第一章電子商務安全管理概述

目錄1.1電子商務與電子商務安全1.2電子商務安全需求1.3電子商務安全管理的內(nèi)容

電子商務與電子商務安全一、電子商務概念的界定定義一：國際商會的定義

電子商務（E-commerce,EC）是指對整個貿(mào)易活動實現(xiàn)電子化。定義二：歐洲議會的定義

電子商務是通過電子方式進行的商務活動。定義三：聯(lián)合國經(jīng)濟合作與發(fā)展組織（OECD）的定義

電子商務是發(fā)生在開放式網(wǎng)絡上的，包括企業(yè)之間、企業(yè)和消費者之間的商務交易。

電子商務與電子商務安全定義四：《電子商務模式規(guī)范》

電子商務是基于互聯(lián)網(wǎng)技術和網(wǎng)絡通信手段進行貨物或服務交易，并提供相關服務的商業(yè)形態(tài)”。定義五：《第三方電子商務交易平臺服務規(guī)范》電子商務是指交易當事人或參與人利用現(xiàn)代信息技術和計算機網(wǎng)絡（包括互聯(lián)網(wǎng)、移動網(wǎng)絡和其他信息網(wǎng)絡）所進行的各類商業(yè)活動，包括貨物交易、服務交易和知識產(chǎn)權交易。電子商務與電子商務安全定義六：本書使用的電子商務概念

《電子商務法》第2條定義的電子商務，“是指通過互聯(lián)網(wǎng)等信息網(wǎng)絡銷售商品或者提供服務的經(jīng)營活動?！钡?條第2款將下面的服務排除在（本法所稱的）電子商務之外，“金融類產(chǎn)品和服務，利用信息網(wǎng)絡提供新聞信息、音視頻節(jié)目、出版以及文化產(chǎn)品等內(nèi)容方面的服務”。

本書認為：以信息網(wǎng)絡為基礎媒介的商品化的物質產(chǎn)品、非物質服務和涉及產(chǎn)權的交易活動，全部是電子商務。電子商務與電子商務安全二、安全視角的電子商務理解1.電子商務必須追求系統(tǒng)化安全

（1）電子商務是一個巨型系統(tǒng)工程（2）電子商務安全是系統(tǒng)化安全供應商客戶制造商分銷商其他伙伴物流商零售商平臺運營商電子商務與電子商務安全2.電子商務必然走向多元協(xié)同治理（1）電子商務發(fā)展是一個多元協(xié)同過程（2）電子商務發(fā)展亟待多元協(xié)同新型治理模式電子商務與電子商務安全3.大跨度經(jīng)濟社會整體變遷電子商務風險（1）社會經(jīng)濟變遷中的不協(xié)調衍生風險（2）電子商務交易模式產(chǎn)生的衍生風險傳統(tǒng)問題加?。和丝顔栴}、商品質量、欺詐、售假、疏忽服務等新問題頻發(fā)：刷單、炒信、個人信息過渡收集、隱私信息泄露等電子商務與電子商務安全三、電子商務安全及重要性（一）電子商務安全的定義1.電子商務安全的界定

安全：國家標準（GB/T28001）對“安全”的定義是：“免除了不可接受的損害風險的狀態(tài)”。電子商務安全：通過持續(xù)的電子商務危險識別和風險管理過程，將參與電子商務全流程的人員傷害或財產(chǎn)損失的風險降低并保持在可接受的水平或其以下的一種狀態(tài)，即達到預期風險水平標準以下的電子商務運行情況的綜合評價。電子商務與電子商務安全2.電子商務安全的構成（1）交易安全（2）信息網(wǎng)絡安全（網(wǎng)絡涉及服務器、通道、客戶端，信息則包括數(shù)據(jù)、資料、客戶的身份信息和隱私等。（3）信用與法律（4）人員安全（5）物理安全電子商務與電子商務安全3.電子商務安全的外延

廣義的電子商務安全風險：是指威脅電子商務安全的各類風險,覆蓋電子商務的整個流程,涉及電子商務的全部參與者、各類軟硬件設施、內(nèi)外部運行環(huán)境，包括信息安全風險、交易風險、信用風險、人員風險等。

