第9章電子商務(wù)安全管理9.1信息系統(tǒng)安全保護(hù)的相關(guān)規(guī)定9.1.1信息系統(tǒng)安全保護(hù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(以下簡(jiǎn)稱(chēng)條例)主要內(nèi)容：1）公安部主管全國(guó)的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作；2）計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)；3）健全安全管理制度；4）國(guó)家對(duì)計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品的銷(xiāo)售實(shí)行許可證制度；5）公安機(jī)關(guān)行使監(jiān)督職權(quán)，包括監(jiān)督、檢查、指導(dǎo)和查處危害信息系統(tǒng)安全的違法犯罪案件等。9.1.1信息系統(tǒng)安全保護(hù)《條例》九大制度：1）計(jì)算機(jī)信息系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)當(dāng)遵紀(jì)守法；2）計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度；3）計(jì)算機(jī)機(jī)房安全管理制度；4）計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)備案制度；5）計(jì)算機(jī)信息媒體進(jìn)出境申報(bào)制度；6）計(jì)算機(jī)信息系統(tǒng)使用單位安全負(fù)責(zé)制度；7）計(jì)算機(jī)案件強(qiáng)制報(bào)告制度；8）計(jì)算機(jī)病毒及其有害數(shù)據(jù)的專(zhuān)管制度；9）計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證制度。9.1.2國(guó)際聯(lián)網(wǎng)管理《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)出入口信道管理辦法》《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》9.1.3商用密碼管理《商用密碼管理?xiàng)l例》主要內(nèi)容：國(guó)家密碼管理委員會(huì)及其辦公室主管全國(guó)的商用密碼管理工作。商用密碼技術(shù)屬于國(guó)家秘密，國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷(xiāo)售和使用實(shí)行專(zhuān)控管理。商用密碼的科研任務(wù)由密碼管理機(jī)構(gòu)指定的單位承擔(dān)。商用密碼產(chǎn)品由密碼管理機(jī)構(gòu)指定的單位生產(chǎn)，其品種和型號(hào)必須經(jīng)國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn)，且必須經(jīng)產(chǎn)品質(zhì)量檢測(cè)機(jī)構(gòu)檢測(cè)合格。商用密碼產(chǎn)品由密碼管理機(jī)構(gòu)許可的單位銷(xiāo)售。用戶(hù)只能使用經(jīng)密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，且不得轉(zhuǎn)讓。9.1.4計(jì)算機(jī)病毒防治《計(jì)算機(jī)病毒防治管理辦法》主要內(nèi)容：公安部公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)主管全國(guó)的計(jì)算機(jī)病毒防治管理工作，地方各級(jí)公安機(jī)關(guān)具體負(fù)責(zé)本行政區(qū)域內(nèi)的計(jì)算機(jī)病毒防治管理工作。任何單位和個(gè)人應(yīng)接受公安機(jī)關(guān)對(duì)計(jì)算機(jī)病毒防治工作的監(jiān)督、檢查和指導(dǎo)，不得制作、傳播計(jì)算機(jī)病毒。計(jì)算機(jī)病毒防治產(chǎn)品廠商，應(yīng)及時(shí)向計(jì)算機(jī)病毒防治產(chǎn)品檢測(cè)機(jī)構(gòu)提交病毒樣本。擁有計(jì)算機(jī)信息系統(tǒng)的單位應(yīng)建立病毒防治管理制度并采取防治措施。病毒防治產(chǎn)品應(yīng)具有計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證，并貼有“銷(xiāo)售許可”標(biāo)記。9.1.4安全產(chǎn)品檢測(cè)與銷(xiāo)售《計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法》主要內(nèi)容：我國(guó)境內(nèi)的安全專(zhuān)用產(chǎn)品進(jìn)入市場(chǎng)銷(xiāo)售，實(shí)行銷(xiāo)售許可證制度。頒發(fā)銷(xiāo)售許可證前，產(chǎn)品必須進(jìn)行安全功能的檢測(cè)和認(rèn)定。公安部計(jì)算機(jī)管理監(jiān)察部門(mén)負(fù)責(zé)銷(xiāo)售許可證的審批頒發(fā)、檢測(cè)機(jī)構(gòu)的審批、定期發(fā)布安全專(zhuān)用產(chǎn)品的檢測(cè)通告和經(jīng)安全功能檢測(cè)確認(rèn)的安全專(zhuān)用產(chǎn)品目錄。銷(xiāo)售許可證只對(duì)所申請(qǐng)銷(xiāo)售的安全專(zhuān)用產(chǎn)品有效，有效期為兩年。