電子商務基礎與應

（第四版）

第十二章電子商務安全管理

12.1網絡交易風險和安全管理的基本思路

12.2客戶認證技術

12.3防止黑客入侵

12.4網絡交易系統的安全管理制度

12.5電子商務交易安全的法律保障

12.1網絡交易風險和安全管理的

基本思路

12.1.1網絡交易風險凸現

12.1.2網絡交易風險源分析

12.1.3網絡交易安全管理的基本思路

12.1.1網絡交易風險凸現

■1988年11月2日，美國康奈爾大學學生羅伯特?莫瑞斯利用

蠕蟲程序攻擊了Internet網上約6200臺小型機和Sim工作

站，造成包括美國300多個單位的計算機停止運行，事故

經濟損失達9600萬美元。

■1994年4月到10月期間，任職于俄國圣彼得堡OA土星公

司的弗拉基米爾?列?列文從本國操縱電腦，通過Internet

多次侵入美國花旗銀行在華爾街的中央電腦系統的現金

管理系統，從花旗銀行在阿根廷的兩家銀行和印度尼西

亞的一家銀行的幾個企業客戶的帳戶中將40筆款項轉移

到其同伙在加里福尼亞和以色列銀行所開的帳戶中，竊

走1000萬美元。

■1997年1月至U3月，寧波證券公司深圳業務部的曾定文多

次通過證券交易網絡私自透支本單位資金928萬元炒股；

而吳敬文則利用兩個股東帳號私自透支本單位資金2033

萬元炒股。

■1999年4月19日至21日，由于溫保成等人在因特網BBS站

點上非法張貼帖子，帶頭散布謠言，導致了交通銀行鄭

州分行的重大擠兌事件。

■2000年2月10日和17日秦海在銀行窺視騙取兩名儲戶的密

碼，然后利用電子商務從網上購得手機、快譯通等物，

共計價值2.7萬元人民幣。

■2000年3月6日，剛剛開業的中國最大的全國網上連鎖商

城開業3天慘遭黑客暗算，網站全線癱瘓，頁面被修改，

數據庫也受到了不同程度的攻擊，交易數據破壞嚴重。

12.1.2網絡交易風險源分析

電子商務風險源分析主要是依據對網絡交易整個運作過

程的考察，確定交易流程中可能出現的各種風險，分析

其危害性。

1.在線交易主體的市場準入問題

■在電子商務環境下，任何人不經登記就可以借助計算機

網絡發出或接受網絡信息，并通過一定程序與其他人達

成交易。虛擬主體的存在使電子商務交易安全性受到嚴

重威脅。

?電子商務交易安全首先要解決的問題就是確保網上交易

主體的真實存在，且確定哪些主體可以進入虛擬市場從

事在線業務。

2.信息風險

■買賣雙方都可能在網絡上發布虛假的供求信息，或以過

期的信息冒充現在的信息。虛假信息包含有與事實不符

和夸大事實兩個方面。

■從技術上看，網絡交易的信息風險主要來自冒名偷竊、

篡改數據、信息丟失等方面的風險。

3.信用風險

■來自買方的信用風險。

■來自賣方的信用風險。

買賣雙方都存在抵賴的情況。

4.網上欺詐犯罪

■騙子們利用人們的善良天性，在電子交易活動中頻繁欺詐

用戶，利用電子商務欺詐已經成為一種新型的犯罪活動。

5.電子合同問題

■電子商務法需要解決由于電子合同與傳統合同的差別而引

起的諸多問題，突出表現在書面形式，簽字有效性、合同

收訖、合同成立地點、合同證據等方面。

6.電子支付問題

■網上支付通過信用卡制服和虛擬銀行的電子資金劃撥來

完成。而實現這一過程涉及網絡銀行與網絡交易客戶之

間的協議、網絡銀行與網站之間的合作協議以及安全保

障問題。

7.在線消費者保護問題

■在線市場的虛擬性和開放性，網上購物的便捷性使消費

者保護成為突出的問題。

