第十二章 電子商務(wù)安全管理

電子商務(wù)基礎(chǔ)與應(yīng)

（第四版）

第十二章電子商務(wù)安全管理

12.1網(wǎng)絡(luò)交易風(fēng)險(xiǎn)和安全管理的基本思路

12.2客戶認(rèn)證技術(shù)

12.3防止黑客入侵

12.4網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度

12.5電子商務(wù)交易安全的法律保障

12.1網(wǎng)絡(luò)交易風(fēng)險(xiǎn)和安全管理的

基本思路

12.1.1網(wǎng)絡(luò)交易風(fēng)險(xiǎn)凸現(xiàn)

12.1.2網(wǎng)絡(luò)交易風(fēng)險(xiǎn)源分析

12.1.3網(wǎng)絡(luò)交易安全管理的基本思路

12.1.1網(wǎng)絡(luò)交易風(fēng)險(xiǎn)凸現(xiàn)

■1988年11月2日，美國康奈爾大學(xué)學(xué)生羅伯特?莫瑞斯利用

蠕蟲程序攻擊了Internet網(wǎng)上約6200臺(tái)小型機(jī)和Sim工作

站，造成包括美國300多個(gè)單位的計(jì)算機(jī)停止運(yùn)行，事故

經(jīng)濟(jì)損失達(dá)9600萬美元。

■1994年4月到10月期間，任職于俄國圣彼得堡OA土星公

司的弗拉基米爾?列?列文從本國操縱電腦，通過Internet

多次侵入美國花旗銀行在華爾街的中央電腦系統(tǒng)的現(xiàn)金

管理系統(tǒng)，從花旗銀行在阿根廷的兩家銀行和印度尼西

亞的一家銀行的幾個(gè)企業(yè)客戶的帳戶中將40筆款項(xiàng)轉(zhuǎn)移

到其同伙在加里福尼亞和以色列銀行所開的帳戶中，竊

走1000萬美元。

■1997年1月至U3月，寧波證券公司深圳業(yè)務(wù)部的曾定文多

次通過證券交易網(wǎng)絡(luò)私自透支本單位資金928萬元炒股；

而吳敬文則利用兩個(gè)股東帳號(hào)私自透支本單位資金2033

萬元炒股。

■1999年4月19日至21日，由于溫保成等人在因特網(wǎng)BBS站

點(diǎn)上非法張貼帖子，帶頭散布謠言，導(dǎo)致了交通銀行鄭

州分行的重大擠兌事件。

■2000年2月10日和17日秦海在銀行窺視騙取兩名儲(chǔ)戶的密

碼，然后利用電子商務(wù)從網(wǎng)上購得手機(jī)、快譯通等物，

共計(jì)價(jià)值2.7萬元人民幣。

■2000年3月6日，剛剛開業(yè)的中國最大的全國網(wǎng)上連鎖商

城開業(yè)3天慘遭黑客暗算，網(wǎng)站全線癱瘓，頁面被修改，

數(shù)據(jù)庫也受到了不同程度的攻擊，交易數(shù)據(jù)破壞嚴(yán)重。

12.1.2網(wǎng)絡(luò)交易風(fēng)險(xiǎn)源分析

電子商務(wù)風(fēng)險(xiǎn)源分析主要是依據(jù)對(duì)網(wǎng)絡(luò)交易整個(gè)運(yùn)作過

程的考察，確定交易流程中可能出現(xiàn)的各種風(fēng)險(xiǎn)，分析

其危害性。

1.在線交易主體的市場準(zhǔn)入問題

■在電子商務(wù)環(huán)境下，任何人不經(jīng)登記就可以借助計(jì)算機(jī)

網(wǎng)絡(luò)發(fā)出或接受網(wǎng)絡(luò)信息，并通過一定程序與其他人達(dá)

成交易。虛擬主體的存在使電子商務(wù)交易安全性受到嚴(yán)

重威脅。

?電子商務(wù)交易安全首先要解決的問題就是確保網(wǎng)上交易

主體的真實(shí)存在，且確定哪些主體可以進(jìn)入虛擬市場從

事在線業(yè)務(wù)。

2.信息風(fēng)險(xiǎn)

■買賣雙方都可能在網(wǎng)絡(luò)上發(fā)布虛假的供求信息，或以過

期的信息冒充現(xiàn)在的信息。虛假信息包含有與事實(shí)不符

和夸大事實(shí)兩個(gè)方面。

■從技術(shù)上看，網(wǎng)絡(luò)交易的信息風(fēng)險(xiǎn)主要來自冒名偷竊、

篡改數(shù)據(jù)、信息丟失等方面的風(fēng)險(xiǎn)。

3.信用風(fēng)險(xiǎn)

■來自買方的信用風(fēng)險(xiǎn)。

■來自賣方的信用風(fēng)險(xiǎn)。

買賣雙方都存在抵賴的情況。

4.網(wǎng)上欺詐犯罪

■騙子們利用人們的善良天性，在電子交易活動(dòng)中頻繁欺詐

用戶，利用電子商務(wù)欺詐已經(jīng)成為一種新型的犯罪活動(dòng)。

5.電子合同問題

■電子商務(wù)法需要解決由于電子合同與傳統(tǒng)合同的差別而引

起的諸多問題，突出表現(xiàn)在書面形式，簽字有效性、合同

收訖、合同成立地點(diǎn)、合同證據(jù)等方面。

6.電子支付問題

■網(wǎng)上支付通過信用卡制服和虛擬銀行的電子資金劃撥來

完成。而實(shí)現(xiàn)這一過程涉及網(wǎng)絡(luò)銀行與網(wǎng)絡(luò)交易客戶之

間的協(xié)議、網(wǎng)絡(luò)銀行與網(wǎng)站之間的合作協(xié)議以及安全保

障問題。

7.在線消費(fèi)者保護(hù)問題

■在線市場的虛擬性和開放性，網(wǎng)上購物的便捷性使消費(fèi)

者保護(hù)成為突出的問題。

■在我國商業(yè)信用不高的狀況下，網(wǎng)上出售的商品可能良

莠不齊，質(zhì)量難以讓消費(fèi)者信賴。

■網(wǎng)絡(luò)的開放性和互動(dòng)性又給個(gè)人隱私保護(hù)帶來麻煩。

8.電子商務(wù)中產(chǎn)品交付問題

■在線交易的標(biāo)的物分兩種，一種有形貨物，另一種是無

形的信息產(chǎn)品。

■有形貨物的交付仍然可以沿用傳統(tǒng)合同法的基本原理。

■信息產(chǎn)品的交付則具有不同于有形貨物交付的特征，對(duì)

于其權(quán)利的移轉(zhuǎn)、退貨、交付的完成等需要有相應(yīng)的安

全保障措施。

12.1.3網(wǎng)絡(luò)交易安全管理的基本思路

■電子商務(wù)是活動(dòng)在Internet平臺(tái)上的一個(gè)涉及信息、資金

和物資交易的綜合交易系統(tǒng)，其安全對(duì)象不是一般的系

統(tǒng)，而是一個(gè)開放的、人在其中頻繁活動(dòng)的、與社會(huì)系

統(tǒng)緊密耦合的復(fù)雜巨系統(tǒng)(complexgiantsystem)。它

是由商業(yè)組織本身(包括營銷系統(tǒng)、支付系統(tǒng)、配送系

統(tǒng)等)與信息技術(shù)系統(tǒng)復(fù)合構(gòu)成的。

■在分析系統(tǒng)的安全風(fēng)險(xiǎn)，制定相應(yīng)的安全保護(hù)措施時(shí)同

樣需要基于其“復(fù)合型”性質(zhì)，即需要同時(shí)考慮其組織

和技術(shù)體系以及管理過程的性質(zhì)。

■電子商務(wù)交易安全要通過人網(wǎng)結(jié)合、人機(jī)結(jié)合，充分發(fā)

