網(wǎng)絡(luò)交易安全管理

第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.1 12.1 網(wǎng)絡(luò)交易風(fēng)險(xiǎn)和安全管理的基本思路網(wǎng)絡(luò)交易風(fēng)險(xiǎn)和安全管理的基本思路12.2 12.2 客戶認(rèn)證技術(shù)客戶認(rèn)證技術(shù)12.3 12.3 防止黑客入侵防止黑客入侵12.4 12.4 網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度12.5 12.5 電子商務(wù)交易安全的法律保障電子商務(wù)交易安全的法律保障第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.1 12.1 網(wǎng)絡(luò)交易風(fēng)險(xiǎn)和安全管理的基本思路網(wǎng)絡(luò)交易風(fēng)險(xiǎn)和安全管理的基本思路12.1.1 網(wǎng)絡(luò)交易風(fēng)險(xiǎn)凸現(xiàn)伴隨著電子商務(wù)交易額的不斷增加，電子商務(wù)對(duì)安全方面的管理要求越來越高，所受到的重視程度也越來越高。計(jì)算機(jī)的安全問題早已引起人們的重視。大量的事實(shí)說明，保證電子商務(wù)的正常運(yùn)作，必須高度重視安全問題。網(wǎng)絡(luò)交易安全涉及社會(huì)的方方面面，不僅僅是一堵防火墻或一個(gè)電子簽字就能簡(jiǎn)單解決的問題。安全問題是網(wǎng)絡(luò)交易成功與否的關(guān)鍵所在。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.1.2 網(wǎng)絡(luò)交易風(fēng)險(xiǎn)源分析1.在線交易主體的市場(chǎng)準(zhǔn)入問題2.信息風(fēng)險(xiǎn)3.信用風(fēng)險(xiǎn)信用風(fēng)險(xiǎn)主要來自三個(gè)方面：(1)來自買方的信用風(fēng)險(xiǎn)。(2)來自賣方的信用風(fēng)險(xiǎn)。(3)買賣雙方都存在抵賴的情況.4.網(wǎng)上欺詐犯罪5.電子合同問題第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 6.電子支付問題7.在線消費(fèi)者保護(hù)問題8.電子商務(wù)中產(chǎn)品交付問題12.1.3 網(wǎng)絡(luò)交易安全管理的基本思路為了保障電子商務(wù)交易安全，必須對(duì)電子商務(wù)交易系統(tǒng)有一個(gè)深刻的理解。這一點(diǎn)至關(guān)重要，它直接關(guān)系到所建立的交易安全保障體系的有效性和生命力。電子商務(wù)系統(tǒng)是活動(dòng)在Internet 平臺(tái)上的一個(gè)涉及信息、資金和物資交易的綜合交易系統(tǒng)，其安全對(duì)象不是一般的系統(tǒng)，而是一個(gè)開放的、人在其中頻繁活動(dòng)的、與社會(huì)系統(tǒng)緊密耦合的復(fù)雜巨系統(tǒng)(Complex Giant System)第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 電子商務(wù)交易安全過程也不是一般的工程化的過程，而是一個(gè)時(shí)時(shí)處處有人參與的、自我適應(yīng)的、不斷變化的、不斷涌現(xiàn)新的整體特征的過程。所以，電子商務(wù)交易安全保障不是一般的管理手段的疊加和集成，而是綜合集成，兩者的本質(zhì)區(qū)別在于后者強(qiáng)調(diào)人的關(guān)鍵作用。只有通過人網(wǎng)結(jié)合、人機(jī)結(jié)合，充分發(fā)揮各自優(yōu)勢(shì)的方法，才能經(jīng)過綜合集成，使系統(tǒng)表現(xiàn)出新的安全性質(zhì)整體大于部分之和。與電子商務(wù)交易系統(tǒng)相適應(yīng)，電子商務(wù)交易安全也是一個(gè)系統(tǒng)工程，不是幾個(gè)防火墻、幾個(gè)密碼器就可以解決的問題。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.2 12.2 客戶認(rèn)證技術(shù)客戶認(rèn)證技術(shù)12.2.1 身份認(rèn)證 1.身份認(rèn)證的目標(biāo) 身份認(rèn)證的主要目標(biāo)包括：(1)確保交易者是交易者本人，而不是其他人。通過身份認(rèn)證解決交易者是否存在問題，避免與虛假的交易者進(jìn)行交易。(2)避免與超過權(quán)限的交易者進(jìn)行交易。(3)訪問控制。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 2.用戶身份認(rèn)證的基本方式 一般來說，用戶身份認(rèn)證可通過三種基本方式或其組合方式來實(shí)現(xiàn)：(1)用戶通過某個(gè)秘密信息，例如用戶通過自己的口令訪問系統(tǒng)資源。(2)用戶知道某個(gè)秘密信息，并且利用包含這一秘密信息的載體訪問系統(tǒng)資源，包含這一秘密信息的載體應(yīng)當(dāng)是合法持有并能夠隨身攜帶的物理介質(zhì)。例如智能卡中存儲(chǔ)用戶的個(gè)人化參數(shù)，訪問系統(tǒng)資源時(shí)必須持有智能卡，并知道個(gè)人化參數(shù)。(3)用戶利用自身所具有的某些生物學(xué)特征，如指紋、聲音、DNA圖案、視網(wǎng)膜掃描等等，但這種方案一般造價(jià)較高，適用于保密程度很高的場(chǎng)合。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 3.身份認(rèn)證的單因素法 用戶身份認(rèn)證的最簡(jiǎn)單方法就是口令。對(duì)口令進(jìn)行加密傳輸是一種改進(jìn)的方法。4.基于智能卡的用戶身份認(rèn)證 基于智能卡的用戶身份認(rèn)證機(jī)制屬于雙因素法，它結(jié)合了基本認(rèn)證方式中的第一種和第二種方法。用戶的二元組信息預(yù)先存于智能卡中，然后在認(rèn)證服務(wù)器中存入某個(gè)事先由用戶選擇的某個(gè)隨機(jī)數(shù)。用戶訪問系統(tǒng)資源時(shí)，用戶輸入二元組信息。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 5.