《电子商务运营与管理》 课件 第5章 电子商务安全风险运营管理

电子商务运营与管理第5章电子商务安全风险运营管理引导案例国内某银行存储瘫痪数据缺失6个小时国内某银行生产中心存储设备发生故障，导致包括核心业务系统在内的多个系统长时间中断，柜面及各电子渠道业务均受到较大影响。该行生产中心存储设备(系某国外品牌)因容量扩容操作触发光纤桥接器固件程序缺陷，造成大量磁盘在短时间内出现故障，两个互为备份的控制器同时工作紊乱，数据无法读写，核心、柜面等系统停止运行。该存储设备还承载了该行虚拟化平台中的数十个信息系统的数据。造成6个多小时业务缺失。该行未建立同城灾备中心，异地灾备中心仅实现数据级灾备而未实现应用级灾备，异地仅存储了本地备份数据的远程副本，同样与生产系统数据存在较大差距，而且不具备业务所需要的基本软硬件环境，导致核心、柜面、电子渠道等重要信息的灾难恢复能力严重不足。因故障存储设备无法完全修复，该行紧急调配服务器和存储资源，在本地搭建生产系统，导入备份数据，并通过人工补录方式，逐步恢复缺失业务数据，才得以恢复业务运营。思考题：该银行为什么不能及时应对存储瘫痪数据？23本章学习目标1．了解电子商务网站的安全风险;2．掌握电子商务网站的安全措施；3．熟悉防火墙的配置；4．能够依法运作电子商务事务。目录Contents电子商务网站的安全

5.15.1.1电子商务网站的安全风险51.电子商务网站面临的安全隐患(1)信息的截获和窃取。(2)信息的篡改。(3)信息假冒。(4)交易抵赖。5.1.1电子商务网站的安全风险2.电子商务网站安全需求电子商务网站面临的安全隐患导致了对网站安全的需求，也是真正实现一个安全电子商务系统所要求做到的各个方面，主要包括保密性、隐私性、正确性和完整性、不可抵赖性。(1)保密性。(2)隐私性。

(3)正确性和完整性。(4)不可抵赖性。65.1.2电子商务网站安全防范措施由于针对网站的网络访问控制措施被广泛采用，且一般只开放HTTP等必要的服务端口，因此黑客已经难以通过传统网络层攻击方式(查找并攻击操作系统漏洞、数据库漏洞)攻击网站。然而，Web应用程序漏洞的存在更加普遍，随着Web应用技术的深入普及，Web应用程序漏洞发掘和攻击速度越来越快，基于Web漏洞的攻击更容易被利用，已经成为黑客的首选。据统计，现在对网站成功的攻击中，超过七成都是基于Web应用层，而非网络层。1.防火墙1）防火墙防火墙（firewall)作为一种访问控制技术，通过严格控制进出网络边界的分组，禁止任何不必要的通信，从而减少潜在入侵的发生，尽可能降低这类安全威胁所带来的安全风险。由于防火墙不可能阻止所有入侵行为，作为系统防御的第二道防线，入侵检测系统IDS(IntrusionDetectionSystem)通过对进入网络的分组进行深度分析与检测发现疑似入侵行为的网络活动，并进行报警以便进步采取相应措施。2）防火墙技术种类(1)分组过滤路由器是种具有分组过滤功能的路由器，它根据过滤规则对进出内部网络的分组执行转发或者丢弃(即过滤)。(2)应用网关也称为代理服务器(proxyserver),它在应用层通信中扮演报文中继的角色。一种网络应用需要一个应用网关，万维网缓存就是一种万维网应用的代理服务器。在应用网关中，可以实现基于应用层数据的过滤和高层用户鉴别。在目前企业纷纷入云的情况下，云服务提供商的防护能力尤其重要。云服务商的Web应用防火墙要提供云安全大数据检测能力，通过Web入侵防护、0day漏洞补丁修复、恶意访问惩罚、云备份防篡改等多维度防御策略全面防护网站的系统及业务安全。要提供多种接入模式、爬虫Bot行为管理、AI+Web应用防火墙、业务风险防护、CC攻击防护、全量日志支持、0day漏洞虚拟补丁、30线BGPIP接入防护等，这样才能满足企业安全的需要。785.1.2电子商务网站安全防范措施2入侵检测系统防火墙试图在入侵行为发生之前阻止所有可疑的通信。但事实是不可能阻止所有的入侵行为，有必要采取措施在入侵已经开始，但还没有造成危害或在造成更大危害前，及时检测到入侵，以便尽快阻止入侵，把危害降低到最小。入侵检测系统IDS正是这样一种技术。IDS对进入网络的分组执行深度分组检查，当观察到可疑分组时，向网络管理员发出告警或执行阻断操作(由于IDS的“误报”率通常较高，多数情况不执行自动阻断)。IDS能用于检测多种网络攻击，包括网络映射、端口扫描、DoS攻击、蠕虫和病毒、系统漏洞攻击等。入侵检测方法一般可以分为基于特征的入侵检测和基于异常的入侵检测两种。1）基于特征的IDS基于特征的IDS维护一个所有已知攻击标志性特征的数据库。每个特征是一个与某种入侵活动相关联的规则集，这些规则可能基于单个分组的首部字段值或数据中特定比特串，或者与一系列分组有关。当发现有与某种攻击特征匹配的分组或分组序列时，则认为可能检测到某种入侵行为。这些特征和规则通常由网络安全专家生成，机构的网络管理员定制并将其加入到数据库中。2）基于异常的IDS基于异常的IDS通过观察正常运行的网络流量，学习正常流量的统计特性和规律，当检测到网络中流量的某种统计规律不符合正常情况时，则认为可能发生了入侵行为。例如，当攻击者在对内网主机进行ping搜索时，或导致ICMPping报文突然大量增加，与正常的统计规律有明显不同。但区分正常流和统计异常流是一个非常困难的事情。至今为止，大多数部署的IDS主要是基于特征的，尽管某些IDS包括了某些基于异常的特性。910目录Contents电子商务的依法运作5.25.2.1