■在我國商業信用不高的狀況下，網上出售的商品可能良

莠不齊，質量難以讓消費者信賴。

■網絡的開放性和互動性又給個人隱私保護帶來麻煩。

8.電子商務中產品交付問題

■在線交易的標的物分兩種，一種有形貨物，另一種是無

形的信息產品。

■有形貨物的交付仍然可以沿用傳統合同法的基本原理。

■信息產品的交付則具有不同于有形貨物交付的特征，對

于其權利的移轉、退貨、交付的完成等需要有相應的安

全保障措施。

12.1.3網絡交易安全管理的基本思路

■電子商務是活動在Internet平臺上的一個涉及信息、資金

和物資交易的綜合交易系統，其安全對象不是一般的系

統，而是一個開放的、人在其中頻繁活動的、與社會系

統緊密耦合的復雜巨系統(complexgiantsystem)。它

是由商業組織本身(包括營銷系統、支付系統、配送系

統等)與信息技術系統復合構成的。

■在分析系統的安全風險，制定相應的安全保護措施時同

樣需要基于其“復合型”性質，即需要同時考慮其組織

和技術體系以及管理過程的性質。

■電子商務交易安全要通過人網結合、人機結合，充分發

揮各自優勢的方法，才能經過綜合集成，使系統表現出

新的安全性質一整體大于部分之和。

■與電子商務交易系統相適應，電子商務交易安全是一個

系統工程。

■一個完整的網絡交易安全體系，至少應包括三類措施，

一是技術方面的措施，二是管理方面的措施，三是社會

的政策與法律保障。

12.2客戶認證技術

12.2.1身份認證

12.2.2信息認證技術

12.2.3通過認證機構認證

12.2.4我國電子商務認證機構的建設

12.2.1身份認證

■客戶認證主要包括客戶身份認證和客戶信息認證。前者

用于鑒別用戶身份，保證通信雙方的身份的真實性；后

者用于保證通信雙方的不可抵賴性和信息的完整性。

1.身份認證的目標

■身份認證包含識別和鑒別兩個過程。身份標識是指定用

戶向系統出示自己的身份證明過程。身份鑒別是系統查

核用戶的身份證明的過程。身份認證的主要目標包括：

(1)確保交易者是交易者本人，而不是其他人。

(2)避免與超過權限的交易者進行交易。

(3)訪問控制。

2.用戶身份認證的基本方式

■用戶身份認證可通過三種基本方式或其組合方式實現：

（1）用戶通過某個秘密信息，例如通過口令訪問系統資源。

（2）用戶知道的某個秘密信息，并且利用包含這一秘密信息

的載體訪問系統資源。

（3）用戶利用自身所具有的某些生物學特征，如指紋、聲音、

DNA圖案、視網膜掃描等等。

根據在認證中采用因素的多少,可以分為單因素認證、

雙因素認證,多因素認證等方法。

3.身份認證的單因素法

■用戶身份認證的最簡單方法就是口令。這種方法操作簡

單，但也最不安全。

■口令進行加密傳輸是一種改進的方法。

4.基于智能卡的用戶身份認證

■基于智能卡的用戶身份認證機制屬于雙因素法。

■用戶的二元組信息預先存于智能卡中，然后在認證服務

器中存入某個事先由用戶選擇的某個隨機數。

■用戶訪問系統資源時，用戶輸入二元組信息。系統首先

判斷智能卡的合法性，然后由智能卡鑒別用戶身份，若

用戶身份合法，再將智能卡中的隨機數送給認證服務器

作進一步認證。

5.一次口令機制

■最安全的身份認證機制是采用一次口令機制，即每次用

戶登錄系統時口令互不相同。主要有兩種實現方式。

■一次口令機制主要有兩種實現方式：

(1)“請求響答”方式。

(2)“時鐘同步”機制。

12.2.2信息認證技術

1.信息認證的目標

信息認證的主要目標包括:

