《电子商务安全管理》PPT课件.ppt

《《电子商务安全管理》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《电子商务安全管理》PPT课件.ppt（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第7章章 电子商务安全管理电子商务安全管理27.1 安全标准与组织安全标准与组织7.2 安全协调机构与政策安全协调机构与政策7.3 信息系统安全保护的相关规定信息系统安全保护的相关规定7.4 电子商务安全管理制度电子商务安全管理制度7.5 电子商务安全的法律保障电子商务安全的法律保障目录目录3引例引例警方破获国内首起警方破获国内首起 网上拍卖诈骗案网上拍卖诈骗案 电子商务时代的安全问题涉及方方面面，电子商务时代的安全问题涉及方方面面，电子商务时代的安全问题涉及方方面面，电子商务时代的安全问题涉及方方面面，我国的法律领域在这些方面还几乎是空白。我国的法律领域在这些方面还几乎是空白。我国的法律领

2、域在这些方面还几乎是空白。我国的法律领域在这些方面还几乎是空白。没有法律的约束，电子商务的安全管理难上没有法律的约束，电子商务的安全管理难上没有法律的约束，电子商务的安全管理难上没有法律的约束，电子商务的安全管理难上加难。加难。加难。加难。47.1 安全标准与组织安全标准与组织7.1.1 7.1.1 制定安全标准的组织制定安全标准的组织7.1.2 7.1.2 因特网标准和组织因特网标准和组织7.1.3 7.1.3 我国的信息安全标准化工作我国的信息安全标准化工作57.1.1 制定安全标准的组织一、国际标准化组织一、国际标准化组织一、国际标准化组织一、国际标准化组织(ISO)(ISO)二、电信标

3、准化部门二、电信标准化部门二、电信标准化部门二、电信标准化部门(ITUT)(ITUT)三、国际信息处理联合会第十一技术委员会三、国际信息处理联合会第十一技术委员会三、国际信息处理联合会第十一技术委员会三、国际信息处理联合会第十一技术委员会(IFIP TC11)(IFIP TC11)四、电气和电子工程师学会四、电气和电子工程师学会四、电气和电子工程师学会四、电气和电子工程师学会(IEEE)(IEEE)五、美国国家标准局与美国商业部国家技术标准研究所五、美国国家标准局与美国商业部国家技术标准研究所五、美国国家标准局与美国商业部国家技术标准研究所五、美国国家标准局与美国商业部国家技术标准研究所六、美

4、国国家标准协会六、美国国家标准协会六、美国国家标准协会六、美国国家标准协会(ANSI)(ANSI)7.1安全标准与组织安全标准与组织6一、国际标准化组织一、国际标准化组织（ISO）OSIOSIOSIOSI基本参考模型提供的五种安全服务：基本参考模型提供的五种安全服务：验证服务验证服务 访问控制服务访问控制服务 数据保密服务数据保密服务 数据完整性服务数据完整性服务 不可否认服务不可否认服务7.1安全标准与组织安全标准与组织7ISO的主页7.1安全标准与组织安全标准与组织8ITUT的主页7.1安全标准与组织安全标准与组织9IFIP的主页7.1安全标准与组织安全标准与组织10IEEE的主页7.1安

5、全标准与组织安全标准与组织11NIST的主页7.1安全标准与组织安全标准与组织12ANSI的主页7.1安全标准与组织安全标准与组织137.1.2 7.1.2 因特网标准与组织因特网标准与组织 一、因特网体系一、因特网体系一、因特网体系一、因特网体系7.1安全标准与组织安全标准与组织14ISOC的主页7.1安全标准与组织安全标准与组织15IAB的主页7.1安全标准与组织安全标准与组织16IETF的主页7.1安全标准与组织安全标准与组织17IRTF的主页7.1安全标准与组织安全标准与组织18RFC的主页7.1安全标准与组织安全标准与组织19 二、因特网安全运作指导方针二、因特网安全运作指导方针二、

