电子商务中的安全防范制度

六、电子商务中的安全防范制度

电子商务安全防范制度应该包括三个方面,即法律方面、技术环境和人为规范。这三方面构成了整个电子商务安全防范体系。

(一)电子商务中的法律体系防范制度

1.电子商务法律体系的建设

电子商务涉及到社会、经济、文化等诸多方面,电子商务体系建设需要考虑知识产权、隐私权保护、出口管制、海关贸易、电子合同等诸多问题。电子商务法律体系涉及面大、内容复杂,有可能关系到国际法、刑法、民法等。

电子商务立法是必须的,制定新的电子商务法律法规是电子商务发展的时代要求。

在建立电子商务法律体系时,第一要充分认识依法保障和促进网络健康发展的重要性,第二要加强和完善信息网络立法,第三要加强信息网络方面的执法,第四要积极参与国际信息网络方面规则的制定,第五要加强信息网络管理人才的培养等。

2.电子商务法律体系的构成

电子商务的相关法规可分为六个部分:电子商务行业法律法规、信息资源法律法规、网络知识产权法律法规、安全保密法律法规、关于基础设施与技术的使用和保护的法律法规、电子商务领域的金融法律法规。⁽⁴⁾

(1)电子商务行业法律规范

电子商务行业法律规范包括:行业市场准入法律规范、电子商务行为准则、电子商务纠纷处理办法、行业间协调的法律规范等。

(2)信息资源的法律规范

信息资源的法律规范包括:数据电文和单证规则、有关信息规范的法律法规、规定信息资源的各级授权管理制度和信息滥用的法律责任、个人隐私保护条例等。

(3)网上知识产权法律规范

网上知识产权法律规范包括:网上著作权与邻接权的归属与保护法律法规、网上商标权保护的法律法规、域名的法律保护、其他知识产权的保护和利用的法律法规。

(4)安全与保密法律规范

安全与保密法律规范包括:通信技术的安全性法律法规、信息保护与加密技术的法律或规定、国家机密或商业机密的界定和保护、事故后的处理规则、信息犯罪的界定裁决与惩罚、安全认证规则等。

(5)关于基础设施与技术的使用与保护的法律规范

为了激励创造者,促进电子商务的发展,需要制定电子商务有关基础设施与技术所有权和使用权,以及该权利使用权限的法律法规,规定正当的使用方式等。

(6)电子商务领域的金融法律规范

电子商务领域的金融法律规范包括:电子支付规则、有关网络银行和认证中心的业务范围和权利义务的法律法规、电子商务税收征管法等。

(二)电子商务的技术体系防范

1.电子商务技术隐患

电子商务面临的技术方面的隐患包括四个方面:

第一,网络的开放性容易产生安全隐患。

第二,网络协议,如TCP/IP本身存在技术设计上的安全隐患。

第三,操作系统和应用软件常常存在很多安全漏洞,容易受到攻击。

第四,网上的信息化数据往往缺乏可信度。

2.电子商务的安全技术防范

在电子商务交易中,采用的技术有:

(1)数字签名技术。数字签名技术主要目的是鉴别网络文件的真伪。数字签名技术的实现机制是将信息摘要用发送者的私钥加密,与原文一起传送给接收者。接收者的公钥才能解密被加密的摘要,然后用哈希函数对收到的原文产生一个摘要,与解密的摘要比较。如果相同则信息为完整的,若不同则信息被修改过,不是原信息。

数字签名更重要的目的是保证双方都不能抵赖。

(2)身份识别技术

身份识别技术有两种方式:其一是口令方式;其二是标记方式,标记是一种个人持有物,相当于钥匙,用于启动电子设备。

(3)认证机构

认证机构是信息传递者的第三方,它是一个权威机构对密钥进行有效的管理,颁发证书证明密钥的有效性,将公开密钥同某一个实体(企业、消费者、银行等)联系在一起。认证机构能保证一对密钥只属于一个人。

(三)电子商务人为规范防范制度⁽⁵⁾

1.人员管理制度

(1)要严格电子商务人员选拔,把合适的人放到合适的电子商务岗位上。

(2)要落实工作责任制。

(3)要贯彻电子商务安全运作基本原则:包括多人负责原则、任期有限原则、最小权限原则等。

2.保密制度

建立合理的保密制度要对保密信息分级管理,信息的安全级别一般分为三级:绝密级、机密级和敏感级,要针对不同的级别分别赋予不同的权限进行管理。

3.跟踪、审计、稽核制度

跟踪制度要求企业建立网络交易系统日志机制,用来记录系统的全过程。

审计制度包括经常对系统日志的检查和审核,及时发现故意入侵系统行为的记录和违反系统安全功能的记录,监控和捕捉各种安全事件,保存、维护和管理系统日志。

稽核制度是指工商管理、银行、税务人员利用计算机网络系统,借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活动的合理性、安全性,堵塞漏洞,保证电子商务交易安全,发出相应警示或作出处理处罚的有关决定的一系列步骤及措施。

4.网络系统的日常维护制度

(1)硬件的日常管理和维护

硬件的日常管理和维护包括:网络设备的日常管理和维护、服务器和客户机的日常管理和维护、通信线路的日常管理和维护等。

(2)软件的日常管理和维护

软件的管理和维护包括:支撑软件(操作系统和数据库等)的日常管理和维护、应用软件的管理和维护。

(3)数据备份制度。

5.病毒防范制度

病毒防范制度包括:

(1)给自己的电脑安装防病毒软件。

(2)不打开陌生地址的电子邮件。

(3)认真执行病毒定期清理制度。

(4)有效地控制用户使用权限。

6.应急制度

应急措施是指在计算机灾难事件发生时,采用有效的技术办法排除故障和恢复数据等。主要包括以下技术:

(1)瞬时复制技术。它是使计算机在某一灾难时刻自动复制数据的技术。

(2)远程磁盘镜像技术。它是在远程备份中心提供主数据中心的磁盘映像的技术。

(3)数据库恢复技术。它是产生和维护一份或多份数据库数据复制的技术。