網(wǎng)絡(luò)交易安全管理.ppt

第十二章網(wǎng)絡(luò)交易安全管理 12 1網(wǎng)絡(luò)交易風險和安全管理的基本思路12 2客戶認證技術(shù)12 3防止黑客入侵12 4網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度12 5電子商務(wù)交易安全的法律保障 12 1網(wǎng)絡(luò)交易風險和安全管理的基本思路 12 1 1網(wǎng)絡(luò)交易風險凸現(xiàn)伴隨著電子商務(wù)交易額的不斷增加 電子商務(wù)對安全方面的管理要求越來越高 所受到的重視程度也越來越高 計算機的安全問題早已引起人們的重視 大量的事實說明 保證電子商務(wù)的正常運作 必須高度重視安全問題 網(wǎng)絡(luò)交易安全涉及社會的方方面面 不僅僅是一堵防火墻或一個電子簽字就能簡單解決的問題 安全問題是網(wǎng)絡(luò)交易成功與否的關(guān)鍵所在 12 1 2網(wǎng)絡(luò)交易風險源分析1 在線交易主體的市場準入問題2 信息風險3 信用風險信用風險主要來自三個方面 1 來自買方的信用風險 2 來自賣方的信用風險 3 買賣雙方都存在抵賴的情況 4 網(wǎng)上欺詐犯罪5 電子合同問題 6 電子支付問題7 在線消費者保護問題8 電子商務(wù)中產(chǎn)品交付問題12 1 3網(wǎng)絡(luò)交易安全管理的基本思路為了保障電子商務(wù)交易安全 必須對電子商務(wù)交易系統(tǒng)有一個深刻的理解 這一點至關(guān)重要 它直接關(guān)系到所建立的交易安全保障體系的有效性和生命力 電子商務(wù)系統(tǒng)是活動在Internet平臺上的一個涉及信息 資金和物資交易的綜合交易系統(tǒng) 其安全對象不是一般的系統(tǒng) 而是一個開放的 人在其中頻繁活動的 與社會系統(tǒng)緊密耦合的復雜巨系統(tǒng) ComplexGiantSystem 電子商務(wù)交易安全過程也不是一般的工程化的過程 而是一個時時處處有人參與的 自我適應的 不斷變化的 不斷涌現(xiàn)新的整體特征的過程 所以 電子商務(wù)交易安全保障不是一般的管理手段的疊加和集成 而是綜合集成 兩者的本質(zhì)區(qū)別在于后者強調(diào)人的關(guān)鍵作用 只有通過人網(wǎng)結(jié)合 人機結(jié)合 充分發(fā)揮各自優(yōu)勢的方法 才能經(jīng)過綜合集成 使系統(tǒng)表現(xiàn)出新的安全性質(zhì) 整體大于部分之和 與電子商務(wù)交易系統(tǒng)相適應 電子商務(wù)交易安全也是一個系統(tǒng)工程 不是幾個防火墻 幾個密碼器就可以解決的問題 12 2客戶認證技術(shù) 12 2 1身份認證1 身份認證的目標身份認證的主要目標包括 1 確保交易者是交易者本人 而不是其他人 通過身份認證解決交易者是否存在問題 避免與虛假的交易者進行交易 2 避免與超過權(quán)限的交易者進行交易 3 訪問控制 2 用戶身份認證的基本方式一般來說 用戶身份認證可通過三種基本方式或其組合方式來實現(xiàn) 1 用戶通過某個秘密信息 例如用戶通過自己的口令訪問系統(tǒng)資源 2 用戶知道某個秘密信息 并且利用包含這一秘密信息的載體訪問系統(tǒng)資源 包含這一秘密信息的載體應當是合法持有并能夠隨身攜帶的物理介質(zhì) 例如智能卡中存儲用戶的個人化參數(shù) 訪問系統(tǒng)資源時必須持有智能卡 并知道個人化參數(shù) 3 用戶利用自身所具有的某些生物學特征 如指紋 聲音 DNA圖案 視網(wǎng)膜掃描等等 但這種方案一般造價較高 適用于保密程度很高的場合 3 身份認證的單因素法用戶身份認證的最簡單方法就是口令 對口令進行加密傳輸是一種改進的方法 4 基于智能卡的用戶身份認證基于智能卡的用戶身份認證機制屬于雙因素法 它結(jié)合了基本認證方式中的第一種和第二種方法 