第九章电子商务的安全管理ppt课件.ppt

《第九章电子商务的安全管理ppt课件.ppt》由会员分享，可在线阅读，更多相关《第九章电子商务的安全管理ppt课件.ppt（81页珍藏版）》请在三一办公上搜索。

1、第九章 电子商务的安全管理,第一节 电子商务的安全问题,一、网络交易风险凸现,1988年11月2日，美国康奈尔大学学生罗伯特莫瑞斯利用蠕虫程序攻击了Internet网上约6200台小型机和Sun工作站，造成包括美国300多个单位的计算机停止运行，事故经济损失达9600万美元。1994年4月到10月期间，任职于俄国圣彼得堡OA土星公司的弗拉基米尔列列文从本国操纵电脑，通过Internet多次侵入美国花旗银行在华尔街的中央电脑系统的现金管理系统，从花旗银行在阿根廷的两家银行和印度尼西亚的一家银行的几个企业客户的帐户中将40笔款项转移到其同伙在加里福尼亚和以色列银行所开的帐户中，窃走1000万美元。

2、,1997年1月到3月，宁波证券公司深圳业务部的曾定文多次通过证券交易网络私自透支本单位资金928万元炒股；而吴敬文则利用两个股东帐号私自透支本单位资金2033万元炒股。1999年4月19日至21日，由于温保成等人在因特网BBS站点上非法张贴帖子，带头散布谣言，导致了交通银行郑州分行的重大挤兑事件。2000年2月10日和17日秦海在银行窥视骗取两名储户的密码，然后利用电子商务从网上购得手机、快译通等物，共计价值2.7万元人民币。2000年3月6日，刚刚开业的中国最大的全国网上连锁商城开业3天惨遭黑客暗算，网站全线瘫痪，页面被修改，数据库也受到了不同程度的攻击，交易数据破坏严重。,二、网络交易风

3、险源分析,电子商务风险源分析主要是依据对网络交易整个运作过程的考察，确定交易流程中可能出现的各种风险，分析其危害性。1.在线交易主体的市场准入问题 在电子商务环境下，任何人不经登记就可以借助计算机网络发出或接受网络信息，并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易安全性受到严重威胁。电子商务交易安全首先要解决的问题就是确保网上交易主体的真实存在，且确定哪些主体可以进入虚拟市场从事在线业务。,2.信息风险 买卖双方都可能在网络上发布虚假的供求信息，或以过期的信息冒充现在的信息。虚假信息包含有与事实不符和夸大事实两个方面。从技术上看，网络交易的信息风险主要来自冒名偷窃、篡改数据、信

4、息丢失等方面的风险。3.信用风险来自买方的信用风险。来自卖方的信用风险。买卖双方都存在抵赖的情况。,4.网上欺诈犯罪 骗子们利用人们的善良天性，在电子交易活动中频繁欺诈用户，利用电子商务欺诈已经成为一种新型的犯罪活动。5.电子合同问题 电子商务法需要解决由于电子合同与传统合同的差别而引起的诸多问题，突出表现在书面形式，签字有效性、合同收讫、合同成立地点、合同证据等方面。,6.电子支付问题网上支付通过信用卡支付和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。7.在线消费者保护问题 在线市场的虚拟性和开放性，网上购物

5、的便捷性使消费者保护成为突出的问题。在我国商业信用不高的状况下，网上出售的商品可能良莠不齐，质量难以让消费者信赖。网络的开放性和互动性又给个人隐私保护带来麻烦。,8.电子商务中产品交付问题在线交易的标的物分两种，一种有形货物，另一种是无形的信息产品。有形货物的交付仍然可以沿用传统合同法的基本原理。信息产品的交付则具有不同于有形货物交付的特征，对于其权利的移转、退货、交付的完成等需要有相应的安全保障措施。,三、网络交易安全管理的基本思路,1.电子商务的安全要求(1)有效性；(2)机密性；(3)完整性；(4)真实性和不可抵赖性。2.电子商务的安全管理思路电子商务是活动在Internet 平台上的一

