電子商務安全保密

1 電子商務應用和發展

電子商務概念

·電子商務（ElectronicCommerce）是指對整個貿易活動實現電子化。·從涵蓋範圍方面可以定義為：·交易各方以電子交易方式而不是通過當面交換或直接面談方式進行的任何形式的商業交易；·從技術方面可以定義為：·電子商務是一種多技術的集合體，包括數據交換、數據獲取以及數據的自動捕獲。電子商務的發展因素

·計算機的普及·網絡技術的迅速發展·信用卡的普及應用·SET安全電子交易協議的出台世界電子商務的發展

·1996年6月，聯合國國際貿易法委員會提出電子商務示範法藍本。·1997年4月歐盟提出“歐盟”電子商務行動方案·1997年7月美國政府發表“全球電子商務框架”文件，克林頓政府將Internet的影響與工業革命相提並論。·1997年12月，歐盟和美國發表有關電子商務的聯合宣言，就跨國電子商務的有關原則達成一致意見。國內電子商務的發展

·1997年10月，中國商品交易網正式開通，標誌中國政府在電子商務領域的實質性突破。·1998年3月國內第一筆Internet網上支付實現·1999年3月北京圖書大廈網上書店正式開業，標誌首都電子商務建設全面啓動。電子商務的分類

·企業內部電子商務·企業對消費者的電子商務（BtoC）·企業對企業的電子商務（BtoB）·企業對政府機構的電子商務（BtoG）·消費者對政府機構的電子商務（CtoG）

2 電子商務安全威脅

·電子商務發展的核心和關鍵問題是交易的安全性·技術威脅·信息的截獲和竊取·信息的篡改·信息的假冒·交易抵賴·案例一：美國NASDAQ事故·1994年8月1日，由於一隻松鼠通過位於康涅狄格網絡主計算機附近的一條電話線挖洞，造成電源緊急控制系統損壞，NASDAQ電子交易系統日均超過3億股的股票市場暫停營業近34分鐘。·案例二：花旗銀行損失·1995年8月21日，一自稱是前蘇聯克格勃人員通過計算機網絡進入美國花旗銀行。轉走1160萬元美金的鉅款。·案例三：江蘇揚州金融盜竊案·1998年9月，郝景龍、郝景文兩兄弟通過在工行儲蓄所安裝遙控發射裝置，侵入銀行電腦系統，非法存入72萬元，取走26萬元。這是被我國法學界稱為98年中國十大罪案之一的全國首例利用計算機網絡盜竊銀行鉅款的案件。·對電子商務交易各方的威脅·對商家的威脅·對消費者的威脅·中國電子商務面臨的安全威脅·國內幾乎所有的計算機主機、網絡交換機、路由器和網絡操作系統都來自國外。·進入我國的電子商務和網絡安全產品均只能提供較短密鑰長度的弱加密算法。

3 電子商務安全要求

電子商務安全的中心內容

電子商務安全的中心內容

1商務數據的機密性（Confidentiality）

信息在網絡上傳送或存儲的過程中，不被他人竊取，不被泄露給未經授權的人或組織，或者經過加密後，使未經授權者無法瞭解其內容。

機密性的另一方面是保護通信流特性（通信源、目的地、頻率、長度等），以防止被分析。2商務數據的完整性（Integrity）

保護數據不被未授權者修改、刪除、重複傳送、建立、嵌入或由於其他原因使原始數據被更改。在傳輸過程中，如果接收端收到的信息與發送的信息完全一樣，則説明在傳輸過程中信息具有完整性。注意：

加密的信息在傳輸過程中，完整性也可能遭到破壞。3商務對象的認證性（Authentication）商務對象的認證性是指網絡兩端的使用者在溝通之前相互確認對方的身份。認證性用數字簽名和身份認證技術實現。

4商務服務的不可否認性（Non-repudiation）信息的發送方不能否認已發送的信息，接收方不能否認已收到的信息。不可否認性主要用於對付來自其他合法用户的威脅。5商務服務的不可拒絕性（Denialofservice）商務服務的不可拒絕性，也稱可用性，是保證授權用户在正常訪問信息和資源時不被拒絕或延遲，即保證為用户提供穩定的服務。

6訪問的控制性（Accesscontrol）訪問控制性用於保護計算機系統的資源不被未經授權人或以未授權方式接入、使用、修改、破壞、發出指令或植入程序等。電子商務安全要求的特殊性

1更加複雜的機密性概念電子商務交易的參與者可能涉及多方，其中的機密性概念不單是針對內部或外部的攻擊者，也針對交易過程中信息不需要知道的其它幾方。

2嚴格的身份認證電子商務要求認證交易各方的真實身份，而不是普通網絡中只是服務器對訪問者身份的認證。電子商務中的認證要求第三方機構的參與。3法律依據性電子商務安全需要在交易一方事後否認交易、抵賴交易的情況下，提供法律依據作為證明。

4不可拒絕性至關重要電子商務如果不能保證不可拒絕性的安全，可能直接導致交易一方的經濟損失。

5貨幣直接流通性在電子商務中，電子貨幣直接在網絡上“流通”，因此還要保證數字貨幣在網絡上流通的安全。案例：八佰拜折扣店“8210事件”

2000年7月22日，在八佰拜折扣店手機專拍場的倒置式競買（即如果1小時內無人購買，價格自動下調100元，直到有人購買為止）過程中，由於服務器上有黑客入侵，網民所下訂單始終得不到網站的迴應，導致以前成交價在2700元左右的諾基亞8210手機，一路降到1760元，但網民一直無法購買。

