1、第10章 EC安全法律制度 及网络犯罪学习目标学习目标 理解电子商务安全及其面临的威胁;理解电子商务安全及其面临的威胁;了解黑客行为及其防范措施;了解黑客行为及其防范措施;掌握掌握EC安全法律制度、安全法律制度、EC安全的技术保障安全的技术保障和法律保障。和法律保障。理解网络犯罪的本质及其社会危害。理解网络犯罪的本质及其社会危害。了解我国对网络犯罪的类型划分及其防范对了解我国对网络犯罪的类型划分及其防范对策策电子商务安全法律制度电子商务安全法律制度 电子商务安全概述电子商务安全概述电子商务安全法律制度电子商务安全法律制度电子商务安全的技术保障和法律保障电子商务安全的技术保障和法律保障网络犯罪的
2、本质及其社会危害网络犯罪的本质及其社会危害我国对网络犯罪的类型划分我国对网络犯罪的类型划分如何防范网络犯罪如何防范网络犯罪10.1 电子商务安全概述 电子商务安全的概念与特征电子商务安全的概念与特征电子商务安全的威胁电子商务安全的威胁 黑客与电子商务黑客与电子商务 电子商务安全的概念与特征电子商务安全的概念与特征 请完成以下问题:1、从整体上讲,就是网络上的电子商务信息从整体上讲,就是网络上的电子商务信息安全。具体指(安全。具体指()2、从广义上讲,指(、从广义上讲,指()3、电子商务安全的特征有(、电子商务安全的特征有()性()性()性、(性、()性和)性和()性。性。4、名词解释:可适应性
3、电子商务安全、名词解释:可适应性电子商务安全 电子商务安全的特征:电子商务安全具有四个特征:(1)1)系统性。电子商务安全的系统性是指构系统性。电子商务安全的系统性是指构成电子商务安全要包括一系列的因素。既有计成电子商务安全要包括一系列的因素。既有计算机网络安全和商务交易安全等技术上的问题,算机网络安全和商务交易安全等技术上的问题,还有管理上的问题,以及社会上的道德准则和还有管理上的问题,以及社会上的道德准则和人们的行为习惯有关。人们的行为习惯有关。哪一个因素存在问题,都会给电子商务哪一个因素存在问题,都会给电子商务安全带来不利的影响。安全带来不利的影响。(2)(2)确定性。电子商务安全的确确
4、定性。电子商务安全的确定性是指电子商务安全无论从定性是指电子商务安全无论从网络技术的角度、从管理规章网络技术的角度、从管理规章的角度、从法律制度的角度还的角度、从法律制度的角度还是从安全防范的角度来说都要是从安全防范的角度来说都要确保电子商务过程的顺利进行。确保电子商务过程的顺利进行。(3)(3)有条件性。电子商务安全的有条件性。电子商务安全的有条件性是指电子商务安全的是有条件性是指电子商务安全的是在特定环境下实现的,有时需要在特定环境下实现的,有时需要加大投入,并且会因多次的复杂加大投入,并且会因多次的复杂运算降低信息传递速度。这也是运算降低信息传递速度。这也是电子商务安全是的电子商务安全是
5、的成本和代价成本和代价。(4)(4)动态性。动态性是指电子商务动态性。动态性是指电子商务安全需要网络技术、管理规章、从安全需要网络技术、管理规章、从法律制度、安全防范的角度不断地法律制度、安全防范的角度不断地检查、评估和调整相应的安全策略,检查、评估和调整相应的安全策略,以保证电子商务在不断拓宽服务领以保证电子商务在不断拓宽服务领域时安全保障措施能够及时跟上。域时安全保障措施能够及时跟上。电子商务安全的威胁 1、恶意攻击、恶意攻击 恶意攻击带来的后果有哪些?2、安全缺陷、安全缺陷(1)安全缺陷主要包括()的安全缺陷、()的安全缺陷和()的安全缺陷。(2)一些特殊的网络安全缺陷还包括()的安全缺
6、陷、()的安全缺陷、()的安全缺陷。3、软件漏洞、软件漏洞软件漏洞是由什么原因引起的?主要类型有哪些?4、此外还包括:计算机病毒计算机病毒 黑客(黑客(Hacker)入侵)入侵 黑客与电子商务 1、黑客的概念黑客是黑客是“试图通过网络非法获取他人计试图通过网络非法获取他人计算机系统访问权并滥用计算机技术的算机系统访问权并滥用计算机技术的人人”。2.黑客的行为特征七大特征3、黑客对电子商务活动的危害黑客是威胁电子商务安全的大敌。黑客是威胁电子商务安全的大敌。它们入侵计算机系统,破坏系统的它们入侵计算机系统,破坏系统的软件和硬件,造成系统崩溃或瘫痪。软件和硬件,造成系统崩溃或瘫痪。它们篡改交易数据
