学习《电子商务安全与实训》必须重视实训分析环节。电子商务发展迅速,电子商务安全管理的技术、市场、人才、文化、发展模式等,每天都会出现新的变化,学生必须学会发现问题、分析问题、解决问题,从“实战”中提高自己的技能,电子商务安全管理实训就是最好的尝试。实训分析的目的,绝不是重复课堂的“知识点”,而是重在“技能点”的培养:
加深对讲授内容的理解,通过实训分析,了解最新电子商务安全管理的发展动态,熟练掌握电子商务安全的相关措施;
了解和熟悉电子商务安全的实际运作环境,建立创新的思维方式;
学会比较实际网站电子商务安全的优劣,尝试解决实际的安全问题。
电子商务安全管理实训,应该包括以下步骤:
上网之前,准备好相关网站的资料,提高实训分析的效率;
实训分析过程中,注意收集同类网站的信息,进行数据安全的比较分析;
实训分析完毕后,认真整理出“实训分析报告”。
下面给出了七项“电子商务安全管理”的实训操作,每一项实训分析对应安全管理的具体类别,实训教师可以根据具体教学时间安排做必要的内容调整,增加或减少某些实训分析内容。
一、Windows Vista安全中心
Windows Vista安全中心具有链接,可以检查计算机的防火墙、防病毒软件和更新状态。执行可能影响计算机操作或对影响其他用户的设置进行更改的操作之前,用户账户控制(UAC)将要求用户提供相应权限,从而有助于阻止对计算机进行未经授权的更改。
Windows Vista安全中心可通过检查计算机上几个安全基础的状态(包括防火墙设置、自动更新、反恶意软件设置、Internet安全设置和用户账户控制设置)帮助增强计算机的安全性。如果Windows检测到这些安全基础中的任何一个存在问题(如防病毒程序已过期等),则安全中心将显示一个通知,并且将在通知区域中放置一个图标。单击通知或双击安全中心图标便可打开安全中心,并获取有关如何解决该问题的信息。
1.防火墙
防火墙有助于防止“黑客”或恶意软件(如蠕虫病毒)通过网络或Internet访问计算机。防火墙还有助于阻止计算机向其他计算机发送恶意软件。Windows会检查您的计算机是否已受到软件防火墙的保护。如果防火墙处于关闭状态,则安全中心将显示一个通知,并且在通知区域中放置一个安全中心图标。
打开Windows防火墙的步骤:单击打开安全中心;单击“防火墙”,然后单击“立即启用”。如果系统提示您输入管理员密码或进行确认,请键入密码或提供确认。
如果安装了Windows防火墙以外的防火墙,请查阅防火墙附带的信息,或转到制造商的网址了解如何将其打开。
Windows不能检测到所有防火墙。如果您确定已经安装并打开防火墙,则可以单击“显示可用选项”,停止接收来自安全中心的有关防火墙的通知。如果这样做,Windows将不会在防火墙关闭时监视其状态,或者向您发出警报。
2.自动更新
Windows可以例行检查适用于您计算机的更新,并自动安装这些更新。可以使用安全中心确保“自动更新”已启用。如果已关闭更新,则安全中心将显示一个通知,并且在通知区域中放置一个安全中心图标。有关自动更新的详细信息,请参阅更改Windows安装更新或通知您更新的方式以及什么是更新。
启用自动更新的步骤:单击打开安全中心;单击“自动更新”,然后单击“立即启用”。如果系统提示您输入管理员密码或进行确认,请键入密码或提供确认。
3.恶意软件防护
恶意软件防护可保护您的计算机免受病毒、间谍软件和其他安全威胁的侵害。安全中心会检查您的计算机使用的是否是最新的反间谍软件和防病毒软件。如果已关闭防病毒或反间谍软件,或者软件已过期,则安全中心将显示一个通知,并且在通知区域中放置一个安全中心图标。有关反恶意软件如何保护计算机的详细信息,请参阅使用反恶意软件保护计算机。
安装或更新反恶意软件的步骤:单击打开安全中心;单击“恶意软件防护”,再单击“病毒防护”或“间谍软件和其他恶意软件防护”下的按钮,然后选择需要的选项。
Windows不能检测到所有的防病毒和反间谍软件。如果您确定已经安装了反恶意软件,并且它处于打开状态且为最新,则可以单击“我已经安装了防病毒程序并将自己监视其状态”或“我已经安装了反间谍软件程序并将自己监视其状态”,以便停止接收来自安全中心的有关反恶意软件的通知。如果这样做,Windows将不会在反恶意软件关闭时监视其状态,或者向您发出警报。
4.其他安全设置
Windows会检查Internet安全设置和用户账户控制设置,以确保已将它们设置在推荐的级别。如果将Internet或用户账户控制设置更改为非推荐的安全级别,则安全中心将显示一个通知,并在通知区域放置一个安全中心图标。
将Internet设置还原为推荐级别的步骤:单击打开安全中心;单击“其他安全设置”;在“Internet安全设置”下,单击“还原设置”;若要将存在风险的Internet安全设置自动重置为各自的默认级别,请单击“立即还原Internet安全设置”;若要自己重置Internet安全设置,请单击“我想自己还原Internet安全设置”。单击要更改其设置的安全区域,然后单击“自定义级别”。
