【正文】 開發(fā)） 45 安全管理制度 ? 是指用文字形式對各項安全要求的規(guī)定，它是保證企業(yè)在網(wǎng)上經(jīng)營管理取得成功的基礎(chǔ)。 ? 人員管理制度 》 特點：參與網(wǎng)上交易的經(jīng)營管理人員責(zé)任重大，面臨著防范嚴(yán)重的網(wǎng)絡(luò)犯罪的任務(wù)。而計算機(jī)網(wǎng)絡(luò)犯罪具有智能型、隱蔽性、連續(xù)性、高效性的特點。 》 對有關(guān)人員進(jìn)行上崗培訓(xùn) ； 落實工作責(zé)任制，違反網(wǎng)上交易安全規(guī)定的行為應(yīng)堅決進(jìn)行打擊并及時的處理 》 安全運作基本原則：雙人負(fù)責(zé)原則、任期有限原則、最小權(quán)限原則 46 保密安全管理制度 ? 劃分信息的安全級別，確定安全防范重點 》 絕密級。如公司戰(zhàn)略計劃、公司內(nèi)部財務(wù)報表等。此部分網(wǎng)址、密碼不在 Inter上公開，只限于高層掌握 》 機(jī)密級。如公司的日常管理情況、會議通知等。此部分網(wǎng)址、密碼不在 Inter上公開，只限中層以上使用。 》 秘密級。如公司簡介、新產(chǎn)品介紹及訂貨方式等。此部分網(wǎng)址、密碼在 Inter上公開，供消費者瀏覽，但必須有保護(hù)程序，防止“黑客”入侵。 》 密鑰的管理。大量的交易必然使用大量的密鑰，密鑰管理貫穿于密鑰的產(chǎn)生、傳遞和銷毀的全過程。密鑰需要定期更換，否則可能使“黑客”通過積累密文增加破譯機(jī)會。 47 跟蹤、審計、稽核制度 ? 跟蹤制度 是要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機(jī)制 ， 自動記錄系統(tǒng)運行的全過程 。 內(nèi)容包括操作日期 、 操作方式 、 登錄次數(shù) 、 運行時間 、 交易內(nèi)容等 。 它對系統(tǒng)的運行進(jìn)行監(jiān)督 、 維護(hù)分析 、 故障恢復(fù) ， 這對于防止案件的發(fā)生或在案件發(fā)生后 ， 為偵破工作提供監(jiān)督數(shù)據(jù) ? 審計制度 包括經(jīng)常對系統(tǒng)日志的檢查 、 審核 ， 及時發(fā)現(xiàn)對系統(tǒng)故意入侵行為的記錄和對系統(tǒng)安全功能違反的記錄 ，監(jiān)控和捕捉各種安全事件 ， 保存 、 維護(hù)和管理系統(tǒng)日志 。 ? 稽核制度 是指工商管理 、 銀行 、 稅務(wù)人員利用計算機(jī)及網(wǎng)絡(luò)系統(tǒng) ， 借助于稽核業(yè)務(wù)應(yīng)用軟件調(diào)閱 、 查詢 、 審核 、 判斷轄區(qū)內(nèi)各電子商務(wù)參與單位業(yè)務(wù)經(jīng)營活動的合理性 、 安全性 ， 堵塞漏洞 ， 保證網(wǎng)上交易安全 ， 發(fā)出相應(yīng)的警示或作出處理處罰的有關(guān)決定的一系列步驟及措施 。 48 網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度 ? 對于可管設(shè)備 ，通過安裝網(wǎng)管軟件進(jìn)行系統(tǒng)故障診斷、顯示及通告，網(wǎng)絡(luò)流量與狀態(tài)的監(jiān)控、統(tǒng)計與分析，以及網(wǎng)絡(luò)性能調(diào)優(yōu)、負(fù)載平衡等 ? 對于不可管設(shè)備 ，通過手工操作來檢查狀態(tài)，做到定期檢查與隨機(jī)抽查相結(jié)合，以便及時準(zhǔn)確地掌握網(wǎng)絡(luò)的運行狀況，一旦有故障發(fā)生能及時處理 ? 定期進(jìn)行數(shù)據(jù)備份 ，數(shù)據(jù)備份與恢復(fù)主要是利用多種介質(zhì)，如磁介質(zhì)、紙介質(zhì)、光碟、微縮載體等，對信息系統(tǒng)數(shù)據(jù)進(jìn)行存儲、備份和恢復(fù)。這種保護(hù)措施還包括對系統(tǒng)設(shè)備的備份 49 病毒防范 ? 工作原理 》 可以自我復(fù)制的小程序 》 引導(dǎo)模塊、傳染模塊、激發(fā)模塊和破壞模塊 ? 類型 》 寄生方式：系統(tǒng)型、外殼型和程序型 》 后果：良性、惡性 》 狀態(tài)：靜態(tài)、動態(tài) ? 途徑：拷貝、網(wǎng)絡(luò)（ Email、下載）等 ? 病毒特征（發(fā)現(xiàn)） 》 運行速度變慢、文件程度變長、出現(xiàn)破壞現(xiàn)象 ? 