7、,盗窃资金财物,它们篡改交易数据,盗窃资金财物,造成正常交易双方发生纠纷和损失。造成正常交易双方发生纠纷和损失。4、防范黑客的措施 9项项10.2 电子商务安全法律制度 计算机信息系统安全等级制度计算机信息系统安全等级制度有害数据防治制度有害数据防治制度 因特网管理制度因特网管理制度 计算机信息系统安全等级制度 实行计算机信息系统安全保护等级的意义是什么?计算机信息系统安全保护等级制度的五个级别分别有哪些?.计算机信息系统安全保护等级制度建立和划分的目的(1)为安全法规的制定和监督检查为安全法规的制定和监督检查提供依据;提供依据;(2)为安全产品的研制提供技术支)为安全产品的研制提供技术支持;
8、持;(3)为安全系统的建设和管理提供)为安全系统的建设和管理提供技术指导;技术指导;计算机信息系统安全保护等级划分准则 第一级第一级 用户自主保护级用户自主保护级 第二级第二级 系统审计保护级系统审计保护级 第三级第三级 安全标记保护级安全标记保护级 第四级第四级 结构化保护级结构化保护级 第五级第五级 访问验证保护级访问验证保护级 有害数据防治制度1有害数据与计算机病毒 2对有害数据和计算机病毒的防治管理 1有害数据与计算机病毒有害数据,顾名思义是对计算机有害数据,顾名思义是对计算机系统有破坏性的程序或数据。系统有破坏性的程序或数据。计算机病毒,是指编制或者在计计算机病毒,是指编制或者在计算
9、机程序中插入的破坏计算机功算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使能或者毁坏数据、影响计算机使用,并能自我复制的一组计算机用,并能自我复制的一组计算机指令或程序代码。指令或程序代码。2对有害数据和计算机病毒的防治管理中华人民共和国计算机信息系统安全中华人民共和国计算机信息系统安全保护条例保护条例计算机病毒防治管理办法计算机病毒防治管理办法 因特网管理制度 1.国家对因特网管理的规定 2因特网管理使用单位的安全责任 1.国家对因特网管理的规定2000年12月28日,全国人大常委会发布了关于维护互联网安全的决定。2因特网管理使用单位的安全责任因特网管理使用单位的安全责任(1)从事国
10、际互联网业务的单位和个人,应当遵从事国际互联网业务的单位和个人,应当遵守国家有关法律、行政法规,严格执行安全保守国家有关法律、行政法规,严格执行安全保密制度,密制度,(2 2)计算机网络系统运行管理部门必须设有)计算机网络系统运行管理部门必须设有安全组织或安全负责人安全组织或安全负责人,向安全监督机关和上向安全监督机关和上一级主管部门报告安全情况。一级主管部门报告安全情况。(3 3)每个工作站和每个终端都要建立健全各)每个工作站和每个终端都要建立健全各项制度,内部的安全教育和监督,加强密码、项制度,内部的安全教育和监督,加强密码、口令和授权的管理,禁止使用非法软件、软盘。口令和授权的管理,禁止
11、使用非法软件、软盘。10.3 电子商务安全的技术保障和法律保障电子商务安全的技术保障电子商务安全的法律保障 电子商务安全的技术保障和法律保障电子商务安全的技术保障包括:加密技术,密钥管理技术,数字签名安全技术和标准规范。电子商务安全的技术保障和法律保障电子商务安全的法律保障有:中华人民共和国电子签名法中华人民共和国电子签名法电子认证服务管理办法电子认证服务管理办法中华人民共和国信息系统安全保护条例中华人民共和国信息系统安全保护条例中华人民共和国电信条例中华人民共和国电信条例商用密码管理条例商用密码管理条例和国务院办公厅发布和国务院办公厅发布关于加快电子商务发展的若干意见关于加快电子商务发展的若
12、干意见,成,成为促进电子商务行业发展的法律、法规和指为促进电子商务行业发展的法律、法规和指导性意见。导性意见。1加密技术的由来加密技术的由来加密作为保障数据安全的一种方式,它加密作为保障数据安全的一种方式,它不是现在才有的,它产生的历史相当久不是现在才有的,它产生的历史相当久远,近期加密技术主要应用于军事领域。远,近期加密技术主要应用于军事领域。广为人知的编码机器是广为人知的编码机器是German EnigmaGerman Enigma机,在第二次世界大战中德国人利用它机,在第二次世界大战中德国人利用它创建了加密信息。随着计算机的发展,创建了加密信息。随着计算机的发展,运算能力的增强,人们又不
