电子商务安全的管理保障.ppt

上一堂课内容回顾,第2章 电子商务安全的技术保障 2.1 加密技术 2.2 数字签名 2.3 认证技术 2.4 防火墙技术（自习）,第3章 电子商务安全的管理保障,内容回顾,第1章 电子商务安全与电子支付概论 1.1 电子商务发展概况 1.2 电子商务安全概述 1.2.1 电子商务面临的安全威胁 1.2.2 电子商务的安全要素 1.2.3 电子商务的安全体系结构 1.3 电子商务基本流程 1.4 电子商务中的电子支付,计算机网络风险 电子商务交易风险 管理风险 政策法律风险,内容回顾, 计算机网络方面的风险 网上交易方面的风险 管理方面的风险 政策法律方面的风险,电子商务安全的技术保障 电子商务安全的管理保障 电子商务安全的法律保障,如何保障？,（回顾） 管理风险(P13),严格管理是降低网络交易风险的重要保证: 人员管理:是在线商店安全管理上最薄弱的环节。 企业内部员工的疏失远比网络上的黑客还要可怕! 网络交易技术管理的漏洞也带来较大的交易风险。 有些操作系统中某些用户是无口令的，如匿名FTP!,补：管理风险社会工程学攻击,社会工程学（攻击）是使用计谋和假情报去获得密码和其他敏感信息的科学。或者说是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势 。,社会工程学攻击,研究一个站点的策略其中之一就是尽可能多地了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法，他们希望从渗透的组织那里获得信息。 举个例子：一组高中学生曾经想要入侵某公司的网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字。这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。,社会工程学攻击举例,1、请狼入室,李小姐是某个大公司的经理秘书，她工作的电脑上存储着公司的许多重要业务资料，所以属于公司着重保护的对象，安全部门设置了层层安全防护措施，可以说，她的电脑要从外部攻破是根本不可能的事情。为了方便修改设置和查杀病毒，安全部门可以直接通过网络服务终端对李小姐的电脑进行全面设置。也许贪图方便，维护员与李小姐的日常联系是通过QQ进行的。 这天，李小姐刚打开QQ，就收到维护员的消息：“小李，我忘记登录密码了，快告诉我，有个紧急的安全设置要做呢！” 因为和维护员很熟了，李小姐就把密码发了过去。一夜之间，公司的主要竞争对手掌握了公司的业务！,社会工程学攻击举例,由于安全部门距离李小姐的工作地点有好些距离，管理不方便，所以公司让他们直接通过网络来管理机器！他与李小姐之间的联系通过QQ进行。问题偏偏就出在QQ上。作为安全人员，他自然知道密码的重要性，因此他的任何密码都设置得十分复杂，穷举几乎不可能。至于被入侵，那更不可能发生。然而百密仍有一疏，他做梦也没想到对手利用QQ的取回密码功能轻易拿到了他的密码。,剖析： 李小姐正是出于对维护员的信任才被对方欺骗的。因为那个在QQ上出现的维护员根本不是公司的维护员本人，而是对手盗取了维护员的QQ，再利用一个小小的信任关系，就轻易取得了登录密码。,2、形同虚设的密码,社会工程学攻击举例,剖析：他在输入提示答案的时候，下意识地输入了心里最重要的那个人的名字。但是对手也知道他心里那个人的名字，所谓的“知己知彼”。,小马喜欢绚丽的QQ秀和一些特色服务，但舍不得花钱。好想有免费的Q币。某天一QQ好友给他发来一个URL，还说这个网站通过一定的点击次数提供Q币。如此好的机会小马怎能放过？他根据网站的提示输入了QQ号码和密码完成注册，然后给QQ上的朋友们发了网址。然而等了许久，自己的Q币依然没有动静。第二天，小马想登录QQ时，却发现怎么也登录不上去了QQ密码被人改了。这是曾闹得轰轰烈烈的QQ欺骗案件之一。,3、E时代的守株待兔,社会工程学攻击举例,剖析：这就是著名的“网络钓鱼”！ 论坛常有帖子：“腾讯公司预留了专用号码作为充值号，此号是自动读取指令的，为了不引起大家的注意，所以这个QQ比较普通，这个QQ一般隐身。只要发送Jerusalum/PLO号码Vesselin Bontchev密码FRALDMUZK Q币数量，然后下线5分钟，等着收Q币吧。”,大哥你是不是太搞笑？！改我密码还要5分钟啊？麻烦你快一点好不好！,还有QQ中奖要求用户填写密码以待“验证”等伎俩，无论什么手法，最终结局都是一样的，那就是用户的密码被人改掉。