6、个涉及信息、资金和物资交易的综合交易系统，其安全对象不是一般的系统，而是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统。它是由商业组织本身（包括营销系统、支付系统、配送系统等）与信息技术系统复合构成的。在分析系统的安全风险，制定相应的安全保护措施时同样需要基于其“复合型”性质，即需要同时考虑其组织和技术体系以及管理过程的性质。,电子商务交易安全要通过人网结合、人机结合，充分发挥各自优势的方法，才能经过综合集成，使系统表现出新的安全性质整体大于部分之和。与电子商务交易系统相适应，电子商务交易安全是一个系统工程。一个完整的网络交易安全体系，至少应包括三类措施，一是技术方面的措施，二

7、是管理方面的措施，三是社会的政策与法律保障。,第二节 电子商务的安全管理方法,一、客户认证技术,客户认证主要包括客户身份认证和客户信息认证。前者用于鉴别用户身份，保证通信双方的身份的真实性；后者用于保证通信双方的不可抵赖性和信息的完整性。（一）身份认证 1.身份认证的目标身份认证包含识别和鉴别两个过程。身份标识是指定用户向系统出示自己的身份证明过程。身份鉴别是系统查核用户的身份证明的过程。身份认证的主要目标包括：（1）确保交易者是交易者本人，而不是其他人。（2）避免与超过权限的交易者进行交易。（3）访问控制。（4）完整性,2.用户身份认证的基本方式用户身份认证可通过三种基本方式或其组合方式实现

8、：（1）用户通过某个秘密信息，例如通过口令访问系统资源。（2）用户知道的某个秘密信息，并且利用包含这一秘密信息的载体访问系统资源。（3）用户利用自身所具有的某些生物学特征，如指纹、声音、DNA图案、视网膜扫描等等。根据在认证中采用因素的多少，可以分为单因素认证、双因素认证，多因素认证等方法。,3.身份认证的单因素法用户身份认证的最简单方法就是口令。这种方法操作简单，但也最不安全。口令进行加密传输是一种改进的方法。4.基于智能卡的用户身份认证基于智能卡的用户身份认证机制属于双因素法。用户的二元组信息预先存于智能卡中，然后在认证服务器中存入某个事先由用户选择的某个随机数。用户访问系统资源时，用户输

9、入二元组信息。系统首先判断智能卡的合法性，然后由智能卡鉴别用户身份，若用户身份合法，再将智能卡中的随机数送给认证服务器作进一步认证。,5.一次口令机制 最安全的身份认证机制是采用一次口令机制，即每次用户登录系统时口令互不相同。主要有两种实现方式。一次口令机制主要有两种实现方式：（1）“请求响答”方式。（2）“时钟同步”机制。,（二）信息认证技术,1.信息认证的目标 信息认证的主要目标包括：（1）可信性。信息的来源是可信的，即信息接收者能够确认所获得的信息不是由冒充者所发出的。（2）完整性。信息接收者能够确认所获得的信息在传输过程中没有被修改、延迟和替换。（3）不可抵赖性。要求通信双方不能否认自

10、己所发出或接收的信息。（4）保密性。对敏感的文件进行加密，即使别人截获文件也无法得到其内容。,2.基于私有密钥体制的信息认证基于私有密钥体制采用了对称加密算法，即信息交换双方共同约定一个口令或一组密码，建立一个通讯双方共享的密钥。通信的甲方将要发送信息用私钥加密后传给乙方，乙方用相同的私钥解密后获得甲方传递的信息（参见图1）。对称加密算法有多种，最常用的是DES算法。对称加密算法在电子商务交易过程中存在三个问题：（1）要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥。（2）密钥的数目将快速增长而变得难于管理。（3）对称加密算法一般不提供信息完整性的鉴别。,图1 对称加密示意图,3