6、因特网安全运作指导方针二、因特网安全运作指导方针7.1安全标准与组织安全标准与组织207.1.3 7.1.3 我国的信息安全标准化工作我国的信息安全标准化工作7.1安全标准与组织安全标准与组织217.2.1 7.2.1 国际信息安全协调机构国际信息安全协调机构1988198819881988“莫里斯病毒事件莫里斯病毒事件莫里斯病毒事件莫里斯病毒事件”作用：作用：作用：作用：解决解决InternetInternet上存在的安全问题，调查上存在的安全问题，调查InternetInternet的脆弱的脆弱性和发布信息性和发布信息CERT/CCCERT/CCCERT/CCCERT/CC三类工作三类工作

7、三类工作三类工作：提供问题解决方案提供问题解决方案 建立脆弱问题数据库建立脆弱问题数据库 进行信息反馈进行信息反馈7.2安全协调机构与政策安全协调机构与政策22CERT/CC的主页7.2安全协调机构与政策安全协调机构与政策237.2.2 7.2.2 我国的信息安全管理机构及原则我国的信息安全管理机构及原则一、安全管理格局一、安全管理格局一、安全管理格局一、安全管理格局 基本方针：兴利除弊、集中监控、分级管理、保障国家安全基本方针：兴利除弊、集中监控、分级管理、保障国家安全 密码管理方针：统一领导、集中管理、定点研制、专控经营、密码管理方针：统一领导、集中管理、定点研制、专控经营、满足使用满足使

8、用 二、法律政策原则（三层次）二、法律政策原则（三层次）二、法律政策原则（三层次）二、法律政策原则（三层次）一层：从宪法的高度进行规范一层：从宪法的高度进行规范 二层：直接约束计算机安全、因特网安全的法规二层：直接约束计算机安全、因特网安全的法规 三层：对信息内容、信息安全技术、信息安全产品的授权审三层：对信息内容、信息安全技术、信息安全产品的授权审批的规定批的规定 三、机构部门安全管理原则三、机构部门安全管理原则三、机构部门安全管理原则三、机构部门安全管理原则“四有四有”原则原则7.2安全协调机构与政策安全协调机构与政策247.3 信息系统安全保护的相关规定信息系统安全保护的相关规定7.3.

9、1 7.3.1 信息系统安全保护信息系统安全保护7.3.2 7.3.2 国际联网管理国际联网管理7.3.3 7.3.3 商用密钥管理商用密钥管理7.3.4 7.3.4 计算机病毒防治计算机病毒防治7.3.5 7.3.5 安全产品检测与销售安全产品检测与销售257.3信息系统安全保护的相关规定信息系统安全保护的相关规定7.3.1 信息系统安全保护 计算机信息系统的建设和运用，应当遵纪守法计算机信息系统的建设和运用，应当遵纪守法计算机信息系统的建设和运用，应当遵纪守法计算机信息系统的建设和运用，应当遵纪守法 计算机信息系统安全等级保护制度计算机信息系统安全等级保护制度计算机信息系统安全等级保护制度

10、计算机信息系统安全等级保护制度 计算机机房安全管理制度计算机机房安全管理制度计算机机房安全管理制度计算机机房安全管理制度 计算机信息系统国际联网备案制度计算机信息系统国际联网备案制度计算机信息系统国际联网备案制度计算机信息系统国际联网备案制度 计算机信息媒体进出境申报制度计算机信息媒体进出境申报制度计算机信息媒体进出境申报制度计算机信息媒体进出境申报制度 计算机信息系统使用单位安全负责制度计算机信息系统使用单位安全负责制度计算机信息系统使用单位安全负责制度计算机信息系统使用单位安全负责制度 计算机案件强行报告制度计算机案件强行报告制度计算机案件强行报告制度计算机案件强行报告制度 计算机病毒及其

11、有害数据的专管制度计算机病毒及其有害数据的专管制度计算机病毒及其有害数据的专管制度计算机病毒及其有害数据的专管制度 计算机信息系统安全专用产品消受许可证制度计算机信息系统安全专用产品消受许可证制度计算机信息系统安全专用产品消受许可证制度计算机信息系统安全专用产品消受许可证制度267.3信息系统安全保护的相关规定信息系统安全保护的相关规定7.3.2 国际联网管理 中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国计算机信息网络国际联网管理暂行规定 中华人民共和国计算机信息网络国际联网管理暂