将用户账户控制设置还原为推荐级别的步骤:单击打开安全中心;单击“其他安全设置”;在“用户账户控制”下,单击“立即启用”。如果系统提示您输入管理员密码或进行确认,请键入密码或提供确认。
二、注册安全
个人消费用户笔记本电脑保修升级演示:
(1)登陆www。icare。hp。com。cn,选择“家庭使用者注册”链接(如果用户以前注册过,直接在“会员登陆”页面输入正确的“用户名”和“密码”登陆)。
(2)在“用户注册信息”页面正确输入登录“用户名”和“密码”信息后,进入“下一步”。
(3)在“用户注册信息”页面正确输入相关信息,进入“下一步”。
(4)注册成功后,在“个人使用者注册信息”页面,选择“返回”。
(5)在“用户自助服务”页面选择“产品保修信息查询”。
(6)在“查询产品保修信息”页面输入正确的“产品号”“序列号”和“验证码”,并选择“确认”。
(7)在“产品保修详细信息”页面选择“我要提交个人消费用户笔记本电脑保修升级申请”。
(8)在“产品保修”页面,仔细阅读相关提示信息并再次选择“我要提交个人消费用户笔记本电脑保修升级申请”。
(9)在“产品保修”页面,输入正确的个人及产品保修信息,最后选择“提交申请”。
(10)出现“信息提交成功”,结束保修升级申请。
“实训报告”登录电子商务网站注册安全
三、买方交易认证安全
买方交易的安全是电子商务发展的基础,人们在网上购买的欲望与支付安全密切相关,支付宝(中国)网络技术有限公司是国内领先的独立第三方支付平台,由阿里巴巴集团创办,支付宝(www。alipay。com)致力于为中国电子商务提供“简单、安全、快速”的在线支付解决方案。
支付宝公司从2004年建立开始,始终以“信任”作为产品和服务的核心。不仅从产品上确保用户在线支付的安全,同时让用户通过支付宝在网络间建立起相互的信任,为建立纯净的互联网环境迈出了非常有意义的一步。
支付宝提出的建立信任,化繁为简,以技术的创新带动信用体系完善的理念,深得人心。短短三年时间,用户覆盖了整个C2C、B2C以及B2B领域。截止到2008年5月6日,使用支付宝的用户已经超过8000万,支付宝日交易总额超过3.5亿元人民币,日交易笔数超过150万笔。
支付宝创新的产品技术、独特的理念及庞大的用户群吸引越来越多的互联网商家主动选择支付宝作为其在线支付体系。
目前除淘宝和阿里巴巴外,支持使用支付宝交易服务的商家已经超过46万家;涵盖了虚拟游戏、数码通讯、商业服务、机票等行业。这些商家在享受支付宝服务的同时,更是拥有了一个极具潜力的消费市场。
支付宝在电子支付领域稳健的作风、先进的技术、敏锐的市场预见能力及极大的社会责任感赢得银行等合作伙伴的认同。目前国内工商银行、农业银行、建设银行、招商银行、上海浦发银行等各大商业银行以及中国邮政、VISA国际组织等各大机构均和支付宝建立了深入的战略合作,不断根据客户需求推出创新产品,成为金融机构在电子支付领域最为信任的合作伙伴。
(1)为什么一定要注册支付宝账户呢?
买家使用的好处包括以下几个方面:
安全:货款先支付在支付宝,验货后再付款,购物安全有保障,安全放心;
便捷:不必跑银行汇款,网上在线支付,方便简单;
高效:付款成功后,即时到账,卖家可以立刻发货,快速高效;
免费:通过支付宝付款,在线支付,手续费全免;
认证:实名认证,更权威和真实。
(2)如何让支付宝账户更安全?
在平时使用过程中都要妥善保管好自己的账户和密码,不要在任何时候以任何方式向别人泄露自己的密码:支付宝绝不会要求您提供密码。如果有人知道了您的密码,请立即更改并联系我们。如果您向别人透露银行密码,请及时到银行柜台办理修改密码手续。
创建一个安全密码:尽量避免选择用您的生日和昵称作为登录密码或支付密码。请不要使用其他的在线服务(比如易趣、MSN、Yahoo或网上银行)一样的密码。在多个网站中使用一样的密码会增加其他人获取您的密码并访问您的账户的可能性。
要核实网址,每次登录尽量直接输入正确网址www。alipay。com,不要从来历不名的超级链接访问网站;
及时更新杀毒软件和安装防火墙,避免在网吧等公共场所使用网上银行,不要打开来路不明的电子邮件等。
建议平时不要在用于网上支付的银行账户中存放过多的钱,需要进行网上消费时再通过电话银行或者其他方式从其他的银行账户转入足够的金额。
如果经常进行网上消费,建议您前往银行柜面办理网上银行专业版开通手续,在自己的上网终端上安装网上银行数字证书,确保银行账户安全。
如果已经通过支付宝实名认证,您可以申请支付宝数字证书。
“实训报告”登录电子商务网站买方交易环节
四、卖方交易认证安全
卖方交易是为了保护卖家的权利,注册成为淘宝的会员后,如果想开一家属于自己的小店,那么也需要通过支付宝的认证。
通过实名认证,您将获得(支付宝个人认证图标),(支付宝商家认证图标),它会在您的信用评价中的用户名旁边显示。这个图标对于买家和卖家来说都是附加的安全标记。
(3)注册时密码设置有什么要求?
