电子商务安全和管理
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
» 在标准的市场适应性方面,约一半以上的标准处于几乎未被 使用的状态,尤其是报文标准
» 原因:标准制定计划未完全受需求的驱动,标准的用户未成 为标准制定的主体
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.1 电子商务标准管理
– 4.1.2 电子商务标准的研究现状与发展趋势
•Biblioteka Baidu标准制定原则与标准体系
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.1 电子商务标准管理
– 4.1.2 电子商务标准的研究现状与发展趋势
• 国际上电子商务标准研究现状
– 电子商务安全标准 » 2019年,ISO/ITC成立电子商务业务工作组(BT-EC), 确立电子商务标准的重点:用户接口、基本功能、数 据及客体 » 2019年,ISO、ITC和联合国经济委员会(UN/ECE) 签署“理解备忘录”,以扩充参与标准制定的部分 » 2019年,制定互联网商务标准,规范网上商店等
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.2 计算机信息系统的管理
– 实体安全 – 运行安全 – 信息安全 – 人员安全
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.3 网络服务和网络用户的管理
• 网络服务业
– 指以经营提供网络上相关应用服务的事业,如接入服务、域名服 务、网络信息服务、广告服务、商业联机服务等
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.1 电子商务标准管理
– 4.1.2 电子商务标准的研究现状与发展趋势
• 我国电子商务标准研究现状
– 总体上相对薄弱 – 问题
» 在标准体制方面,尚未建立起基于XML的电子商务标准体 制,与国际主流体制和我国电子商务的发展需求不相适应
» 在标准内容方面,业务流程和在线支付标准几乎空白,部分 标准内容交叉、重复
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.5 电子认证服务机构的管理
– 4.5.3 电子认证服务机构发展中存在的问题
• 认证机构建设呈现无需状态 • 互联互通水平低 • 认证机构绝大多数处于亏损状态
– 过程繁琐 – 数字证书的用户信息审查、用户认证缺乏标准 – 数字证书的格式不统一,通用性差,证书发放机构太多(100多家),电子认证系
统不统一,CFCA中国金融认证中心影响有限
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.1 电子商务标准管理
– 4.1.1 电子商务标准的作用
• 标准是电子商务整体框架的重要组成部分 • 电子商务相关标准为实现电子商务提供了统一平台 • 电子商务标准是电子商务的基本安全屏障 • 电子商务标准关系到国家的经济安全和经济利益
第四章 电子商务安全的管理保障
• 4.5 电子认证服务机构的管理
– 4.5.2 电子认证业务规则规范
• 电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描 述。电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等 内容,主要由以下几部分组成:
– 概括性描述 – 信息发布与信息管理 – 身份标识与鉴别 – 证书生命周期操作要求 – 认证机构设施、管理和操作控制 – 认证系统技术安全控制 – 证书、证书吊销列表和在线证书状态协议 – 认证机构审计和其他评估 – 法律责任和其他业务条款
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.1 电子商务标准管理
– 4.1.2 电子商务标准的研究现状与发展趋势