用戶的二元組信息預先存于智能卡中 然后在認證服務(wù)器中存入某個事先由用戶選擇的某個隨機數(shù) 用戶訪問系統(tǒng)資源時 用戶輸入二元組信息 5 一次口令機制最安全的身份認證機制是采用一次口令機制 即每次用戶登錄系統(tǒng)時口令互不相同 主要有兩種實現(xiàn)方式 第一種采用 請求響應 方式 用戶登錄時系統(tǒng)隨機提示一條信息 用戶根據(jù)這一信息連同其個人化數(shù)據(jù)共同產(chǎn)生一個口令字 用戶輸入這個口令字 完成一次登錄過程 或者用戶對這一條信息實施電子簽字后發(fā)送給認證服務(wù)器進行鑒別 第二種方法采用 時鐘同步 機制 即根據(jù)這個同步時鐘信息連同其個人化數(shù)據(jù)共同產(chǎn)生一個口令字 這兩種方案均需要認證服務(wù)器端也產(chǎn)生與用戶端相同的口令字 或檢驗簽字 用于驗證用戶身份 12 2 2信息認證技術(shù)1 信息認證的目標信息認證的主要目標包括 1 可信性 信息的來源是可信的 即信息接收者能夠確認所獲得的信息不是由冒充者所發(fā)出的 2 完整性 要求信息在傳輸過程中保證其完整性 也即信息接收者能夠確認所獲得的信息在傳輸過程中沒有被修改 遺失和替換 3 不可抵賴性 要求信息的發(fā)送方不能否認自己所發(fā)出的信息 同樣 信息的接收方不能否認已收到了信息 4 保密性 對敏感的文件進行加密 即使別人截獲文件也無法得到其內(nèi)容 2 基于私有密鑰體制的信息認證基于私有密鑰 PrivateKey 私鑰 體制的信息認證是一種傳統(tǒng)的信息認證方法 這種方法采用對稱加密算法 也就是說 信息交換雙方共同約定一個口令或一組密碼 建立一個通信雙方共享的密鑰 通信的甲方將要發(fā)送的信息用私鑰加密后傳給乙方 乙方用相同的私鑰解密后獲得甲方傳遞的信息 由于通信雙方共享同一密鑰 通信的乙方可以確定信息是由甲方發(fā)出的 這是一種最簡單的信息來源的認證方法 圖12 1是對稱加密示意圖 圖12 1對稱加密示意圖 對稱加密算法在電子商務(wù)交易過程中存在三個問題 1 要求提供一條安全的渠道使通信雙方在首次通信時協(xié)商一個共同的密鑰 直接的面對面協(xié)商可能是不現(xiàn)實而且難于實施的 所以雙方可能需要借助于郵件和電話等其他相對不夠安全的手段來進行協(xié)商 2 密鑰的數(shù)目將快速增長而變得難于管理 因為每一對可能的通信實體需要使用不同的密鑰 很難適應開放社會中大量的信息交流 3 對稱加密算法一般不能提供信息完整性的鑒別 3 基于公開密鑰體制的信息認證與對稱加密算法不同 公開密鑰加密體系采用的是非對稱加密算法 使用公開密鑰算法需要兩個密鑰 公開密鑰 PublicKey 公鑰 和私有密鑰 如果用公開密鑰對數(shù)據(jù)進行加密 只有用對應的私有密鑰才能進行解密 如果用私有密鑰對數(shù)據(jù)進行加密 則只有用對應的公開密鑰才能解密 圖12 2是使用公鑰加密和對應的私鑰解密的示意圖 圖12 2使用公鑰加密和對應的私鑰解密的示意圖 4 數(shù)字簽字和驗證對文件進行加密只解決了第一個問題 而防止他人對傳輸?shù)奈募M行破壞 以及如何確定發(fā)信人的身份還需要采取其他的手段 數(shù)字簽字 Digita1Signature 及驗證 Verification 就是實現(xiàn)信息在公開網(wǎng)絡(luò)上的安全傳輸?shù)闹匾椒?圖12 3顯示了數(shù)字簽字和驗證的傳輸過程 圖12 3數(shù)字簽字和驗證過程示意圖 1 發(fā)送方首先用哈希函數(shù)將需要傳送的消息轉(zhuǎn)換成報文摘要 2 發(fā)送方采用自己的私有密鑰對報文摘要進行加密 形成數(shù)字簽字 3 發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報文后面 傳遞給接收方 4 接受方使用發(fā)送方的公有密鑰對數(shù)字簽字進行解密 得到發(fā)送方形成的報文摘要 5 接收方用哈希函數(shù)將接收到的報文轉(zhuǎn)換成報文摘要 