狹義的電子商務安全風險：則主要關注支撐商業(yè)活動或與商業(yè)活動有關的信息安全風險，不包括商業(yè)活動本身的風險。電子商務與電子商務安全（三）電子商務安全的重要性1.電子商務安全是國家整體安全的有機組成部分2.電子商務安全是企業(yè)安全的重要組成3.電子商務安全是消費者安全的重要保障目錄1.1電子商務與電子商務安全1.2電子商務安全需求1.3電子商務安全管理的內(nèi)容電子商務安全需求一、電子商務安全要素1.保密性：通常是指只有發(fā)送方和接收方才能訪問信息的內(nèi)容，非授權人員不能訪問。2.完整性：是防止未授權信息的生成，防止信息在存儲和傳輸過程中丟失、重復及非法用戶對信息的惡意篡改。3.認證性：也可稱為真實性，即通過可靠的認證機制來確保對方身份和信息來源是真實的。4.可控性：又稱為訪問權限的控制，這是一種通過按照事先設定的規(guī)則確定主體對客體的訪問模式是否合法的安全機制，以此來保證系統(tǒng)、數(shù)據(jù)和服務是由合法人員訪問、保證數(shù)據(jù)的合法使用。電子商務安全需求5.不可否認性：又稱不可抵賴性，是防止通信或交易雙方對收發(fā)過的信息或業(yè)務進行否認。6.可用性：是指保證信息和信息系統(tǒng)在訪問者需要時可隨時為授權者提供服務，避免服務的中斷，哪怕是短暫性的。7.匿名性：是確保合法用戶的隱私不被侵犯?？尚判裕菏侵附灰纂p方在交易身份真實可靠的基礎上，保障其交易行為是可信的。8.合規(guī)合法性：是指電子商務的各參與方的活動符合國家相關的標準、法律、法規(guī)。電子商務安全需求二、電子商務安全現(xiàn)狀分析（一）信息網(wǎng)絡系統(tǒng)安全1.漏洞的存在是網(wǎng)絡安全問題總體趨勢趨于嚴峻的重要原因之一2.我國互聯(lián)網(wǎng)面臨的攻擊威脅尤為嚴重3.網(wǎng)站數(shù)據(jù)和個人信息泄露屢見不鮮，“衍生災害”嚴重4.移動互聯(lián)網(wǎng)惡意程序趨利性更加明確，移動互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈已經(jīng)成熟5.敲詐勒索軟件肆虐，嚴重威脅本地數(shù)據(jù)和智能設備安全電子商務安全需求（二）電子商務安全

傳統(tǒng)商務安全+新型商務安全（三）電子商務安全問題產(chǎn)生的原因1.安全基礎設施和安全技術缺乏2.電子商務安全體系結構不完善（1）電子商務安全體系構成比例不合理（2）電子商務安全體系未有效涵蓋網(wǎng)絡經(jīng)濟的結構3.電子商務治理思維與模式不匹配（1）重安全技術輕安全管理（2）未由單一行政管理向多元治理轉變4.電子商務安全基礎環(huán)境不健全電子商務安全需求四、電子商務邏輯層次和安全需求（一）運行角度安全需求交易層支付層網(wǎng)絡層

