第十二章 网络交易安全管理

Page 2

12. 网络交易安全管理

12.1 网络交易风险和安全管理的基本思路

12.2 客户认证技术

12.3 防止黑客入侵

12.4 网络交易系统的安全管理制度

12.5 电子商务交易安全的法律保障

Page 3

12.1 网络交易风险和安全管理的基本思路

网络交易风险和安全管理的基本思路

12.1.1 网络交易风险的现状

12.1.2 网络交易风险源分析

12.1.3 网络交易安全管理的基本思路

Page 4

12.1.1 网络交易风险的现状

黑客入侵网站事件时有发生

“ 网络钓鱼”诈骗频繁出现

个人信息泄露事件多次发生

伴随着电子商务交易量的不断增加，电子商务安全问题出现的几率也越来越高。

1

2

3

12.1.1 网络交易风险的现状

图 12-1 假银联网站主页

12.1.2 网络交易风险源分析

Page 6

1. 在线交易主体的市场准入问题

2. 信息风险

3. 信用风险

4. 网上欺诈犯罪

5. 电子合同问题

6. 电子支付问题

7. 在线消费者保护问题

8. 产品交付问题

12.1.2 网络交易风险源分析1. 在线交易主体的市场准入问题

在现行法律体制下，任何长期固定从事营利性事业的主体都必须进行工商登记。在电子商务环境下，虚拟主体的存在使电子商务交易安全受到严重威胁。电子商务交易安全首先要解决的问题就是确保网上交易主体的真实存在，且确定哪些主体可以进入虚拟市场从事在线业务。

2010 年 7 月 1 日实施的《网络商品交易及有关服务行为管理暂行办法》 明确要求：通过网络从事商品交易及有关服务行为的自然人应当向提供网络交易平台服务的经营者提出申请，提交其姓名和地址等真实身份信息，并将核发证明个人身份信息真实合法的标记加载在其从事商品交易或者服务活动的网页上 , 但是该条款执行起来有很大难度。 Page 7

12.1.2 网络交易风险源分析2. 信息风险

从买卖双方自身的角度观察，网络交易中的信息风险来源于用户以合法身份进入系统后，买卖双方都可能在网络上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。

3. 信用风险

Page 8

信用风险

来自买方的信用风险

来自卖方的信用风险

买卖双方都存在抵赖的情况

12.1.2 网络交易风险源分析4. 网上欺诈犯罪

骗子在电子交易活动中频繁欺诈用户，利用电子商务进行欺诈已经成为一种新型犯罪活动。常见的欺诈犯罪有：网络钓鱼、网络信用卡诈骗、网上非法经营、网络非法吸收公众存款等。

5 ．电子合同问题

在传统商业模式下，一般都要签订书面合同，以便在对方失信不履约时作为证据，追究对方的责任。而在在线交易情形下，所有当事人的意思表示均以电子化的形式存储于计算机硬盘或其他电子介质中。但这些记录都因没有应用电子签名而不能得到法律的保护。电子商务急需解决解决基于电子签名的电子合同的应用问题，包括电子合同的形式、合同的收讫、合同的证据等。

Page 9

12.1.2 网络交易风险源分析6 ．电子支付问题

需要制定相应的法律，明确电子支付的当事人 (包括付款人、收款人和银行 )之间的法律关系，制定相关的电子支付制度，认可电子签字的合法性。同时还应出台针对电子支付数据的伪造、变造、更改、涂销等问题的处理办法。

7 ．在线消费者保护问题

在线市场的虚拟性和开放性以及网上购物的便捷性都使消费者保护成为突出的问题。在我国商业信用不高的状况下，网上出售的商品可能良莠不齐，而一旦出现质量问题，退赔、修理等又很困难，方便的网络购物很可能变得不方便甚至使人敬而远之。法律需要寻求在电子商务环境下执行《消费者权益保护法》的方法和途径，制定保护网上消费者的特殊法律。 Page 10