一次口令機(jī)制最安全的身份認(rèn)證機(jī)制是采用一次口令機(jī)制，即每次用戶登錄系統(tǒng)時(shí)口令互不相同。主要有兩種實(shí)現(xiàn)方式。第一種采用“請(qǐng)求響應(yīng)”方式。用戶登錄時(shí)系統(tǒng)隨機(jī)提示一條信息，用戶根據(jù)這一信息連同其個(gè)人化數(shù)據(jù)共同產(chǎn)生一個(gè)口令字，用戶輸入這個(gè)口令字，完成一次登錄過程，或者用戶對(duì)這一條信息實(shí)施電子簽字后發(fā)送給認(rèn)證服務(wù)器進(jìn)行鑒別；第二種方法采用“時(shí)鐘同步”機(jī)制，即根據(jù)這個(gè)同步時(shí)鐘信息連同其個(gè)人化數(shù)據(jù)共同產(chǎn)生一個(gè)口令字。這兩種方案均需要認(rèn)證服務(wù)器端也產(chǎn)生與用戶端相同的口令字(或檢驗(yàn)簽字)用于驗(yàn)證用戶身份。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.2.2 信息認(rèn)證技術(shù)1.信息認(rèn)證的目標(biāo)信息認(rèn)證的主要目標(biāo)包括：(1)可信性。信息的來源是可信的，即信息接收者能夠確認(rèn)所獲得的信息不是由冒充者所發(fā)出的。(2)完整性。要求信息在傳輸過程中保證其完整性，也即信息接收者能夠確認(rèn)所獲得的信息在傳輸過程中沒有被修改、遺失和替換。(3)不可抵賴性。要求信息的發(fā)送方不能否認(rèn)自己所發(fā)出的信息。同樣，信息的接收方不能否認(rèn)已收到了信息。(4)保密性。對(duì)敏感的文件進(jìn)行加密，即使別人截獲文件也無法得到其內(nèi)容。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 2.基于私有密鑰體制的信息認(rèn)證基于私有密鑰(Private Key，私鑰)體制的信息認(rèn)證是一種傳統(tǒng)的信息認(rèn)證方法。這種方法采用對(duì)稱加密算法，也就是說，信息交換雙方共同約定一個(gè)口令或一組密碼，建立一個(gè)通信雙方共享的密鑰。通信的甲方將要發(fā)送的信息用私鑰加密后傳給乙方，乙方用相同的私鑰解密后獲得甲方傳遞的信息。由于通信雙方共享同一密鑰，通信的乙方可以確定信息是由甲方發(fā)出的。這是一種最簡(jiǎn)單的信息來源的認(rèn)證方法。圖12-1是對(duì)稱加密示意圖。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-1 對(duì)稱加密示意圖發(fā)送方用自已的私鑰加密原文信息加密文本發(fā)送方因特網(wǎng)接收方用發(fā)送方的私鑰解密加密文本原文信息接收方第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 對(duì)稱加密算法在電子商務(wù)交易過程中存在三個(gè)問題：(1)要求提供一條安全的渠道使通信雙方在首次通信時(shí)協(xié)商一個(gè)共同的密鑰。直接的面對(duì)面協(xié)商可能是不現(xiàn)實(shí)而且難于實(shí)施的，所以雙方可能需要借助于郵件和電話等其他相對(duì)不夠安全的手段來進(jìn)行協(xié)商。(2)密鑰的數(shù)目將快速增長(zhǎng)而變得難于管理，因?yàn)槊恳粚?duì)可能的通信實(shí)體需要使用不同的密鑰，很難適應(yīng)開放社會(huì)中大量的信息交流。(3)對(duì)稱加密算法一般不能提供信息完整性的鑒別。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 3.基于公開密鑰體制的信息認(rèn)證與對(duì)稱加密算法不同，公開密鑰加密體系采用的是非對(duì)稱加密算法。使用公開密鑰算法需要兩個(gè)密鑰公開密鑰(Public Key，公鑰)和私有密鑰。如果用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密，只有用對(duì)應(yīng)的私有密鑰才能進(jìn)行解密；如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，則只有用對(duì)應(yīng)的公開密鑰才能解密。圖12-2是使用公鑰加密和對(duì)應(yīng)的私鑰解密的示意圖。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-2 使用公鑰加密和對(duì)應(yīng)的私鑰解密的示意圖因特網(wǎng)Howareyou?X X XX X XX X X原信息密文發(fā)送端接收者公鑰加密Howareyou?原信息密文接收端接收者私鑰解密X X XX X XX X X第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 4.數(shù)字簽字和驗(yàn)證對(duì)文件進(jìn)行加密只解決了第一個(gè)問題，而防止他人對(duì)傳輸?shù)奈募M(jìn)行破壞，以及如何確定發(fā)信人的身份還需要采取其他的手段。數(shù)字簽字(Digita1 Signature)及驗(yàn)證(Verification)，就是實(shí)現(xiàn)信息在公開網(wǎng)絡(luò)上的安全傳輸?shù)闹匾椒?。圖12-3顯示了數(shù)字簽字和驗(yàn)證的傳輸過程。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-3 數(shù)字簽字和驗(yàn)證過程示意圖1.簽字過程Hash運(yùn)算文摘簽字私鑰加密2.通過網(wǎng)絡(luò)傳輸Hash運(yùn)算3.接收文摘文摘公鑰解密對(duì)比文件同簽字一起發(fā)送文件文件文件第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 (1)發(fā)送方首先用哈希函數(shù)將需要傳送的消息轉(zhuǎn)換成報(bào)文摘要；(2)發(fā)送方采用自己的私有密鑰對(duì)報(bào)文摘要進(jìn)行加密，形成數(shù)字簽字；(3)發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報(bào)文后面，傳遞給接收方；(4)接受方使用發(fā)送方的公有密鑰對(duì)數(shù)字簽字進(jìn)行解密，得到發(fā)送方形成的報(bào)文摘要；(5)接收方用哈希函數(shù)將接收到的報(bào)文轉(zhuǎn)換成報(bào)文摘要，與發(fā)送方形成的報(bào)文摘要相比較，若相同，說明文件在傳輸過程中沒有被破壞。