與發(fā)送方形成的報文摘要相比較 若相同 說明文件在傳輸過程中沒有被破壞 5 時間戳在電子商務(wù)交易文件中 時間是十分重要的信息 同書面文件類似 文件簽署的日期也是防止電子文件被偽造和篡改的關(guān)鍵性內(nèi)容 數(shù)字時間戳服務(wù) Digita1TimeStampsever DTS 是網(wǎng)上電子商務(wù)安全服務(wù)項目之一 它能提供電子文件的日期和時間信息的安全保護 時間戳 TimeStamp 是一個經(jīng)加密后形成的憑證文檔 它包括需加時間戳的文件的摘要 Digest DTS收到文件的日期和時間 DTS的數(shù)字簽字三個部分 12 2 3通過認證機構(gòu)認證1 數(shù)字證書根據(jù)聯(lián)合國 電子簽字示范法 第一條 證書 系指可證實簽字人與簽字生成數(shù)據(jù)有聯(lián)系的某一數(shù)據(jù)電文或其他記錄 最常用的CA證書是數(shù)字證書 數(shù)字證書按照不同的分類有多種形式 如個人數(shù)字證書和單位數(shù)字證書 SSL數(shù)字證書和SET數(shù)字證書等 數(shù)字證書由申請證書主體的信息和發(fā)行證書的CA簽字兩部分組成 參見圖12 4 圖12 4數(shù)字證書的組成 2 認證機構(gòu)認證機構(gòu) CertificateAuthority CA 在電子商務(wù)中具有特殊的地位 它是為了從根本上保障電子商務(wù)交易活動順利進行而設(shè)立的 主要是解決電子商務(wù)活動中交易參與各方身份 資信的認定 維護交易活動的安全 CA是提供身份驗證的第三方機構(gòu) 由一個或多個用戶信任的組織實體構(gòu)成 例如 持卡人要與商家通信 持卡人從公開媒體上獲得了商家的公開密鑰 但持卡人無法確定商家不是冒充的 是有信譽的 于是持卡人請求CA對商家認證 CA對商家進行調(diào)查 驗證和鑒別后 將包含商家PublicKey 公鑰 的證書傳給持卡人 同樣 商家也可對持卡人進行驗證 如圖12 5所示 圖12 5CA認證 3 電子商務(wù)的CA認證體系電子商務(wù)CA體系包括兩大部分 即符合SET標準的SETCA認證體系 又叫 金融CA 體系 和基于X 509的PKICA體系 又叫 非金融CA 體系 1 SETCASET中CA的層次結(jié)構(gòu)如圖12 6所示 圖12 6SET中CA的層次結(jié)構(gòu) 2 PKICAPKI是電子商務(wù)安全保障的重要基礎(chǔ)設(shè)施之一 它具有多種功能 能夠提供全方位的電子商務(wù)安全服務(wù) 圖12 7是PKI的主要功能和服務(wù)的匯總 圖12 7PKI的主要功能和服務(wù) 一個典型的PKI應用系統(tǒng)包括五個部分 密鑰管理子系統(tǒng) 密鑰管理中心 證書受理子系統(tǒng) 注冊系統(tǒng) 證書簽發(fā)子系統(tǒng) 簽發(fā)系統(tǒng) 證書發(fā)布子系統(tǒng) 證書發(fā)布系統(tǒng) 目錄服務(wù)子系統(tǒng) 證書查詢驗證系統(tǒng) 圖12 8顯示了PKI體系的構(gòu)成 圖12 8PKI體系的構(gòu)成 4 證書的樹形驗證結(jié)構(gòu)在兩方通信時 通過出示由某個CA簽發(fā)的證書來證明自己的身份 如果對簽發(fā)證書的CA本身不信任 則可驗證CA的身份 依次類推 一直到公認的權(quán)威CA處 就可確信證書的有效性 SET證書正是通過信任層次來逐級驗證的 每一個證書與數(shù)字化簽發(fā)證書的實體的簽字證書關(guān)聯(lián) 沿著信任樹一直到一個公認的信任組織 就可確認該證書是有效的 例如 C的證書是由名稱為B的CA簽發(fā)的 而B的證書又是由名稱為A的CA簽發(fā)的 A是權(quán)威的機構(gòu) 通常稱為根認證中心 RootCA 驗證到了RootCA處 就可確信C的證書是合法的 參見圖12 9 圖12 