12.1.2 网络交易风险源分析8 ．产品交付问题

在线交易的标的物分两种，一种为有形货物，另一种是无形的信息产品。应当说，有形货物的交付仍然可以沿用传统合同法的基本原理，当然，对于物流配送中引起的一些特殊问题也要作一些探讨。而信息产品的交付则具有不同于有形货物交付的特征，对于其权利的移转、退货、交付的完成等需要有相应的安全保障措施。

Page 11

12.1.3 网络交易安全管理的基本思路

一个完整的网络交易安全体系至少应包括三类措施，并且三者缺一不可。

社会政策与法律 保障 管理方面的措施

防火墙技术网络防毒信息加密身份认证授权等

交易的安全制度交易安全的实时监控提供实时改变安全策略的能力对现有的安全系统漏洞的检查以及安全教育等

技术方面的措施

社会相关政策的出台相关法律的保障

返回

Page 13

12.2 客户认证技术

客户认证技术

12.2.1 身份认证

12.2.2 信息认证技术

12.2.3 通过电子认证服务机构认证

12.2.4 我国电子商务认证机构的建设

12.2.1 身份认证1. 身份认证的目标

Page 14

1

•确保交易者是交易者本人，而不是其他人

2

•避免与超过权限的交易者进行交易

3•访

问控制

12.2.1 身份认证2. 用户身份认证的基本方式

一般来说，用户身份认证可通过三种基本方式或其组合方式来实现：

Page 15

用户通过某个秘密信息，例如用户通过自己的口令访问系统资

源。

用户知道某个秘密信息，并且利用包含这一秘密信息的载体访问

系统资源。

用户利用自身所具有的某些生物学特征，如指纹、声

音、DNA、视网膜等访问系统资源。

12.2.1 身份认证3. 身份认证的单因素认证

用户身份认证的最简单方法就是口令。系统事先保存每个用户的二元组信息，进入系统时用户输入二元组信息，系统将保存的用户信息和用户输入的信息相比较，从而判断用户身份的合法性。

4. 基于智能卡的用户身份认证 基于智能卡的用户身份认证机制属于双因素认证，它结合了基本

认证方式中的第一种和第二种方法。用户的二元组信息预先存于智能卡中，然后在认证服务器中存入事先由用户选择的某个随机数。用户访问系统资源时，用户输入二元组信息。系统首先判断智能卡的合法性，然后由智能卡鉴别用户身份。

Page 16

12.2.1 身份认证5. 一次口令机制

Page 17

“ 请求响应”方式

用户登录时系统随机提示一条信息，根据这一信息连同其个人数据共同产生一个口令字，用户输入这个口令字，完成一次登录过程，或者用户对这一条信息实施电子签字并发送给认证服务器进行鉴别。

“ 时钟同步”机制

根据同步时钟信息连同其个人数据共同产生一个口令字。这两种方案均需要认证服务器端也产生与用户端相同的口令字 ( 或检验签字 ) 用于验证用户身份。

12.2.2 信息认证技术

1. 可信性1. 可信性

3. 不可抵赖性 3. 不可抵赖性

2. 完整性2. 完整性

4. 保密性4. 保密性

信息的来源是可信的，即信息接收者能够确认所获得的信息不是由冒充者所发出的。

要求保证信息在传输过程中的完整性，也即信息接收者能够确认所获得的信息在传输过程中没有被修改、遗失和替换。

要求信息的发送方不能否认自己所发出的信息。同样，信息的接收方也不能否认已收到的信息。

对敏感的文件进行加密，即使别人截获文件也无法得到其内容。

主要目标

1. 信息认证的目标

12.2.2 信息认证技术2. 基于私有密钥体制的信息认证

基于私有密钥 (Private Key ，私钥 ) 体制的信息认证是一种传统的信息认证方法。这种方法采用对称加密算法，也就是说，信息交换的双方共同约定一个口令或一组密码，建立一个通信双方共享的密钥。

图 12-2 对称加密示意图

12.2.2 信息认证技术对称加密算法在电子商务交易过程中存在三个问题：

Page 20

(1) 要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥。直接的面对面协商可能是不现实而且难于实施的，因此双方可能需要借助于邮件和电话等其他相对不够安全的手段来进行协商。

