1、第3章 電子商務(wù)安全的管理保障,1,學(xué)習(xí)目標(biāo),認(rèn)識電子商務(wù)標(biāo)準(zhǔn)管理的意義，掌握電子商務(wù)標(biāo)準(zhǔn)管理的內(nèi)容。 了解計算機信息系統(tǒng)管理的內(nèi)容。 掌握網(wǎng)絡(luò)服務(wù)管理和網(wǎng)絡(luò)用戶管理的內(nèi)容。 了解網(wǎng)絡(luò)廣告管理 了解數(shù)字認(rèn)證，掌握CFCA認(rèn)證體系結(jié)構(gòu)。,2,基本概念,電子商務(wù)標(biāo)準(zhǔn) 計算機信息系統(tǒng)安全 接入服務(wù) 域名管理 網(wǎng)上專用標(biāo)示制度,3,3.1電子商務(wù)標(biāo)準(zhǔn)管理3.1.1電子商務(wù)標(biāo)準(zhǔn)的作用,標(biāo)準(zhǔn)是電子商務(wù)整體框架的重要組成部分 電子商務(wù)相關(guān)標(biāo)準(zhǔn)為實現(xiàn)電子商務(wù)提供了統(tǒng)一平臺 電子商務(wù)標(biāo)準(zhǔn)是電子商務(wù)的基本安全屏障 電子商務(wù)標(biāo)準(zhǔn)關(guān)系到國家的經(jīng)濟(jì)安全和經(jīng)濟(jì)利益,4,3.1.2電子商務(wù)標(biāo)準(zhǔn)研究現(xiàn)狀及發(fā)展趨勢3.1.2.

2、1國際上電子商務(wù)標(biāo)準(zhǔn)研究現(xiàn)狀,信息安全標(biāo)準(zhǔn) 電子商務(wù)安全標(biāo)準(zhǔn),5,3.1.2.2國內(nèi)電子商務(wù)標(biāo)準(zhǔn)研究現(xiàn)狀,近年來，我國信息技術(shù)標(biāo)準(zhǔn)工作取得了豐碩的成果。但電子商務(wù)相關(guān)標(biāo)準(zhǔn)的制定工作相對薄弱。目前除了一些EDI標(biāo)準(zhǔn)及部分相關(guān)網(wǎng)絡(luò)標(biāo)準(zhǔn)是從國際相應(yīng)標(biāo)準(zhǔn)等同或等效轉(zhuǎn)換而來外，我國還沒有出臺直接與電子商務(wù)的相關(guān)標(biāo)準(zhǔn)，包括國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn)。,6,3.1.3電子商務(wù)標(biāo)準(zhǔn)的制定原則,電子商電子商務(wù)標(biāo)準(zhǔn)體系是將電子商務(wù)建設(shè)中涉及的所有標(biāo)準(zhǔn)，按其內(nèi)在聯(lián)系形成的有序集合和科學(xué)整體，包括現(xiàn)有、應(yīng)有和預(yù)計發(fā)展的所有電子商務(wù)涉及的標(biāo)準(zhǔn)與規(guī)定。電子商務(wù)標(biāo)準(zhǔn)體系的編制必須遵循以下的原則：,7,全面性 系統(tǒng)性 先進(jìn)

3、性。 預(yù)見性。 可擴充性。,8,3.1.4電子商務(wù)標(biāo)準(zhǔn)的體系結(jié)構(gòu),考慮到與國際接軌的要求和我國電子商務(wù)發(fā)展的實際情況，我國電子商務(wù)標(biāo)準(zhǔn)體系可以從五個方面加以設(shè)計，即基礎(chǔ)標(biāo)準(zhǔn)、安全標(biāo)準(zhǔn)、交易標(biāo)準(zhǔn)、服務(wù)標(biāo)準(zhǔn)和EDI標(biāo)準(zhǔn)。整個電子商務(wù)標(biāo)準(zhǔn)體系結(jié)構(gòu)如圖3-1所示。,9,圖 31電子商務(wù)標(biāo)準(zhǔn)體系結(jié)構(gòu),10,3.2計算機信息系統(tǒng)管理3.2.1計算機信息系統(tǒng)安全概述,計算機信息系統(tǒng)，按照中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例，是指“由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)”。,11,計算機系統(tǒng)的出現(xiàn)，是人類歷史上相

