第七章電子商務安全管理第七章電子商務安全管理理解計算機安全等級保護制度的基本內容；理解電子商務安全管理體系的內容；掌握安全策略的原則、目的、內容、實施方案的制定以及層次的劃分；掌握安全管理的行政原則、數據管理等內容；了解電子商務安全的信用管理；了解信用管理的內容以及管理模式。知識目標理解計算機安全等級保護制度的基本內容；知識目標能夠為某一臺計算機系統評判安全等級；掌握電子商務安全策略的實施方法。技能目標能夠為某一臺計算機系統評判安全等級；技能目標第一節計算機安全等級保護制度一、信息安全等級1.信息保密安全等級第一節計算機安全等級保護制度一、信息安全等級1.信息第一節計算機安全等級保護制度2.人員安全等級在計算機信息系統的實際操作使用過程中，人員安全等級主要根據該人員作為用戶時授予他的安全等級來劃分（如訪問能力的安全等級、資源共享范圍安全等級等），并借助訪問的鑒別、控制機制等安全技術，絕對可靠地控制在預告確定的安全范圍之內。第一節計算機安全等級保護制度2.人員安全等級第一節計算機安全等級保護制度二、計算機信息系統的安全等級第一節計算機安全等級保護制度二、計算機信息系統的安全等第一節計算機安全等級保護制度三、計算機安全等級第一節計算機安全等級保護制度三、計算機安全等級第一節計算機安全等級保護制度四、物理環境安全等級1.計算機機房安全等級規范要求《計算站場地安全要求》中將計算機機房分為3種基本安全類別：B類：對計算機機房的安全有較嚴格的要求，有完善的計算機機房安全措施；C類：對計算機機房的安全有基本的要求，有基本的計算機機房安全措施。A類：對計算機機房的安全有嚴格的要求，有完善的計算機機房安全措施；第一節計算機安全等級保護制度四、物理環境安全等級1.第一節計算機安全等級保護制度2.計算機機房供電要求第一節計算機安全等級保護制度2.計算機機房供電要求第一節計算機安全等級保護制度3.計算機機房溫濕度要求第一節計算機安全等級保護制度3.計算機機房溫濕度要求第一節計算機安全等級保護制度4.接地要求第一節計算機安全等級保護制度4.接地要求第一節計算機安全等級保護制度五、計算機信息網絡國際聯網安全保護管理《計算機信息網絡國際聯網安全保護管理辦法》（以下簡稱《辦法》）的頒布實施，適應了我國信息化建設的客觀實際，使我國以信息流安全保護為中心內容的信息網絡國際互連的安全保護管理，納入了法制化和規范化的軌道。第一節計算機安全等級保護制度五、計算機信息網絡國際聯網第一節計算機安全等級保護制度1.制定《辦法》的基本指導思想體現嚴格管理的原則體現與國家現行法律體系一致性的原則體現保障安全的原則體現促進發展的原則第一節計算機安全等級保護制度1.制定《辦法》的基本指導第一節計算機安全等級保護制度2.《辦法》的適用范圍和調整對象凡是在中華人民共和國境內的任何單位和個人的計算機信息網絡國際聯網的安全保護管理，均適用本《辦法》。第一節計算機安全等級保護制度2.《辦法》的適用范圍和調第一節計算機安全等級保護制度3.《辦法》禁止的活動和內容（1）從事國際聯網業務的單位和個人，不得從事的危害計算機信息網絡安全的活動有：①未經允許進入計算機信息網絡或越權使用計算機信息網絡資源。②未經允許對計算機信息網絡功能進行刪除、修改和增加。③未經允許對計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改和增加。④故意制作、傳播計算機病毒等破壞性程序。⑤其他危害計算機信息網絡安全的活動。⑥從事國際聯網業務的單位和個人，不得以任何理由侵犯用戶的通信自由和通信秘密。第一節計算機安全等級保護制度3.《辦法》禁止的活動和內第一節計算機安全等級保護制度（2）從事國際聯網業務的單位和個人，不得制作、復制、查閱和傳播下列信息：①煽動抗拒、破壞憲法和國家法律、行政法規實施的。②煽動顛覆國家政權、推翻社會主義制度的。③煽動分裂國家、破壞國家統一的。④煽動民族仇恨、民族歧視，破壞民族團結的。⑤捏造或者歪曲事實，故意散布謠言，擾亂社會秩序的。