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 5.時(shí)間戳在電子商務(wù)交易文件中，時(shí)間是十分重要的信息。同書面文件類似，文件簽署的日期也是防止電子文件被偽造和篡改的關(guān)鍵性內(nèi)容。數(shù)字時(shí)間戳服務(wù)(Digita1 Time Stamp sever，DTS)是網(wǎng)上電子商務(wù)安全服務(wù)項(xiàng)目之一，它能提供電子文件的日期和時(shí)間信息的安全保護(hù)。時(shí)間戳(Time Stamp)是一個(gè)經(jīng)加密后形成的憑證文檔，它包括需加時(shí)間戳的文件的摘要(Digest)、DTS收到文件的日期和時(shí)間、DTS的數(shù)字簽字三個(gè)部分。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.2.3 通過認(rèn)證機(jī)構(gòu)認(rèn)證1.數(shù)字證書根據(jù)聯(lián)合國(guó)電子簽字示范法第一條，“證書”系指可證實(shí)簽字人與簽字生成數(shù)據(jù)有聯(lián)系的某一數(shù)據(jù)電文或其他記錄。最常用的CA證書是數(shù)字證書。數(shù)字證書按照不同的分類有多種形式，如個(gè)人數(shù)字證書和單位數(shù)字證書，SSL數(shù)字證書和SET數(shù)字證書等。數(shù)字證書由申請(qǐng)證書主體的信息和發(fā)行證書的CA簽字兩部分組成(參見圖12-4)。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-4 數(shù)字證書的組成證書格式版本證書序列號(hào)碼(證書識(shí)別號(hào))簽字法識(shí)別符(發(fā)證機(jī)構(gòu))證書發(fā)行機(jī)構(gòu)名(X500名)使用期限(起止日期、時(shí)間)主體名(X500 名)算法識(shí)別公鑰值主體公司信息發(fā)證者身份識(shí)別符主體者身份識(shí)別符證實(shí)機(jī)構(gòu)數(shù)字簽字證書數(shù)字簽字證實(shí)機(jī)構(gòu)的簽字密鑰第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 2.認(rèn)證機(jī)構(gòu)認(rèn)證機(jī)構(gòu)(Certificate Authority，CA)在電子商務(wù)中具有特殊的地位。它是為了從根本上保障電子商務(wù)交易活動(dòng)順利進(jìn)行而設(shè)立的，主要是解決電子商務(wù)活動(dòng)中交易參與各方身份、資信的認(rèn)定，維護(hù)交易活動(dòng)的安全。CA是提供身份驗(yàn)證的第三方機(jī)構(gòu)，由一個(gè)或多個(gè)用戶信任的組織實(shí)體構(gòu)成。例如，持卡人要與商家通信，持卡人從公開媒體上獲得了商家的公開密鑰，但持卡人無法確定商家不是冒充的(是有信譽(yù)的)，于是持卡人請(qǐng)求CA對(duì)商家認(rèn)證，CA對(duì)商家進(jìn)行調(diào)查、驗(yàn)證和鑒別后，將包含商家Public Key(公鑰)的證書傳給持卡人。同樣，商家也可對(duì)持卡人進(jìn)行驗(yàn)證，如圖12-5所示。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-5 CA認(rèn)證 持卡人商家CA第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 3.電子商務(wù)的CA認(rèn)證體系電子商務(wù)CA體系包括兩大部分，即符合SET標(biāo)準(zhǔn)的SET CA認(rèn)證體系(又叫“金融CA”體系)和基于X.509的PKI CA體系(又叫“非金融CA”體系)。1)SET CA SET中CA的層次結(jié)構(gòu)如圖12-6所示。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-6 SET中CA的層次結(jié)構(gòu)持卡人認(rèn)證中心(Cardholder CA)商戶認(rèn)證中心(Merchant CA)支付網(wǎng)關(guān)認(rèn)證中心(Payment Gateway CA)區(qū)域性認(rèn)證中心(Geo-political CA)品牌認(rèn)證中心(Brand CA)根認(rèn)證中心(Root CA)持卡人商戶支付網(wǎng)關(guān)第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 2)PKI CAPKI是電子商務(wù)安全保障的重要基礎(chǔ)設(shè)施之一。它具有多種功能，能夠提供全方位的電子商務(wù)安全服務(wù)。圖12-7是PKI的主要功能和服務(wù)的匯總。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-7 PKI的主要功能和服務(wù)文體加密E-mail 加密消息完整性VPNs 單點(diǎn)登陸 與統(tǒng)一授 權(quán)管理識(shí)別用戶名和服務(wù)器消息的不可否認(rèn)性時(shí)間戳PKI的功能制定證書策略和認(rèn)證操作規(guī)范簽發(fā)證書發(fā)布證書作廢用戶證書發(fā)布用戶證書作廢表(CRL)支持交叉認(rèn)證支持?jǐn)?shù)字簽字的不容否認(rèn)管理密鑰歷史密鑰恢復(fù)第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 一個(gè)典型的PKI應(yīng)用系統(tǒng)包括五個(gè)部分：密鑰管理子系統(tǒng)(密鑰管理中心)、證書受理子系統(tǒng)(注冊(cè)系統(tǒng))、證書簽發(fā)子系統(tǒng)(簽發(fā)系統(tǒng))、證書發(fā)布子系統(tǒng)(證書發(fā)布系統(tǒng))、目錄服務(wù)子系統(tǒng)(證書查詢驗(yàn)證系統(tǒng))。圖12-8顯示了PKI體系的構(gòu)成。