揮各自優(yōu)勢的方法，才能經(jīng)過綜合集成，使系統(tǒng)表現(xiàn)出

新的安全性質(zhì)一整體大于部分之和。

■與電子商務(wù)交易系統(tǒng)相適應(yīng)，電子商務(wù)交易安全是一個(gè)

系統(tǒng)工程。

■一個(gè)完整的網(wǎng)絡(luò)交易安全體系，至少應(yīng)包括三類措施，

一是技術(shù)方面的措施，二是管理方面的措施，三是社會(huì)

的政策與法律保障。

12.2客戶認(rèn)證技術(shù)

12.2.1身份認(rèn)證

12.2.2信息認(rèn)證技術(shù)

12.2.3通過認(rèn)證機(jī)構(gòu)認(rèn)證

12.2.4我國電子商務(wù)認(rèn)證機(jī)構(gòu)的建設(shè)

12.2.1身份認(rèn)證

■客戶認(rèn)證主要包括客戶身份認(rèn)證和客戶信息認(rèn)證。前者

用于鑒別用戶身份，保證通信雙方的身份的真實(shí)性；后

者用于保證通信雙方的不可抵賴性和信息的完整性。

1.身份認(rèn)證的目標(biāo)

■身份認(rèn)證包含識(shí)別和鑒別兩個(gè)過程。身份標(biāo)識(shí)是指定用

戶向系統(tǒng)出示自己的身份證明過程。身份鑒別是系統(tǒng)查

核用戶的身份證明的過程。身份認(rèn)證的主要目標(biāo)包括：

(1)確保交易者是交易者本人，而不是其他人。

(2)避免與超過權(quán)限的交易者進(jìn)行交易。

(3)訪問控制。

2.用戶身份認(rèn)證的基本方式

■用戶身份認(rèn)證可通過三種基本方式或其組合方式實(shí)現(xiàn)：

（1）用戶通過某個(gè)秘密信息，例如通過口令訪問系統(tǒng)資源。

（2）用戶知道的某個(gè)秘密信息，并且利用包含這一秘密信息

的載體訪問系統(tǒng)資源。

（3）用戶利用自身所具有的某些生物學(xué)特征，如指紋、聲音、

DNA圖案、視網(wǎng)膜掃描等等。

根據(jù)在認(rèn)證中采用因素的多少,可以分為單因素認(rèn)證、

雙因素認(rèn)證,多因素認(rèn)證等方法。

3.身份認(rèn)證的單因素法

■用戶身份認(rèn)證的最簡單方法就是口令。這種方法操作簡

單，但也最不安全。

■口令進(jìn)行加密傳輸是一種改進(jìn)的方法。

4.基于智能卡的用戶身份認(rèn)證

■基于智能卡的用戶身份認(rèn)證機(jī)制屬于雙因素法。

■用戶的二元組信息預(yù)先存于智能卡中，然后在認(rèn)證服務(wù)

器中存入某個(gè)事先由用戶選擇的某個(gè)隨機(jī)數(shù)。

■用戶訪問系統(tǒng)資源時(shí)，用戶輸入二元組信息。系統(tǒng)首先

判斷智能卡的合法性，然后由智能卡鑒別用戶身份，若

用戶身份合法，再將智能卡中的隨機(jī)數(shù)送給認(rèn)證服務(wù)器

作進(jìn)一步認(rèn)證。

5.一次口令機(jī)制

■最安全的身份認(rèn)證機(jī)制是采用一次口令機(jī)制，即每次用

戶登錄系統(tǒng)時(shí)口令互不相同。主要有兩種實(shí)現(xiàn)方式。

■一次口令機(jī)制主要有兩種實(shí)現(xiàn)方式：

(1)“請(qǐng)求響答”方式。

(2)“時(shí)鐘同步”機(jī)制。

12.2.2信息認(rèn)證技術(shù)

1.信息認(rèn)證的目標(biāo)

信息認(rèn)證的主要目標(biāo)包括:

（1）可信性。信息的來源是可信的，即信息接收者能夠確認(rèn)

所獲得的信息不是由冒充者所發(fā)出的。

（2）完整性。信息接收者能夠確認(rèn)所獲得的信息在傳輸過程

中沒有被修改、延遲和替換。

（3）不可抵賴性。要求通信雙方不能否認(rèn)自己所發(fā)出或接收

的信息。

（4）保密性。對(duì)敏感的文件進(jìn)行加密，即使別人截獲文件也

無法得到其內(nèi)容。

2.基于私有密鑰體制的信息認(rèn)證

■基于私有密鑰體制采用了對(duì)稱加密算法，即信息交換雙

方共同約定一個(gè)口令或一組密碼，建立一個(gè)通訊雙方共

享的密鑰。通信的甲方將要發(fā)送信息用私鑰加密后傳給

乙方，乙方用相同的私鑰解密后獲得甲方傳遞的信息

(參見圖12”)o

■對(duì)稱加密算法有多種，最常用的是DES算法。

對(duì)稱加密算法在電子商務(wù)交易過程中存在三個(gè)問題:1

(1)要求提供一條安全的渠道使通訊雙方在首次通訊時(shí)協(xié)商

一個(gè)共同的密鑰。

(2)密鑰的數(shù)目將快速增長而變得難于管理。

(3)對(duì)稱加密算法一般不提供信息完整性的鑒別。

發(fā)送方用自己接收方用發(fā)送

的私鑰加密方的私鑰解密

發(fā)送方接收方

圖12-1對(duì)稱加密示意圖

3.基于公開密鑰體制的信息認(rèn)證

■公開密鑰加密體系采用的是非對(duì)稱加密算法。使用公開

密鑰算法需要兩個(gè)密鑰:公開密鑰和私有密鑰。

■公開密鑰體制常用的加密算法是RSA算法。

■圖12?2是使用公鑰加密和對(duì)應(yīng)的私鑰解密的示意圖。

圖12-2使用公鑰加密和對(duì)應(yīng)的私鑰解密的示意圖

4.數(shù)字簽字和驗(yàn)證

■文件的數(shù)字簽字過程實(shí)際上是通過一個(gè)哈希函數(shù)來實(shí)現(xiàn)的。

■哈希函數(shù)將需要傳送的文件轉(zhuǎn)化為一組具有固定長度的單向

Hash值，形成報(bào)文摘要。

■發(fā)送方用自己的私有密鑰對(duì)報(bào)文摘要進(jìn)行加密，然后將其與

原始的報(bào)文附加在一起，即合稱為數(shù)字簽字。

■數(shù)字簽字代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽字

的值也將發(fā)生變化。

■數(shù)字簽字機(jī)制提供一種鑒別方法，通過它能夠?qū)崿F(xiàn)對(duì)原始報(bào)