9證書的樹形驗證結(jié)構(gòu) 5 帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng)安全電子商務(wù)使用的文件傳輸系統(tǒng)大都帶有數(shù)字簽字和數(shù)字證書 其基本流程如圖12 10所示 圖12 10帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng) 圖12 10顯示了整個文件加密傳輸?shù)?0個步驟 1 在發(fā)送方的網(wǎng)站上 將要傳送的信息通過哈希函數(shù)變換為預先設(shè)定長度的報文摘要 2 利用發(fā)送方的私鑰給報文摘要加密 結(jié)果是數(shù)字簽字 3 將數(shù)字簽字和發(fā)送方的認證證書附在原始信息上打包 使用DES算法生成的對稱密鑰在發(fā)送方的計算機上為信息包加密 得到加密信息包 4 用預先收到的接收方的公鑰為對稱密鑰加密 得到數(shù)字信封 5 加密信息和數(shù)字信封合成一個新的信息包 通過因特網(wǎng)將加密信息和數(shù)字信封傳到接收方的計算機上 6 用接收方的私鑰解密數(shù)字信封 得到對稱密鑰 7 用還原的對稱密鑰解密加密信息 得到原始信息 數(shù)字簽字和發(fā)送方的認證證書 8 用發(fā)送方公鑰 置于發(fā)送方的認證證書中 解密數(shù)字簽字 得到報文摘要 9 將收到的原始信息通過哈希函數(shù)變換為報文摘要 10 將第8步和第9步得到的信息摘要加以比較 以確認信息的完整性 6 認證機構(gòu)在電子商務(wù)中的地位和作用電子商務(wù)認證機構(gòu)對登記者履行下列監(jiān)督管理職責 1 監(jiān)督登記者按照規(guī)定辦理登記 變更 注銷手續(xù) 2 監(jiān)督登記者按照電子商務(wù)的有關(guān)法律法規(guī)合法從事經(jīng)營活動 3 制止和查處登記人的違法交易活動 保護交易人的合法權(quán)益 12 2 4我國電子商務(wù)認證機構(gòu)的建設(shè) 1 電子商務(wù)認證機構(gòu)建設(shè)的不同思路關(guān)于認證機構(gòu)的建設(shè) 目前有三種典型的思路 1 地區(qū)主管部門認為應當以地區(qū)為中心建立認證中心 2 行業(yè)主管部門認為應當以行業(yè)為中心建立認證中心 3 也有人提出建立幾個國家級行業(yè)安全認證中心 2 電子商務(wù)認證機構(gòu)建設(shè)的基本原則電子商務(wù)認證機構(gòu)的建設(shè) 應當遵循以下原則 1 權(quán)威性原則 2 真實性原則 認證機構(gòu)所提供的各類信息 必須真實 準確 完整 可靠 嚴禁為客戶提供虛假信息 3 機密性原則 認證機構(gòu)的工作人員應當具有良好的政治素質(zhì) 忠于職守 保證信息不被泄露給非授權(quán)人或?qū)嶓w 同時 應當配備先進的安全設(shè)備 能夠有效防范外界黑客的非法入侵 4 快捷性原則 認證機構(gòu)的工作人員和設(shè)備都應當具有快速的反應能力 能夠在很短的時間內(nèi)處理各種客戶認證業(yè)務(wù) 5 經(jīng)濟性原則 3 國家級電子商務(wù)認證機構(gòu)的設(shè)立同傳統(tǒng)的交易一樣 電子商務(wù)交易主要涉及下述幾個方面的任務(wù) 1 身份認證 2 資信認證 3 稅收認證 4 外貿(mào)認證為便于開展業(yè)務(wù) 國家認證中心可以在各省和直轄市設(shè)立相應的分支機構(gòu) 從而形成類似于管理上直線職能制組織結(jié)構(gòu)的認證系統(tǒng) 參見圖12 11 圖12 11國家電子商務(wù)認證中心組織結(jié)構(gòu)設(shè)想圖 國家電子商務(wù)認證中心主要承擔根認證工作 這些工作包括 1 對職能認證系統(tǒng)和省市分認證中心進行政策指導和業(yè)務(wù)管理 2 匯總職能認證中心和省市分認證中心的數(shù)據(jù) 