網(wǎng)絡(luò)交易安全管理.ppt

《網(wǎng)絡(luò)交易安全管理.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)交易安全管理.ppt（74頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

第十二章網(wǎng)絡(luò)交易安全管理 12 1網(wǎng)絡(luò)交易風(fēng)險(xiǎn)和安全管理的基本思路12 2客戶認(rèn)證技術(shù)12 3防止黑客入侵12 4網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度12 5電子商務(wù)交易安全的法律保障 12 1網(wǎng)絡(luò)交易風(fēng)險(xiǎn)和安全管理的基本思路 12 1 1網(wǎng)絡(luò)交易風(fēng)險(xiǎn)凸現(xiàn)伴隨著電子商務(wù)交易額的不斷增加 電子商務(wù)對(duì)安全方面的管理要求越來(lái)越高 所受到的重視程度也越來(lái)越高 計(jì)算機(jī)的安全問(wèn)題早已引起人們的重視 大量的事實(shí)說(shuō)明 保證電子商務(wù)的正常運(yùn)作 必須高度重視安全問(wèn)題 網(wǎng)絡(luò)交易安全涉及社會(huì)的方方面面 不僅僅是一堵防火墻或一個(gè)電子簽字就能簡(jiǎn)單解決的問(wèn)題 安全問(wèn)題是網(wǎng)絡(luò)交易成功與否的關(guān)鍵所在 12 1 2網(wǎng)絡(luò)交易風(fēng)險(xiǎn)源分析1 在線交易主體的市場(chǎng)準(zhǔn)入問(wèn)題2 信息風(fēng)險(xiǎn)3 信用風(fēng)險(xiǎn)信用風(fēng)險(xiǎn)主要來(lái)自三個(gè)方面 1 來(lái)自買方的信用風(fēng)險(xiǎn) 2 來(lái)自賣方的信用風(fēng)險(xiǎn) 3 買賣雙方都存在抵賴的情況 4 網(wǎng)上欺詐犯罪5 電子合同問(wèn)題 6 電子支付問(wèn)題7 在線消費(fèi)者保護(hù)問(wèn)題8 電子商務(wù)中產(chǎn)品交付問(wèn)題12 1 3網(wǎng)絡(luò)交易安全管理的基本思路為了保障電子商務(wù)交易安全 必須對(duì)電子商務(wù)交易系統(tǒng)有一個(gè)深刻的理解 這一點(diǎn)至關(guān)重要 它直接關(guān)系到所建立的交易安全保障體系的有效性和生命力 電子商務(wù)系統(tǒng)是活動(dòng)在Internet平臺(tái)上的一個(gè)涉及信息 資金和物資交易的綜合交易系統(tǒng) 其安全對(duì)象不是一般的系統(tǒng) 而是一個(gè)開放的 人在其中頻繁活動(dòng)的 與社會(huì)系統(tǒng)緊密耦合的復(fù)雜巨系統(tǒng) ComplexGiantSystem 電子商務(wù)交易安全過(guò)程也不是一般的工程化的過(guò)程 而是一個(gè)時(shí)時(shí)處處有人參與的 自我適應(yīng)的 不斷變化的 不斷涌現(xiàn)新的整體特征的過(guò)程 所以 電子商務(wù)交易安全保障不是一般的管理手段的疊加和集成 而是綜合集成 兩者的本質(zhì)區(qū)別在于后者強(qiáng)調(diào)人的關(guān)鍵作用 只有通過(guò)人網(wǎng)結(jié)合 人機(jī)結(jié)合 充分發(fā)揮各自優(yōu)勢(shì)的方法 才能經(jīng)過(guò)綜合集成 使系統(tǒng)表現(xiàn)出新的安全性質(zhì) 整體大于部分之和 與電子商務(wù)交易系統(tǒng)相適應(yīng) 電子商務(wù)交易安全也是一個(gè)系統(tǒng)工程 不是幾個(gè)防火墻 幾個(gè)密碼器就可以解決的問(wèn)題 12 2客戶認(rèn)證技術(shù) 12 2 1身份認(rèn)證1 身份認(rèn)證的目標(biāo)身份認(rèn)證的主要目標(biāo)包括 1 確保交易者是交易者本人 而不是其他人 通過(guò)身份認(rèn)證解決交易者是否存在問(wèn)題 避免與虛假的交易者進(jìn)行交易 2 避免與超過(guò)權(quán)限的交易者進(jìn)行交易 3 訪問(wèn)控制 2 用戶身份認(rèn)證的基本方式一般來(lái)說(shuō) 用戶身份認(rèn)證可通過(guò)三種基本方式或其組合方式來(lái)實(shí)現(xiàn) 1 用戶通過(guò)某個(gè)秘密信息 例如用戶通過(guò)自己的口令訪問(wèn)系統(tǒng)資源 2 用戶知道某個(gè)秘密信息 并且利用包含這一秘密信息的載體訪問(wèn)系統(tǒng)資源 包含這一秘密信息的載體應(yīng)當(dāng)是合法持有并能夠隨身攜帶的物理介質(zhì) 例如智能卡中存儲(chǔ)用戶的個(gè)人化參數(shù) 訪問(wèn)系統(tǒng)資源時(shí)必須持有智能卡 并知道個(gè)人化參數(shù) 3 