11、.基于公开密钥体制的信息认证公开密钥加密体系采用的是非对称加密算法。使用公开密钥算法需要两个密钥:公开密钥和私有密钥。公开密钥体制常用的加密算法是RSA算法。图2是使用公钥加密和对应的私钥解密的示意图。,图2 使用公钥加密和对应的私钥解密的示意图,4.数字签字和验证文件的数字签字过程实际上是通过一个哈希函数来实现的。哈希函数将需要传送的文件转化为一组具有固定长度的单向Hash值，形成报文摘要。发送方用自己的私有密钥对报文摘要进行加密，然后将其与原始的报文附加在一起，即合称为数字签字。数字签字代表了文件的特征，文件如果发生改变，数字签字的值也将发生变化。数字签字机制提供一种鉴别方法，通过它能够实

12、现对原始报文的鉴别和验证。,图3 数字签字和验证过程示意图,图3显示了数字签字和验证的传输过程。,图3的运作步骤如下：（1）发送方首先用哈希函数，将需要传送的消息转换成报文摘要。（2）发送方采用自己的私有密钥对报文摘要进行加密，形成数字签字。（3）发送方把加密后的数字签字附加在要发送的报文后面，传递给接收方。（4）接受方使用发送方的公有密钥对数字签字进行解密，得到发送方形成的报文摘要。（5）接收方用哈希函数将接收到的报文转换成报文摘要，与发送方形成的报文摘要相比较，若相同，说明文件在传输过程中没有被破坏。,5.时间戳时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括需加时间戳的

13、文件的摘要、DTS收到文件的日期和时间、DTS的数字签字三个部分。时间戳产生的过程为：用户首先将需要加时间戳的文件用Hash函数转化为报文摘要，然后将该摘要加密后发送到提供时间戳服务的机构，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签字），然后送回用户。,（三）通过认证机构认证,1.数字证书 数字证书作为网上交易双方真实身份证明的依据，是一个经证书授权中心（CA）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件，由可信任的、公正的权威机构CA颁发。数字证书按照不同的分类有多种形式，如个人数字证书和单位数字证书，SSL数字证书和SET数字证书等。数字证

14、书由两部分组成：申请证书主体的信息和发行证书的CA签字（参见图4）。,图4 数字证书的组成,2.认证机构（Certificate Authority，CA）认证机构是为了从根本上保障电子商务交易活动顺利进行而设立的，主要是解决电子商务活动中交易参与各方身份、资信的认定，维护交易活动的安全。CA 是提供身份验证的第三方机构，由一个或多个用户信任的组织实体构成。CA 的功能主要有：接收注册请求，处理、批准/拒绝请求，颁发证书。,图5 CA 认证,持卡人要与商家通信，持卡人从公开媒体上获得了商家的公开密钥，但持卡人无法确定商家不是冒充的，于是持卡人请求CA对商家认证，CA对商家进行调查、验证和鉴别后

15、，将包含商家公钥的证书传给持卡人。同样，商家也可对持卡人进行验证，如图5所示。,3.电子商务的CA认证体系电子商务CA体系包括两大部分，即符合SET标准的SET CA认证体系（又叫“金融CA”体系）和基于X.509的 PKI CA体系（又叫“非金融CA”体系）。1）SET CA SET协议中可以看出，由于采用公开密钥加密算法，认证中心（CA）就成为整个系统的安全核心。在SET中，CA所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。SET中CA的层次结构如图6所示。,图6 SET中CA的层次结构,2）PKI CAPKI是提供公钥加密和数字签字服务的安全基础平台，目的是管理密钥和证书。P

16、KI 是创建、颁发、管理、撤消公钥证书所涉及到的所有软件、硬件的集合体。PKI将公开密钥技术、数字证书、证书发放机构（CA）和安全策略等安全措施整合起来，成为目前公认的在大型开放网络环境下解决信息安全问题最可行、最有效的方法。图7是PKI的主要功能和服务的汇总。,图7 PKI的主要功能和服务,图8 PKI体系的构成,一个典型的PKI应用系统包括五个部分：密钥管理子系统、证书受理子系统、证书签发子系统、证书发布子系统、目录服务子系统。,4.证书的树形验证结构在双方通信时，通过出示由某个 CA 签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的权