为了您的账户安全,在注册设置密码时,请参考以下建议:
密码长度为6到16个字符;设置时使用英文字母、数字和符号的组合,如cqmdt_042,或者7756jzm#$等,尽量不要有规律;
如果设置以下安全性过低的密码,系统都会提醒您修改密码,直至符合安全性要求:
密码与会员名或电子邮件地址相同;
单独的英文字母;
单独的数字。
(4)为什么一定要注册支付宝账户呢?
卖家使用的好处:
方便:再不用跑银行查账了,支付宝告诉您买家是否已付款,可以立刻发货,省心、省力、省时;
清晰:账目分明,交易管理帮您清晰地记录每一笔交易的交易状态,即使有多个买家汇入同样的金额也能区分清楚;
保证:支付宝认证是卖家信誉的保证;
得益:消除买家疑虑,带来更多商机。
“实训报告”登录卖方交易电子商务网站
五、证券公司交易安全
通常认为通过网络获取证券交易所实时行情,使用上网的方式进行股票买卖和其他股票查询操作的这种交易方式称为网上交易。
登陆长江证券网站(www。95579.com),下载相关交易软件,填写账号和通讯密码,如果进行交易,需要填写交易密码。
(1)要进行网上交易该准备哪些条件?开户步骤如何?
要进行网上交易需准备一台能上网的PC机及若干上网设备,如调制解调器、电话线或宽带网等。开户步骤通常如下:
新入市股民:去证券登记公司或其代理机构开设股东账户卡→去证券公司营业部开立资金账户→凭身份证、股东账户卡及资金账户直接到证券公司营业部办理开通网上交易手续→跟证券公司签订《网上交易委托协议》→证券公司工作人员帮你开通网上交易→开户完成。
已入市股民:凭身份证、股东账户卡及资金账户直接到证券公司营业部办理开通网上交易手续→跟证券公司签订《网上交易委托协议》→证券公司工作人员帮你开通网上交易→开户完成。
(2)想换一个行情主站浏览行情,怎么换?连接该主站用户名与密码是多少?
在行情主站登录对话框中有一行情主站列表,点击主站名称右侧的三角形下拉按钮即能选择行情主站,程序的配置已为每个主站设置了可连上该主站的用户名与密码,通常大多数主站的用户名及密码均为guest。
(3)网上委托有什么好处?
交易更为方便,证券资讯更全;
不受地域限制,可以在异地上网交易查询,不用花费拨打电话进行委托交易的长途费用;
无电话委托占线的烦恼,与传统的交易方式相比堵单率极低;
不受外界干扰,成本费用低。
(4)网上交易安全措施
网上交易软件采用国际通用的SSL协议和高强度的RSA1024位加密算法,有效地确保了交易过程的安全性。通过检查客户机和服务器各自的由公开密匙编排的识别号,确保用户安全访问我网上交易站点,以此保证用户的合法性,这是目前安全程度最高的网上交易技术方式,首批通过了国家安全部信息安全测评认证中心的认证,您可以放心使用。
(5)网上交易采用的安全措施:
双重防火墙隔离,防止网络上非法数据和病毒的入侵;
多重的身份验证,保护客户资料;
三重DES(DES-DED)的128位超强加密。对通讯密码进行1024位RSA加密,以防用户密码及客户资料外泄;
对通讯密码和交易密码设置了最大验证失败重试次数,以防止密码被他人无限测试;
可限制用户登录的IP地址网段,以防止未授权的非法网上访问恶意入侵。
(6)网上交易中大家最关心的是其安全性问题,有何保证?
