电子商务基础与应用（西电版）第12章网络交易安全管理

《电子商务基础与应用（西电版）第12章网络交易安全管理》由会员分享，可在线阅读，更多相关《电子商务基础与应用（西电版）第12章网络交易安全管理（116页珍藏版）》请在装配图网上搜索。

1、第 十 二 章 网 络 交 易 安 全 管 理 1 第 十 二 章 网 络 交 易 安 全 管 理12.1 网络交易风险和安全管理的基本思路12.2 客户认证技术12.3 防止黑客入侵12.4 网络交易系统的安全管理制度12.5 电子商务交易安全的法律保障 第 十 二 章 网 络 交 易 安 全 管 理 2 12.1 网 络 交 易 风 险 和 安 全 管 理 的 基 本 思 路12.1.1 网 络 交 易 风 险 的 现 状伴随着电子商务交易量的不断增加，电子商务安全问题出现的几率也越来越高。(1) 个人信息泄露事件多次发生。 (2)“网络钓鱼”诈骗频繁出现。 (3) 黑客入侵网站事件时有发

2、生。 第 十 二 章 网 络 交 易 安 全 管 理 3图12-1 假银联网站主页 第 十 二 章 网 络 交 易 安 全 管 理 4 12.1.2 网 络 交 易 风 险 源 分 析 1. 在 线 交 易 主 体 的 市 场 准 入 问 题在现行法律体制下，任何长期固定从事营利性事业的主体都必须进行工商登记。在电子商务环境下，虚拟主体的存在使电子商务交易安全受到严重威胁。电子商务交易安全首先要解决的问题就是确保网上交易主体的真实存在，且确定哪些主体可以进入虚拟市场从事在线业务。 第 十 二 章 网 络 交 易 安 全 管 理 5 2. 信 息 风 险 从买卖双方自身的角度观察，网络交易中的信

3、息风险来源于用户以合法身份进入系统后，买卖双方都可能在网络上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。虚假信息包含与事实不符和夸大事实两个方面。 第 十 二 章 网 络 交 易 安 全 管 理 6 3. 信 用 风 险 信用风险主要来自三个方面：(1) 来自买方的信用风险。 (2) 来自卖方的信用风险。 (3) 买卖双方都存在抵赖的情况。 第 十 二 章 网 络 交 易 安 全 管 理 7 4. 网 上 欺 诈 犯 罪 骗子利用人们的善良天性，在电子交易活动中频繁欺诈用户，利用电子商务进行欺诈已经成为一种新型犯罪活动。常见的欺诈犯罪有：网络钓鱼、网络信用卡诈骗、

4、网上非法经营、网络非法吸收公众存款等。这类犯罪活动对社会危害面广，影响较大。打击因特网欺诈行为对保证电子商务正常发展具有重要意义。 第 十 二 章 网 络 交 易 安 全 管 理 8 5 电 子 合 同 问 题 在传统商业模式下，除即时结清或数额较小的交易无需记录外，一般都要签订书面合同，以便在对方失信不履约时作为证据，追究对方的责任。而在在线交易情形下，所有当事人的意思表示均以电子化的形式存储于计算机硬盘或其他电子介质中。但这些记录都因没有应用电子签名而不能得到法律的保护。 第 十 二 章 网 络 交 易 安 全 管 理 9 6 电 子 支 付 问 题 典型的电子商务是在网上完成支付的。网上

5、支付通过信用卡支付和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。因此，需要制定相应的法律，明确电子支付的当事人(包括付款人、收款人和银行)之间的法律关系，制定相关的电子支付制度，认可电子签字的合法性。同时还应出台针对电子支付数据的伪造、变造、更改、涂销等问题的处理办法。 第 十 二 章 网 络 交 易 安 全 管 理 10 7 在 线 消 费 者 保 护 问 题 在线市场的虚拟性和开放性以及网上购物的便捷性都使消费者保护成为突出的问题。 第 十 二 章 网 络 交 易 安 全 管 理 11 8 产 品 交 付

6、问 题 在线交易的标的物分两种，一种为有形货物，另一种是无形的信息产品。应当说，有形货物的交付仍然可以沿用传统合同法的基本原理，当然，对于物流配送中引起的一些特殊问题也要作一些探讨。而信息产品的交付则具有不同于有形货物交付的特征，对于其权利的移转、退货、交付的完成等需要有相应的安全保障措施。 第 十 二 章 网 络 交 易 安 全 管 理 12 12.1.3 网 络 交 易 安 全 管 理 的 基 本 思 路保障电子商务交易安全，必须对电子商务交易系统有深刻的理解。这一点至关重要，它直接关系到所建立的交易安全保障体系的有效性和生命力。 第 十 二 章 网 络 交 易 安 全 管 理 13 12