电子合同的依法签订和履行121.电子合同概述电子合同，又称电子商务合同，是当事人之间通过计算机和互联网、以数据电文形式达成的设立、变更、终止财产性民事权利义务关系的协议。根据我国《电子签名法》第3条第2款规定，下列事项的设立不适用电子合同形式:(1)涉及婚姻、收养、继承等人身关系的。(2)涉及土地、房屋等不动产权益转让的。(3)涉及停止供水、供热、供气、供电等公用事业服务的。(4)法律、行政法规规定的不适用电子文书的其他情形。随着电子技术的发展,电子合同以其传输方便、节约等特点得到普遍认可。电子合同通过电子脉冲传递信息，不再以纸张为原始凭据,而只是一组电子信息。电子数据交换和电子邮件是电子合同的两种基本形式，两者以其各自的特点和优势在电子商务活动中占据越来越多的地盘。电子合同与传统相比,其本质是相同的，但是由于缔约方式和合同载体发生了革命性的变化,因此表现出与传统合同显著不同的特征。5.2.1

电子合同的依法签订和履行2.电子合同的订立电子合同的订立是缔约人利用数据电文方式作出意思表示并通过互联网发出以达成合意的过程。电子合同的缔结过程和传统合同一样，也是通过要约、承诺的方式完成的,只不过作出要约、承诺的方式不同而已。（1）电子要约①要约和电子要约的概念要约是希望和他人订立合同的意思表示，又称订约提议、发盘、发价、出价等。在要约关系中，发出要约的一方称为要约人，接受要约的一方称为受要约人。要约一般向特定对象发出,有时也向非特定对象发出(如悬赏广告等)。电子要约，是指缔约方以缔结合同为目的，通过网络向对方当事人作出希望订立合同的意思表示。②电子要约的生效条件电子要约通常都具有特定的形式和内容，一项电子要约要发生法律效力，必须具备以下有效要件。ⅰ.电子要约须由有订约能力的特定人作出。ⅱ.电子要约须有订立合同的意思表示。ⅲ.电子要约须向受要约人发出。ⅳ.电子要约内容须明确具体。ⅴ.电子要约须送达受要约人。135.2.1