用戶利用自身所具有的某些生物學(xué)特征 如指紋 聲音 DNA圖案 視網(wǎng)膜掃描等等 但這種方案一般造價(jià)較高 適用于保密程度很高的場(chǎng)合 3 身份認(rèn)證的單因素法用戶身份認(rèn)證的最簡(jiǎn)單方法就是口令 對(duì)口令進(jìn)行加密傳輸是一種改進(jìn)的方法 4 基于智能卡的用戶身份認(rèn)證基于智能卡的用戶身份認(rèn)證機(jī)制屬于雙因素法 它結(jié)合了基本認(rèn)證方式中的第一種和第二種方法 用戶的二元組信息預(yù)先存于智能卡中 然后在認(rèn)證服務(wù)器中存入某個(gè)事先由用戶選擇的某個(gè)隨機(jī)數(shù) 用戶訪問(wèn)系統(tǒng)資源時(shí) 用戶輸入二元組信息 5 一次口令機(jī)制最安全的身份認(rèn)證機(jī)制是采用一次口令機(jī)制 即每次用戶登錄系統(tǒng)時(shí)口令互不相同 主要有兩種實(shí)現(xiàn)方式 第一種采用 請(qǐng)求響應(yīng) 方式 用戶登錄時(shí)系統(tǒng)隨機(jī)提示一條信息 用戶根據(jù)這一信息連同其個(gè)人化數(shù)據(jù)共同產(chǎn)生一個(gè)口令字 用戶輸入這個(gè)口令字 完成一次登錄過(guò)程 或者用戶對(duì)這一條信息實(shí)施電子簽字后發(fā)送給認(rèn)證服務(wù)器進(jìn)行鑒別 第二種方法采用 時(shí)鐘同步 機(jī)制 即根據(jù)這個(gè)同步時(shí)鐘信息連同其個(gè)人化數(shù)據(jù)共同產(chǎn)生一個(gè)口令字 這兩種方案均需要認(rèn)證服務(wù)器端也產(chǎn)生與用戶端相同的口令字 或檢驗(yàn)簽字 用于驗(yàn)證用戶身份 12 2 2信息認(rèn)證技術(shù)1 信息認(rèn)證的目標(biāo)信息認(rèn)證的主要目標(biāo)包括 1 可信性 信息的來(lái)源是可信的 即信息接收者能夠確認(rèn)所獲得的信息不是由冒充者所發(fā)出的 2 完整性 要求信息在傳輸過(guò)程中保證其完整性 也即信息接收者能夠確認(rèn)所獲得的信息在傳輸過(guò)程中沒有被修改 遺失和替換 3 不可抵賴性 要求信息的發(fā)送方不能否認(rèn)自己所發(fā)出的信息 同樣 信息的接收方不能否認(rèn)已收到了信息 4 保密性 對(duì)敏感的文件進(jìn)行加密 即使別人截獲文件也無(wú)法得到其內(nèi)容 2 基于私有密鑰體制的信息認(rèn)證基于私有密鑰 PrivateKey 私鑰 體制的信息認(rèn)證是一種傳統(tǒng)的信息認(rèn)證方法 這種方法采用對(duì)稱加密算法 也就是說(shuō) 信息交換雙方共同約定一個(gè)口令或一組密碼 建立一個(gè)通信雙方共享的密鑰 通信的甲方將要發(fā)送的信息用私鑰加密后傳給乙方 乙方用相同的私鑰解密后獲得甲方傳遞的信息 由于通信雙方共享同一密鑰 通信的乙方可以確定信息是由甲方發(fā)出的 這是一種最簡(jiǎn)單的信息來(lái)源的認(rèn)證方法 圖12 1是對(duì)稱加密示意圖 圖12 1對(duì)稱加密示意圖 對(duì)稱加密算法在電子商務(wù)交易過(guò)程中存在三個(gè)問(wèn)題 1 要求提供一條安全的渠道使通信雙方在首次通信時(shí)協(xié)商一個(gè)共同的密鑰 直接的面對(duì)面協(xié)商可能是不現(xiàn)實(shí)而且難于實(shí)施的 所以雙方可能需要借助于郵件和電話等其他相對(duì)不夠安全的手段來(lái)進(jìn)行協(xié)商 2 密鑰的數(shù)目將快速增長(zhǎng)而變得難于管理 因?yàn)槊恳粚?duì)可能的通信實(shí)體需要使用不同的密鑰 很難適應(yīng)開放社會(huì)中大量的信息交流 3 對(duì)稱加密算法一般不能提供信息完整性的鑒別 3 基于公開密鑰體制的信息認(rèn)證與對(duì)稱加密算法不同 公開密鑰加密體系采用的是非對(duì)稱加密算法 使用公開密鑰算法需要兩個(gè)密鑰 公開密鑰 PublicKey 公鑰 和私有密鑰 如果用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密 只有用對(duì)應(yīng)的私有密鑰才能進(jìn)行解密 如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密 則只有用對(duì)應(yīng)的公開密鑰才能解密 圖12 2是使用公鑰加密和對(duì)應(yīng)的私鑰解密的示意圖 圖12 2使用公鑰加密和對(duì)應(yīng)的私鑰解密的示意圖 4 數(shù)字簽字和驗(yàn)證對(duì)文件進(jìn)行加密只解決了第一個(gè)問(wèn)題 而防止他人對(duì)傳輸?shù)奈募M(jìn)行破壞 以及如何確定發(fā)信人的身份還需要采取其他的手段 數(shù)字簽字 Digita1Signature 及驗(yàn)證 Verification 就是實(shí)現(xiàn)信息在公開網(wǎng)絡(luò)上的安全傳輸?shù)闹匾椒?