电子商务安全电子商务安全评估与法律课件

1、电子商务安全电子商务安全评估与法律第第9章章 电子商务安全评估与法律保护电子商务安全评估与法律保护电子商务安全电子商务安全评估与法律第第9章章 电子商务安全评估与法律保护电子商务安全评估与法律保护任务驱动任务驱动随着电子商务的发展，安全问题显得越来越突出。概括地说，电子商务的安全主要体现在交易的有效性和可执行性、交易机制的可靠性、交易过程的完整性和保密性。目前，电子商务安全问题的解决，可以分为技术与法律两方面。通过本章学习，学生应该能够掌握电子商务安全评估中的风险管理知识，了解安全成熟度模型，识别电子商务面临的威胁，了解电子商务的安全评估方法，熟悉有关电子商务的基本法律法规。 电子商务安全电子

2、商务安全评估与法律第第9章章 电子商务安全评估与法律保护电子商务安全评估与法律保护本章内容9.1电子商务安全评估9.2电子商务的法律法规电子商务安全电子商务安全评估与法律9.1 电子商务安全评估电子商务安全评估9.1.1风险管理风险管理1风险的概念风险的概念风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。如果没有风险，就不需要安全了。 漏洞威胁威胁+漏洞风险电子商务安全电子商务安全评估与法律9.1 电子商务安全评估电子商务安全评估2风险的识别与测量风险的识别对一个组织而言，识别风险除了要识别漏洞和威胁外，还应考虑已有的对策和预防措 施，如图9-1所示。电子商务安全电子商务安全评

3、估与法律9.1 电子商务安全评估电子商务安全评估风险的测量风险测量是必须识别出在受到攻击后该组织需要付出的代价。图9-2表示风险测量的全部。电子商务安全电子商务安全评估与法律9.1 电子商务安全评估电子商务安全评估认识到风险使该组织付出的代价也是确定如何管理风险的决定因素。风险永远不可能完全去除，风险必须管理。代价是多方面的，包括 ：资金时间资源信誉电子商务安全电子商务安全评估与法律9.1 电子商务安全评估电子商务安全评估9.1.2安全成熟度模型安全成熟度模型成熟度模型可用来测量组织的解决方案(软件、硬件和系统)的能力和效力。因此它可用于安全评估，以测量针对业界最佳实际的安全体系结构。可以就以

4、下3个方面进行分析：计划、技术和配置、操作运行过程。安全计划包括安全策略、标准、指南以及安全需求。技术和配置的成熟度水平根据选择的特定产品、准则，在组织内的安置以及产品配置而定。操作运行过程包括变更管理、报警和监控，以及安全教育方面。 电子商务安全电子商务安全评估与法律9.1 电子商务安全评估电子商务安全评估1安全计划一个好的安全体系结构必须建立在一个坚固的安全计划基础之上。计划的文本必须清晰、完整。 2技术和配置3运行过程运行过程包括安全组件需要的必要支持和维护、变更管理、经营业务的连续性、用户安全意识培训、安全管理，以及安全报警与监控等。 电子商务安全电子商务安全评估与法律9.1 电子商务

5、安全评估电子商务安全评估9.1.3威胁威胁威胁包含3个组成部分：目标，可能受到攻击的方面。代理，发出威胁的人或组织。事件，做出威胁的动作类型。 电子商务安全电子商务安全评估与法律9.1 电子商务安全评估电子商务安全评估1威胁的来源人为差错和设计缺陷内部人员临时员工自然灾害和环境危害黑客和其他入侵者病毒和其他恶意软件电子商务安全电子商务安全评估与法律9.1 电子商务安全评估电子商务安全评估2威胁情况与对策社会工程(系统管理过程)电子窃听软件缺陷信任转移(主机之间的信任关系)数据驱动攻击(恶意软件)拒绝服务DNS欺骗源路由内部威胁电子商务安全电子商务安全评估与法律9.1 电子商务安全评估电子商务安

6、全评估9.1.4安全评估方法安全评估方法1安全评估过程安全评估过程安全评估方法的第一步是发现阶段，所有有关安全体系结构适用的文本都必须检查，包括安全策略、标准、指南，信息等级分类和访问控制计划，以及应用安全需求。评估的第二步是人工检查阶段，将文本描述的体系结构与实际的结构进行比较，找出其差别。可以采用手工的方法，也可采用自动的方法。评估的第三步是漏洞测试阶段。 安全评估的最后一步是认证安全体系结构的处理过程部分。 电子商务安全电子商务安全评估与法律9.1 电子商务安全评估电子商务安全评估2网络安全评估网络评估的第一步是了解网络的拓扑。假如防火墙在阻断跟踪路由分组，这就比较复杂，因为跟踪路由器是

7、用来绘制网络拓扑的。第二步是获取公共访问机器的名字和IP地址，这是比较容易完成的。只要使用DNS并在ARIN(American Registry for Internet Number)试注册所有的公共地址。最后一步是对全部可达主机做端口扫描的处理。端口是用于TCPIP和UDP网络中将一个端口标识到一个逻辑连接的术语。 电子商务安全电子商务安全评估与法律9.1 电子商务安全评估电子商务安全评估3平台安全评估平台安全评估的目的是认证平台的配置(操作系统对已知漏洞不易受损、文件保护及配置文件有适当的保护)。认证的惟一方法是在平台自身上执行一个程序。有时该程序称为代理，因为集中的管理程序由此开始。假

8、如平台已经适当加固，那么就有一个基准配置。评估的第一部分是认证基准配置、操作系统、网络服务(、telnet、SSH等)没有变更。黑客首先是将这些文件替换成自己的版本。这些版本通常是记录管理员的口令，并转发给Internet上的攻击者。假如任何文件需打补丁或使用服务包，代理将通知管理员。第二部分测试是认证管理员的口令，大部分机器不允许应用用户登录到平台，对应用的用户鉴别是在平台上运行的，而不是平台本身。4应用安全评估电子商务安全电子商务安全评估与法律9.1 电子商务安全评估电子商务安全评估9.1.5安全评估准则安全评估准则1可信计算机系统评估准则2信息技术安全评估准则3通用安全评估准则4计算机信

9、息系统安全保护等级划分准则电子商务安全电子商务安全评估与法律9.2电子商务的法律法规电子商务的法律法规9.2.1电子商务发展中遇到的法律问题电子商务发展中遇到的法律问题1跨国界网络经济对各国法律的冲击2网上签订合同的有效性发盘的生效发盘的撤回与撤销接受的生效与撤回合同的形式问题3网上知识产权的保护域名保护版权保护专利权保护4隐私权的保护电子商务安全电子商务安全评估与法律9.2.2电子商务的立法状况电子商务的立法状况1国际范围内的电子商务法律建设国际范围内的电子商务法律建设联合国联合国电子商务示范法电子商务示范法美国的电子商务立法美国的电子商务立法欧盟有关电子商务的立法状况欧盟有关电子商务的立法状况新加坡的电子商务立法新加坡的电子商务立法日本推动电子商务发展的政策文件日本推动电子商务发展的政策文件澳大利亚的电子商务立法澳大利亚的电子商务立法电子商务安全电子商务安全评估与法律2我国电子商务的立法现状我国电子商务活动的法律建设现状我国现阶段电子商务活动的立法任务3我国电子商务立法的总则立法目的消除电子商务发展的法律障碍。消除现有法律适用上的不确定性，保护合理的商业预期，保障交易安全。建立一个清晰的法律框架