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-8 PKI體系的構(gòu)成DBDBDBKMC服務(wù)器KMC管理終端主機(jī)加密服務(wù)器操作終端管理終端審計(jì)終端主LDAP主機(jī)加密服務(wù)器密鑰管理中心簽發(fā)服務(wù)器從LDAPOCSP服務(wù)器簽發(fā)系統(tǒng)證書查詢驗(yàn)證系統(tǒng)管理終端系統(tǒng)管理終端審計(jì)終端業(yè)務(wù)管理終端業(yè)務(wù)處理終端注冊(cè)系統(tǒng)收發(fā)服務(wù)器制證終端證書用戶證書發(fā)布系統(tǒng)第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 4.證書的樹形驗(yàn)證結(jié)構(gòu)在兩方通信時(shí)，通過出示由某個(gè)CA簽發(fā)的證書來證明自己的身份，如果對(duì)簽發(fā)證書的CA本身不信任，則可驗(yàn)證CA的身份，依次類推，一直到公認(rèn)的權(quán)威CA處，就可確信證書的有效性。SET證書正是通過信任層次來逐級(jí)驗(yàn)證的。每一個(gè)證書與數(shù)字化簽發(fā)證書的實(shí)體的簽字證書關(guān)聯(lián)。沿著信任樹一直到一個(gè)公認(rèn)的信任組織，就可確認(rèn)該證書是有效的。例如，C的證書是由名稱為B的CA簽發(fā)的，而B的證書又是由名稱為A的CA簽發(fā)的，A是權(quán)威的機(jī)構(gòu)，通常稱為根認(rèn)證中心(Root CA)。驗(yàn)證到了Root CA處，就可確信C的證書是合法的(參見圖12-9)。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-9 證書的樹形驗(yàn)證結(jié)構(gòu)根 CA證書ABCCA第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 5.帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng)安全電子商務(wù)使用的文件傳輸系統(tǒng)大都帶有數(shù)字簽字和數(shù)字證書，其基本流程如圖12-10所示。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-10 帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng)原信息Alice的證書Bob的證書Alice的證書信息摘要Alice的簽字私鑰數(shù)字簽字發(fā)送者 Alice加密加密Bob的公鑰加密加密信息數(shù)字信封加密信息因特網(wǎng)數(shù)字信封數(shù)字信封Bob的私鑰接收者 Bob對(duì)稱密鑰加密信息數(shù)字簽字解密解密解密Alice的簽字公鑰信息摘要M1信息摘要M2對(duì)稱密鑰比較第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-10顯示了整個(gè)文件加密傳輸?shù)?0個(gè)步驟：(1)在發(fā)送方的網(wǎng)站上，將要傳送的信息通過哈希函數(shù)變換為預(yù)先設(shè)定長(zhǎng)度的報(bào)文摘要；(2)利用發(fā)送方的私鑰給報(bào)文摘要加密，結(jié)果是數(shù)字簽字；(3)將數(shù)字簽字和發(fā)送方的認(rèn)證證書附在原始信息上打包，使用DES算法生成的對(duì)稱密鑰在發(fā)送方的計(jì)算機(jī)上為信息包加密，得到加密信息包；(4)用預(yù)先收到的接收方的公鑰為對(duì)稱密鑰加密，得到數(shù)字信封；(5)加密信息和數(shù)字信封合成一個(gè)新的信息包，通過因特網(wǎng)將加密信息和數(shù)字信封傳到接收方的計(jì)算機(jī)上；第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 (6)用接收方的私鑰解密數(shù)字信封，得到對(duì)稱密鑰；(7)用還原的對(duì)稱密鑰解密加密信息，得到原始信息、數(shù)字簽字和發(fā)送方的認(rèn)證證書；(8)用發(fā)送方公鑰(置于發(fā)送方的認(rèn)證證書中)解密數(shù)字簽字，得到報(bào)文摘要；(9)將收到的原始信息通過哈希函數(shù)變換為報(bào)文摘要；(10)將第8步和第9步得到的信息摘要加以比較，以確認(rèn)信息的完整性。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 6.認(rèn)證機(jī)構(gòu)在電子商務(wù)中的地位和作用電子商務(wù)認(rèn)證機(jī)構(gòu)對(duì)登記者履行下列監(jiān)督管理職責(zé)：(1)監(jiān)督登記者按照規(guī)定辦理登記、變更、注銷手續(xù)；(2)監(jiān)督登記者按照電子商務(wù)的有關(guān)法律法規(guī)合法從事經(jīng)營(yíng)活動(dòng)；(3)制止和查處登記人的違法交易活動(dòng)，保護(hù)交易人的合法權(quán)益。12.2.4 我國(guó)電子商務(wù)認(rèn)證機(jī)構(gòu)的建設(shè)第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 1.電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的不同思路關(guān)于認(rèn)證機(jī)構(gòu)的建設(shè)，目前有三種典型的思路。(1)地區(qū)主管部門認(rèn)為應(yīng)當(dāng)以地區(qū)為中心建立認(rèn)證中心。(2)行業(yè)主管部門認(rèn)為應(yīng)當(dāng)以行業(yè)為中心建立認(rèn)證中心。(3)也有人提出建立幾個(gè)國(guó)家級(jí)行業(yè)安全認(rèn)證中心。2.電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的基本原則電子商務(wù)認(rèn)證機(jī)構(gòu)的建設(shè)，應(yīng)當(dāng)遵循以下原則：(1)權(quán)威性原則。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 (2)真實(shí)性原則。認(rèn)證機(jī)構(gòu)所提供的各類信息，必須真實(shí)、準(zhǔn)確、完整、可靠。嚴(yán)禁為客戶提供虛假信息。(3)機(jī)密性原則。認(rèn)證機(jī)構(gòu)的工作人員應(yīng)當(dāng)具有良好的政治素質(zhì)，忠于職守，保證信息不被泄露給非授權(quán)人或?qū)嶓w。