《电子商务安全管理》由会员分享,可在线阅读,更多相关《电子商务安全管理(30页珍藏版)》请在金锄头文库上搜索。
1、第二章 电子商务管理 【教学授课学时数】 学时 【教学目标与要求】了解电子商务安全标准与相关组织;掌握我国电子商务安全管理机构及原理;掌握电子商务安全管理制度;我国电子商务安全的相关法律法规。 【教学重点与难点】电子商务安全管理制度的内容和国际电子商务立法的基本 原则和国内的立法原则。 第1节 安全标准与组织管理 电子商务的安全是建立在信息系统互联、互通、互操作意义上 的安全,因此需要技术标准来规范系统的建设和使用。 (一)制定安全标准的组织 1.国际标准化组织(ISOInternational Standardization Organization)始建于1946年,是一个自发的非条约性组
2、织,其成员是参加国 的指定标准化机构,如ISO的美国成员就是美国国家标准研究 所ANSI(The American National Standards Institute )。 ISO负责制定广泛的技术标准,为世界各国的技术共享和技术 质量保证起着导向和把关的作用。ISO的目的是促进国际标准化和相关活动的开展,以便于商品和服务的国际交 换,并以发展知识、科技和经济活动领域的合作作为己任,现已发布了覆盖领 域极为广泛的13000多个国家标准( http:/www.iso.org/iso/en/isoonline.frontpage) ISO对信息系统的安全体系结构制定了开放系统互联 (OSIO
3、pen System Interconnection )基本参考模型(ISO7489)。该 模型提供了下述五种安全服务: 验证服务,包括对等实体和数据源验证; 访问控制服务; 数据保密服务; 数据完整服务; 不可否认服务。为了实施上述安全服务功能,ISO7498-2提供了下列安全机制: l 加密机制; l 数字签名机制; l 访问控制机制; l 数据完整性机制; l 验证机制; l 通信业务填充机制; l 路由控制机制; l 公证机制。为了支持系统要求的不同安全级别,ISO7498-2还 提供了如下五种机制: 可信功能; 安全标记; 事件检测; 安全审计跟踪; 安全恢复。2.国际电报和电话咨询
4、委员会(CCITT) 国际电报和电话咨询委员会(CCITT-Consultative Commit of International Telegraph and Telephone)是一 个联合条约组织,属于国际电信联盟ITU,由主要成员国的 邮政、电报和电话当局组成,如美国在这一委员会的成员是 美国国务院。CCITT主要从事涉及通信领域的接口通信协议 的制定工作,并与ISO密切合作进行国际通信的标准工作。 CCITT对国际通信中所使用的各种通信设备及规程的标准化 提出了一系列的建议,其在数据通信领域的工作主要体现于 V系列和X系列的建议中,其中在X.400和X.500中对信息安 全问题有一系
5、列的表述。 CCITT标准在1993年以后改称ITU标准。( http:/www.itu.int/home/index.html ) 3.国际信息处理联合会第十一技术委员会(IFIP TC 11 ) International Federation for Information Processing 该组织是在国际上有重要影响的有关信息系统安全的国际 组织。我国公安部代表我国参加该组织的活动,每年举行 一次计算机安全的国际研讨会。该组织的机构组成如下: WG 11.1 安全管理工作组; WG 11.2 办公自动化安全工作组; WG 11.3 数据库安全工作组; WG 11.4 密码工作组;
6、WG 11.5 系统完整性与控件工作组; WG 11.6 拟构成计算机事务处理工作组; WG 11.7 计算机安全法律工作组; WG 11.8计算机安全教育工作组。 ( http:/www.ifip.org )4. 电气和电子工程师学会(IEEE) 电气和电子工程师学会(IEEEInstitute of Electrical Engineers) 是一 个由电气工程师组成的世界上最大的专业学会,拥有近300,000成员,划 分成许多部门。1980年2月,IEEE计算机学会专门建立了一个委员会负责 制定有关网络的协议标准,其中有: 802.1:高层接口; 802.2:逻辑链路控制; 802.3:
7、CSMA/CD网; 802.4:令牌总线网; 802.5:令牌环网; 802.6:城域网; 802.7:宽带技术咨询组; 802.8:光纤技术咨询组; 802.9:数据和话间综合网络。近年来,IEEE还关注了公开密钥密码的标准化工作,着手制定了有关的 标准P 1363,其中包括了RSA公开密钥密码、椭圆曲线公开密钥密码以 及密钥交换等方面的内容。( http:/standards.ieee.org/ ) 5.美国国家标准局与美国商业部技术标准研究所美国国家标准局(NBSNational Bureau of Standards)与美国商业部国家 技术标准研究所(NISTNational Inst
8、itute of Standards Technology)也是 致力于信息安全标准制定的组织。 美国国家标准局是属于美国商业部的一个机构(现在其工作改由NIST进行),负责 发布销售给美国联邦政府的设备的信息处理标准,其涉及的领域很宽,是ISO 和 CCITT的代表。 美国商业部所属的国家技术标准研究所在联邦政府中承担的责任是建立技术、物理 及行政管理的标准,制定保证联邦计算机系统高效低耗地运行和保证敏感信息安全 规范。它与美国国家安全局(NSA)紧密合作,在NSA的指导监督下,制定计算机 信息系统技术安全标准。 NIST的工作范围很广,是当前信息安全技术标准领域中最具影响力的标准化机构。
