电子商务安全技术实用教程 课件第10章 电子商务安全管理

第十章电子商务安全管理10.1信息安全体系与安全模型10.2电子商务风险管理与安全评估10.3电子商务法律法规10.4电子商务信用体系10.1信息安全体系与安全模型9.1.1信息安全体系1.OSI安全体系结构国际标准化组织ISO于1989年在原有网络通信协议七层模型的基础上扩充了OSI参考模型，确立了信息安全体系结构，国际标准ISO7498-2-1989《信息处理系统·开放系统互连、基本模型第2部分安全体系结构》，为开放系统标准建立框架。OSI安全体系结构包括五类安全服务以及八类安全机制。表10-1ISO7498-2的安全服务与机制安全服务安全机制对等实体鉴别访问控制数据保密数据完整性抗抵赖加密√

√√

数字签名√√

√√访问控制

√

数据完整性

√√认证交换√

业务流填充

√

路由控制

√

公证机制

√10.1.2网络安全模型1．PPDR网络安全模型PPDR是美国国际互联网安全系统公司（ISS）提出的动态网络安全体系的代表模型，也是动态安全模型的雏形。PPDR的基本思想是：在整体安全策略的控制和指导下，在综合运用防护工具（如防火墙、身份认证、加密等）的同时，利用检测工具（如漏洞评估、入侵检测等）了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。9.1.2网络安全模型2．PDRR网络安全模型PDRR是美国国防部提出的安全模型，PDRR模型与前述的PPDR模型有很多相似之处。其中Protection（防护）和Detection（检测）两个环节的基本思想是相同的，PPDR模型中的Response（响应）环节包含了紧急响应和恢复处理两部分，而在PDRR模型中Response（响应）和Recovery（恢复）是分开的，内容也有所扩展。10.1.3信息安全管理体系1.信息安全管理体系的概念信息安全管理体系ISMS（InformationSecurityManagementSystem），是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

BS7799－2是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系。图10-3PDCA模型与信息安全管理体系过程10.2电子商务风险管理与安全评估10.2.1电子商务风险管理1.风险相关概念漏洞：是攻击的可能的途径。威胁：是一个可能破坏信息系统环境安全的动作或事件。风险=威胁+漏洞2.风险评估风险评估有时候也称为风险分析，是组织使用适当的风险评估工具，对信息和信息处理设施的威胁、影响和薄弱点及其发生的可能性的评估，也就是确认安全风险及其大小的过程。风险计算：风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中，R表示风险计算函数；A,T,V分别表示资产、威胁和脆弱性；L表示安全事件发生的可能性；F表示安全事件发生后造成的损失；Ia表示资产重要程度；Va表示脆弱性的严重程度。3.风险管理的内容与过程风险管理：指以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风险大小，通过制定信息安全方针，选择适当的控制目标与控制方式使风险得到避免、转移或降至一个可被接受的水平。风险管理的过程：风险评估风险处理基于风险的决策10.2.2电子商务安全评估1．网络安全评估（1）了解网络的拓扑（2）获取公共访问机器的名字和IP地址（3）对全部可达主机做端口扫描的处理2．平台安全评估（1）认证基准配置、操作系统、网络服务没有变更（2）认证管理员的口令3．应用安全评估（1）编写质量低的应用程序（2）必须将黑客纳入平台安全评估中（3）黑客最通用的方法是安装口令探测器以获得口令进行攻击10.2.3信息安全等级标准1.美国可信计算系统评价准则TCSEC1983年由美国国防部制定的5200.28安全标准即网络安全橙皮书或桔皮书利用计算机安全级别评价计算机系统的安全性。目前比较流行的评估标准分为4个方面（类型）、7个安全等级表10-2TCSEC安全等级类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA验证设计形式化的最高级描述和验证表10-3我国计算机信息系统安全保护等级等级名