圖12 3顯示了數(shù)字簽字和驗(yàn)證的傳輸過(guò)程 圖12 3數(shù)字簽字和驗(yàn)證過(guò)程示意圖 1 發(fā)送方首先用哈希函數(shù)將需要傳送的消息轉(zhuǎn)換成報(bào)文摘要 2 發(fā)送方采用自己的私有密鑰對(duì)報(bào)文摘要進(jìn)行加密 形成數(shù)字簽字 3 發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報(bào)文后面 傳遞給接收方 4 接受方使用發(fā)送方的公有密鑰對(duì)數(shù)字簽字進(jìn)行解密 得到發(fā)送方形成的報(bào)文摘要 5 接收方用哈希函數(shù)將接收到的報(bào)文轉(zhuǎn)換成報(bào)文摘要 與發(fā)送方形成的報(bào)文摘要相比較 若相同 說(shuō)明文件在傳輸過(guò)程中沒有被破壞 5 時(shí)間戳在電子商務(wù)交易文件中 時(shí)間是十分重要的信息 同書面文件類似 文件簽署的日期也是防止電子文件被偽造和篡改的關(guān)鍵性內(nèi)容 數(shù)字時(shí)間戳服務(wù) Digita1TimeStampsever DTS 是網(wǎng)上電子商務(wù)安全服務(wù)項(xiàng)目之一 它能提供電子文件的日期和時(shí)間信息的安全保護(hù) 時(shí)間戳 TimeStamp 是一個(gè)經(jīng)加密后形成的憑證文檔 它包括需加時(shí)間戳的文件的摘要 Digest DTS收到文件的日期和時(shí)間 DTS的數(shù)字簽字三個(gè)部分 12 2 3通過(guò)認(rèn)證機(jī)構(gòu)認(rèn)證1 數(shù)字證書根據(jù)聯(lián)合國(guó) 電子簽字示范法 第一條 證書 系指可證實(shí)簽字人與簽字生成數(shù)據(jù)有聯(lián)系的某一數(shù)據(jù)電文或其他記錄 最常用的CA證書是數(shù)字證書 數(shù)字證書按照不同的分類有多種形式 如個(gè)人數(shù)字證書和單位數(shù)字證書 SSL數(shù)字證書和SET數(shù)字證書等 數(shù)字證書由申請(qǐng)證書主體的信息和發(fā)行證書的CA簽字兩部分組成 參見圖12 4 圖12 4數(shù)字證書的組成 2 認(rèn)證機(jī)構(gòu)認(rèn)證機(jī)構(gòu) CertificateAuthority CA 在電子商務(wù)中具有特殊的地位 它是為了從根本上保障電子商務(wù)交易活動(dòng)順利進(jìn)行而設(shè)立的 主要是解決電子商務(wù)活動(dòng)中交易參與各方身份 資信的認(rèn)定 維護(hù)交易活動(dòng)的安全 CA是提供身份驗(yàn)證的第三方機(jī)構(gòu) 由一個(gè)或多個(gè)用戶信任的組織實(shí)體構(gòu)成 例如 持卡人要與商家通信 持卡人從公開媒體上獲得了商家的公開密鑰 但持卡人無(wú)法確定商家不是冒充的 是有信譽(yù)的 于是持卡人請(qǐng)求CA對(duì)商家認(rèn)證 CA對(duì)商家進(jìn)行調(diào)查 驗(yàn)證和鑒別后 將包含商家PublicKey 公鑰 的證書傳給持卡人 同樣 商家也可對(duì)持卡人進(jìn)行驗(yàn)證 如圖12 5所示 圖12 5CA認(rèn)證 3 電子商務(wù)的CA認(rèn)證體系電子商務(wù)CA體系包括兩大部分 即符合SET標(biāo)準(zhǔn)的SETCA認(rèn)證體系 又叫 金融CA 體系 和基于X 509的PKICA體系 又叫 非金融CA 體系 1 SETCASET中CA的層次結(jié)構(gòu)如圖12 6所示 圖12 6SET中CA的層次結(jié)構(gòu) 2 PKICAPKI是電子商務(wù)安全保障的重要基礎(chǔ)設(shè)施之一 它具有多種功能 能夠提供全方位的電子商務(wù)安全服務(wù) 圖12 7是PKI的主要功能和服務(wù)的匯總 圖12 7PKI的主要功能和服務(wù) 一個(gè)典型的PKI應(yīng)用系統(tǒng)包括五個(gè)部分 密鑰管理子系統(tǒng) 密鑰管理中心 證書受理子系統(tǒng) 注冊(cè)系統(tǒng) 證書簽發(fā)子系統(tǒng) 簽發(fā)系統(tǒng) 證書發(fā)布子系統(tǒng) 證書發(fā)布系統(tǒng) 目錄服務(wù)子系統(tǒng) 證書查詢驗(yàn)證系統(tǒng) 圖12 8顯示了PKI體系的構(gòu)成 圖12 8PKI體系的構(gòu)成 4 證書的樹形驗(yàn)證結(jié)構(gòu)在兩方通信時(shí) 通過(guò)出示由某個(gè)CA簽發(fā)的證書來(lái)證明自己的身份 如果對(duì)簽發(fā)證書的CA本身不信任 則可驗(yàn)證CA的身份 依次類推 一直到公認(rèn)的權(quán)威CA處 就可確信證書的有效性 SET證書正是通過(guò)信任層次來(lái)逐級(jí)驗(yàn)證的 