3 負責數(shù)字憑證的管理與簽發(fā) 4 提供數(shù)字時間戳服務(wù) 5 負責使用者密碼的產(chǎn)生與保管 6 對交易糾紛提供證明資料等 12 3防止黑客入侵 12 3 1黑客的基本概念黑客 Hacker 源于英語動詞Hack 意為 劈 砍 引申為 辟出 開辟 進一步的意思是 干了一件非常漂亮的工作 在20世紀麻省理工學院校園俚語中 黑客 則有 惡作劇 之意 到了60 70年代 它又專用來形容獨立思考卻奉公守法的計算機迷 今天的黑客可分為兩類 一類是駭客 他們只想引人注目 證明自己的能力 在進入網(wǎng)絡(luò)系統(tǒng)后 不會去破壞系統(tǒng) 或者僅僅會做一些無傷大雅的惡作劇 他們追求的是從侵入行為本身獲得巨大的成功的滿足 另一類黑客是竊客 他們的行為帶有強烈的目的性 12 3 2網(wǎng)絡(luò)黑客常用的攻擊手段1 口令攻擊2 服務(wù)攻擊黑客所采用的服務(wù)攻擊手段主要有四種 1 和目標主機建立大量的連接 2 向遠程主機發(fā)送大量的數(shù)據(jù)包 3 利用即時消息功能 以極快的速度用無數(shù)的消息 轟炸 某個特定用戶 4 利用網(wǎng)絡(luò)軟件在實現(xiàn)協(xié)議時的漏洞 3 電子郵件轟炸用數(shù)百條消息填塞某人的E mail信箱也是一種在線襲擾的方法 當用戶受到這種叫做 電子郵件炸彈 E mailBomb 的攻擊后 用戶就會在很短的時間內(nèi)收到大量的電子郵件 這樣使得用戶系統(tǒng)的正常業(yè)務(wù)不能開展 系統(tǒng)功能喪失 嚴重時會使系統(tǒng)關(guān)機 甚至使整個網(wǎng)絡(luò)癱瘓 還有一種方法是郵件直接夾帶或在附件中夾帶破壞性執(zhí)行程序 用戶不小心點擊了這類郵件或附件 就會自動啟動有害程序 帶來不可預測的嚴重后果 4 利用文件系統(tǒng)入侵FTP 文件傳輸協(xié)議 是因特網(wǎng)上最早應用的不同系統(tǒng)之間交換數(shù)據(jù)的協(xié)議之一 FTP的實現(xiàn)依靠TCP在主機之間進行的數(shù)據(jù)傳輸 只要安裝了FTP客戶和服務(wù)程序 就可以在不同的主機 硬件和操作系統(tǒng)都可以不同 之間進行數(shù)據(jù)交換 如果FTP服務(wù)器上的用戶權(quán)限設(shè)置不當或保密程度不好 極易造成泄密事件 5 計算機病毒計算機病毒 是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù) 影響計算機使用 并能自我復制的一組計算機指令或者程序代碼 6 IP欺騙IP欺騙是適用于TCP IP環(huán)境的一種復雜的技術(shù)攻擊 它偽造他人的源地址 讓一臺計算機來扮演另一臺計算機 借以達到蒙混過關(guān)的目的 IP欺騙主要包括簡單的地址偽造和序列號預測兩種 12 3 3防范黑客攻擊的主要技術(shù)手段1 入侵檢測技術(shù)2 防火墻技術(shù)1 傳統(tǒng)防火墻傳統(tǒng)防火墻的類型主要有三種 包過濾 應用層網(wǎng)關(guān)和電路層網(wǎng)關(guān) 2 新型防火墻TCP IP的數(shù)據(jù)鏈路層一直到應用層施加全方位的控制 新型防火墻的系統(tǒng)構(gòu)成如圖12 12所示 圖12 12新型防火墻的系統(tǒng)構(gòu)成 3 物理隔離技術(shù)物理隔離技術(shù)是近年來發(fā)展起來的防止外部黑客攻擊的有效手段 物理隔離產(chǎn)品主要有物理隔離卡和隔離網(wǎng)閘 即使黑客寫了一段很高明的程序進入了內(nèi)網(wǎng) 他也無法竊取到任何保密數(shù)據(jù) 參見圖12 13 圖12 13物理隔離卡工作示意圖 物理隔離交換機不但具有傳統(tǒng)交換機的功能 而且增加了選擇網(wǎng)絡(luò)的能力 參見圖12 14 圖12 14物理隔離網(wǎng)閘示意圖 12 