一一行行业业遭遭受受损损失失。。这这里里所所说说的的自自律律包包含含两两层层含含义义，，一一是是网网站站和和网网络络广广告告从从业业人人员员自自身身必必须须遵遵守守广广告告法法和和相相关关法法规规，，抵抵制制不不正正当当竞竞争争和和虚虚假假和和欺欺骗骗广广告告；；二二是是他他们们应应当当在在经经营营的的范范围围内内，，规规制制所所托托管管的的主主页页，，一一旦旦发发现现恶恶意意广广告告行行为为时时，，尽尽善善意意管管理理人人之之法法律律责责任任。。35网络络广广告告内内容容的的管管理理网络络广广告告内内容容管管理理，，是是指指对对网网络络广广告告内内容容及及网网络络广广告告活活动动的的管管理理，，它它是是广广告告管管理理的的一一项项特特殊殊内内容容。。由由于于网网络络广广告告内内容容来来源源多多，，信信息息量量大大，，影影响响范范围围广广，，甚甚至至超超越越国国界界，，因因此此对对网网络络广广告告内内容容的的管管理理十十分分重重要要。。对网网络络广广告告内内容容管管理理的的根根本本目目的的是是为为了了保保障障消消费费者者的的利利益益，，防防止止误误导导，，查查处处欺欺骗骗，，净净化化网网络络空空间间。。而而网网络络广广告告内内容容管管理理的的基基本本要要求求是是：：促促进进公公告告内内容容的的真真实实性性、、合合法法性性和和科科学学性性。。36真实实性性所谓谓真真实实性性，，就就是是网网络络广广告告所所推推广广、、介介绍绍的的商商品品、、服服务务或或信信息息都都是是客客观观存存在在的的，，是是真真实实的的，，而而不不是是弄弄虚虚作作假假的的。。网网络络广广告告上上如如果果挂挂羊羊头头卖卖狗狗肉肉不不仅仅影影响响面面广广，，而而且且是是对对客客户户精精神神上上的的欺欺骗骗和和愚愚弄弄。。为为保保护护广广大大消消费费者者的的权权益益，，必必须须在在网网络络广广告告管管理理中中强强调调真真实实性性的的重重要要性性。。37合法法性性所谓谓合合法法性性，，就就是是要要求求网网络络广广告告在在宣宣传传商商品品、、服服务务或或信信息息的的时时候候，，不不仅仅其其内内容容和和表表现现形形式式都都是是健健康康的的，，而而且且没没有有任任何何侵侵犯犯他他人人专专利利权权、、隐隐私私权权，，在在法法律律上上看看是是合合法法的的。。38科学学性性所谓谓科科学学性性，，就就是是要要求求网网络络广广告告涉涉及及的的内内容容、、观观点点、、方方法法具具有有科科学学依依据据。。网网络络广广告告中中凡凡是是属属于于专专业业性性较较强强的的内内容容，，都都应应当当经经过过规规定定程程序序的的科科学学的的鉴鉴定定与与审审查查，，不不得得有有人人为为臆臆造造、、违违反反科科学学的的内内容容。。393.5电子认证服务务机构管理电子认证服务务提供者电子认证服务务提供者，是是指为电子签签名人和电子子签名依赖方方提供电子认认证服务的第第三方机构（（以下称为“电子认证服务务机构”）。电子认证证服务机构（（CertificateAuthority，CA）在电子商务务中具有特殊殊的地位。它它是为了从根根本上保障电电子商务交易易活动顺利进进行而设立的的，主要是为为电子签名相相关各方提供供真实性、可可靠性验证的的公众服务，，解决电子商商务活动中交交易参与各方方身份、资信信的认定，维维护交易活动动的安全。