（1）可信性。信息的來源是可信的，即信息接收者能夠確認

所獲得的信息不是由冒充者所發出的。

（2）完整性。信息接收者能夠確認所獲得的信息在傳輸過程

中沒有被修改、延遲和替換。

（3）不可抵賴性。要求通信雙方不能否認自己所發出或接收

的信息。

（4）保密性。對敏感的文件進行加密，即使別人截獲文件也

無法得到其內容。

2.基于私有密鑰體制的信息認證

■基于私有密鑰體制采用了對稱加密算法，即信息交換雙

方共同約定一個口令或一組密碼，建立一個通訊雙方共

享的密鑰。通信的甲方將要發送信息用私鑰加密后傳給

乙方，乙方用相同的私鑰解密后獲得甲方傳遞的信息

(參見圖12”)o

■對稱加密算法有多種，最常用的是DES算法。

對稱加密算法在電子商務交易過程中存在三個問題:1

(1)要求提供一條安全的渠道使通訊雙方在首次通訊時協商

一個共同的密鑰。

(2)密鑰的數目將快速增長而變得難于管理。

(3)對稱加密算法一般不提供信息完整性的鑒別。

發送方用自己接收方用發送

的私鑰加密方的私鑰解密

發送方接收方

圖12-1對稱加密示意圖

3.基于公開密鑰體制的信息認證

■公開密鑰加密體系采用的是非對稱加密算法。使用公開

密鑰算法需要兩個密鑰:公開密鑰和私有密鑰。

■公開密鑰體制常用的加密算法是RSA算法。

■圖12?2是使用公鑰加密和對應的私鑰解密的示意圖。

圖12-2使用公鑰加密和對應的私鑰解密的示意圖

4.數字簽字和驗證

■文件的數字簽字過程實際上是通過一個哈希函數來實現的。

■哈希函數將需要傳送的文件轉化為一組具有固定長度的單向

Hash值，形成報文摘要。

■發送方用自己的私有密鑰對報文摘要進行加密，然后將其與

原始的報文附加在一起，即合稱為數字簽字。

■數字簽字代表了文件的特征，文件如果發生改變，數字簽字

的值也將發生變化。

■數字簽字機制提供一種鑒別方法，通過它能夠實現對原始報

文的鑒別和驗證。

圖12?3顯示了數字簽字和驗證的傳輸過程。

私鑰加密

圖12-3數字簽字和驗證過程示意圖

■圖12-3的運作步驟如下：

（1）發送方首先用哈希函數，將需要傳送的消息轉換成報文

摘要。

（2）發送方采用自己的私有密鑰對報文摘要進行加密，形成

數字簽字。

（3）發送方把加密后的數字簽字附加在要發送的報文后面，

傳遞給接收方。

（4）接受方使用發送方的公有密鑰對數字簽字進行解密，得

到發送方形成的報文摘要。

（5）接收方用哈希函數將接收到的報文轉換成報文摘要，與

發送方形成的報文摘要相比較，若相同，說明文件在傳輸

過程中沒有被破壞。

5.時間戳

■時間戳(time-stamp)是一個經加密后形成的憑證文檔,

它包括需加時間戳的文件的摘要、DTS收到文件的日期

_和時間、DTS的數字簽字三個部分。

■時間戳產生的過程為：用戶首先將需要加時間戳的文件

用Hash函數轉化為報文摘要，然后將該摘要加密后發送

到提供時間戳服務的機構，DTS在加入了收到文件摘要

的日期和時間信息后再對該文件加密(數字簽字)，然

后送回用戶。

12.2.3通過認證機構認證

1.數字證書

■數字證書作為網上交易雙方真實身份證明的依據，是一

個經證書授權中心（CA）數字簽名的、包含證書申請者

（公開密鑰擁有者）個人信息及其公開密鑰的文件，由

可信任的、公正的權威機構CA頒發。

■數字證書按照不同的分類有多種形式，如個人數字證書

和單位數字證書，SSL數字證書和SET數字證書等。

■數字證書由兩部分組成：申請證書主體的信息和發行證

書的CA簽字（參見圖12-4）。

證書

------------------------------------------------------證實機構的

圖12-4數字證書的組成

2.認證機構(CertificateAuthority,CA)

■認證機構是為了從根本上保障電子商務交易活動順利進

行而設立的，主要是解決電子商務活動中交易參與各方

身份、資信的認定，維護交易活動的安全。

■CA是提供身份驗證的第三方機構，由一個或多個用戶信

任的組織實體構成。

■CA的功能主要有：接收注冊請求，處理、批準/拒絕請

求，頒發證書。

持卡人要與商家通信，持卡人從公開媒體上獲得了商家的公開

密鑰，但持卡人無法確定商家不是冒充的，于是持卡人請求

CA對商家認證，CA對商家進行調查、驗證和鑒別后，將包含

商家公鑰的證書傳給持卡人。同樣，商家也可對持卡人進行驗

證，如圖12-5所示。

圖12-5CA認證

3.電子商務的CA認證體系

■電子商務CA體系包括兩大部分，即符合SET標準的SET

CA認證體系（又叫“金融CA”體系）和基于X.509的PKI

CA體系（又叫“非金融CA”體系）。

1）SETCA

■SET協議中可以看出，由于采用公開密鑰加密算法，認

證中心（CA）就成為整個系統的安全核心。

■在SET中，CA所頒發的數字證書主要有持卡人證書、商

戶證書和支付網關證書。

■SET中CA的層次結構如圖12-6所示。

圖12-6SET中CA的層次結構

2）PKICA

■PKI是提供公鑰加密和數字簽字服務的安全基礎平臺，目

的是管理密鑰和證書。

■PKI是創建、頒發、管理、撤消公鑰證書所涉及到的所

有軟件、硬件的集合體。

■PKI將公開密鑰技術、數字證書、證書發放機構（CA）

和安全策略等安全措施整合起來，成為目前公認的在大

型開放網絡環境下解決信息安全問題最可行、最有效的

方法。

圖12-7是PKI的主要功能和服務的匯總。

單島點授登陸Byk、

VPNs

消息完整姓消息的不可

否認性一

E-MAIL加密PK1的功能

密鑰恢復

?制定證書策略和認證操作規范

?簽發證書

,發布證書

?作廢CA和用戶證書

時間戳

文件加密?發布CA和用戶證書作廢表(CRL)