(2) 密钥的数目将快速增长而变得难以管理，因为每一对可能的通信实体需要使用不同的密钥，这很难适应开放社会中大量信息交流的要求。

(3) 对称加密算法一般不能提供信息完整性鉴别。

12.2.2 信息认证技术3. 基于公开密钥体制的信息认证

1976 年，美国学者 Diffie 和 Hellman 为解决信息公开传送和密钥管理问题，提出了一种密钥交换协议，允许通信双方在不安全的媒体上交换信息，安全地达成一致的密钥，这就是“公开密钥体系”。

与对称加密算法不同，公开密钥加密体系采用的是非对称加密算法。使用公开密钥算法需要两个密钥——公开密钥 (Public Key ，公钥 ) 和私有密钥。如果用公开密钥对数据进行加密，则只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。

Page 21

12.2.2 信息认证技术

Page 22图 12-3 使用公钥加密和用对应的私钥解密的示意图

12.2.2 信息认证技术4. 数字签字和验证

对文件进行加密只解决了第一个问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其他的手段。数字签字 (Digita1 Signature) 及验证 (Verification) 就是实现信息在公开网络上安全传输的重要方法。

Êý×ÖÇ©×Ö

用户B

文档

用户B的私钥

压缩

信息摘要 数字签字

将签名附加在文档之后

文档

Êý×ÖÇ©×Ö

ÐÅÏ ¢ÕªÒª数字签字 信息摘要

信息摘要

文档 压缩

用户B的公钥

用户A

比较两个摘要信息是否一致

图 12-4 数字签字与验证过程示意图

12.2.2 信息认证技术数字签字与验证的过程： (1) 发送方首先用哈希函数将需要传送的消息转换成信息摘要。

(2) 发送方采用自己的私有密钥对信息摘要进行加密，形成数字签字。

(3) 发送方把加密后的数字签字附加在要发送的报文后面，传递给接收方。

(4) 接收方使用发送方的公有密钥对数字签字进行解密，得到发送方形成的信息摘要。

(5) 接收方用哈希函数将接收到的信息转换成信息摘要，与发送方形成的信息摘要相比较，若相同，说明文件在传输过程中没有被破坏。

12.2.2 信息认证技术5. 时间戳

在电子商务交易文件中，时间是十分重要的信息。同书面文件类似，文件签署的日期也是防止电子文件被伪造和篡改的关键性内容。数字时间戳服务是网上电子商务安全服务项目之一，它能提供电子文件的日期和时间信息的安全保护。

时间戳是一个经加密后形成的凭证文档，它包括需加时间戳的文件的摘要、 DTS 收到文件的日期和时间、 DTS 的数字签字三个部分。

一般来说，时间戳产生的过程为：用户首先将需要加时间戳的文件用 Hash函数转化为报文摘要，然后将该摘要加密后发送到提供时间戳服务的机构， DTS 在加入了收到文件摘要的日期和时间信息后再对该文件加密 (数字签字 ) ，然后送回用户。

12.2.3 通过电子认证服务机构认证1. 数字证书 电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系

的数据电文或者其他电子记录。

电子签名认证证书有多种形式，如数字、指纹、视网膜、 DNA 等。其中，最常用的认证证书是数字证书，因为它使用方便、便于记忆，价格又最便宜。

数字证书作为网上交易双方真实身份证明的依据，是一个经使用者进行数字签名的、包含证书申请者 ( 公开密钥拥有者 ) 个人信息及其公开密钥的文件。基于公开密钥体制 (PKI) 的数字证书是电子商务安全体系的核心，用途是利用公共密钥加密系统来保护与验证公众的密钥，由可信任的、公正的电子认证服务机构颁发。

