電子商務(wù)安全管理模塊五學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理學(xué)習(xí)單元3電子商務(wù)安全管理制度學(xué)習(xí)單元一電子商務(wù)安全法律法規(guī)學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)1.網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求為加強(qiáng)網(wǎng)絡(luò)安全專用產(chǎn)品安全管理，推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn)，避免重復(fù)認(rèn)證、檢測(cè)，自2023年7月1日起，列入《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照《信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求》等相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后，方可銷(xiāo)售或者提供。一、電子商務(wù)網(wǎng)絡(luò)安全的法律法規(guī)2023年7月，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同工業(yè)和信息化部、公安部、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)等部門(mén)更新了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》，明確了路由器、交換機(jī)、服務(wù)器（機(jī)架式）和可編程邏輯控制器（PLC設(shè)備）等四類網(wǎng)絡(luò)關(guān)鍵設(shè)備，見(jiàn)表5-1-1。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)2.國(guó)際互聯(lián)網(wǎng)出入信道的管理制度《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》規(guī)定：“計(jì)算機(jī)信息網(wǎng)絡(luò)直接進(jìn)行國(guó)際聯(lián)網(wǎng)，必須使用郵電部國(guó)家公用電信網(wǎng)提供的國(guó)際出入口信道。任何單位和個(gè)人不得自行建立或者使用其他信道進(jìn)行國(guó)際聯(lián)網(wǎng)。”除國(guó)際通信業(yè)務(wù)出入口局作為國(guó)家總關(guān)口外，工業(yè)和信息化部還將中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng)劃分為全國(guó)骨干網(wǎng)和各省、自治區(qū)、直轄市接入網(wǎng)進(jìn)行分層管理，以便對(duì)入網(wǎng)信息進(jìn)行有效的過(guò)濾、隔離和檢測(cè)。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)3.市場(chǎng)準(zhǔn)入制度《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》規(guī)定了“從事國(guó)際聯(lián)網(wǎng)經(jīng)營(yíng)活動(dòng)的和從事非經(jīng)營(yíng)活動(dòng)的接入單位必須具備下列條件：（一）是依法設(shè)立的企業(yè)法人或者事業(yè)法人；（二）具備相應(yīng)的計(jì)算機(jī)信息網(wǎng)絡(luò)、裝備以及相應(yīng)的技術(shù)人員和管理人員；（三）具有健全的安全保密管理制度和技術(shù)保護(hù)措施；（四）符合法律和國(guó)務(wù)院規(guī)定的其他條件”。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)4.計(jì)算機(jī)病毒防治管理辦法《計(jì)算機(jī)病毒防治管理辦法》規(guī)定：“任何單位和個(gè)人不得有下列傳播計(jì)算機(jī)病毒的行為：（一）故意輸入計(jì)算機(jī)病毒，危害計(jì)算機(jī)信息系統(tǒng)安全；（二）向他人提供含有計(jì)算機(jī)病毒的文件、軟件、媒體；（三）銷(xiāo)售、出租、附贈(zèng)含有計(jì)算機(jī)病毒的媒體；（四）其他傳播計(jì)算機(jī)病毒的行為?！睂W(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)該辦法還規(guī)定：“計(jì)算機(jī)信息系統(tǒng)的使用單位在計(jì)算機(jī)病毒防治工作中應(yīng)當(dāng)履行下列職責(zé)：（一）建立本單位的計(jì)算機(jī)病毒防治管理制度；（二）采取計(jì)算機(jī)病毒安全技術(shù)防治措施；（三）對(duì)本單位計(jì)算機(jī)信息系統(tǒng)使用人員進(jìn)行計(jì)算機(jī)病毒防治教育和培訓(xùn)；（四）及時(shí)檢測(cè)、清除計(jì)算機(jī)信息系統(tǒng)中的計(jì)算機(jī)病毒，并備有檢測(cè)、清除的記錄；（五）使用具有計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷(xiāo)售許可證的計(jì)算機(jī)病毒防治產(chǎn)品；（六）對(duì)因計(jì)算機(jī)病毒引起的計(jì)算機(jī)信息系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等重大事故及時(shí)向公安機(jī)關(guān)報(bào)告，并保護(hù)現(xiàn)場(chǎng)?！