《網(wǎng)絡(luò)交易安全管理.ppt》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)交易安全管理.ppt（74頁珍藏版）》請在裝配圖網(wǎng)上搜索。

第十二章網(wǎng)絡(luò)交易安全管理 12 1網(wǎng)絡(luò)交易風(fēng)險和安全管理的基本思路12 2客戶認(rèn)證技術(shù)12 3防止黑客入侵12 4網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度12 5電子商務(wù)交易安全的法律保障 12 1網(wǎng)絡(luò)交易風(fēng)險和安全管理的基本思路 12 1 1網(wǎng)絡(luò)交易風(fēng)險凸現(xiàn)伴隨著電子商務(wù)交易額的不斷增加 電子商務(wù)對安全方面的管理要求越來越高 所受到的重視程度也越來越高 計算機(jī)的安全問題早已引起人們的重視 大量的事實說明 保證電子商務(wù)的正常運作 必須高度重視安全問題 網(wǎng)絡(luò)交易安全涉及社會的方方面面 不僅僅是一堵防火墻或一個電子簽字就能簡單解決的問題 安全問題是網(wǎng)絡(luò)交易成功與否的關(guān)鍵所在 12 1 2網(wǎng)絡(luò)交易風(fēng)險源分析1 在線交易主體的市場準(zhǔn)入問題2 信息風(fēng)險3 信用風(fēng)險信用風(fēng)險主要來自三個方面 1 來自買方的信用風(fēng)險 2 來自賣方的信用風(fēng)險 3 買賣雙方都存在抵賴的情況 4 網(wǎng)上欺詐犯罪5 電子合同問題 6 電子支付問題7 在線消費者保護(hù)問題8 電子商務(wù)中產(chǎn)品交付問題12 1 3網(wǎng)絡(luò)交易安全管理的基本思路為了保障電子商務(wù)交易安全 必須對電子商務(wù)交易系統(tǒng)有一個深刻的理解 這一點至關(guān)重要 它直接關(guān)系到所建立的交易安全保障體系的有效性和生命力 電子商務(wù)系統(tǒng)是活動在Internet平臺上的一個涉及信息 資金和物資交易的綜合交易系統(tǒng) 其安全對象不是一般的系統(tǒng) 而是一個開放的 人在其中頻繁活動的 與社會系統(tǒng)緊密耦合的復(fù)雜巨系統(tǒng) ComplexGiantSystem 電子商務(wù)交易安全過程也不是一般的工程化的過程 而是一個時時處處有人參與的 自我適應(yīng)的 不斷變化的 不斷涌現(xiàn)新的整體特征的過程 所以 電子商務(wù)交易安全保障不是一般的管理手段的疊加和集成 而是綜合集成 兩者的本質(zhì)區(qū)別在于后者強(qiáng)調(diào)人的關(guān)鍵作用 只有通過人網(wǎng)結(jié)合 人機(jī)結(jié)合 充分發(fā)揮各自優(yōu)勢的方法 才能經(jīng)過綜合集成 使系統(tǒng)表現(xiàn)出新的安全性質(zhì) 整體大于部分之和 與電子商務(wù)交易系統(tǒng)相適應(yīng) 電子商務(wù)交易安全也是一個系統(tǒng)工程 不是幾個防火墻 幾個密碼器就可以解決的問題 12 2客戶認(rèn)證技術(shù) 12 2 1身份認(rèn)證1 身份認(rèn)證的目標(biāo)身份認(rèn)證的主要目標(biāo)包括 1 確保交易者是交易者本人 而不是其他人 通過身份認(rèn)證解決交易者是否存在問題 避免與虛假的交易者進(jìn)行交易 2 避免與超過權(quán)限的交易者進(jìn)行交易 3 訪問控制 2 用戶身份認(rèn)證的基本方式一般來說 用戶身份認(rèn)證可通過三種基本方式或其組合方式來實現(xiàn) 1 用戶通過某個秘密信息 例如用戶通過自己的口令訪問系統(tǒng)資源 2 用戶知道某個秘密信息 并且利用包含這一秘密信息的載體訪問系統(tǒng)資源 包含這一秘密信息的載體應(yīng)當(dāng)是合法持有并能夠隨身攜帶的物理介質(zhì) 例如智能卡中存儲用戶的個人化參數(shù) 訪問系統(tǒng)資源時必須持有智能卡 并知道個人化參數(shù) 3 用戶利用自身所具有的某些生物學(xué)特征 如指紋 聲音 DNA圖案 視網(wǎng)膜掃描等等 但這種方案一般造價較高 適用于保密程度很高的場合 3 身份認(rèn)證的單因素法用戶身份認(rèn)證的最簡單方法就是口令 對口令進(jìn)行加密傳輸是一種改進(jìn)的方法 4 