电子商务安全 第9章 电子商务安全管理

第9章电子商务安全管理9.1信息系统安全保护的相关规定9.1.1信息系统安全保护《中华人民共和国计算机信息系统安全保护条例》(以下简称条例)主要内容：1）公安部主管全国的计算机信息系统安全保护工作；2）计算机信息系统实行安全等级保护；3）健全安全管理制度；4）国家对计算机信息系统安全专用产品的销售实行许可证制度；5）公安机关行使监督职权，包括监督、检查、指导和查处危害信息系统安全的违法犯罪案件等。9.1.1信息系统安全保护《条例》九大制度：1）计算机信息系统的建设和应用，应当遵纪守法；2）计算机信息系统安全等级保护制度；3）计算机机房安全管理制度；4）计算机信息系统国际联网备案制度；5）计算机信息媒体进出境申报制度；6）计算机信息系统使用单位安全负责制度；7）计算机案件强制报告制度；8）计算机病毒及其有害数据的专管制度；9）计算机信息系统安全专用产品销售许可证制度。9.1.2国际联网管理《中华人民共和国计算机信息网络国际联网管理暂行规定》《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》《计算机信息网络国际联网安全保护管理办法》《计算机信息网络国际联网出入口信道管理办法》《计算机信息系统国际联网保密管理规定》《互联网信息服务管理办法》《互联网安全保护技术措施规定》9.1.3商用密码管理《商用密码管理条例》主要内容：国家密码管理委员会及其办公室主管全国的商用密码管理工作。商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控管理。商用密码的科研任务由密码管理机构指定的单位承担。商用密码产品由密码管理机构指定的单位生产，其品种和型号必须经国家密码管理机构批准，且必须经产品质量检测机构检测合格。商用密码产品由密码管理机构许可的单位销售。用户只能使用经密码管理机构认可的商用密码产品，且不得转让。9.1.4计算机病毒防治《计算机病毒防治管理办法》主要内容：公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作，地方各级公安机关具体负责本行政区域内的计算机病毒防治管理工作。任何单位和个人应接受公安机关对计算机病毒防治工作的监督、检查和指导，不得制作、传播计算机病毒。计算机病毒防治产品厂商，应及时向计算机病毒防治产品检测机构提交病毒样本。拥有计算机信息系统的单位应建立病毒防治管理制度并采取防治措施。病毒防治产品应具有计算机信息系统安全专用产品销售许可证，并贴有“销售许可”标记。9.1.4安全产品检测与销售《计算机信息系统安全专用产品检测和销售许可证管理办法》主要内容：我国境内的安全专用产品进入市场销售，实行销售许可证制度。颁发销售许可证前，产品必须进行安全功能的检测和认定。公安部计算机管理监察部门负责销售许可证的审批颁发、检测机构的审批、定期发布安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录。销售许可证只对所申请销售的安全专用产品有效，有效期为两年。9.2电子商务安全管理制度9.2.1信息安全管理制度的内涵信息安全的基本要求：1）认证用户和鉴别2）控制存取3）保障完整性4）审计5）容错9.2.2网络系统的日常维护制度(1)硬件的日常管理和维护：1）网络设备2）服务器和客户机3）通信线路(2)软件的日常管理和维护：1）支撑软件2）应用软件(3)数据备份9.2.3病毒防范制度1）安装防病毒软件2）不打开陌生地址的电子邮件3）认真执行病毒定期清理制度4）控制权限9.2.4人员管理制度1）严格选拔网上交易人员2）落实工作责任制3）贯彻电子商务安全运作基本原则9.2.4人员管理制度1）严格选拔网上交易人员2）落实工作责任制3）贯彻电子商务安全运作基本原则双人负责原则任期有限原则最小权限原则9.3电子商务安全风险管理9.3.1风险管理概述(1)企业内部风险1）技术风险2）战略风险3）管理风险(2)企业外部风险1）漏洞2）威胁①目标②代理（特性：访问、知识、动机）③事件9.3.1风险管理概述(3)威胁+漏洞=风险三个级别：低级别风险是漏洞使组织的风险达到一定水平，然而风险不一定发生。如有可能，应将这些产生低级别风险的漏洞去除，但应权衡去除漏洞的代价和能减少的风险损失。中级别风险是漏洞使组织的信息系统或场地的风险（机密性、完整性、可用性、可审性）达到相当的水平，并且已有发生事件的现实可能性。应采取措施去除漏洞。高级别风险是漏洞对组织的信息、系统或场地的机密性、完整性、可用性和可审性已构成现实危害，必须立即采取措施去除产生高级别风险的漏洞。9.3.2风险的识别与测量(1)风险的识别1）识别漏洞2）识别威胁3）检查对策和预防措施4）识别风险9.3.2风险的识别与测量图9.1风险评估的组成(1)风险的识别9.3.2风险的识别与测量(2)风险的测量传统的风险测量的方法是：风险=威胁×漏洞×影响网络安全风险的三维向量法：网络风险=(网络节点风险，通信链路风险，网络管理风险)代价:1）资金2）时间3）资源4）信誉9.3.4风险管理策略(1)风险识别(2)风险分析(3)风险控制图9.2风险评估—残余风险接受过程9.3.4风险管理策略(1)物理安全(2)周边防御(3)网络防御(4)主机防御(5)应用程序防御(6)数据防御图9.3有效的纵深防御策略9.4电子商务安全的法律保障网络安全和交易安全知识产权保护电子合同问题

电子证据的获取和认定网络高科技犯罪问题常见安全问题及违规违法行为：《合同法》《侵权责任法》《电子签名法》《关于维护互联网安全的决定》《关于加强网络信息保护的决定》《非金融机构支付服务管理办法》《非银行支付机构网络支付业务管理办法》《互联网信息服务管理办法》《电信条例》相关的民商事活动一般法：①法律位阶低，亟须制定专门法，把分散的法规、规章统筹起来，以形成完整的电子商务法治体系；②结构混乱，开放性与兼容性不足，难以应对不断出现的电子商务问题；③可操作性欠缺，规范促进效果不明显；