电子商务安全管理课件

第七章电子商务安全管理第七章电子商务安全管理理解计算机安全等级保护制度的基本内容；理解电子商务安全管理体系的内容；掌握安全策略的原则、目的、内容、实施方案的制定以及层次的划分；掌握安全管理的行政原则、数据管理等内容；了解电子商务安全的信用管理；了解信用管理的内容以及管理模式。知识目标理解计算机安全等级保护制度的基本内容；知识目标能够为某一台计算机系统评判安全等级；掌握电子商务安全策略的实施方法。技能目标能够为某一台计算机系统评判安全等级；技能目标第一节计算机安全等级保护制度一、信息安全等级1.信息保密安全等级第一节计算机安全等级保护制度一、信息安全等级1.信息第一节计算机安全等级保护制度2.人员安全等级在计算机信息系统的实际操作使用过程中，人员安全等级主要根据该人员作为用户时授予他的安全等级来划分（如访问能力的安全等级、资源共享范围安全等级等），并借助访问的鉴别、控制机制等安全技术，绝对可靠地控制在预告确定的安全范围之内。第一节计算机安全等级保护制度2.人员安全等级第一节计算机安全等级保护制度二、计算机信息系统的安全等级第一节计算机安全等级保护制度二、计算机信息系统的安全等第一节计算机安全等级保护制度三、计算机安全等级第一节计算机安全等级保护制度三、计算机安全等级第一节计算机安全等级保护制度四、物理环境安全等级1.计算机机房安全等级规范要求《计算站场地安全要求》中将计算机机房分为3种基本安全类别：B类：对计算机机房的安全有较严格的要求，有完善的计算机机房安全措施；C类：对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。A类：对计算机机房的安全有严格的要求，有完善的计算机机房安全措施；第一节计算机安全等级保护制度四、物理环境安全等级1.第一节计算机安全等级保护制度2.计算机机房供电要求第一节计算机安全等级保护制度2.计算机机房供电要求第一节计算机安全等级保护制度3.计算机机房温湿度要求第一节计算机安全等级保护制度3.计算机机房温湿度要求第一节计算机安全等级保护制度4.接地要求第一节计算机安全等级保护制度4.接地要求第一节计算机安全等级保护制度五、计算机信息网络国际联网安全保护管理《计算机信息网络国际联网安全保护管理办法》（以下简称《办法》）的颁布实施，适应了我国信息化建设的客观实际，使我国以信息流安全保护为中心内容的信息网络国际互连的安全保护管理，纳入了法制化和规范化的轨道。第一节计算机安全等级保护制度五、计算机信息网络国际联网第一节计算机安全等级保护制度1.制定《办法》的基本指导思想体现严格管理的原则体现与国家现行法律体系一致性的原则体现保障安全的原则体现促进发展的原则第一节计算机安全等级保护制度1.制定《办法》的基本指导第一节计算机安全等级保护制度2.《办法》的适用范围和调整对象凡是在中华人民共和国境内的任何单位和个人的计算机信息网络国际联网的安全保护管理，均适用本《办法》。第一节计算机安全等级保护制度2.《办法》的适用范围和调第一节计算机安全等级保护制度3.《办法》禁止的活动和内容（1）从事国际联网业务的单位和个人，不得从事的危害计算机信息网络安全的活动有：①未经允许进入计算机信息网络或越权使用计算机信息网络资源。②未经允许对计算机信息网络功能进行删除、修改和增加。③未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改和增加。④故意制作、传播计算机病毒等破坏性程序。⑤其他危害计算机信息网络安全的活动。⑥从事国际联网业务的单位和个人，不得以任何理由侵犯用户的通信自由和通信秘密。第一节计算机安全等级保护制度3.《办法》禁止的活动和内第一节计算机安全等级保护制度（2）从事国际联网业务的单位和个人，不得制作、复制、查阅和传播下列信息：①煽动抗拒、破坏宪法和国家法律、行政法规实施的。②煽动颠覆国家政权、推翻社会主义制度的。③煽动分裂国家、破坏国家统一的。④煽动民族仇恨、民族歧视，破坏民族团结的。⑤捏造或者歪曲事实，故意散布谣言，扰乱社会秩序的。