7、.2 客 户 认 证 技 术客户认证技术是保证电子商务交易安全的一项重要技术。客户认证主要包括客户身份认证和客户信息认证。前者用于鉴别用户身份，保证通信双方身份的真实性；后者用于保证双方通信的不可抵赖性和信息的完整性。 第 十 二 章 网 络 交 易 安 全 管 理 14 12.2.1 身 份 认 证 1. 身 份 认 证 的 目 标身份认证是判明和确认贸易双方真实身份的重要环节，也是电子商务交易过程中最薄弱的环节。身份认证包含识别和鉴别两个过程。 第 十 二 章 网 络 交 易 安 全 管 理 15 身份认证的主要目标包括：(1) 确保交易者是交易者本人，而不是其他人。 (2) 避免与超过权

8、限的交易者进行交易。 (3) 访问控制。 第 十 二 章 网 络 交 易 安 全 管 理 16 2. 用 户 身 份 认 证 的 基 本 方 式 一般来说，用户身份认证可通过三种基本方式或其组合方式来实现：(1) 用户通过某个秘密信息，例如用户通过自己的口令访问系统资源。(2) 用户知道某个秘密信息，并且利用包含这一秘密信息的载体访问系统资源。 (3) 用户利用自身所具有的某些生物学特征，如指纹、声音、DNA、视网膜等访问系统资源。 第 十 二 章 网 络 交 易 安 全 管 理 17 3. 身 份 认 证 的 单 因 素 认 证 用户身份认证的最简单方法就是口令。 第 十 二 章 网 络 交

9、 易 安 全 管 理 18 4. 基 于 智 能 卡 的 用 户 身 份 认 证 基于智能卡的用户身份认证机制属于双因素认证，它结合了基本认证方式中的第一种和第二种方法。 第 十 二 章 网 络 交 易 安 全 管 理 19 5. 一 次 口 令 机 制 最安全的身份认证机制是一次口令机制，即每次用户登录系统时口令互不相同。 第 十 二 章 网 络 交 易 安 全 管 理 20 12.2.2 信 息 认 证 技 术 1. 信 息 认 证 的 目 标在某些情况下，信息认证比身份认证更为重要。 第 十 二 章 网 络 交 易 安 全 管 理 21 信息认证的主要目标包括：(1) 可信性。 (2)

10、完整性。 (3) 不可抵赖性。 (4) 保密性。 第 十 二 章 网 络 交 易 安 全 管 理 22 2. 基 于 私 有 密 钥 体 制 的 信 息 认 证 基于私有密钥(Private Key，私钥)体制的信息认证是一种传统的信息认证方法。这种方法采用对称加密算法，也就是说，信息交换的双方共同约定一个口令或一组密码，建立一个通信双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方，乙方用相同的私钥解密后获得甲方传递的信息。 第 十 二 章 网 络 交 易 安 全 管 理 23图12-2 对称加密示意图 第 十 二 章 网 络 交 易 安 全 管 理 24 对称加密算法在电子商务交

11、易过程中存在三个问题：(1) 要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥。 (2) 密钥的数目将快速增长而变得难以管理，因为每一对可能的通信实体需要使用不同的密钥，这很难适应开放社会中大量信息交流的要求。(3) 对称加密算法一般不能提供信息完整性鉴别。 第 十 二 章 网 络 交 易 安 全 管 理 25 3. 基 于 公 开 密 钥 体 制 的 信 息 认 证 1976年，美国学者Diffie和Hellman 为解决信息公开传送和密钥管理问题，提出了一种密钥交换协议，允许通信双方在不安全的媒体上交换信息，安全地达成一致的密钥，这就是“公开密钥体系”。 第 十 二 章 网

12、络 交 易 安 全 管 理 26图12-3 使用公钥加密和用对应的私钥解密的示意图 第 十 二 章 网 络 交 易 安 全 管 理 27 4. 数 字 签 字 和 验 证 对文件进行加密只解决了第一个问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其他的手段。数字签字(Digita1 Signature)及验证(Verification)就是实现信息在公开网络上安全传输的重要方法。 第 十 二 章 网 络 交 易 安 全 管 理 28图12-4 数字签字与验证过程示意图 第 十 二 章 网 络 交 易 安 全 管 理 29 5. 时 间 戳 在电子商务交易文件中，时间是

13、十分重要的信息。同书面文件类似，文件签署的日期也是防止电子文件被伪造和篡改的关键性内容。数字时间戳服务(Digita1 Time Stamp sever，DTS)是网上电子商务安全服务项目之一，它能提供电子文件的日期和时间信息的安全保护。 第 十 二 章 网 络 交 易 安 全 管 理 30 12.2.3 通 过 电 子 认 证 服 务 机 构 认 证 1. 数 字 证 书根据联合国电子签字示范法第一条，“证书”系指可证实签字人与签字生成数据有联系的某一数据电文或其他记录。中华人民共和国电子签名法规定，电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。 第