每一個(gè)證書與數(shù)字化簽發(fā)證書的實(shí)體的簽字證書關(guān)聯(lián) 沿著信任樹一直到一個(gè)公認(rèn)的信任組織 就可確認(rèn)該證書是有效的 例如 C的證書是由名稱為B的CA簽發(fā)的 而B的證書又是由名稱為A的CA簽發(fā)的 A是權(quán)威的機(jī)構(gòu) 通常稱為根認(rèn)證中心 RootCA 驗(yàn)證到了RootCA處 就可確信C的證書是合法的 參見圖12 9 圖12 9證書的樹形驗(yàn)證結(jié)構(gòu) 5 帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng)安全電子商務(wù)使用的文件傳輸系統(tǒng)大都帶有數(shù)字簽字和數(shù)字證書 其基本流程如圖12 10所示 圖12 10帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng) 圖12 10顯示了整個(gè)文件加密傳輸?shù)?0個(gè)步驟 1 在發(fā)送方的網(wǎng)站上 將要傳送的信息通過(guò)哈希函數(shù)變換為預(yù)先設(shè)定長(zhǎng)度的報(bào)文摘要 2 利用發(fā)送方的私鑰給報(bào)文摘要加密 結(jié)果是數(shù)字簽字 3 將數(shù)字簽字和發(fā)送方的認(rèn)證證書附在原始信息上打包 使用DES算法生成的對(duì)稱密鑰在發(fā)送方的計(jì)算機(jī)上為信息包加密 得到加密信息包 4 用預(yù)先收到的接收方的公鑰為對(duì)稱密鑰加密 得到數(shù)字信封 5 加密信息和數(shù)字信封合成一個(gè)新的信息包 通過(guò)因特網(wǎng)將加密信息和數(shù)字信封傳到接收方的計(jì)算機(jī)上 6 用接收方的私鑰解密數(shù)字信封 得到對(duì)稱密鑰 7 用還原的對(duì)稱密鑰解密加密信息 得到原始信息 數(shù)字簽字和發(fā)送方的認(rèn)證證書 8 用發(fā)送方公鑰 置于發(fā)送方的認(rèn)證證書中 解密數(shù)字簽字 得到報(bào)文摘要 9 將收到的原始信息通過(guò)哈希函數(shù)變換為報(bào)文摘要 10 將第8步和第9步得到的信息摘要加以比較 以確認(rèn)信息的完整性 6 認(rèn)證機(jī)構(gòu)在電子商務(wù)中的地位和作用電子商務(wù)認(rèn)證機(jī)構(gòu)對(duì)登記者履行下列監(jiān)督管理職責(zé) 1 監(jiān)督登記者按照規(guī)定辦理登記 變更 注銷手續(xù) 2 監(jiān)督登記者按照電子商務(wù)的有關(guān)法律法規(guī)合法從事經(jīng)營(yíng)活動(dòng) 3 制止和查處登記人的違法交易活動(dòng) 保護(hù)交易人的合法權(quán)益 12 2 4我國(guó)電子商務(wù)認(rèn)證機(jī)構(gòu)的建設(shè) 1 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的不同思路關(guān)于認(rèn)證機(jī)構(gòu)的建設(shè) 目前有三種典型的思路 1 地區(qū)主管部門認(rèn)為應(yīng)當(dāng)以地區(qū)為中心建立認(rèn)證中心 2 行業(yè)主管部門認(rèn)為應(yīng)當(dāng)以行業(yè)為中心建立認(rèn)證中心 3 也有人提出建立幾個(gè)國(guó)家級(jí)行業(yè)安全認(rèn)證中心 2 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的基本原則電子商務(wù)認(rèn)證機(jī)構(gòu)的建設(shè) 應(yīng)當(dāng)遵循以下原則 1 權(quán)威性原則 2 真實(shí)性原則 認(rèn)證機(jī)構(gòu)所提供的各類信息 必須真實(shí) 準(zhǔn)確 完整 可靠 嚴(yán)禁為客戶提供虛假信息 3 機(jī)密性原則 認(rèn)證機(jī)構(gòu)的工作人員應(yīng)當(dāng)具有良好的政治素質(zhì) 忠于職守 保證信息不被泄露給非授權(quán)人或?qū)嶓w 同時(shí) 應(yīng)當(dāng)配備先進(jìn)的安全設(shè)備 能夠有效防范外界黑客的非法入侵 4 快捷性原則 認(rèn)證機(jī)構(gòu)的工作人員和設(shè)備都應(yīng)當(dāng)具有快速的反應(yīng)能力 能夠在很短的時(shí)間內(nèi)處理各種客戶認(rèn)證業(yè)務(wù) 5 經(jīng)濟(jì)性原則 3 國(guó)家級(jí)電子商務(wù)認(rèn)證機(jī)構(gòu)的設(shè)立同傳統(tǒng)的交易一樣 電子商務(wù)交易主要涉及下述幾個(gè)方面的任務(wù) 1 身份認(rèn)證 2 資信認(rèn)證 3 稅收認(rèn)證 4 外貿(mào)認(rèn)證為便于開展業(yè)務(wù) 國(guó)家認(rèn)證中心可以在各省和直轄市設(shè)立相應(yīng)的分支機(jī)構(gòu) 