Page 26

12.2.3 通过电子认证服务机构认证

Page 27

图 12-5 数字证书的组成

12.2.3 通过电子认证服务机构认证2. 电子认证服务提供者

电子认证服务提供者是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构 (简称电子认证服务机构 ) 。

Page 28

电子认证服务机构主要提供的服务

制作、签发、管理电子签名认证证书

确认签发的电子签名认证证书的真实性

提供电子签名认证证书目录信息查询服务

提供电子签名认证证书状态信息查询服务

12.2.3 通过电子认证服务机构认证

Page 29

持卡人

商家

CA

图 12-6 CA认证

12.2.3 通过电子认证服务机构认证3. 电子商务的 CA 认证体系(1)  SET CA

Page 30

图 12-7 SET 中 CA 的层次结构

12.2.3 通过电子认证服务机构认证(2)  PKI CA

PKI(Public Key Infrastructure ，公钥基础设施 ) 是提供公钥加密和数字签字服务的安全基础平台，目的是管理密钥和证书。

Page 31

图 12-8 PKI 的主要功能和服务

12.2.3 通过电子认证服务机构认证

Page 32图 12-9 PKI 体系的构成

12.2.3 通过电子认证服务机构认证4. 证书的树形验证结构

在两方通信时，通过出示由某个 CA 签发的证书来证明自己的身份，如果对签发证书的 CA本身不信任，则可验证 CA 的身份，依次类推，一直到公认的权威 CA处，就可确信证书的有效性。 SET 证书正是通过信任层次来逐级验证的。每一个证书与数字化签发证书的实体的签字证书关联，沿着信任树一直到一个公认的信任组织，就可确认该证书是有效的。

Page 33图 12-10 证书的树形验证结构

12.2.3 通过电子认证服务机构认证5. 带有数字签字和数字证书的加密系统

图 12-11 带有数字签字和数字证书的加密系统

12.2.3 通过电子认证服务机构认证6. 认证机构在电子商务中的地位和作用

在电子商务交易的撮合过程中，认证机构是提供交易双方验证的第三方机构，由一个或多个用户信任的、具有权威性质的组织实体管理。它不仅要对进行电子商务交易的买卖双方负责，还要对整个电子商务的交易秩序负责。