13、断地研究出运算能力的增强,人们又不断地研究出了新的数据加密方式。了新的数据加密方式。加密技术的开发应用加密技术的开发应用2加密技术的相关概念加密技术的相关概念加密是按照加密是按照某种算法进行处理,将其转某种算法进行处理,将其转换成为一段不可识别、不可理解或不可换成为一段不可识别、不可理解或不可阅读的代码。将明文转换为密文的过程阅读的代码。将明文转换为密文的过程就是加密。将密文转换为明文的过程,就是加密。将密文转换为明文的过程,被称为解密。解密就是加密的逆过程,被称为解密。解密就是加密的逆过程,即将该编码信息转化为其原来数据的过即将该编码信息转化为其原来数据的过程。在加密和解密过程中使用的密钥,
14、程。在加密和解密过程中使用的密钥,就是加密或解密的算法规则,也是加密就是加密或解密的算法规则,也是加密技术的核心所在。技术的核心所在。3两种加密技术两种加密技术对称加密,又称对称密钥加密或专用密对称加密,又称对称密钥加密或专用密钥加密。加密和解密都使用相同的密钥钥加密。加密和解密都使用相同的密钥 。非对称加密,又称公开密钥加密体系。非对称加密,又称公开密钥加密体系。有两个密钥,称为有两个密钥,称为“公钥公钥”和和“私钥私钥 。公钥公钥”加密;加密;“私钥私钥”解密。解密。两种重要的加密技术是(两种重要的加密技术是(),其中(),其中()是电子商务系统种最主要的加密是电子商务系统种最主要的加密
15、技术。技术。10.4 网络犯罪网络犯罪网络犯罪的本质及其社会危害网络犯罪的本质及其社会危害我国对网络犯罪的类型划分我国对网络犯罪的类型划分如何防范网络犯罪如何防范网络犯罪三人团伙谎称马来西亚人,三人团伙谎称马来西亚人,20余家酒店受害余家酒店受害3男子组成团伙,从境外购买了大量伪造男子组成团伙,从境外购买了大量伪造的空白信用卡,然后再克隆出以假乱真的空白信用卡,然后再克隆出以假乱真的境外信用卡,出入各高档酒店消费,的境外信用卡,出入各高档酒店消费,狂刷高档烟酒。据初步侦查,该团伙涉狂刷高档烟酒。据初步侦查,该团伙涉案的国际信用卡有案的国际信用卡有30多张,涉案金额多张,涉案金额30万元。昨日,
16、云霄县公安局经侦大队向万元。昨日,云霄县公安局经侦大队向媒体通报了此案,目前,媒体通报了此案,目前,3名嫌犯吕某弹、名嫌犯吕某弹、廖某荣、赵某林已被批捕。据悉,该类廖某荣、赵某林已被批捕。据悉,该类型诈骗案件,在漳州尚属首次破获。型诈骗案件,在漳州尚属首次破获。案发:再次同地点作案被抓案发:再次同地点作案被抓某年某年7月,云霄金汤湾大酒店来了月,云霄金汤湾大酒店来了3个个“马来西亚人马来西亚人”,3人没住宿,而是到前人没住宿,而是到前台用随身携带的境外信用卡消费高档烟台用随身携带的境外信用卡消费高档烟酒酒1.2万元。但是时隔万元。但是时隔1个月,酒店仍没收个月,酒店仍没收到银行的支付款。到银行
17、的支付款。8月月7日,这日,这3人再次来到该酒店,再次用人再次来到该酒店,再次用境外信用卡刷卡消费高档烟酒被酒店保境外信用卡刷卡消费高档烟酒被酒店保安抓住。随后,民警从他们身上查获安抓住。随后,民警从他们身上查获3张张境外克隆卡和国内银行卡数张。境外克隆卡和国内银行卡数张。补充:计算机犯罪 计算机犯罪的定义计算机犯罪是指行为人故意直计算机犯罪是指行为人故意直接对计算机实施侵入或破坏,接对计算机实施侵入或破坏,或者利用计算机实施有关金融或者利用计算机实施有关金融诈骗、盗窃、贪污、挪用公款、诈骗、盗窃、贪污、挪用公款、窃取国家秘密或其它犯罪行为窃取国家秘密或其它犯罪行为。计算机犯罪的法律特征:(1
18、)侵害的客体是计算机系统或计算侵害的客体是计算机系统或计算机信息系统的运行管理秩序。机信息系统的运行管理秩序。(2)行为人在客观方面表现为实施)行为人在客观方面表现为实施了侵入或破坏计算机系统的行为。了侵入或破坏计算机系统的行为。(3)行为人具有主观的犯罪故意。)行为人具有主观的犯罪故意。(4)计算机犯罪的主体必须具有一)计算机犯罪的主体必须具有一定计算机专业知识。定计算机专业知识。我国现行信息安全法律制度的思考我国现行信息安全法律制度的思考总体上来说,就是两种思路:总体上来说,就是两种思路:一是进行中央立法,一步到位,制定一是进行中央立法,一步到位,制定国家信息安全法国家信息安全法;二是先进行地方立法或部门立法,制定二是先进行地方立法或部门立法,制定信息安全的地方性法规与规章,在条件信息安全的地方性法规与规章,在条件成熟的时候再进行中央立法。成熟的时候再进行中央立法。第一条称之为自上而下的急进性思路;第一条称之为自上而下的急进性思路;第二条思路称之为渐进性思路。第二条思路称之为渐进性思路。我国的信息安全立法采取渐进性思路。我国的信息安全立法采取渐进性思路。本章结本章结 束