4、當(dāng)重要的一次信息革命。它從1946年誕生至今，經(jīng)歷了科學(xué)計算、過程控制、數(shù)據(jù)加工、信息處理、人工智能等應(yīng)用發(fā)展過程，功能逐步完善，現(xiàn)已進(jìn)入大規(guī)模的網(wǎng)絡(luò)系統(tǒng)普及應(yīng)用階段。,12,在實際應(yīng)用中的計算機信息系統(tǒng)中，每天都面臨著這樣或那樣的威脅。這些威脅有可能是來自外部自然環(huán)境的影響，如自然災(zāi)害、機器設(shè)備的故障等因素，也可能是由于操作使用者自身失誤而產(chǎn)生的盡管這些都是偶然的事件，但其發(fā)生卻是必然的。另外，還存在著少數(shù)人進(jìn)行攻擊的威脅、計算機犯罪的威脅，計算機病毒的威脅以及信息戰(zhàn)的威脅等方面。,13,3.2.2計算機信息系統(tǒng)安全的內(nèi)容,計算機信息系統(tǒng)實體安全。 計算機信息系統(tǒng)運行安全。 計算機信息系統(tǒng)信

5、息安全。 計算機信息系統(tǒng)人員安全。,14,3.3網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)用戶的管理,網(wǎng)絡(luò)服務(wù)業(yè)是指以經(jīng)營提供網(wǎng)絡(luò)上相關(guān)應(yīng)用服務(wù)的事業(yè)，如接入服務(wù)（Access Service）、域名（Domain Name）服務(wù)、網(wǎng)絡(luò)信息服務(wù)、廣告服務(wù)、商業(yè)聯(lián)機服務(wù)等。,15,3.3.1網(wǎng)絡(luò)服務(wù)管理規(guī)范3.3.1.1接入服務(wù)的管理規(guī)范,根據(jù)國務(wù)院批準(zhǔn)的信息產(chǎn)業(yè)部職能配置、內(nèi)設(shè)機構(gòu)和人員編制規(guī)定，由信息產(chǎn)業(yè)部負(fù)責(zé)對電信與信息服務(wù)市場進(jìn)行監(jiān)管，實行必要的經(jīng)營許可制度，并審批和發(fā)放通信與信息服務(wù)的經(jīng)營許可證。依據(jù)國務(wù)院1997年5月20日第218號令發(fā)布的中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定和原國務(wù)院信息化工作領(lǐng)

6、導(dǎo)小組印發(fā)的中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法有關(guān)規(guī)定，決定自1998年11月1日起對從事計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)業(yè)務(wù)的經(jīng)營單位實行經(jīng)營許可證制度。,16,3.3.1.2域名服務(wù)管理規(guī)范申請域名注冊服務(wù)機構(gòu)資格的，應(yīng)具備下列條件：,依法設(shè)立的企業(yè)法人或事業(yè)法人； 有與從事域名注冊活動相適應(yīng)的資金和專業(yè)人員； 有為用戶提供長期服務(wù)的信譽和能力； 有健全的網(wǎng)絡(luò)與信息安全保障措施； 有業(yè)務(wù)發(fā)展計劃及相關(guān)技術(shù)方案； 信息產(chǎn)業(yè)部規(guī)定的其他條件。,17,注冊服務(wù)機構(gòu)在提供注冊服務(wù)時應(yīng)遵守以下規(guī)定：,遵守國家主管部門和CNNIC的相關(guān)管理規(guī)定； 注冊服務(wù)機構(gòu)不得代表任何實際或潛在的域名持