?支持交叉認證

?支持數字簽名的不客否認

?管理密鑰歷史

圖12-7PKI的主要功能和服務

■一個典型的PKI應用系統包括五個部分：密鑰管理子系統、

證書受理子系統、證書簽發子系統、證書發布子系統、目錄

服務子系統。

密鑰管理中心證甘查詢驗證系統

簽發服務器OCSP服務器

操作終端

管理終端

主LDAP從LDAP

機加密服務器

1￡機加密服務器審計終端

注冊系統證書發布系統

注冊服務器

系統管理終端收發服務器

審計終端

業務管理終端業務處理終端制證終端

圖12-8PKI體系的構成

4.證書的樹形驗證結構

■在雙方通信時，通過出示由某個CA簽發的證書來證明自己

的身份，如果對簽發證書的CA本身不信任，則可驗證CA的

身份，依次類推，一直到公認的權威CA處（參見圖12-9）。

圖12-9證書的樹形驗證結構

5.帶有數字簽字和數字證書的加密系統

■安全電子商務使用的文件傳輸系統大都帶有數字簽字和數字

證書，其基本流程如圖12.10所示。

發送者Alice接收者Bob

加T商

因特:網

數字信封

圖12-10帶有數字簽字和數字證書的加密系統

■圖12-10顯示了整個文件加密傳輸的10個步驟：

（1）在發送方的網站上，將要傳送的信息通過哈什函數變換

為預先設定長度的報文摘要；

（2）利用發送方的私鑰給報文摘要加密，結果是數字簽字；

（3）將數字簽字和發送方的認證證書附在原始信息上打包，

使用DES算法生成的對稱密鑰在發送方的計算機上為信息

包加密，得到加密信息包。

（4）用預先收到的接收方的公鑰為對稱密鑰加密，得到數字

信封；

（5）加密信息和數字信封合成一個新的信息包，通過互聯網

將加密信息和數字信封傳導接收方的計算機上；

（6）用接收方的私鑰解密數字信封，得到對稱密鑰；

（7）用還原的對稱密鑰解密加密信息，得到原始信息、數字

簽字和發送方的認證證書；

（8）用發送方公鑰（置于發送方的認證證書中）解密數字簽

字，得到報文摘要；

（9）將收到的原始信息通過哈什函數變換為報文摘要；

（10）將第8步和第9步得到的信息摘要加以比較，以確認信息

的完整性。

6.認證機構在電子商務中的地位和作用

■在電子商務交易的撮合過程中，認證機構是提供交易雙

方驗證的第三方機構，由一個或多個用戶信任的、具有

權威性質的組織實體管理。

電子商務認證機構對登記者履行下列監督管理職責:.

（1）監督登記者按照規定辦理登記、變更、注銷手續。

（2）監督登記者按照電子商務的有關法律法規合法從事經

營活動。

（3）制止和查處登記人的違法交易活動，保護交易人的合

法權益。

12.2.4我國電子商務認證機構的建設

1.電子商務認證機構建設的不同思路

■地區主管部門認為應以地區為中心建立認證中心。

■行業主管部門認為應以行業為中心建立認證中心。

■也有人提出建立幾個國家級行業安全認證中心，形成一

個認證網絡，然后，實行相互認證。

■筆者認為，認證機構的建立，應發揮政府與市場兩個方

面的積極性。從政府層面上，全國應有國家級的CA認證

中心，同時，在各行業設立橫向的職能認證機構，在各

地區設立縱向的分支認證機構，從而形成類似于企業管

理中的直線職能制結構。

2.電子商務認證機構建設的基本原則

■權威性原則、真實性原則、機密性原則、快捷性原則、

經濟性原則。

3.國家級電子商務認證機構的設立

■電子商務交易主要涉及身份認證、資信認證、稅收認證、

外貿認證。這四個方面形成了四個行業認證系統，可以

把它們叫做“職能認證系統”。

■在職能認證系統上面，還需要有一個根認證系統，即國

家電子商務認證中心，通管職能認證系統。

■國家認證中心可以在各省和直轄市設立相應的分支機構,

從而形成類似于管理上直線職能制組織結構的認證系統

（參見圖12-11）o

國家電子商務認證中心

身份認證系統資信認證系統稅收認證系統外貿認證系統

（國家工商局）（中國人民銀行）（國家稅務總局）（外貿部）

T1

省市電子商務認證中心

身份認證系統資信認證系統稅收認證系統外貿認證系統

（省市工商局）（省市人民銀行）（省市稅務局）（省市外貿局）

圖12-11國家電子商務認證中心組織結構設想圖在職能認證系統

國家電子商務認證中心主要承擔根認證工作。這些工作包括:

■對職能認證系統和省市分認證中心進行政策指導和業

務管理。

■匯總職能認證中心和省市分認證中心的數據。

■負責數字憑證的管理與簽發。

■提供數字時間戳服務。

■負責使用者密碼的產生與保管。

■對交易糾紛提供證明資料。

12.3防止黑客入］

12.3.1黑客的基本概念

12.3.2網絡黑客常用的攻擊手段

12.3.3防范黑客攻擊的主要技術手段

12.3.1黑客的基本概念

■黑客(hacker),源于英語動詞hack,分為駭客和竊客。

■駭客只想引人注目，證明自己的能力，不會去破壞系統。他

們追求的是從侵入行為本身獲得巨大的成功的滿足。

■竊客的行為帶有強烈的目的性。主要是竊取國家情報、科研

情報；也瞄準了銀行的資金和電子商務的整個交易過程。

12.3.2網絡黑客常用的攻擊手段

1.口令攻擊

■黑客首先通過進入系統的常用服務，或對網絡通信進行監

視，使用掃描工具獲取目標主機的有用信息。

2.服務攻擊

■和目標主機建立大量的連接。

■向遠程主機發送大量的數據包。

■利用即時消息功能，以極快的速度用無數的消息“轟炸”