对于网上交易的安全性,主要可从委托数据的输入,数据的传输和证券营业部数据库的安全这几方面分析。
在数据的输入方面,主要涉及交易密码的保密和隔离“黑客”进入两个问题。股民在上网交易时,只要注意在输入密码时做好自我保护措施。而网上委托系统有专门的防止“黑客”入侵的安全措施,其不采用浏览器的方式,而通过专门的程序进行问答式的数据通讯,隔离了其他文件的访问功能。
在数据的传输方面,主要涉及数据传输过程中的盗取和篡改的问题。目前的网上交易系统通过对交易数据加密且以密文的形式上网络传输的方式保证委托数据的传输安全。其采用了128位的对称加密与1024位非对称加密的方式,保证委托数据在传输过程中被盗取亦不致被破译。另为防止不法分子伪造和修改委托数据传输给委托服务器,网上交易系统采用数字签名算法来验证委托数据是否真实有效,即在发送的数据后附加字符序列,接收端则利用此字符序列确定委托数据的来源及有效性。为防止委托数据被复制,网上交易系统对每笔委托数据加时标,从而保证每笔委托的唯一性。此外,网上委托系统还设置了自动报警系统,在系统出现可疑的非法操作时,自动断开系统并锁定用户。通过以上种种措施,网上委托系统能确保委托数据安全的传输并接收。
在证券营业部的数据库管理和处理方面,营业部有一整套严密、安全的措施保证委托数据安全、及时、高速的处理。在营业部的委托系统中采用的并口隔离技术,能完成网上的数据交换功能,也能有效隔离一切来自互联网上的对证券公司的网络攻击。
可见,在网上交易的各环节,委托系统有安全性极高的程序和措施,能保证网上交易的安全进行。
技术上有很多安全手段,如各种加密算法、数字签名、防火墙、安全认证等,目前已知的安全技术,证券公司均已采用。
“实训报告”登录证券公司网站
六、电子邮件安全
随着网络的进一步发展,电子邮件已经成为人们联系沟通的重要手段,而电子邮件的安全问题也越来越得到使用者的重视。由此,提出了安全电子邮件的全面解决方案。
(1)安全发件人。
管理可以给您发送电子邮件的发件人。来自安全发件人的邮件不会被发送到垃圾邮件文件夹。
(2)安全邮件列表。
管理可以向您的账户发送邮件的邮件列表。来自安全邮件列表的邮件不会被发送到垃圾邮件文件夹。
(3)阻止发件人。
管理禁止向您发送邮件的发件人。来自阻止发件人的邮件会被自动删除。
端到端的安全电子邮件技术。
端到端的安全电子邮件技术,保证邮件从被发出到被接收的整个过程中,内容保密,无法修改,并且不可否认(privacy,integrity,non-repudation)。目前的Internet上,有两套成型的端到端安全电子邮件标准:PGP和S/MIME。
PGP是Pretty Good Privacy的简称,是一种长期一直在学术圈和技术圈内得到广泛使用的安全邮件标准。其特点是通过单向散列算法对邮件内容进行签名,以保证信件内容无法修改,使用公钥和私钥技术保证邮件内容保密且不可否认。发信人与收信人的公钥都分布在公开的地方,如FTP站点,而公钥本身的权威性(这把公钥是否代表发信人?)则可以由第三方、特别是收信人所熟悉或信任的第三方进行签名认证,没有统一的集中的机构进行公钥/私钥的签发。即在PGP系统中,信任是双方之间的直接关系,或是通过第三者、第四者的间接关系,但任意两方之间都是对等的,整个信任关系构成网状结构,这就是所谓的WEB of Trust。最近,基于PGP的模式又发展出了另一种类似的安全电子邮件标准,称为GPG,Gnu Privacy Guard。
S/MIME是Secure Multi-Part Intermail Mail Extension的简称。它是从PEM(Privacy Enhanced Mail)和MIME(Internet邮件的附件标准)发展而来的。同PGP一样,S/MIME也利用单向散列算法和公钥与私钥的加密体系。与PGP不同的主要有两点:首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的,这就是所谓的Tree of Trust。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。S/MIME的证书格式也采用X。509,但与一般浏览器网上购物使用的SSL证书还有一定差异,支持的厂商相对少一些。在国外,Verisign免费向个人提供S/MIME电子邮件证书;在国内也有公司提供支持该标准的产品。而在客户端,Netscape Messenger和Microsoft Outlook都支持S/MIME。
传输层的安全电子邮件技术。
传统的邮件包括信封和信本身;电子邮件则包括信头和信体。现存的端到端安全电子邮件技术一般只对信体进行加密和签名,而信头则由于邮件传输中寻址和路由的需要,必须保证原封不动。然而,一些应用环境下,可能会要求信头在传输过程中也能保密,这就需要传输层的技术作为后盾。目前主要有两种方式实现电子邮件在传输过程中的安全,一种是利用SSL SMTP和SSL POP,另一种是利用VPN或者其他的IP通道技术,将所有的TCP/IP传输封装起来,当然也就包括了电子邮件。
SMTP,即Simle Mail Transfer Protocol,简单邮件传输协议,是发信的协议标准;POP,即Post Office Protocol,邮箱协议,是收信的协议。SSL SMTP和SSL POP即在SSL所建立的安全传输通道上运行SMTP和POP协议,同时又对这两种协议作了一定的扩展,以更好地支持加密的认证和传输。这种模式要求客户端的EMAIL软件和服务器端的EMAIL服务器都支持,而且都必须安装SSL证书。
基于VPN和其他IP通道技术,封装所有的TCP/IP服务,也是实现安全电子邮件传输的一种方法。这种模式往往是整体网络安全机制的一部分。
邮件服务器的安全与可靠性。
建立一个安全的电子邮件系统,采用合适的安全标准非常重要。但仅仅依赖安全标准是不够的,邮件服务器本身必须是安全、可靠、久经实战考验的。
对邮件服务器本身的攻击由来已久。第一个通过Internet传播的病毒WORM,就利用了电子邮件服务器sendmail早期版本上的一个安全漏洞。目前对邮件服务器的攻击主要分网络入侵(Network Intrusion)和服务破坏(Denial of Service)两种。
对于网络入侵的防范,主要依赖于软件编程时的严谨程度,一般选型时很难从外部衡量。不过,服务器软件是否经受过实战的考验,在历史上是否有良好的安全记录,在一定程度上还是有据可查的。
对于服务破坏的防范,则可以分成以下几个方面:
*防止来自外部网络的攻击,包括拒绝来自指定地址和域名的邮件服务连接请求,拒绝收信人数量大于预定上限的邮件,限制单个IP地址的连接数量,暂时搁置可疑的信件等;
*防止来自内部网络的攻击,包括拒绝来自指定用户、IP地址和域名的邮件服务请求,强制实施SMTP认证,实现SSL POP和SSL SMTP以确认用户身份等;