• 国际上电子商务标准研究现状
– 信息安全标准 » 20世纪70年代开始安全标准的制定,如1977年联邦信 息处理标准(FIPS,检测密码产品)、1985年 TCSEC(桔皮书,检测计算机安全产品,将安全分为4 个方面7个等级)、1989年ISO7498-2(信息处理系统开 放互连基本参考模型) 、1991年信息技术安全评价准 则(ITSEC,提出信息安全的保密性、完整性、可用性, 定义7个安全等级,10种安全功能)、1993年信息技术 安全性评价联邦准则(FC)等
• 4.5 电子认证服务机构的管理
– 4.5.1 电子认证服务提供者(续)
• 电子认证服务机构具备条件:
– 具有独立的企业法人资格; – 从事电子认证服务的专业技术人员、运营管理人员、安全管理人
员和客户服务人员不少于三十名; – 注册资金不低于人民币三千万元; – 具有固定的经营场所和满足电子认证服务要求的物理环境; – 具有符合国家有关安全标准的技术和设备; – 具有国家密码管理机构同意使用密码的证明文件; – 法律、行政法规规定的其他条件。
– 原则 » 全面性、系统性、先进性、预见性、可扩充性
– 标准体系 P67 » 基础标准:计算机基础标准、基础通信标准、网络标准、其 他 » 安全标准:加密标准、认证标准、安全通信协议、其他 » 交易标准:电子合同标准、电子支付标准、智能卡标准、其 他 » 服务标准:资质标准、服务质量标准、物流标准 » EDI标准:单证标准、报文标准、其他 » 其他标准
– 网上银行
• 功能:资金划转、在线支付、缴纳水电气费、购买基金等 家庭理财 • 基本使用方式:卡号+密码登陆 • 安全问题:病毒、木马、黑客、假网站诈骗,窃取客户资金(如:“网银大
盗”病毒) • 安全改进技术措施:防火墙机制、数据网络传输加密、USBKey移动数字证书
(使用时需输入usbkey密码)、帐号(别名)、登陆密码、支付密码(动态密 码、个性化密码输入)、图形校验码 • 问题:
– 网络服务公司可以提供消费者申请、取得网络域名的服务。当消 费者的域名受到侵害时,网络服务公司可以协助消费者开展反抢 注、反侵权的斗争。此外,有的网络服务公司自己先申请取得域 名权,然后再出租给消费者使用。
• 网络服务管理规范
– 接入服务管理规范 – 域名服务管理规范 – 网络信息服务管理规范
电子商务安全与管理
• 信息产业部《电子认证业务规则规范》
电子认证业务规则规范(试行)
电子认证业务规则规范说明 为了规范电子认证业务规则的基本框架、主要内容和编写格式,根据目前电子认证系统大 多采用基于非对称密钥的PKI技术的现状,参考国家标准化部门正在制定的相关标准,信息产业部电子认证服务管理办公 室编制了电子认证业务规则规范(试行)。电子认证服务机构应参照本规范,结合电子认证业务的具体情况,编制电子认 证业务规则。 信息产业部电子认证服务管理办公室 .
第四章 电子商务安全的管理保障
• 4.5 电子认证服务机构的管理
– 4.5.1 电子认证服务提供者
• 电子认证服务:是指为电子签名相关各方提供真实 性、可靠性验证的公众服务活动。
• 电子认证服务提供者:是指为电子签名人和电子签 名依赖方提供电子认证服务的第三方机构
电子商务安全与管理
第四章 电子商务安全的管理保障
• 信息产业部《电子认证服务管理办法》
《电子认证服务管理办法》 ( 2019-02-21 )
中华人民共和国信息产业部令 (第35号) 《电子认证服务管理办法》已经2019年1月28日中华人民共和国信息产业部第十二次部务会议审议通过, 现予发布,自2019年4月1日起施行。部 长:王旭东 .
电子商务安全与管理
电 子 商 务 安 全 和 管 理
电子商务安全与管理
第四章 电子商务安全的管理保障
• 内容提要
– 安全管理内容(主要指企业/认证机构)
• 交易人员管理、交易过程管理、交易系统管理、交 易信息管理
– 重点
• 标准的管理、计算机信息系统的管理、网络服务与 网络用户的管理、网络广告的管理、认证机构的管 理
电子商务安全与管理
第四章 电子商务安全的管理保障
• 案例导读:数字证书为什么普及速度不快?