⑥宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的。⑦公然侮辱他人或者捏造事实诽谤他人的。⑧损害各级政府机构的公众信誉的。⑨其他违反宪法、国家法律和行政法规的。第一节计算机安全等级保护制度（2）从事国际联网业务的单第一节计算机安全等级保护制度4.安全责任计算机信息网络国际联网安全保护管理是社会公共安全的重要组成部分，应该贯彻“谁主管，谁负责”的原则。从事国际联网业务的单位，实际上是处于维护网络安全和信息流安全的第一线，以及事实上的信息国门，肩负着安全重任。第一节计算机安全等级保护制度4.安全责任第一节计算机安全等级保护制度5.公安机关计算机管理监察机构的职责《办法》明确规定了公安机关计算机管理监察机构负责对计算机信息网络国际联网安全管理工作的监督、检查工作。公安机关各级计算机管理监察机构分别负责国际联网的安全管理工作。第一节计算机安全等级保护制度5.公安机关计算机管理监察第二节电子商务安全管理体系（一）制定安全策略的目的与原则为了达到这样的目的，制定安全策略应遵循以下几条原则。一、安全策略一致性整体性易操作性层次性均衡性12345第二节电子商务安全管理体系（一）制定安全策略的目的与原第二节电子商务安全管理体系（二）制定安全策略的内容确定内部信息对外开放的种类及发布和访问方式对网络系统资源进行评估对可能存在的风险进行分析确定针对潜在风险采取的安全保护措施明确网络系统管理人员的责任和义务进行安全需求分析第二节电子商务安全管理体系（二）制定安全策略的内容确定第二节电子商务安全管理体系（三）制定安全策略的实施方案实施方案的主要内容选择安全技术第二节电子商务安全管理体系（三）制定安全策略的实施方案第二节电子商务安全管理体系（四）安全策略的层次根据TCP/IP的层次结构，网络安全的层次可分为网际层和应用层。网际层应用层第二节电子商务安全管理体系（四）安全策略的层次网际层应第二节电子商务安全管理体系（一）安全管理的行政原则二、安全管理系统管理岗位任期有限原则职责有限、分离原则多人负责原则第二节电子商务安全管理体系（一）安全管理的行政原则二、第二节电子商务安全管理体系（二）数据管理数据分类数据的安全管理第二节电子商务安全管理体系（二）数据管理数据分类数据的第三节电子商务安全的信用管理（一）信息不对称和信用管理一、信用管理概述信息不对称信息不对称与信用管理的关系第三节电子商务安全的信用管理（一）信息不对称和信用管理第三节电子商务安全的信用管理（二）信用管理体系的构成信用动态跟踪及反馈系统信用保障系统信用评价及查询系统交易主体基本信用信息采集系统第三节电子商务安全的信用管理（二）信用管理体系的构成信1.中介模式二、电子商务信用管理模式第三节电子商务安全的信用管理1.中介模式二、电子商务信用管理模式第三节电子商务安2.担保人模式第三节电子商务安全的信用管理2.担保人模式第三节电子商务安全的信用管理3.网站经营模式第三节电子商务安全的信用管理3.网站经营模式第三节电子商务安全的信用管理4.委托授权模式第三节电子商务安全的信用管理4.委托授权模式第三节电子商务安全的信用管理信用管理体系建设的主要措施如下。三、信用管理体系建设第三节电子商务安全的信用管理内部作业管理信息发布管理电子交易管理清算程序管理服务管理经营许可管理信用管理体系建设的主要措施如下。三、信用管理体系建设第三节本章小结本章首先介绍了计算机安全等级保护制度的相关规范，包括信息安全等级、计算机信息系统安全等级、计算机安全等级、物理环境安全等级、计算机信息网络国际联网安全保护管理。在具体应用过程中，建立起的安全管理体系要遵循均衡性、整体性、一致性、易操作性、层次性；在此原则基础上，制定安全策略的内容、实施方案，并最终确定安全策略的层次。电子商务安全的信用管理同样重要，信用管理体系包含交易主体基本信用信息采集系统、信用评价及查询系统、信用动态跟踪及反馈系统、信用保障系统。电子商务信用管理模式包括中介模式、担保人模式、网站经营模式、委托授权模式。