1、第8章 电子商务安全中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证主要内容主要内容概述典型安全问题相关法律法规标准相关安全技术安全保障案例8.1 概述基本概念、范畴、发展中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本概念电子商务B2B,B2C,C2C,O2O电子商务安全电子支付网上银行CA,SET中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子商务购物流程生成订单用户注册选购商品加入购物车支付收货中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子商务销售
2、流程客户订单库存查询生成销售单生成采购单确认出库入库发货确认结算无货有货订单确认中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证电子商务安全范畴 商务交易系统的安全 支付的安全 交易网络的安全 信用安全保护对象 业务本质对象 订单信息、支付信息、信用信息信息环境中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证发展历程发展历程萌芽与起步期冰冻与调整期复苏与回暖期崛起与高速发展期转型与升级期融合发展期上世纪末期2000至2002年2003年2004-2007年2008-2009年2010年-目前未来电子商务安全将主要聚焦到以下两点:即
3、移动商务的安全以及隐私保护。8.2 典型安全问题中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证典型数据安全问题 内部人员破坏数据 外部攻击破坏数据 机密性丧失 隐私被嗅探、泄露数据安全中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证典型的载体安全问题 商业机密被嗅探窃取 商业信息被泄露 商业资产被侵犯 用户权利被侵犯载体安全中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证相关案例百度侵权门事件2011年3月15日,贾平凹、韩寒等50位作家公开发布中国作家声讨百度书,指责百度文库“偷走了我们的作品,
4、偷走了我们的权利,偷走了我们的财物,把百度文库变成了一个贼赃市场”。两天后,中国音像协会唱片工作委员会加入“战团”,公开声援文学界维权的呼吁和行动。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证典型环境安全问题 商务信息被篡改 商业运作过程被破坏 用户被虚假商业信息欺骗 钓鱼攻击 卖方买方双方因的信用问题受到损害 买卖双方的利益由于的抵赖行为而被损害环境安全中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证相关案例网店刷信誉最近商务部对电商加紧整顿,公布的商品流通法(草案征求意见稿)显示,网购刷信誉、虚构信用评价等手段将违法。一步
5、步让淘宝刷信誉晒在网友们面前,也许这次将给店铺沉重的打击。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证典型边界安全问题 电子商务网站被攻击 支付系统设备被攻击边界安全中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证相关案例e-Bay受到黑客攻击一个黑客团体于2010年12月对eBay发起拒绝服务攻击,旨在报复该在线支付公司停掉了向该组织进行捐款的通道。8.3 相关法律法规标准中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证相关法律法规 关于加快电子商务发展的若干意见 2006-2020年国家信息
6、化发展战略 电子商务发展“十一五”规划 中华人民共和国电子签名法 电子商务支付指引(第一号)商务部关于促进电子商务规范发展的意见 网络购物服务规范 电子商务信用认证规则 网络交易平台服务规范 关于规范网络购物促销行为的通知 网络商品交易及服务监管条例国内电子商务安全相关政策与法规中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证相关标准 ISO27001 BS ISO/IEC29100-2011信息技术.安全技术.隐私框架 支付卡行业数据安全标准(PCI DSS)其它相关标准8.4 相关安全技术中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保
7、障人员认证安全电子交易协议SET8.5 安全保障案例第三方支付平台解决方案中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证案例背景 第三方电子支付平台是属于第三方的服务中介机构,完成第三方担保支付的功能。应用背景 第三方是买卖双方在缺乏信用保障或法律支持的情况下的资金支付“中间平台”。应用需求中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证方案描述安全功能设计中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证安全分析和建议平台安全体系结构图中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证谢谢!