• 2019年6月17日,万事达卡国际组织公开宣布,储存有大约4000万美国信用卡 客户信息的电脑系统 遭到一名黑客入侵,遭入侵的数据库中的信息包括信用 卡持有人姓名、银行账号、信用卡号、口令以及有效日期等,这些信息都能 够被用来盗用资金。
第四章 电子商务安全的管理保障
• 4.4 网络广告的管理
• 网络广告 • 网络广告组织的管理
– 网站广告经营主体资格的管制 – 网上专用标识制度 – 特殊广告发布前的审查管制 – 网络广告的第三方评估与监测 – 强化行业自律
• 网络广告内容的管理
– 真实性 – 合法性 – 科学性
电子商务安全与管理
» 原因:标准制定计划未完全受需求的驱动,标准的用户未成 为标准制定的主体
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.1 电子商务标准管理
– 4.1.2 电子商务标准的研究现状与发展趋势
•Biblioteka Baidu标准制定原则与标准体系
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.1 电子商务标准管理
– 4.1.2 电子商务标准的研究现状与发展趋势
• 国际上电子商务标准研究现状
– 电子商务安全标准 » 2019年,ISO/ITC成立电子商务业务工作组(BT-EC), 确立电子商务标准的重点:用户接口、基本功能、数 据及客体 » 2019年,ISO、ITC和联合国经济委员会(UN/ECE) 签署“理解备忘录”,以扩充参与标准制定的部分 » 2019年,制定互联网商务标准,规范网上商店等
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.2 计算机信息系统的管理
– 实体安全 – 运行安全 – 信息安全 – 人员安全
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.3 网络服务和网络用户的管理
• 网络服务业
– 指以经营提供网络上相关应用服务的事业,如接入服务、域名服 务、网络信息服务、广告服务、商业联机服务等
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.1 电子商务标准管理
– 4.1.2 电子商务标准的研究现状与发展趋势
• 我国电子商务标准研究现状
– 总体上相对薄弱 – 问题
» 在标准体制方面,尚未建立起基于XML的电子商务标准体 制,与国际主流体制和我国电子商务的发展需求不相适应
» 在标准内容方面,业务流程和在线支付标准几乎空白,部分 标准内容交叉、重复
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.5 电子认证服务机构的管理
– 4.5.3 电子认证服务机构发展中存在的问题
• 认证机构建设呈现无需状态 • 互联互通水平低 • 认证机构绝大多数处于亏损状态
– 过程繁琐 – 数字证书的用户信息审查、用户认证缺乏标准 – 数字证书的格式不统一,通用性差,证书发放机构太多(100多家),电子认证系
统不统一,CFCA中国金融认证中心影响有限
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.1 电子商务标准管理
– 4.1.1 电子商务标准的作用
• 标准是电子商务整体框架的重要组成部分 • 电子商务相关标准为实现电子商务提供了统一平台 • 电子商务标准是电子商务的基本安全屏障 • 电子商务标准关系到国家的经济安全和经济利益
第四章 电子商务安全的管理保障
• 4.5 电子认证服务机构的管理
– 4.5.2 电子认证业务规则规范
• 电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描 述。电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等 内容,主要由以下几部分组成:
– 概括性描述 – 信息发布与信息管理 – 身份标识与鉴别 – 证书生命周期操作要求 – 认证机构设施、管理和操作控制 – 认证系统技术安全控制 – 证书、证书吊销列表和在线证书状态协议 – 认证机构审计和其他评估 – 法律责任和其他业务条款
电子商务安全与管理
第四章 电子商务安全的管理保障
• 4.1 电子商务标准管理
– 4.1.2 电子商务标准的研究现状与发展趋势
• 国际上电子商务标准研究现状