基于智能卡的用戶身份認(rèn)證基于智能卡的用戶身份認(rèn)證機(jī)制屬于雙因素法 它結(jié)合了基本認(rèn)證方式中的第一種和第二種方法 用戶的二元組信息預(yù)先存于智能卡中 然后在認(rèn)證服務(wù)器中存入某個事先由用戶選擇的某個隨機(jī)數(shù) 用戶訪問系統(tǒng)資源時 用戶輸入二元組信息 5 一次口令機(jī)制最安全的身份認(rèn)證機(jī)制是采用一次口令機(jī)制 即每次用戶登錄系統(tǒng)時口令互不相同 主要有兩種實現(xiàn)方式 第一種采用 請求響應(yīng) 方式 用戶登錄時系統(tǒng)隨機(jī)提示一條信息 用戶根據(jù)這一信息連同其個人化數(shù)據(jù)共同產(chǎn)生一個口令字 用戶輸入這個口令字 完成一次登錄過程 或者用戶對這一條信息實施電子簽字后發(fā)送給認(rèn)證服務(wù)器進(jìn)行鑒別 第二種方法采用 時鐘同步 機(jī)制 即根據(jù)這個同步時鐘信息連同其個人化數(shù)據(jù)共同產(chǎn)生一個口令字 這兩種方案均需要認(rèn)證服務(wù)器端也產(chǎn)生與用戶端相同的口令字 或檢驗簽字 用于驗證用戶身份 12 2 2信息認(rèn)證技術(shù)1 信息認(rèn)證的目標(biāo)信息認(rèn)證的主要目標(biāo)包括 1 可信性 信息的來源是可信的 即信息接收者能夠確認(rèn)所獲得的信息不是由冒充者所發(fā)出的 2 完整性 要求信息在傳輸過程中保證其完整性 也即信息接收者能夠確認(rèn)所獲得的信息在傳輸過程中沒有被修改 遺失和替換 3 不可抵賴性 要求信息的發(fā)送方不能否認(rèn)自己所發(fā)出的信息 同樣 信息的接收方不能否認(rèn)已收到了信息 4 保密性 對敏感的文件進(jìn)行加密 即使別人截獲文件也無法得到其內(nèi)容 2 基于私有密鑰體制的信息認(rèn)證基于私有密鑰 PrivateKey 私鑰 體制的信息認(rèn)證是一種傳統(tǒng)的信息認(rèn)證方法 這種方法采用對稱加密算法 也就是說 信息交換雙方共同約定一個口令或一組密碼 建立一個通信雙方共享的密鑰 通信的甲方將要發(fā)送的信息用私鑰加密后傳給乙方 乙方用相同的私鑰解密后獲得甲方傳遞的信息 由于通信雙方共享同一密鑰 通信的乙方可以確定信息是由甲方發(fā)出的 這是一種最簡單的信息來源的認(rèn)證方法 圖12 1是對稱加密示意圖 圖12 1對稱加密示意圖 對稱加密算法在電子商務(wù)交易過程中存在三個問題 1 要求提供一條安全的渠道使通信雙方在首次通信時協(xié)商一個共同的密鑰 直接的面對面協(xié)商可能是不現(xiàn)實而且難于實施的 所以雙方可能需要借助于郵件和電話等其他相對不夠安全的手段來進(jìn)行協(xié)商 2 密鑰的數(shù)目將快速增長而變得難于管理 因為每一對可能的通信實體需要使用不同的密鑰 很難適應(yīng)開放社會中大量的信息交流 3 對稱加密算法一般不能提供信息完整性的鑒別 3 基于公開密鑰體制的信息認(rèn)證與對稱加密算法不同 公開密鑰加密體系采用的是非對稱加密算法 使用公開密鑰算法需要兩個密鑰 公開密鑰 PublicKey 公鑰 和私有密鑰 如果用公開密鑰對數(shù)據(jù)進(jìn)行加密 只有用對應(yīng)的私有密鑰才能進(jìn)行解密 如果用私有密鑰對數(shù)據(jù)進(jìn)行加密 則只有用對應(yīng)的公開密鑰才能解密 圖12 2是使用公鑰加密和對應(yīng)的私鑰解密的示意圖 圖12 2使用公鑰加密和對應(yīng)的私鑰解密的示意圖 4 數(shù)字簽字和驗證對文件進(jìn)行加密只解決了第一個問題 而防止他人對傳輸?shù)奈募M(jìn)行破壞 以及如何確定發(fā)信人的身份還需要采取其他的手段 數(shù)字簽字 Digita1Signature 及驗證 Verification 就是實現(xiàn)信息在公開網(wǎng)絡(luò)上的安全傳輸?shù)闹匾椒?