從而形成類似于管理上直線職能制組織結(jié)構(gòu)的認(rèn)證系統(tǒng) 參見圖12 11 圖12 11國(guó)家電子商務(wù)認(rèn)證中心組織結(jié)構(gòu)設(shè)想圖 國(guó)家電子商務(wù)認(rèn)證中心主要承擔(dān)根認(rèn)證工作 這些工作包括 1 對(duì)職能認(rèn)證系統(tǒng)和省市分認(rèn)證中心進(jìn)行政策指導(dǎo)和業(yè)務(wù)管理 2 匯總職能認(rèn)證中心和省市分認(rèn)證中心的數(shù)據(jù) 3 負(fù)責(zé)數(shù)字憑證的管理與簽發(fā) 4 提供數(shù)字時(shí)間戳服務(wù) 5 負(fù)責(zé)使用者密碼的產(chǎn)生與保管 6 對(duì)交易糾紛提供證明資料等 12 3防止黑客入侵 12 3 1黑客的基本概念黑客 Hacker 源于英語(yǔ)動(dòng)詞Hack 意為 劈 砍 引申為 辟出 開辟 進(jìn)一步的意思是 干了一件非常漂亮的工作 在20世紀(jì)麻省理工學(xué)院校園俚語(yǔ)中 黑客 則有 惡作劇 之意 到了60 70年代 它又專用來(lái)形容獨(dú)立思考卻奉公守法的計(jì)算機(jī)迷 今天的黑客可分為兩類 一類是駭客 他們只想引人注目 證明自己的能力 在進(jìn)入網(wǎng)絡(luò)系統(tǒng)后 不會(huì)去破壞系統(tǒng) 或者僅僅會(huì)做一些無(wú)傷大雅的惡作劇 他們追求的是從侵入行為本身獲得巨大的成功的滿足 另一類黑客是竊客 他們的行為帶有強(qiáng)烈的目的性 12 3 2網(wǎng)絡(luò)黑客常用的攻擊手段1 口令攻擊2 服務(wù)攻擊黑客所采用的服務(wù)攻擊手段主要有四種 1 和目標(biāo)主機(jī)建立大量的連接 2 向遠(yuǎn)程主機(jī)發(fā)送大量的數(shù)據(jù)包 3 利用即時(shí)消息功能 以極快的速度用無(wú)數(shù)的消息 轟炸 某個(gè)特定用戶 4 利用網(wǎng)絡(luò)軟件在實(shí)現(xiàn)協(xié)議時(shí)的漏洞 3 電子郵件轟炸用數(shù)百條消息填塞某人的E mail信箱也是一種在線襲擾的方法 當(dāng)用戶受到這種叫做 電子郵件炸彈 E mailBomb 的攻擊后 用戶就會(huì)在很短的時(shí)間內(nèi)收到大量的電子郵件 這樣使得用戶系統(tǒng)的正常業(yè)務(wù)不能開展 系統(tǒng)功能喪失 嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī) 甚至使整個(gè)網(wǎng)絡(luò)癱瘓 還有一種方法是郵件直接夾帶或在附件中夾帶破壞性執(zhí)行程序 用戶不小心點(diǎn)擊了這類郵件或附件 就會(huì)自動(dòng)啟動(dòng)有害程序 帶來(lái)不可預(yù)測(cè)的嚴(yán)重后果 4 利用文件系統(tǒng)入侵FTP 文件傳輸協(xié)議 是因特網(wǎng)上最早應(yīng)用的不同系統(tǒng)之間交換數(shù)據(jù)的協(xié)議之一 FTP的實(shí)現(xiàn)依靠TCP在主機(jī)之間進(jìn)行的數(shù)據(jù)傳輸 只要安裝了FTP客戶和服務(wù)程序 就可以在不同的主機(jī) 硬件和操作系統(tǒng)都可以不同 之間進(jìn)行數(shù)據(jù)交換 如果FTP服務(wù)器上的用戶權(quán)限設(shè)置不當(dāng)或保密程度不好 極易造成泄密事件 5 計(jì)算機(jī)病毒計(jì)算機(jī)病毒 是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù) 影響計(jì)算機(jī)使用 并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 6 IP欺騙IP欺騙是適用于TCP IP環(huán)境的一種復(fù)雜的技術(shù)攻擊 它偽造他人的源地址 讓一臺(tái)計(jì)算機(jī)來(lái)扮演另一臺(tái)計(jì)算機(jī) 借以達(dá)到蒙混過(guò)關(guān)的目的 IP欺騙主要包括簡(jiǎn)單的地址偽造和序列號(hào)預(yù)測(cè)兩種 12 3 3防范黑客攻擊的主要技術(shù)手段1 入侵檢測(cè)技術(shù)2 防火墻技術(shù)1 傳統(tǒng)防火墻傳統(tǒng)防火墻的類型主要有三種 包過(guò)濾 應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān) 2 新型防火墻TCP IP的數(shù)據(jù)鏈路層一直到應(yīng)用層施加全方位的控制 新型防火墻的系統(tǒng)構(gòu)成如圖12 12所示 圖12 12新型防火墻的系統(tǒng)構(gòu)成 3 物理隔離技術(shù)物理隔離技術(shù)是近年來(lái)發(fā)展起來(lái)的防止外部黑客攻擊的有效手段 物理隔離產(chǎn)品主要有物理隔離卡和隔離網(wǎng)閘 