某個特定用戶。

■利用網絡軟件在實現協議時的漏洞，向目標主機發送特定

格式的數據包，從而導致主機癱瘓。

3.電子郵件轟炸

■用戶就會在很短的時間內收到大量的電子郵件，這樣使

得用戶系統的正常業務不能開展，系統功能喪失，嚴重

時會使系統關機，甚至使整個網絡癱瘓。

4.利用文件系統入侵

■如果FTP服務器上的用戶權限設置不當或保密程度不好,

極易造成泄密事件。

5.計算機病毒

■計算機病毒，是指編制或者在計算機程序中插入的破壞

計算機功能或者毀壞數據，影響計算機使用，并能自我

復制的一組計算機指令或者程序代碼。黑客常常利用計

算機病毒對目標主機進行攻擊。

6.IP欺騙

■IP欺騙是適用于TCP/IP環境的一種復雜的技術攻擊，它偽

造他人的源地址，讓一臺計算機來扮演另一臺計算機，借

以達到蒙混過關的目的。

■IP欺騙主要包括簡單的地址偽造和序列號預測兩種。

■簡單的地址偽造是指黑客將自己的數據包的源地址改為其

他主機的地址，然后發向目標主機，使目標主機無法正確

找到數據包的來源。

■序列號預測的攻擊方法是，黑客通過偽造TCP序列號、修

改數據包的源地址等方法，使數據包偽裝成來自被信任或

正在通信的計算機，而被目標主機接收。

12.3.3防范黑客攻擊的主要技術手段

防范黑客的技術措施根據所選用的產品的不同，可以分

為7類：入侵檢測設備，訪問設備、瀏覽器/服務器軟件、

證書、商業軟件、防火墻和安全工具包/軟件。

1.入侵檢測技術

■入侵檢測通過旁路監聽的方式不間斷地收取網絡數據，

對網絡的運行和性能無任何影響，同時判斷其中是否含

有攻擊的企圖，通過各種手段向管理員報警；不但可以

發現從外部的攻擊，也可以發現內部的惡意行為。

2.防火墻技術

1）傳統防火墻

■傳統防火墻的類型主要有三種：包過濾、應用層網關、

電路層網關。

2）新型防火墻

■新型防火墻的設計目標是既有包過濾的功能，又能在應

用層進行代理，能從數據鏈路層到應用層進行全方位安

全處理。

■:南型防火墻的設計綜合了包過濾技術和代理技術，克服

了二者在安全方面的缺陷；能夠從TCP/IP協議的數據鏈

路層一直到應用層施加全方位的控制。

■新型防火墻的系統構成如圖1242所示。

配置、報表4—?ApplicationProxy安全、日志、控制

I

DESandRSA4-------------密鑰產生與配置

A

V

配置、報表4—?TCP/IPProcess4-------------安全、日志、控制

A

V

RawAccessNIC

圖12-12新型防火墻的系統構成

3.物理隔離技術

■物理隔離卡安裝在主板和硬盤之間，完全控制硬盤讀寫

操作，并控制了網絡連接及通訊線路。

■物理隔離卡主要分為單硬盤物理隔離卡和雙硬盤物理隔

離卡。

■單硬盤物理隔離卡是通過把用戶的一個硬盤分成兩個區,

一個為公共硬盤/區（外網），另一個為安全硬盤/區（內

網），將一臺普通計算機變成兩臺虛擬計算機，每次啟

動進入其中的一個硬盤/區。

圖12-13是單硬盤物理隔離卡示意圖。

工作在工作在

內網時外網時

C盤

外

網

D盤區

域

1E盤

數據交換區

F盤（光驅）

可讀寫

G盤（光驅）

圖12-13單硬盤物理隔離卡工作示意圖

■雙硬盤物理隔離卡的基本原理是：在連接內部網絡的同

時，啟動內網硬盤及其操作系統，同時關閉外網硬盤；

在連接外部網絡的同時，啟動外網硬盤及其操作系統，

同時關閉內網硬盤。

■物理隔離網閘由物理隔離網絡電腦和物理隔離系統交換

機組成。其中，物理隔離網絡電腦負責與物理隔離交換

機通信，并承擔選擇內網服務器和外網服務器的功能。

■物理隔離交換機實際上就是一個加載了智能功能的電子

選擇開關。物理隔離交換機不但具有傳統交換機的功能,

而且增加了選擇網絡的能力（參見圖12-14）。

物理隔

內網服務器外網服務器

物理隔離

----)