圖12 3顯示了數(shù)字簽字和驗證的傳輸過程 圖12 3數(shù)字簽字和驗證過程示意圖 1 發(fā)送方首先用哈希函數(shù)將需要傳送的消息轉(zhuǎn)換成報文摘要 2 發(fā)送方采用自己的私有密鑰對報文摘要進(jìn)行加密 形成數(shù)字簽字 3 發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報文后面 傳遞給接收方 4 接受方使用發(fā)送方的公有密鑰對數(shù)字簽字進(jìn)行解密 得到發(fā)送方形成的報文摘要 5 接收方用哈希函數(shù)將接收到的報文轉(zhuǎn)換成報文摘要 與發(fā)送方形成的報文摘要相比較 若相同 說明文件在傳輸過程中沒有被破壞 5 時間戳在電子商務(wù)交易文件中 時間是十分重要的信息 同書面文件類似 文件簽署的日期也是防止電子文件被偽造和篡改的關(guān)鍵性內(nèi)容 數(shù)字時間戳服務(wù) Digita1TimeStampsever DTS 是網(wǎng)上電子商務(wù)安全服務(wù)項目之一 它能提供電子文件的日期和時間信息的安全保護(hù) 時間戳 TimeStamp 是一個經(jīng)加密后形成的憑證文檔 它包括需加時間戳的文件的摘要 Digest DTS收到文件的日期和時間 DTS的數(shù)字簽字三個部分 12 2 3通過認(rèn)證機(jī)構(gòu)認(rèn)證1 數(shù)字證書根據(jù)聯(lián)合國 電子簽字示范法 第一條 證書 系指可證實簽字人與簽字生成數(shù)據(jù)有聯(lián)系的某一數(shù)據(jù)電文或其他記錄 最常用的CA證書是數(shù)字證書 數(shù)字證書按照不同的分類有多種形式 如個人數(shù)字證書和單位數(shù)字證書 SSL數(shù)字證書和SET數(shù)字證書等 數(shù)字證書由申請證書主體的信息和發(fā)行證書的CA簽字兩部分組成 參見圖12 4 圖12 4數(shù)字證書的組成 2 認(rèn)證機(jī)構(gòu)認(rèn)證機(jī)構(gòu) CertificateAuthority CA 在電子商務(wù)中具有特殊的地位 它是為了從根本上保障電子商務(wù)交易活動順利進(jìn)行而設(shè)立的 主要是解決電子商務(wù)活動中交易參與各方身份 資信的認(rèn)定 維護(hù)交易活動的安全 CA是提供身份驗證的第三方機(jī)構(gòu) 由一個或多個用戶信任的組織實體構(gòu)成 例如 持卡人要與商家通信 持卡人從公開媒體上獲得了商家的公開密鑰 但持卡人無法確定商家不是冒充的 是有信譽(yù)的 于是持卡人請求CA對商家認(rèn)證 CA對商家進(jìn)行調(diào)查 驗證和鑒別后 將包含商家PublicKey 公鑰 的證書傳給持卡人 同樣 商家也可對持卡人進(jìn)行驗證 如圖12 5所示 圖12 5CA認(rèn)證 3 電子商務(wù)的CA認(rèn)證體系電子商務(wù)CA體系包括兩大部分 即符合SET標(biāo)準(zhǔn)的SETCA認(rèn)證體系 又叫 金融CA 體系 和基于X 509的PKICA體系 又叫 非金融CA 體系 1 SETCASET中CA的層次結(jié)構(gòu)如圖12 6所示 圖12 6SET中CA的層次結(jié)構(gòu) 2 PKICAPKI是電子商務(wù)安全保障的重要基礎(chǔ)設(shè)施之一 它具有多種功能 能夠提供全方位的電子商務(wù)安全服務(wù) 圖12 7是PKI的主要功能和服務(wù)的匯總 圖12 7PKI的主要功能和服務(wù) 一個典型的PKI應(yīng)用系統(tǒng)包括五個部分 密鑰管理子系統(tǒng) 密鑰管理中心 證書受理子系統(tǒng) 注冊系統(tǒng) 證書簽發(fā)子系統(tǒng) 簽發(fā)系統(tǒng) 證書發(fā)布子系統(tǒng) 證書發(fā)布系統(tǒng) 目錄服務(wù)子系統(tǒng) 證書查詢驗證系統(tǒng) 圖12 8顯示了PKI體系的構(gòu)成 圖12 8PKI體系的構(gòu)成 4 證書的樹形驗證結(jié)構(gòu)在兩方通信時 通過出示由某個CA簽發(fā)的證書來證明自己的身份 如果對簽發(fā)證書的CA本身不信任 則可驗證CA的身份 依次類推 一直到公認(rèn)的權(quán)威CA處 就可確信證書的有效性 SET證書正是通過信任層次來逐級驗證的 每一個證書與數(shù)字化簽發(fā)證書的實體的簽字證書關(guān)聯(lián) 沿著信任樹一直到一個公認(rèn)的信任組織 就可確認(rèn)該證書是有效的 例如 C的證書是由名稱為B的CA簽發(fā)的 而B的證書又是由名稱為A的CA簽發(fā)的 A是權(quán)威的機(jī)構(gòu) 通常稱為根認(rèn)證中心 RootCA 驗證到了RootCA處 就可確信C的證書是合法的 參見圖12 9 圖12 9證書的樹形驗證結(jié)構(gòu) 