文的鑒別和驗(yàn)證。

圖12?3顯示了數(shù)字簽字和驗(yàn)證的傳輸過程。

私鑰加密

圖12-3數(shù)字簽字和驗(yàn)證過程示意圖

■圖12-3的運(yùn)作步驟如下：

（1）發(fā)送方首先用哈希函數(shù)，將需要傳送的消息轉(zhuǎn)換成報(bào)文

摘要。

（2）發(fā)送方采用自己的私有密鑰對(duì)報(bào)文摘要進(jìn)行加密，形成

數(shù)字簽字。

（3）發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報(bào)文后面，

傳遞給接收方。

（4）接受方使用發(fā)送方的公有密鑰對(duì)數(shù)字簽字進(jìn)行解密，得

到發(fā)送方形成的報(bào)文摘要。

（5）接收方用哈希函數(shù)將接收到的報(bào)文轉(zhuǎn)換成報(bào)文摘要，與

發(fā)送方形成的報(bào)文摘要相比較，若相同，說明文件在傳輸

過程中沒有被破壞。

5.時(shí)間戳

■時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔,

它包括需加時(shí)間戳的文件的摘要、DTS收到文件的日期

_和時(shí)間、DTS的數(shù)字簽字三個(gè)部分。

■時(shí)間戳產(chǎn)生的過程為：用戶首先將需要加時(shí)間戳的文件

用Hash函數(shù)轉(zhuǎn)化為報(bào)文摘要，然后將該摘要加密后發(fā)送

到提供時(shí)間戳服務(wù)的機(jī)構(gòu)，DTS在加入了收到文件摘要

的日期和時(shí)間信息后再對(duì)該文件加密(數(shù)字簽字)，然

后送回用戶。

12.2.3通過認(rèn)證機(jī)構(gòu)認(rèn)證

1.數(shù)字證書

■數(shù)字證書作為網(wǎng)上交易雙方真實(shí)身份證明的依據(jù)，是一

個(gè)經(jīng)證書授權(quán)中心（CA）數(shù)字簽名的、包含證書申請(qǐng)者

（公開密鑰擁有者）個(gè)人信息及其公開密鑰的文件，由

可信任的、公正的權(quán)威機(jī)構(gòu)CA頒發(fā)。

■數(shù)字證書按照不同的分類有多種形式，如個(gè)人數(shù)字證書

和單位數(shù)字證書，SSL數(shù)字證書和SET數(shù)字證書等。

■數(shù)字證書由兩部分組成：申請(qǐng)證書主體的信息和發(fā)行證

書的CA簽字（參見圖12-4）。

證書

------------------------------------------------------證實(shí)機(jī)構(gòu)的

圖12-4數(shù)字證書的組成

2.認(rèn)證機(jī)構(gòu)(CertificateAuthority,CA)

■認(rèn)證機(jī)構(gòu)是為了從根本上保障電子商務(wù)交易活動(dòng)順利進(jìn)

行而設(shè)立的，主要是解決電子商務(wù)活動(dòng)中交易參與各方

身份、資信的認(rèn)定，維護(hù)交易活動(dòng)的安全。

■CA是提供身份驗(yàn)證的第三方機(jī)構(gòu)，由一個(gè)或多個(gè)用戶信

任的組織實(shí)體構(gòu)成。

■CA的功能主要有：接收注冊(cè)請(qǐng)求，處理、批準(zhǔn)/拒絕請(qǐng)

求，頒發(fā)證書。

持卡人要與商家通信，持卡人從公開媒體上獲得了商家的公開

密鑰，但持卡人無法確定商家不是冒充的，于是持卡人請(qǐng)求

CA對(duì)商家認(rèn)證，CA對(duì)商家進(jìn)行調(diào)查、驗(yàn)證和鑒別后，將包含

商家公鑰的證書傳給持卡人。同樣，商家也可對(duì)持卡人進(jìn)行驗(yàn)

證，如圖12-5所示。

圖12-5CA認(rèn)證

3.電子商務(wù)的CA認(rèn)證體系

■電子商務(wù)CA體系包括兩大部分，即符合SET標(biāo)準(zhǔn)的SET

CA認(rèn)證體系（又叫“金融CA”體系）和基于X.509的PKI

CA體系（又叫“非金融CA”體系）。

1）SETCA

■SET協(xié)議中可以看出，由于采用公開密鑰加密算法，認(rèn)

證中心（CA）就成為整個(gè)系統(tǒng)的安全核心。

■在SET中，CA所頒發(fā)的數(shù)字證書主要有持卡人證書、商

戶證書和支付網(wǎng)關(guān)證書。

■SET中CA的層次結(jié)構(gòu)如圖12-6所示。

圖12-6SET中CA的層次結(jié)構(gòu)

2）PKICA

■PKI是提供公鑰加密和數(shù)字簽字服務(wù)的安全基礎(chǔ)平臺(tái)，目

的是管理密鑰和證書。

■PKI是創(chuàng)建、頒發(fā)、管理、撤消公鑰證書所涉及到的所

有軟件、硬件的集合體。

■PKI將公開密鑰技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）

和安全策略等安全措施整合起來，成為目前公認(rèn)的在大

型開放網(wǎng)絡(luò)環(huán)境下解決信息安全問題最可行、最有效的

方法。

圖12-7是PKI的主要功能和服務(wù)的匯總。

單島點(diǎn)授登陸B(tài)yk、

VPNs

消息完整姓消息的不可

否認(rèn)性一

E-MAIL加密PK1的功能

密鑰恢復(fù)

?制定證書策略和認(rèn)證操作規(guī)范

?簽發(fā)證書

,發(fā)布證書

?作廢CA和用戶證書

時(shí)間戳

文件加密?發(fā)布CA和用戶證書作廢表(CRL)

?支持交叉認(rèn)證

?支持?jǐn)?shù)字簽名的不客否認(rèn)

?管理密鑰歷史

圖12-7PKI的主要功能和服務(wù)

■一個(gè)典型的PKI應(yīng)用系統(tǒng)包括五個(gè)部分：密鑰管理子系統(tǒng)、

證書受理子系統(tǒng)、證書簽發(fā)子系統(tǒng)、證書發(fā)布子系統(tǒng)、目錄

服務(wù)子系統(tǒng)。

密鑰管理中心證甘查詢驗(yàn)證系統(tǒng)

簽發(fā)服務(wù)器OCSP服務(wù)器

操作終端

管理終端

主LDAP從LDAP

機(jī)加密服務(wù)器

1￡機(jī)加密服務(wù)器審計(jì)終端

注冊(cè)系統(tǒng)證書發(fā)布系統(tǒng)

注冊(cè)服務(wù)器

系統(tǒng)管理終端收發(fā)服務(wù)器

審計(jì)終端

業(yè)務(wù)管理終端業(yè)務(wù)處理終端制證終端

圖12-8PKI體系的構(gòu)成

4.證書的樹形驗(yàn)證結(jié)構(gòu)

■在雙方通信時(shí)，通過出示由某個(gè)CA簽發(fā)的證書來證明自己

的身份，如果對(duì)簽發(fā)證書的CA本身不信任，則可驗(yàn)證CA的

身份，依次類推，一直到公認(rèn)的權(quán)威CA處（參見圖12-9）。

圖12-9證書的樹形驗(yàn)證結(jié)構(gòu)

5.帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng)

■安全電子商務(wù)使用的文件傳輸系統(tǒng)大都帶有數(shù)字簽字和數(shù)字

證書，其基本流程如圖12.10所示。

發(fā)送者Alice接收者Bob

加T商

因特:網(wǎng)

數(shù)字信封

圖12-10帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng)

