电子商务安全与支付XXXX(第3章-电子商务安全的管理保障)22190.pptx

《电子商务安全与支付XXXX(第3章-电子商务安全的管理保障)22190.pptx》由会员分享，可在线阅读，更多相关《电子商务安全与支付XXXX(第3章-电子商务安全的管理保障)22190.pptx（53页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第3章 电子商务安全的管理保障 1学习目标认识电子商务标准管理的意义，掌握电子商务标准管理的内容。了解计算机信息系统管理的内容。掌握网络服务管理和网络用户管理的内容。了解网络广告管理了解数字认证，掌握CFCA认证体系结构。2基本概念电子商务标准 计算机信息系统安全 接入服务 域名管理 网上专用标示制度33.1电子商务标准管理3.1.1电子商务标准的作用标准是电子商务整体框架的重要组成部分标准是电子商务整体框架的重要组成部分电子商务相关标准为实现电子商务提供了电子商务相关标准为实现电子商务提供了统一平台统一平台电子商务标准是电子商务的基本安全屏障电子商务标准是电子商务的基本安全屏障电子商务标准关

2、系到国家的经济安全和经电子商务标准关系到国家的经济安全和经济利益济利益43.1.2电子商务标准研究现状及发展趋势3.1.2.1国际上电子商务标准研究现状信息安全标准 电子商务安全标准 53.1.2.2国内电子商务标准研究现状 近年来，我国信息技术标准工作取得了丰硕的成果。但电子商务相关标准的制定工作相对薄弱。目前除了一些EDI标准及部分相关网络标准是从国际相应标准等同或等效转换而来外，我国还没有出台直接与电子商务的相关标准，包括国家标准、行业标准和地方标准。63.1.3电子商务标准的制定原则电子商电子商务标准体系是将电子商务建设中涉及的所有标准，按其内在联系形成的有序集合和科学整体，包括现有、

3、应有和预计发展的所有电子商务涉及的标准与规定。电子商务标准体系的编制必须遵循以下的原则：7全面性系统性先进性。预见性。可扩充性。83.1.4电子商务标准的体系结构考虑到与国际接轨的要求和我国电子商务发展的实际情况，我国电子商务标准体系可以从五个方面加以设计，即基础标准、安全标准、交易标准、服务标准和EDI标准。整个电子商务标准体系结构如图3-1所示。9图 31电子商务标准体系结构10 电子商务相关标准体系 基础标准计算机基础 标 准基础通讯 标 准网络标准其他基础标 准 安全标准加密标准安全通信协 议其他安全 标 准认证标准交易标准电子合同 标 准智能卡标 准其他操作 标 准电子支付 标 准

4、服务标准资质标准物流标准服务质量 标 准 其他标准 EDI标准单证标准其他标准报文标准3.2计算机信息系统管理3.2.1计算机信息系统安全概述计算机信息系统，按照中华人民共和国计算机信息系统安全保护条例，是指“由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统”。11计算机系统的出现，是人类历史上相当重要的一次信息革命。它从1946年诞生至今，经历了科学计算、过程控制、数据加工、信息处理、人工智能等应用发展过程，功能逐步完善，现已进入大规模的网络系统普及应用阶段。12在实际应用中的计算机信息系统中，每天都面临着这

5、样或那样的威胁。这些威胁有可能是来自外部自然环境的影响，如自然灾害、机器设备的故障等因素，也可能是由于操作使用者自身失误而产生的尽管这些都是偶然的事件，但其发生却是必然的。另外，还存在着少数人进行攻击的威胁、计算机犯罪的威胁，计算机病毒的威胁以及信息战的威胁等方面。133.2.2计算机信息系统安全的内容计算机信息系统实体安全。计算机信息系统运行安全。计算机信息系统信息安全。计算机信息系统人员安全。143.3网络服务和网络用户的管理网络服务业是指以经营提供网络上相关应用服务的事业，如接入服务（Access Service）、域名（Domain Name）服务、网络信息服务、广告服务、商业联机服务