5 帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng)安全電子商務(wù)使用的文件傳輸系統(tǒng)大都帶有數(shù)字簽字和數(shù)字證書 其基本流程如圖12 10所示 圖12 10帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng) 圖12 10顯示了整個文件加密傳輸?shù)?0個步驟 1 在發(fā)送方的網(wǎng)站上 將要傳送的信息通過哈希函數(shù)變換為預(yù)先設(shè)定長度的報文摘要 2 利用發(fā)送方的私鑰給報文摘要加密 結(jié)果是數(shù)字簽字 3 將數(shù)字簽字和發(fā)送方的認(rèn)證證書附在原始信息上打包 使用DES算法生成的對稱密鑰在發(fā)送方的計算機(jī)上為信息包加密 得到加密信息包 4 用預(yù)先收到的接收方的公鑰為對稱密鑰加密 得到數(shù)字信封 5 加密信息和數(shù)字信封合成一個新的信息包 通過因特網(wǎng)將加密信息和數(shù)字信封傳到接收方的計算機(jī)上 6 用接收方的私鑰解密數(shù)字信封 得到對稱密鑰 7 用還原的對稱密鑰解密加密信息 得到原始信息 數(shù)字簽字和發(fā)送方的認(rèn)證證書 8 用發(fā)送方公鑰 置于發(fā)送方的認(rèn)證證書中 解密數(shù)字簽字 得到報文摘要 9 將收到的原始信息通過哈希函數(shù)變換為報文摘要 10 將第8步和第9步得到的信息摘要加以比較 以確認(rèn)信息的完整性 6 認(rèn)證機(jī)構(gòu)在電子商務(wù)中的地位和作用電子商務(wù)認(rèn)證機(jī)構(gòu)對登記者履行下列監(jiān)督管理職責(zé) 1 監(jiān)督登記者按照規(guī)定辦理登記 變更 注銷手續(xù) 2 監(jiān)督登記者按照電子商務(wù)的有關(guān)法律法規(guī)合法從事經(jīng)營活動 3 制止和查處登記人的違法交易活動 保護(hù)交易人的合法權(quán)益 12 2 4我國電子商務(wù)認(rèn)證機(jī)構(gòu)的建設(shè) 1 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的不同思路關(guān)于認(rèn)證機(jī)構(gòu)的建設(shè) 目前有三種典型的思路 1 地區(qū)主管部門認(rèn)為應(yīng)當(dāng)以地區(qū)為中心建立認(rèn)證中心 2 行業(yè)主管部門認(rèn)為應(yīng)當(dāng)以行業(yè)為中心建立認(rèn)證中心 3 也有人提出建立幾個國家級行業(yè)安全認(rèn)證中心 2 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的基本原則電子商務(wù)認(rèn)證機(jī)構(gòu)的建設(shè) 應(yīng)當(dāng)遵循以下原則 1 權(quán)威性原則 2 真實性原則 認(rèn)證機(jī)構(gòu)所提供的各類信息 必須真實 準(zhǔn)確 完整 可靠 嚴(yán)禁為客戶提供虛假信息 3 機(jī)密性原則 認(rèn)證機(jī)構(gòu)的工作人員應(yīng)當(dāng)具有良好的政治素質(zhì) 忠于職守 保證信息不被泄露給非授權(quán)人或?qū)嶓w 同時 應(yīng)當(dāng)配備先進(jìn)的安全設(shè)備 能夠有效防范外界黑客的非法入侵 4 快捷性原則 認(rèn)證機(jī)構(gòu)的工作人員和設(shè)備都應(yīng)當(dāng)具有快速的反應(yīng)能力 能夠在很短的時間內(nèi)處理各種客戶認(rèn)證業(yè)務(wù) 5 經(jīng)濟(jì)性原則 3 國家級電子商務(wù)認(rèn)證機(jī)構(gòu)的設(shè)立同傳統(tǒng)的交易一樣 電子商務(wù)交易主要涉及下述幾個方面的任務(wù) 1 身份認(rèn)證 2 資信認(rèn)證 3 稅收認(rèn)證 4 外貿(mào)認(rèn)證為便于開展業(yè)務(wù) 國家認(rèn)證中心可以在各省和直轄市設(shè)立相應(yīng)的分支機(jī)構(gòu) 從而形成類似于管理上直線職能制組織結(jié)構(gòu)的認(rèn)證系統(tǒng) 參見圖12 11 圖12 