■圖12-10顯示了整個(gè)文件加密傳輸?shù)?0個(gè)步驟：

（1）在發(fā)送方的網(wǎng)站上，將要傳送的信息通過哈什函數(shù)變換

為預(yù)先設(shè)定長度的報(bào)文摘要；

（2）利用發(fā)送方的私鑰給報(bào)文摘要加密，結(jié)果是數(shù)字簽字；

（3）將數(shù)字簽字和發(fā)送方的認(rèn)證證書附在原始信息上打包，

使用DES算法生成的對(duì)稱密鑰在發(fā)送方的計(jì)算機(jī)上為信息

包加密，得到加密信息包。

（4）用預(yù)先收到的接收方的公鑰為對(duì)稱密鑰加密，得到數(shù)字

信封；

（5）加密信息和數(shù)字信封合成一個(gè)新的信息包，通過互聯(lián)網(wǎng)

將加密信息和數(shù)字信封傳導(dǎo)接收方的計(jì)算機(jī)上；

（6）用接收方的私鑰解密數(shù)字信封，得到對(duì)稱密鑰；

（7）用還原的對(duì)稱密鑰解密加密信息，得到原始信息、數(shù)字

簽字和發(fā)送方的認(rèn)證證書；

（8）用發(fā)送方公鑰（置于發(fā)送方的認(rèn)證證書中）解密數(shù)字簽

字，得到報(bào)文摘要；

（9）將收到的原始信息通過哈什函數(shù)變換為報(bào)文摘要；

（10）將第8步和第9步得到的信息摘要加以比較，以確認(rèn)信息

的完整性。

6.認(rèn)證機(jī)構(gòu)在電子商務(wù)中的地位和作用

■在電子商務(wù)交易的撮合過程中，認(rèn)證機(jī)構(gòu)是提供交易雙

方驗(yàn)證的第三方機(jī)構(gòu)，由一個(gè)或多個(gè)用戶信任的、具有

權(quán)威性質(zhì)的組織實(shí)體管理。

電子商務(wù)認(rèn)證機(jī)構(gòu)對(duì)登記者履行下列監(jiān)督管理職責(zé):.

（1）監(jiān)督登記者按照規(guī)定辦理登記、變更、注銷手續(xù)。

（2）監(jiān)督登記者按照電子商務(wù)的有關(guān)法律法規(guī)合法從事經(jīng)

營活動(dòng)。

（3）制止和查處登記人的違法交易活動(dòng)，保護(hù)交易人的合

法權(quán)益。

12.2.4我國電子商務(wù)認(rèn)證機(jī)構(gòu)的建設(shè)

1.電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的不同思路

■地區(qū)主管部門認(rèn)為應(yīng)以地區(qū)為中心建立認(rèn)證中心。

■行業(yè)主管部門認(rèn)為應(yīng)以行業(yè)為中心建立認(rèn)證中心。

■也有人提出建立幾個(gè)國家級(jí)行業(yè)安全認(rèn)證中心，形成一

個(gè)認(rèn)證網(wǎng)絡(luò)，然后，實(shí)行相互認(rèn)證。

■筆者認(rèn)為，認(rèn)證機(jī)構(gòu)的建立，應(yīng)發(fā)揮政府與市場兩個(gè)方

面的積極性。從政府層面上，全國應(yīng)有國家級(jí)的CA認(rèn)證

中心，同時(shí)，在各行業(yè)設(shè)立橫向的職能認(rèn)證機(jī)構(gòu)，在各

地區(qū)設(shè)立縱向的分支認(rèn)證機(jī)構(gòu)，從而形成類似于企業(yè)管

理中的直線職能制結(jié)構(gòu)。

2.電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的基本原則

■權(quán)威性原則、真實(shí)性原則、機(jī)密性原則、快捷性原則、

經(jīng)濟(jì)性原則。

3.國家級(jí)電子商務(wù)認(rèn)證機(jī)構(gòu)的設(shè)立

■電子商務(wù)交易主要涉及身份認(rèn)證、資信認(rèn)證、稅收認(rèn)證、

外貿(mào)認(rèn)證。這四個(gè)方面形成了四個(gè)行業(yè)認(rèn)證系統(tǒng)，可以

把它們叫做“職能認(rèn)證系統(tǒng)”。

■在職能認(rèn)證系統(tǒng)上面，還需要有一個(gè)根認(rèn)證系統(tǒng)，即國

家電子商務(wù)認(rèn)證中心，通管職能認(rèn)證系統(tǒng)。

■國家認(rèn)證中心可以在各省和直轄市設(shè)立相應(yīng)的分支機(jī)構(gòu),

從而形成類似于管理上直線職能制組織結(jié)構(gòu)的認(rèn)證系統(tǒng)

（參見圖12-11）o

國家電子商務(wù)認(rèn)證中心

身份認(rèn)證系統(tǒng)資信認(rèn)證系統(tǒng)稅收認(rèn)證系統(tǒng)外貿(mào)認(rèn)證系統(tǒng)

（國家工商局）（中國人民銀行）（國家稅務(wù)總局）（外貿(mào)部）

T1

省市電子商務(wù)認(rèn)證中心

身份認(rèn)證系統(tǒng)資信認(rèn)證系統(tǒng)稅收認(rèn)證系統(tǒng)外貿(mào)認(rèn)證系統(tǒng)

（省市工商局）（省市人民銀行）（省市稅務(wù)局）（省市外貿(mào)局）

圖12-11國家電子商務(wù)認(rèn)證中心組織結(jié)構(gòu)設(shè)想圖在職能認(rèn)證系統(tǒng)

國家電子商務(wù)認(rèn)證中心主要承擔(dān)根認(rèn)證工作。這些工作包括:

■對(duì)職能認(rèn)證系統(tǒng)和省市分認(rèn)證中心進(jìn)行政策指導(dǎo)和業(yè)

務(wù)管理。

■匯總職能認(rèn)證中心和省市分認(rèn)證中心的數(shù)據(jù)。

■負(fù)責(zé)數(shù)字憑證的管理與簽發(fā)。

■提供數(shù)字時(shí)間戳服務(wù)。

■負(fù)責(zé)使用者密碼的產(chǎn)生與保管。

■對(duì)交易糾紛提供證明資料。

12.3防止黑客入］

12.3.1黑客的基本概念

12.3.2網(wǎng)絡(luò)黑客常用的攻擊手段

12.3.3防范黑客攻擊的主要技術(shù)手段

12.3.1黑客的基本概念

■黑客(hacker),源于英語動(dòng)詞hack,分為駭客和竊客。

■駭客只想引人注目，證明自己的能力，不會(huì)去破壞系統(tǒng)。他

們追求的是從侵入行為本身獲得巨大的成功的滿足。

■竊客的行為帶有強(qiáng)烈的目的性。主要是竊取國家情報(bào)、科研

情報(bào)；也瞄準(zhǔn)了銀行的資金和電子商務(wù)的整個(gè)交易過程。

12.3.2網(wǎng)絡(luò)黑客常用的攻擊手段

1.口令攻擊

■黑客首先通過進(jìn)入系統(tǒng)的常用服務(wù)，或?qū)W(wǎng)絡(luò)通信進(jìn)行監(jiān)

視，使用掃描工具獲取目標(biāo)主機(jī)的有用信息。

2.服務(wù)攻擊

■和目標(biāo)主機(jī)建立大量的連接。

■向遠(yuǎn)程主機(jī)發(fā)送大量的數(shù)據(jù)包。

■利用即時(shí)消息功能，以極快的速度用無數(shù)的消息“轟炸”