如此白痴的骗局，只要有点常识的人都不难理解其中的“笑话”，奇怪的是却屡屡有人上当，究其原因，就是因为国人的贪小便宜心理作祟。,社会工程学攻击举例,王先生是一家银行的职员，通常都是直接在网络上完成转账操作的。由于他的电脑水平不高，前不久被一个初学者骇客入侵了机器。在请来专业人员修复系统更改密码后，王先生照例登录网络银行为手机缴费，可是才过一会儿他的冷汗就出来了：网络银行登录不进去了！深感大事不妙的王先生去银行办理了相关手续，查账发现账户里的钱已经被人划走了。,因为王先生犯了大部分人都会犯的致命错误：通常为了记忆方便，人们会把几处的密码都设置成一样的，例如QQ、E-MAIL、FTP、网站等的密码，而王先生更进一步把所有密码都弄成一样的了，因此入侵者在得到王先生的机器登录密码后也就得到了网络银行的密码。正是因为这个普遍心理特点，受害者往往都是被入侵者一锅端了！,因为简单密码和相同密码是大部分人都会碰到的心理弱点,4、轻而易举的入侵,电子商务的实质仍然是商务。电子商务交易活动越普遍,对安全管理的要求就越高。此时的管理，已不单纯是对计算机系统的管理，而是涉及对虚拟环境中商务活动各类参与主体的管理。 防止前述问题的风险需要有完善的制度设计，形成一套相互关联、相互制约的制度群。 3.1 电子商务标准管理 3.2 计算机信息系统管理 3.3 网络服务和网络用户的管理 3.4 网络广告管理 3.5 电子认证服务机构管理,3.1 电子商务标准管理（课本P61-68）,电子商务标准的产生需求产生标准 在信息化时代，企业依靠越来越多的管理信息系统实现运营。面对五花八门的系统交互，企业首先要解决数据交换问题。（如何解决？） 开发专用接口或统一数据格式成为人们常用的办法。但是在互联网上，这些办法似乎颇有束缚。 因此，定制数据交换标准的需求应运而生。1998年，国际标准化组织W3C推出XML，解决了数据交换的标准问题。,（企业需求得到满足了吗？）,然而，这还远远不能满足企业的需求。企业要进行商务，就要在不同商务平台之间进行对话，也就是进行B2B交易。实现真正的B2B商务，不仅涉及到企业间的数据交换，更要涉及到企业间业务流程的相互操作。 以一个简单的定单交易为例，其中包括了定单内容的传递和对定单的处理。前者属于数据交换，后者属于流程交易。,定单处理： If 定单被拒绝 then If 定单被承诺 then ,定单处理： If then 拒绝 If then 承诺,定单,基于XML格式,买方企业,卖方企业,确定可行的 标准接口流程,在互联网时代，企业所面对的客户和供应商已经不再仅仅局限于本地有限的几个，而是散布在世界各地的数目可观的一批。如果说原来企业间交易可以通过专门开发的接口，那么面对数量众多的异构商务平台，在实时性要求相当苛刻的现在，专用接口已经不能胜任，建立一个基于XML数据交换标准的、描述企业间商务流程交易的标准框架体系已经成为必需。 如RosettaNet、CommerceNet、CommerceOne等，都是在B2B的实践中，从需求中产生的、面向流程的标准。,标准面面观,从当前的市场应用情况来看，标准基本上分为两层：底层的数据交换标准和高层的面向流程的标准。 XML是至今为止用来做数据交换比较有效的语言之一。 BizTalk是微软公司倡导的标准，是利用Internet标准协议和格式来促进企业内部和企业间的应用集成电子商务的XML框架，吸引了包括XMLSolutions在内的全球许多组织的支持。 目前，注重流程的标准大致分为两类，一类来源于由多家企业自发组成的非营利性行业标准化组织，如RosettaNet、CommerceNet等；另一类来源于电子商务及解决方案供应商，如CommerceOne、Ariba等。,世界上第一个Internet电子商务标准,1999年12月14日，在美国加州旧金山的St.Francis饭店，公布了世界上第一个INTERNET商务标准（The Standard for Internet Commerce, Version 1.0 1999）。 这一标准是由Ziff-Davis杂志牵头，组织了301位世界著名的INTERNET和IT业巨头、相关记者、民间团体、学者等经过半年时间，进行两轮投票后才最终确定下来的。虽然这也还只是1.0版，但它已经在相当程度上规范了利用INTERNET从事零售业的网上商店需要遵从的标准。 整个标准分七项、47款。每一款项都注明是“最低要求”，还是“最佳选择”。如果一个销售商宣称自己的网上商店符合这一标准，那它必须达到所有的最低标准。,一、信息中心,必须建立一个信息中心，并且使消费者在网站上的任何地方都可以找到这个信息中心的链接。