17、威CA处（参见图9）。,图9 证书的树形验证结构,5.带有数字签字和数字证书的加密系统安全电子商务使用的文件传输系统大都带有数字签字和数字证书，其基本流程如图10所示。,图10 带有数字签字和数字证书的加密系统,图10显示了整个文件加密传输的10个步骤：（1）在发送方的网站上，将要传送的信息通过哈什函数变换为预先设定长度的报文摘要；（2）利用发送方的私钥给报文摘要加密，结果是数字签字；（3）将数字签字和发送方的认证证书附在原始信息上打包，使用DES算法生成的对称密钥在发送方的计算机上为信息包加密，得到加密信息包。（4）用预先收到的接收方的公钥为对称密钥加密，得到数字信封；（5）加密信息和数字信

18、封合成一个新的信息包，通过互联网将加密信息和数字信封传导接收方的计算机上；,（6）用接收方的私钥解密数字信封，得到对称密钥；（7）用还原的对称密钥解密加密信息，得到原始信息、数字签字和发送方的认证证书；（8）用发送方公钥（置于发送方的认证证书中）解密数字签字，得到报文摘要；（9）将收到的原始信息通过哈什函数变换为报文摘要；（10）将第8步和第9步得到的信息摘要加以比较，以确认信息的完整性。,6.认证机构在电子商务中的地位和作用在电子商务交易的撮合过程中，认证机构是提供交易双方验证的第三方机构，由一个或多个用户信任的、具有权威性质的组织实体管理。电子商务认证机构对登记者履行下列监督管理职责：（1

19、）监督登记者按照规定办理登记、变更、注销手续。（2）监督登记者按照电子商务的有关法律法规合法从事经营活动。（3）制止和查处登记人的违法交易活动，保护交易人的合法权益。,（四）我国电子商务认证机构的建设,1.电子商务认证机构建设的不同思路 地区主管部门认为应以地区为中心建立认证中心。行业主管部门认为应以行业为中心建立认证中心。也有人提出建立几个国家级行业安全认证中心，形成一个认证网络，然后，实行相互认证。认证机构的建立，应发挥政府与市场两个方面的积极性。从政府层面上，全国应有国家级的CA认证中心，同时，在各行业设立横向的职能认证机构，在各地区设立纵向的分支认证机构，从而形成类似于企业管理中的直线

20、职能制结构。,2.电子商务认证机构建设的基本原则权威性原则、真实性原则、机密性原则、快捷性原则、经济性原则。3.国家级电子商务认证机构的设立电子商务交易主要涉及身份认证、资信认证、税收认证、外贸认证。这四个方面形成了四个行业认证系统，可以把它们叫做“职能认证系统”。在职能认证系统上面，还需要有一个根认证系统，即国家电子商务认证中心，通管职能认证系统。国家认证中心可以在各省和直辖市设立相应的分支机构，从而形成类似于管理上直线职能制组织结构的认证系统（参见图11）。,图11 国家电子商务认证中心组织结构设想图在职能认证系统,国家电子商务认证中心主要承担根认证工作。这些工作包括：对职能认证系统和省市

21、分认证中心进行政策指导和业务管理。汇总职能认证中心和省市分认证中心的数据。负责数字凭证的管理与签发。提供数字时间戳服务。负责使用者密码的产生与保管。对交易纠纷提供证明资料。,二、网络交易系统的安全管理制度的涵义,网络交易系统安全管理制度是用文字形式对各项安全要求所做的规定，它是保证企业网络营销取得成功的重要基础工作，是企业网络营销人员安全工作的规范和准则。网络交易系统安全管理制度包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。,1.人员管理制度,（1）严格网络营销人员的选拔，将经过一定时间的考察、责任心强、讲原则、守纪律、了解市场、懂得营销、具有基本网