⑥宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪的。⑦公然侮辱他人或者捏造事實誹謗他人的。⑧損害各級政府機構的公眾信譽的。⑨其他違反憲法、國家法律和行政法規的。第一節計算機安全等級保護制度（2）從事國際聯網業務的單第一節計算機安全等級保護制度4.安全責任計算機信息網絡國際聯網安全保護管理是社會公共安全的重要組成部分，應該貫徹“誰主管，誰負責”的原則。從事國際聯網業務的單位，實際上是處于維護網絡安全和信息流安全的第一線，以及事實上的信息國門，肩負著安全重任。第一節計算機安全等級保護制度4.安全責任第一節計算機安全等級保護制度5.公安機關計算機管理監察機構的職責《辦法》明確規定了公安機關計算機管理監察機構負責對計算機信息網絡國際聯網安全管理工作的監督、檢查工作。公安機關各級計算機管理監察機構分別負責國際聯網的安全管理工作。第一節計算機安全等級保護制度5.公安機關計算機管理監察第二節電子商務安全管理體系（一）制定安全策略的目的與原則為了達到這樣的目的，制定安全策略應遵循以下幾條原則。一、安全策略一致性整體性易操作性層次性均衡性12345第二節電子商務安全管理體系（一）制定安全策略的目的與原第二節電子商務安全管理體系（二）制定安全策略的內容確定內部信息對外開放的種類及發布和訪問方式對網絡系統資源進行評估對可能存在的風險進行分析確定針對潛在風險采取的安全保護措施明確網絡系統管理人員的責任和義務進行安全需求分析第二節電子商務安全管理體系（二）制定安全策略的內容確定第二節電子商務安全管理體系（三）制定安全策略的實施方案實施方案的主要內容選擇安全技術第二節電子商務安全管理體系（三）制定安全策略的實施方案第二節電子商務安全管理體系（四）安全策略的層次根據TCP/IP的層次結構，網絡安全的層次可分為網際層和應用層。網際層應用層第二節電子商務安全管理體系（四）安全策略的層次網際層應第二節電子商務安全管理體系（一）安全管理的行政原則二、安全管理系統管理崗位任期有限原則職責有限、分離原則多人負責原則第二節電子商務安全管理體系（一）安全管理的行政原則二、第二節電子商務安全管理體系（二）數據管理數據分類數據的安全管理第二節電子商務安全管理體系（二）數據管理數據分類數據的第三節電子商務安全的信用管理（一）信息不對稱和信用管理一、信用管理概述信息不對稱信息不對稱與信用管理的關系第三節電子商務安全的信用管理（一）信息不對稱和信用管理第三節電子商務安全的信用管理（二）信用管理體系的構成信用動態跟蹤及反饋系統信用保障系統信用評價及查詢系統交易主體基本信用信息采集系統第三節電子商務安全的信用管理（二）信用管理體系的構成信1.中介模式二、電子商務信用管理模式第三節電子商務安全的信用管理1.中介模式二、電子商務信用管理模式第三節電子商務安2.擔保人模式第三節電子商務安全的信用管理2.擔保人模式第三節電子商務安全的信用管理3.網站經營模式第三節電子商務安全的信用管理3.網站經營模式第三節電子商務安全的信用管理4.委托授權模式第三節電子商務安全的信用管理4.委托授權模式第三節電子商務安全的信用管理信用管理體系建設的主要措施如下。三、信用管理體系建設第三節電子商務安全的信用管理內部作業管理信息發布管理電子交易管理清算程序管理服務管理經營許可管理信用管理體系建設的主要措施如下。三、信用管理體系建設第三節本章小結本章首先介紹了計算機安全等級保護制度的相關規范，包括信息安全等級、計算機信息系統安全等級、計算機安全等級、物理環境安全等級、計算機信息網絡國際聯網安全保護管理。在具體應用過程中，建立起的安全管理體系要遵循均衡性、整體性、一致性、易操作性、層次性；在此原則基礎上，制定安全策略的內容、實施方案，并最終確定安全策略的層次。電子商務安全的信用管理同樣重要，信用管理體系包含交易主體基本信用信息采集系統、信用評價及查詢系統、信用動態跟蹤及反饋系統、信用保障系統。電子商務信用管理模式包括中介模式、擔保人模式、網站經營模式、委托授權模式。