– 信息安全标准 » 20世纪70年代开始安全标准的制定,如1977年联邦信 息处理标准(FIPS,检测密码产品)、1985年 TCSEC(桔皮书,检测计算机安全产品,将安全分为4 个方面7个等级)、1989年ISO7498-2(信息处理系统开 放互连基本参考模型) 、1991年信息技术安全评价准 则(ITSEC,提出信息安全的保密性、完整性、可用性, 定义7个安全等级,10种安全功能)、1993年信息技术 安全性评价联邦准则(FC)等
• 4.5 电子认证服务机构的管理
– 4.5.1 电子认证服务提供者(续)
• 电子认证服务机构具备条件:
– 具有独立的企业法人资格; – 从事电子认证服务的专业技术人员、运营管理人员、安全管理人
员和客户服务人员不少于三十名; – 注册资金不低于人民币三千万元; – 具有固定的经营场所和满足电子认证服务要求的物理环境; – 具有符合国家有关安全标准的技术和设备; – 具有国家密码管理机构同意使用密码的证明文件; – 法律、行政法规规定的其他条件。
– 原则 » 全面性、系统性、先进性、预见性、可扩充性
– 标准体系 P67 » 基础标准:计算机基础标准、基础通信标准、网络标准、其 他 » 安全标准:加密标准、认证标准、安全通信协议、其他 » 交易标准:电子合同标准、电子支付标准、智能卡标准、其 他 » 服务标准:资质标准、服务质量标准、物流标准 » EDI标准:单证标准、报文标准、其他 » 其他标准
– 网上银行
• 功能:资金划转、在线支付、缴纳水电气费、购买基金等 家庭理财 • 基本使用方式:卡号+密码登陆 • 安全问题:病毒、木马、黑客、假网站诈骗,窃取客户资金(如:“网银大
盗”病毒) • 安全改进技术措施:防火墙机制、数据网络传输加密、USBKey移动数字证书
(使用时需输入usbkey密码)、帐号(别名)、登陆密码、支付密码(动态密 码、个性化密码输入)、图形校验码 • 问题:
– 网络服务公司可以提供消费者申请、取得网络域名的服务。当消 费者的域名受到侵害时,网络服务公司可以协助消费者开展反抢 注、反侵权的斗争。此外,有的网络服务公司自己先申请取得域 名权,然后再出租给消费者使用。
• 网络服务管理规范
– 接入服务管理规范 – 域名服务管理规范 – 网络信息服务管理规范
电子商务安全与管理
• 信息产业部《电子认证业务规则规范》
电子认证业务规则规范(试行)
电子认证业务规则规范说明 为了规范电子认证业务规则的基本框架、主要内容和编写格式,根据目前电子认证系统大 多采用基于非对称密钥的PKI技术的现状,参考国家标准化部门正在制定的相关标准,信息产业部电子认证服务管理办公 室编制了电子认证业务规则规范(试行)。电子认证服务机构应参照本规范,结合电子认证业务的具体情况,编制电子认 证业务规则。 信息产业部电子认证服务管理办公室 .
第四章 电子商务安全的管理保障
• 4.5 电子认证服务机构的管理
– 4.5.1 电子认证服务提供者
• 电子认证服务:是指为电子签名相关各方提供真实 性、可靠性验证的公众服务活动。
• 电子认证服务提供者:是指为电子签名人和电子签 名依赖方提供电子认证服务的第三方机构
电子商务安全与管理
第四章 电子商务安全的管理保障
• 信息产业部《电子认证服务管理办法》
《电子认证服务管理办法》 ( 2019-02-21 )
中华人民共和国信息产业部令 (第35号) 《电子认证服务管理办法》已经2019年1月28日中华人民共和国信息产业部第十二次部务会议审议通过, 现予发布,自2019年4月1日起施行。部 长:王旭东 .
电子商务安全与管理
电 子 商 务 安 全 和 管 理
电子商务安全与管理
第四章 电子商务安全的管理保障
• 内容提要
– 安全管理内容(主要指企业/认证机构)
• 交易人员管理、交易过程管理、交易系统管理、交 易信息管理
– 重点
• 标准的管理、计算机信息系统的管理、网络服务与 网络用户的管理、网络广告的管理、认证机构的管 理
电子商务安全与管理
第四章 电子商务安全的管理保障
• 案例导读:数字证书为什么普及速度不快?
• 2019年6月17日,万事达卡国际组织公开宣布,储存有大约4000万美国信用卡 客户信息的电脑系统 遭到一名黑客入侵,遭入侵的数据库中的信息包括信用 卡持有人姓名、银行账号、信用卡号、口令以及有效日期等,这些信息都能 够被用来盗用资金。
第四章 电子商务安全的管理保障
• 4.4 网络广告的管理
• 网络广告 • 网络广告组织的管理
– 网站广告经营主体资格的管制 – 网上专用标识制度 – 特殊广告发布前的审查管制 – 网络广告的第三方评估与监测 – 强化行业自律
• 网络广告内容的管理
– 真实性 – 合法性 – 科学性
电子商务安全与管理