睂W(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)1.信息系統(tǒng)安全等級(jí)保護(hù)制度根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239—2019）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448—2019）等標(biāo)準(zhǔn)的描述，等級(jí)保護(hù)的對(duì)象是信息和信息載體，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)應(yīng)用等。按照這些等級(jí)保護(hù)對(duì)象的重要程度，以及一旦遭到破壞的危害程度等因素，將等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)分為五級(jí)，不同級(jí)別的等級(jí)保護(hù)對(duì)象要求具備不同的安全保護(hù)能力，其中第一至第四級(jí)安全保護(hù)能力要求見(jiàn)表5-1-2。二、電子商務(wù)信息安全的法律法規(guī)學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)常見(jiàn)的第二級(jí)安全保護(hù)能力系統(tǒng)一般是企業(yè)的展示網(wǎng)站，沒(méi)有交易行為、沒(méi)有隱私信息、沒(méi)有用戶信息等，一旦受到惡意攻擊，只會(huì)影響企業(yè)本身。第三級(jí)安全保護(hù)能力系統(tǒng)一般涉及電子商務(wù)網(wǎng)站、物流平臺(tái)、貨運(yùn)網(wǎng)站、政府單位系統(tǒng)等的交易信息、用戶信息、隱私信息等，一旦受到攻擊，將對(duì)社會(huì)和國(guó)家產(chǎn)生一定的影響。因此，涉及用戶信息安全、企業(yè)安全、國(guó)家機(jī)密、公民信息和資金安全的系統(tǒng)，只有通過(guò)信息安全等級(jí)保護(hù)測(cè)評(píng)才能上線。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)對(duì)于已運(yùn)營(yíng)（運(yùn)行）的第二級(jí)安全保護(hù)能力及以上電子商務(wù)系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。對(duì)于新建第二級(jí)安全保護(hù)能力及以上電子商務(wù)系統(tǒng)，應(yīng)由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門(mén)向公安部辦理備案手續(xù)；跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)2.電子商務(wù)信息安全相關(guān)法律法規(guī)目前我國(guó)出臺(tái)的電子商務(wù)信息安全的相關(guān)法律規(guī)范有《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)1.電子商務(wù)交易的簽證授權(quán)2005年4月1日我國(guó)出臺(tái)了《中華人民共和國(guó)電子簽名法》，承認(rèn)了電子簽名的法律效力，其被認(rèn)為是我國(guó)第一部真正意義上的電子商務(wù)法。需要注意的是，從概念上說(shuō)，電子簽名與數(shù)字簽名是不同的。數(shù)字簽名的概念來(lái)源于科學(xué)技術(shù)領(lǐng)域，特指利用公鑰密碼技術(shù)而實(shí)現(xiàn)的對(duì)數(shù)據(jù)的鑒別。而電子簽名是法律上根據(jù)簽名的基本功能而定義的。電子簽名與數(shù)字簽名的關(guān)系是：電子簽名是法律上為了追求技術(shù)中立性而泛化的概念，數(shù)字簽名是電子簽名的一種特定實(shí)現(xiàn)形式。三、電子商務(wù)交易安全的法律法規(guī)2.電子商務(wù)交易安全的投訴處理機(jī)制中國(guó)消費(fèi)者協(xié)會(huì)以“全國(guó)消費(fèi)者協(xié)會(huì)投訴與咨詢信息系統(tǒng)”為依托建立了“電商消費(fèi)維權(quán)綠色通道（直通車(chē)）平臺(tái)”，加入該平臺(tái)的有淘寶網(wǎng)、京東商城、蘇寧易購(gòu)、唯品會(huì)、1號(hào)店、聚美優(yōu)品、國(guó)美在線、攜程、去哪兒、優(yōu)酷土豆、風(fēng)行網(wǎng)、美團(tuán)、大眾點(diǎn)評(píng)、餓了么、網(wǎng)易考拉海購(gòu)、滴滴、優(yōu)信二手車(chē)、中國(guó)移動(dòng)、人人車(chē)、58同城、途虎養(yǎng)車(chē)等電子商務(wù)企業(yè)。全國(guó)各級(jí)消費(fèi)者協(xié)會(huì)在接到消費(fèi)者投訴后將投訴信息錄入系統(tǒng)，加入系統(tǒng)的電子商務(wù)企業(yè)會(huì)在七個(gè)工作日內(nèi)進(jìn)行處理。