11國家電子商務(wù)認(rèn)證中心組織結(jié)構(gòu)設(shè)想圖 國家電子商務(wù)認(rèn)證中心主要承擔(dān)根認(rèn)證工作 這些工作包括 1 對職能認(rèn)證系統(tǒng)和省市分認(rèn)證中心進(jìn)行政策指導(dǎo)和業(yè)務(wù)管理 2 匯總職能認(rèn)證中心和省市分認(rèn)證中心的數(shù)據(jù) 3 負(fù)責(zé)數(shù)字憑證的管理與簽發(fā) 4 提供數(shù)字時間戳服務(wù) 5 負(fù)責(zé)使用者密碼的產(chǎn)生與保管 6 對交易糾紛提供證明資料等 12 3防止黑客入侵 12 3 1黑客的基本概念黑客 Hacker 源于英語動詞Hack 意為 劈 砍 引申為 辟出 開辟 進(jìn)一步的意思是 干了一件非常漂亮的工作 在20世紀(jì)麻省理工學(xué)院校園俚語中 黑客 則有 惡作劇 之意 到了60 70年代 它又專用來形容獨立思考卻奉公守法的計算機(jī)迷 今天的黑客可分為兩類 一類是駭客 他們只想引人注目 證明自己的能力 在進(jìn)入網(wǎng)絡(luò)系統(tǒng)后 不會去破壞系統(tǒng) 或者僅僅會做一些無傷大雅的惡作劇 他們追求的是從侵入行為本身獲得巨大的成功的滿足 另一類黑客是竊客 他們的行為帶有強(qiáng)烈的目的性 12 3 2網(wǎng)絡(luò)黑客常用的攻擊手段1 口令攻擊2 服務(wù)攻擊黑客所采用的服務(wù)攻擊手段主要有四種 1 和目標(biāo)主機(jī)建立大量的連接 2 向遠(yuǎn)程主機(jī)發(fā)送大量的數(shù)據(jù)包 3 利用即時消息功能 以極快的速度用無數(shù)的消息 轟炸 某個特定用戶 4 利用網(wǎng)絡(luò)軟件在實現(xiàn)協(xié)議時的漏洞 3 電子郵件轟炸用數(shù)百條消息填塞某人的E mail信箱也是一種在線襲擾的方法 當(dāng)用戶受到這種叫做 電子郵件炸彈 E mailBomb 的攻擊后 用戶就會在很短的時間內(nèi)收到大量的電子郵件 這樣使得用戶系統(tǒng)的正常業(yè)務(wù)不能開展 系統(tǒng)功能喪失 嚴(yán)重時會使系統(tǒng)關(guān)機(jī) 甚至使整個網(wǎng)絡(luò)癱瘓 還有一種方法是郵件直接夾帶或在附件中夾帶破壞性執(zhí)行程序 用戶不小心點擊了這類郵件或附件 就會自動啟動有害程序 帶來不可預(yù)測的嚴(yán)重后果 4 利用文件系統(tǒng)入侵FTP 文件傳輸協(xié)議 是因特網(wǎng)上最早應(yīng)用的不同系統(tǒng)之間交換數(shù)據(jù)的協(xié)議之一 FTP的實現(xiàn)依靠TCP在主機(jī)之間進(jìn)行的數(shù)據(jù)傳輸 只要安裝了FTP客戶和服務(wù)程序 就可以在不同的主機(jī) 硬件和操作系統(tǒng)都可以不同 之間進(jìn)行數(shù)據(jù)交換 如果FTP服務(wù)器上的用戶權(quán)限設(shè)置不當(dāng)或保密程度不好 極易造成泄密事件 5 計算機(jī)病毒計算機(jī)病毒 是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù) 影響計算機(jī)使用 并能自我復(fù)制的一組計算機(jī)指令或者程序代碼 6 IP欺騙IP欺騙是適用于TCP IP環(huán)境的一種復(fù)雜的技術(shù)攻擊 它偽造他人的源地址 讓一臺計算機(jī)來扮演另一臺計算機(jī) 借以達(dá)到蒙混過關(guān)的目的 IP欺騙主要包括簡單的地址偽造和序列號預(yù)測兩種 12 3 3防范黑客攻擊的主要技術(shù)手段1 入侵檢測技術(shù)2 防火墻技術(shù)1 傳統(tǒng)防火墻傳統(tǒng)防火墻的類型主要有三種 包過濾 應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān) 2 新型防火墻TCP IP的數(shù)據(jù)鏈路層一直到應(yīng)用層施加全方位的控制 新型防火墻的系統(tǒng)構(gòu)成如圖12 12所示 圖12 12新型防火墻的系統(tǒng)構(gòu)成 3 物理隔離技術(shù)物理隔離技術(shù)是近年來發(fā)展起來的防止外部黑客攻擊的有效手段 物理隔離產(chǎn)品主要有物理隔離卡和隔離網(wǎng)閘 即使黑客寫了一段很高明的程序進(jìn)入了內(nèi)網(wǎng) 