电子商务认证机构对登记者履行下列监督管理职责：

(1) 监督登记者按照规定办理登记、变更、注销手续

(2) 监督登记者按照电子商务的有关法律法规合法从事经营活动

(3) 制止和查处登记人的违法交易活动，保护交易人的合法权益

Page 35

12.2.4 我国电子商务认证机构的建设1. 我国电子商务认证机构建设的基本情况

自 1998 年 5 月 17 日我国第一家 CA认证中心产生以来，目前获得电子认证服务行政许可的认证机构共 32家。这些认证机构大致可以分为三类：

第一类是行业主管部门建立的 CA 中心，如由中国人民银行牵头组建的中金金融认证中心 (CFCA) ，中国联通的中网威信电子安全服务有限公司等；

第二类是地方政府部门建立的 CA 中心，如北京 CA 、上海 CA 、山东 CA 等；

第三类是民间资本建立的商业 CA ，如天威诚信、颐信科技等。

Page 36

12.2.4 我国电子商务认证机构的建设2. 我国电子认证服务机构建设中存在的主要问题

Page 37

(1) 电子认证服务资源亟待整合

(2) 电子认证服务亟待创新与突破

(3) 技术水平偏低，存在安全隐患

12.2.4 我国电子商务认证机构的建设3. 加强我国电子认证服务机构建设的基本思路

Page 38

1

•统筹全局、规范发展

2

•政府引导、市场运作

3

•应用牵引、服务创新

12.2.4 我国电子商务认证机构的建设4. 国家级电子认证服务体系建设的构想

Page 39

电子认证服务

身份认证 资信认证 税收认证 外贸认证

12.2.4 我国电子商务认证机构的建设

Page 40图 12-12 国家电子商务认证中心机构组织结构设想图

12.2.4 我国电子商务认证机构的建设国家电子商务认证中心主要承担根认证工作，包括：

11

22

33

44

55

66

对职能认证系统和省市分认证中心进行政策指导和业务管理

汇总职能认证中心和省市分认证中心的数据

负责数字凭证的管理与签发

提供数字时间戳服务

负责使用者密码的产生与保管

对交易纠纷提供证明资料等

返回

Page 42

12.3 防止黑客入侵

防止黑客入侵

12.3.1 黑客的基本概念

12.3.2 网络黑客常用的攻击手段

12.3.3 防范黑客攻击的主要技术手段

12.3.1 黑客的基本概念

Page 43

黑客

骇客 窃客只想引人注目，证明自己的能力，在进入网络系统后，不会去破坏系统，或者仅仅会做一些无伤大雅的恶作剧，他们追求的是从侵入行为本身获得巨大的满足。

行为带有强烈的目的性，早期这些黑客主要窃取国家情报、科研情报，而现在的目标大都瞄准了银行的资金和电子商务交易过程。

12.3.2 网络黑客常用的攻击手段1. 口令攻击

口令攻击是网上攻击最常用的方法。黑客首先进入系统的常用服务，或对网络通信进行监视，使用扫描工具获取目标主机的有用信息，包括操作系统的类型和版本、主机域名、开放的端口、启动的保护手段等。然后，反复试验和推测用户的生日、电话号码或其他易记的线索等，获取进入系统的口令，以求侵入系统。

有的黑客则利用一些驻留内存的程序暗中捕获用户的口令。这类程序类似于“特洛伊木马” (Trojan Horse) 的病毒程序，它通常让用户填写调查表格，而实际目的是暗中捕获用户的口令。当这些方法不能奏效时，黑客们便借助各种软件工具，利用破解程序分析这些信息，进行口令破解，进而实施攻击。

Page 44

12.3.2 网络黑客常用的攻击手段2. 服务攻击 黑客所采用的服务攻击手段主要有 4 种。

Page 45

(1) 和目标主机建立大量的连接。因为目标主机要为每次网络连接提供网络资源，所以当连接速率足够高、连接数量足够多时就会使目标主机的网络资源耗尽，从而导致主机瘫痪、重新启动、死机或黑 (蓝 )屏。(2) 向远程主机发送大量的数据包。因为目标主机要为每次到来的数据分配缓冲区，所以当数据量足够大时会使目标主机的网络资源耗尽，导致主机死机或黑 (蓝 )屏。

(3) 利用即时消息功能，以极快的速度用无数的消息“轰炸”某个特定用户，使目标主机缓冲区溢出，黑客伺机提升权限，获取信息或执行任意程序。

(4) 利用网络软件在实现协议时的漏洞，向目标主机发送特定格式的数据包，从而导致主机瘫痪。

12.3.2 网络黑客常用的攻击手段3. 电子邮件轰炸

用数百条消息填塞某人的 E-mail 信箱也是一种在线袭扰的方法。当用户受到这种叫做“电子邮件炸弹 (E-mail Bomb)” 的攻击后，就会在很短的时间内收到大量的电子邮件，这样使得用户系统的正常业务不能开展，系统功能丧失，严重时会使系统关机，甚至使整个网络瘫痪。

4. 利用文件系统入侵TP(文件传输协议 ) 是因特网上最早应用的、不同系统之间交换

数据的协议之一。 FTP 的实现依靠 TCP 在主机之间进行数据传输。

NFS( 网络文件系统 ) 服务器能够对外输出 (Export)目录，提供资源共享，主机可以通过 NFS协议对服务器输出的目录进行访问。

Page 46

12.3.2 网络黑客常用的攻击手段5. 计算机病毒

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒程序把自己附着在其他程序上，待这些程序运行时，病毒进入到系统中，进而大面积扩散。

6.  IP 欺骗IP 欺骗是适用于 TCP/IP 环境的一种复杂的技术攻击，它伪造他

人的源地址，让一台计算机来扮演另一台计算机，借以达到蒙混过关的目的。 IP 欺骗主要包括简单的地址伪造和序列号预测两种。

Page 47

12.3.3 防范黑客攻击的主要技术手段1. 入侵检测技术

入侵检测可以形象地描述为网络中不间断的摄像机。入侵检测通过旁路监听的方式不间断地收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。该技术不但可以发现从外部入侵的攻击，也可以发现内部的恶意行为。

入侵检测系统产品为审核、监控和校正网络安全而专门设计。它们可以找出安全隐患，提供堵住安全漏洞所必需的校正方案；建立必要的循环过程，确保隐患即刻被纠正。此外，它们还监控各种变化情况，从而使用户可以找出经常发生问题的根源所在。