4 電子商務系統安全一般措施

(1)安全立法 1.1社會規範社會規範是調整信息活動中人與人之間的行為準則。例如：《中華人民共和國保守國家秘密法》《中華人民共和國計算機信息系統安全保護條例》1.2技術規範技術規範是調整人和物、人與自然界之間的關係準則。其內容十分廣泛，包括各種技術標準和規程。例如：《計算機病毒防治產品評級準則》

《計算機信息系統安全保護等級劃分準則》

《計算機信息系統安全專用產品分類原則》

《電子計算機機房設計規範》(2)行政管理 2.1人員教育和培訓2.2健全機構、崗位設置和規章制度崗位責任制運行管理維護制度計算機處理控制管理制度文檔資料管理制度(3)技術措施 安全技術措施是電子商務系統安全的物質技術基礎，是安全電子商務系統的有機組成部分。安全技術措施的實施應貫徹落實在系統開發的各個階段，從系統規劃、系統分析、系統實施、系統評價到系統的運行、維護和管理。

5 電子商務安全技術的內容

1實體硬件安全計算機實體硬件安全主要指為保證計算機設備和通訊線路及設施、建築物等的安全，滿足設備正常運行環境的要求。包括：計算機系統環境安全技術抗電磁干擾技術計算機故障診斷技術介質存放管理技術2軟件系統安全軟件系統安全主要針對計算機程序和文檔資料，是保證程序和資料免遭破壞、非法拷貝和非法使用而採取的技術和方法。包括：操作系統、數據庫系統及應用軟件安全技術口令控制、鑑別技術軟件加密、壓縮技術軟件防拷貝、防跟蹤技術3數據信息安全數據信息安全保密指為保證計算機系統的數據庫、數據文件和所有數據信息免遭破壞、修改、泄露和竊取，為防止這些威脅和攻擊而採取的技術、方法和措施。包括：用户身份識別技術口令、指紋驗證技術存取控制技術數據加密技術4網絡站點安全網絡站點安全指為保證計算機系統中網絡通信和站點安全而採取的各種技術措施。包括：防火牆技術 網絡跟蹤技術報文鑑別技術網絡監測技術數字簽名技術 密鑰管理技術訪問控制技術 加壓加密技術5.5運行服務安全電子商務系統運行服務安全主要指安全運行的管理技術。其實施目的在於及時發現運行中的異常，及時報警，及時提示用户採取措施。包括：系統使用與維護技術軟件可靠性、可維護性保證技術操作系統故障分析處理技術系統設備運行狀態實測、分析記錄技術5.6病毒防治技術計算機病毒防治技術涉及計算機病毒的檢測、診斷、殺除和預防。5.7防火牆技術防火牆是介於內部網絡或Web站點與Internet之間的路由器或計算機，目的是提供安全保護，控制誰可以訪問內部受保護的環境，誰可以從內部網絡訪問Internet。5.8系統安全評價標準電子商務系統安全性是相對的。在保證系統安全的同時，必須在代價、威脅和風險之間做出綜合平衡。不同的系統、不同的任務和功能、不同的規模和不同的工作方式對電子商務系統的安全要求不同。

在電子商務系統規劃和運行時都需要安全評價標準，作為安全保密工作的尺度。6電子商務安全標準和法規6.1部門規章及規範性文件中華人民共和國公安部令第32號計算機信息系統安全專用產品檢測和銷售許可證管理辦法中華人民共和國公安部令第33號計算機信息網絡國際聯網安全保護管理辦法中華人民共和國公安部令第51號計算機病毒防治管理辦法中華人民共和國公共安全行業標準計算機信息系統安全專用產品分類原則6.2國家法律中華人民共和國主席令第6號 中華人民共和國保守國家秘密法6.3行政法規中華人民共和國國務院令147號 中華人民共和國計算機信息系統安全保護條例中華人民共和國國務院令第195號 中華人民共和國計算機信息網絡國際聯網管理暫行規定中華人民共和國計算機信息網絡國際聯網管理暫行規定實施辦法中華人民共和國國務院令第273號 商用密碼管理條例中華人民共和國國務院令第291號 中華人民共和國電信條例6.4安全標準計算機病毒防治產品評級準則計算機信息系統安全保護等級劃分準則信息處理系統開放系統互連基本參考模型第2部分：安全體系結構計算機信息系統安全專用產品分類原則信息技術設備的無線電干擾極限值和測量方法計算機機房用活動地板技術條件DOS操作系統環境中計算機病毒防治產品測試方法基於DOS的信息安全產品評級準則電子計算機機房設計規範電子計算機機房施工及驗收規範計算站場地安全要求計算站場地技術條件信息處理64bit分組密碼算法的工作方式信息技術安全技術帶消息恢復的數字簽名方案測量控制和試驗室用電氣設備的安全要求軍用通信設備及系統安全要求軍隊通用計算機系統使用安全要求指揮自動化計算機網絡安全要求軍用計算機安全評估準則軍用計算機安全術語GB/T15843-1999信息技術安全技術實體鑑別GB/T15851-1995信息技術安全技術帶消息恢復的安全技術要求GB/T15852-1995信息技術安全技術用塊密碼算法做密碼校驗函數的數據完整性機制GB/T15852-1995信息技術安全技術密鑰管理GB/T15852-1995信息技術安全技術帶附錄的數字簽名GB/T15852-1995信息技術安全技術抗抵賴GB/T17900-1999網絡代理服務器安全技術要求GB/T18018-1999路由器安全技術要求GB/T18019-1999信息技術包過濾防火牆安全技術要求GB/T18020-1999信息技術應用級防火牆安全技術要求

1軟件安全基本要求1.1計算機軟件安全涉及的範圍

（1）軟件本身的安全保密

指軟件完整，即保證操作系統軟件、數據庫管理軟件、網絡軟件、應用軟件及相關資料的完整。