22、络知识的人员委派到岗位。（2）落实工作责任制，不仅要求网络营销人员，完成规定的营销任务，而且要求他们严格遵守企业的网络营销安全制度。（3）贯彻电子商务安全运作基本原则。包括双人负责原则；任期有限原则；最小权限原则等。,2.保密制度,电子商务涉及企业的市场、生产、财务、供应等多方面的机密，需要很好地划分信息的安全级别，确定安全防范重点，提出相应的保密措施。信息的安全级别一般可分为三级：（1）绝密级。此部分网址、密码不在互联网络上公开，只限于公司高层人员掌握。（2）机密级。此部分网址、密码不在互联网络上公开，只限于公司中层以上人员使用。（3）秘密级。此部分网址、密码在互联网络上公开，供消费者浏览，

23、但必须有保护程序，防止黑客入侵。,3.跟踪、审计、稽核制度,跟踪制度要求企业建立网络交易系统日志机制，用来记录系统运行的全过程。审计制度包括经常对系统日志的检查、审核。稽核制度是指工商管理、银行、税务人员发出相应的警示或作出处理处罚的有关决定的一系列步骤及措施。,4.网络系统的日常维护制度,(1)硬件的日常管理和维护1）网络设备 2）服务器和客户机3）通信线路(2)软件的日常管理和维护 1）支撑软件 2）应用软件(3)数据备份制度,5.用户管理,广域网上一般都有几个至十几个应用系统，每个应用系统都设置了若干角色，用户管理的任务就是增加/删除用户、增加/修改用户组号。例如，要增加一个用户，须进行

24、如下工作（以Unix为例）：（1）在用户使用的客户机上增加用户并分配组号；（2）在用户使用的服务器数据库上增加用户并分配组号；（3）分配该用户的广域网访问权限。,6.病毒防范制度,(1)安装防病毒软件应用于网络的防病毒软件有两种：一种是单机版防病毒产品；另一种是联机版防病毒产品。(2)认真执行病毒定期清理制度 病毒定期清理制度可以清除处于潜伏期的病毒，防止病毒的突然爆发，使计算机始终处于良好的工作状态。,(3)控制权限可以将网络系统中易感染病毒的文件的属性、权限加以限制，对各终端用户，只许他们具有只读权限，断绝病毒入侵的渠道，达到预防的目的。(4)高度警惕网络陷阱网络上常常会出现非常诱人的广告

25、、免费使用的承诺，在从事网络营销时对此应保持高度的警惕。网络病毒主要的传播渠道是电子邮件。由于文字处理软件Word具有夹带宏病毒是可能，所以，当收到陌生地址的电子邮件时，最好不要在进行网络交易的时候打开。,7.应急措施,应急措施是指在计算机灾难事件，即紧急事件或安全事故发生时，利用应急计划辅助软件和应急设施，排除灾难和故障，保障计算机信息系统继续运行或紧急恢复。灾难恢复包括许多工作。一方面是硬件的恢复，使计算机系统重新运转起来；另一方面是数据的恢复。,1）瞬时复制技术 瞬时复制技术就是计算机在某一灾难时刻自动复制数据的技术。瞬时复制的备份数据可以典型地用来产生磁带备份或用作远程恢复节点的基本数

26、据。2）远程磁盘镜像技术远程磁盘镜像技术在远程备份中心提供主数据中心的磁盘影像。这种技术的最主要的优点是可以把数据中心磁盘中的数据复制到远程备份中心，而无需考虑数据在磁盘上是如何组织的。3）数据库恢复技术 数据库恢复技术是产生和维护一份或多份数据库数据的复制。它为用户提供了更大的灵活性。,三、电子商务交易安全的法律保障,1 电子合同法律制度 2 电子签字法律制度 3 我国电子商务交易安全的法律保护 4 我国电子商务立法的若干基本问题,（一）电子合同法律制度,1.电子合同及其书面形式“电子合同”系指经电子、光学或类似手段生成、储存或传递的合同。电子合同通过数据电文（包括电报、传真、电子数据交换和