Page 48

12.3.3 防范黑客攻击的主要技术手段2. 防火墙技术

（ 1 ）传统防火墙

Page 49

传统防火墙的类型

包过滤 (Packet Filtering)

代理防火墙 (Proxy)

电路层网关 (Circuit Gateway)

12.3.3 防范黑客攻击的主要技术手段（ 2 ） 新型防火墙

新型防火墙的设计目标是既有包过滤的功能，又能在应用层进行代理，能从数据链路层到应用层进行全方位安全处理。由于 TCP/IP

协议和代理直接相互配合，使系统的防欺骗能力和运行的安全性都大大提高。

图 12-13 新型防火墙的系统构成

12.3.3 防范黑客攻击的主要技术手段3. 物理隔离技术

物理隔离技术是近年发展起来的防止外部黑客攻击的有效手段。物理隔离产品主要有物理隔离卡和隔离网闸。

内网服务器

外网服务器

物理隔离交换机

物理隔离

人机隔离

网络电脑

物理隔离

图 12-14 物理隔离卡工作示意图 图 12-15 物理隔离网闸示意图

返回

Page 52

12.4 网络交易系统的安全管理制度12.4.1 网络交易系统安全管理制度的涵义

12.4.2 人员管理制度

12.4.5 网络系统的日常维护制度

12.4.6 用户管理制度

12.4.7 病毒防范制度

12.4.8 应急措施

12.4.3 保密制度

12.4.1 网络交易系统安全管理制度的涵义网络交易系统安全管理制度是用文字形式对各项安全要求所做的

规定，它是保证企业网络营销取得成功的重要基础，是企业网络营销人员安全工作的规范和准则。企业在参与网络营销伊始，就应当形成一套完整的、适应于网络环境的安全管理制度，包括人员管理制度，保密制度，跟踪、审计、稽核制度，网络系统日常维护制度，用户管理制度和病毒防范制度以及应急措施等。

鉴于不同企业或单位网络交易系统的安全需求和安全投资不尽相同，网络交易系统的安全保护需实行等级保护制度。

Page 53

12.4.2 人员管理制度网络营销是一种高智力劳动。从事网络营销的人员，一方面必须

具有传统市场营销的知识和经验。另一方面又必须具有相应的计算机网络知识和操作技能。由于营销人员在很大程度上支配着市场经济下企业的命运，而计算机网络犯罪又具有智能性、隐蔽性、连续性、高黑数性 的特点，因而，加强对网络营销人员的管理变得十分重要。

(1) 严格网络营销人员的选拔。

(2) 落实工作责任制。

(3) 贯彻电子商务安全运作基本原则。

Page 54

12.4.3 保密制度电子商务涉及企业的市场、生产、财务、供应等多方面的机密，

需要很好地划分信息的安全级别，确定防范重点，提出相应的保密措施。信息的安全级别一般可分为三级：

Page 55

(1) 绝密级

(2) 机密级

(3) 秘密级

12.4.4 跟踪、审计、稽核制度跟踪制度要求企业建立网络交易系统日志机制，用来记录系统运

行的全过程。系统日志文件是自动生成的，内容包括操作日期、操作方式、登录次数、运行时间、交易内容等。

审计制度包括经常对系统日志进行检查、审核，及时发现故意入侵系统行为的记录和违反系统安全功能的记录，监控和捕捉各种安全事件，保存、维护和管理系统日志。

稽核制度是指工商管理、银行、税务人员利用计算机及网络系统，借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活动的合理性和安全性，发现漏洞，发出相应的警示或作出处理处罚有关决定的一系列步骤及措施。