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)3.電子商務(wù)交易安全的法律規(guī)范電子商務(wù)交易安全的法律保障問(wèn)題涉及兩個(gè)基本方面：第一，電子商務(wù)交易首先是一種商品交易，其安全問(wèn)題應(yīng)當(dāng)通過(guò)民商法和電子商務(wù)法律法規(guī)加以保護(hù)；第二，電子商務(wù)交易是通過(guò)計(jì)算機(jī)及其網(wǎng)絡(luò)實(shí)現(xiàn)的，其安全與計(jì)算機(jī)及其網(wǎng)絡(luò)自身的安全程度有關(guān)，其安全問(wèn)題可以通過(guò)網(wǎng)絡(luò)信息安全法律法規(guī)加以保護(hù)。2018年制定的《中華人民共和國(guó)電子商務(wù)法》（以下簡(jiǎn)稱《電子商務(wù)法》），就是我國(guó)建構(gòu)與互聯(lián)網(wǎng)時(shí)代的社會(huì)經(jīng)濟(jì)生活相適應(yīng)的法律體系的重要法律，該法的制定對(duì)我國(guó)電子商務(wù)的健康可持續(xù)發(fā)展將會(huì)產(chǎn)生深遠(yuǎn)的影響。《電子商務(wù)法》的重要任務(wù)之一就是針對(duì)新型的市場(chǎng)主體——電子商務(wù)平臺(tái)經(jīng)營(yíng)者來(lái)建章立制，并用了接近一半的條文，對(duì)平臺(tái)的法律地位、權(quán)利、義務(wù)與責(zé)任做出詳盡規(guī)定。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)《電子商務(wù)法》對(duì)電子商務(wù)經(jīng)營(yíng)者、電子商務(wù)合同的訂立與履行、電子商務(wù)爭(zhēng)議解決、電子商務(wù)促進(jìn)和法律責(zé)任等方面做了規(guī)定，明確規(guī)定了電子商務(wù)各方主體的合法權(quán)益，規(guī)范了電子商務(wù)行為，為網(wǎng)購(gòu)消費(fèi)者撐起了法律的“保護(hù)傘”，是電子商務(wù)領(lǐng)域的一部基礎(chǔ)性法律?！峨娮由虅?wù)法》的亮點(diǎn)主要有以下幾方面：1.將微商、代購(gòu)、網(wǎng)絡(luò)直播納入范疇從平臺(tái)購(gòu)物到朋友圈購(gòu)物，再到直播購(gòu)物，消費(fèi)者的網(wǎng)購(gòu)渠道越來(lái)越多?！峨娮由虅?wù)法》明確將微商、代購(gòu)、網(wǎng)絡(luò)直播納入電子商務(wù)經(jīng)營(yíng)者范疇，明確其受該法制約。四、電子商務(wù)法2.電子商務(wù)平臺(tái)不得刪除消費(fèi)者評(píng)價(jià)很多消費(fèi)者明明購(gòu)買(mǎi)了質(zhì)量有問(wèn)題的產(chǎn)品，真實(shí)的評(píng)價(jià)卻在評(píng)論區(qū)“消失”了。這種情況今后將會(huì)改善，電子商務(wù)法明確不得刪除評(píng)價(jià)。3.制約大數(shù)據(jù)殺熟互聯(lián)網(wǎng)的計(jì)算能力強(qiáng)大，它可以根據(jù)不同人的購(gòu)買(mǎi)喜好、習(xí)慣，做出“千人千面”的頁(yè)面。《電子商務(wù)法》實(shí)施后，電子商務(wù)平臺(tái)理應(yīng)推出允許用戶關(guān)閉“個(gè)性化推薦”的選項(xiàng)。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)4.禁止“默認(rèn)勾選”，應(yīng)顯著提示搭售默認(rèn)同意獲取個(gè)人信息、買(mǎi)機(jī)票搭“專車(chē)”接送等，這樣的消費(fèi)場(chǎng)景曾無(wú)數(shù)次上演。這些互聯(lián)網(wǎng)平臺(tái)的貓膩——“默認(rèn)勾選”將成為歷史，消費(fèi)頁(yè)面應(yīng)讓消費(fèi)者知情，并主動(dòng)勾選“同意”。5.押金退還不得設(shè)置不合理?xiàng)l件《電子商務(wù)法》規(guī)定經(jīng)營(yíng)者要明示押金退還方式和程序，不得設(shè)置不合理?xiàng)l件，符合規(guī)定的押金退還要及時(shí)。今后，押金退還的程序會(huì)更加明確，消費(fèi)者的權(quán)益會(huì)得到更好的保障。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)6.規(guī)范電子商務(wù)合同的訂立與履行中的難點(diǎn)問(wèn)題《電子商務(wù)法》規(guī)范了各類合同訂立與履行的難點(diǎn)問(wèn)題，包括快遞、支付等各個(gè)環(huán)節(jié)都有相應(yīng)的規(guī)范。7.平臺(tái)不能強(qiáng)制商家“二選一”為了在電子商務(wù)促銷(xiāo)季里獲得更大的流量，有平臺(tái)會(huì)對(duì)商家強(qiáng)制“二選一”。在《電子商務(wù)法》中，這一行為被明確禁止。8.平臺(tái)經(jīng)營(yíng)者自營(yíng)應(yīng)設(shè)顯著標(biāo)識(shí)在電子商務(wù)平臺(tái)上，消費(fèi)者經(jīng)常會(huì)看到“自營(yíng)”的標(biāo)識(shí)。今后，這些標(biāo)識(shí)必須更加明顯。