27、电子邮件）传递信息，其所包含的信息应能够有形地表现所载内容，并能够完整调取以备日后查用。电子合同自身有一些缺点：易消失性、作为证据的局限性、易改动性。,根据联合国电子商务示范法第6条，“如法律要求信息须采用书面形式，则假若一项数据电文所含信息可以调取以备日后查用，即满足了该项要求”。我国新合同法也将传统的书面合同形式扩大到数据电文形式。第十一条规定：“书面形式是指合同书、信件以及数据电文（包括电报、电传、传真、电子数据交换和电子邮件）等可以有形地表现所载内容的形式。”,2.电子合同的订立 1）当事人所在地 以电子方式缔结合同的当事方必须明确指明其相关的营业地所在地点。对无营业地的法律实体，可考

28、虑信息系统的支持设备和技术的所在地，或可能与某种系统联通进行查询的访问地，以确定这类法律实体的营业地所在地。2）要约与邀请要约 凡不是向一个人或几个特定的人提出，而可供使用信息系统的人一般查询的，应当仅视为邀请要约。因为在这些情况下承受约束的意图被认为是不明确的。,3）接受要约在电子合同中，除非各当事人另有约定，要约和接受要约可以通过数据电文表示。点击“同意”按钮表示接受要约。4）电子合同的收到与合同成立地点采用数据电文形式订立合同，收件人指定特定系统接收数据电文的，该数据电文进入该特定系统的时间，视为到达时间；未指定特定系统的，该数据电文进入收件人的任何系统的首次时间，视为到达时间。采用数据

29、电文形式订立合同的，收件人的主营业地为合同成立的地点；没有主营业地的，其经常居住地为合同成立的地点。”,5）自动交易 除非当事人另有约定，合同可以通过自动化计算机系统，与自然人之间的交互动作，或者通过若干自动化计算机系统之间的交互动作订立。在电子商务交易中，经由计算机程序代为处理商务的人（自然人或法人），最后应当对该机器生成的任何电文承担责任。6）形式要求电子合同的任何规定，应不要求合同须以书面订立，或以书面证明，也不要求合同必须遵守任何其他有关形式的要求。7）拟由当事人提供的一般资料,（二）电子签字法律制度,1.电子签字的概念“电子签字”系指在数据电文中，以电子形式所含、所附或在逻辑上与数据

30、电文有联系的数据，它可用于鉴别与数据电文有关的签字人和表明此人认可数据电文所含信息。2.电子签字的功能 确定一个人的身份。肯定是该人自己的签字。使该人与文件内容发生关系。,3.电子签字中当事各方的基本行为规范 参与电子签字活动包括签字人、验证服务提供商和依赖方。签字人应对其电子签字装置应采取合理的谨慎措施。依赖方应采取合理的步骤核查电子签字的可靠性。证书服务提供商的义务是使用可信赖的系统、程序和人力资源，并按其所作出的关于其政策和做法的表述行事。,4.符合电子签字的法律要求可靠的电子签字应符合下列条件：（1）签字生成数据在其使用的范围内与签字人而不是还与其他任何人相关联；（2）签字生成数据在签

31、字时处于签字人而不是还处于其他任何人的控制之中；（3）凡在签字后对电子签字的任何篡改均可被觉察；（4）如签字的法律要求目的是对签字涉及的信息的完整性提供保证，凡在签字后对该信息的任何篡改均可被觉察。,5.我国法律对电子签字法律地位的态度 我国合同法明确规定数据电文是书面形式的一种，电子签字也是一种数据电文，从这个角度推断，电子签字是可以作为传统的书面签字来使用的。在法律上，应承认有相应技术保证的电子签字的合法性，并严厉禁止任何一方泄露他方签字，以保护电子签字只代表签字者的当前意图。2003年全国人大常委会即将审议的电子签名法，将改变这种状况，促进电子签字在社会各领域中的应用。,（三）我国电子商