电子合同的依法签订和履行（2）电子承诺①承诺和电子承诺的概念我国《合同法》第21条规定:“承诺是受要约人同意要约的意思表示”。电子承诺，是指受要约人以数据电文方式通过互联网作出的，接受要约并愿意与要约人缔结合同的意思表示。②电子承诺的生效条件以数据电文方式作出的意思表示是否构成承诺需具备以下几个要件:ⅰ.电子承诺须由受要约人作出。ⅱ.电子承诺的内容须与电子要约的内容一致。ⅲ.电子承诺在承诺期限内作出。ⅳ.电子承诺须送达受要约人。（3）电子合同的成立电子合同的成立是指当事人以数据电文作出的意思表示通过互联网发送后彼此达成意思表示一致的状态。《电子商务法》第49条第1款规定:电子商务经营者发布的商品或者服务信息符合要约条件的，用户选择该商品或者服务并提交订单成功，合同成立。当事人另有约定的，从其约定。145.2.1

电子合同的依法签订和履行3.电子合同的履行电子合同的履行是指电子合同规定义务的执行。任何电子合同规定义务的执行，都是电子合同的履行行为。凡是不执行电子合同规定义务的行为，都是电子合同的不履行。当电子合同的义务执行完毕,电子合同也就履行完毕。（1）电子合同履行的基本原则①适当履行原则②协作履行原则③经济合理原则④情势变更原则（2）电子合同的履行从我国当前电子商务开展的情况来看，电子合同履行的方式基本有三种:一是在线付款，在线交付。二是在线付款，离线交付。三是离线付款，离线交付。155.2.2电子签名和认证的法律安全问题及防范1.电子签名的法律本质和中华人民共和国电子签名法)(以下简称《电子签名法》)第二条的规定，电子签名是指“数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”。而数据电文是指“以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息”。由该条内容规定可以看出，电子签名主要的用途是识别签名人并表明签名人对内容的认可。同时，根据《电子签名法》第十三条的规定，可靠的电子签名应同时具备如下条件。（1）电子签名制作数据用于电子签名时，属于电子签名人专有。（2）签署时电子签名制作数据仅由电子签名人控制。（3）签署后对电子签名的任何改动能够被发现。（4）签署后对数据电文内容和形式的任何改动能够被发现。2.电子签名的法律适用范围根据《中华人民共和国民法典》相关条文规定，以及《电子签名法》第三条及其他相关规定，电子签名方式的适用范围包括签署一般民事合同(如借款合同和买卖合同)电子招投标活动等。3.电子签名的实现方式一般而言，通过电子签名方式签署电子合同的过程中，需要电子认证服务机构(即CA认证中心)电子合同服务平台、签订合同的主体以及可信第三方时间戳服务中心(TimeStampAuthority,TSA)4方的参与。16175.2.2电子签名和认证的法律安全问题及防范4.电子签名的法律风险就目前而言，电子签名的法律风险主要表现在以下3个方面。(1)电子签名使用人未履行失密告知义务而造成的风险(2)电子签名被冒用而造成的风险(3)电子认证服务机构泄露信息而造成的风险5.电子签名的法律风险防范电子签名因其自身特性以及受限于互联网技术的发展水平，在使用过程中具有一定的法律风险。企业可以采取以下防范措施降低相关风险。（1）选择正规的、业内知名度较高的电子合同服务平台。（2）应当确保电子签名制作数据在用于电子签名时，为电子签名人专有。（3）应当确保合同签署时电子签名制作数据仅由电子签名人所控制。（4）严格监控电子签名，防止其被他人篡改。（5）明确相关法律法规，不将电子签名用于法律规定的适用范围之外的文书。（6）针对重大合同另行签订确认书，为合同的真实有效性多加一层保障，降低交易风险。185.2.3电子支付安全问题及防范1.电子支付面临的安全问题电子支付中存在着许多安全问题，包括经济与金融波动风险、网络安全问题、法律和监管问题以及安全意识问题。（1）经济与金融波动风险（2）网络安全问题网络安全问题主要涉及以下6个方面。①钓鱼平台②业务拒绝:③网络跟踪④信息篡改破坏⑤假冒合法消费者⑥安全认证漏洞（3）法律和监管问题我国有关电子支付的法律法规还不完善，虽然2018年颁布了《中华人民共和国电子商务法》，但除了《电子签名法》《电子支付指引》外，与电子支付相关的专门立法尚缺乏，相关规定也不明确，无法较好地保障电子商务交易双方的合法权益。