9、其制定的信息安全规范和标准有很多,主要涉及下述方面: 访问控制技术和认证技术; 评价和保障; 密码; 电子商务; 一般计算机计算; 网络安全; 风险管理; 电讯; 联邦信息处理标准。 早在20世纪70年代,NIST就对自动数据处理(ADP Automated Data Processing )的物理安全和风险管理提供了 指南,1974年为美国实施隐私法指定了指南。 NIST在早期最具影响的工作之一,就是制定和公布了美国国 家加密标准DES(data encryption standard ) ,后来又制定了 DES的工作模式,以及使用EES在物理层进行保密数据通信的 互操作性和保密性的要求等。
10、DES在美国银行家协会和国家标 准化组织的参与下得到了广泛的社会应用,成为密码史上的一 个里程碑,至今影响全球。 (http:/www.nist.gov ) 6.美国国家标准协会(ANSI)(American National Standards Institute) 美国国家标准协会是由制定标准和使用标准 的组织联合组成的非盈利非政府部门形式的 民办机构。 但是不制定标准,标准是由其委托其他团体 来制定的。 ( http:/www.ansi.org ) (二)因特网标准与组织 1.因特网协会(ISOC Internet Society )是一个由来自180 多个国家的150多个团体会员和10
11、000多名个人会员组成的组 织。 因特网协会声称其成立的 宗旨是要为因特网标准的设置提供 支持,为IAB(Internet Architecture Board)和IETF( The Internet Engineering Task Force)提供法律上的保障 。 在因特网协会中,负责协调因特网的设计、工程和管理工作 的是因特网体系机构工作委员会(IAB)。 http:/www.isoc.org/ http:/www.ietf.org/ http:/www.iab.org/ 从制定规范到成为因特网会员,在这一发展过程中要经历一 系列逐渐成熟的阶段,这一过程被称为因特网标准的制定过 程。因特
12、网标准的制定过程有三个公认的发展阶段,分别是 : 提议阶段。这是某个规范刚刚进入标准的制定过程的阶段。通常被提议 的标准应该是比较稳定的,已经解决了设计上的问题,相信能被人们很 好地理解,并且已经受到了因特网社会的认真关注,引起了因特网社会 的兴趣,被认为是有价值的。一个规范作为提议标准的时间至少是6个 月。 草案阶段。这是当某个规范至少被应用于两个独立的互操作的实施项目 中,并且取得了一定运作经验的阶段。草案标准无论是在其语义上还是 在作为开发某个实施项目的基础上的,都必须能为人们很好地理解,而 且相当稳定。一个标准作为草案标准的时间至少是4个月。 正式标准阶段。这是一个规范进入到了技术成熟
13、的高级阶段,而且通常 人们相信,由该规范指定的协议或服务能给因特网社会带来极大的益处 。任何人都可以直接跟踪因特网标准的开发过程,并且任何人都可以方便 地通过电子邮件向标准的制定过程提出自己的建议。 所有正处于制定过程中的规范都公布在因特网请求评议( RFC)的文件系列中。人们所熟悉的RFC有: RFC791IP协议; RFC793TCP协议; RFC822SMTP协议; RFC2068HTTP协议。 有关因特网RFC的信息可以在IETF的网站上查到。 (http:/www.irtf.org/ )2.因特网安全运作指导方针 为了电子商务的安全,我们必须要保护因特网的安全。 RFC1281即因特
14、网安全运作指导方针作为一份经久不 衰的出版物,为人们如何在因特网社会中的协调努力实现 一个安全的环境提供了指导。该文件规定,用户、服务商 以及商品经销商具有下列相应责任: (1)用户有责任了解和遵守其所使用的系统(计算 机系统 网络系统)的安全政策。用户应 该对自己的行为负责任。 (2)用户有责任采取切实可行的安全机制和安全程序来保护 其所拥有的数据,用户还有责任帮助保护其所使用的系统的 安全。 (3)计算机与网络服务提供商有责任维护其所经营运作系统 的安全,他们还有责任将其安全政策以及其政策的变动情况 告知用户。 (4)产品经销商和系统开发商有责任提供可靠的具有一定安 全控制功能的系统。 (
15、5)用户、服务提供商以及硬件经销商有责任为保障安全而 相互合作。 (6)有关因特网安全协议方面的技术改进应该寻求在一种可 持续的基础上进行,同时,在因特网上的新协议和软件产品 的设计与开发过程中,应该考虑安全技术人员的参与。3.我国的信息安全标准化工作 我国是国际标准化组织的成员国。从20世纪80年代中期开始,我 国自主制定和采取了一批相应的信息安全标准,对我国的信息安 全起到了重要的指导作用。 但是,我们应该承认,标准的制定需要较为广泛的应用经验和较 为深入的研究背景。由于这些方面的不足,所以我国信息安全标 准化工作与国际已有的工作相比,覆盖面还不够大,对宏观和微 观的指导作用也有待进一步提高。 我国已发布的有关信息安全的部分国家标准如下: GB 4943-1995,信息技术设备(包括电气事务设备)的安全(IEC950)。 GB 9361-1988,计算机场地安全要求。 GB/T 9387.2-1995, 信息处理系统开放系统互联基本参考模型第2部分安全 体系结构(ISO 7498-2:1989) GB/T 15227-1994, 信息处理64位块加密算法操作方式(ISO8372:1987) 第 2 节 安全协调机构与政策1.国际信息安全协调机构 信息安全管理离不开有组织的管理与协调活动。目前在国际上比较有名 的按去协调机构是