他也無法竊取到任何保密數(shù)據(jù) 參見圖12 13 圖12 13物理隔離卡工作示意圖 物理隔離交換機(jī)不但具有傳統(tǒng)交換機(jī)的功能 而且增加了選擇網(wǎng)絡(luò)的能力 參見圖12 14 圖12 14物理隔離網(wǎng)閘示意圖 12 4網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度 12 4 1網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度的涵義網(wǎng)絡(luò)交易系統(tǒng)安全管理制度是用文字形式對各項安全要求所做的規(guī)定 它是保證企業(yè)網(wǎng)絡(luò)營銷取得成功的重要基礎(chǔ)工作 是企業(yè)網(wǎng)絡(luò)營銷人員安全工作的規(guī)范和準(zhǔn)則 企業(yè)在參與網(wǎng)絡(luò)營銷伊始 就應(yīng)當(dāng)形成一套完整的 適應(yīng)于網(wǎng)絡(luò)環(huán)境的安全管理制度 這些制度應(yīng)當(dāng)包括人員管理制度 保密制度 跟蹤審計制度 系統(tǒng)維護(hù)制度 數(shù)據(jù)備份制度 病毒定期清理制度等 12 4 2人員管理制度 1 嚴(yán)格網(wǎng)絡(luò)營銷人員的選拔 將經(jīng)過一定時間的考察 責(zé)任心強(qiáng) 講原則 守紀(jì)律 了解市場 懂得營銷 具有基本網(wǎng)絡(luò)知識的人員委派到這種崗位上 2 落實工作責(zé)任制 不僅要求網(wǎng)絡(luò)營銷人員完成規(guī)定的營銷任務(wù) 而且要求他們嚴(yán)格遵守企業(yè)的網(wǎng)絡(luò)營銷安全制度 特別是在當(dāng)前企業(yè)人員流動頻率較高的情況下 更要明確網(wǎng)絡(luò)營銷人員的責(zé)任 對違反網(wǎng)絡(luò)交易安全規(guī)定的行為應(yīng)堅決進(jìn)行打擊 對有關(guān)人員要進(jìn)行及時處理 3 貫徹電子商務(wù)安全運作的基本原則 12 4 3保密制度電子商務(wù)涉及企業(yè)的市場 生產(chǎn) 財務(wù) 供應(yīng)等多方面的機(jī)密 需要很好地劃分信息的安全級別 確定安全防范重點 提出相應(yīng)的保密措施 信息的安全級別一般可分為三級 1 絕密級 如公司經(jīng)營狀況報告 訂 出貨價格 公司的發(fā)展規(guī)劃等 此部分網(wǎng)址 密碼不在因特網(wǎng)絡(luò)上公開 只限于公司高層人員掌握 2 機(jī)密級 如公司的日常管理情況 會議通知等 此部分網(wǎng)址 密碼不在因特網(wǎng)絡(luò)上公開 只限于公司中層以上人員使用 3 秘密級 12 4 4跟蹤 審計 稽核制度跟蹤制度要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機(jī)制 用來記錄系統(tǒng)運行的全過程 系統(tǒng)日志文件是自動生成的 內(nèi)容包括操作日期 操作方式 登錄次數(shù) 運行時間 交易內(nèi)容等 它對于系統(tǒng)的運行監(jiān)督 維護(hù)分析 故障恢復(fù) 對于防止案件的發(fā)生或在發(fā)生案件后為偵破提供監(jiān)督數(shù)據(jù) 都可以起到非常重要的作用 12 4 5網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度1 硬件的日常管理和維護(hù)1 網(wǎng)絡(luò)設(shè)備 1 可管設(shè)備 2 不可管設(shè)備 2 服務(wù)器和客戶機(jī)3 通信線路2 軟件的日常管理和維護(hù)1 支撐軟件對于操作系統(tǒng) 一般需要進(jìn)行以下的維護(hù)工作 1 定期清理日志文件 臨時文件 2 定期整理文件系統(tǒng) 3 監(jiān)測服務(wù)器上的活動狀態(tài)和用戶注冊數(shù) 4 處理運行中的死機(jī)情況等 2 應(yīng)用軟件3 數(shù)據(jù)備份制度12 4 6用戶管理廣域網(wǎng)上一般都有幾個至十幾個應(yīng)用系統(tǒng) 每個應(yīng)用系統(tǒng)都設(shè)置了若干角色 用戶管理的任務(wù)就是增加 刪除用戶 增加 修改用戶組號 例如 要增加一個用戶 