4網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度 12 4 1網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度的涵義網(wǎng)絡(luò)交易系統(tǒng)安全管理制度是用文字形式對各項安全要求所做的規(guī)定 它是保證企業(yè)網(wǎng)絡(luò)營銷取得成功的重要基礎(chǔ)工作 是企業(yè)網(wǎng)絡(luò)營銷人員安全工作的規(guī)范和準則 企業(yè)在參與網(wǎng)絡(luò)營銷伊始 就應當形成一套完整的 適應于網(wǎng)絡(luò)環(huán)境的安全管理制度 這些制度應當包括人員管理制度 保密制度 跟蹤審計制度 系統(tǒng)維護制度 數(shù)據(jù)備份制度 病毒定期清理制度等 12 4 2人員管理制度 1 嚴格網(wǎng)絡(luò)營銷人員的選拔 將經(jīng)過一定時間的考察 責任心強 講原則 守紀律 了解市場 懂得營銷 具有基本網(wǎng)絡(luò)知識的人員委派到這種崗位上 2 落實工作責任制 不僅要求網(wǎng)絡(luò)營銷人員完成規(guī)定的營銷任務(wù) 而且要求他們嚴格遵守企業(yè)的網(wǎng)絡(luò)營銷安全制度 特別是在當前企業(yè)人員流動頻率較高的情況下 更要明確網(wǎng)絡(luò)營銷人員的責任 對違反網(wǎng)絡(luò)交易安全規(guī)定的行為應堅決進行打擊 對有關(guān)人員要進行及時處理 3 貫徹電子商務(wù)安全運作的基本原則 12 4 3保密制度電子商務(wù)涉及企業(yè)的市場 生產(chǎn) 財務(wù) 供應等多方面的機密 需要很好地劃分信息的安全級別 確定安全防范重點 提出相應的保密措施 信息的安全級別一般可分為三級 1 絕密級 如公司經(jīng)營狀況報告 訂 出貨價格 公司的發(fā)展規(guī)劃等 此部分網(wǎng)址 密碼不在因特網(wǎng)絡(luò)上公開 只限于公司高層人員掌握 2 機密級 如公司的日常管理情況 會議通知等 此部分網(wǎng)址 密碼不在因特網(wǎng)絡(luò)上公開 只限于公司中層以上人員使用 3 秘密級 12 4 4跟蹤 審計 稽核制度跟蹤制度要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機制 用來記錄系統(tǒng)運行的全過程 系統(tǒng)日志文件是自動生成的 內(nèi)容包括操作日期 操作方式 登錄次數(shù) 運行時間 交易內(nèi)容等 它對于系統(tǒng)的運行監(jiān)督 維護分析 故障恢復 對于防止案件的發(fā)生或在發(fā)生案件后為偵破提供監(jiān)督數(shù)據(jù) 都可以起到非常重要的作用 12 4 5網(wǎng)絡(luò)系統(tǒng)的日常維護制度1 硬件的日常管理和維護1 網(wǎng)絡(luò)設(shè)備 1 可管設(shè)備 2 不可管設(shè)備 2 服務(wù)器和客戶機3 通信線路2 軟件的日常管理和維護1 支撐軟件對于操作系統(tǒng) 一般需要進行以下的維護工作 1 定期清理日志文件 臨時文件 2 定期整理文件系統(tǒng) 3 監(jiān)測服務(wù)器上的活動狀態(tài)和用戶注冊數(shù) 4 處理運行中的死機情況等 2 應用軟件3 數(shù)據(jù)備份制度12 4 6用戶管理廣域網(wǎng)上一般都有幾個至十幾個應用系統(tǒng) 每個應用系統(tǒng)都設(shè)置了若干角色 用戶管理的任務(wù)就是增加 刪除用戶 增加 修改用戶組號 例如 要增加一個用戶 須進行如下工作 以UNIX為例 1 在用戶使用的客戶機上增加用戶并分配組號 2 在用戶使用的服務(wù)器數(shù)據(jù)庫上增加用戶并分配組號 3 分配該用戶的廣域網(wǎng)訪問權(quán)限 12 4 7病毒防范制度1 安裝防病毒軟件2 