同時(shí)，應(yīng)當(dāng)配備先進(jìn)的安全設(shè)備，能夠有效防范外界黑客的非法入侵。(4)快捷性原則。認(rèn)證機(jī)構(gòu)的工作人員和設(shè)備都應(yīng)當(dāng)具有快速的反應(yīng)能力，能夠在很短的時(shí)間內(nèi)處理各種客戶認(rèn)證業(yè)務(wù)。(5)經(jīng)濟(jì)性原則。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 3.國(guó)家級(jí)電子商務(wù)認(rèn)證機(jī)構(gòu)的設(shè)立同傳統(tǒng)的交易一樣，電子商務(wù)交易主要涉及下述幾個(gè)方面的任務(wù)：(1)身份認(rèn)證。(2)資信認(rèn)證。(3)稅收認(rèn)證。(4)外貿(mào)認(rèn)證 為便于開展業(yè)務(wù)，國(guó)家認(rèn)證中心可以在各省和直轄市設(shè)立相應(yīng)的分支機(jī)構(gòu)，從而形成類似于管理上直線職能制組織結(jié)構(gòu)的認(rèn)證系統(tǒng)(參見圖12-11)第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-11 國(guó)家電子商務(wù)認(rèn)證中心組織結(jié)構(gòu)設(shè)想圖國(guó)家電子商務(wù)認(rèn)證中心身份認(rèn)證系統(tǒng)(國(guó)家工商局)資信認(rèn)證系統(tǒng)(中國(guó)人民銀行)稅收認(rèn)證系統(tǒng)(國(guó)家稅務(wù)總局)外貿(mào)認(rèn)證系統(tǒng)(商務(wù)部)省市電子商務(wù)認(rèn)證中心身份認(rèn)證系統(tǒng)(省市工商局)資信認(rèn)證系統(tǒng)(省市人民銀行)稅收認(rèn)證系統(tǒng)(省市稅務(wù)局)外貿(mào)認(rèn)證系統(tǒng)(省市外經(jīng)委)第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 國(guó)家電子商務(wù)認(rèn)證中心主要承擔(dān)根認(rèn)證工作。這些工作包括：(1)對(duì)職能認(rèn)證系統(tǒng)和省市分認(rèn)證中心進(jìn)行政策指導(dǎo)和業(yè)務(wù)管理；(2)匯總職能認(rèn)證中心和省市分認(rèn)證中心的數(shù)據(jù)；(3)負(fù)責(zé)數(shù)字憑證的管理與簽發(fā)；(4)提供數(shù)字時(shí)間戳服務(wù)；(5)負(fù)責(zé)使用者密碼的產(chǎn)生與保管；(6)對(duì)交易糾紛提供證明資料等。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.3 12.3 防止黑客入侵防止黑客入侵12.3.1 黑客的基本概念黑客(Hacker)，源于英語動(dòng)詞Hack，意為“劈、砍”，引申為“辟出、開辟”；進(jìn)一步的意思是“干了一件非常漂亮的工作”。在20世紀(jì)麻省理工學(xué)院校園俚語中,“黑客”則有“惡作劇”之意。到了6070年代，它又專用來形容獨(dú)立思考卻奉公守法的計(jì)算機(jī)迷。今天的黑客可分為兩類。一類是駭客，他們只想引人注目，證明自己的能力，在進(jìn)入網(wǎng)絡(luò)系統(tǒng)后，不會(huì)去破壞系統(tǒng)，或者僅僅會(huì)做一些無傷大雅的惡作劇。他們追求的是從侵入行為本身獲得巨大的成功的滿足。另一類黑客是竊客，他們的行為帶有強(qiáng)烈的目的性。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.3.2 網(wǎng)絡(luò)黑客常用的攻擊手段1.口令攻擊2.服務(wù)攻擊黑客所采用的服務(wù)攻擊手段主要有四種：(1)和目標(biāo)主機(jī)建立大量的連接。(2)向遠(yuǎn)程主機(jī)發(fā)送大量的數(shù)據(jù)包(3)利用即時(shí)消息功能，以極快的速度用無數(shù)的消息“轟炸”某個(gè)特定用戶。(4)利用網(wǎng)絡(luò)軟件在實(shí)現(xiàn)協(xié)議時(shí)的漏洞。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 3.電子郵件轟炸用數(shù)百條消息填塞某人的E-mail信箱也是一種在線襲擾的方法。當(dāng)用戶受到這種叫做“電子郵件炸彈(E-mail Bomb)”的攻擊后，用戶就會(huì)在很短的時(shí)間內(nèi)收到大量的電子郵件，這樣使得用戶系統(tǒng)的正常業(yè)務(wù)不能開展，系統(tǒng)功能喪失，嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī)，甚至使整個(gè)網(wǎng)絡(luò)癱瘓。還有一種方法是郵件直接夾帶或在附件中夾帶破壞性執(zhí)行程序。用戶不小心點(diǎn)擊了這類郵件或附件，就會(huì)自動(dòng)啟動(dòng)有害程序，帶來不可預(yù)測(cè)的嚴(yán)重后果。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 4.利用文件系統(tǒng)入侵FTP(文件傳輸協(xié)議)是因特網(wǎng)上最早應(yīng)用的不同系統(tǒng)之間交換數(shù)據(jù)的協(xié)議之一。FTP的實(shí)現(xiàn)依靠TCP在主機(jī)之間進(jìn)行的數(shù)據(jù)傳輸。只要安裝了FTP客戶和服務(wù)程序，就可以在不同的主機(jī)(硬件和操作系統(tǒng)都可以不同)之間進(jìn)行數(shù)據(jù)交換。如果FTP服務(wù)器上的用戶權(quán)限設(shè)置不當(dāng)或保密程度不好，極易造成泄密事件。5.計(jì)算機(jī)病毒計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 6.IP欺騙IP欺騙是適用于TCP/IP環(huán)境的一種復(fù)雜的技術(shù)攻擊，它偽造他人的源地址，讓一臺(tái)計(jì)算機(jī)來扮演另一臺(tái)計(jì)算機(jī)，借以達(dá)到蒙混過關(guān)的目的。IP欺騙主要包括簡(jiǎn)單的地址偽造和序列號(hào)預(yù)測(cè)兩種。12.3.3 防范黑客攻擊的主要技術(shù)手段1.入侵檢測(cè)技術(shù)2.