12、行规定实施中华人民共和国计算机信息网络国际联网管理暂行规定实施中华人民共和国计算机信息网络国际联网管理暂行规定实施中华人民共和国计算机信息网络国际联网管理暂行规定实施办法办法办法办法 计算机信息网络国际联网安全保护管理办法计算机信息网络国际联网安全保护管理办法计算机信息网络国际联网安全保护管理办法计算机信息网络国际联网安全保护管理办法 中国公用计算机互联网国际联网管理办法中国公用计算机互联网国际联网管理办法中国公用计算机互联网国际联网管理办法中国公用计算机互联网国际联网管理办法 计算机信息网络国际联网出入口信道管理办法计算机信息网络国际联网出入口信道管理办法计算机信息网络国际联网出入口信道管理

13、办法计算机信息网络国际联网出入口信道管理办法 计算机信息系统国际联网保密管理规定计算机信息系统国际联网保密管理规定计算机信息系统国际联网保密管理规定计算机信息系统国际联网保密管理规定 互联网信息服务管理办法互联网信息服务管理办法互联网信息服务管理办法互联网信息服务管理办法 互联网安全保护技术措施规定互联网安全保护技术措施规定互联网安全保护技术措施规定互联网安全保护技术措施规定277.3信息系统安全保护的相关规定信息系统安全保护的相关规定7.3.3 商用密码管理7.3.4 计算机病毒防治7.3.5 安全产品检测与销售287.4 电子商务安全管理制度电子商务安全管理制度7.4.1 7.4.1 信息

14、安全管理制度的内涵信息安全管理制度的内涵7.4.2 7.4.2 网络系统的日常维护制度网络系统的日常维护制度7.4.3 7.4.3 病毒防范制度病毒防范制度7.4.4 7.4.4 人员管理制度人员管理制度7.4.5 7.4.5 保密制度保密制度7.4.6 7.4.6 跟踪、审计、稽核制度跟踪、审计、稽核制度7.4.7 7.4.7 应急措施制度应急措施制度小目录小目录297.4电子商务安全管理制度电子商务安全管理制度7.4.1 7.4.1 信息安全管理制度的内涵信息安全管理制度的内涵 一、计算机信息安全的定义一、计算机信息安全的定义一、计算机信息安全的定义一、计算机信息安全的定义 为数据处理系统

15、建立和采取的技术和管理的安全保护，保护为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露更改和泄露ISOISO 计算机系统有能力控制给定的主体对给定的客体的存取计算机系统有能力控制给定的主体对给定的客体的存取美国防部美国防部可信计算机系统评级准则可信计算机系统评级准则 从保密性、完整性、可用性来衡量从保密性、完整性、可用性来衡量欧欧信息技术安全评信息技术安全评级准则级准则307.4.1 7.4.1 信息安全管理制度的内涵信息安全管理制度的内涵二、计算机信息安全的基本要求（二、

16、计算机信息安全的基本要求（二、计算机信息安全的基本要求（二、计算机信息安全的基本要求（5 5 5 5条）条）条）条）认同用户和鉴别认同用户和鉴别 控制存取控制存取 保障完整性保障完整性 审计审计 容错容错 三、三、三、三、信息安全管理制度信息安全管理制度信息安全管理制度信息安全管理制度 指用文字形式对各项安全要求所作的规定，它是保证企业电指用文字形式对各项安全要求所作的规定，它是保证企业电子商务取得成功的重要基础工作，是企业人员安全工作德规子商务取得成功的重要基础工作，是企业人员安全工作德规范和准则。范和准则。7.4电子商务安全管理制度电子商务安全管理制度317.4.2 7.4.2 网络系统的

17、日常维护制度网络系统的日常维护制度硬件的日常管理和维护硬件的日常管理和维护硬件的日常管理和维护硬件的日常管理和维护 网络设备网络设备 服务器和客户机服务器和客户机 通信线路通信线路软件的日常管理和维护软件的日常管理和维护软件的日常管理和维护软件的日常管理和维护 支撑软件支撑软件 应用软件应用软件数据备份数据备份数据备份数据备份7.4电子商务安全管理制度电子商务安全管理制度327.4.3 7.4.3 病毒防范制度病毒防范制度给自己的计算机安装防病毒软件给自己的计算机安装防病毒软件给自己的计算机安装防病毒软件给自己的计算机安装防病毒软件不打开陌生地址的电子邮件不打开陌生地址的电子邮件不打开陌生地址