Page 56

12.4.5 网络系统的日常维护制度1 ．硬件的日常管理和维护

Page 57

硬件的管理与维护

网络设备 服务器和客户机 通信线路

2. 软件的日常管理和维护

软件的管理与维护

支撑软件

应用软件3 ．数据备份制度

12.4.6 用户管理制度广域网上一般都有几个至十几个应用系统，每个应用系统都设置

了若干角色，用户管理的任务就是增加 /删除用户、增加 /修改用户组号。例如，要增加一个用户，须进行如下工作 ( 以 UNIX 为例 ) ：

(1) 在用户使用的客户机上增加用户并分配组号。

(2) 在用户使用的服务器数据库上增加用户并分配组号。

(3) 分配该用户的广域网访问权限。

为了保证广域网的安全，必须统一管理用户，由网管部门统一增加或删除用户。上述三项工作在 UNIX 环境下都可通过一个简单的Shell程序一步完成。

Page 58

12.4.7 病毒防范制度

Page 59

1. 应用防病毒软件

2. 认真执行病毒定期清理制度

3. 控制权限

4. 高度警惕网络陷阱

12.4.8 应急措施应急措施是指在计算机灾难事件，即紧急事件或安全事故发生时

利用应急计划辅助软件和应急设施，排除灾难和故障，保障计算机信息系统继续运行或紧急恢复。

应急措施

瞬时复制技术

远程磁盘镜像技术

数据库复制技术

返回

Page 61

12.5 电子商务交易安全的法律保障

电子商务交易安全的法律保障

12.5.1 电子签名法律制度

12.5.2 电子合同法律制度

12.5.3 网络商品交易管理办法

12.5.4 我国电子商务交易安全的相关法律保护

12.5.5 我国电子商务立法的若干基本问题

12.5.1 电子签名法律制度1. 电子签名 (Electronic Signature) 的概念

电子签名“是指数据电文中以电子形式所含、所附用以识别签名人身份并表明签名人认可其中内容的数据。”

2. 电子签名的适用前提与适用范围

《电子签名法》使用排除法确定了电子签名的使用范围，规定一些特定范围内的法律文书不适用关于电子签名、数据电文的法律效力的规定。这些法律文书包括：

(1) 涉及婚姻、收养、继承等人身关系的。

(2) 涉及土地、房屋等不动产权益转让的。

(3) 涉及停止供水、供热、供气、供电等公用事业服务的。

(4) 法律、行政法规规定的不适用电子文书的其他情形。Page 62

12.5.1 电子签名法律制度3. 电子签名的法律效力

《电子签名法》第十三条提出了认定可靠电子签名的四个基本条件，且这四个条件需要同时满足：

(1) 电子签名制作数据用于电子签名时，属于电子签名人专有；

(2) 签署时电子签名制作数据仅由电子签名人控制；

(3) 签署后对电子签名的任何改动都能够被发现；

(4) 签署后对数据电文内容和形式的任何改动都能够被发现。

4. 电子签名中各方当事人的基本行为规范

Page 63

12.5.2 电子合同法律制度1 ．电子合同及其书面形式

“电子合同”系指经由电子、光学或类似手段生成、储存或传递的合同。电子合同通过数据电文 (包括电报、传真、电子数据交换和电子邮件 ) 传递信息，其所包含的信息应能够有形地表现所载内容，并能够完整调取以备日后查用。