防火墻技術(shù)1)傳統(tǒng)防火墻傳統(tǒng)防火墻的類型主要有三種：包過濾、應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 2)新型防火墻TCP/IP的數(shù)據(jù)鏈路層一直到應(yīng)用層施加全方位的控制。新型防火墻的系統(tǒng)構(gòu)成如圖12-12所示。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-12 新型防火墻的系統(tǒng)構(gòu)成Applicantion ProxyDES and RSATCP/IP ProcessRaw Access NIC安全、日志、控制密鑰產(chǎn)生與配置安全、日志、控制配置、報(bào)表配置、報(bào)表第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 3.物理隔離技術(shù)物理隔離技術(shù)是近年來發(fā)展起來的防止外部黑客攻擊的有效手段。物理隔離產(chǎn)品主要有物理隔離卡和隔離網(wǎng)閘。即使黑客寫了一段很高明的程序進(jìn)入了內(nèi)網(wǎng)，他也無法竊取到任何保密數(shù)據(jù)(參見圖12-13)。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-13 物理隔離卡工作示意圖 C盤D盤E盤數(shù)據(jù)交換區(qū)F盤(光驅(qū))內(nèi)網(wǎng)區(qū)域只讀工作在內(nèi)網(wǎng)時(shí)C盤D盤F盤數(shù)據(jù)交換區(qū)G盤(光驅(qū))外網(wǎng)區(qū)域可讀寫工作在外網(wǎng)時(shí)E盤第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 物理隔離交換機(jī)不但具有傳統(tǒng)交換機(jī)的功能，而且增加了選擇網(wǎng)絡(luò)的能力(參見圖12-14)。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 圖12-14 物理隔離網(wǎng)閘示意圖 內(nèi)網(wǎng)服務(wù)器外網(wǎng)服務(wù)器第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.4 12.4 網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度12.4.1 網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度的涵義網(wǎng)絡(luò)交易系統(tǒng)安全管理制度是用文字形式對(duì)各項(xiàng)安全要求所做的規(guī)定，它是保證企業(yè)網(wǎng)絡(luò)營(yíng)銷取得成功的重要基礎(chǔ)工作，是企業(yè)網(wǎng)絡(luò)營(yíng)銷人員安全工作的規(guī)范和準(zhǔn)則。企業(yè)在參與網(wǎng)絡(luò)營(yíng)銷伊始，就應(yīng)當(dāng)形成一套完整的、適應(yīng)于網(wǎng)絡(luò)環(huán)境的安全管理制度。這些制度應(yīng)當(dāng)包括人員管理制度、保密制度、跟蹤審計(jì)制度、系統(tǒng)維護(hù)制度、數(shù)據(jù)備份制度、病毒定期清理制度等。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.4.2 人員管理制度(1)嚴(yán)格網(wǎng)絡(luò)營(yíng)銷人員的選拔。將經(jīng)過一定時(shí)間的考察、責(zé)任心強(qiáng)、講原則、守紀(jì)律、了解市場(chǎng)、懂得營(yíng)銷、具有基本網(wǎng)絡(luò)知識(shí)的人員委派到這種崗位上。(2)落實(shí)工作責(zé)任制。不僅要求網(wǎng)絡(luò)營(yíng)銷人員完成規(guī)定的營(yíng)銷任務(wù)，而且要求他們嚴(yán)格遵守企業(yè)的網(wǎng)絡(luò)營(yíng)銷安全制度。特別是在當(dāng)前企業(yè)人員流動(dòng)頻率較高的情況下，更要明確網(wǎng)絡(luò)營(yíng)銷人員的責(zé)任，對(duì)違反網(wǎng)絡(luò)交易安全規(guī)定的行為應(yīng)堅(jiān)決進(jìn)行打擊，對(duì)有關(guān)人員要進(jìn)行及時(shí)處理。(3)貫徹電子商務(wù)安全運(yùn)作的基本原則。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.4.3 保密制度電子商務(wù)涉及企業(yè)的市場(chǎng)、生產(chǎn)、財(cái)務(wù)、供應(yīng)等多方面的機(jī)密，需要很好地劃分信息的安全級(jí)別，確定安全防范重點(diǎn)，提出相應(yīng)的保密措施。信息的安全級(jí)別一般可分為三級(jí)：(1)絕密級(jí)。如公司經(jīng)營(yíng)狀況報(bào)告，訂/出貨價(jià)格，公司的發(fā)展規(guī)劃等。此部分網(wǎng)址、密碼不在因特網(wǎng)絡(luò)上公開，只限于公司高層人員掌握。(2)機(jī)密級(jí)。如公司的日常管理情況、會(huì)議通知等，此部分網(wǎng)址、密碼不在因特網(wǎng)絡(luò)上公開，只限于公司中層以上人員使用。(3)秘密級(jí)。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.4.4 跟蹤、審計(jì)、稽核制度跟蹤制度要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機(jī)制，用來記錄系統(tǒng)運(yùn)行的全過程。系統(tǒng)日志文件是自動(dòng)生成的，內(nèi)容包括操作日期、操作方式、登錄次數(shù)、運(yùn)行時(shí)間、交易內(nèi)容等。它對(duì)于系統(tǒng)的運(yùn)行監(jiān)督、維護(hù)分析、故障恢復(fù)，對(duì)于防止案件的發(fā)生或在發(fā)生案件后為偵破提供監(jiān)督數(shù)據(jù)，都可以起到非常重要的作用。12.4.5 網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度1.硬件的日常管理和維護(hù) 1)網(wǎng)絡(luò)設(shè)備(1)可管設(shè)備(2)不可管設(shè)備。