18、的电子邮件不打开陌生地址的电子邮件认真执行病毒定期清理制度认真执行病毒定期清理制度认真执行病毒定期清理制度认真执行病毒定期清理制度控制权限控制权限控制权限控制权限高度警惕网络陷阱高度警惕网络陷阱高度警惕网络陷阱高度警惕网络陷阱7.4电子商务安全管理制度电子商务安全管理制度337.4.4 7.4.4 人员管理制度人员管理制度严格选拔网上交易人员严格选拔网上交易人员严格选拔网上交易人员严格选拔网上交易人员落实工作责任制落实工作责任制落实工作责任制落实工作责任制贯彻电子商务安全运作基本原则贯彻电子商务安全运作基本原则贯彻电子商务安全运作基本原则贯彻电子商务安全运作基本原则7.4电子商务安全管理制度电

19、子商务安全管理制度347.4.5 7.4.5 保密制度保密制度绝密级绝密级绝密级绝密级机密级机密级机密级机密级秘密级秘密级秘密级秘密级7.4电子商务安全管理制度电子商务安全管理制度35 7.4.6 7.4.6 跟踪、审计、稽核制度跟踪、审计、稽核制度跟踪制度跟踪制度跟踪制度跟踪制度要求企业建立网络交易系统日志机制，用来记录系统要求企业建立网络交易系统日志机制，用来记录系统要求企业建立网络交易系统日志机制，用来记录系统要求企业建立网络交易系统日志机制，用来记录系统运行的全过程。运行的全过程。运行的全过程。运行的全过程。审计制度审计制度审计制度审计制度包括：经常对系统日志的检查、审核，及时发现系统

20、包括：经常对系统日志的检查、审核，及时发现系统包括：经常对系统日志的检查、审核，及时发现系统包括：经常对系统日志的检查、审核，及时发现系统故意入侵行为的记录和对系统安全功能违反的记录，监控和捕故意入侵行为的记录和对系统安全功能违反的记录，监控和捕故意入侵行为的记录和对系统安全功能违反的记录，监控和捕故意入侵行为的记录和对系统安全功能违反的记录，监控和捕捉各种安全事件，保存、维护和管理系统日志。捉各种安全事件，保存、维护和管理系统日志。捉各种安全事件，保存、维护和管理系统日志。捉各种安全事件，保存、维护和管理系统日志。稽核制度稽核制度稽核制度稽核制度是指工商管理、银行、税务人员利用计算机及网络系

21、是指工商管理、银行、税务人员利用计算机及网络系是指工商管理、银行、税务人员利用计算机及网络系是指工商管理、银行、税务人员利用计算机及网络系统，借助于稽核业务应用软件调阅、查询、审核、判断辖区内统，借助于稽核业务应用软件调阅、查询、审核、判断辖区内统，借助于稽核业务应用软件调阅、查询、审核、判断辖区内统，借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活动的合理性、安全性，堵塞漏各电子商务参与单位业务经营活动的合理性、安全性，堵塞漏各电子商务参与单位业务经营活动的合理性、安全性，堵塞漏各电子商务参与单位业务经营活动的合理性、安全性，堵塞漏洞，保证电子商务交易安全，发出

22、相应的警示或做出处理处罚洞，保证电子商务交易安全，发出相应的警示或做出处理处罚洞，保证电子商务交易安全，发出相应的警示或做出处理处罚洞，保证电子商务交易安全，发出相应的警示或做出处理处罚的有关决定的一系列步骤和措施。的有关决定的一系列步骤和措施。的有关决定的一系列步骤和措施。的有关决定的一系列步骤和措施。7.4电子商务安全管理制度电子商务安全管理制度367.4.7 7.4.7 应急措施制度应急措施制度应急措施应急措施应急措施应急措施 指在计算机指在计算机灾难事件灾难事件灾难事件灾难事件（即紧急事件或安全事故）发生时，利（即紧急事件或安全事故）发生时，利用应急计划、辅助软件和应急设施，排除灾难和