32、务交易安全的法律保护,电子商务交易安全的法律保护问题，涉及到两个基本方面：第一，电子商务交易首先的一种商品交易，其安全问题应当通过民商法加以保护；第二，电子商务交易是通过计算机及其网络而实现的，其安全与否以来于计算机及其网络自身的安全程度。,1.我国涉及交易安全的法律法规我国现行的涉及交易安全的法律法规主要有四类：（1）综合性法律。主要是民法通则和刑法中有关保护交易安全的条文。（2）规范交易主体的有关法律。如公司法、国有企业法、集体企业法、合伙企业法、私营企业法、外资企业法等。（3）规范交易行为的有关法律。包括经济合同法、产品质量法、财产保险法、价格法、消费者权益保护法、广告法、反不正当竞争法

33、等。（4）监督交易行为的有关法律。如会计法、审计法、票据法、银行法等。,2.我国涉及计算机安全的法律法规 1991年，国务院通过了计算机软件保护条例。1994年，国务院发布中华人民共和国计算机信息系统安全保护条例。1996年，国务院发布中华人民共和国计算机信息网络国际联网管理暂行规定。1997年，我国实行新刑法。2000年，信息产业部发布关于互联网中文域名管理的通告，2002年8月又发布中国互联网络域名管理办法。,3.我国保护计算机网络安全的法律法规1）加强国际互联网出入信道的管理我国境内的计算机互联网必须使用国家公用电信网提供的国际出入信道进行国际联网。任何单位和个人不得自行建立或者使用其它

34、信道进行国际联网。2）市场准入制度从事国际互联网经营活动和从事非经营活动的接入单位必须具备的条件：是依法设立的企业法人或者事业单位；具备相应的计算机信息网络、装备以及相应的技术人员和管理人员；,具备健全的安全保密管理制度和技术保护措施；符合法律和国务院规定的其他条件。3）安全责任从事国际互联网业务的单位和个人，应当遵守国家有关法律、行政法规，严格执行安全保密制度。计算机网络系统运行管理部门，必须设有安全组织或安全负责人。每个工作站和每个终端，都要建立健全网络操作的各项制度。网络用户也应提高安全意识。,（四）我国电子商务立法的若干基本问题,1.电子商务立法形式的选择 1）电子商务法的地位 电子商

35、务可以单独立法。这是因为：调整对象是独立的、明确的。调整的社会关系有自己明显的特征。传统的民法、经济法及其程序法很难适用于虚拟环境中的商务交易活动。2）电子商务立法途径 先分别立法，再进行综合立法。先综合立法，然后对具体问题制定单行规则。,2.电子商务立法目的1）为电子商务健康、快速发展创造一个良好的法律环境 2）弥补现有法律的缺陷和不足。3）鼓励利用现代信息技术促进交易活动。3.电子商务立法指导思想与原则 1）与联合国电子商务示范法保持一致 2）不偏重任何技术3）依赖“功能等同”方法 4）跟踪计算机技术的最新发展,4.电子商务立法范围1）电子商务法的调整对象 电子商务法的调整对象是电子商务交

36、易活动中发生的各种社会关系，而这类社会关系是在广泛采用新型信息技术并将这些应用技术商业领域后才形成的特殊的社会关系，它交叉存在于虚拟社会和实体社会之间，有别于实体社会中的各种社会关系，且完全独立于现行法律的调整范围。,2）电子商务法所涉及的技术范围 拟订电子商务法时经常提及比较先进的通信技术，如电子数据交换和电子邮件，但电子商务法所依据的原则及其条款，也应照顾到适用于不大先进的通信技术，如电传、传真等。3）电子商务法所涉及的商务范围从本质上讲，电子商务仍然是一种商务活动。因此，电子商务法需要涵盖电子商务环境下合同、支付、商品配送的演变形式和操作规则；需要涵盖交易双方、居间商和政府的地位、作用和