本章小结本章首先介绍了计算机安全等级保护制度的相关规范，包括综合训练1.简述电子商务安全管理的方法。2.计算机安全等级保护制度的基本内容是什么？3.电子商务安全管理体系的内容是什么？4.列举一个在日常生活中所接触到的关于电子商务安全的例子。综合训练综合训练1.简述电子商务安全管理的方法。综合训练实训设计进一步了解电子商务安全的现状以及安全管理的现状，培养改善现有管理现状的能力。实训目标熟悉电子商务安全管理实训设计进一步了解电子商务安全的现状以及安全管理的现状，培养实训设计（1）结合文中介绍的计算机安全等级，检查自己计算机的安全等级水平，并试着提高自己计算机的安全等级水平。（2）上网查找有关电子商务安全管理的相关案例，针对案例所述情况，分析出现安全问题的原因，并积极思考改善安全管理现状的方法。实训内容实训设计（1）结合文中介绍的计算机安全等级，检查自己计算机第7章电子商务安全管理课件第七章电子商务安全管理第七章电子商务安全管理理解计算机安全等级保护制度的基本内容；理解电子商务安全管理体系的内容；掌握安全策略的原则、目的、内容、实施方案的制定以及层次的划分；掌握安全管理的行政原则、数据管理等内容；了解电子商务安全的信用管理；了解信用管理的内容以及管理模式。知识目标理解计算机安全等级保护制度的基本内容；知识目标能够为某一台计算机系统评判安全等级；掌握电子商务安全策略的实施方法。技能目标能够为某一台计算机系统评判安全等级；技能目标第一节计算机安全等级保护制度一、信息安全等级1.信息保密安全等级第一节计算机安全等级保护制度一、信息安全等级1.信息第一节计算机安全等级保护制度2.人员安全等级在计算机信息系统的实际操作使用过程中，人员安全等级主要根据该人员作为用户时授予他的安全等级来划分（如访问能力的安全等级、资源共享范围安全等级等），并借助访问的鉴别、控制机制等安全技术，绝对可靠地控制在预告确定的安全范围之内。第一节计算机安全等级保护制度2.人员安全等级第一节计算机安全等级保护制度二、计算机信息系统的安全等级第一节计算机安全等级保护制度二、计算机信息系统的安全等第一节计算机安全等级保护制度三、计算机安全等级第一节计算机安全等级保护制度三、计算机安全等级第一节计算机安全等级保护制度四、物理环境安全等级1.计算机机房安全等级规范要求《计算站场地安全要求》中将计算机机房分为3种基本安全类别：B类：对计算机机房的安全有较严格的要求，有完善的计算机机房安全措施；C类：对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。A类：对计算机机房的安全有严格的要求，有完善的计算机机房安全措施；第一节计算机安全等级保护制度四、物理环境安全等级1.第一节计算机安全等级保护制度2.计算机机房供电要求第一节计算机安全等级保护制度2.计算机机房供电要求第一节计算机安全等级保护制度3.计算机机房温湿度要求第一节计算机安全等级保护制度3.计算机机房温湿度要求第一节计算机安全等级保护制度4.接地要求第一节计算机安全等级保护制度4.接地要求第一节计算机安全等级保护制度五、计算机信息网络国际联网安全保护管理《计算机信息网络国际联网安全保护管理办法》（以下简称《办法》）的颁布实施，适应了我国信息化建设的客观实际，使我国以信息流安全保护为中心内容的信息网络国际互连的安全保护管理，纳入了法制化和规范化的轨道。第一节计算机安全等级保护制度五、计算机信息网络国际联网第一节计算机安全等级保护制度1.制定《办法》的基本指导思想体现严格管理的原则体现与国家现行法律体系一致性的原则体现保障安全的原则体现促进发展的原则第一节计算机安全等级保护制度1.制定《办法》的基本指导第一节计算机安全等级保护制度2.《办法》的适用范围和调整对象凡是在中华人民共和国境内的任何单位和个人的计算机信息网络国际联网的安全保护管理，均适用本《办法》。第一节计算机安全等级保护制度2.《办法》的适用范围和调第一节计算机安全等级保护制度3.