*防止中继攻击,包括完全关闭中继功能,按照发信和收信的IP地址和域名灵活地限制中继,按照收信人数限制中继等;
*为了灵活地制定规则以实现上述的防范措施,邮件服务器应有专门的编程接口。
“实训报告”登录你自己的电子邮箱
七、建设银行个人网上银行安全管理措施
中国建设银行股份有限公司(“本行”)是一家在中国市场处于领先地位的股份制商业银行,为客户提供全面的商业银行产品与服务。主要经营领域包括公司银行业务、个人银行业务和资金业务,多种产品和服务(如基本建设贷款、住房按揭贷款和银行卡业务等)在中国银行业居于市场领先地位。
建设银行的历史可以追溯到1954年,成立时的名称是中国人民建设银行,当时是财政部下属的一家国有独资银行,负责管理和分配根据国家经济计划拨给建设项目和基础建设相关项目的政府资金。
开通网上银行服务后,点击“个人网上银行”,登录进入建行个人网上银行系统,可享受账户查询、网上缴费、网上支付等服务。
(1)安全策略方案。
安全是网上银行应用的关键和核心。为了能让您安全、放心地使用网上银行,银行制定了八大安全策略,以全面保护信息资料与资金的安全。
短信服务。
网上银行提供了从登录、查询、交易、直到退出的每一个环节的短信提醒服务,客户可以直接通过网上银行捆绑其手机,随时掌握网上银行使用情况。
加强证书存贮安全。
网上银行系统可支持USBkey证书功能,USBkey具有安全性、移动性、使用的方便性,我行在推广USBkey证书的时候,考虑到客户的需求,在USBkey款式、附加功能上进行了创新,使建设银行的USBkey相比其他行更具吸引力。
动态口令卡。
网上银行除了向客户提供证书保护模式外,还推出了动态口令卡,可以免除了您携带证书和使用证书的不便,动态口令卡样式轻小、安全性高。
先进技术的保障。
网上银行系统采用了严格的安全性设计,通过密码校验、CA证书、SSL(加密套接字层协议)加密和服务器方的反“黑客”软件等多种方式来保证客户信息安全。
双密码控制,并设定了密码安全强度。
网上银行系统采取登录密码和交易密码两种控制,并对密码错误次数进行了限制,超出限制次数,客户当日即无法进行登录。在客户首次登录网上银行时,系统将强制要求您修改在柜台签约时预留的登录密码,并对密码强度进行了检测,要求客户不能使用简单密码,有利于提高客户端的安全性。
交易限额控制。
网上银行系统对各类资金交易均设定了交易限额,以进一步保证客户资金的安全。
信息提示,增加透明度。
在网上银行操作过程中,客户提交的交易信息及各类出错信息都会清晰地显示在浏览器屏幕上,让客户清楚地了解该笔交易的详细信息。
客户端密码安全检测。
网上银行系统提供了客户端密码安全检测,能自动评估网上银行客户密码安全程度,并给予客户必要的风险警告,有助于提高客户安全意识。
(2)安全中心功能介绍。安全中心提供多种增强网上银行使用的安全服务,确保网上银行账户的安全。主要功能包括:
修改密码——修改密码为您提供修改网上银行登录密码和交易密码功能。
动态口令——动态口令为您提供动态口令卡网上登记及管理功能,主要功能有网上登记、用户自助换卡、刮刮卡挂失/解锁及切换静态密码。
账号保护——账号保护提供对显示在网银的账号进行部分号码屏蔽功能,防止别人偷窥账户信息。
短信服务——短信服务为您提供更加迅速和人性化的查询服务和安全服务,最大程度保证您网上银行账户的安全。
安全设置——安全设置通过采用防伪、设置私密等安全技术为您提供个性化的网银安全定制功能,主要功能:防伪信息、账户功能设置、暂停网银、修改私密信息。
软件下载——提供使用建行网上银行常用软件的下载功能。
“实训报告”登录一家你熟悉的个人网上银行
“附录一”
《中华人民共和国电子签名法》
(2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过)
第一章 总则
第一条 为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,制定本法。
第二条 本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
第三条 民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。
当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。
前款规定不适用下列文书:
(一)涉及婚姻、收养、继承等人身关系的;
(二)涉及土地、房屋等不动产权益转让的;
(三)涉及停止供水、供热、供气、供电等公用事业服务的;
(四)法律、行政法规规定的不适用电子文书的其他情形。
第二章数据电文
第四条 能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。
第五条 符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:
(一)能够有效地表现所载内容并可供随时调取查用;
(二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。
第六条 符合下列条件的数据电文,视为满足法律、法规规定的文件保存要求:
(一)能够有效地表现所载内容并可供随时调取查用;
(二)数据电文的格式与其生成、发送或者接收时的格式相同,或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;
(三)能够识别数据电文的发件人、收件人以及发送、接收的时间。
第七条 数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。
第八条 审查数据电文作为证据的真实性,应当考虑以下因素:
(一)生成、储存或者传递数据电文方法的可靠性;
(二)保持内容完整性方法的可靠性;
(三)用以鉴别发件人方法的可靠性;
(四)其他相关因素。
第九条 数据电文有下列情形之一的,视为发件人发送:
(一)经发件人授权发送的;
(二)发件人的信息系统自动发送的;
(三)收件人按照发件人认可的方法对数据电文进行验证后结果相符的。
当事人对前款规定的事项另有约定的,从其约定。
第十条 法律、行政法规规定或者当事人约定数据电文需要确认收讫的,应当确认收讫。发件人收到收件人的收讫确认时,数据电文视为已经收到。
第十一条 数据电文进入发件人控制之外的某个信息系统的时间,视为该数据电文的发送时间。
收件人指定特定系统接收数据电文的,数据电文进入该特定系统的时间,视为该数据电文的接收时间;未指定特定系统的,数据电文进入收件人的任何系统的首次时间,视为该数据电文的接收时间。
当事人对数据电文的发送时间、接收时间另有约定的,从其约定。
第十二条 发件人的主营业地为数据电文的发送地点,收件人的主营业地为数据电文的接收地点。没有主营业地的,其经常居住地为发送或者接收地点。
当事人对数据电文的发送地点、接收地点另有约定的,从其约定。