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 2)服務(wù)器和客戶機(jī)3)通信線路2.軟件的日常管理和維護(hù)1)支撐軟件對(duì)于操作系統(tǒng)，一般需要進(jìn)行以下的維護(hù)工作：(1)定期清理日志文件、臨時(shí)文件；(2)定期整理文件系統(tǒng)；(3)監(jiān)測(cè)服務(wù)器上的活動(dòng)狀態(tài)和用戶注冊(cè)數(shù)；(4)處理運(yùn)行中的死機(jī)情況等。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 2)應(yīng)用軟件3.數(shù)據(jù)備份制度12.4.6 用戶管理廣域網(wǎng)上一般都有幾個(gè)至十幾個(gè)應(yīng)用系統(tǒng)，每個(gè)應(yīng)用系統(tǒng)都設(shè)置了若干角色，用戶管理的任務(wù)就是增加/刪除用戶、增加/修改用戶組號(hào)。例如，要增加一個(gè)用戶，須進(jìn)行如下工作(以UNIX為例)：(1)在用戶使用的客戶機(jī)上增加用戶并分配組號(hào)；(2)在用戶使用的服務(wù)器數(shù)據(jù)庫(kù)上增加用戶并分配組號(hào)；(3)分配該用戶的廣域網(wǎng)訪問權(quán)限。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.4.7 病毒防范制度1.安裝防病毒軟件2.認(rèn)真執(zhí)行病毒定期清理制度3.控制權(quán)限12.4.8 應(yīng)急措施目前運(yùn)用的數(shù)據(jù)恢復(fù)技術(shù)主要是瞬時(shí)復(fù)制技術(shù)、遠(yuǎn)程磁盤鏡像技術(shù)和數(shù)據(jù)庫(kù)恢復(fù)技術(shù)。1)瞬時(shí)復(fù)制技術(shù)2)遠(yuǎn)程磁盤鏡像技術(shù)3)數(shù)據(jù)庫(kù)恢復(fù)技術(shù)第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 12.5 12.5 電子商務(wù)交易安全的法律保障電子商務(wù)交易安全的法律保障12.5.1 電子合同法律制度1.電子合同及其書面形式合同，亦稱契約。根據(jù)我國(guó)民法通則第85條的規(guī)定，“合同是當(dāng)事人之間設(shè)立、變更、終止民事關(guān)系的協(xié)議。依法成立的合同，受法律保護(hù)。”合同是當(dāng)事人在地位平等基礎(chǔ)上自愿協(xié)商產(chǎn)生的，它反映了雙方或多方意思表示一致的法律行為。現(xiàn)階段，合同已經(jīng)成為保障市場(chǎng)經(jīng)濟(jì)正常運(yùn)行的重要手段。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 這種方法具有以下特點(diǎn)：(1)電子數(shù)據(jù)的易消失性。(2)電子數(shù)據(jù)作為證據(jù)的局限性。(3)電子數(shù)據(jù)的易改動(dòng)性。2.電子合同的訂立1)當(dāng)事人所在地 2)要約與邀請(qǐng)要約3)接受要約4)發(fā)出和收到第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 參照聯(lián)合國(guó)銷售公約和電子商務(wù)示范法，電子合同收到和發(fā)出的時(shí)間與地點(diǎn)應(yīng)符合以下規(guī)定：(1)除非當(dāng)事人另有約定，數(shù)據(jù)電文的發(fā)出時(shí)間以其進(jìn)入發(fā)端人或代表發(fā)端人發(fā)送數(shù)據(jù)電文的人控制范圍之外的某一信息系統(tǒng)的時(shí)間為準(zhǔn)。(2)除非當(dāng)事人另有約定，收件人為接收數(shù)據(jù)電文指定了某一信息系統(tǒng)的，以數(shù)據(jù)電文進(jìn)入該指定信息系統(tǒng)的時(shí)間為收到時(shí)間；(3)除非發(fā)端人和收件人另有約定，數(shù)據(jù)電文以發(fā)端人設(shè)有營(yíng)業(yè)地的地點(diǎn)視為其發(fā)出地點(diǎn)，以收件人設(shè)有營(yíng)業(yè)地的地點(diǎn)視為其收到地點(diǎn)。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 5)自動(dòng)交易合同無法律效力，并且不可執(zhí)行：(1)該自動(dòng)計(jì)算機(jī)系統(tǒng)未提供該自然人預(yù)防或者糾正錯(cuò)誤的機(jī)會(huì)的；(2)該自然人在發(fā)現(xiàn)錯(cuò)誤后盡實(shí)際可能立即將該錯(cuò)誤通知對(duì)方并指出自己在數(shù)據(jù)電文中造成錯(cuò)誤的；(3)該自然人采取合理步驟，包括遵照對(duì)方指示采取步驟退還因錯(cuò)誤而可能接受到的任何貨物或服務(wù)，或者根據(jù)指示銷毀這種貨物或服務(wù)的；(4)該自然人沒有獲得可能從對(duì)方收受到的任何貨物或服務(wù)產(chǎn)生的任何重大利益和價(jià)值或從中受益的。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 6)形式要求7)擬由當(dāng)事人提供的一般資料12.5.2 電子簽字法律制度1.電子簽字(Electronic signature)的概念2.電子簽字的功能以紙張為基礎(chǔ)的傳統(tǒng)簽字主要是為了履行下述功能：(1)確定一個(gè)人的身份；(2)肯定是該人自己的簽字；(3)使該人與文件內(nèi)容發(fā)生關(guān)系。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 3.電子簽字中當(dāng)事各方的基本行為規(guī)范在證書中，提供商應(yīng)提供基本資料，使依賴方能夠鑒定供應(yīng)商的身份：(1)證書中所指明的人在簽字時(shí)擁有對(duì)簽字裝置的控制權(quán)；(2)在證書簽發(fā)之日或之前簽字裝置運(yùn)作正常。