防治方法 》 監(jiān)控和檢測病毒 》 消除病毒（殺毒軟件，及時更新） 50 法律制度 ? 涉及法律問題 ： 合同的執(zhí)行、賠償、個人隱私、資金安全、知識產(chǎn)權(quán)保護(hù)、稅收等諸問題難以解決 ? 美國保證電子商務(wù)安全的相關(guān)法律 》 原則：采取非限制性、面向市場的做法，即頒布實施的法律是保護(hù)電子商務(wù)發(fā)展，而不是限制電子商務(wù)的發(fā)展 》 統(tǒng)一商業(yè)法規(guī)（ UCC） 》 電子支付的法律制度 》 信息安全的法律制度 》 消費者權(quán)益保護(hù)的法律制度：個人隱私信息可能被商家掌握和非法利用；消費者退貨問題；跨越國界物。禁止商家利用消費者的個人隱私信息進(jìn)行商業(yè)活動；起訴商家時可以用消費者本國相關(guān)法律起訴 51 （三）防止非法入侵 52 網(wǎng)絡(luò) “ 黑客 ” 常用的攻擊手段 ? “黑客 (Hacker)”源于英語動詞 Hack，意為 “ 劈，砍 ” ，引申為 “ 辟出，開辟 ” ，進(jìn)一步的意思是 “ 干了一件非常漂亮的工作 ” 。在本世紀(jì)早期的麻省理工學(xué)院校園侵語中，“ 黑客 ” 則有 “ 惡作劇 ” 之意，尤指手法巧妙、技術(shù)高明的惡作劇。 ? “ 黑客 ” 類型 》 駭客，他們只想引人注目，證明自己的能力，在進(jìn)入網(wǎng)絡(luò)系統(tǒng)后，不會去破壞系統(tǒng)，或者僅僅會做一些無傷大雅的惡作劇。他們追求的是從侵入行為本身獲得巨大的成功的滿足。 》 竊客，他們的行為帶有強(qiáng)烈的目的性。早期的 “ 黑客 ” 主要是竊取國家情報、科研情報，而現(xiàn)在的這些 “ 黑客 ” 的目標(biāo)大部分瞄準(zhǔn)了銀行的資金和電子商務(wù)的整個交易過程。 53 黑客攻擊手段 ? 中斷 （ 攻擊系統(tǒng)的可用性 ） ：破壞系統(tǒng)中的硬件 、 硬盤 、線路 、 文件系統(tǒng)等 ， 使系統(tǒng)不能正常工作； ? 竊聽 （ 攻擊系統(tǒng)的機(jī)密性 ） ：通過搭線和電磁泄漏等手段造成泄密 ， 或?qū)I(yè)務(wù)流量進(jìn)行分析 ， 獲取有用情報 。 ? 竄改 （ 攻擊系統(tǒng)的完整性 ） ：竄改系統(tǒng)中數(shù)據(jù)內(nèi)容 ， 修正消息次序 、 時間 （ 延時和重放 ） ； ? 偽造 （ 攻擊系統(tǒng)的真實性 ） ：將偽造的假消息注入系統(tǒng) 、假冒合法人接入系統(tǒng) 、 重放截獲的合法消息實現(xiàn)非法目的 ， 否認(rèn)消息的接收或發(fā)送等； ? 轟炸 （ 攻擊系統(tǒng)的健壯性 ） ：用數(shù)百條消息填塞某人的E— mail信箱也是一種在線襲擾的方法 。 54 防范非法入侵的技術(shù)措施 ? 網(wǎng)絡(luò)安全檢測設(shè)備：對訪問者進(jìn)行監(jiān)督控制，一旦發(fā)現(xiàn)有異常情況，馬上采取應(yīng)對措施，防止非法入侵者進(jìn)一步攻擊 ? 訪問設(shè)備。通過給訪問者提供智能卡，通過智能卡的信息來控制用戶使用 ? 防火墻（ firewall）：它通過對訪問者進(jìn)行過濾，可以使系統(tǒng)限定什么人在什么條件下可以進(jìn)入自己網(wǎng)絡(luò)系統(tǒng)。非法入侵者入侵時，就必須采用 IP地址欺騙技術(shù)才能進(jìn)入系統(tǒng)，但增加了入侵的難度。 ? 安全工具包。安全工具包主要是提供一些信息加密和保證系統(tǒng)安全的軟件開發(fā)系統(tǒng)。用戶可以在這些安全工具包的基礎(chǔ)上進(jìn)行二次開發(fā)，開發(fā)自己的安全系統(tǒng)。 55 小 結(jié) ?我國電子商務(wù)環(huán)境的發(fā)展?fàn)顩r如何 ? ?電子商務(wù)系統(tǒng)的主要功能有哪些 ？ ?電子商務(wù)支付有哪些方式 ？ ?企業(yè)電子商務(wù)物流有哪些方式實現(xiàn) ？ ?如何規(guī)避電子商務(wù)風(fēng)險 ？ ? 電子商務(wù)的實現(xiàn)需要有一個完整的系統(tǒng)支持 ? 電子商務(wù)環(huán)境是電子商務(wù)順利實施的保證 ? 電子支付系統(tǒng)是網(wǎng)上交易的基礎(chǔ) ? 物流配送是電子商務(wù)交易的關(guān)鍵 ? 電子商務(wù)安全是網(wǎng)上交易的保證 思 考 題 感謝光臨講座 ！ 歡迎交流提問！ 黃敏學(xué)