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)9.強(qiáng)化經(jīng)營(yíng)者舉證責(zé)任消費(fèi)者和商家出現(xiàn)消費(fèi)紛爭(zhēng)，平臺(tái)應(yīng)積極配合消費(fèi)者舉證，提供必要的便利來(lái)維護(hù)消費(fèi)者權(quán)益。《電子商務(wù)法》要求平臺(tái)經(jīng)營(yíng)者完整保留交易數(shù)據(jù)信息，幫助還原事情的真相。10.平臺(tái)經(jīng)營(yíng)者應(yīng)依法擔(dān)責(zé)平臺(tái)經(jīng)營(yíng)者建構(gòu)一個(gè)網(wǎng)絡(luò)交易空間，讓其他經(jīng)營(yíng)者入駐，成為平臺(tái)內(nèi)經(jīng)營(yíng)者，并且獨(dú)立開(kāi)展交易活動(dòng)。學(xué)習(xí)單元1電子商務(wù)安全法律法規(guī)學(xué)習(xí)單元二電子商務(wù)安全風(fēng)險(xiǎn)管理1.電子商務(wù)安全風(fēng)險(xiǎn)的定義廣義的電子商務(wù)安全風(fēng)險(xiǎn)是指威脅電子商務(wù)安全的各類風(fēng)險(xiǎn)，覆蓋電子商務(wù)的整個(gè)流程、全部參與者、各類軟件硬件設(shè)施、內(nèi)外部運(yùn)行環(huán)境，包括信息安全風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)和政策風(fēng)險(xiǎn)等。狹義的電子商務(wù)安全風(fēng)險(xiǎn)則主要關(guān)注信息技術(shù)和操作層面，主要包括信息安全風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)，不包括商業(yè)活動(dòng)本身的風(fēng)險(xiǎn)。一、電子商務(wù)安全風(fēng)險(xiǎn)學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理專家學(xué)者將電子商務(wù)產(chǎn)業(yè)架構(gòu)為底層基礎(chǔ)和電子商務(wù)產(chǎn)業(yè)兩大部分，其中底層基礎(chǔ)又包括電信基礎(chǔ)設(shè)施、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、互聯(lián)網(wǎng)軟件工具及語(yǔ)言；電子商務(wù)產(chǎn)業(yè)包括安全、電子支付、金融服務(wù)軟件和業(yè)務(wù)商務(wù)軟件四個(gè)基礎(chǔ)層次以及上層的商務(wù)內(nèi)容部分，見(jiàn)表5-2-1。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理2.電子商務(wù)安全風(fēng)險(xiǎn)的主要特點(diǎn)從事電子商務(wù)活動(dòng)的所有機(jī)構(gòu)、企業(yè)以及個(gè)人都暴露在安全風(fēng)險(xiǎn)中，都可能在不同程度上遭受網(wǎng)絡(luò)犯罪的侵害。了解電子商務(wù)安全風(fēng)險(xiǎn)的主要特點(diǎn)有助于清楚認(rèn)識(shí)風(fēng)險(xiǎn)形勢(shì)，提升風(fēng)險(xiǎn)管理水平。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理現(xiàn)階段電子商務(wù)安全風(fēng)險(xiǎn)的主要特點(diǎn)可以歸納為以下幾點(diǎn)。（1）攻擊具有普遍性，風(fēng)險(xiǎn)無(wú)處不在網(wǎng)絡(luò)黑客無(wú)孔不入，出于牟利、破壞、好奇等各種目的對(duì)他人的信息資產(chǎn)進(jìn)行攻擊或竊取。（2）信息和數(shù)據(jù)成為主要侵害對(duì)象信息和數(shù)據(jù)的價(jià)值已經(jīng)得到廣泛認(rèn)同，黑客也不例外，企業(yè)及個(gè)人信息成為網(wǎng)絡(luò)犯罪的主要攻擊和牟利對(duì)象。（3）安全問(wèn)題造成的損失日益增大針對(duì)電子商務(wù)的網(wǎng)絡(luò)犯罪手段在不斷升級(jí)，各種傳統(tǒng)詐騙手段配合網(wǎng)絡(luò)技術(shù)、移動(dòng)技術(shù)，使得電子商務(wù)安全形勢(shì)更加復(fù)雜，其造成的損失也在逐年攀升。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理3.電子商務(wù)安全風(fēng)險(xiǎn)的主要危害（1）直接損失電子商務(wù)安全風(fēng)險(xiǎn)導(dǎo)致的直接損失是指網(wǎng)絡(luò)犯罪直接造成的企業(yè)有形和無(wú)形財(cái)產(chǎn)損失。（2）間接損失電子商務(wù)安全風(fēng)險(xiǎn)導(dǎo)致的間接損失主要包括企業(yè)業(yè)務(wù)中斷損失、業(yè)務(wù)恢復(fù)投入以及賠償?shù)谌綋p失等。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理4.