《办法》禁止的活动和内容（1）从事国际联网业务的单位和个人，不得从事的危害计算机信息网络安全的活动有：①未经允许进入计算机信息网络或越权使用计算机信息网络资源。②未经允许对计算机信息网络功能进行删除、修改和增加。③未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改和增加。④故意制作、传播计算机病毒等破坏性程序。⑤其他危害计算机信息网络安全的活动。⑥从事国际联网业务的单位和个人，不得以任何理由侵犯用户的通信自由和通信秘密。第一节计算机安全等级保护制度3.《办法》禁止的活动和内第一节计算机安全等级保护制度（2）从事国际联网业务的单位和个人，不得制作、复制、查阅和传播下列信息：①煽动抗拒、破坏宪法和国家法律、行政法规实施的。②煽动颠覆国家政权、推翻社会主义制度的。③煽动分裂国家、破坏国家统一的。④煽动民族仇恨、民族歧视，破坏民族团结的。⑤捏造或者歪曲事实，故意散布谣言，扰乱社会秩序的。⑥宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的。⑦公然侮辱他人或者捏造事实诽谤他人的。⑧损害各级政府机构的公众信誉的。⑨其他违反宪法、国家法律和行政法规的。第一节计算机安全等级保护制度（2）从事国际联网业务的单第一节计算机安全等级保护制度4.安全责任计算机信息网络国际联网安全保护管理是社会公共安全的重要组成部分，应该贯彻“谁主管，谁负责”的原则。从事国际联网业务的单位，实际上是处于维护网络安全和信息流安全的第一线，以及事实上的信息国门，肩负着安全重任。第一节计算机安全等级保护制度4.安全责任第一节计算机安全等级保护制度5.公安机关计算机管理监察机构的职责《办法》明确规定了公安机关计算机管理监察机构负责对计算机信息网络国际联网安全管理工作的监督、检查工作。公安机关各级计算机管理监察机构分别负责国际联网的安全管理工作。第一节计算机安全等级保护制度5.公安机关计算机管理监察第二节电子商务安全管理体系（一）制定安全策略的目的与原则为了达到这样的目的，制定安全策略应遵循以下几条原则。一、安全策略一致性整体性易操作性层次性均衡性12345第二节电子商务安全管理体系（一）制定安全策略的目的与原第二节电子商务安全管理体系（二）制定安全策略的内容确定内部信息对外开放的种类及发布和访问方式对网络系统资源进行评估对可能存在的风险进行分析确定针对潜在风险采取的安全保护措施明确网络系统管理人员的责任和义务进行安全需求分析第二节电子商务安全管理体系（二）制定安全策略的内容确定第二节电子商务安全管理体系（三）制定安全策略的实施方案实施方案的主要内容选择安全技术第二节电子商务安全管理体系（三）制定安全策略的实施方案第二节电子商务安全管理体系（四）安全策略的层次根据TCP/IP的层次结构，网络安全的层次可分为网际层和应用层。网际层应用层第二节电子商务安全管理体系（四）安全策略的层次网际层应第二节电子商务安全管理体系（一）安全管理的行政原则二、安全管理系统管理岗位任期有限原则职责有限、分离原则多人负责原则第二节电子商务安全管理体系（一）安全管理的行政原则二、第二节电子商务安全管理体系（二）数据管理数据分类数据的安全管理第二节电子商务安全管理体系（二）数据管理数据分类数据的第三节电子商务安全的信用管理（一）信息不对称和信用管理一、信用管理概述信息不对称信息不对称与信用管理的关系第三节电子商务安全的信用管理（一）信息不对称和信用管理第三节电子商务安全的信用管理（二）信用管理体系的构成信用动态跟踪及反馈系统信用保障系统信用评价及查询系统交易主体基本信用信息采集系统第三节电子商务安全的信用管理（二）信用管理体系的构成信1.中介模式二、电子商务信用管理模式第三节电子商务安全的信用管理1.中介模式二、电子商务信用管理模式第三节电子商务安2.担保人模式第三节电子商务安全的信用管理2.担保人模式第三节电子商务安全的信用管理3.网站经营模式第三节电子商务安全的信用管理3.网站经营模式第三节电子商务安全的信用管理4.委托授权模式第三节电子商务安全的信用管理4.委