即使黑客寫了一段很高明的程序進(jìn)入了內(nèi)網(wǎng) 他也無(wú)法竊取到任何保密數(shù)據(jù) 參見圖12 13 圖12 13物理隔離卡工作示意圖 物理隔離交換機(jī)不但具有傳統(tǒng)交換機(jī)的功能 而且增加了選擇網(wǎng)絡(luò)的能力 參見圖12 14 圖12 14物理隔離網(wǎng)閘示意圖 12 4網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度 12 4 1網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度的涵義網(wǎng)絡(luò)交易系統(tǒng)安全管理制度是用文字形式對(duì)各項(xiàng)安全要求所做的規(guī)定 它是保證企業(yè)網(wǎng)絡(luò)營(yíng)銷取得成功的重要基礎(chǔ)工作 是企業(yè)網(wǎng)絡(luò)營(yíng)銷人員安全工作的規(guī)范和準(zhǔn)則 企業(yè)在參與網(wǎng)絡(luò)營(yíng)銷伊始 就應(yīng)當(dāng)形成一套完整的 適應(yīng)于網(wǎng)絡(luò)環(huán)境的安全管理制度 這些制度應(yīng)當(dāng)包括人員管理制度 保密制度 跟蹤審計(jì)制度 系統(tǒng)維護(hù)制度 數(shù)據(jù)備份制度 病毒定期清理制度等 12 4 2人員管理制度 1 嚴(yán)格網(wǎng)絡(luò)營(yíng)銷人員的選拔 將經(jīng)過(guò)一定時(shí)間的考察 責(zé)任心強(qiáng) 講原則 守紀(jì)律 了解市場(chǎng) 懂得營(yíng)銷 具有基本網(wǎng)絡(luò)知識(shí)的人員委派到這種崗位上 2 落實(shí)工作責(zé)任制 不僅要求網(wǎng)絡(luò)營(yíng)銷人員完成規(guī)定的營(yíng)銷任務(wù) 而且要求他們嚴(yán)格遵守企業(yè)的網(wǎng)絡(luò)營(yíng)銷安全制度 特別是在當(dāng)前企業(yè)人員流動(dòng)頻率較高的情況下 更要明確網(wǎng)絡(luò)營(yíng)銷人員的責(zé)任 對(duì)違反網(wǎng)絡(luò)交易安全規(guī)定的行為應(yīng)堅(jiān)決進(jìn)行打擊 對(duì)有關(guān)人員要進(jìn)行及時(shí)處理 3 貫徹電子商務(wù)安全運(yùn)作的基本原則 12 4 3保密制度電子商務(wù)涉及企業(yè)的市場(chǎng) 生產(chǎn) 財(cái)務(wù) 供應(yīng)等多方面的機(jī)密 需要很好地劃分信息的安全級(jí)別 確定安全防范重點(diǎn) 提出相應(yīng)的保密措施 信息的安全級(jí)別一般可分為三級(jí) 1 絕密級(jí) 如公司經(jīng)營(yíng)狀況報(bào)告 訂 出貨價(jià)格 公司的發(fā)展規(guī)劃等 此部分網(wǎng)址 密碼不在因特網(wǎng)絡(luò)上公開 只限于公司高層人員掌握 2 機(jī)密級(jí) 如公司的日常管理情況 會(huì)議通知等 此部分網(wǎng)址 密碼不在因特網(wǎng)絡(luò)上公開 只限于公司中層以上人員使用 3 秘密級(jí) 12 4 4跟蹤 審計(jì) 稽核制度跟蹤制度要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機(jī)制 用來(lái)記錄系統(tǒng)運(yùn)行的全過(guò)程 系統(tǒng)日志文件是自動(dòng)生成的 內(nèi)容包括操作日期 操作方式 登錄次數(shù) 運(yùn)行時(shí)間 交易內(nèi)容等 它對(duì)于系統(tǒng)的運(yùn)行監(jiān)督 維護(hù)分析 故障恢復(fù) 對(duì)于防止案件的發(fā)生或在發(fā)生案件后為偵破提供監(jiān)督數(shù)據(jù) 都可以起到非常重要的作用 12 4 5網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度1 硬件的日常管理和維護(hù)1 網(wǎng)絡(luò)設(shè)備 1 可管設(shè)備 2 不可管設(shè)備 2 服務(wù)器和客戶機(jī)3 通信線路2 軟件的日常管理和維護(hù)1 支撐軟件對(duì)于操作系統(tǒng) 一般需要進(jìn)行以下的維護(hù)工作 1 定期清理日志文件 臨時(shí)文件 2 定期整理文件系統(tǒng) 3 監(jiān)測(cè)服務(wù)器上的活動(dòng)狀態(tài)和用戶注冊(cè)數(shù) 4 處理運(yùn)行中的死機(jī)情況等 2 應(yīng)用軟件3 數(shù)據(jù)備份制度12 4 6用戶管理廣域網(wǎng)上一般都有幾個(gè)至十幾個(gè)應(yīng)用系統(tǒng) 每個(gè)應(yīng)用系統(tǒng)都設(shè)置了若干角色 用戶管理的任務(wù)就是增加 刪除用戶 增加 