我國(guó)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)急響應(yīng)體系國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡(jiǎn)稱國(guó)家互聯(lián)網(wǎng)應(yīng)急中心，CNCERT），為非政府非營(yíng)利的網(wǎng)絡(luò)安全技術(shù)中心，是我國(guó)網(wǎng)絡(luò)安全應(yīng)急體系的核心協(xié)調(diào)機(jī)構(gòu)。作為國(guó)家級(jí)應(yīng)急中心，CNCERT的主要職責(zé)是：按照“積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速響應(yīng)、力?；謴?fù)”的方針，開(kāi)展互聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件的預(yù)防、發(fā)現(xiàn)、預(yù)警和協(xié)調(diào)處置等工作，維護(hù)國(guó)家公共互聯(lián)網(wǎng)安全，保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全運(yùn)行，減少電子商務(wù)運(yùn)行過(guò)程中的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理1.風(fēng)險(xiǎn)識(shí)別分析階段風(fēng)險(xiǎn)識(shí)別分析是收集信息，確定電子商務(wù)系統(tǒng)的薄弱點(diǎn)和面臨的威脅，對(duì)可能造成的損失進(jìn)行評(píng)價(jià)的過(guò)程。該階段的主要任務(wù)是全面評(píng)估電子商務(wù)的安全現(xiàn)狀、要保護(hù)的信息及資產(chǎn)等，同時(shí)進(jìn)行基本的安全風(fēng)險(xiǎn)識(shí)別和分析。二、電子商務(wù)安全風(fēng)險(xiǎn)管理流程學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理（1）風(fēng)險(xiǎn)識(shí)別的一般步驟在風(fēng)險(xiǎn)管理中，識(shí)別風(fēng)險(xiǎn)、給出風(fēng)險(xiǎn)的客觀評(píng)價(jià)是至關(guān)重要的，是風(fēng)險(xiǎn)控制實(shí)施的基礎(chǔ)所在。通常，在電子商務(wù)安全風(fēng)險(xiǎn)管理中風(fēng)險(xiǎn)識(shí)別應(yīng)遵循以下步驟。1）信息資產(chǎn)的識(shí)別與評(píng)估。評(píng)估范圍內(nèi)的資產(chǎn)主要包括數(shù)據(jù)與文檔、書(shū)面合同、軟件資產(chǎn)、人員、服務(wù)以及實(shí)物資產(chǎn)。列出所有信息資產(chǎn)后，為每項(xiàng)資產(chǎn)賦值。2）威脅的識(shí)別與評(píng)估。對(duì)每一項(xiàng)關(guān)鍵信息資產(chǎn)進(jìn)行威脅識(shí)別，繼而確定威脅發(fā)生的可能性。企業(yè)應(yīng)根據(jù)經(jīng)驗(yàn)或者有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅發(fā)生的頻率或者概率。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理3）薄弱點(diǎn)評(píng)估。企業(yè)需要保護(hù)的信息資產(chǎn)存在可能被威脅利用的薄弱點(diǎn)，即漏洞。企業(yè)應(yīng)針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找出每一種威脅所能利用的薄弱點(diǎn)，并針對(duì)薄弱點(diǎn)的嚴(yán)重性進(jìn)行評(píng)估。企業(yè)還應(yīng)對(duì)已有的安全控制的有效性進(jìn)行確認(rèn)，確保其持續(xù)有效。在分析系統(tǒng)威脅以及薄弱點(diǎn)的時(shí)候，可以分成兩個(gè)階段來(lái)考慮：一是識(shí)別可能發(fā)生的威脅和存在的薄弱點(diǎn)；二是分析這些問(wèn)題可能對(duì)組織產(chǎn)生影響的可能性、影響的范圍及程度等。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理（2）風(fēng)險(xiǎn)識(shí)別的常用方法1）風(fēng)險(xiǎn)分析調(diào)查表法。這是風(fēng)險(xiǎn)管理人員及有關(guān)專家學(xué)者通過(guò)對(duì)企業(yè)可能遭受的風(fēng)險(xiǎn)加以詳盡的調(diào)查與分析，編制各種調(diào)查表供企業(yè)參考的一種方法。調(diào)查表應(yīng)盡可能提出比較詳盡的問(wèn)題。2）事故樹(shù)分析法。事故樹(shù)分析法是指對(duì)可能引起損失的事故進(jìn)行研究，并探究其原因和結(jié)果的一種方法。事故樹(shù)分析法可以識(shí)別各種促成損失的事故的風(fēng)險(xiǎn)因素，還可以計(jì)算事故的概率，是定性和定量相結(jié)合的方法，在風(fēng)險(xiǎn)管理中運(yùn)用很廣。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理2.風(fēng)險(xiǎn)評(píng)估階段風(fēng)險(xiǎn)評(píng)估階段就是確定企業(yè)安全需求的過(guò)程。