例如，电子支付中往往会出现资金沉淀的问题，这些沉淀资金通常会产生一些利息，而目前我国对这部分利息的所有权还未做出明确的法律规定。此外，对于发行电子货币的主体资格、电子货币发行量、电子支付业务资格、银行应承担的责任等问题也还缺乏相应的法律法规加以规范。（4）安全意识问题195.2.3电子支付安全问题及防范2.电子支付安全的防范策略总的来说，要防范电子支付当中的安全问题，需要电子支付交易双方、银行等金融机构和政府相关部门的共同努力。就电子支付交易双方而言，要使用一系列新的技术手段，如短信验证、指纹识别等来降低支付风险；就银行等金融机构而言，要建立起完备的支付体系和支付系统:就政府相关部门而言，要加强法律法规建设，强化对电子支付的监管。（1）加强电子支付法律法规建设（2）加强过程监管（3）建立失信惩罚制度（4）采取技术措施①大力发展数据库与数据仓库技术②建设完备的网络安全防护体系，如近年来兴起的手机短信验证、人体特征识别技术等。（5）加大电子支付安全知识的普及力度205.2.4电子商务中的知识产权保护1.知识产权与知识产权法概述（1）知识产权的概念知识产权(Intellectualproperty)，是指权利人对其智力创造的成果所依法享有的专有权利。主要包括专利权、著作权、商标权等。（2）电子商务对知识产权法的影响①电子商务对传统知识产权观念的挑战②电子商务对传统知识产权特点的挑战③电子商务对知识产权保护程序的挑战ⅰ.电子商务对法院管辖权提出的挑战ⅱ.电子商务对证据及保留提出的挑战④电子商务经营主体的知识产权保护义务215.2.4电子商务中的知识产权保护2.电子商务中著作权的法律保护（1）著作权与著作权法著作权亦称版权，是指法律赋予文学艺术、科学作品的作者对其创作的作品所享有的专有权利。著作权法是指调整因著作权而产生的各种社会关系的法律规范的总称。我国的著作权法法律规范主要包括:《著作权法》《著作权法实施条例》《民法总则)和《刑法)中有关著作权的条款以及各种相关的行政法规、规章等。我国缔结或者加入的与著作权有关的知识产权国际条约、我国与其他国家签订的有关著作权保护的条约，也属于我国著作权法的组成部分。（2）电子商务中的商标权保护①电子商务中的商标权ⅰ.电子商务的活动主体需要自己的商品或者服务商标ⅱ.电子商务主体可能会涉及对他人商标的使用ⅲ.电子商务主体可能成为商标权的侵权主体②电子商务中商标权保护所面临的问题与对策ⅰ.商标权的使用和保护环境更加复杂ⅱ.电子商务使商标侵权出现新的特点ⅲ.网络商标侵权行为简单易行ⅳ.网络商标争议的解决难度更大ⅴ.网上商标侵权行为的损害后果更为严重225.2.4电子商务中的知识产权保护（3）电子商务中的专利权保护①电子商务活动与专利权电子商务活动与专利权的关系主要体现在以下几个方面:ⅰ.电子商务主体自身专利的开发和利用ⅱ.电子商务主体对他人专利技术的利用ⅲ.电子商务主体可能成为专利权的侵权主体②电子商务活动中专利权的保护问题（4）对计算机软件的专利保护①国际上的做法②美国对电子商务中专利权的保护235.2.5电子商务的市场秩序维护1.电子商务主体的市场准入（1）电子商务主体的概念电子商务主体是电子商务法律关系的参加者，是在电子商务法律关系中享有权利和承担义务的个人或者组织。法律作为调整人的社会生活的规范，调整的角度一般是主体和行为，在电子商务领域也同样如此。（2）电子商务主体的特殊性电子商务主体与传统商事主体既有共性，也有其特殊性。（3）电子商务主体需要市场准入制度（4）电子商务主体市场准入的基本原则电子商务市场准人应坚持和体现以下六个基本原则。①降低交易成本，提高交易安全。②适度监管。③分类监管。④线上线下市场公平竞争。⑤鼓励创新。⑥社会共治。（5）现阶段我国电子商务市场准入法律制度存在的问题①立法中缺乏统一的企业市场准入法律制度②立法漏洞多，所立法律不完善③监管部门多，审批项目多、程序复杂245.2.5电子商务的市场秩序维护2.电子商务反不正当竞争的法律规定当前的反不正当竞争法律只注重保护竞争者的正当