电子商务安全制度包括哪些内容

❶ 电子商务安全法律制度主要有哪些

电子商务，Electronic Commerce，通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。"
2所谓的客户关系管理就是为企业提供全方位的管理视角；赋予企业更完善的客户交流能力，最大化客户的收益率。
3网络营销（On-line Marketing或E-Marketing）就是以国际互联网络为基础，利用数字化的信息和网络媒体的交互性来辅助营销目标实现的一种新型的市场营销方式。
4电子商务产生发展的条件：电子商务的出现，打破了以往传统商务模式下的时间和空间的界限，改变了原有企业的格局、原有的价值体系、原有的经营模式，甚至改变了企业的形式。电子商务对商品的价格也带来了深刻的影响。主要包括：电子商务降低采购成本；电子商务实现无库存生产；电子商务实现营销成本下降；电子商务降低企业组织管理费用以及电子商务降低交易费用。
5简述电子商务法的基本原则：
一、中立原则
电子商务法的基本目标，归结起来就是要在电子商务活动中，建立公平的交易规则。这是商法的交易安全原则在电子商务法上的必然反映。电子商务既是一种新的交易手段，同时又是一个新兴产业。面对其中所蕴涵的，深不可测的巨大利益的诱惑，可以说没有哪个企业是无动于衷的。各种利益集团、各种技术，以及各个利益主体都想参与其中，在这个无比广阔的舞台上施展才华，谋取便利。其具体参与者有硬件制造商、软件开发商、信息提供商、消费者、商家等等，不一而足。而要达到各方利益的平衡，实现公平的目标，就有必要做到如下几点：
（1）技术中立。电子商务法对传统的口令法、以及非对称性公开密钥法，以及生物鉴别法等认证方法，都不可厚此薄彼，产生任何歧视性要求。同时，还要给未来技术的发展留下法律空间，而不能停止于现状，以至闭塞贤路。譬如新计算机的问世、新一代高速网络的出现等，都将考验电子商务法的技术中立性。这是在总结了传统书面法律要求的经验教训，而得出的方针。当然，该原则在具体实施时，会遇到许多困难。而克服这些具体困难的过程，也就是技术中立原则实现的过程。
（2）媒介中立。媒介中立与技术中立紧密联系，二者都具有较强的客观性，并且一定的传输技术，与相应的媒介之间是互为前提的。媒介中立，是中立原则在各种通讯媒体上的具体表现，所不同的是，技术中立侧重于讯息的控制和利用手段：而媒介中立则着重于讯息依赖的载体。后者更接近于材料科学。从传统的通讯行业划分来看，不同的媒体可能分属于不同的产业部门，如无线通讯、有线通讯、电视、广播、增殖网络等。而电子商务法，则应以中立的原则来对待这些媒介体，允许各种媒介根据技术和市场的发展规律而相互融合，互相促进。只有这样，才能使各种资源得到充分的利用，从而避免人为的行业垄断，活媒介垄断。开放性因特网的出现，正好为各种媒介发挥其作用提供了理想的环境，达到兴利除弊，共生共荣。
（3）实施中立。是指在电子商务法与其他相关法律的实施上，不可偏废；在本国电子商务活动与跨国际性电子商务活动的法律待遇上，应一视同仁。特别是不能将传统书面环境下的法律规范（如书面、签名、原件等法律要求）的效力，放置于电子商务法之上，而应中立对待，根据具体环境特征的需求，来决定法律的实施。如果说前述技术中立和媒介中立，反映了电子商务法对技术方案和媒介方式的规范，具有较强的客观性。而对电子商务法的中立实施，则更偏重于主观性。电子商务法如同其他规范一样，其适用离不开当事人的遵守与司法机关的适用。
（4）同等保护。此点是实施中立原则在电子商务交易主体上的延伸。电子商务法对商家与消费者，国内当事人与国外当事人等，都应尽量做到同等保护。因为电子商务市场本身是国际性的，在现代通讯技术条件下，割裂的、封闭的电子商务市场是无法生存生存的。
一言以蔽之，电子商务法上的中立原则，着重反映了商事交易的公平理念。其具体实施将全面展现在当事人所依托于开放性、兼容性、国际性的网络与协议，而进行的商事交易之中。
二、自治原则
允许当事人以协议方式订立其间的交易规则，是交易法的基本属性。因而，在电子商务法的立法与司法过程中，都要以自治原则为指导，为当事人全面表达与实现自己的意愿，预留充分的空间，并提供确实的保障。譬如以《示范法》第四条为例，就规定了当事人可以协议变更的条款。其内在含义是：除了强制性的法律规范外，其余条款均可由当事人自行协商制定。其实，《示范法》中的强行规范不仅从数量上很少，仅四条之多，而且其目的也仅在于消除传统法律为电子商务发展所造成的障碍，为当事人在电子商务领域里充分行使其意思自治而创造条件。换言之，《示范法》的任意性条款，从正面确定权利，以鼓励其意思自治，而强制性条款，则从反面摧毁传统法律羁绊，使法律适应电子商务活动的特征，更好的保障其自治意思的实现。可以说是一正、一反，殊途同归。
三、安全原则
保障电子商务的安全进行，既是电子商务法的重要任务，又是其基本原则之一。电子商务以其高效、快捷的特性，在各种商事交易形式中脱颖而出，具有强大的生命力。而这种高效、快捷的交易工具。必须以安全为其前提，它不仅需要技术上的安全措施，同时，也离不开法律上的安全规范。譬如，电子商务法确认强化（安全）电子签名的标准 ，规定认证机构的资格及其职责等具体的制度，都是为了在电子商务条件下，形成一个较为安全的环境，至少其安全程度应与传统纸面形式相同。电子商务法从对数据电讯效力的承认，以消除电子商务运行方式的法律上的不确定性，以至于根据电子商务活动中现代电子技术方案应用的成熟经验，而建立起反映其特点的操作性规范，其中都贯穿了安全原则和理念。