認證性可控性保密性完整性不可否認性合規(guī)合法性

保密性匿名性認證性實時性不可否認性合規(guī)合法性

可信性保密性完整性可用性不可否認性合規(guī)合法性可用性電子商務安全需求（二）參與主體安全需求安全需求消費者角度商家角度保密性我的信息沒有被我指定的接收方之外的其他非授權者讀取信息或機密數(shù)據(jù)不能被非授權者讀取完整性我發(fā)出或接收的信息沒有被篡改或重放信息系統(tǒng)或網(wǎng)站上的數(shù)據(jù)沒有被未授權者生成、修改或刪除，信息被安全的存儲和傳輸認證性確保和我交易的人或商家就是他所聲稱的那個確保消費者的真實身份可控性我怎樣獲得訪問該網(wǎng)站的權利，我具有哪些權利，我需控制個人信息的使用保證信息系統(tǒng)或網(wǎng)站正常運營，保證授權用戶對系統(tǒng)資源和服務的使用，對用戶個人信息和數(shù)據(jù)的搜集和使用應控制在合理范圍內(nèi)不可否認性和我交易的對方不能否認曾經(jīng)進行過的交易消費者不能否認曾經(jīng)訂購過產(chǎn)品，交易對方不能否認發(fā)生的交易可用性在我需要使用電子商務網(wǎng)站或平臺時，隨時都可以使用保證隨時可以為用戶提供所需的信息或服務匿名性我的信息不被泄露，我的交易不能被跟蹤確保交易的匿名性，不可跟蹤性，確保合法用戶的隱私權可信性無不良消費記錄，沒有惡意評價信譽度好，商品無質量問題，提供的服務與承諾的一致，無刷單、炒信行為合規(guī)合法性消費行為符合相關的法律法規(guī)依照國家的相關法律法規(guī)生產(chǎn)和經(jīng)營，采取有效措施保護平臺或信息的安全電子商務安全需求（二）參與主體安全需求安全需求政府安全需求分析保密性信息或機密數(shù)據(jù)的合法上傳、讀取和傳輸完整性信息被安全的存儲和傳輸，傳輸系統(tǒng)未受到嚴重篡改認證性確保參與各主體的真實合法身份可控性保證信息系統(tǒng)正常運營，對用戶個人信息和數(shù)據(jù)的搜集和使用合法不可否認性交易雙方不能否認發(fā)生的交易可用性保證系統(tǒng)安全，可以適時為用戶提供所需的信息或服務匿名性確保交易的不可跟蹤性，確保合法隱私權可信性用于交易的網(wǎng)絡系統(tǒng)符合國家等級保護等相關標準。參與各方均應尊重愛護自身信譽，無失信行為合規(guī)合法性遵照國家法律法規(guī)，無不良政治企圖，無違反社會公訓良俗的行為目錄1.1電子商務與電子商務安全1.2電子商務安全需求1.3電子商務安全管理的內(nèi)容電子商務安全管理的內(nèi)容一、電子商務安全管理的內(nèi)涵1.管理：是整合資源達到組織的目標的活動，主要包括計劃、組織、協(xié)調、指揮、控制諸環(huán)節(jié)或不同的手段、方式。2.電子商務安全管理：是電子商務的安全管理，不等于電子商務企業(yè)的安全管理。電子商務安全管理是電子商務企業(yè)安全管理的一部分而非全部。電子商務安全管理的內(nèi)容二、電子商務安全管理體系結構1.計劃2.資源與組織3.信息與網(wǎng)絡安全4.交易安全5.信用安全6.人員安全7.優(yōu)化與創(chuàng)新電子商務安全管理的內(nèi)容三、安全管理手段（一）技術手段第一，交易伙伴的真實性問題：身份認證技術與PKI技術。第二，電子單證的機密性問題：數(shù)據(jù)加解密、密鑰管理。第三，電子單證丟失問題：為單證分配序列號，數(shù)字時間戳來或其它方式進行確認，如特定的確認報文、電子郵件、電話等。第四，電子單證的完整性問題：消息摘要來解決第五，電子單證的真實性問題：數(shù)字簽名第六，交易的否認或抵賴問題：CA認證、數(shù)字時間戳除以上技術外，還需要網(wǎng)絡安全技術，如防火墻技術、入侵檢測技術、虛擬專用網(wǎng)技術等；系統(tǒng)和應用安全技術，如操作系統(tǒng)安全、數(shù)據(jù)庫安全、Web安全、電子郵件安全等；云安全技術等。電子商務安全管理的內(nèi)容（二）管理手段1.管理組織

安全管理組織按層次可分為國際組織、國家組織、企業(yè)組織。國際組織包括國際化組織、國家機構、企業(yè)集團，企業(yè)組織主要指企業(yè)的安全部門或安全人員等。（1）制定安全標準的組織

（2）我國的安全管理組織（3）企業(yè)安全管理組織電子商務安全管理的內(nèi)容2.安全管理措施

安全管理措施主要包括組織的管理規(guī)章制度、與電子商務安全相關的行業(yè)標準、國家法律法規(guī)、政策等。電子商務是基于計算機網(wǎng)絡進行的商務活動，計算機信息安全管理制度是企業(yè)管理規(guī)章制度的重要組成部分。對電子商務交易過程，包括營銷、銷售、售后等應制定相應的管理制度。電子商務的各個環(huán)節(jié)都需要人來完成，因此需要制定比較完善的人員管理制度。與電子商務安全相關的行業(yè)標準、國家法