6、等。153.3.1网络服务管理规范3.3.1.1接入服务的管理规范根据国务院批准的信息产业部职能配置、内设机构和人员编制规定，由信息产业部负责对电信与信息服务市场进行监管，实行必要的经营许可制度，并审批和发放通信与信息服务的经营许可证。依据国务院1997年5月20日第218号令发布的中华人民共和国计算机信息网络国际联网管理暂行规定和原国务院信息化工作领导小组印发的中华人民共和国计算机信息网络国际联网管理暂行规定实施办法有关规定，决定自1998年11月1日起对从事计算机信息网络国际联网业务的经营单位实行经营许可证制度。163.3.1.2域名服务管理规范申请域名注册服务机构资格的，应具备下列条件：

7、依法设立的企业法人或事业法人；有与从事域名注册活动相适应的资金和专业人员；有为用户提供长期服务的信誉和能力；有健全的网络与信息安全保障措施；有业务发展计划及相关技术方案；信息产业部规定的其他条件。17注册服务机构在提供注册服务时应遵守以下规定：遵守国家主管部门和CNNIC的相关管理规定；注册服务机构不得代表任何实际或潜在的域名持有人；在域名申请人申请域名时，注册服务机构应当与申请人签订书面注册协议(包括电子形式)；注册服务机构负责审核域名注册申请。182）域名注册规则域名注册管理机构应当根据本办法制定相应的域名注册实施细则，报信息产业部备案后施行。域名注册不得含有以下内容：19反对宪法所确定的

8、基本原则的；危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；损害国家荣誉和利益的；煽动民族仇恨、民族歧视，破坏民族团结的；破坏国家宗教政策，宣扬邪教和封建迷信的；散布谣言，扰乱社会秩序，破坏社会稳定的；散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；侮辱或者诽谤他人，侵害他人合法权益的；含有法律、行政法规禁止的其他内容的。203.3.1.3网络信息服务管理规范1）对经营类互联网信息服务的管理规范国务院新闻办公室、信息产业部2005年9月25日联合发布互联网新闻信息服务管理规定，对从事互联网信息服务机构的基本条件以具体内容作了相关的规定。从事互联网新闻服务机构设立的基本条件：21

9、有健全的互联网新闻信息服务管理规章制度；有5名以上在新闻单位从事新闻工作3年以上的专职新闻编辑人员；有必要的场所、设备和资金，资金来源应当合法。22互联网新闻信息服务单位登载、发送的新闻信息或者提供的时政类电子公告服务，不得含有下列内容：违反宪法确定的基本原则的；危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；损害国家荣誉和利益的；煽动民族仇恨、民族歧视，破坏民族团结的；破坏国家宗教政策，宣扬邪教和封建迷信的；23散布谣言，扰乱社会秩序，破坏社会稳定的；散布淫秽、色情、赌博、暴力、恐怖或者教唆犯罪的；侮辱或者诽谤他人，侵害他人合法权益的；煽动非法集会、结社、游行、示威、聚众扰乱社会秩

10、序的；以非法民间组织名义活动的；含有法律、行政法规禁止的其他内容的。24违反本规定有下列行为之一的，由国务院新闻办公室或者省、自治区、直辖市人民政府新闻办公室依据各自职权责令改正，给予警告，可以并处3万元以下的罚款：未履行备案义务的；未履行报告义务的；未履行记录、记录备份保存或者提供义务的。252）对非经营类互联网信息服务的管理规范为了更好规范互联网信息服务，信息产业部于2005年1月28日审议并通过了非经营性互联网信息服务备案管理办法，并于3月20日开始正式施行。263.3.2网络用户法律规范3.3.2.1接入管理根据中华人民共和国计算机信息网络国际联网管理暂行规定实施办法第十二条的规定，用

11、户使用的计算机或者计算机信息网络必须通过接入网络进行国际联网，不得以其他形式进行国际联网。根据该办法的第十三条，用户向接入单位申请国际互联时，应当提供有效身份证明或者其他证明文件，并填写用户登记表。273.3.2.2使用管理根据中华人民共和国计算机信息网络国际联网管理暂行规定第十三条的规定 根据中华人民共和国计算机信息网络国际联网管理暂行规定实施办法第十八条的规定 用户在有权获得接入单位提供的各项服务时；也有义务交纳费用 遵守Internet的国际惯例 283.4网络广告管理2013年全球因特网上的广告支出已达到447亿美元。2013年中国网络广告市场规模为231.3亿元。由于网络广告涉及的受