7、有人； 在域名申請人申請域名時，注冊服務(wù)機構(gòu)應(yīng)當(dāng)與申請人簽訂書面注冊協(xié)議(包括電子形式)； 注冊服務(wù)機構(gòu)負(fù)責(zé)審核域名注冊申請。,18,2）域名注冊規(guī)則,域名注冊管理機構(gòu)應(yīng)當(dāng)根據(jù)本辦法制定相應(yīng)的域名注冊實施細(xì)則，報信息產(chǎn)業(yè)部備案后施行。 域名注冊不得含有以下內(nèi)容：,19,反對憲法所確定的基本原則的； 危害國家安全，泄露國家秘密，顛覆國家政權(quán)，破壞國家統(tǒng)一的； 損害國家榮譽和利益的； 煽動民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的； 破壞國家宗教政策，宣揚邪教和封建迷信的； 散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的； 散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的； 侮辱或者誹謗他人，侵害他人合法權(quán)益

8、的； 含有法律、行政法規(guī)禁止的其他內(nèi)容的。,20,3.3.1.3網(wǎng)絡(luò)信息服務(wù)管理規(guī)范1）對經(jīng)營類互聯(lián)網(wǎng)信息服務(wù)的管理規(guī)范,國務(wù)院新聞辦公室、信息產(chǎn)業(yè)部2005年9月25日聯(lián)合發(fā)布互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定，對從事互聯(lián)網(wǎng)信息服務(wù)機構(gòu)的基本條件以具體內(nèi)容作了相關(guān)的規(guī)定。 從事互聯(lián)網(wǎng)新聞服務(wù)機構(gòu)設(shè)立的基本條件：,21,有健全的互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)章制度； 有5名以上在新聞單位從事新聞工作3年以上的專職新聞編輯人員； 有必要的場所、設(shè)備和資金，資金來源應(yīng)當(dāng)合法。,22,互聯(lián)網(wǎng)新聞信息服務(wù)單位登載、發(fā)送的新聞信息或者提供的時政類電子公告服務(wù)，不得含有下列內(nèi)容：,違反憲法確定的基本原則的； 危害國家安

9、全，泄露國家秘密，顛覆國家政權(quán)，破壞國家統(tǒng)一的； 損害國家榮譽和利益的； 煽動民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的； 破壞國家宗教政策，宣揚邪教和封建迷信的；,23,散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的； 散布淫穢、色情、賭博、暴力、恐怖或者教唆犯罪的； 侮辱或者誹謗他人，侵害他人合法權(quán)益的； 煽動非法集會、結(jié)社、游行、示威、聚眾擾亂社會秩序的； 以非法民間組織名義活動的； 含有法律、行政法規(guī)禁止的其他內(nèi)容的。,24,違反本規(guī)定有下列行為之一的，由國務(wù)院新聞辦公室或者省、自治區(qū)、直轄市人民政府新聞辦公室依據(jù)各自職權(quán)責(zé)令改正，給予警告，可以并處3萬元以下的罰款：,未履行備案義務(wù)的； 未履行報告義

10、務(wù)的； 未履行記錄、記錄備份保存或者提供義務(wù)的。,25,2）對非經(jīng)營類互聯(lián)網(wǎng)信息服務(wù)的管理規(guī)范,為了更好規(guī)范互聯(lián)網(wǎng)信息服務(wù)，信息產(chǎn)業(yè)部于2005年1月28日審議并通過了非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)備案管理辦法，并于3月20日開始正式施行。,26,3.3.2網(wǎng)絡(luò)用戶法律規(guī)范3.3.2.1接入管理,根據(jù)中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法第十二條的規(guī)定，用戶使用的計算機或者計算機信息網(wǎng)絡(luò)必須通過接入網(wǎng)絡(luò)進(jìn)行國際聯(lián)網(wǎng)，不得以其他形式進(jìn)行國際聯(lián)網(wǎng)。根據(jù)該辦法的第十三條，用戶向接入單位申請國際互聯(lián)時，應(yīng)當(dāng)提供有效身份證明或者其他證明文件，并填寫用戶登記表。,27,3.3.2.2使用管理,根