某個(gè)特定用戶。

■利用網(wǎng)絡(luò)軟件在實(shí)現(xiàn)協(xié)議時(shí)的漏洞，向目標(biāo)主機(jī)發(fā)送特定

格式的數(shù)據(jù)包，從而導(dǎo)致主機(jī)癱瘓。

3.電子郵件轟炸

■用戶就會(huì)在很短的時(shí)間內(nèi)收到大量的電子郵件，這樣使

得用戶系統(tǒng)的正常業(yè)務(wù)不能開展，系統(tǒng)功能喪失，嚴(yán)重

時(shí)會(huì)使系統(tǒng)關(guān)機(jī)，甚至使整個(gè)網(wǎng)絡(luò)癱瘓。

4.利用文件系統(tǒng)入侵

■如果FTP服務(wù)器上的用戶權(quán)限設(shè)置不當(dāng)或保密程度不好,

極易造成泄密事件。

5.計(jì)算機(jī)病毒

■計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞

計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我

復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。黑客常常利用計(jì)

算機(jī)病毒對(duì)目標(biāo)主機(jī)進(jìn)行攻擊。

6.IP欺騙

■IP欺騙是適用于TCP/IP環(huán)境的一種復(fù)雜的技術(shù)攻擊，它偽

造他人的源地址，讓一臺(tái)計(jì)算機(jī)來扮演另一臺(tái)計(jì)算機(jī)，借

以達(dá)到蒙混過關(guān)的目的。

■IP欺騙主要包括簡單的地址偽造和序列號(hào)預(yù)測兩種。

■簡單的地址偽造是指黑客將自己的數(shù)據(jù)包的源地址改為其

他主機(jī)的地址，然后發(fā)向目標(biāo)主機(jī)，使目標(biāo)主機(jī)無法正確

找到數(shù)據(jù)包的來源。

■序列號(hào)預(yù)測的攻擊方法是，黑客通過偽造TCP序列號(hào)、修

改數(shù)據(jù)包的源地址等方法，使數(shù)據(jù)包偽裝成來自被信任或

正在通信的計(jì)算機(jī)，而被目標(biāo)主機(jī)接收。

12.3.3防范黑客攻擊的主要技術(shù)手段

防范黑客的技術(shù)措施根據(jù)所選用的產(chǎn)品的不同，可以分

為7類：入侵檢測設(shè)備，訪問設(shè)備、瀏覽器/服務(wù)器軟件、

證書、商業(yè)軟件、防火墻和安全工具包/軟件。

1.入侵檢測技術(shù)

■入侵檢測通過旁路監(jiān)聽的方式不間斷地收取網(wǎng)絡(luò)數(shù)據(jù)，

對(duì)網(wǎng)絡(luò)的運(yùn)行和性能無任何影響，同時(shí)判斷其中是否含

有攻擊的企圖，通過各種手段向管理員報(bào)警；不但可以

發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。

2.防火墻技術(shù)

1）傳統(tǒng)防火墻

■傳統(tǒng)防火墻的類型主要有三種：包過濾、應(yīng)用層網(wǎng)關(guān)、

電路層網(wǎng)關(guān)。

2）新型防火墻

■新型防火墻的設(shè)計(jì)目標(biāo)是既有包過濾的功能，又能在應(yīng)

用層進(jìn)行代理，能從數(shù)據(jù)鏈路層到應(yīng)用層進(jìn)行全方位安

全處理。

■:南型防火墻的設(shè)計(jì)綜合了包過濾技術(shù)和代理技術(shù)，克服

了二者在安全方面的缺陷；能夠從TCP/IP協(xié)議的數(shù)據(jù)鏈

路層一直到應(yīng)用層施加全方位的控制。

■新型防火墻的系統(tǒng)構(gòu)成如圖1242所示。

配置、報(bào)表4—?ApplicationProxy安全、日志、控制

I

DESandRSA4-------------密鑰產(chǎn)生與配置

A

V

配置、報(bào)表4—?TCP/IPProcess4-------------安全、日志、控制

A

V

RawAccessNIC

圖12-12新型防火墻的系統(tǒng)構(gòu)成

3.物理隔離技術(shù)

■物理隔離卡安裝在主板和硬盤之間，完全控制硬盤讀寫

操作，并控制了網(wǎng)絡(luò)連接及通訊線路。

■物理隔離卡主要分為單硬盤物理隔離卡和雙硬盤物理隔

離卡。

■單硬盤物理隔離卡是通過把用戶的一個(gè)硬盤分成兩個(gè)區(qū),

一個(gè)為公共硬盤/區(qū)（外網(wǎng)），另一個(gè)為安全硬盤/區(qū)（內(nèi)

網(wǎng)），將一臺(tái)普通計(jì)算機(jī)變成兩臺(tái)虛擬計(jì)算機(jī)，每次啟

動(dòng)進(jìn)入其中的一個(gè)硬盤/區(qū)。

圖12-13是單硬盤物理隔離卡示意圖。

工作在工作在

內(nèi)網(wǎng)時(shí)外網(wǎng)時(shí)

C盤

外

網(wǎng)

D盤區(qū)

域

1E盤

數(shù)據(jù)交換區(qū)

F盤（光驅(qū)）

可讀寫

G盤（光驅(qū)）

圖12-13單硬盤物理隔離卡工作示意圖

■雙硬盤物理隔離卡的基本原理是：在連接內(nèi)部網(wǎng)絡(luò)的同

時(shí)，啟動(dòng)內(nèi)網(wǎng)硬盤及其操作系統(tǒng)，同時(shí)關(guān)閉外網(wǎng)硬盤；

在連接外部網(wǎng)絡(luò)的同時(shí)，啟動(dòng)外網(wǎng)硬盤及其操作系統(tǒng)，

同時(shí)關(guān)閉內(nèi)網(wǎng)硬盤。

■物理隔離網(wǎng)閘由物理隔離網(wǎng)絡(luò)電腦和物理隔離系統(tǒng)交換

機(jī)組成。其中，物理隔離網(wǎng)絡(luò)電腦負(fù)責(zé)與物理隔離交換

機(jī)通信，并承擔(dān)選擇內(nèi)網(wǎng)服務(wù)器和外網(wǎng)服務(wù)器的功能。

■物理隔離交換機(jī)實(shí)際上就是一個(gè)加載了智能功能的電子

選擇開關(guān)。物理隔離交換機(jī)不但具有傳統(tǒng)交換機(jī)的功能,

而且增加了選擇網(wǎng)絡(luò)的能力（參見圖12-14）。

物理隔

內(nèi)網(wǎng)服務(wù)器外網(wǎng)服務(wù)器

物理隔離

----)

物句隔離I交I換機(jī)

圖12-14物理隔離閘示意圖

12.4網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度

12.4.1網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度的涵義

12.4.2人員管理制度

12.4.3保密制度

12.4.4跟蹤、審計(jì)、稽核制度

12.4.5網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度

12.4.6用戶管理

12.4.7病毒防范制度

12.4.8應(yīng)急措施

12.4.1網(wǎng)絡(luò)交易系統(tǒng)的安全

管理制度的涵義

■網(wǎng)絡(luò)交易系統(tǒng)安全管理制度是用文字形式對(duì)各項(xiàng)安全要求

所做的規(guī)定，它是保證企業(yè)網(wǎng)絡(luò)營銷取得成功的重要基礎(chǔ)

工作，是企業(yè)網(wǎng)絡(luò)營銷人員安全工作的規(guī)范和準(zhǔn)則。

■網(wǎng)絡(luò)交易系統(tǒng)安全管理制度包括人員管理制度、保密制度、

跟蹤審計(jì)制度、系統(tǒng)維護(hù)制度、數(shù)據(jù)備份制度、病毒定期

清理制度等。

12.4.2人員管理制度

（1）嚴(yán)格網(wǎng)絡(luò)營銷人員的選拔，將經(jīng)過一定時(shí)間的考察、責(zé)