本章小結本章首先介紹了計算機安全等級保護制度的相關規范，包括綜合訓練1.簡述電子商務安全管理的方法。2.計算機安全等級保護制度的基本內容是什么？3.電子商務安全管理體系的內容是什么？4.列舉一個在日常生活中所接觸到的關于電子商務安全的例子。綜合訓練綜合訓練1.簡述電子商務安全管理的方法。綜合訓練實訓設計進一步了解電子商務安全的現狀以及安全管理的現狀，培養改善現有管理現狀的能力。實訓目標熟悉電子商務安全管理實訓設計進一步了解電子商務安全的現狀以及安全管理的現狀，培養實訓設計（1）結合文中介紹的計算機安全等級，檢查自己計算機的安全等級水平，并試著提高自己計算機的安全等級水平。（2）上網查找有關電子商務安全管理的相關案例，針對案例所述情況，分析出現安全問題的原因，并積極思考改善安全管理現狀的方法。實訓內容實訓設計（1）結合文中介紹的計算機安全等級，檢查自己計算機第7章電子商務安全管理課件第七章電子商務安全管理第七章電子商務安全管理理解計算機安全等級保護制度的基本內容；理解電子商務安全管理體系的內容；掌握安全策略的原則、目的、內容、實施方案的制定以及層次的劃分；掌握安全管理的行政原則、數據管理等內容；了解電子商務安全的信用管理；了解信用管理的內容以及管理模式。知識目標理解計算機安全等級保護制度的基本內容；知識目標能夠為某一臺計算機系統評判安全等級；掌握電子商務安全策略的實施方法。技能目標能夠為某一臺計算機系統評判安全等級；技能目標第一節計算機安全等級保護制度一、信息安全等級1.信息保密安全等級第一節計算機安全等級保護制度一、信息安全等級1.信息第一節計算機安全等級保護制度2.人員安全等級在計算機信息系統的實際操作使用過程中，人員安全等級主要根據該人員作為用戶時授予他的安全等級來劃分（如訪問能力的安全等級、資源共享范圍安全等級等），并借助訪問的鑒別、控制機制等安全技術，絕對可靠地控制在預告確定的安全范圍之內。第一節計算機安全等級保護制度2.人員安全等級第一節計算機安全等級保護制度二、計算機信息系統的安全等級第一節計算機安全等級保護制度二、計算機信息系統的安全等第一節計算機安全等級保護制度三、計算機安全等級第一節計算機安全等級保護制度三、計算機安全等級第一節計算機安全等級保護制度四、物理環境安全等級1.計算機機房安全等級規范要求《計算站場地安全要求》中將計算機機房分為3種基本安全類別：B類：對計算機機房的安全有較嚴格的要求，有完善的計算機機房安全措施；C類：對計算機機房的安全有基本的要求，有基本的計算機機房安全措施。A類：對計算機機房的安全有嚴格的要求，有完善的計算機機房安全措施；第一節計算機安全等級保護制度四、物理環境安全等級1.第一節計算機安全等級保護制度2.計算機機房供電要求第一節計算機安全等級保護制度2.計算機機房供電要求第一節計算機安全等級保護制度3.計算機機房溫濕度要求第一節計算機安全等級保護制度3.計算機機房溫濕度要求第一節計算機安全等級保護制度4.接地要求第一節計算機安全等級保護制度4.接地要求第一節計算機安全等級保護制度五、計算機信息網絡國際聯網安全保護管理《計算機信息網絡國際聯網安全保護管理辦法》（以下簡稱《辦法》）的頒布實施，適應了我國信息化建設的客觀實際，使我國以信息流安全保護為中心內容的信息網絡國際互連的安全保護管理，納入了法制化和規范化的軌道。第一節計算機安全等級保護制度五、計算機信息網絡國際聯網第一節計算機安全等級保護制度1.制定《辦法》的基本指導思想體現嚴格管理的原則體現與國家現行法律體系一致性的原則體現保障安全的原則體現促進發展的原則第一節計算機安全等級保護制度1.制定《辦法》的基本指導第一節計算機安全等級保護制度2.《辦法》的適用范圍和調整對象凡是在中華人民共和國境內的任何單位和個人的計算機信息網絡國際聯網的安全保護管理，均適用本《辦法》。第一節計算機安全等級保護制度2.《辦法》的適用范圍和調第一節計算機安全等級保護制度3.《辦法》禁止的活動和內容（1）從事國際聯網業務的單位和個人，不得從事的危害計算機信息網絡安全的活動有：①未經允許進入計算機信息網絡或越權使用計算機信息網絡資源。