11、據(jù)中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定第十三條的規(guī)定 根據(jù)中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法第十八條的規(guī)定 用戶在有權(quán)獲得接入單位提供的各項服務(wù)時；也有義務(wù)交納費用 遵守Internet的國際慣例,28,3.4網(wǎng)絡(luò)廣告管理,2013年全球因特網(wǎng)上的廣告支出已達(dá)到447億美元。2013年中國網(wǎng)絡(luò)廣告市場規(guī)模為231.3億元。由于網(wǎng)絡(luò)廣告涉及的受眾面很廣，造成的影響面很大，網(wǎng)絡(luò)廣告管理的任務(wù)非常繁重。,29,3.4.1網(wǎng)絡(luò)廣告組織的管理,在網(wǎng)上從事廣告業(yè)務(wù)的主要是一些大型網(wǎng)絡(luò)公司、依托網(wǎng)絡(luò)公司的廣告企業(yè)以及自建網(wǎng)站的中小廣告公司，他們是網(wǎng)絡(luò)廣告組織管理的主要對象。

12、,30,3.4.1.1網(wǎng)站廣告經(jīng)營主體資格的管制,從事廣告制作和發(fā)布屬于一種特殊營業(yè)行為，因此，只有在工商局注冊登記取得許可后方能從事廣告發(fā)布活動。這是根據(jù)商事法和工商管理規(guī)則得出的一般性結(jié)論，但目前國家立法尚未對此做出明確規(guī)規(guī)定。,31,3.4.1.2網(wǎng)上專用標(biāo)識制度,為了防范利用網(wǎng)站發(fā)布虛假信息和欺詐性廣告，一些地區(qū)試行網(wǎng)上專用標(biāo)識制度。,32,3.4.1.3特殊廣告發(fā)布前的審查管制,我國對一些種類的廣告實行審查制度。根據(jù)廣告法第34條，利用廣播、電影、電視、報紙、期刊以及其他媒介發(fā)布藥品、醫(yī)療器械、農(nóng)藥、獸藥等商品的廣告和法律、行政法規(guī)規(guī)定應(yīng)當(dāng)進(jìn)行審查的其他廣告，必須在發(fā)布前依照有關(guān)法律

13、、行政法規(guī)由有關(guān)行政主管部門對廣告內(nèi)容進(jìn)行審查；未經(jīng)審查，不得發(fā)布。,33,3.4.1.4網(wǎng)絡(luò)廣告的第三方評估與監(jiān)測,專業(yè)的評估應(yīng)當(dāng)包括兩方面，首先是量的評估，比較計劃和執(zhí)行在量上的區(qū)別。其次是研究廣告的衰竭過程，方法是將同步廣告每天的點擊率在坐標(biāo)軸上連線。研究每個創(chuàng)意衰竭的時間，為設(shè)定更換廣告創(chuàng)意間隔提供依據(jù)。,34,3.4.1.5強化行業(yè)自律,網(wǎng)絡(luò)廣告業(yè)與其他的市場競爭一樣需要行業(yè)自律，過度放縱只會使這一行業(yè)遭受損失。這里所說的自律包含兩層含義，一是網(wǎng)站和網(wǎng)絡(luò)廣告從業(yè)人員自身必須遵守廣告法和相關(guān)法規(guī)，抵制不正當(dāng)競爭和虛假和欺騙廣告；二是他們應(yīng)當(dāng)在經(jīng)營的范圍內(nèi)，規(guī)制所托管的主頁，一旦發(fā)現(xiàn)惡意