任心強(qiáng)、講原則、守紀(jì)律、了解市場、懂得營銷、具有

基本網(wǎng)絡(luò)知識(shí)的人員委派到崗位。

（2）落實(shí)工作責(zé)任制，不僅要求網(wǎng)絡(luò)營銷人員，完成規(guī)定的

營銷任務(wù)，而且要求他們嚴(yán)格遵守企業(yè)的網(wǎng)絡(luò)營銷安全

制度。

（3）貫徹電子商務(wù)安全運(yùn)作基本原則，包括雙人負(fù)責(zé)原則；

任期有限原則，；最小權(quán)限原則等。

12.4.3保密制度

電子商務(wù)涉及企業(yè)的市場、生產(chǎn)、財(cái)務(wù)、供應(yīng)等多方面的

機(jī)密，需要很好地劃分信息的安全級(jí)別，確定安全防范

重點(diǎn)，提出相應(yīng)的保密措施。

信息的安全級(jí)別一般可分為三級(jí):二

(1)絕密級(jí)。此部分網(wǎng)址、密碼不在互聯(lián)網(wǎng)絡(luò)上公開，只限

于公司高層人員掌握。

(2)機(jī)密級(jí)。此部分網(wǎng)址、密碼不在互聯(lián)網(wǎng)絡(luò)上公開，只限

于公司中層以上人員使用。

(3)秘密級(jí)。此部分網(wǎng)址、密碼在互聯(lián)網(wǎng)絡(luò)上公開，供消費(fèi)

者瀏覽，但必須有保護(hù)程序，防止黑客入侵。

12.4.4跟蹤、審計(jì)、稽核制度

■跟蹤制度要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機(jī)制，用來記

錄系統(tǒng)運(yùn)行的全過程。

■審計(jì)制度包括經(jīng)常對(duì)系統(tǒng)日志的檢查、審核。

■稽核制度是指工商管理、銀行、稅務(wù)人員發(fā)出相應(yīng)的警

示或作出處理處罰的有關(guān)決定的一系列步驟及措施。

12.4.5網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度

1.硬件的日常管理和維護(hù)

1）網(wǎng)絡(luò)設(shè)備

2）服務(wù)器和客戶機(jī)

3）通信線路

2.軟件的日常管理和維護(hù)

1）支撐軟件

2）應(yīng)用軟件

3.數(shù)據(jù)備份制度

12.4.6用戶管理

廣域網(wǎng)上一般都有幾個(gè)至十幾個(gè)應(yīng)用系統(tǒng),每個(gè)應(yīng)用系

統(tǒng)都設(shè)置了若干角色,用戶管理的任務(wù)就是增加/刪除用

戶、增加I修改用戶組號(hào)。

例如，要增加一個(gè)用戶，須進(jìn)行如下工作(以Unix為例)：

(1)在用戶使用的客戶機(jī)上增加用戶并分配組號(hào)；

(2)在用戶使用的服務(wù)器數(shù)據(jù)庫上增加用戶并分配組號(hào)；

(3)分配該用戶的廣域網(wǎng)訪問權(quán)限。

12.4.7病毒防范制度

1.安裝防病毒軟件

■應(yīng)用于網(wǎng)絡(luò)的防病毒軟件有兩種：一種是單機(jī)版防病毒

產(chǎn)品；另一種是聯(lián)機(jī)版防病毒產(chǎn)品。

2.認(rèn)真執(zhí)行病毒定期清理制度

■病毒定期清理制度可以清除處于潛伏期的病毒，防止病

毒的突然爆發(fā)，使計(jì)算機(jī)始終處于良好的工作狀態(tài)。

3.控制權(quán)限

■可以將網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件的屬性、權(quán)限加以

限制，對(duì)各終端用戶，只許他們具有只讀權(quán)限，斷絕病

毒入侵的渠道，達(dá)到預(yù)防的目的。

4.高度警惕網(wǎng)絡(luò)陷阱

■網(wǎng)絡(luò)上常常會(huì)出現(xiàn)非常誘人的廣告、免費(fèi)使用的承諾，

在從事網(wǎng)絡(luò)營銷時(shí)對(duì)此應(yīng)保持高度的警惕。

■網(wǎng)絡(luò)病毒主要的傳播渠道是電子郵件。由于文字處理軟

件Word具有夾帶宏病毒是可能，所以，當(dāng)收到陌生地址

的電子郵件時(shí)，最好不要在進(jìn)行網(wǎng)絡(luò)交易的時(shí)候打開。

12.4.8應(yīng)急措施

■應(yīng)急措施是指在計(jì)算機(jī)災(zāi)難事件，即緊急事件或安全事

故發(fā)生時(shí)，利用應(yīng)急計(jì)劃輔助軟件和應(yīng)急設(shè)施，排除災(zāi)

難和故障，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)。

■災(zāi)難恢復(fù)包括許多工作。一方面是硬件的恢復(fù)，使計(jì)算

機(jī)系統(tǒng)重新運(yùn)轉(zhuǎn)起來；另一方面是數(shù)據(jù)的恢復(fù)。

1）瞬時(shí)復(fù)制技術(shù)

■瞬時(shí)復(fù)制技術(shù)就是計(jì)算機(jī)在某一災(zāi)難時(shí)刻自動(dòng)復(fù)制數(shù)據(jù)

的技術(shù)。瞬時(shí)復(fù)制的備份數(shù)據(jù)可以典型地用來產(chǎn)生磁帶

備份或用作遠(yuǎn)程恢復(fù)節(jié)點(diǎn)的基本數(shù)據(jù)。

2）遠(yuǎn)程磁盤鏡像技術(shù)

■遠(yuǎn)程磁盤鏡像技術(shù)在遠(yuǎn)程備份中心提供主數(shù)據(jù)中心的磁

盤影像。這種技術(shù)的最主要的優(yōu)點(diǎn)是可以把數(shù)據(jù)中心磁

盤中的數(shù)據(jù)復(fù)制到遠(yuǎn)程備份中心，而無需考慮數(shù)據(jù)在磁

盤上是如何組織的。

3）數(shù)據(jù)庫恢復(fù)技術(shù)

■數(shù)據(jù)庫恢復(fù)技術(shù)是產(chǎn)生和維護(hù)一份或多份數(shù)據(jù)庫數(shù)據(jù)的

復(fù)制。它為用戶提供了更大的靈活性。

12.5電子商務(wù)交易安全的法律保障

12.5.1電子合同法律制度

12.5.2電子簽字法律制度

12.5.3我國電子商務(wù)交易安全的法律保護(hù)

12.5.4我國電子商務(wù)立法的若干基本問題

1251電子合同法律制度

1.電子合同及其書面形式

■“電子合同”系指經(jīng)電子、光學(xué)或類似手段生成、儲(chǔ)存

或傳遞的合同。

■電子合同通過數(shù)據(jù)電文（包括電報(bào)、傳真、電子數(shù)據(jù)交

換和電子郵件）傳遞信息，其所包含的信息應(yīng)能夠有形

地表現(xiàn)所載內(nèi)容，并能夠完整調(diào)取以備日后查用。

■電子合同自身有一些缺點(diǎn)：易消失性、作為證據(jù)的局限

性、易改動(dòng)性。

■根據(jù)聯(lián)合國《電子商務(wù)示范法》第6條，“如法律要求信

息須采用書面形式，則假若一項(xiàng)數(shù)據(jù)電文所含信息可以

調(diào)取以備日后查用，即滿足了該項(xiàng)要求”。

■我國新《合同法》也將傳統(tǒng)的書面合同形式擴(kuò)大到數(shù)據(jù)