在與依賴方的交往中，證書服務(wù)提供商還應(yīng)提供關(guān)于下列方面的附加信息：(1)用以鑒別簽字人的方法；(2)對(duì)簽字裝置或證書的可能用途或使用金額上的任何限制；第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 (3)簽字裝置的運(yùn)作狀況；(4)測(cè)驗(yàn)服務(wù)供應(yīng)商責(zé)任范圍或程度的任何限制；(5)是否存在簽字人發(fā)出關(guān)于簽字裝置已經(jīng)失密的通知的途徑；(6)是否提供及時(shí)的撤銷服務(wù)。4.符合電子簽字的法律要求可靠的電子簽字應(yīng)符合下列條件：(1)簽字生成數(shù)據(jù)在其使用的范圍內(nèi)與簽字人而不是還與其他任何人相關(guān)聯(lián)；第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 (2)簽字生成數(shù)據(jù)在簽字時(shí)處于簽字人而不是處于其他任何人的控制之中；(3)凡在簽字后對(duì)電子簽字的任何篡改均可被覺察；(4)如果簽字的法律要求目的是對(duì)簽字涉及的信息的完整性提供保證，則凡在簽字后對(duì)該信息的任何篡改均可被覺察。5.我國(guó)法律對(duì)電子簽字法律地位的態(tài)度 12.5.3 我國(guó)電子商務(wù)交易安全的法律保護(hù)1.我國(guó)涉及交易安全的法律法規(guī)第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 我國(guó)現(xiàn)行涉及交易安全的法律法規(guī)主要有四類：(1)綜合性法律。主要是民法通則和刑法中有關(guān)保護(hù)交易安全的條文。(2)規(guī)范交易主體的有關(guān)法律，如公司法、國(guó)有企業(yè)法、集體企業(yè)法、合伙企業(yè)法、私營(yíng)企業(yè)法、外資企業(yè)法等。(3)規(guī)范交易行為的有關(guān)法律。包括經(jīng)濟(jì)合同法、產(chǎn)品質(zhì)量法、財(cái)產(chǎn)保險(xiǎn)法、價(jià)格法、消費(fèi)者權(quán)益保護(hù)法、廣告法、反不正當(dāng)競(jìng)爭(zhēng)法等。(4)監(jiān)督交易行為的有關(guān)法律，如會(huì)計(jì)法、審計(jì)法、票據(jù)法、銀行法等。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 2.我國(guó)涉及計(jì)算機(jī)安全的法律法規(guī)我國(guó)的計(jì)算機(jī)安全立法工作開始于20世紀(jì)80年代。1991年_月_日，國(guó)務(wù)院第八十三次常委會(huì)會(huì)議通過了計(jì)算機(jī)軟件保護(hù)條例 1996年_月，國(guó)家新聞出版署發(fā)布了電子出版物暫行規(guī)定，_年_月，國(guó)家新聞出版署與信息產(chǎn)業(yè)部又聯(lián)合發(fā)布了因特網(wǎng)出版管理暫行規(guī)定，文化部于_年_月發(fā)布了關(guān)于加強(qiáng)網(wǎng)絡(luò)文化市場(chǎng)管理的通知。3.我國(guó)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的法律法規(guī)1)加強(qiáng)國(guó)際因特網(wǎng)出入信道的管理 第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 2)市場(chǎng)準(zhǔn)入制度中華人民共和國(guó)計(jì)算機(jī)網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定規(guī)定了從事國(guó)際因特網(wǎng)經(jīng)營(yíng)活動(dòng)和從事非經(jīng)營(yíng)活動(dòng)的接入單位必須具備的條件：(1)依法設(shè)立的企業(yè)法人或者事業(yè)單位；(2)具備相應(yīng)的計(jì)算機(jī)信息網(wǎng)絡(luò)、裝備以及相應(yīng)的技術(shù)人員和管理人員；(3)具備健全的安全保密管理制度和技術(shù)保護(hù)措施；(4)符合法律和國(guó)務(wù)院規(guī)定的其他條件。第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 3)安全責(zé)任12.5.4 我國(guó)電子商務(wù)立法的若干基本問題1.電子商務(wù)立法形式的選擇 1)電子商務(wù)法的地位2)電子商務(wù)立法途徑2.電子商務(wù)立法目的1)為電子商務(wù)的健康、快速發(fā)展創(chuàng)造一個(gè)良好的法律環(huán)境2)彌補(bǔ)現(xiàn)有法律的缺陷和不足3)鼓勵(lì)利用現(xiàn)代信息技術(shù)促進(jìn)交易活動(dòng)第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 3.電子商務(wù)立法指導(dǎo)思想與原則1)與聯(lián)合國(guó)電子商務(wù)示范法保持一致2)不偏重任何技術(shù)3)依賴“功能等同”方法4)跟蹤計(jì)算機(jī)技術(shù)的最新發(fā)展4.電子商務(wù)立法范圍1)電子商務(wù)法的調(diào)整對(duì)象2)電子商務(wù)法所涉及的技術(shù)范圍3)電子商務(wù)法所涉及的商務(wù)范圍5.電子商務(wù)立法框架第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 1)第一部分，總則第一章，一般條款。第二章，對(duì)數(shù)據(jù)電文適用法律要求。第三章，數(shù)據(jù)電文的形成與傳遞。第四章，電子支付。第五章，認(rèn)證機(jī)構(gòu)。第六章，網(wǎng)絡(luò)服務(wù)商。第七章，政府作用。2)第二部分，電子商務(wù)的特定領(lǐng)域第十二章第十二章 網(wǎng)絡(luò)交易安全管理網(wǎng)絡(luò)交易安全管理 第八章，網(wǎng)絡(luò)零售業(yè)。包括網(wǎng)絡(luò)零售業(yè)的范圍、市場(chǎng)準(zhǔn)入制度、網(wǎng)絡(luò)零售規(guī)范等。第九章，網(wǎng)絡(luò)廣告業(yè)。包括網(wǎng)絡(luò)廣告的定義、活動(dòng)主體、行為準(zhǔn)則、網(wǎng)絡(luò)廣告審查等。第十章，知識(shí)產(chǎn)權(quán)貿(mào)易。包括網(wǎng)絡(luò)環(huán)境下的版權(quán)、專利、商標(biāo)和技術(shù)成果交易等。第十一章，貨物運(yùn)輸