14、廣告行為時，盡善意管理人之法律責(zé)任。,35,3.4.2網(wǎng)絡(luò)廣告內(nèi)容的管理,網(wǎng)絡(luò)廣告內(nèi)容管理，是指對網(wǎng)絡(luò)廣告內(nèi)容及網(wǎng)絡(luò)廣告活動的管理，它是廣告管理的一項特殊內(nèi)容。由于網(wǎng)絡(luò)廣告內(nèi)容來源多，信息量大，影響范圍廣，甚至超越國界，因此對網(wǎng)絡(luò)廣告內(nèi)容的管理十分重要。 對網(wǎng)絡(luò)廣告內(nèi)容管理的根本目的是為了保障消費者的利益，防止誤導(dǎo)，查處欺騙，凈化網(wǎng)絡(luò)空間。而網(wǎng)絡(luò)廣告內(nèi)容管理的基本要求是：促進(jìn)公告內(nèi)容的真實性、合法性和科學(xué)性。,36,3.4.2.1真實性,所謂真實性，就是網(wǎng)絡(luò)廣告所推廣、介紹的商品、服務(wù)或信息都是客觀存在的，是真實的，而不是弄虛作假的。網(wǎng)絡(luò)廣告上如果掛羊頭賣狗肉不僅影響面廣，而且是對客戶精神上的

15、欺騙和愚弄。為保護(hù)廣大消費者的權(quán)益，必須在網(wǎng)絡(luò)廣告管理中強調(diào)真實性的重要性。,37,3.4.2.2合法性,所謂合法性，就是要求網(wǎng)絡(luò)廣告在宣傳商品、服務(wù)或信息的時候，不僅其內(nèi)容和表現(xiàn)形式都是健康的，而且沒有任何侵犯他人專利權(quán)、隱私權(quán)，在法律上看是合法的。,38,3.4.2.3科學(xué)性,所謂科學(xué)性，就是要求網(wǎng)絡(luò)廣告涉及的內(nèi)容、觀點、方法具有科學(xué)依據(jù)。網(wǎng)絡(luò)廣告中凡是屬于專業(yè)性較強的內(nèi)容，都應(yīng)當(dāng)經(jīng)過規(guī)定程序的科學(xué)的鑒定與審查，不得有人為臆造、違反科學(xué)的內(nèi)容。,39,3.5電子認(rèn)證服務(wù)機構(gòu)管理3.5.1電子認(rèn)證服務(wù)提供者,電子認(rèn)證服務(wù)提供者，是指為電子簽名人和電子簽名依賴方提供電子認(rèn)證服務(wù)的第三方機構(gòu)（以

16、下稱為“電子認(rèn)證服務(wù)機構(gòu)”）。電子認(rèn)證服務(wù)機構(gòu)（Certificate Authority，CA）在電子商務(wù)中具有特殊的地位。它是為了從根本上保障電子商務(wù)交易活動順利進(jìn)行而設(shè)立的，主要是為電子簽名相關(guān)各方提供真實性、可靠性驗證的公眾服務(wù)，解決電子商務(wù)活動中交易參與各方身份、資信的認(rèn)定，維護(hù)交易活動的安全。,40,根據(jù)信息產(chǎn)業(yè)部電子認(rèn)證服務(wù)管理辦法第五條的規(guī)定，電子認(rèn)證服務(wù)機構(gòu)應(yīng)當(dāng)具備下列條件：,具有獨立的企業(yè)法人資格； （2）從事電子認(rèn)證服務(wù)的專業(yè)技術(shù)人員、運營管理人員、安全管理人員和客戶服務(wù)人員不少于三十名； （3）注冊資金不低于人民幣三千萬元； （4）具有固定的經(jīng)營場所和滿足電子認(rèn)證服務(wù)要