9.2電子商務(wù)安全管理制度9.2.1信息安全管理制度的內(nèi)涵信息安全的基本要求：1）認(rèn)證用戶(hù)和鑒別2）控制存取3）保障完整性4）審計(jì)5）容錯(cuò)9.2.2網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度(1)硬件的日常管理和維護(hù)：1）網(wǎng)絡(luò)設(shè)備2）服務(wù)器和客戶(hù)機(jī)3）通信線路(2)軟件的日常管理和維護(hù)：1）支撐軟件2）應(yīng)用軟件(3)數(shù)據(jù)備份9.2.3病毒防范制度1）安裝防病毒軟件2）不打開(kāi)陌生地址的電子郵件3）認(rèn)真執(zhí)行病毒定期清理制度4）控制權(quán)限9.2.4人員管理制度1）嚴(yán)格選拔網(wǎng)上交易人員2）落實(shí)工作責(zé)任制3）貫徹電子商務(wù)安全運(yùn)作基本原則9.2.4人員管理制度1）嚴(yán)格選拔網(wǎng)上交易人員2）落實(shí)工作責(zé)任制3）貫徹電子商務(wù)安全運(yùn)作基本原則雙人負(fù)責(zé)原則任期有限原則最小權(quán)限原則9.3電子商務(wù)安全風(fēng)險(xiǎn)管理9.3.1風(fēng)險(xiǎn)管理概述(1)企業(yè)內(nèi)部風(fēng)險(xiǎn)1）技術(shù)風(fēng)險(xiǎn)2）戰(zhàn)略風(fēng)險(xiǎn)3）管理風(fēng)險(xiǎn)(2)企業(yè)外部風(fēng)險(xiǎn)1）漏洞2）威脅①目標(biāo)②代理（特性：訪問(wèn)、知識(shí)、動(dòng)機(jī)）③事件9.3.1風(fēng)險(xiǎn)管理概述(3)威脅+漏洞=風(fēng)險(xiǎn)三個(gè)級(jí)別：低級(jí)別風(fēng)險(xiǎn)是漏洞使組織的風(fēng)險(xiǎn)達(dá)到一定水平，然而風(fēng)險(xiǎn)不一定發(fā)生。如有可能，應(yīng)將這些產(chǎn)生低級(jí)別風(fēng)險(xiǎn)的漏洞去除，但應(yīng)權(quán)衡去除漏洞的代價(jià)和能減少的風(fēng)險(xiǎn)損失。中級(jí)別風(fēng)險(xiǎn)是漏洞使組織的信息系統(tǒng)或場(chǎng)地的風(fēng)險(xiǎn)（機(jī)密性、完整性、可用性、可審性）達(dá)到相當(dāng)?shù)乃?，并且已有發(fā)生事件的現(xiàn)實(shí)可能性。應(yīng)采取措施去除漏洞。高級(jí)別風(fēng)險(xiǎn)是漏洞對(duì)組織的信息、系統(tǒng)或場(chǎng)地的機(jī)密性、完整性、可用性和可審性已構(gòu)成現(xiàn)實(shí)危害，必須立即采取措施去除產(chǎn)生高級(jí)別風(fēng)險(xiǎn)的漏洞。9.3.2風(fēng)險(xiǎn)的識(shí)別與測(cè)量(1)風(fēng)險(xiǎn)的識(shí)別1）識(shí)別漏洞2）識(shí)別威脅3）檢查對(duì)策和預(yù)防措施4）識(shí)別風(fēng)險(xiǎn)9.3.2風(fēng)險(xiǎn)的識(shí)別與測(cè)量圖9.1風(fēng)險(xiǎn)評(píng)估的組成(1)風(fēng)險(xiǎn)的識(shí)別9.3.2風(fēng)險(xiǎn)的識(shí)別與測(cè)量(2)風(fēng)險(xiǎn)的測(cè)量傳統(tǒng)的風(fēng)險(xiǎn)測(cè)量的方法是：風(fēng)險(xiǎn)=威脅×漏洞×影響網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的三維向量法：網(wǎng)絡(luò)風(fēng)險(xiǎn)=(網(wǎng)絡(luò)節(jié)點(diǎn)風(fēng)險(xiǎn)，通信鏈路風(fēng)險(xiǎn)，網(wǎng)絡(luò)管理風(fēng)險(xiǎn))代價(jià):1）資金2）時(shí)間3）資源4）信譽(yù)9.3.4風(fēng)險(xiǎn)管理策略(1)風(fēng)險(xiǎn)識(shí)別(2)風(fēng)險(xiǎn)分析(3)風(fēng)險(xiǎn)控制圖9.2風(fēng)險(xiǎn)評(píng)估—?dú)堄囡L(fēng)險(xiǎn)接受過(guò)程9.3.4風(fēng)險(xiǎn)管理策略(1)物理安全(2)周邊防御(3)網(wǎng)絡(luò)防御(4)主機(jī)防御(5)應(yīng)用程序防御(6)數(shù)據(jù)防御圖9.3有效的縱深防御策略9.4電子商務(wù)安全的法律保障網(wǎng)絡(luò)安全和交易安全知識(shí)產(chǎn)權(quán)保護(hù)電子合同問(wèn)題

電子證據(jù)的獲取和認(rèn)定網(wǎng)絡(luò)高科技犯罪問(wèn)題常見(jiàn)安全問(wèn)題及違規(guī)違法行為：《合同法》《侵權(quán)責(zé)任法》《電子簽名法》《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《非金融機(jī)構(gòu)支付服務(wù)管理辦法》《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《電信條例》相關(guān)的民商事活動(dòng)一般法：①法律位階低，亟須制定專(zhuān)門(mén)法，把分散的法規(guī)、規(guī)章統(tǒng)籌起來(lái)，以形成完整的電子商務(wù)法治體系；②結(jié)構(gòu)混亂，開(kāi)放性與兼容性不足，難以應(yīng)對(duì)不斷出現(xiàn)的電子商務(wù)問(wèn)題；③可操作性欠缺，規(guī)范促進(jìn)效果不明顯；