物句隔離I交I換機

圖12-14物理隔離閘示意圖

12.4網絡交易系統的安全管理制度

12.4.1網絡交易系統的安全管理制度的涵義

12.4.2人員管理制度

12.4.3保密制度

12.4.4跟蹤、審計、稽核制度

12.4.5網絡系統的日常維護制度

12.4.6用戶管理

12.4.7病毒防范制度

12.4.8應急措施

12.4.1網絡交易系統的安全

管理制度的涵義

■網絡交易系統安全管理制度是用文字形式對各項安全要求

所做的規定，它是保證企業網絡營銷取得成功的重要基礎

工作，是企業網絡營銷人員安全工作的規范和準則。

■網絡交易系統安全管理制度包括人員管理制度、保密制度、

跟蹤審計制度、系統維護制度、數據備份制度、病毒定期

清理制度等。

12.4.2人員管理制度

（1）嚴格網絡營銷人員的選拔，將經過一定時間的考察、責

任心強、講原則、守紀律、了解市場、懂得營銷、具有

基本網絡知識的人員委派到崗位。

（2）落實工作責任制，不僅要求網絡營銷人員，完成規定的

營銷任務，而且要求他們嚴格遵守企業的網絡營銷安全

制度。

（3）貫徹電子商務安全運作基本原則，包括雙人負責原則；

任期有限原則，；最小權限原則等。

12.4.3保密制度

電子商務涉及企業的市場、生產、財務、供應等多方面的

機密，需要很好地劃分信息的安全級別，確定安全防范

重點，提出相應的保密措施。

信息的安全級別一般可分為三級:二

(1)絕密級。此部分網址、密碼不在互聯網絡上公開，只限

于公司高層人員掌握。

(2)機密級。此部分網址、密碼不在互聯網絡上公開，只限

于公司中層以上人員使用。

(3)秘密級。此部分網址、密碼在互聯網絡上公開，供消費

者瀏覽，但必須有保護程序，防止黑客入侵。

12.4.4跟蹤、審計、稽核制度

■跟蹤制度要求企業建立網絡交易系統日志機制，用來記

錄系統運行的全過程。

■審計制度包括經常對系統日志的檢查、審核。

■稽核制度是指工商管理、銀行、稅務人員發出相應的警

示或作出處理處罰的有關決定的一系列步驟及措施。

12.4.5網絡系統的日常維護制度

1.硬件的日常管理和維護

1）網絡設備

2）服務器和客戶機

3）通信線路

2.軟件的日常管理和維護

1）支撐軟件

2）應用軟件

3.數據備份制度

12.4.6用戶管理

廣域網上一般都有幾個至十幾個應用系統,每個應用系

統都設置了若干角色,用戶管理的任務就是增加/刪除用

戶、增加I修改用戶組號。

例如，要增加一個用戶，須進行如下工作(以Unix為例)：

(1)在用戶使用的客戶機上增加用戶并分配組號；

(2)在用戶使用的服務器數據庫上增加用戶并分配組號；

(3)分配該用戶的廣域網訪問權限。

12.4.7病毒防范制度

1.安裝防病毒軟件

■應用于網絡的防病毒軟件有兩種：一種是單機版防病毒

產品；另一種是聯機版防病毒產品。

2.認真執行病毒定期清理制度

■病毒定期清理制度可以清除處于潛伏期的病毒，防止病

毒的突然爆發，使計算機始終處于良好的工作狀態。

3.控制權限

■可以將網絡系統中易感染病毒的文件的屬性、權限加以

限制，對各終端用戶，只許他們具有只讀權限，斷絕病

毒入侵的渠道，達到預防的目的。

4.高度警惕網絡陷阱

■網絡上常常會出現非常誘人的廣告、免費使用的承諾，

在從事網絡營銷時對此應保持高度的警惕。

■網絡病毒主要的傳播渠道是電子郵件。由于文字處理軟

件Word具有夾帶宏病毒是可能，所以，當收到陌生地址

的電子郵件時，最好不要在進行網絡交易的時候打開。

12.4.8應急措施

■應急措施是指在計算機災難事件，即緊急事件或安全事

故發生時，利用應急計劃輔助軟件和應急設施，排除災

難和故障，保障計算機信息系統繼續運行或緊急恢復。

■災難恢復包括許多工作。一方面是硬件的恢復，使計算

機系統重新運轉起來；另一方面是數據的恢復。

1）瞬時復制技術

■瞬時復制技術就是計算機在某一災難時刻自動復制數據

的技術。瞬時復制的備份數據可以典型地用來產生磁帶

備份或用作遠程恢復節點的基本數據。

2）遠程磁盤鏡像技術

■遠程磁盤鏡像技術在遠程備份中心提供主數據中心的磁

盤影像。這種技術的最主要的優點是可以把數據中心磁

盤中的數據復制到遠程備份中心，而無需考慮數據在磁

盤上是如何組織的。

3）數據庫恢復技術

■數據庫恢復技術是產生和維護一份或多份數據庫數據的

復制。它為用戶提供了更大的靈活性。

12.5電子商務交易安全的法律保障

12.5.1電子合同法律制度

12.5.2電子簽字法律制度

12.5.3我國電子商務交易安全的法律保護

12.5.4我國電子商務立法的若干基本問題

1251電子合同法律制度

1.電子合同及其書面形式

■“電子合同”系指經電子、光學或類似手段生成、儲存

或傳遞的合同。

■電子合同通過數據電文（包括電報、傳真、電子數據交

換和電子郵件）傳遞信息，其所包含的信息應能夠有形

地表現所載內容，并能夠完整調取以備日后查用。

■電子合同自身有一些缺點：易消失性、作為證據的局限

性、易改動性。

■根據聯合國《電子商務示范法》第6條，“如法律要求信

息須采用書面形式，則假若一項數據電文所含信息可以

調取以備日后查用，即滿足了該項要求”。

■我國新《合同法》也將傳統的書面合同形式擴大到數據

電文形式。第十一條規定：“書面形式是指合同書、信

件以及數據電文（包括電報、電傳、傳真、電子數據交

換和電子郵件）等可以有形地表現所載內容的形式。”