17、求的物理環(huán)境； （5）具有符合國家有關(guān)安全標(biāo)準(zhǔn)的技術(shù)和設(shè)備； （6）具有國家密碼管理機構(gòu)同意使用密碼的證明文件； （7）法律、行政法規(guī)規(guī)定的其他條件。,41,電子認(rèn)證服務(wù)機構(gòu)主要提供下列服務(wù)：,制作、簽發(fā)、管理電子簽名認(rèn)證證書； 確認(rèn)簽發(fā)的電子簽名認(rèn)證證書的真實性； 提供電子簽名認(rèn)證證書目錄信息查詢服務(wù)； 提供電子簽名認(rèn)證證書狀態(tài)信息查詢服務(wù)。,42,3.5.2我國電子認(rèn)證服務(wù)機構(gòu)的建設(shè)發(fā)展,國內(nèi)電子認(rèn)證服務(wù)機構(gòu)是隨著我國電子商務(wù)的發(fā)展而發(fā)展起來的。目前國內(nèi)角逐電子認(rèn)證服務(wù)市場的幾大勢力，基本上可按地區(qū)類和行業(yè)類來劃分，前者是由各地方政府支持成立的數(shù)字認(rèn)證中心聯(lián)合體，目前已成氣候的有上海、北京

18、、天津等協(xié)作成立的“中國協(xié)卡認(rèn)證體系”以及廣東、海南、湖北等省聯(lián)手的“網(wǎng)證通”CA聯(lián)盟；后者由特定行業(yè)機構(gòu)縱向組織而成，典型代表是中國金融認(rèn)證中心（CFCA）、中國電信認(rèn)證中心（CTCA）、中國郵政認(rèn)證中心等。其中CFCA和CTCA又是行業(yè)性CA中影響最大的兩個。,43,中國金融認(rèn)證中心（CFCA）由中國人民銀行牽頭，中國工商銀行、中國農(nóng)業(yè)銀行、中國銀行、中國建設(shè)銀行、交通銀行等十二家商業(yè)銀行聯(lián)合共建而成。CFCA具有三層式結(jié)構(gòu)。第一層CA即根CA，設(shè)在中國人民銀行總行。第二層CA可稱為“品牌CA”或“政策CA”。第三層CA可稱為運營CA。運營CA由CA系統(tǒng)和證書注冊審批機構(gòu)（RA）兩大部分組

19、成。（參見圖3-2）。,44,圖 32 CFCA系統(tǒng)體系結(jié)構(gòu)示意圖,45,3.5.3我國電子認(rèn)證機構(gòu)發(fā)展存在的問題,認(rèn)證機構(gòu)建設(shè)呈現(xiàn)無序狀態(tài)。 互聯(lián)互通水平低。 認(rèn)證機構(gòu)絕大多數(shù)處于虧損狀態(tài)。,46,3.5.4電子認(rèn)證機構(gòu)的管理,對電子認(rèn)證機構(gòu)的管理主要涉及該機構(gòu)的成立、運作、終止服務(wù)等。,47,（1）電子認(rèn)證服務(wù)實行許可管理。申請電子認(rèn)證服務(wù)許可的，應(yīng)當(dāng)向信息產(chǎn)業(yè)部提交書面申請、專業(yè)技術(shù)人員和管理人員證明、資金和經(jīng)營場所證明、國家有關(guān)認(rèn)證檢測機構(gòu)出具的技術(shù)設(shè)備、物理環(huán)境符合國家有關(guān)安全標(biāo)準(zhǔn)的憑證、國家密碼管理機構(gòu)同意使用密碼的證明文件。信息產(chǎn)業(yè)部對提交的申請材料進(jìn)行形式審查，依法作出是否受理的決定。 （2）信息產(chǎn)業(yè)部自接到申請之日起四十五日內(nèi)作出許可或者不予許可的書面決定。不予許可的，說明理由并書面通知申請人；準(zhǔn)予許可的，頒發(fā)電子認(rèn)證服務(wù)許可證，并公布有關(guān)電子認(rèn)證服務(wù)許可證編號、電子認(rèn)證服務(wù)機構(gòu)名稱、發(fā)證機關(guān)和發(fā)證日期。 電子認(rèn)證服務(wù)許可證的有效期為五年。,48,（2）在申請了全國通用的數(shù)字證書以后，