第三章 电子签名与认证
第十三条 电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力。
第十五条 电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。
第十六条 电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。
第十七条 提供电子认证服务,应当具备下列条件:
(一)具有与提供电子认证服务相适应的专业技术人员和管理人员;
(二)具有与提供电子认证服务相适应的资金和经营场所;
(三)具有符合国家安全标准的技术和设备;
(四)具有国家密码管理机构同意使用密码的证明文件;
(五)法律、行政法规规定的其他条件。
第十八条 从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书;不予许可的,应当书面通知申请人并告知理由。
申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。
取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。
第十九条 电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。
电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。
第二十条 电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。
电子认证服务提供者收到电子签名认证证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。
第二十一条 电子认证服务提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容:
(一)电子认证服务提供者名称;
(二)证书持有人名称;
(三)证书序列号;
(四)证书有效期;
(五)证书持有人的电子签名验证数据;
(六)电子认证服务提供者的电子签名;
(七)国务院信息产业主管部门规定的其他内容。
第二十二条 电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
第二十三条 电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。
电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接进行协商,作出妥善安排。
电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。
电子认证服务提供者被依法吊销电子认证许可证书的,其业务承接事项的处理按照国务院信息产业主管部门的规定执行。
第二十四条 电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。
第二十五条 国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。
第二十六条 经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。
第四章法律责任
第二十七条 电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。
第二十八条 电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。
第二十九条 未经许可提供电子认证服务的,由国务院信息产业主管部门责令停止违法行为;有违法所得的,没收违法所得;违法所得三十万元以上的,处违法所得一倍以上三倍以下的罚款;没有违法所得或者违法所得不足三十万元的,处十万元以上三十万元以下的罚款。
第三十条 电子认证服务提供者暂停或者终止电子认证服务,未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的,由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。
第三十一条 电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息,或者有其他违法行为的,由国务院信息产业主管部门责令限期改正;逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门。
第三十二条 伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。
第三十三条 依照本法负责电子认证服务业监督管理工作的部门的工作人员,不依法履行行政许可、监督管理职责的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第五章 附则
第三十四条 本法中下列用语的含义:
(一)电子签名人,是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人;
(二)电子签名依赖方,是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人;
(三)电子签名认证证书,是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录;
(四)电子签名制作数据,是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据;
(五)电子签名验证数据,是指用于验证电子签名的数据,包括代码、口令、算法或者公钥等。
第三十五条 国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。
第三十六条 本法自2005年4月1日起施行。
“附录二”
《互联网信息服务管理办法》
第一条 为了规范互联网信息服务活动,促进互联网信息服务健康有序发展,制定本办法。
第二条 在中华人民共和国境内从事互联网信息服务活动,必须遵守本办法。
本办法所称互联网信息服务,是指通过互联网向上网用户提供信息的服务活动。
第三条 互联网信息服务分为经营性和非经营性两类。
经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。
非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。
第四条 国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。