須進(jìn)行如下工作 以UNIX為例 1 在用戶使用的客戶機(jī)上增加用戶并分配組號 2 在用戶使用的服務(wù)器數(shù)據(jù)庫上增加用戶并分配組號 3 分配該用戶的廣域網(wǎng)訪問權(quán)限 12 4 7病毒防范制度1 安裝防病毒軟件2 認(rèn)真執(zhí)行病毒定期清理制度3 控制權(quán)限12 4 8應(yīng)急措施目前運用的數(shù)據(jù)恢復(fù)技術(shù)主要是瞬時復(fù)制技術(shù) 遠(yuǎn)程磁盤鏡像技術(shù)和數(shù)據(jù)庫恢復(fù)技術(shù) 1 瞬時復(fù)制技術(shù)2 遠(yuǎn)程磁盤鏡像技術(shù)3 數(shù)據(jù)庫恢復(fù)技術(shù) 12 5電子商務(wù)交易安全的法律保障 12 5 1電子合同法律制度1 電子合同及其書面形式合同 亦稱契約 根據(jù)我國 民法通則 第85條的規(guī)定 合同是當(dāng)事人之間設(shè)立 變更 終止民事關(guān)系的協(xié)議 依法成立的合同 受法律保護(hù) 合同是當(dāng)事人在地位平等基礎(chǔ)上自愿協(xié)商產(chǎn)生的 它反映了雙方或多方意思表示一致的法律行為 現(xiàn)階段 合同已經(jīng)成為保障市場經(jīng)濟(jì)正常運行的重要手段 這種方法具有以下特點 1 電子數(shù)據(jù)的易消失性 2 電子數(shù)據(jù)作為證據(jù)的局限性 3 電子數(shù)據(jù)的易改動性 2 電子合同的訂立1 當(dāng)事人所在地2 要約與邀請要約3 接受要約4 發(fā)出和收到 參照 聯(lián)合國銷售公約 和 電子商務(wù)示范法 電子合同收到和發(fā)出的時間與地點應(yīng)符合以下規(guī)定 1 除非當(dāng)事人另有約定 數(shù)據(jù)電文的發(fā)出時間以其進(jìn)入發(fā)端人或代表發(fā)端人發(fā)送數(shù)據(jù)電文的人控制范圍之外的某一信息系統(tǒng)的時間為準(zhǔn) 2 除非當(dāng)事人另有約定 收件人為接收數(shù)據(jù)電文指定了某一信息系統(tǒng)的 以數(shù)據(jù)電文進(jìn)入該指定信息系統(tǒng)的時間為收到時間 3 除非發(fā)端人和收件人另有約定 數(shù)據(jù)電文以發(fā)端人設(shè)有營業(yè)地的地點視為其發(fā)出地點 以收件人設(shè)有營業(yè)地的地點視為其收到地點 5 自動交易合同無法律效力 并且不可執(zhí)行 1 該自動計算機(jī)系統(tǒng)未提供該自然人預(yù)防或者糾正錯誤的機(jī)會的 2 該自然人在發(fā)現(xiàn)錯誤后盡實際可能立即將該錯誤通知對方并指出自己在數(shù)據(jù)電文中造成錯誤的 3 該自然人采取合理步驟 包括遵照對方指示采取步驟退還因錯誤而可能接受到的任何貨物或服務(wù) 或者根據(jù)指示銷毀這種貨物或服務(wù)的 4 該自然人沒有獲得可能從對方收受到的任何貨物或服務(wù)產(chǎn)生的任何重大利益和價值或從中受益的 6 形式要求7 擬由當(dāng)事人提供的一般資料12 5 2電子簽字法律制度1 電子簽字 Electronicsignature 的概念2 電子簽字的功能以紙張為基礎(chǔ)的傳統(tǒng)簽字主要是為了履行下述功能 1 確定一個人的身份 2 肯定是該人自己的簽字 3 使該人與文件內(nèi)容發(fā)生關(guān)系 3 電子簽字中當(dāng)事各方的基本行為規(guī)范在證書中 提供商應(yīng)提供基本資料 使依賴方能夠鑒定供應(yīng)商的身份 1 證書中所指明的人在簽字時擁有對簽字裝置的控制權(quán) 2 在證書簽發(fā)之日或之前簽字裝置運作正常 在與依賴方的交往中 證書服務(wù)提供商還應(yīng)提供關(guān)于下列方面的附加信息 1 用以鑒別簽字人的方法 2 對簽字裝置或證書的可能用途或使用金額上的任何限制 3 簽字裝置的運作狀況 4 測驗服務(wù)供應(yīng)商責(zé)任范圍或程度的任何限制 5 是否存在簽字人發(fā)出關(guān)于簽字裝置已經(jīng)失密的通知的途徑 6 是否提供及時的撤銷服務(wù) 4 符合電子簽字的法律要求可靠的電子簽字應(yīng)符合下列條件 1 簽字生成數(shù)據(jù)在其使用的范圍內(nèi)與簽字人而不是還與其他任何人相關(guān)聯(lián) 2 