企業(yè)在經(jīng)過(guò)了風(fēng)險(xiǎn)識(shí)別分析之后，應(yīng)利用適當(dāng)?shù)娘L(fēng)險(xiǎn)測(cè)量工具或方法確定風(fēng)險(xiǎn)的大小與風(fēng)險(xiǎn)等級(jí)，以便正確識(shí)別與選擇恰當(dāng)和正確的安全控制方法，從而避免出現(xiàn)投入成本和所保護(hù)的信息和資產(chǎn)嚴(yán)重不匹配。目前，國(guó)內(nèi)已有一些關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的研究和應(yīng)用，如風(fēng)險(xiǎn)評(píng)估矩陣與問(wèn)卷方法、專家系統(tǒng)相結(jié)合。此外，網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估方法常用定量因子分析方法、時(shí)間序列模型、決策樹(shù)方法和回歸模型等。信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)內(nèi)容要求比較高，它要求員工具有很高的技術(shù)水平。而且信息安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)集綜合性、專業(yè)性于一體的工作，不僅涉及公司的所有業(yè)務(wù)信息，也涉及人力、物力和財(cái)力的方方面面，因此需要各部門(mén)之間相互配合。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理3.風(fēng)險(xiǎn)控制階段風(fēng)險(xiǎn)控制階段的任務(wù)是通過(guò)實(shí)施一系列的安全控制措施使風(fēng)險(xiǎn)降低到企業(yè)可以接受的水平。風(fēng)險(xiǎn)控制在滿足費(fèi)用和風(fēng)險(xiǎn)平衡的原則下，可以選擇下列途徑來(lái)實(shí)現(xiàn)風(fēng)險(xiǎn)可接受的目的，如避免風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、減少威脅、減少薄弱點(diǎn)、減弱威脅可能的影響程度、探測(cè)有害事件等。在經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估后，企業(yè)應(yīng)采用合適的方法進(jìn)行風(fēng)險(xiǎn)控制。風(fēng)險(xiǎn)控制的選擇以風(fēng)險(xiǎn)評(píng)估的結(jié)果為依據(jù)，決定需要保護(hù)的資產(chǎn)、采用何種形式保護(hù)，從而減少或消除風(fēng)險(xiǎn)損失，達(dá)到企業(yè)可以接受的風(fēng)險(xiǎn)水平。在傳統(tǒng)的金融機(jī)構(gòu)風(fēng)險(xiǎn)管理中，風(fēng)險(xiǎn)控制的基本方法主要包括規(guī)避、預(yù)防和分散；從財(cái)務(wù)角度出發(fā)的風(fēng)險(xiǎn)控制對(duì)策包括風(fēng)險(xiǎn)自留和風(fēng)險(xiǎn)轉(zhuǎn)移。在企業(yè)的電子商務(wù)安全風(fēng)險(xiǎn)控制中，可以借鑒這些方法。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理1.安全風(fēng)險(xiǎn)管理策略應(yīng)遵循的原則安全風(fēng)險(xiǎn)管理策略是指能夠接觸企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息的人員必須恪守的一系列規(guī)則和條文的明確規(guī)定，其對(duì)每一個(gè)用戶、管理員和其他中高層管理者都確定了各自的安全目標(biāo)，這些目標(biāo)大多是基于以下因素的權(quán)衡：高質(zhì)量的服務(wù)和安全性，易用性和安全性，安全費(fèi)用和風(fēng)險(xiǎn)損失。三、電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理制定安全風(fēng)險(xiǎn)管理策略的主要目的是讓用戶和管理者牢記自身對(duì)保護(hù)企業(yè)網(wǎng)絡(luò)技術(shù)和信息財(cái)產(chǎn)的不可推卸的責(zé)任和義務(wù)，并為安全問(wèn)題造成的預(yù)期損失制定一個(gè)最高限額。安全風(fēng)險(xiǎn)管理策略首先是一個(gè)安全管理指導(dǎo)方針，因此必須在制定之初全盤(pán)考慮外界環(huán)境的各種限制條件。相關(guān)法律法規(guī)是任何被其管轄范圍內(nèi)的組織都必須遵守的，是其存在和發(fā)展的前提，因此必須遵循。而組織業(yè)務(wù)要求或組織的目標(biāo)則是一個(gè)組織存在和運(yùn)作的依據(jù)，電子商務(wù)模式不過(guò)是組織為了實(shí)現(xiàn)其業(yè)務(wù)目的而采取的一種手段，因此電子商務(wù)安全風(fēng)險(xiǎn)管理歸根結(jié)底也是為企業(yè)的整體目標(biāo)服務(wù)的，所以不能脫離組織的目標(biāo)而單獨(dú)考慮安全問(wèn)題。經(jīng)濟(jì)原則是任何以營(yíng)利為目的的企業(yè)必然要遵守的準(zhǔn)則，企業(yè)非公益組織，必須考慮成本和收益之間的關(guān)系，因此安全風(fēng)險(xiǎn)管理也不能無(wú)視成本，盲目追求高的安全水平。