未取得许可或者未履行备案手续的,不得从事互联网信息服务。
第五条 从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务,依照法律、行政法规以及国家有关规定须经有关主管部门审核同意的,在申请经营许可或者履行备案手续前,应当依法经有关主管部门审核同意。
第六条 从事经营性互联网信息服务,除应当符合《中华人民共和国电信条例》规定的要求外,还应当具备下列条件:
(一)有业务发展计划及相关技术方案;
(二)有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度;
(三)服务项目属于本办法第五条规定范围的,已取得有关主管部门同意的文件。
第七条 从事经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证(以下简称经营许可证)。
省、自治区、直辖市电信管理机构或者国务院信息产业主管部门应当自收到申请之日起60日内审查完毕,作出批准或者不予批准的决定。予以批准的,颁发经营许可证;不予批准的,应当书面通知申请人并说明理由。
申请人取得经营许可证后,应当持经营许可证向企业登记机关办理登记手续。
第八条 从事非经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。办理备案时,应当提交下列材料:
(一)主办单位和网站负责人的基本情况;
(二)网站网址和服务项目;
(三)服务项目属于本办法第五条规定范围的,已取得有关主管部门的同意文件。
省、自治区、直辖市电信管理机构对备案材料齐全的,应当予以备案并编号。
第九条 从事互联网信息服务,拟开办电子公告服务的,应当在申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时,按照国家有关规定提出专项申请或者专项备案。
第十条 省、自治区、直辖市电信管理机构和国务院信息产业主管部门应当公布取得经营许可证或者已履行备案手续的互联网信息服务提供者名单。
第十一条 互联网信息服务提供者应当按照经许可或者备案的项目提供服务,不得超出经许可或者备案的项目提供服务。
非经营性互联网信息服务提供者不得从事有偿服务。
互联网信息服务提供者变更服务项目、网站网址等事项的,应当提前30日向原审核、发证或者备案机关办理变更手续。
第十二条 互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号。
第十三条 互联网信息服务提供者应当向上网用户提供良好的服务,并保证所提供的信息内容合法。
第十四条 从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录提供的信息内容及其发布时间、互联网地址或者域名;互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。
互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日,并在国家有关机关依法查询时,予以提供。
第十五条 互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:
(一)反对宪法所确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)破坏国家宗教政策,宣扬邪教和封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(八)侮辱或者诽谤他人,侵害他人合法权益的;
(九)含有法律、行政法规禁止的其他内容的。
第十六条 互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的,应当立即停止传输,保存有关记录,并向国家有关机关报告。
第十七条 经营性互联网信息服务提供者申请在境内境外上市或者同外商合资、合作,应当事先经国务院信息产业主管部门审查同意;其中,外商投资的比例应当符合有关法律、行政法规的规定。
第十八条 国务院信息产业主管部门和省、自治区、直辖市电信管理机构,依法对互联网信息服务实施监督管理。
新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门,在各自职责范围内依法对互联网信息内容实施监督管理。
第十九条 违反本办法的规定,未取得经营许可证,擅自从事经营性互联网信息服务,或者超出许可的项目提供服务的,由省、自治区、直辖市电信管理机构责令限期改正,有违法所得的,没收违法所得,处违法所得3倍以上5倍以下的罚款;没有违法所得或者违法所得不足5万元的,处10万元以上100万元以下的罚款;情节严重的,责令关闭网站。
违反本办法的规定,未履行备案手续,擅自从事非经营性互联网信息服务,或者超出备案的项目提供服务的,由省、自治区、直辖市电信管理机构责令限期改正;拒不改正的,责令关闭网站。
第二十条 制作、复制、发布、传播本办法第十五条所列内容之一的信息,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关、国家安全机关依照《中华人民共和国治安管理处罚条例》、《计算机信息网络国际联网安全保护管理办法》等有关法律、行政法规的规定予以处罚;对经营性互联网信息服务提供者,并由发证机关责令停业整顿直至吊销经营许可证,通知企业登记机关;对非经营性互联网信息服务提供者,并由备案机关责令暂时关闭网站直至关闭网站。
第二十一条 未履行本办法第十四条规定的义务的,由省、自治区、直辖市电信管理机构责令改正;情节严重的,责令停业整顿或者暂时关闭网站。
第二十二条 违反本办法的规定,未在其网站主页上标明其经营许可证编号或者备案编号的,由省、自治区、直辖市电信管理机构责令改正,处5000元以上5万元以下的罚款。
第二十三条 违反本办法第十六条规定的义务的,由省、自治区、直辖市电信管理机构责令改正;情节严重的,对经营性互联网信息服务提供者,并由发证机关吊销经营许可证,对非经营性互联网信息服务提供者,并由备案机关责令关闭网站。
第二十四条 互联网信息服务提供者在其业务活动中,违反其他法律、法规的,由新闻、出版、教育、卫生、药品监督管理和工商行政管理等有关主管部门依照有关法律、法规的规定处罚。
第二十五条 电信管理机构和其他有关主管部门及其工作人员,玩忽职守、滥用职权、徇私舞弊,疏于对互联网信息服务的监督管理,造成严重后果,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员依法给予降级、撤职直至开除的行政处分。
第二十六条 在本办法公布前从事互联网信息服务的,应当自本办法公布之日起60日内依照本办法的有关规定补办有关手续。
第二十七条 本办法自公布之日起施行。
“附录三”
《计算机信息网络国际互联网安全保护管理办法》
第一章 总则