37、运行规范；也需要涵盖涉及交易安全的大量问题；同时，还需要涵盖某些现有民商法尚未涉及的特定领域的法律规范。,第三节 防止非法入侵,一、黑客的基本概念,黑客（hacker），源于英语动词hack，分为骇客和窃客。骇客只想引人注目，证明自己的能力，不会去破坏系统。他们追求的是从侵入行为本身获得巨大的成功的满足。窃客的行为带有强烈的目的性。主要是窃取国家情报、科研情报；也瞄准了银行的资金和电子商务的整个交易过程。,二、网络黑客常用的攻击手段,1.口令攻击 黑客首先通过进入系统的常用服务，或对网络通信进行监视，使用扫描工具获取目标主机的有用信息。2.服务攻击 和目标主机建立大量的连接。向远程主机发送大量

38、的数据包。利用即时消息功能，以极快的速度用无数的消息“轰炸”某个特定用户。利用网络软件在实现协议时的漏洞，向目标主机发送特定格式的数据包，从而导致主机瘫痪。,3.电子邮件轰炸 用户就会在很短的时间内收到大量的电子邮件，这样使得用户系统的正常业务不能开展，系统功能丧失，严重时会使系统关机，甚至使整个网络瘫痪。4.利用文件系统入侵如果FTP服务器上的用户权限设置不当或保密程度不好，极易造成泄密事件。5.计算机病毒 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。黑客常常利用计算机病毒对目标主机进行攻击。,6.IP欺骗

39、 IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击，它伪造他人的源地址，让一台计算机来扮演另一台计算机，借以达到蒙混过关的目的。IP欺骗主要包括简单的地址伪造和序列号预测两种。简单的地址伪造是指黑客将自己的数据包的源地址改为其他主机的地址，然后发向目标主机，使目标主机无法正确找到数据包的来源。序列号预测的攻击方法是，黑客通过伪造TCP序列号、修改数据包的源地址等方法，使数据包伪装成来自被信任或正在通信的计算机，而被目标主机接收。,三、防范黑客攻击的主要技术手段,防范黑客的技术措施根据所选用的产品的不同，可以分为7类：入侵检测设备，访问设备、浏览器/服务器软件、证书、商业软件、防火墙和安全工

40、具包/软件。1.入侵检测技术 入侵检测通过旁路监听的方式不间断地收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警；不但可以发现从外部的攻击，也可以发现内部的恶意行为。,2.防火墙技术 1）传统防火墙 传统防火墙的类型主要有三种：包过滤、应用层网关、电路层网关。2）防火墙设置的原则 一是未被允许的就是禁止的；二是未被禁止的就是允许的。3）新型防火墙新型防火墙的设计目标是既有包过滤的功能，又能在应用层进行代理，能从数据链路层到应用层进行全方位安全处理。新型防火墙的设计综合了包过滤技术和代理技术，克服了二者在安全方面的缺陷；能够从TCP/IP协议的

41、数据链路层一直到应用层施加全方位的控制。,3.物理隔离技术物理隔离卡安装在主板和硬盘之间，完全控制硬盘读写操作，并控制了网络连接及通讯线路。物理隔离卡主要分为单硬盘物理隔离卡和双硬盘物理隔离卡。单硬盘物理隔离卡是通过把用户的一个硬盘分成两个区，一个为公共硬盘/区（外网），另一个为安全硬盘/区（内网），将一台普通计算机变成两台虚拟计算机，每次启动进入其中的一个硬盘/区。,双硬盘物理隔离卡的基本原理是：在连接内部网络的同时，启动内网硬盘及其操作系统，同时关闭外网硬盘；在连接外部网络的同时，启动外网硬盘及其操作系统，同时关闭内网硬盘。物理隔离网闸由物理隔离网络电脑和物理隔离系统交换机组成。其中，物理隔离网络电脑负责与物理隔离交换机通信，并承担选择内网服务器和外网服务器的功能。物理隔离交换机实际上就是一个加载了智能功能的电子选择开关。物理隔离交换机不但具有传统交换机的功能，而且增加了选择网络的能力,图12 物理隔离闸示意图,