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理2.安全風(fēng)險(xiǎn)管理策略的總體框架企業(yè)的安全風(fēng)險(xiǎn)管理策略構(gòu)造如圖5-2-1所示。學(xué)習(xí)單元2電子商務(wù)安全風(fēng)險(xiǎn)管理學(xué)習(xí)單元三電子商務(wù)安全管理制度1.硬件的日常管理和維護(hù)企業(yè)建設(shè)自己的局域網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)參與電子商務(wù)活動(dòng)，其局域網(wǎng)絡(luò)的日常管理和維護(hù)就十分重要了，特別是那些運(yùn)行關(guān)鍵信息的局域網(wǎng)絡(luò)，如銀行、郵電、稅務(wù)等。網(wǎng)絡(luò)管理員必須建立系統(tǒng)設(shè)備檔案，記錄設(shè)備型號(hào)、生產(chǎn)廠家、配置參數(shù)、安裝時(shí)間、安裝地點(diǎn)、上網(wǎng)目錄和內(nèi)容。對(duì)于服務(wù)器和客戶機(jī)等，還應(yīng)記錄其內(nèi)存、硬盤(pán)容量和型號(hào)、終端型號(hào)及數(shù)量、操作系統(tǒng)名、數(shù)據(jù)庫(kù)名等。一、網(wǎng)絡(luò)系統(tǒng)日常維護(hù)制度學(xué)習(xí)單元3電子商務(wù)安全管理制度（1）網(wǎng)絡(luò)設(shè)備對(duì)于網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)，有網(wǎng)管軟件的應(yīng)及時(shí)安裝網(wǎng)管軟件。這些軟件可以做到對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的自動(dòng)識(shí)別、顯示和管理，網(wǎng)絡(luò)系統(tǒng)節(jié)點(diǎn)的配置和管理，系統(tǒng)故障的診斷、顯示及通告，網(wǎng)絡(luò)流量與業(yè)態(tài)的監(jiān)控、統(tǒng)計(jì)與分析，還可以進(jìn)行網(wǎng)絡(luò)性能調(diào)優(yōu)、負(fù)載平衡等。學(xué)習(xí)單元3電子商務(wù)安全管理制度（2）服務(wù)器和客戶機(jī)服務(wù)器系統(tǒng)必須及時(shí)升級(jí)安裝安全補(bǔ)丁，彌補(bǔ)系統(tǒng)漏洞；必須為服務(wù)器系統(tǒng)做好病毒及木馬的實(shí)時(shí)監(jiān)測(cè)，及時(shí)升級(jí)病毒庫(kù)。管理員對(duì)服務(wù)器和客戶機(jī)賬戶與口令應(yīng)嚴(yán)格保密、定期修改，以保證系統(tǒng)安全，防止對(duì)系統(tǒng)的非法入侵。注意對(duì)服務(wù)器硬盤(pán)等硬件做評(píng)估，保障服務(wù)器以最佳狀態(tài)工作。（3）通信線路對(duì)于內(nèi)部線路，應(yīng)盡可能采用結(jié)構(gòu)化布線。雖然采用結(jié)構(gòu)化布線系統(tǒng)在建設(shè)初期會(huì)增加投資，但這樣做可以大大降低網(wǎng)絡(luò)故障率，即使有故障發(fā)生也較容易排除。學(xué)習(xí)單元3電子商務(wù)安全管理制度2.軟件的日常管理和維護(hù)（1）支撐軟件支撐軟件包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、開(kāi)發(fā)工具及各種語(yǔ)言等。對(duì)于操作系統(tǒng)來(lái)說(shuō)，一般需要進(jìn)行以下維護(hù)工作：1）定期進(jìn)行系統(tǒng)更新和補(bǔ)丁管理。2）定期整理文件系統(tǒng)，清理系統(tǒng)垃圾，進(jìn)行系統(tǒng)優(yōu)化。3）監(jiān)測(cè)服務(wù)器上的活動(dòng)狀態(tài)和用戶注冊(cè)數(shù)。4）監(jiān)控系統(tǒng)資源的使用情況。5）處理運(yùn)行中的死機(jī)情況等。學(xué)習(xí)單元3電子商務(wù)安全管理制度（2）應(yīng)用軟件應(yīng)用軟件的管理和維護(hù)主要是版本控制。為了保持各客戶機(jī)上的版本一致，應(yīng)設(shè)置一臺(tái)安裝服務(wù)器，當(dāng)遠(yuǎn)程客戶機(jī)應(yīng)用軟件需要更新時(shí)，就可以從網(wǎng)絡(luò)上進(jìn)行遠(yuǎn)程安裝。學(xué)習(xí)單元3電子商務(wù)安全管理制度3.數(shù)據(jù)備份為規(guī)范數(shù)據(jù)備份管理工作，合理存儲(chǔ)歷史數(shù)據(jù)及保證數(shù)據(jù)的安全性，防止因硬件故障、意外斷電、病毒等因素造成數(shù)據(jù)的丟失，保障正常的知識(shí)產(chǎn)權(quán)利益和技術(shù)資料的儲(chǔ)備，一般電子商務(wù)公司會(huì)編制公司數(shù)據(jù)備份制度和方案，由備份管理人員負(fù)責(zé)制定備份、恢復(fù)策略，組織實(shí)施備份、恢復(fù)操作，指導(dǎo)備份介質(zhì)的取放、更換和登記工作。公司大多會(huì)根據(jù)情況將數(shù)據(jù)分為一般數(shù)據(jù)和重要數(shù)據(jù)兩種。