14、 十 二 章 网 络 交 易 安 全 管 理 31图12-5 数字证书的组成 第 十 二 章 网 络 交 易 安 全 管 理 32 2. 电 子 认 证 服 务 提 供 者 电子认证服务提供者是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构(简称电子认证服务机构)。 第 十 二 章 网 络 交 易 安 全 管 理 33图12-6 CA认证 第 十 二 章 网 络 交 易 安 全 管 理 34 3. 电 子 商 务 的 CA认 证 体 系 1) SET CA1997年2月19日，由MasterCard和VISA发起成立Secure Electronic Transection LTC

15、(SETCo公司)，被授权作为SET根认证中心(Root CA)。从SET协议中可以看出，由于采用公开密钥加密算法，认证中心(CA)就成为整个系统的安全核心。SET中CA的层次结构如图12-7所示。 第 十 二 章 网 络 交 易 安 全 管 理 35图12-7 SET中CA的层次结构 第 十 二 章 网 络 交 易 安 全 管 理 36 2) PKI CAPKI(Public Key Infrastructure，公钥基础设施)是提供公钥加密和数字签字服务的安全基础平台，目的是管理密钥和证书。PKI是创建、颁发、管理、撤消公钥证书所涉及到的所有软件、硬件的集合体，它将公开密钥技术、数字证书、

16、证书发放机构(CA)和安全策略等安全措施整合起来，成为目前公认的在大型开放网络环境下解决信息安全问题最可行、最有效的方法。 第 十 二 章 网 络 交 易 安 全 管 理 37图12-8 PKI的主要功能和服务 第 十 二 章 网 络 交 易 安 全 管 理 38图12-9 PKI体系的构成 第 十 二 章 网 络 交 易 安 全 管 理 39 4. 证 书 的 树 形 验 证 结 构 在两方通信时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的权威CA处，就可确信证书的有效性。SET证书正是通过信任层次来逐级验证的。

17、第 十 二 章 网 络 交 易 安 全 管 理 40图12-10 证书的树形验证结构 第 十 二 章 网 络 交 易 安 全 管 理 41 5. 带 有 数 字 签 字 和 数 字 证 书 的 加 密 系 统 安全电子商务使用的文件传输系统大都带有数字签字和数字证书，其基本流程如图12-11所示。 第 十 二 章 网 络 交 易 安 全 管 理 42图12-11 带有数字签字和数字证书的加密系统 第 十 二 章 网 络 交 易 安 全 管 理 43 6. 认 证 机 构 在 电 子 商 务 中 的 地 位 和 作 用 在电子商务交易的撮合过程中，认证机构是提供交易双方验证的第三方机构，由一个或

18、多个用户信任的、具有权威性质的组织实体管理。它不仅要对进行电子商务交易的买卖双方负责，还要对整个电子商务的交易秩序负责。 第 十 二 章 网 络 交 易 安 全 管 理 44 电子商务认证机构对登记者履行下列监督管理职责：(1) 监督登记者按照规定办理登记、变更、注销手续。(2) 监督登记者按照电子商务的有关法律法规合法从事经营活动。(3) 制止和查处登记人的违法交易活动，保护交易人的合法权益。 第 十 二 章 网 络 交 易 安 全 管 理 45 12.2.4 我 国 电 子 商 务 认 证 机 构 的 建 设 1. 我 国 电 子 商 务 认 证 机 构 建 设 的 基 本 情 况 自19

19、98年5月17日我国第一家CA认证中心产生以来，目前获得电子认证服务行政许可的认证机构共32家。这些认证机构大致可以分为三类：第一类是行业主管部门建立的CA中心，如由中国人民银行牵头组建的中金金融认证中心 (CFCA)，中国联通的中网威信电子安全服务有限公司等；第二类是地方政府部门建立的CA中心，如北京CA、上海CA、山东CA等；第三类是民间资本建立的商业CA，如天威诚信、颐信科技等。 第 十 二 章 网 络 交 易 安 全 管 理 46 2. 我 国 电 子 认 证 服 务 机 构 建 设 中 存 在 的 主 要 问 题(1) 电子认证服务资源亟待整合。 (2) 电子认证服务亟待创新与突破。

20、 (3) 技术水平偏低，存在安全隐患。 第 十 二 章 网 络 交 易 安 全 管 理 47 3. 加 强 我 国 电 子 认 证 服 务 机 构 建 设 的 基 本 思 路(1) 统筹全局、规范发展。 (2) 政府引导、市场运作。 (3) 应用牵引、服务创新。 第 十 二 章 网 络 交 易 安 全 管 理 48 4. 国 家 级 电 子 认 证 服 务 体 系 建 设 的 构 想 为改变我国认证机构存在的设置混乱问题，笔者认为，必须考虑国家级电子认证服务体系的建设。从经济活动的角度出发，电子认证服务主要涉及下述几个方面的任务：(1) 身份认证。 (2) 资信认证。 (3) 税收认证。 (4

