资源预览内容
第1页 / 共21页
第2页 / 共21页
第3页 / 共21页
第4页 / 共21页
第5页 / 共21页
第6页 / 共21页
第7页 / 共21页
第8页 / 共21页
第9页 / 共21页
第10页 / 共21页
第11页 / 共21页
第12页 / 共21页
第13页 / 共21页
第14页 / 共21页
第15页 / 共21页
第16页 / 共21页
第17页 / 共21页
第18页 / 共21页
第19页 / 共21页
第20页 / 共21页
亲,该文档总共21页,到这儿已超出免费预览范围,如果喜欢就下载吧!
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,第9章 电子商务平安评估与法律保护,第9章 电子商务平安评估与法律保护,任务驱动,随着电子商务的开展,平安问题显得越来越突出。概括地说,电子商务的平安主要表达在交易的有效性和可执行性、交易机制的可靠性、交易过程的完整性和保密性。目前,电子商务平安问题的解决,可以分为技术与法律两方面。通过本章学习,学生应该能够掌握电子商务平安评估中的风险管理知识,了解平安成熟度模型,识别电子商务面临的威胁,了解电子商务的平安评估方法,熟悉有关电子商务的根本法律法规。,第9章 电子商务平安评估与法律保护,本章内容,9.1电子商务平安评估,9.2电子商务的法律法规,9.1 电子商务平安评估,风险管理,1风险的概念,风险是构成平安根底的根本观念。风险是丧失需要保护的资产的可能性。如果没有风险,就不需要平安了。,漏洞,威胁,威胁+漏洞风险,9.1 电子商务平安评估,2风险的识别与测量,风险的识别,对一个组织而言,识别风险除了要识别漏洞和威胁外,还应考虑已有的对策和预防措 施,如图9-1所示。,9.1 电子商务平安评估,风险的测量,风险测量是必须识别出在受到攻击后该组织需要付出的代价。图9-2表示风险测量的全部。,9.1 电子商务平安评估,认识到风险使该组织付出的代价也是确定如何管理风险的决定因素。风险永远不可能完全去除,风险必须管理。代价是多方面的,包括:,资金,时间,资源,信誉,9.1 电子商务平安评估,平安成熟度模型,成熟度模型可用来测量组织的解决方案(软件、硬件和系统)的能力和效力。因此它可用于平安评估,以测量针对业界最正确实际的平安体系结构。可以就以下3个方面进行分析:方案、技术和配置、操作运行过程。平安方案包括平安策略、标准、指南以及平安需求。技术和配置的成熟度水平根据选择的特定产品、准那么,在组织内的安置以及产品配置而定。操作运行过程包括变更管理、报警和监控,以及平安教育方面。,9.1 电子商务平安评估,1平安方案,一个好的平安体系结构必须建立在一个巩固的平安方案根底之上。方案的文本必须清晰、完整。,2技术和配置,3运行过程,运行过程包括平安组件需要的必要支持和维护、变更管理、经营业务的连续性、用户平安意识培训、平安管理,以及平安报警与监控等。,9.1 电子商务平安评估,威胁,威胁包含3个组成局部:,目标,可能受到攻击的方面。,代理,发出威胁的人或组织。,事件,做出威胁的动作类型。,9.1 电子商务平安评估,1威胁的来源,人为过失和设计缺陷,内部人员,临时员工,自然灾害和环境危害,黑客和其他入侵者,病毒和其他恶意软件,9.1 电子商务平安评估,2威胁情况与对策,社会工程(系统管理过程),电子窃听,软件缺陷,信任转移(主机之间的信任关系),数据驱动攻击(恶意软件),拒绝效劳,DNS欺骗,源路由,内部威胁,9.1 电子商务平安评估,平安评估方法,1平安评估过程,平安评估方法的第一步是发现阶段,所有有关平安体系结构适用的文本都必须检查,包括平安策略、标准、指南,信息等级分类和访问控制方案,以及应用平安需求。,评估的第二步是人工检查阶段,将文本描述的体系结构与实际的结构进行比较,找出其差异。可以采用手工的方法,也可采用自动的方法。,评估的第三步是漏洞测试阶段。,平安评估的最后一步是认证平安体系结构的处理过程局部。,9.1 电子商务平安评估,2网络平安评估,网络评估的第一步是了解网络的拓扑。假设防火墙在阻断跟踪路由分组,这就比较复杂,因为跟踪路由器是用来绘制网络拓扑的。,第二步是获取公共访问机器的名字和IP地址,这是比较容易完成的。只要使用DNS并在ARIN(American Registry for Internet Number)试注册所有的公共地址。,最后一步是对全部可达主机做端口扫描的处理。端口是用于TCPIP和UDP网络中将一个端口标识到一个逻辑连接的术语。,9.1 电子商务平安评估,3平台平安评估,平台平安评估的目的是认证平台的配置(操作系统对漏洞不易受损、文件保护及配置文件有适当的保护)。认证的惟一方法是在平台自身上执行一个程序。有时该程序称为代理,因为集中的管理程序由此开始。假设平台已经适当加固,那么就有一个基准配置。,评估的第一局部是认证基准配置、操作系统、网络效劳(FTP、rlogin、telnet、SSH等)没有变更。黑客首先是将这些文件替换成自己的版本。这些版本通常是记录管理员的口令,并转发给Internet上的攻击者。假设任何文件需打补丁或使用效劳包,代理将通知管理员。,第二局部测试是认证管理员的口令,大局部机器不允许应用用户登录到平台,对应用的用户鉴别是在平台上运行的,而不是平台本身。,4应用平安评估,9.1 电子商务平安评估,平安评估准那么,1可信计算机系统评估准那么,2信息技术平安评估准那么,3通用平安评估准那么,4计算机信息系统平安保护等级划分准那么,9.2电子商务的法律法规,电子商务开展中遇到的法律问题,1跨国界网络经济对各国法律的冲击,2网上签订合同的有效性,发盘的生效,发盘的撤回与撤销,接受的生效与撤回,合同的形式问题,3网上知识产权的保护,域名保护,版权保护,专利权保护,4隐私权的保护,电子商务的立法状况,1国际范围内的电子商务法律建设,联合国?电子商务示范法?,美国的电子商务立法,欧盟有关电子商务的立法状况,新加坡的电子商务立法,日本推动电子商务开展的政策文件,澳大利亚的电子商务立法,2我国电子商务的立法现状,我国电子商务活动的法律建设现状,我国现阶段电子商务活动的立法任务,3我国电子商务立法的总那么,立法目的,消除电子商务开展的法律障碍。,消除现有法律适用上的不确定性,保护合理的商业预期,保障交易平安。,建立一个清晰的法律框架以统一调整电子商务的开展。,立法原那么,立法的范围,电子商务法的调整对象。,电子商务法涉及的技术范围。,电子商务法涉及的商务范围。,法律冲突的解决,立法的途径,制定新的法律标准。,修改或解释既定的法律标准。,创造有利于电子商务开展的配套法律体系。,谢谢!,
点击显示更多内容>>

最新DOC

最新PPT

最新RAR

收藏 下载该资源
网站客服QQ:3392350380
装配图网版权所有
苏ICP备12009002号-6