（最低要求） 销售商必须使用“Information”这个词作为该信息中心的标题。（最低要求）,二、需公布的内容,销售商必须在信息中心公布如下内容：销售商的法定名称以及业主；主要办公地点；和销售商联系的渠道，如电话或EMAIL；特殊业务的专业许可证。（最低要求） 必须在信息中心提供在广告中没有明确的客户支付方式或其他使用第三方产品或服务的资料。（最低要求） 在消费者被要求最终确认订单之前，销售商必须为消费者提供所有费用的清单，包括商品/服务的费用、运费、处理费以及税。（最低要求） 信息中心必须提供质量保证的说明，包括担保的有效期、适用的范围、不适用的范围、如何担保等。（最低要求） 对每个产品或服务都必须提供有关售后服务的信息，包括服务范围、期限、如何进行等。（最低要求） 在信息中心中必须向客户说明适用哪一国家或地区的法律。（最低要求） 必须向客户公布可以选择的各种支付方式。（最低要求） 必须提供有关处理取消订单、退货、退款的原则，包括可以取消订单的有效期、哪些产品可以退货、退货的条件、取消订单或者退货的费用、运费的支付方、消费者何时可以得到退款等。（最低要求） 必须公布销售商从消费者的信用卡上收款的规定。（最低要求）,三、产品/服务,如果销售商在销售或发货上对不同消费者（如特定地区或年龄）有限制必须明确说明。（最低要求） 在消费者最终订货之前，销售商必须提供有关产品的供应情况，即货物发送或订单的处理估计所需要的时间。（最低要求） 销售商必须在两个工作日内通知期货订购者。（最低要求） 必须用明显的标记，如颜色，图标等标识那些在网站上列出，但不能从网络上直接定购的商品。（最低要求） 对于订购了无现货的产品的消费者，应该在货物到达后通知他们。（最佳选择）,四、保密和安全,必须公布销售商的保密原则，至少包括：销售商将收集消费者的哪些资料，在何处收集；使用这些资料的目的；销售商是否会向第三方提供这些资料，如果提供，是在何种情况下；消费者资料是否是整个商务计划的一部分，如进行目标市场分析、建立各种促销方案等；消费者是否有可能限制使用私人资料，如何进行。（最低要求） 销售商必须在主页和信息中心提供标记为“Privacy”的保密原则链接。（最低要求） 消费者必须有能力选择销售商是否可以利用收集到的消费者资料主动发送的各种信息，并且在这些资料被开始收集时就可以进行这种选择。（最低要求） 消费者必须有能力选择是否同意将自己的私人信息提供给第三方，并且在这些资料被开始收集时就可以进行这种选择。（最低要求） 如果有关交易的第三方（如购物车、支付网关）的保密原则和销售商的不同，销售商必须提供指向第三方保密原则的链接。（最低要求） 在整个交易过程中，销售商必须对所有消费者提供的信息进行加密传输。（最低要求） 销售商必须对销售商存储的消费者资料进行加密处理。（最低要求） 在信息中心，销售商必须为消费者提供哪些传输过程和资料是被保护的信息。（最低要求）,五、确认和通知,销售商必须在消费者订货后一个工作日内向消费者发出订单确认EMAIL。（最低要求） 销售商必须将总费用包括在订单确认通知中，或者明确告诉消费者从何处可以查找到总费用。（最低要求） 销售商应该在消费者定购的货物被发运或者服务被执行后一个工作日内通过EMAIL通知消费者。（最佳选择） 销售商必须将如下信息包含在发运通知中，或者明确告诉消费者从那里可以得到这些消息：货物名称、总费用、货物从哪里以何种方式运出、估计的运输时间和如果有问题如何解决。（最低要求） 如果消费者选择的运输方式可以进行货物在运输过程中的跟踪，销售商也应该为消费者提供这一方法。（最佳选择） 如果消费者选择的运输方式提供有关货物已经被收取和收取者姓名的资料，销售商也应该为消费者提供这一方法。（最佳选择） 如果销售商仅运出消费者定购的部分商品时，销售商应该通知消费者其他商品将在以后运出。（最佳选择） 如果客户取消订单或者退货，销售商必须在三个工作日中通知消费者已经收到取消订单或者退货。（最低要求）,六、帮助和客户服务,销售商必须为消费者提供通过EMAIL提问或投诉的渠道。（最低要求） 销售商必须在信息中心中提供获得客户服务条款的渠道。（最低要求） 销售商必须提供客户反馈和文本投诉的渠道。（最低要求） 销售商必须在收到问题或投诉48小时内向消费者承认收到了问题或投诉。（最低要求） 如果投诉是有关商品而且销售商自身不能解决，销售商必须向消费者提供和生产商联系的适当方法（最低要求）,七、其他,销售商应该保证发运的每个包装都在运输机构进行了标准的防丢失、防盗和防损害保险。（最佳选择） 销售商必须按照可打印的格式向消费者提供定购货物的发票。