②未經允許對計算機信息網絡功能進行刪除、修改和增加。③未經允許對計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改和增加。④故意制作、傳播計算機病毒等破壞性程序。⑤其他危害計算機信息網絡安全的活動。⑥從事國際聯網業務的單位和個人，不得以任何理由侵犯用戶的通信自由和通信秘密。第一節計算機安全等級保護制度3.《辦法》禁止的活動和內第一節計算機安全等級保護制度（2）從事國際聯網業務的單位和個人，不得制作、復制、查閱和傳播下列信息：①煽動抗拒、破壞憲法和國家法律、行政法規實施的。②煽動顛覆國家政權、推翻社會主義制度的。③煽動分裂國家、破壞國家統一的。④煽動民族仇恨、民族歧視，破壞民族團結的。⑤捏造或者歪曲事實，故意散布謠言，擾亂社會秩序的。⑥宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪的。⑦公然侮辱他人或者捏造事實誹謗他人的。⑧損害各級政府機構的公眾信譽的。⑨其他違反憲法、國家法律和行政法規的。第一節計算機安全等級保護制度（2）從事國際聯網業務的單第一節計算機安全等級保護制度4.安全責任計算機信息網絡國際聯網安全保護管理是社會公共安全的重要組成部分，應該貫徹“誰主管，誰負責”的原則。從事國際聯網業務的單位，實際上是處于維護網絡安全和信息流安全的第一線，以及事實上的信息國門，肩負著安全重任。第一節計算機安全等級保護制度4.安全責任第一節計算機安全等級保護制度5.公安機關計算機管理監察機構的職責《辦法》明確規定了公安機關計算機管理監察機構負責對計算機信息網絡國際聯網安全管理工作的監督、檢查工作。公安機關各級計算機管理監察機構分別負責國際聯網的安全管理工作。第一節計算機安全等級保護制度5.公安機關計算機管理監察第二節電子商務安全管理體系（一）制定安全策略的目的與原則為了達到這樣的目的，制定安全策略應遵循以下幾條原則。一、安全策略一致性整體性易操作性層次性均衡性12345第二節電子商務安全管理體系（一）制定安全策略的目的與原第二節電子商務安全管理體系（二）制定安全策略的內容確定內部信息對外開放的種類及發布和訪問方式對網絡系統資源進行評估對可能存在的風險進行分析確定針對潛在風險采取的安全保護措施明確網絡系統管理人員的責任和義務進行安全需求分析第二節電子商務安全管理體系（二）制定安全策略的內容確定第二節電子商務安全管理體系（三）制定安全策略的實施方案實施方案的主要內容選擇安全技術第二節電子商務安全管理體系（三）制定安全策略的實施方案第二節電子商務安全管理體系（四）安全策略的層次根據TCP/IP的層次結構，網絡安全的層次可分為網際層和應用層。網際層應用層第二節電子商務安全管理體系（四）安全策略的層次網際層應第二節電子商務安全管理體系（一）安全管理的行政原則二、安全管理系統管理崗位任期有限原則職責有限、分離原則多人負責原則第二節電子商務安全管理體系（一）安全管理的行政原則二、第二節電子商務安全管理體系（二）數據管理數據分類數據的安全管理第二節電子商務安全管理體系（二）數據管理數據分類數據的第三節電子商務安全的信用管理（一）信息不對稱和信用管理一、信用管理概述信息不對稱信息不對稱與信用管理的關系第三節電子商務安全的信用管理（一）信息不對稱和信用管理第三節電子商務安全的信用管理（二）信用管理體系的構成信用動態跟蹤及反饋系統信用保障系統信用評價及查詢系統交易主體基本信用信息采集系統第三節電子商務安全的信用管理（二）信用管理體系的構成信1.中介模式二、電子商務信用管理模式第三節電子商務安全的信用管理1.中介模式二、電子商務信用管理模式第三節電子商務安2.擔保人模式第三節電子商務安全的信用管理2.擔保人模式第三節電子商務安全的信用管理3.網站經營模式第三節電子商務安全的信用管理3.網站經營模式第三節電子商務安全的信用管理4.委托授權模式第三節電子商務安全的信用管理4.委