21、) 外贸认证。 第 十 二 章 网 络 交 易 安 全 管 理 49图12-12 国家电子商务认证中心机构组织结构设想图 第 十 二 章 网 络 交 易 安 全 管 理 50 12.3 防 止 黑 客 入 侵12.3.1 黑 客 的 基 本 概 念黑客(Hacker)源于英语动词hack，意为“劈、砍”，引申为“辟出、开辟”。 第 十 二 章 网 络 交 易 安 全 管 理 51 12.3.2 网 络 黑 客 常 用 的 攻 击 手 段 1. 口 令 攻 击口令攻击是网上攻击最常用的方法。 第 十 二 章 网 络 交 易 安 全 管 理 52 2. 服 务 攻 击 黑客所采用的服务攻击手段主要

22、有4种。(1) 和目标主机建立大量的连接。 (2) 向远程主机发送大量的数据包。 (3) 利用即时消息功能，以极快的速度用无数的消息“轰炸”某个特定用户，使目标主机缓冲区溢出，黑客伺机提升权限，获取信息或执行任意程序。(4) 利用网络软件在实现协议时的漏洞，向目标主机发送特定格式的数据包，从而导致主机瘫痪。 第 十 二 章 网 络 交 易 安 全 管 理 53 3. 电 子 邮 件 轰 炸 用数百条消息填塞某人的E-mail信箱也是一种在线袭扰的方法。 第 十 二 章 网 络 交 易 安 全 管 理 54 4. 利 用 文 件 系 统 入 侵 FTP(文件传输协议)是因特网上最早应用的、不同系

23、统之间交换数据的协议之一。FTP的实现依靠TCP在主机之间进行数据传输。 第 十 二 章 网 络 交 易 安 全 管 理 55 5. 计 算 机 病 毒 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒程序把自己附着在其他程序上，待这些程序运行时，病毒进入到系统中，进而大面积扩散。 第 十 二 章 网 络 交 易 安 全 管 理 56 6. IP欺 骗 IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击，它伪造他人的源地址，让一台计算机来扮演另一台计算机，借以达到蒙混过关的目的。IP欺骗主要包括简单的地

24、址伪造和序列号预测两种。 第 十 二 章 网 络 交 易 安 全 管 理 57 12.3.3 防 范 黑 客 攻 击 的 主 要 技 术 手 段 1. 入 侵 检 测 技 术入侵检测可以形象地描述为网络中不间断的摄像机。入侵检测通过旁路监听的方式不间断地收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。 第 十 二 章 网 络 交 易 安 全 管 理 58 2. 防 火 墙 技 术1) 传统防火墙(1) 包过滤(Packet Filtering)。 (2) 代理防火墙(Proxy)。 (3) 电路层网关(Circuit Gateway)。 第

25、 十 二 章 网 络 交 易 安 全 管 理 59 2) 新型防火墙新型防火墙的设计目标是既有包过滤的功能，又能在应用层进行代理，能从数据链路层到应用层进行全方位安全处理。由于TCP/IP协议和代理直接相互配合，使系统的防欺骗能力和运行的安全性都大大提高。 第 十 二 章 网 络 交 易 安 全 管 理 60图12-13 新型防火墙的系统构成 第 十 二 章 网 络 交 易 安 全 管 理 61 3. 物 理 隔 离 技 术 物理隔离技术是近年发展起来的防止外部黑客攻击的有效手段。物理隔离产品主要有物理隔离卡和隔离网闸。 第 十 二 章 网 络 交 易 安 全 管 理 62图12-14 物理隔

26、离卡工作示意图 第 十 二 章 网 络 交 易 安 全 管 理 63 图12-15 物理隔离网闸示意图 第 十 二 章 网 络 交 易 安 全 管 理 64 12.4 网 络 交 易 系 统 的 安 全 管 理 制 度12.4.1 网 络 交 易 系 统 安 全 管 理 制 度 的 涵 义网络交易系统安全管理制度是用文字形式对各项安全要求所做的规定，它是保证企业网络营销取得成功的重要基础，是企业网络营销人员安全工作的规范和准则。企业在参与网络营销伊始，就应当形成一套完整的、适应于网络环境的安全管理制度，包括人员管理制度，保密制度，跟踪、审计、稽核制度，网络系统日常维护制度，用户管理制度和病毒防