修改用戶組號(hào) 例如 要增加一個(gè)用戶 須進(jìn)行如下工作 以UNIX為例 1 在用戶使用的客戶機(jī)上增加用戶并分配組號(hào) 2 在用戶使用的服務(wù)器數(shù)據(jù)庫(kù)上增加用戶并分配組號(hào) 3 分配該用戶的廣域網(wǎng)訪問(wèn)權(quán)限 12 4 7病毒防范制度1 安裝防病毒軟件2 認(rèn)真執(zhí)行病毒定期清理制度3 控制權(quán)限12 4 8應(yīng)急措施目前運(yùn)用的數(shù)據(jù)恢復(fù)技術(shù)主要是瞬時(shí)復(fù)制技術(shù) 遠(yuǎn)程磁盤鏡像技術(shù)和數(shù)據(jù)庫(kù)恢復(fù)技術(shù) 1 瞬時(shí)復(fù)制技術(shù)2 遠(yuǎn)程磁盤鏡像技術(shù)3 數(shù)據(jù)庫(kù)恢復(fù)技術(shù) 12 5電子商務(wù)交易安全的法律保障 12 5 1電子合同法律制度1 電子合同及其書面形式合同 亦稱契約 根據(jù)我國(guó) 民法通則 第85條的規(guī)定 合同是當(dāng)事人之間設(shè)立 變更 終止民事關(guān)系的協(xié)議 依法成立的合同 受法律保護(hù) 合同是當(dāng)事人在地位平等基礎(chǔ)上自愿協(xié)商產(chǎn)生的 它反映了雙方或多方意思表示一致的法律行為 現(xiàn)階段 合同已經(jīng)成為保障市場(chǎng)經(jīng)濟(jì)正常運(yùn)行的重要手段 這種方法具有以下特點(diǎn) 1 電子數(shù)據(jù)的易消失性 2 電子數(shù)據(jù)作為證據(jù)的局限性 3 電子數(shù)據(jù)的易改動(dòng)性 2 電子合同的訂立1 當(dāng)事人所在地2 要約與邀請(qǐng)要約3 接受要約4 發(fā)出和收到 參照 聯(lián)合國(guó)銷售公約 和 電子商務(wù)示范法 電子合同收到和發(fā)出的時(shí)間與地點(diǎn)應(yīng)符合以下規(guī)定 1 除非當(dāng)事人另有約定 數(shù)據(jù)電文的發(fā)出時(shí)間以其進(jìn)入發(fā)端人或代表發(fā)端人發(fā)送數(shù)據(jù)電文的人控制范圍之外的某一信息系統(tǒng)的時(shí)間為準(zhǔn) 2 除非當(dāng)事人另有約定 收件人為接收數(shù)據(jù)電文指定了某一信息系統(tǒng)的 以數(shù)據(jù)電文進(jìn)入該指定信息系統(tǒng)的時(shí)間為收到時(shí)間 3 除非發(fā)端人和收件人另有約定 數(shù)據(jù)電文以發(fā)端人設(shè)有營(yíng)業(yè)地的地點(diǎn)視為其發(fā)出地點(diǎn) 以收件人設(shè)有營(yíng)業(yè)地的地點(diǎn)視為其收到地點(diǎn) 5 自動(dòng)交易合同無(wú)法律效力 并且不可執(zhí)行 1 該自動(dòng)計(jì)算機(jī)系統(tǒng)未提供該自然人預(yù)防或者糾正錯(cuò)誤的機(jī)會(huì)的 2 該自然人在發(fā)現(xiàn)錯(cuò)誤后盡實(shí)際可能立即將該錯(cuò)誤通知對(duì)方并指出自己在數(shù)據(jù)電文中造成錯(cuò)誤的 3 該自然人采取合理步驟 包括遵照對(duì)方指示采取步驟退還因錯(cuò)誤而可能接受到的任何貨物或服務(wù) 或者根據(jù)指示銷毀這種貨物或服務(wù)的 4 該自然人沒有獲得可能從對(duì)方收受到的任何貨物或服務(wù)產(chǎn)生的任何重大利益和價(jià)值或從中受益的 6 形式要求7 擬由當(dāng)事人提供的一般資料12 5 2電子簽字法律制度1 電子簽字 Electronicsignature 的概念2 電子簽字的功能以紙張為基礎(chǔ)的傳統(tǒng)簽字主要是為了履行下述功能 1 確定一個(gè)人的身份 2 肯定是該人自己的簽字 3 使該人與文件內(nèi)容發(fā)生關(guān)系 3 電子簽字中當(dāng)事各方的基本行為規(guī)范在證書中 提供商應(yīng)提供基本資料 使依賴方能夠鑒定供應(yīng)商的身份 1 證書中所指明的人在簽字時(shí)擁有對(duì)簽字裝置的控制權(quán) 2 在證書簽發(fā)之日或之前簽字裝置運(yùn)作正常 在與依賴方的交往中 證書服務(wù)提供商還應(yīng)提供關(guān)于下列方面的附加信息 1 用以鑒別簽字人的方法 2 對(duì)簽字裝置或證書的可能用途或使用金額上的任何限制 3 簽字裝置的運(yùn)作狀況 4 測(cè)驗(yàn)服務(wù)供應(yīng)商責(zé)任范圍或程度的任何限制 5 是否存在簽字人發(fā)出關(guān)于簽字裝置已經(jīng)失密的通知的途徑 6 是否提供及時(shí)的撤銷服務(wù) 4 符合電子簽字的法律要求可靠的電子簽字應(yīng)符合下列條件 1 簽字生成數(shù)據(jù)在其使用的范圍內(nèi)與簽字人而不是還與其他任何人相關(guān)聯(lián) 2 