（最低要求） 如果消费者选择的运输公司许可，销售商应该向消费者提供可以进行特别投递的能力。（最佳选择） 如果消费者以前已经提供过必要的信息，销售商应该为消费者提供“一键”购物的能力。（最佳选择） ECML（电子商务模式语言）的支持，允许消费者在填写购物车表格时，避免重复性的输入。（最佳选择） 销售商应该提供实时处理订单和效验消费者信用卡的能力。（最佳选择） 销售商应该提供通过关键词对整个站点的信息和产品进行搜索的能力。（最佳选择） 销售商应该提供消费者可以通过WEB来检查订单状况的工具。（最佳选择） 销售商应该提供消费者可以检查以前订单的能力。（最佳选择） 销售商应该有一种系统化的方法来不断处理消费者的反馈和了解他们的满意程度。（最佳选择）,在该标准的首页上写着：“消费者的满意、信心和信任，销售商的利润和变革”。这也就是这份标准的核心。任何人都可以从他的网站上获得这一标准，而且鼓励使用和散发这一标准。虽然这并不是一个法律文本，但有理由相信遵守这一标准的销售商将获得更大的发展。,我国电子商务标准体系结构,电子商务相关标准体系,基础标准,计算机 基础标准,基础通信 标准,网络标准,其他 基础标准,安全标准,加密标准,认证标准,安全通信 协议,其他安全 标准,交易标准,电子合同 标准,电子支付 标准,智能卡 标准,其他操作 标准,服务标准,资质标准,服务质量 标准,物流标准,EDI标准,单证标准,报文标准,其他标准,其他标准,3.2 计算机信息系统管理(P68),计算机信息系统是电子商务运行的基本单元，计算机系统运行的安全与否，直接关系到电子商务整体运行的安全。计算机信息系统的安全管理是电子商务安全管理中的一项基础工作，必须认真做好。 计算机信息系统安全包括：实体安全、运行安全、信息安全和人员安全等四方面的内容。 详细内容参见中华人民共和国计算机信息系统安全保护条例。,3.3 网络服务和网络用户的管理,网络服务业的服务内容： 网络服务业是指经营提供网络上相关应用服务的事业，如接入服务（Access Service）、域名（Domain Name）服务、网络信息服务、广告服务、商业联机服务等。 网络用户的法律规范： 用户接入Internet的管理，用户使用Internet的管理。,3.3.1网络服务管理规范 接入服务的管理规范,根据国务院批准的信息产业部职能配置、内设机构和人员编制规定，由信息产业部负责对电信与信息服务市场进行监管，实行必要的经营许可制度，并审批和发放通信与信息服务的经营许可证。依据国务院1997年5月20日第218号令发布的中华人民共和国计算机信息网络国际联网管理暂行规定和原国务院信息化工作领导小组印发的中华人民共和国计算机信息网络国际联网管理暂行规定实施办法有关规定，决定自1998年11月1日起对从事计算机信息网络国际联网业务的经营单位实行经营许可证制度。, 域名服务管理规范（P70-71） 具体参见中国互联网络域名管理办法。,申请域名注册服务机构资格的，应具备下列条件： 依法设立的企业法人或事业法人； 有与从事域名注册活动相适应的资金和专业人员； 有为用户提供长期服务的信誉和能力； 有健全的网络与信息安全保障措施； 有业务发展计划及相关技术方案； 信息产业部规定的其他条件。,注册服务机构在提供注册服务时应遵守以下规定：,遵守国家主管部门和CNNIC的相关管理规定； 注册服务机构不得代表任何实际或潜在的域名持有人； 在域名申请人申请域名时，注册服务机构应当与申请人签订书面注册协议(包括电子形式)； 注册服务机构负责审核域名注册申请。,2）域名注册规则,域名注册管理机构应当根据本办法制定相应的域名注册实施细则，报信息产业部备案后施行。 域名注册不得含有以下内容：,反对宪法所确定的基本原则的； 危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； 损害国家荣誉和利益的； 煽动民族仇恨、民族歧视，破坏民族团结的； 破坏国家宗教政策，宣扬邪教和封建迷信的； 散布谣言，扰乱社会秩序，破坏社会稳定的； 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； 侮辱或者诽谤他人，侵害他人合法权益的； 含有法律、行政法规禁止的其他内容的。,网络信息服务管理规范 1）对经营类互联网信息服务的管理规范,国务院新闻办公室、信息产业部2005年9月25日联合发布互联网新闻信息服务管理规定，对从事互联网信息服务机构的基本条件以具体内容作了相关的规定。,从事互联网新闻服务机构设立的基本条件： 有健全的互联网新闻信息服务管理规章制度