27、范制度以及应急措施等。 第 十 二 章 网 络 交 易 安 全 管 理 65 12.4.2 人 员 管 理 制 度网络营销是一种高智力劳动。从事网络营销的人员，一方面必须具有传统市场营销的知识和经验。另一方面，又必须具有相应的计算机网络知识和操作技能。 (1) 严格网络营销人员的选拔。 (2) 落实工作责任制。 (3) 贯彻电子商务安全运作基本原则。 第 十 二 章 网 络 交 易 安 全 管 理 66 12.4.3 保 密 制 度 电子商务涉及企业的市场、生产、财务、供应等多方面的机密，需要很好地划分信息的安全级别，确定防范重点，提出相应的保密措施。信息的安全级别一般可分为三级：(1) 绝密

28、级。 (2) 机密级。 (3) 秘密级。 第 十 二 章 网 络 交 易 安 全 管 理 67 12.4.4 跟 踪 、 审 计 、 稽 核 制 度 跟踪制度要求企业建立网络交易系统日志机制，用来记录系统运行的全过程。系统日志文件是自动生成的，内容包括操作日期、操作方式、登录次数、运行时间、交易内容等。 第 十 二 章 网 络 交 易 安 全 管 理 68 12.4.5 网 络 系 统 的 日 常 维 护 制 度 1 硬 件 的 日 常 管 理 和 维 护企业通过自己的网络系统参与电子商务活动，网络系统的日常管理和维护变得至关重要，特别是对那些运行关键任务的企业内部网络，对银行、邮电、税务等部

29、门的网络更是如此。所以，必须对网络系统的硬件设备的管理和维护给予高度重视。 第 十 二 章 网 络 交 易 安 全 管 理 69 1) 网络设备(1) 可管设备。 (2) 不可管设备。 第 十 二 章 网 络 交 易 安 全 管 理 70 2) 服务器和客户机服务器和客户机一般没有相应的网管软件，只能通过手工操作检查状态。在UNIX环境下，可以用Shell命令写一个巡查程序(Ping和PS命令)，检查各服务器或客户机是否处于活动状态及各机的用户注册情况。如果服务器采用冷备份，则应定时启动备份机检查。 第 十 二 章 网 络 交 易 安 全 管 理 71 3) 通信线路对于内部线路，应尽可能采用

30、结构化布线。虽然采用布线系统在建网初期会增加投资，但可以大大降低网络故障率。 第 十 二 章 网 络 交 易 安 全 管 理 72 2. 软 件 的 日 常 管 理 和 维 护 1) 支撑软件支撑软件包括操作系统(UNIX或Windows NT)、数据库(Oracle或Sybase)、开发工具(PowerBuilder、Delphi或C语言)等。对于操作系统，一般需要进行以下维护工作：(1) 定期清理日志文件、临时文件。(2) 定期整理文件系统。(3) 监测服务器上的活动状态和用户注册数。(4) 处理运行中的死机情况等。 第 十 二 章 网 络 交 易 安 全 管 理 73 2) 应用软件应用

31、软件的管理和维护主要是版本控制。为了保持各客户机上应用软件版本一致，应设置一台安装服务器，当远程客户机应用软件需要更新时，就可以从网络上进行远程安装。MSOffice、E-mail等软件均可远程安装。但是，远程安装应选择网络负载较低时进行，特别是安装大型应用软件，最好在晚上进行，以免影响网络的日常工作。 第 十 二 章 网 络 交 易 安 全 管 理 74 3 数 据 备 份 制 度 备份与恢复主要是指利用多种介质，如磁介质、纸介质、光碟、微缩载体等，对信息系统数据进行存储、备份和恢复。这种保护措施还包括对系统设备的备份。 第 十 二 章 网 络 交 易 安 全 管 理 75 12.4.6 用

32、 户 管 理 制 度 广域网上一般都有几个至十几个应用系统，每个应用系统都设置了若干角色，用户管理的任务就是增加/删除用户、增加/修改用户组号。 第 十 二 章 网 络 交 易 安 全 管 理 76 12.4.7 病 毒 防 范 制 度 1. 应 用 防 病 毒 软 件防病毒软件有两类：一类是单机版防病毒产品；另一类是网络版防病毒产品。 第 十 二 章 网 络 交 易 安 全 管 理 77 2. 认 真 执 行 病 毒 定 期 清 理 制 度 许多病毒都有一个潜伏期。有时候，虽然计算机还可以运行，但实际上已经染上了病毒。病毒定期清理制度可以清除处于潜伏期的病毒，防止病毒突然爆发。 第 十 二