認真執(zhí)行病毒定期清理制度3 控制權(quán)限12 4 8應急措施目前運用的數(shù)據(jù)恢復技術(shù)主要是瞬時復制技術(shù) 遠程磁盤鏡像技術(shù)和數(shù)據(jù)庫恢復技術(shù) 1 瞬時復制技術(shù)2 遠程磁盤鏡像技術(shù)3 數(shù)據(jù)庫恢復技術(shù) 12 5電子商務(wù)交易安全的法律保障 12 5 1電子合同法律制度1 電子合同及其書面形式合同 亦稱契約 根據(jù)我國 民法通則 第85條的規(guī)定 合同是當事人之間設(shè)立 變更 終止民事關(guān)系的協(xié)議 依法成立的合同 受法律保護 合同是當事人在地位平等基礎(chǔ)上自愿協(xié)商產(chǎn)生的 它反映了雙方或多方意思表示一致的法律行為 現(xiàn)階段 合同已經(jīng)成為保障市場經(jīng)濟正常運行的重要手段 這種方法具有以下特點 1 電子數(shù)據(jù)的易消失性 2 電子數(shù)據(jù)作為證據(jù)的局限性 3 電子數(shù)據(jù)的易改動性 2 電子合同的訂立1 當事人所在地2 要約與邀請要約3 接受要約4 發(fā)出和收到 參照 聯(lián)合國銷售公約 和 電子商務(wù)示范法 電子合同收到和發(fā)出的時間與地點應符合以下規(guī)定 1 除非當事人另有約定 數(shù)據(jù)電文的發(fā)出時間以其進入發(fā)端人或代表發(fā)端人發(fā)送數(shù)據(jù)電文的人控制范圍之外的某一信息系統(tǒng)的時間為準 2 除非當事人另有約定 收件人為接收數(shù)據(jù)電文指定了某一信息系統(tǒng)的 以數(shù)據(jù)電文進入該指定信息系統(tǒng)的時間為收到時間 3 除非發(fā)端人和收件人另有約定 數(shù)據(jù)電文以發(fā)端人設(shè)有營業(yè)地的地點視為其發(fā)出地點 以收件人設(shè)有營業(yè)地的地點視為其收到地點 5 自動交易合同無法律效力 并且不可執(zhí)行 1 該自動計算機系統(tǒng)未提供該自然人預防或者糾正錯誤的機會的 2 該自然人在發(fā)現(xiàn)錯誤后盡實際可能立即將該錯誤通知對方并指出自己在數(shù)據(jù)電文中造成錯誤的 3 該自然人采取合理步驟 包括遵照對方指示采取步驟退還因錯誤而可能接受到的任何貨物或服務(wù) 或者根據(jù)指示銷毀這種貨物或服務(wù)的 4 該自然人沒有獲得可能從對方收受到的任何貨物或服務(wù)產(chǎn)生的任何重大利益和價值或從中受益的 6 形式要求7 擬由當事人提供的一般資料12 5 2電子簽字法律制度1 電子簽字 Electronicsignature 的概念2 電子簽字的功能以紙張為基礎(chǔ)的傳統(tǒng)簽字主要是為了履行下述功能 1 確定一個人的身份 2 肯定是該人自己的簽字 3 使該人與文件內(nèi)容發(fā)生關(guān)系 3 電子簽字中當事各方的基本行為規(guī)范在證書中 提供商應提供基本資料 使依賴方能夠鑒定供應商的身份 1 證書中所指明的人在簽字時擁有對簽字裝置的控制權(quán) 2 在證書簽發(fā)之日或之前簽字裝置運作正常 在與依賴方的交往中 證書服務(wù)提供商還應提供關(guān)于下列方面的附加信息 1 用以鑒別簽字人的方法 2 對簽字裝置或證書的可能用途或使用金額上的任何限制 3 簽字裝置的運作狀況 4 測驗服務(wù)供應商責任范圍或程度的任何限制 5 是否存在簽字人發(fā)出關(guān)于簽字裝置已經(jīng)失密的通知的途徑 6 是否提供及時的撤銷服務(wù) 4 符合電子簽字的法律要求可靠的電子簽字應符合下列條件 1 簽字生成數(shù)據(jù)在其使用的范圍內(nèi)與簽字人而不是還與其他任何人相關(guān)聯(lián) 2 簽字生成數(shù)據(jù)在簽字時處于簽字人而不是處于其他任何人的控制之中 3 凡在簽字后對電子簽字的任何篡改均可被覺察 4 