12、众面很广，造成的影响面很大，网络广告管理的任务非常繁重。293.4.1网络广告组织的管理在网上从事广告业务的主要是一些大型网络公司、依托网络公司的广告企业以及自建网站的中小广告公司，他们是网络广告组织管理的主要对象。303.4.1.1网站广告经营主体资格的管制从事广告制作和发布属于一种特殊营业行为，因此，只有在工商局注册登记取得许可后方能从事广告发布活动。这是根据商事法和工商管理规则得出的一般性结论，但目前国家立法尚未对此做出明确规规定。313.4.1.2网上专用标识制度为了防范利用网站发布虚假信息和欺诈性广告，一些地区试行网上专用标识制度。323.4.1.3特殊广告发布前的审查管制我国对一些

13、种类的广告实行审查制度。根据广告法第34条，利用广播、电影、电视、报纸、期刊以及其他媒介发布药品、医疗器械、农药、兽药等商品的广告和法律、行政法规规定应当进行审查的其他广告，必须在发布前依照有关法律、行政法规由有关行政主管部门对广告内容进行审查；未经审查，不得发布。333.4.1.4网络广告的第三方评估与监测专业的评估应当包括两方面，首先是量的评估，比较计划和执行在量上的区别。其次是研究广告的衰竭过程，方法是将同步广告每天的点击率在坐标轴上连线。研究每个创意衰竭的时间，为设定更换广告创意间隔提供依据。343.4.1.5强化行业自律网络广告业与其他的市场竞争一样需要行业自律，过度放纵只会使这一行

14、业遭受损失。这里所说的自律包含两层含义，一是网站和网络广告从业人员自身必须遵守广告法和相关法规，抵制不正当竞争和虚假和欺骗广告；二是他们应当在经营的范围内，规制所托管的主页，一旦发现恶意广告行为时，尽善意管理人之法律责任。353.4.2网络广告内容的管理网络广告内容管理，是指对网络广告内容及网络广告活动的管理，它是广告管理的一项特殊内容。由于网络广告内容来源多，信息量大，影响范围广，甚至超越国界，因此对网络广告内容的管理十分重要。对网络广告内容管理的根本目的是为了保障消费者的利益，防止误导，查处欺骗，净化网络空间。而网络广告内容管理的基本要求是：促进公告内容的真实性、合法性和科学性。363.4

15、.2.1真实性所谓真实性，就是网络广告所推广、介绍的商品、服务或信息都是客观存在的，是真实的，而不是弄虚作假的。网络广告上如果挂羊头卖狗肉不仅影响面广，而且是对客户精神上的欺骗和愚弄。为保护广大消费者的权益，必须在网络广告管理中强调真实性的重要性。373.4.2.2合法性所谓合法性，就是要求网络广告在宣传商品、服务或信息的时候，不仅其内容和表现形式都是健康的，而且没有任何侵犯他人专利权、隐私权，在法律上看是合法的。383.4.2.3科学性所谓科学性，就是要求网络广告涉及的内容、观点、方法具有科学依据。网络广告中凡是属于专业性较强的内容，都应当经过规定程序的科学的鉴定与审查，不得有人为臆造、违反

16、科学的内容。393.5电子认证服务机构管理3.5.1电子认证服务提供者电子认证服务提供者，是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构（以下称为“电子认证服务机构”）。电子认证服务机构（Certificate Authority，CA）在电子商务中具有特殊的地位。它是为了从根本上保障电子商务交易活动顺利进行而设立的，主要是为电子签名相关各方提供真实性、可靠性验证的公众服务，解决电子商务活动中交易参与各方身份、资信的认定，维护交易活动的安全。40根据信息产业部电子认证服务管理办法第五条的规定，电子认证服务机构应当具备下列条件：具有独立的企业法人资格；（2）从事电子认证服务的专业技