33、章 网 络 交 易 安 全 管 理 78 3. 控 制 权 限 控制权限可以将网络系统中易感染病毒文件的属性、权限加以限制。对各终端用户，规定他们具有只读权限，断绝病毒入侵的渠道，达到预防的目的。 第 十 二 章 网 络 交 易 安 全 管 理 79 4. 高 度 警 惕 网 络 陷 阱 网络上大量的免费资源对网民有很大的吸引力，但在下载资料和软件使要保持高度的警惕性：不打开不明来源的邮件，尤其是附件带有执行程序的邮件；不安装网站自动要求安装的软件，以免软件中携带病毒；不使用自动保存密码的功能，避免木马程序盗取账号和密码；在公共场合上网时，尽可能不输入个人资料(密码、手机号码、证件号码等)。

34、第 十 二 章 网 络 交 易 安 全 管 理 80 12.4.8 应 急 措 施1) 瞬时复制技术2) 远程磁盘镜像技术3) 数据库复制技术 第 十 二 章 网 络 交 易 安 全 管 理 81 12.5 电 子 商 务 交 易 安 全 的 法 律 保 障12.5.1 电 子 签 名 法 律 制 度电子签名行为是虚拟环境下的一种全新的核证行为，对这种行为进行法律规范，有助于消除电子签名应用中的法律障碍，明确有关各方的权利和义务，保障电子商务的正常进行。 第 十 二 章 网 络 交 易 安 全 管 理 82 1. 电 子 签 名 (Electronic Signature)的 概 念 2001

35、年3月23日通过的联合国电子签字示范法(中译本)给出了电子签字的定义：“电子签字系指在数据电文中，以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文有关的签字人和表明此人认可数据电文所含信息。” 第 十 二 章 网 络 交 易 安 全 管 理 83 2. 电 子 签 名 的 适 用 前 提 与 适 用 范 围 鉴于电子签名的推广需要有一个过程，电子签名法没有规定在民事活动中的合同或者其他文件、单证等文书中必须使用电子签名，而规定对于“民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文”。但明确规定当约定使用电子签名、数据电文的文书

36、后，当事人“不得仅因为其采用电子签名、数据电文的形式而否定其法律效力”。 第 十 二 章 网 络 交 易 安 全 管 理 84 电子签名法使用排除法确定了电子签名的使用范围，规定一些特定范围内的法律文书不适用关于电子签名、数据电文的法律效力的规定。这些法律文书包括：(1) 涉及婚姻、收养、继承等人身关系的。(2) 涉及土地、房屋等不动产权益转让的。(3) 涉及停止供水、供热、供气、供电等公用事业服务的。(4) 法律、行政法规规定的不适用电子文书的其他情形。 第 十 二 章 网 络 交 易 安 全 管 理 85 3. 电 子 签 名 的 法 律 效 力 我国电子签名法第十四条规定：“可靠的电子签

37、名与手写签名或者盖章具有同等的法律效力”。这是电子签名法的核心。也就是说，当一个电子签名被认定是可靠的电子签名时，该电子签名才能与手写签名或者盖章具有同等的法律效力。 第 十 二 章 网 络 交 易 安 全 管 理 86 电子签名法第十三条提出了认定可靠电子签名的四个基本条件，且这四个条件需要同时满足：(1) 电子签名制作数据用于电子签名时，属于电子签名人专有； (2) 签署时电子签名制作数据仅由电子签名人控制； (3) 签署后对电子签名的任何改动都能够被发现； (4) 签署后对数据电文内容和形式的任何改动都能够被发现。 第 十 二 章 网 络 交 易 安 全 管 理 87 4. 电 子 签

38、名 中 各 方 当 事 人 的 基 本 行 为 规 范根据我国电子签名法，参与电子签名活动的包括电子签名人、电子签名依赖方和电子认证服务提供者。 第 十 二 章 网 络 交 易 安 全 管 理 88 12.5.2 电 子 合 同 法 律 制 度 1 电 子 合 同 及 其 书 面 形 式合同，亦称契约。中华人民共和国民法通则第八十五条规定，“合同是当事人之间设立、变更、终止民事关系的协议。依法成立的合同，受法律保护。”合同是当事人在地位平等基础上自愿协商产生的，它反映了双方或多方意思表示一致的法律行为。现阶段，合同已经成为保障市场经济正常运行的重要手段。 第 十 二 章 网 络 交 易 安 全

39、 管 理 89 2. 电 子 合 同 的 订 立 1) 当事人所在地 对于电子合同来说，当事人所在地是一个极其复杂的问题。仅凭某人使用与某一特定国家相关联的电子信箱地址，不能推定其营业地位于该国。因为现行域名指定系统最初不是按地名构思的。 第 十 二 章 网 络 交 易 安 全 管 理 90 2) 要约与邀请要约根据联合国销售公约，非向一个人或一个以上特定的人提出的建议，仅应视为邀请要约，除非提出建议的人明确表示相反的意向。在有纸化环境下，报纸、杂志和电视中的广告、商品介绍的小册子或价目表等一般也被看做是邀请要约。 第 十 二 章 网 络 交 易 安 全 管 理 91 3) 接受要约在电子合同