一般數(shù)據(jù)（如服務(wù)器共享文件夾下面的數(shù)據(jù)）主要指?jìng)€(gè)人或部門(mén)的各種信息及辦公文檔、電子郵件、人事檔案、考勤管理、監(jiān)控?cái)?shù)據(jù)等，一般由個(gè)人或各部門(mén)每月自行備份，部門(mén)經(jīng)理負(fù)責(zé)整理歸檔后刻盤(pán)，備份管理人員每半年對(duì)一般數(shù)據(jù)資料進(jìn)行選擇性收集歸檔。重要數(shù)據(jù)主要包括各部門(mén)日常表單記錄、財(cái)務(wù)數(shù)據(jù)、技術(shù)部門(mén)圖紙、商務(wù)部標(biāo)書(shū)、合同等，可由備份管理人員完成備份。學(xué)習(xí)單元3電子商務(wù)安全管理制度1.給個(gè)人計(jì)算機(jī)安裝防病毒軟件應(yīng)用于網(wǎng)絡(luò)的防病毒軟件有兩種：一種是單機(jī)版防病毒產(chǎn)品，另一種是聯(lián)機(jī)版防病毒產(chǎn)品。前者以事后殺毒為原理，當(dāng)系統(tǒng)被病毒感染后才能發(fā)揮這種軟件的作用，適合個(gè)人用戶。后者屬于事前的防范，其原理是在網(wǎng)絡(luò)端口設(shè)置一個(gè)病毒過(guò)濾器，即事前在系統(tǒng)上安裝一個(gè)防病毒的網(wǎng)絡(luò)軟件，它能夠在病毒入侵系統(tǒng)之前將其擋在系統(tǒng)外。二、病毒防范制度學(xué)習(xí)單元3電子商務(wù)安全管理制度2.不打開(kāi)陌生地址的電子郵件電子郵件傳播病毒的關(guān)鍵是附件。首先，在收到陌生人的郵件時(shí)，即該郵件的發(fā)件人不在聯(lián)系人列表里，盡量不要打開(kāi)該郵件。其次，郵件內(nèi)容里的鏈接，如果不是自己經(jīng)常訪問(wèn)的網(wǎng)站，或者自己不確認(rèn)鏈接是否安全，盡量不要點(diǎn)擊打開(kāi)。郵件內(nèi)容里如果有產(chǎn)品促銷(xiāo)圖片，且折扣非常離譜，不能隨便點(diǎn)擊。這類除了是廣告外，還有可能是一些騙人的產(chǎn)品，或引誘購(gòu)買(mǎi)，甚至是一些釣魚(yú)網(wǎng)站，引誘輸入銀行賬號(hào)和密碼。郵件附件更不能隨意打開(kāi)，特別是陌生人發(fā)送的，或者是后綴為“.exe”的可執(zhí)行文件。學(xué)習(xí)單元3電子商務(wù)安全管理制度3.認(rèn)真執(zhí)行病毒定期清理制度許多病毒都有一個(gè)潛伏期。病毒定期清理制度可以清除處于潛伏期的病毒，防止病毒的突然爆發(fā)，使計(jì)算機(jī)始終處于良好的工作狀態(tài)。4.控制權(quán)限可以將網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件的屬性、權(quán)限加以限制，對(duì)各終端用戶，只允許其具有只讀權(quán)限，斷絕病毒入侵的渠道，從而達(dá)到預(yù)防的目的。5.高度警惕網(wǎng)絡(luò)陷阱網(wǎng)絡(luò)上常常會(huì)出現(xiàn)非常誘人的廣告及免費(fèi)使用的承諾，在進(jìn)行網(wǎng)上交易時(shí)對(duì)此應(yīng)保持高度警惕。學(xué)習(xí)單元3電子商務(wù)安全管理制度網(wǎng)上交易是一種高智力的勞動(dòng)。從事網(wǎng)上交易的人員，一方面必須具有傳統(tǒng)市場(chǎng)交易的知識(shí)和經(jīng)驗(yàn)；另一方面，又必須具有相應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)和操作技能。1.嚴(yán)格選拔網(wǎng)上交易人員選用經(jīng)過(guò)一定時(shí)間考察、責(zé)任心強(qiáng)、講原則、守紀(jì)律、了解市場(chǎng)、懂得交易、具有基礎(chǔ)網(wǎng)絡(luò)知識(shí)的人員。三、人員管理制度學(xué)習(xí)單元3電子商務(wù)安全管理制度2.落實(shí)工作責(zé)任制企業(yè)不僅需要要求網(wǎng)上交易人員完成規(guī)定的任務(wù)，而且需要要求他們嚴(yán)格遵守企業(yè)的網(wǎng)上交易安全制度，特別是在當(dāng)前企業(yè)人員流動(dòng)頻率較高的情況下，更要明確網(wǎng)上交易人員的責(zé)任，對(duì)違反網(wǎng)上交易安全規(guī)定的行為應(yīng)堅(jiān)決打擊，對(duì)有關(guān)人員要進(jìn)行及時(shí)的處理。學(xué)習(xí)單元3電子商務(wù)安全管理制度3.貫徹電子商務(wù)安全運(yùn)作基本原則（1）雙人負(fù)責(zé)原則重要業(yè)務(wù)不要安排一個(gè)人單獨(dú)管理，實(shí)行雙人或多人相互制約的機(jī)制。（2）任期有限原則任何人不得長(zhǎng)期擔(dān)任與交易安全有關(guān)的職務(wù)。（3）最小權(quán)限原則明確規(guī)定只有網(wǎng)絡(luò)管理人員才可以進(jìn)行物理訪問(wèn)，也只有網(wǎng)絡(luò)管理人員才可以進(jìn)行軟件安裝工作。學(xué)習(xí)單元3電子商務(wù)安全管理制度1.絕密級(jí)企業(yè)經(jīng)營(yíng)狀況報(bào)告、訂/出貨價(jià)格、企業(yè)的發(fā)展規(guī)劃等通常劃分為絕密級(jí)。此部分信息、密碼不在互聯(lián)網(wǎng)上公開(kāi)，只限于企業(yè)高層人員掌握。2.機(jī)密級(jí)