簽字生成數(shù)據(jù)在簽字時(shí)處于簽字人而不是處于其他任何人的控制之中 3 凡在簽字后對(duì)電子簽字的任何篡改均可被覺察 4 如果簽字的法律要求目的是對(duì)簽字涉及的信息的完整性提供保證 則凡在簽字后對(duì)該信息的任何篡改均可被覺察 5 我國(guó)法律對(duì)電子簽字法律地位的態(tài)度12 5 3我國(guó)電子商務(wù)交易安全的法律保護(hù)1 我國(guó)涉及交易安全的法律法規(guī) 我國(guó)現(xiàn)行涉及交易安全的法律法規(guī)主要有四類 1 綜合性法律 主要是民法通則和刑法中有關(guān)保護(hù)交易安全的條文 2 規(guī)范交易主體的有關(guān)法律 如公司法 國(guó)有企業(yè)法 集體企業(yè)法 合伙企業(yè)法 私營(yíng)企業(yè)法 外資企業(yè)法等 3 規(guī)范交易行為的有關(guān)法律 包括經(jīng)濟(jì)合同法 產(chǎn)品質(zhì)量法 財(cái)產(chǎn)保險(xiǎn)法 價(jià)格法 消費(fèi)者權(quán)益保護(hù)法 廣告法 反不正當(dāng)競(jìng)爭(zhēng)法等 4 監(jiān)督交易行為的有關(guān)法律 如會(huì)計(jì)法 審計(jì)法 票據(jù)法 銀行法等 2 我國(guó)涉及計(jì)算機(jī)安全的法律法規(guī)我國(guó)的計(jì)算機(jī)安全立法工作開始于20世紀(jì)80年代 1991年5月24日 國(guó)務(wù)院第八十三次常委會(huì)會(huì)議通過(guò)了 計(jì)算機(jī)軟件保護(hù)條例 1996年3月 國(guó)家新聞出版署發(fā)布了 電子出版物暫行規(guī)定 2002年6月 國(guó)家新聞出版署與信息產(chǎn)業(yè)部又聯(lián)合發(fā)布了 因特網(wǎng)出版管理暫行規(guī)定 文化部于2002年5月發(fā)布了 關(guān)于加強(qiáng)網(wǎng)絡(luò)文化市場(chǎng)管理的通知 3 我國(guó)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的法律法規(guī)1 加強(qiáng)國(guó)際因特網(wǎng)出入信道的管理 2 市場(chǎng)準(zhǔn)入制度 中華人民共和國(guó)計(jì)算機(jī)網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定 規(guī)定了從事國(guó)際因特網(wǎng)經(jīng)營(yíng)活動(dòng)和從事非經(jīng)營(yíng)活動(dòng)的接入單位必須具備的條件 1 依法設(shè)立的企業(yè)法人或者事業(yè)單位 2 具備相應(yīng)的計(jì)算機(jī)信息網(wǎng)絡(luò) 裝備以及相應(yīng)的技術(shù)人員和管理人員 3 具備健全的安全保密管理制度和技術(shù)保護(hù)措施 4 符合法律和國(guó)務(wù)院規(guī)定的其他條件 3 安全責(zé)任12 5 4我國(guó)電子商務(wù)立法的若干基本問(wèn)題1 電子商務(wù)立法形式的選擇1 電子商務(wù)法的地位2 電子商務(wù)立法途徑2 電子商務(wù)立法目的1 為電子商務(wù)的健康 快速發(fā)展創(chuàng)造一個(gè)良好的法律環(huán)境2 彌補(bǔ)現(xiàn)有法律的缺陷和不足3 鼓勵(lì)利用現(xiàn)代信息技術(shù)促進(jìn)交易活動(dòng) 3 電子商務(wù)立法指導(dǎo)思想與原則1 與聯(lián)合國(guó) 電子商務(wù)示范法 保持一致2 不偏重任何技術(shù)3 依賴 功能等同 方法4 跟蹤計(jì)算機(jī)技術(shù)的最新發(fā)展4 電子商務(wù)立法范圍1 電子商務(wù)法的調(diào)整對(duì)象2 電子商務(wù)法所涉及的技術(shù)范圍3 電子商務(wù)法所涉及的商務(wù)范圍5 電子商務(wù)立法框架 1 第一部分 總則第一章 一般條款 第二章 對(duì)數(shù)據(jù)電文適用法律要求 第三章 數(shù)據(jù)電文的形成與傳遞 第四章 電子支付 第五章 認(rèn)證機(jī)構(gòu) 第六章 網(wǎng)絡(luò)服務(wù)商 第七章 政府作用 2 第二部分 電子商務(wù)的特定領(lǐng)域 第八章 網(wǎng)絡(luò)零售業(yè) 包括網(wǎng)絡(luò)零售業(yè)的范圍 市場(chǎng)準(zhǔn)入制度 網(wǎng)絡(luò)零售規(guī)范等 第九章 網(wǎng)絡(luò)廣告業(yè) 包括網(wǎng)絡(luò)廣告的定義 活動(dòng)主體 行為準(zhǔn)則 網(wǎng)絡(luò)廣告審查等 第十章 知識(shí)產(chǎn)權(quán)貿(mào)易 包括網(wǎng)絡(luò)環(huán)境下的版權(quán) 專利 商標(biāo)和技術(shù)成果交易等 第十一章 貨物運(yùn)輸