40、中，除非各当事人另有约定，要约和接受要约可以通过数据电文表示。对于电子数据交换、电子邮件，法律上已经开始接受它们作为证据了。 4) 发出和收到 第 十 二 章 网 络 交 易 安 全 管 理 92 5) 自动交易“自动电文系统”系指一种计算机程序或者一种电子手段或其他自动手段，用以引发一个行动或全部或部分地对数据电文生成答复，而无需每次在该系统引发行动或生成答复时由自然人进行复查或干预。 第 十 二 章 网 络 交 易 安 全 管 理 93 6) 形式要求根据联合国销售公约第十一条关于形式自由的一般原则，电子合同的任何规定应不要求合同须以书面订立或以书面证明，也不要求合同必须遵守任何其他有关形

41、式的要求。 第 十 二 章 网 络 交 易 安 全 管 理 94 7) 拟由当事人提供的一般资料为增强国际交易的确定性和明确性，参与电子合同的当事人应提供的一般资料包括当事人身份、法律地位、所在地和地址资料等，其目的是确保通过因特网等公开网络进行的各种交易能够正常进行。 第 十 二 章 网 络 交 易 安 全 管 理 95 3 规 制 电 子 商 务 交 易 安 全 的 规 范 性 文 件 在电子商务交易的专门法律尚未出台的情况下，各部门的规范性文件就显得非常重要。因为这些文件可以根据电子商务发展变化的情况对其进行调整，以弥补专门法律的不足。 第 十 二 章 网 络 交 易 安 全 管 理 9

42、6 12.5.3 网 络 商 品 交 易 管 理 办 法1) 强化网络消费者权益保护保护消费者合法权益既是制定办法的重要指导原则，又是办法的主要内容之一。办法根据网络消费特点，从消费者有效识别网络经营主体真实身份、网络商品和服务经营行为规范、交易合同、交易凭证、交易信息保护、提供网络交易平台服务的经营者维护消费者权益应当履行的义务、消费者申诉处理办法等几个方面做出了保护消费者权益的规定。 第 十 二 章 网 络 交 易 安 全 管 理 97 2) 规范网络交易平台服务的经营者的行为网络交易平台是网络商品及有关服务集中交易的场所和空间，网络交易平台交易秩序是否规范、有序，直接关系到网络商品交易能

43、否健康发展。 第 十 二 章 网 络 交 易 安 全 管 理 98 3) 网络商品交易的监管措施和手段(1) 信用监管。 (2) 网络信息化监管。 (3) 全国一体化管理。 (4) 法律责任。 第 十 二 章 网 络 交 易 安 全 管 理 99 12.5.4 我 国 电 子 商 务 交 易 安 全 的 相 关 法 律 保 护 电子商务交易安全的法律保护问题涉及到两个基本方面。第一，电子商务交易首先是一种商品交易，其安全问题应当通过民商法加以保护；第二，电子商务交易是通过计算机及网络来实现的，其安全与否依赖于计算机及网络自身的安全程度。 第 十 二 章 网 络 交 易 安 全 管 理 100

44、1 我 国 涉 及 交 易 安 全 的 法 律 法 规我国现行的涉及交易安全的法律法规主要有四类：(1) 综合性法律，主要是民法通则和刑法中有关保护交易安全的条文。(2) 规范交易主体的有关法律，如公司法、国有企业法、集体企业法、合伙企业法、私营企业法、外资企业法等。(3) 规范交易行为的有关法律，包括电子签名法、经济合同法、产品质量法、财产保险法、价格法、消费者权益保护法、广告法、反不正当竞争法等。(4) 监督交易行为的有关法律，如会计法、审计法、票据法、银行法等。 第 十 二 章 网 络 交 易 安 全 管 理 101 2 我 国 涉 及 计 算 机 安 全 的 法 律 法 规我国的计算机

45、安全立法工作开始于20世纪80年代。 第 十 二 章 网 络 交 易 安 全 管 理 102 3 我 国 涉 及 计 算 机 网 络 安 全 的 法 律 法 规 1) 加强国际互联网出入信道的管理1997年颁布的中华人民共和国计算机信息网络国际联网管理暂行规定实施办法规定，我国境内的计算机信息网络直接进行国际联网，必须使用国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。 第 十 二 章 网 络 交 易 安 全 管 理 103 2）域名管理制度1997年6月，原国务院信息化工作领导小组办公室发布了中国互联网络域名注册暂行管理办法。经过几年的实践后，20