23、故障，保障用应急计划、辅助软件和应急设施，排除灾难和故障，保障计算机信息系统继续运行或紧急恢复。计算机信息系统继续运行或紧急恢复。7.4电子商务安全管理制度电子商务安全管理制度377.5电子商务安全的法律保障电子商务安全的法律保障国际电子商务立法现状国际电子商务立法现状我国电子商务立法现状我国电子商务立法现状国内与电子商务相关的法律法规政策国内与电子商务相关的法律法规政策电子签名法律电子签名法律小目录小目录38国际电子商务立法现状国际电子商务立法现状 一、国际电子商务立法进展一、国际电子商务立法进展一、国际电子商务立法进展一、国际电子商务立法进展 二、国际电子商务立法原则二、国际电子商务立法原

24、则二、国际电子商务立法原则二、国际电子商务立法原则 电子商务基本上应由私营企业来主导电子商务基本上应由私营企业来主导 电子商务应在开放、公平的竞争环境中发展电子商务应在开放、公平的竞争环境中发展 政府干预应在需要时起到促进国际化法律环境建立、公平分配匮乏政府干预应在需要时起到促进国际化法律环境建立、公平分配匮乏资源的作用，而且这种干预应是透明的、少量的、重要的、有目标资源的作用，而且这种干预应是透明的、少量的、重要的、有目标的、非歧视性的、平等的，技术上是中性的的、非歧视性的、平等的，技术上是中性的 使私营企业介入或涉入电子商务政策的制定使私营企业介入或涉入电子商务政策的制定 电子商务交易应使

25、用非电子手段的税收概念相结合电子商务交易应使用非电子手段的税收概念相结合 电信设施建设应是经营者在开放、公平的市场中竞争并逐步实现全电信设施建设应是经营者在开放、公平的市场中竞争并逐步实现全球化球化 保护个人隐私，对个人数据进行加密保护；商家应为消费者提供安保护个人隐私，对个人数据进行加密保护；商家应为消费者提供安全保障设施，并保证用户能方便实施、使用全保障设施，并保证用户能方便实施、使用7.5电子商务安全的法律保障电子商务安全的法律保障39我国电子商务立法现状我国电子商务立法现状 一、我国电子商务立法的相关背景一、我国电子商务立法的相关背景一、我国电子商务立法的相关背景一、我国电子商务立法的

26、相关背景 二、涉及的主要法律问题二、涉及的主要法律问题二、涉及的主要法律问题二、涉及的主要法律问题 三、立法应遵循的指导原则三、立法应遵循的指导原则三、立法应遵循的指导原则三、立法应遵循的指导原则 国内立法指导原则国内立法指导原则 鼓励和发展电子商务是中国电子商务立法的首要前提鼓励和发展电子商务是中国电子商务立法的首要前提 电子商务立法要与宪法和其他已存在的法律法规及我国认同的电子商务立法要与宪法和其他已存在的法律法规及我国认同的国际法保持一致国际法保持一致 电子商务立法要适合中国国情电子商务立法要适合中国国情 中国发展电子商务的指导意见初稿中国发展电子商务的指导意见初稿内容包括：内容包括：电

27、子萨胡电子萨胡的市场准入和后勤问题、电子商务法律框架、金融框架等。的市场准入和后勤问题、电子商务法律框架、金融框架等。7.5电子商务安全的法律保障电子商务安全的法律保障40国内与电子商务相关的法律法规政策国内与电子商务相关的法律法规政策 中华人民共和国电子签名法中华人民共和国电子签名法是我国第一部真正意是我国第一部真正意义上的电子商务法。义上的电子商务法。7.5电子商务安全的法律保障电子商务安全的法律保障41电子签名法律电子签名法律电子签名法的主要特点电子签名法的主要特点电子签名法的主要特点电子签名法的主要特点电子签名国际立法状况电子签名国际立法状况电子签名国际立法状况电子签名国际立法状况我国的电子签名法我国的电子签名法我国的电子签名法我国的电子签名法7.5电子商务安全的法律保障电子商务安全的法律保障Thanks!