簽字生成數(shù)據(jù)在簽字時處于簽字人而不是處于其他任何人的控制之中 3 凡在簽字后對電子簽字的任何篡改均可被覺察 4 如果簽字的法律要求目的是對簽字涉及的信息的完整性提供保證 則凡在簽字后對該信息的任何篡改均可被覺察 5 我國法律對電子簽字法律地位的態(tài)度12 5 3我國電子商務(wù)交易安全的法律保護(hù)1 我國涉及交易安全的法律法規(guī) 我國現(xiàn)行涉及交易安全的法律法規(guī)主要有四類 1 綜合性法律 主要是民法通則和刑法中有關(guān)保護(hù)交易安全的條文 2 規(guī)范交易主體的有關(guān)法律 如公司法 國有企業(yè)法 集體企業(yè)法 合伙企業(yè)法 私營企業(yè)法 外資企業(yè)法等 3 規(guī)范交易行為的有關(guān)法律 包括經(jīng)濟(jì)合同法 產(chǎn)品質(zhì)量法 財產(chǎn)保險法 價格法 消費者權(quán)益保護(hù)法 廣告法 反不正當(dāng)競爭法等 4 監(jiān)督交易行為的有關(guān)法律 如會計法 審計法 票據(jù)法 銀行法等 2 我國涉及計算機(jī)安全的法律法規(guī)我國的計算機(jī)安全立法工作開始于20世紀(jì)80年代 1991年5月24日 國務(wù)院第八十三次常委會會議通過了 計算機(jī)軟件保護(hù)條例 1996年3月 國家新聞出版署發(fā)布了 電子出版物暫行規(guī)定 2002年6月 國家新聞出版署與信息產(chǎn)業(yè)部又聯(lián)合發(fā)布了 因特網(wǎng)出版管理暫行規(guī)定 文化部于2002年5月發(fā)布了 關(guān)于加強(qiáng)網(wǎng)絡(luò)文化市場管理的通知 3 我國保護(hù)計算機(jī)網(wǎng)絡(luò)安全的法律法規(guī)1 加強(qiáng)國際因特網(wǎng)出入信道的管理 2 市場準(zhǔn)入制度 中華人民共和國計算機(jī)網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 規(guī)定了從事國際因特網(wǎng)經(jīng)營活動和從事非經(jīng)營活動的接入單位必須具備的條件 1 依法設(shè)立的企業(yè)法人或者事業(yè)單位 2 具備相應(yīng)的計算機(jī)信息網(wǎng)絡(luò) 裝備以及相應(yīng)的技術(shù)人員和管理人員 3 具備健全的安全保密管理制度和技術(shù)保護(hù)措施 4 符合法律和國務(wù)院規(guī)定的其他條件 3 安全責(zé)任12 5 4我國電子商務(wù)立法的若干基本問題1 電子商務(wù)立法形式的選擇1 電子商務(wù)法的地位2 電子商務(wù)立法途徑2 電子商務(wù)立法目的1 為電子商務(wù)的健康 快速發(fā)展創(chuàng)造一個良好的法律環(huán)境2 彌補(bǔ)現(xiàn)有法律的缺陷和不足3 鼓勵利用現(xiàn)代信息技術(shù)促進(jìn)交易活動 3 電子商務(wù)立法指導(dǎo)思想與原則1 與聯(lián)合國 電子商務(wù)示范法 保持一致2 不偏重任何技術(shù)3 依賴 功能等同 方法4 跟蹤計算機(jī)技術(shù)的最新發(fā)展4 電子商務(wù)立法范圍1 電子商務(wù)法的調(diào)整對象2 電子商務(wù)法所涉及的技術(shù)范圍3 電子商務(wù)法所涉及的商務(wù)范圍5 電子商務(wù)立法框架 1 第一部分 總則第一章 一般條款 第二章 對數(shù)據(jù)電文適用法律要求 第三章 數(shù)據(jù)電文的形成與傳遞 第四章 電子支付 第五章 認(rèn)證機(jī)構(gòu) 第六章 網(wǎng)絡(luò)服務(wù)商 第七章 政府作用 2 第二部分 電子商務(wù)的特定領(lǐng)域 第八章 網(wǎng)絡(luò)零售業(yè) 包括網(wǎng)絡(luò)零售業(yè)的范圍 市場準(zhǔn)入制度 網(wǎng)絡(luò)零售規(guī)范等 第九章 網(wǎng)絡(luò)廣告業(yè) 包括網(wǎng)絡(luò)廣告的定義 活動主體 行為準(zhǔn)則 網(wǎng)絡(luò)廣告審查等 第十章 知識產(chǎn)權(quán)貿(mào)易 包括網(wǎng)絡(luò)環(huán)境下的版權(quán) 專利 商標(biāo)和技術(shù)成果交易等 第十一章 貨物運輸