40根据信息产业业部《电子认证服务务管理办法》第五条的规定定，电子认证证服务机构应应当具备下列列条件：具有独立的企企业法人资格格；（2）从事电子认认证服务的专专业技术人员员、运营管理理人员、安全全管理人员和和客户服务人人员不少于三三十名；（3）注册资金不不低于人民币币三千万元；；（4）具有固定的的经营场所和和满足电子认认证服务要求求的物理环境境；（5）具有符合国国家有关安全全标准的技术术和设备；（6）具有国家密密码管理机构构同意使用密密码的证明文文件；（7）法律、行政政法规规定的的其他条件。。41电子认证服务务机构主要提提供下列服务务：制作、签发、、管理电子签签名认证证书书；确认签发的电电子签名认证证证书的真实实性；提供电子签名名认证证书目目录信息查询询服务；提供电子签名名认证证书状状态信息查询询服务。42我国电子认证证服务机构的的建设发展国内电子认证证服务机构是是随着我国电电子商务的发发展而发展起起来的。目前前国内角逐电电子认证服务务市场的几大大势力，基本本上可按地区区类和行业类类来划分，前前者是由各地地方政府支持持成立的数字字认证中心联联合体，目前前已成气候的的有上海、北北京、天津等等协作成立的的“中国协协卡认认证体体系”以及广广东、、海南南、湖湖北等等省联联手的的“网证通通”CA联盟；；后者者由特特定行行业机机构纵纵向组组织而而成，，典型型代表表是中中国金金融认认证中中心（（CFCA）、中中国电电信认认证中中心（（CTCA）、中中国邮邮政认认证中中心等等。其其中CFCA和CTCA又是行行业性性CA中影响响最大大的两两个。。43中国金金融认认证中中心（（CFCA）由中中国人人民银银行牵牵头，，中国国工商商银行行、中中国农农业银银行、、中国国银行行、中中国建建设银银行、、交通通银行行等十十二家家商业业银行行联合合共建建而成成。CFCA具有三三层式式结构构。第第一层层CA即根CA，设在在中国国人民民银行行总行行。第第二层层CA可称为为“品牌CA”或“政策CA”。第三三层CA可称为为运营营CA。运营营CA由CA系统和和证书书注册册审批批机构构（RA）两大大部分分组成成。（（参见见图3-2）。44图3‑2CFCA系统体体系结结构示示意图图45我国电电子认认证机机构发发展存存在的的问题题认证机机构建建设呈呈现无无序状状态。。互联互互通水水平低低。认证机机构绝绝大多多数处处于亏亏损状状态。。46电子认认证机机构的的管理理对电子子认证证机构构的管管理主主要涉涉及该该机构构的成成立、、运作作、终终止服服务等等。47（1）电子子认证证服务务实行行许可可管理理。申申请电电子认认证服服务许许可的的，应应当向向信息息产业业部提提交书书面申申请、、专业业技术术人员员和管管理人人员证证明、、资金金和经经营场场所证证明、、国家家有关关认证证检测测机构构出具具的技技术设设备、、物理理环境境符合合国家家有关关安全全标准准的凭凭证、、国家家密码码管理理机构构同意意使用用密码码的证证明文文件。。信息息产业业部对对提交交的申申请材材料进进行形形式审审查，，依法法作出出是否否受理理的决决定。。（2）信息息产业业部自自接到到申请请之日日起四四十五五日内内作出出许可可或者者不予予许可可的书书面决决定。。不予予许可可的，，说明明理由由并书书面通通知申申请人人；准准予许许可的的，颁颁发《电子认认证服服务许许可证证》，并公公布有有关《电子认认证服服务许许可证证》编号、、电子子认证证服务务机构构名称称、发发证机机关和和发证证日期期。《电子认认证服服务许许可证证》的有效效期为为五年年。48（2）在申申请了了全国国通用用的数数字证证书以以后，，小李李却还还要申申请若若干个个由不不同网网银颁颁布的的数字字证书书，表表面原原因是是各网网银的的认证证标准准不同同，而而深层层次原原因则则是从从事电电子认认证服