17、术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名；（3）注册资金不低于人民币三千万元；（4）具有固定的经营场所和满足电子认证服务要求的物理环境；（5）具有符合国家有关安全标准的技术和设备；（6）具有国家密码管理机构同意使用密码的证明文件；（7）法律、行政法规规定的其他条件。41电子认证服务机构主要提供下列服务：制作、签发、管理电子签名认证证书；确认签发的电子签名认证证书的真实性；提供电子签名认证证书目录信息查询服务；提供电子签名认证证书状态信息查询服务。423.5.2我国电子认证服务机构的建设发展国内电子认证服务机构是随着我国电子商务的发展而发展起来的。目前国内角逐电子认证服务市场

18、的几大势力，基本上可按地区类和行业类来划分，前者是由各地方政府支持成立的数字认证中心联合体，目前已成气候的有上海、北京、天津等协作成立的“中国协卡认证体系”以及广东、海南、湖北等省联手的“网证通”CA联盟；后者由特定行业机构纵向组织而成，典型代表是中国金融认证中心（CFCA）、中国电信认证中心（CTCA）、中国邮政认证中心等。其中CFCA和CTCA又是行业性CA中影响最大的两个。43中国金融认证中心（CFCA）由中国人民银行牵头，中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行等十二家商业银行联合共建而成。CFCA具有三层式结构。第一层CA即根CA，设在中国人民银行总行。第二层CA

19、可称为“品牌CA”或“政策CA”。第三层CA可称为运营CA。运营CA由CA系统和证书注册审批机构（RA）两大部分组成。（参见图3-2）。44图 32 CFCA系统体系结构示意图453.5.3我国电子认证机构发展存在的问题认证机构建设呈现无序状态。互联互通水平低。认证机构绝大多数处于亏损状态。463.5.4电子认证机构的管理对电子认证机构的管理主要涉及该机构的成立、运作、终止服务等。47（1）电子认证服务实行许可管理。申请电子认证服务许可的，应当向信息产业部提交书面申请、专业技术人员和管理人员证明、资金和经营场所证明、国家有关认证检测机构出具的技术设备、物理环境符合国家有关安全标准的凭证、国家密

20、码管理机构同意使用密码的证明文件。信息产业部对提交的申请材料进行形式审查，依法作出是否受理的决定。（2）信息产业部自接到申请之日起四十五日内作出许可或者不予许可的书面决定。不予许可的，说明理由并书面通知申请人；准予许可的，颁发电子认证服务许可证，并公布有关电子认证服务许可证编号、电子认证服务机构名称、发证机关和发证日期。电子认证服务许可证的有效期为五年。48（2）在申请了全国通用的数字证书以后，小李却还要申请若干个由不同网银颁布的数字证书，表面原因是各网银的认证标准不同，而深层次原因则是从事电子认证服务机构还没有统一的规范，各个认证机构没有实现互联互通。这种状况阻碍了数字证书的广泛应用。49（

21、3）虽然我国电子签名法已经颁布两年，但电子签名和数字证书在企业和个人中推广与普及还仅仅是开始。这里不仅仅是一个技术问题，还有一个标准问题。电子商务标准的统一，特别是认证标准不统一，不能形成交叉认证，严重阻碍了电子认证的推广。所以，加强电子认证机构的管理和整合对于整个电子商务的发展具有关键性的作用。50本章小结（1）电子商务标准是电子商务活动中各种标准、协议、技术范本、政府文件、法律文书等的集合。主要包括基础标准、安全标准、交易标准、服务标准、EDI标准、其他标准。（2）计算机信息系统安全包括实体安全、信息安全、运行安全和人员安全四个方面的内容。（3）网络服务管理规范包括接入服务的管理规范、域名服务管理规范、网络信息服务管理规范、网络用户法律规范涉及接入管理和使用管理中的法律问题。（4）网络广告管理重要考虑组织管理和内容管理。（5）电子认证服务机构管理在电子商务活动中具有重要的地位和作用，涉及此类机构的成立、运作、终止服务等。51思考题简述我国电子商务标准的发展状况。制定电子商务标准的重要意义体现在哪几个方面？对网络服务的管理体现在哪些方面？为什么需要对网络广告进行管理，网络广告的管理对象是什么？简述国内数字认证机构的发展现状及存在的主要问题。52演讲完毕，谢谢观看！