第一条 为了加强对计算机信息网络国际互联网的安全保护,维护公共秩序和社会稳定,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》和其他法律、行政法规的规定,制定本办法。
第二条 中华人民共和国境内的计算机信息网络国际互联网安全保护管理,适用本办法。
第三条 公安部计算机管理监察机构负责计算机信息网络的安全保护管理工作。公安机关计算机管理监察机构应当保护计算机信息网络国际互联网的公共安全,维护从事国际互联网业务的单位和个人的合法权益和公众利益。
第四条 维护社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第五条 任何单位和个人不得利用国际互联网制作、复制查阅和传播下列信息,任何单位和个人不得利用国际互联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权、推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
第六条 任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,进入计算机信息网络或者适用计算机信息网络资源的;
(二)未经允许,进入计算机信息网络功能进行删除、修改或者增加的;
(三)未经允许,进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
第七条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际互联网侵犯用户的通信自由和通信秘密。
第二章 安全保护责任
第八条 从事国际互联网业务的单位和个人应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际互联网的计算机信息网络的违法犯罪行为。
第九条 国际出入口信道提供单位、互联的主管单位部门或者主管单位,应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。
第十条 互联单位、接入单位及适用计算机信息网络国际互联网的法人和其他组织应当履行下列安全保护职责:
(一)负责本网络的安全保护管理工作,建立健全安全保护管理制度;
(二)落实安全保护技术措施及网络的运行安全和信息安全;
(三)负责对本网络用户的安全教育和培训;
(四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核;
(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;
(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告。
(七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。
第十一条 用户在接入单位办理入网手续时,应当填写用户备案表。备案表由公安部监制。
第十二条 互联单位、接入单位、使用计算机信息网络国际互联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起三十日内,到所在地的省、自治区、直辖市人民政府公安机关办理指定的受理机关备案手续。
第十三条 使用公用账号的注册者应当加强对公用账号的管理,建立账号使用登记制度。用户账号不得转借、转让。
第十四条 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时,应当出具其行政主管部门的审批证明。
前款所列单位的计算机信息网络与国际互联网,应当采取相应的安全保护措施。
第三章 安全监督
第十五条 省、自治区、直辖市公安厅(局),地(市)、县(市)公安局,应当有相应机构负责国际互联网的安全保护管理工作。
第十六条 公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案统计,并按照国家有关规定逐级上报。
第十七条 公安机关计算机管理监察机构应当督促互联单位、接入单位及有关用户建立健全安全保护管理制度。监督、检查网络安全保护管理以及技术措施的落实情况。公安机关计算机管理监察机构在组织安全检查时,有关单位应当派人参加。公安机关计算机监察机构对安全检查发现的问题,应当提出改进意见,做出详细记录,存档备查。
第十八条 公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或者服务器时,应当通知有关单位关闭或者删除。
第十九条 公安机关计算机监察机构应当负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件,对违反本办法第四条、第七条规定的违法犯罪行为,应当按照国家有关规定移送有关部门或者司法机关处理。
第四章 法律责任
第二十条 违反法律、行政法规,有本办法第五条、第六条所列行为之一的,由公安机关给予警告,有违法所得的,没收违法所得,对个人可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款;情节严重的,并可以给予六个月以内停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格;构成违反治安管理行为的,依照治安管理处罚条例的规定处罚;构成犯罪的,依法追究刑事责任。
第二十一条 有下列行为之一的,由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款;情节严重的可以给予六个月以内的停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。
(一)未建立安全保护管理制度的;
(二)未采取安全技术保护措施的;
(三)未对网络用户进行安全教育和培养的;
(四)未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实的;
(五)对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的;
(六)未建立电子公告系统的用户登记和信息管理制度的;
(七)未按照国家有关规定,删除网络地址、目录或者关闭服务器的;
(八)未建立公用账号使用登记制度的;
(九)转借、转让用户账号的。
第二十二条 违反本办法第四条、第七条规定的,依照有关法律、法规予以处罚。
第二十三条 违反本办法第十一条、第十二条规定,不履行备案职责的,由公安机关给予警告或者停机整顿不超过六个月的处罚。
第五章 附则
第二十四条 与香港特别行政区和台湾、澳门地区联网的计算机信息网络的安全保护管理,参照本办法执行。
第二十五条 本办法自发布之日起施行。