称描

述第一级用户自我保护级安全保护机制可以使用户具备安全保护的能力，保护用户信息免受非法的读写破坏。第二级系统审计保护级除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有用户对自身行为的合法性负责第三级安全标记保护级除具备前一级所有的安全保护功能外，还要求以访问对象标记的安全级别限制访问者的权限，实现对访问对象的强制访问第四级结构化保护级除具备前一级所有的安全保护功能外，还将安全保护机制划分为关键部分和非关键部分，对关键部分可直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力第五级访问验证保护级除具备前一级所有的安全保护功能外，还特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问10.3电子商务法律法规电子商务安全法律法规的主要内容电子商务涉及的法律法规问题非常广泛，如合同法、税法、知识产权法、银行法、票据法、海关法、广告法、消费者权益保护法、刑法及工商行政法规等等。10.3.1电子商务网络安全的法律法规1.计算机信息系统安全专用产品检测和销售许可2.国际互联网出入信道的管理制度3.市场准入制度4.计算机病毒防治管理办法5.网络经营者的责任10.3.2电子商务信息安全的法律法规目前我国出台的电子商务信息安全的相关法律规范有以下方面：（1）计算机信息系统安全保护；（2）计算机信息网络国际联网的安全保护；（3）计算机信息网络国际联网保密管理制度；（4）电子公告服务的信息安全；（5）新闻业务的信息管理。10.3.3电子商务交易安全的法律法规（1）电子商务信息服务的授权管理制度（2）电子商务安全交易的投诉处理机制（3）电子商务交易安全的法律规范10.3.4我国电子商务法《中华人民共和国电子商务法》是政府调整企业和个人以数据电文为交易手段，通过信息网络所产生的，因交易形式所引起的各种商事交易关系，以及与这种商事交易关系密切相关的社会关系、政府管理关系的法律规范的总称。2013年12月27日，全国人民代表大会常务委员会正式启动了《中华人民共和国电子商务法》的立法进程。2018年8月31日，第十三届全国人民代表大会常务委员会第五次会议表决通过《中华人民共和国电子商务法》，自2019年1月1日起施行。《中华人民共和国电子商务法》对电子商务经营者、电子商务合同的订立与履行、电子商务争议解决、电子商务促进和法律责任这5个方面做了规定。明确规定了电子商务各方主体的合法权益，规范了电子商务行为，为网购消费者撑起了法律的“保护伞”，是电子商务领域的一部基础性法律。电子商务法的10个特点：1．将微商、代购、网络直播纳入范畴2．电子商务平台不得删除消费者评价3．制约大数据杀熟4．禁止“默认勾选”，应显著提示搭售5．押金退还不得设置不合理条件6．规范电子商务合同的订立与履行中的难点问题7．平台不能强制商家“二选一”8．平台经营者自营应显著标记9．强化经营者举证责任10．平台经营者未尽义务应依法担责10.4电子商务信用管理10.4.1社会信用体系1.社会信用体系的概念社会信用体系也称国家信用管理体系或国家信用体系社会信用体系的建立和完善是社会市场经济不断走向成熟的重要标志之一社会信用体系是以相对完善的法律、法规体系为基础，以建立和完善信用信息共享机制为核心，以信用服务市场的培育和形成为动力，以信用服务行业主体竞争力的不断提高为支撑，以政府强有力的监管体系作保障的国家社会治理机制图10-4社会信用体系组成2.社会信用体系的结构从纵向延伸的角度①信用管理行业②信用法律体系从横向分割的角度①公共信用体系②企业信用体系③个人信用体系10.4.2电子商务信用体系的建设1.电子商务信用体系的概念电子商务信用体系是指在电子商务活动过程中，用于收集、整理、查证参与电子商务活动相关成员的信用状况，以及由国家、地方或行业管理部门建立的监督、管理与保障有关成员信用活动规范发展的一系列机制与行为规范的总和。电子商务信用体系具有全球性、网络性、动态性的特点。2.电子商务信用体系的内容（1）电子商务的基本规则和法律规范（2）信用交易的工具和手段（3）信用中介服务机构（4）电子商务信用统计监测体系（5）电子商务经营主体内部信用管理制度10.4.2电子商务信用体系的建设3.我国电子商务信用体系模式（1）中介人模式（2）担保人模式（3）委托授权经营模式（4）网站经营模式4.淘宝的信用评价图10-9C2C电子商务信用评价模型4.淘宝的信用评价图10-10淘宝网商用评价体系4.淘宝的信用评价淘宝会员在淘宝网中每使用支付宝成功交易一次，就可以对交易对象做一次信用评价。各项指标打分分值为：1分（非常不满意），2分（不满意），3分（一般），4分（满意），5分（非常满意）。评价分为好评、中评、差评3类，每种评价对应一个信用积分，具体为：好评加1分，中评不加分，差评扣1分。在交易中作为卖家的角色，其信用度分为15个级别，其评分越高，等级就越高。近几年建立了芝麻信用、掌柜