2.電子合同的訂立

1）當事人所在地

■以電子方式締結合同的當事方必須明確指明其相關的營

業地所在地點。

■對無營業地的法律實體，可考慮信息系統的支持設備和

技術的所在地，或可能與某種系統聯通進行查詢的訪問

地，以確定這類法律實體的營業地所在地。

2）要約與邀請要約

■凡不是向一個人或幾個特定的人提出，而可供使用信息

系統的人一般查詢的，應當僅視為邀請要約。因為在這

些情況下承受約束的意圖被認為是不明確的。

3）接受要約

■在電子合同中，除非各當事人另有約定，要約和接受要

約可以通過數據電文表示。

■點擊“同意”按鈕表示接受要約。

4）電子合同的收到與合同成立地點

■采用數據電文形式訂立合同，收件人指定特定系統接收

數據電文的，該數據電文進入該特定系統的時間，視為

到達時間；未指定特定系統的，該數據電文進入收件人

的任何系統的首次時間，視為到達時間。

■采用數據電文形式訂立合同的，收件人的主營業地為合

同成立的地點；沒有主營業地的，其經常居住地為合同

成立的地點。”

5）自動交易

■除非當事人另有約定，合同可以通過自動化計算機系

統，與自然人之間的交互動作，或者通過若干自動化

計算機系統之間的交互動作訂立。

■在電子商務交易中，經由計算機程序代為處理商務的

人（自然人或法人），最后應當對該機器生成的任何

電文承擔責任。

6）形式要求

■電子合同的任何規定，應不要求合同須以書面訂立，

或以書面證明，也不要求合同必須遵守任何其他有關

形式的要求。

7）擬由當事人提供的一般資料

12.5.2電子簽字法律制度

1.電子簽字的概念

■“電子簽字”系指在數據電文中，以電子形式所含、所

附或在邏輯上與數據電文有聯系的數據，它可用于鑒別

與數據電文有關的簽字人和表明此人認可數據電文所含

信息。

2.電子簽字的功能

■確定一個人的身份。

■肯定是該人自己的簽字。

■使該人與文件內容發生關系。

3.電子簽字中當事各方的基本行為規范

■參與電子簽字活動包括簽字人、驗證服務提供商和依賴方。

■簽字人應對其電子簽字裝置應采取合理的謹慎措施。一

■依賴方應采取合理的步驟核查電子簽字的可靠性。

■證書服務提供商的義務是使用可信賴的系統、程序和人力資

源，并按其所作出的關于其政策和做法的表述行事。

4.符合電子簽字的法律要求

■可靠的電子簽字應符合下列條件：

(1)簽字生成數據在其使用的范圍內與簽字人而不是還與其

他任何人相關聯；

(2)簽字生成數據在簽字時處于簽字人而不是還處于其他任

何人的控制之中；

(3)凡在簽字后對電子簽字的任何篡改均可被覺察；

(4)如簽字的法律要求目的是對簽字涉及的信息的完整性提

供保證，凡在簽字后對該信息的任何篡改均可被覺察。

5.我國法律對電子簽字法律地位的態度

■我國《合同法》明確規定數據電文是書面形式的一種，

電子簽字也是一種數據電文，從這個角度推斷，電子簽

字是可以作為傳統的書面簽字來使用的。

■在法律上，應承認有相應技術保證的電子簽字的合法性,

并嚴厲禁止任何一方泄露他方簽字，以保護電子簽字只

代表簽字者的當前意圖。

■2003年全國人大常委會即將審議的電子簽名法，將改變

這種狀況，促進電子簽字在社會各領域中的應用。

12.5.3我國電子商務交易安全的

法律保護

電子商務交易安全的法律保護問題,涉及到兩個基本方面:

■第一，電子商務交易首先的一種商品交易，其安全問題

應當通過民商法加以保護；

■第二，電子商務交易是通過計算機及其網絡而實現的，

其安全與否以來于計算機及其網絡自身的安全程度。

1.我國涉及交易安全的法律法規

■我國現行的涉及交易安全的法律法規主要有四類：

(1)綜合性法律。主要是民法通則和刑法中有關保護交易安

全的條文。

(2)規范交易主體的有關法律。如公司法、國有企業法、集

體企業法、合伙企業法、私營企業法、外資企業法等。

(3)規范交易行為的有關法律。包括經濟合同法、產品質量

法、財產保險法、價格法、消費者權益保護法、廣告法、

反不正當競爭法等。

(4)監督交易行為的有關法律。如會計法、審計法、票據法、

銀行法等。

2.我國涉及計算機安全的法律法規

■1991年，國務院通過了《計算機軟件保護條例》。

■1994年，國務院發布《中華人民共和國計算機信息系統

安全保護條例》。

■1996年，國務院發布《中華人民共和國計算機信息網絡

國際聯網管理暫行規定》。

■1997年，我國實行新刑法。

■2000年，信息產業部發布《關于互聯網中文域名管理的

通告》，2002年8月又發布《中國互聯網絡域名管理辦

法》。

3.我國保護計算機網絡安全的法律法規

1）加強國際互聯網出入信道的管理

■我國境內的計算機互聯網必須使用國家公用電信網提供

的國際出入信道進行國際聯網。任何單位和個人不得自

行建立或者使用其它信道進行國際聯網。

2）市場準入制度

■從事國際互聯網經營活動和從事非經營活動的接入單位

必須具備的條件：

是依法設立的企業法人或者事業單位；

?具備相應的計算機信息網絡、裝備以及相應的技術人

員和管理人員；

具備健全的安全保密管理制度和技術保護措施；

?符合法律和國務院規定的其他條件。

3）安全責任

■從事國際互聯網業務的單位和個人，應當遵守國家有關

法律、行政法規，嚴格執行安全保密制度。

■計算機網絡系統運行管理部門，必須設有安全組織或安

全負責人。

■每個工作站和每個終端，都要建立健全網絡操作的各項

制度。

■網絡用戶也應提高安全意識。

12.5.4我國電子商務立法的

若干基本問題

1.電子商務立法形式的選擇

1）電子商務法的地位

電子商務可以單獨立法。這是因為:

■調整對象是獨立的、明確的。

■調整的社會關系有自己明顯的特征。

■傳統的民法、經濟法及其程序法很難適用于虛擬環境中

的商務交易活動。

2）電子商務立法途徑

E先分別立法，再進行綜合立法。

■先綜合立法，然后對具體問題制定單行規則。

2.電子商務立法目的

1）為電子商務健康、快速發展創造一個良好的法律環境

2）彌補現有法律的缺陷和不足。

3）鼓勵利用現代信息技術促進交易活動。

3.電子商務立法指導思想與原則

1）與聯合國《電子商務示范法》保持一致

^^2）不偏重任何技術，

3）依賴“功能等同”方法

4）跟蹤計算機技術的最新發展

4.電子商務立法范圍

1）電子商務法的調整對象

■電子商務法的調整對象是電子商務交易活動中發生的各

_種社會關系，而這類社會關系是在廣泛采用新型信息技

術并將這些應用技術商業領域后才形成的特殊的社會關

系，它交叉存在于虛擬社會和實體社會之間，有別于實

體社會中的各種社會關系，且完全獨立于現行法律的調

整范圍。

2）電子商務法所涉及的技術范圍

■擬訂電子商務法時經常提及比較先進的通信技術，如電子

數據交換和電子郵件，但電子商務法所依據的原則及其條

款，也應照顧到適用于不大先進的通信技術，如電傳、傳

真等。

3）電子商務法所涉及的商務范圍

■從本質上講，電子商務仍然是一種商務活動。因此，電子

商務法需要涵蓋電子商務環境下合同、支付、商品配送的

演變形式和操作規則；需要涵蓋交易雙方、居間商和政府

的地位、作用和運行規范；也需要涵蓋涉及交易安全的大

量問題；同時，還需要涵蓋某些現有民商法尚未涉及的特

定領域的法律規范。

5.電子商務立法框架

第一部分，電子商務總則

第一章，一般條款。

第二章，對數據電文適用法律要求。

第三章，數據電文的形成與傳遞。

第四章，電子支付。

■第五章，認證機構-

，第六章，網絡服務商。

第七章，政府作用。

第二部分，電子商務的特定領域

第八章，網絡零售業。

第九章，網絡廣告業。

第十章，知識產權貿易。

第十一章，貨物運輸。

第十二章結束

（全書結束）

SuccesswithMoneyandJoy

附落人生心語

?成功是一種觀念

?致富是一種義務

?快樂是一種權利

?每個人都有能力、有義

務、有權利辦到成功

致富快樂

附贈人生心語

成成功不是打敗別人

功成功不是超越別人

成功不是名、利、權的獲得

致擁有健康的身體

豐足的物質生活

富平衡的心理狀態

又才能擁有成功

快SuccesswithMoneyandJoy

戰勝自己

樂貢獻自己

扮演好自己的歷史角色

才能超越自己

融入成功里

附贈人生心語

知人者智，自知者明，勝人者力，自

勝者強。

——老子

附贈人生心語

?成功必須靠百分之九十八的辛勤血

汗，加上百分之二的天才靈感。

?世界上注定只有百分之二十的人會成

功。

附贈人生心語

成猶太諺語中有一句名言，

功會傷人的東西有三個：苦惱、爭吵、空的錢包。

其中最傷人的是——空的錢包。

致金錢本身并沒有善惡，

但沒有錢，

富卻的確是一件不幸的事情。

又所以，我們必須學習

快SuccesswithMoneyandJoy

重視財富，

樂