46、04年11月原信息产业部又发布了中国互联网络域名管理办法。两个文件规范了中国互联网络域名系统管理和域名注册服务，有力地保障了中国互联网络域名系统安全、可靠地运行。 第 十 二 章 网 络 交 易 安 全 管 理 104 3) 安全责任从事国际互联网业务的单位和个人，应当遵守国家有关法律、行政法规，严格执行安全保密制度，不得利用国际互联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情信息等。 第 十 二 章 网 络 交 易 安 全 管 理 105 12.5.5 我 国 电 子 商 务 立 法 的 若 干 基 本 问 题 1. 电 子 商 务

47、立 法 形 式 的 选 择面对电子商务的迅速发展，现行法规与实践发展不相适应的矛盾越来越突出。人们普遍感到电子商务立法的必要性。电子商务的专门立法已不可避免。但在整个立法工作开展之前，必须解决两个问题：一是电子商务能否单独立法，即电子商务法的地位问题；二是电子商务的立法从何入手。 第 十 二 章 网 络 交 易 安 全 管 理 106 1) 电子商务法的地位依据法学的基本理论，法的地位是指其在整个法律体系中有没有自己独立存在的位置，有没有自己独立存在的理由和必要性。能够在法律体系中形成独立存在的位置，才可能有单独立法的必要。 第 十 二 章 网 络 交 易 安 全 管 理 107 2) 电子商

48、务立法途径从立法学的角度看，电子商务的立法可以有两条途径：第一，先分别立法 第二，先着手综合立法 第 十 二 章 网 络 交 易 安 全 管 理 108 2 电 子 商 务 立 法 目 的1) 为电子商务的健康、快速发展创造一个良好的法律环境随着电子商务的普及，数据电文的使用正在急剧增多。然而，以非书面电文形式来传递具有法律意义的信息可能会因使用这种电文所遇到的法律障碍或这种电文法律效力(或有效性)的不确定性而受到影响。 第 十 二 章 网 络 交 易 安 全 管 理 109 2) 弥补现有法律的缺陷和不足电子商务单独立法，是因为国家有关传递和存储信息的现行法规不够完备或已经过时，因为那些文件

49、起草时还没有预见到电子商务的使用。 第 十 二 章 网 络 交 易 安 全 管 理 110 3) 鼓励利用现代信息技术促进交易活动电子商务法的目标包括使电子商务的使用成为可能或为此创造方便条件，平等对待基于书面文件的用户和基于数据电文的用户，充分发挥高科技手段在商务活动中的作用。这些目标都是促进经济增长和提高国内、国际贸易效率的关键所在。 第 十 二 章 网 络 交 易 安 全 管 理 111 3. 电 子 商 务 立 法 指 导 思 想 与 原 则1) 与联合国电子商业示范法保持一致联合国贸易法委员会电子商业示范法是经过众多的国际法律专家集体讨论制定的，意在向各国政府的执行部门和议会提供一份

50、背景和说明材料，帮助其使用电子商业示范法，同时推动各国更新其立法。电子商业示范法对我国制定相应的法律有很大的借鉴价值。 第 十 二 章 网 络 交 易 安 全 管 理 112 2) 不偏重任何技术电子商务法旨在提供必不可少的程序和原则，以利于在各种不同情况下使用现代技术记录和传递信息。但是，在电子商务法的起草过程中不应偏重任何技术手段。 第 十 二 章 网 络 交 易 安 全 管 理 113 3) 依赖“功能等同”方法电子商务法的起草应以这样的认识为依据：针对传统的书面文件的法律规定是利用现代信息手段发展商务活动的主要障碍。 第 十 二 章 网 络 交 易 安 全 管 理 114 4) 跟踪电

51、子商务的最新发展电子商务的快速发展和普及，涉及的社会领域不断拓宽，由此带来的社会问题也都在迅速地发生变化。法律工作者已不能再像研究罗马法那样，占用大量的时间去细细体味和总结。电子商务法的研究必须紧跟电子商务发展的步伐，不断更新，不断突破，否则，很难解决新出现的问题和矛盾。 第 十 二 章 网 络 交 易 安 全 管 理 115 4 电 子 商 务 法 律 体 系 电子商务法只是部门法意义上的称谓，它应当包括许多子类，这些子类共同构成一个完成的体系调整电子商务及其有关的法律关系或法律行为。理想的电子商务立法体系至少应当包括四个基本层面：权利归属、交易行为、基础及公共服务、市场交易秩序及监管，主要涉及10个方面的问题。 第 十 二 章 网 络 交 易 安 全 管 理 116 (1) 网上商业数据的利用规范与个人隐私的保护立法。(2) 网络服务和网络公共服务立法。 (3) 电子商务交易秩序和市场管理立法。 (4) 网络反垄断立法。 (5) 电子商务交易法。 (6) 在线电子支付立法。 (7) 网上商业行为的规制。 (8) 电子商务税收立法。 (9) 消费者权益保护法。 (10) 电子商务争议解决机制。