電文形式。第十一條規(guī)定：“書面形式是指合同書、信

件以及數(shù)據(jù)電文（包括電報(bào)、電傳、傳真、電子數(shù)據(jù)交

換和電子郵件）等可以有形地表現(xiàn)所載內(nèi)容的形式?！?/p>

2.電子合同的訂立

1）當(dāng)事人所在地

■以電子方式締結(jié)合同的當(dāng)事方必須明確指明其相關(guān)的營

業(yè)地所在地點(diǎn)。

■對(duì)無營業(yè)地的法律實(shí)體，可考慮信息系統(tǒng)的支持設(shè)備和

技術(shù)的所在地，或可能與某種系統(tǒng)聯(lián)通進(jìn)行查詢的訪問

地，以確定這類法律實(shí)體的營業(yè)地所在地。

2）要約與邀請(qǐng)要約

■凡不是向一個(gè)人或幾個(gè)特定的人提出，而可供使用信息

系統(tǒng)的人一般查詢的，應(yīng)當(dāng)僅視為邀請(qǐng)要約。因?yàn)樵谶@

些情況下承受約束的意圖被認(rèn)為是不明確的。

3）接受要約

■在電子合同中，除非各當(dāng)事人另有約定，要約和接受要

約可以通過數(shù)據(jù)電文表示。

■點(diǎn)擊“同意”按鈕表示接受要約。

4）電子合同的收到與合同成立地點(diǎn)

■采用數(shù)據(jù)電文形式訂立合同，收件人指定特定系統(tǒng)接收

數(shù)據(jù)電文的，該數(shù)據(jù)電文進(jìn)入該特定系統(tǒng)的時(shí)間，視為

到達(dá)時(shí)間；未指定特定系統(tǒng)的，該數(shù)據(jù)電文進(jìn)入收件人

的任何系統(tǒng)的首次時(shí)間，視為到達(dá)時(shí)間。

■采用數(shù)據(jù)電文形式訂立合同的，收件人的主營業(yè)地為合

同成立的地點(diǎn)；沒有主營業(yè)地的，其經(jīng)常居住地為合同

成立的地點(diǎn)?！?/p>

5）自動(dòng)交易

■除非當(dāng)事人另有約定，合同可以通過自動(dòng)化計(jì)算機(jī)系

統(tǒng)，與自然人之間的交互動(dòng)作，或者通過若干自動(dòng)化

計(jì)算機(jī)系統(tǒng)之間的交互動(dòng)作訂立。

■在電子商務(wù)交易中，經(jīng)由計(jì)算機(jī)程序代為處理商務(wù)的

人（自然人或法人），最后應(yīng)當(dāng)對(duì)該機(jī)器生成的任何

電文承擔(dān)責(zé)任。

6）形式要求

■電子合同的任何規(guī)定，應(yīng)不要求合同須以書面訂立，

或以書面證明，也不要求合同必須遵守任何其他有關(guān)

形式的要求。

7）擬由當(dāng)事人提供的一般資料

12.5.2電子簽字法律制度

1.電子簽字的概念

■“電子簽字”系指在數(shù)據(jù)電文中，以電子形式所含、所

附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)，它可用于鑒別

與數(shù)據(jù)電文有關(guān)的簽字人和表明此人認(rèn)可數(shù)據(jù)電文所含

信息。

2.電子簽字的功能

■確定一個(gè)人的身份。

■肯定是該人自己的簽字。

■使該人與文件內(nèi)容發(fā)生關(guān)系。

3.電子簽字中當(dāng)事各方的基本行為規(guī)范

■參與電子簽字活動(dòng)包括簽字人、驗(yàn)證服務(wù)提供商和依賴方。

■簽字人應(yīng)對(duì)其電子簽字裝置應(yīng)采取合理的謹(jǐn)慎措施。一

■依賴方應(yīng)采取合理的步驟核查電子簽字的可靠性。

■證書服務(wù)提供商的義務(wù)是使用可信賴的系統(tǒng)、程序和人力資

源，并按其所作出的關(guān)于其政策和做法的表述行事。

4.符合電子簽字的法律要求

■可靠的電子簽字應(yīng)符合下列條件：

(1)簽字生成數(shù)據(jù)在其使用的范圍內(nèi)與簽字人而不是還與其

他任何人相關(guān)聯(lián)；

(2)簽字生成數(shù)據(jù)在簽字時(shí)處于簽字人而不是還處于其他任

何人的控制之中；

(3)凡在簽字后對(duì)電子簽字的任何篡改均可被覺察；

(4)如簽字的法律要求目的是對(duì)簽字涉及的信息的完整性提

供保證，凡在簽字后對(duì)該信息的任何篡改均可被覺察。

5.我國法律對(duì)電子簽字法律地位的態(tài)度

■我國《合同法》明確規(guī)定數(shù)據(jù)電文是書面形式的一種，

電子簽字也是一種數(shù)據(jù)電文，從這個(gè)角度推斷，電子簽

字是可以作為傳統(tǒng)的書面簽字來使用的。

■在法律上，應(yīng)承認(rèn)有相應(yīng)技術(shù)保證的電子簽字的合法性,

并嚴(yán)厲禁止任何一方泄露他方簽字，以保護(hù)電子簽字只

代表簽字者的當(dāng)前意圖。

■2003年全國人大常委會(huì)即將審議的電子簽名法，將改變

這種狀況，促進(jìn)電子簽字在社會(huì)各領(lǐng)域中的應(yīng)用。

12.5.3我國電子商務(wù)交易安全的

法律保護(hù)

電子商務(wù)交易安全的法律保護(hù)問題,涉及到兩個(gè)基本方面:

■第一，電子商務(wù)交易首先的一種商品交易，其安全問題

應(yīng)當(dāng)通過民商法加以保護(hù)；

■第二，電子商務(wù)交易是通過計(jì)算機(jī)及其網(wǎng)絡(luò)而實(shí)現(xiàn)的，

其安全與否以來于計(jì)算機(jī)及其網(wǎng)絡(luò)自身的安全程度。

1.我國涉及交易安全的法律法規(guī)

■我國現(xiàn)行的涉及交易安全的法律法規(guī)主要有四類：

(1)綜合性法律。主要是民法通則和刑法中有關(guān)保護(hù)交易安

全的條文。

(2)規(guī)范交易主體的有關(guān)法律。如公司法、國有企業(yè)法、集

體企業(yè)法、合伙企業(yè)法、私營企業(yè)法、外資企業(yè)法等。

(3)規(guī)范交易行為的有關(guān)法律。包括經(jīng)濟(jì)合同法、產(chǎn)品質(zhì)量

法、財(cái)產(chǎn)保險(xiǎn)法、價(jià)格法、消費(fèi)者權(quán)益保護(hù)法、廣告法、

反不正當(dāng)競爭法等。

(4)監(jiān)督交易行為的有關(guān)法律。如會(huì)計(jì)法、審計(jì)法、票據(jù)法、

銀行法等。

2.我國涉及計(jì)算機(jī)安全的法律法規(guī)

■1991年，國務(wù)院通過了《計(jì)算機(jī)軟件保護(hù)條例》。

■1994年，國務(wù)院發(fā)布《中華人民共和國計(jì)算機(jī)信息系統(tǒng)