电子商务通常不是以原始纸张作为记录凭证的，而是将信息或数据记录在计算机中，或记录在磁盘和软盘等中介载体中。因此，这种方法具有以下特点：

(1) 电子数据的易消失性。

(2) 电子数据作为证据的局限性。

(3) 电子数据的易改动性。Page 64

12.5.2 电子合同法律制度2. 电子合同的订立

Page 65

1 2 3 4 5 76

当事人所在地

要约与邀请要约

接受要约

发出和收到

自动交易

形式要求

拟由当事人提供的一般资料

12.5.2 电子合同法律制度3 ．规制电子商务交易安全的规范性文件

在电子商务交易的专门法律尚未出台的情况下，各部门的规范性文件就显得非常重要。因为这些文件可以根据电子商务发展变化的情况对其进行调整，以弥补专门法律的不足。

Page 66

《互联网药品信息服务管理办法》

《互联网药品交易服务审批暂行规定》《关于网上交易的指导意见 (暂行 )》

《关于社会信用体系建设的若干意见》《支付管理信息系统管理办法 (试行 )》

《商务部关于促进电子商务规范发展的意见》

12.5.3 网络商品交易管理办法

Page 67

网络商品交易的监管措施和手段

规范网络交易平台服务的经营者的行为

强化网络消费者权益保护1

2

3

12.5.4 我国电子商务交易安全的相关法律保护1 ．我国涉及交易安全的法律法规我国现行的涉及交易安全的法律法规主要有四类：

综合性法律，主要是民法通则和刑法中有关保护交易安全的条文

规范交易主体的有关法律，如公司法、国有企业法、集体企业法、合伙企业法、私

营企业法、外资企业法等

规范交易行为的有关法律，包括电子签名法、经济合同法、产品质量法、财产保险法、消费者权益保护法、广告法、反不正当竞争法等 监督交易行

为的有关法律，如会计法、审计法、票据法、银行法等

涉及交易安全的法律法规

12.5.4 我国电子商务交易安全的相关法律保护2 ．我国涉及计算机安全的法律法规

我国的计算机安全立法工作开始于 20世纪 80 年代。根据刑法修正案 (七 ) ，计算机犯罪分为以下类型：

Page 69

(1) 非法侵入计算机信息系统罪 (第二百八十五条第一款 )

(2) 非法获取计算机信息系统数据、非法控制计算机信息系统罪

(3) 提供侵入、非法控制计算机信息系统程序、工具罪

(4) 破坏计算机信息系统罪

(5) 利用计算机实施犯罪的提示性规定

12.5.4 我国电子商务交易安全的相关法律保护3 ．我国涉及计算机网络安全的法律法规

Page 70

(1) 加强国际互联网出入信道的管理

(2) 域名管理制度

(3) 安全责任

12.5.5 我国电子商务立法的若干基本问题1. 电子商务立法形式的选择

(1) 电子商务法的地位

第一，电子商务法的调整对象是独立的、明确的，它调整的是电子商务交易中发生的各种社会关系，而这类社会关系是在广泛采用新型信息技术并将这些技术应用于商业领域后才形成的特殊的社会关系；

第二，电子商务法调整的社会关系有自己明显的特征，这些社会关系交叉存在于虚拟社会和实体社会之间，而传统的法律调整的范围都在现实物理世界的范围之内，二者的调整对象有显著区别；

第三，传统的民法、经济法及其程序法很难适用于虚拟环境中的商务交易活动，突出体现在合同效力的确定、诉讼管辖、证据认定等保障实体法实施的理论和方法不能支持现有法律处理电子商务案件，有关媒体的管理构架的法律不能适应以网络为载体的全新的信息交流方式。

12.5.5 我国电子商务立法的若干基本问题(2) 电子商务立法途径

Page 72

先分别立法

首先解决电子商务发展过程中遇到的现实问题，制定单行法规，如电子合同规则、电子支付规则、电子提单规则、电子商务税收征收办法、网络广告规则等，待时机成熟后，再进行综合立法。

先着手综合立法

形成我国电子商务立法的综合思路，出台电子商务基本法，然后对各个具体问题制定单行规则

12.5.5 我国电子商务立法的若干基本问题2 ．电子商务立法目的

Page 73

1

•为电子商务的健康、快速发展创造一个良好的法律环境

2

•弥补现有法律的缺陷和不足

3

•鼓励利用现代信息技术促进交易活动

12.5.5 我国电子商务立法的若干基本问题3. 电子商务立法指导思想与原则

Page 74

(1) 与联合国《电子商业示范法》保持一致

(2) 不偏重任何技术

(3) 依赖“功能等同”方法

(4) 跟踪电子商务的最新发展

12.5.5 我国电子商务立法的若干基本问题4 ．电子商务法律体系

(1) 网上商业数据的利用规范与个人隐私的保护立法(2) 网络服务和网络公共服务立法(3) 电子商务交易秩序和市场管理立法(4) 网络反垄断立法(5) 电子商务交易法(6) 在线电子支付立法(7) 网上商业行为的规制(8) 电子商务税收立法(9) 消费者权益保护法(10) 电子商务争议解决机制

Page 75

The end

谢谢 本章课程到此结束