如果簽字的法律要求目的是對簽字涉及的信息的完整性提供保證 則凡在簽字后對該信息的任何篡改均可被覺察 5 我國法律對電子簽字法律地位的態(tài)度12 5 3我國電子商務(wù)交易安全的法律保護1 我國涉及交易安全的法律法規(guī) 我國現(xiàn)行涉及交易安全的法律法規(guī)主要有四類 1 綜合性法律 主要是民法通則和刑法中有關(guān)保護交易安全的條文 2 規(guī)范交易主體的有關(guān)法律 如公司法 國有企業(yè)法 集體企業(yè)法 合伙企業(yè)法 私營企業(yè)法 外資企業(yè)法等 3 規(guī)范交易行為的有關(guān)法律 包括經(jīng)濟合同法 產(chǎn)品質(zhì)量法 財產(chǎn)保險法 價格法 消費者權(quán)益保護法 廣告法 反不正當競爭法等 4 監(jiān)督交易行為的有關(guān)法律 如會計法 審計法 票據(jù)法 銀行法等 2 我國涉及計算機安全的法律法規(guī)我國的計算機安全立法工作開始于20世紀80年代 1991年5月24日 國務(wù)院第八十三次常委會會議通過了 計算機軟件保護條例 1996年3月 國家新聞出版署發(fā)布了 電子出版物暫行規(guī)定 2002年6月 國家新聞出版署與信息產(chǎn)業(yè)部又聯(lián)合發(fā)布了 因特網(wǎng)出版管理暫行規(guī)定 文化部于2002年5月發(fā)布了 關(guān)于加強網(wǎng)絡(luò)文化市場管理的通知 3 我國保護計算機網(wǎng)絡(luò)安全的法律法規(guī)1 加強國際因特網(wǎng)出入信道的管理 2 市場準入制度 中華人民共和國計算機網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 規(guī)定了從事國際因特網(wǎng)經(jīng)營活動和從事非經(jīng)營活動的接入單位必須具備的條件 1 依法設(shè)立的企業(yè)法人或者事業(yè)單位 2 具備相應的計算機信息網(wǎng)絡(luò) 裝備以及相應的技術(shù)人員和管理人員 3 具備健全的安全保密管理制度和技術(shù)保護措施 4 符合法律和國務(wù)院規(guī)定的其他條件 3 安全責任12 5 4我國電子商務(wù)立法的若干基本問題1 電子商務(wù)立法形式的選擇1 電子商務(wù)法的地位2 電子商務(wù)立法途徑2 電子商務(wù)立法目的1 為電子商務(wù)的健康 快速發(fā)展創(chuàng)造一個良好的法律環(huán)境2 彌補現(xiàn)有法律的缺陷和不足3 鼓勵利用現(xiàn)代信息技術(shù)促進交易活動 3 電子商務(wù)立法指導思想與原則1 與聯(lián)合國 電子商務(wù)示范法 保持一致2 不偏重任何技術(shù)3 依賴 功能等同 方法4 跟蹤計算機技術(shù)的最新發(fā)展4 電子商務(wù)立法范圍1 電子商務(wù)法的調(diào)整對象2 電子商務(wù)法所涉及的技術(shù)范圍3 電子商務(wù)法所涉及的商務(wù)范圍5 電子商務(wù)立法框架 1 第一部分 總則第一章 一般條款 第二章 對數(shù)據(jù)電文適用法律要求 第三章 數(shù)據(jù)電文的形成與傳遞 第四章 電子支付 第五章 認證機構(gòu) 第六章 網(wǎng)絡(luò)服務(wù)商 第七章 政府作用 2 第二部分 電子商務(wù)的特定領(lǐng)域 第八章 網(wǎng)絡(luò)零售業(yè) 包括網(wǎng)絡(luò)零售業(yè)的范圍 市場準入制度 網(wǎng)絡(luò)零售規(guī)范等 第九章 網(wǎng)絡(luò)廣告業(yè) 包括網(wǎng)絡(luò)廣告的定義 活動主體 行為準則 網(wǎng)絡(luò)廣告審查等 第十章 知識產(chǎn)權(quán)貿(mào)易 包括網(wǎng)絡(luò)環(huán)境下的版權(quán) 專利 商標和技術(shù)成果交易等 第十一章 貨物運輸