安全保護(hù)條例》。

■1996年，國務(wù)院發(fā)布《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)

國際聯(lián)網(wǎng)管理暫行規(guī)定》。

■1997年，我國實(shí)行新刑法。

■2000年，信息產(chǎn)業(yè)部發(fā)布《關(guān)于互聯(lián)網(wǎng)中文域名管理的

通告》，2002年8月又發(fā)布《中國互聯(lián)網(wǎng)絡(luò)域名管理辦

法》。

3.我國保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的法律法規(guī)

1）加強(qiáng)國際互聯(lián)網(wǎng)出入信道的管理

■我國境內(nèi)的計(jì)算機(jī)互聯(lián)網(wǎng)必須使用國家公用電信網(wǎng)提供

的國際出入信道進(jìn)行國際聯(lián)網(wǎng)。任何單位和個(gè)人不得自

行建立或者使用其它信道進(jìn)行國際聯(lián)網(wǎng)。

2）市場準(zhǔn)入制度

■從事國際互聯(lián)網(wǎng)經(jīng)營活動(dòng)和從事非經(jīng)營活動(dòng)的接入單位

必須具備的條件：

是依法設(shè)立的企業(yè)法人或者事業(yè)單位；

?具備相應(yīng)的計(jì)算機(jī)信息網(wǎng)絡(luò)、裝備以及相應(yīng)的技術(shù)人

員和管理人員；

具備健全的安全保密管理制度和技術(shù)保護(hù)措施；

?符合法律和國務(wù)院規(guī)定的其他條件。

3）安全責(zé)任

■從事國際互聯(lián)網(wǎng)業(yè)務(wù)的單位和個(gè)人，應(yīng)當(dāng)遵守國家有關(guān)

法律、行政法規(guī)，嚴(yán)格執(zhí)行安全保密制度。

■計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行管理部門，必須設(shè)有安全組織或安

全負(fù)責(zé)人。

■每個(gè)工作站和每個(gè)終端，都要建立健全網(wǎng)絡(luò)操作的各項(xiàng)

制度。

■網(wǎng)絡(luò)用戶也應(yīng)提高安全意識(shí)。

12.5.4我國電子商務(wù)立法的

若干基本問題

1.電子商務(wù)立法形式的選擇

1）電子商務(wù)法的地位

電子商務(wù)可以單獨(dú)立法。這是因?yàn)?

■調(diào)整對(duì)象是獨(dú)立的、明確的。

■調(diào)整的社會(huì)關(guān)系有自己明顯的特征。

■傳統(tǒng)的民法、經(jīng)濟(jì)法及其程序法很難適用于虛擬環(huán)境中

的商務(wù)交易活動(dòng)。

2）電子商務(wù)立法途徑

E先分別立法，再進(jìn)行綜合立法。

■先綜合立法，然后對(duì)具體問題制定單行規(guī)則。

2.電子商務(wù)立法目的

1）為電子商務(wù)健康、快速發(fā)展創(chuàng)造一個(gè)良好的法律環(huán)境

2）彌補(bǔ)現(xiàn)有法律的缺陷和不足。

3）鼓勵(lì)利用現(xiàn)代信息技術(shù)促進(jìn)交易活動(dòng)。

3.電子商務(wù)立法指導(dǎo)思想與原則

1）與聯(lián)合國《電子商務(wù)示范法》保持一致

^^2）不偏重任何技術(shù)，

3）依賴“功能等同”方法

4）跟蹤計(jì)算機(jī)技術(shù)的最新發(fā)展

4.電子商務(wù)立法范圍

1）電子商務(wù)法的調(diào)整對(duì)象

■電子商務(wù)法的調(diào)整對(duì)象是電子商務(wù)交易活動(dòng)中發(fā)生的各

_種社會(huì)關(guān)系，而這類社會(huì)關(guān)系是在廣泛采用新型信息技

術(shù)并將這些應(yīng)用技術(shù)商業(yè)領(lǐng)域后才形成的特殊的社會(huì)關(guān)

系，它交叉存在于虛擬社會(huì)和實(shí)體社會(huì)之間，有別于實(shí)

體社會(huì)中的各種社會(huì)關(guān)系，且完全獨(dú)立于現(xiàn)行法律的調(diào)

整范圍。

2）電子商務(wù)法所涉及的技術(shù)范圍

■擬訂電子商務(wù)法時(shí)經(jīng)常提及比較先進(jìn)的通信技術(shù)，如電子

數(shù)據(jù)交換和電子郵件，但電子商務(wù)法所依據(jù)的原則及其條

款，也應(yīng)照顧到適用于不大先進(jìn)的通信技術(shù)，如電傳、傳

真等。

3）電子商務(wù)法所涉及的商務(wù)范圍

■從本質(zhì)上講，電子商務(wù)仍然是一種商務(wù)活動(dòng)。因此，電子

商務(wù)法需要涵蓋電子商務(wù)環(huán)境下合同、支付、商品配送的

演變形式和操作規(guī)則；需要涵蓋交易雙方、居間商和政府

的地位、作用和運(yùn)行規(guī)范；也需要涵蓋涉及交易安全的大

量問題；同時(shí)，還需要涵蓋某些現(xiàn)有民商法尚未涉及的特

定領(lǐng)域的法律規(guī)范。

5.電子商務(wù)立法框架

第一部分，電子商務(wù)總則

第一章，一般條款。

第二章，對(duì)數(shù)據(jù)電文適用法律要求。

第三章，數(shù)據(jù)電文的形成與傳遞。

第四章，電子支付。

■第五章，認(rèn)證機(jī)構(gòu)-

，第六章，網(wǎng)絡(luò)服務(wù)商。

第七章，政府作用。

第二部分，電子商務(wù)的特定領(lǐng)域

第八章，網(wǎng)絡(luò)零售業(yè)。

第九章，網(wǎng)絡(luò)廣告業(yè)。

第十章，知識(shí)產(chǎn)權(quán)貿(mào)易。

第十一章，貨物運(yùn)輸。

第十二章結(jié)束

（全書結(jié)束）

SuccesswithMoneyandJoy

附落人生心語

?成功是一種觀念

?致富是一種義務(wù)

?快樂是一種權(quán)利

?每個(gè)人都有能力、有義

務(wù)、有權(quán)利辦到成功

致富快樂

附贈(zèng)人生心語

成成功不是打敗別人

功成功不是超越別人

成功不是名、利、權(quán)的獲得

致?lián)碛薪】档纳眢w

豐足的物質(zhì)生活

富平衡的心理狀態(tài)

又才能擁有成功

快SuccesswithMoneyandJoy

戰(zhàn)勝自己

樂貢獻(xiàn)自己

扮演好自己的歷史角色

才能超越自己

融入成功里

附贈(zèng)人生心語

知人者智，自知者明，勝人者力，自

勝者強(qiáng)。

——老子

附贈(zèng)人生心語

?成功必須靠百分之九十八的辛勤血

汗，加上百分之二的天才靈感。

?世界上注定只有百分之二十的人會(huì)成

功。

附贈(zèng)人生心語

成猶太諺語中有一句名言，

功會(huì)傷人的東西有三個(gè)：苦惱、爭吵、空的錢包。

其中最傷人的是——空的錢包。

致金錢本身并沒有善惡，

但沒有錢，

富卻的確是一件不幸的事情。

又所以，我們必須學(xué)習(xí)

快SuccesswithMoneyandJoy

重視財(cái)富，

樂