❷ 电子商务公司的管理制度

以下的管理制度，并不是从管理理论出发，是我们现在很多客户实际在使用，我们整理下，希望对我们很多企业，尤其是外贸企业对外贸人员的培养和管理有一定的帮助。管理制度如下：

1、作息制度：做业务的最怕没有固定的时间，久而久之会使得那些没有理性的人变得懒散，所以坚持按时上班；做业务加班是自然的事情，因为有单子，接了提成是自己的，所以建议月全勤而且无迟到早退的发放50元每月的全勤奖励。关于迟到早退和事假病假的制度，迟到早退一定要处罚。事假病假一定要写书面申请，病假要有医院证明，或相关证明人。书面请假条的好差在于，有些因为麻烦，就不请假了。而且也便于财务做工资的时候有依据。

2、关于上班时间不做与业务无关的事情，比如网上的游戏等，发现必要重罚，如一次50元，因为管理者事情很忙不可能一天到晚看着他们，而完全靠自觉是不可能的，所以要配合处罚。关于上班时间充分利用的原理，一方面布置合乎一天的工作量，（阿里巴巴电话销售部是一天必须有60个有效电话，几乎每天要忙到晚上十到十一点）。另一方面要加大对日常工作的备份和定期检查。（建议老板有台电脑的硬盘来存储这些信息，每路电话安装录音设备。这样无论是电话沟通还是网上聊天方面都可以做到有据可查。这样不但有威慑作用，也可以供管理者闲时查看，同样还可以给业务员自己反思自己有助于提高。

3、整理共享文档。做到公司在产品的效果图片处理和报价上能够做到统一。而且可以集合大家的素材和智慧。发挥团队作用。

4、工资政策中应该含有一定意义的奖励在里面：企业包食宿，每月定期发放工资，试用期底薪：1200（本科、英语六级）加100，经理加300；转正底薪从基础底薪,销售额满1万加100，最高1800元。一般中小企业认为底薪简洁明了就好，不要这么负责。但在管理上丰富的底薪政策，可以调动人员的积极性，还便于后期的管理。

5、提成是业务员的能力差异收入部分。每月按照到账金额结算。一般是销售额的？％；其中奖金50%当月发放，剩余部分到年底发放。这里不建议按照毛利提取提成，这样业务员会看到企业赚的比个人多等等，但如果考虑到每个业务员给公司创造的利润不完全等比于销售额，可以在年底奖金部分给与平衡。

6、试用期考核：转正一定要有个考核，哪怕只是形式，也要尽量做到，这样人员的心态上会有所改变，具体考核内容分：产品的特征描述、产品的价格说明、产品的工艺说明（甚至动手能力）、电子函电的十种准备（包括产品的图文配备）、公司的内部人事关系说明（遇到某事找某人，以及他额常规作息和电话）、外部联系（快递公司，包装印刷的联系，辅料的联系等）、业绩的考核（可以是询盘、可以是小样、可以是试单、可以是订单）。

7、转正后，企业有条件尽量给员工缴纳保险，这样可以加强员工的稳定性。或者规定转正后给配电话、电脑、平台等。

8、对于转正后成熟业务员应该有个销售量的考核，可以分淡季和旺季分开设置额度。如果员工连续两月销售额达不到最低指标，公司可以给予辞退。这样来加大员工的危机感。同时也可以吓跑那些没有业务能力只是来滥竽充数的人。但企业如果要保障业务团队的人员和客户稳定，就要做到定期找人，并做好业务数据备份。

人才的培养
一、选人：
一种是有一定经验的，要考虑如何让他们尽快上手，另外要考虑如何吸引他们长期留在企业。建议选择近1-2年毕业的，太老的业务员要看他以往工作经历，以及此次变更工作的原因。要么是因为对以前的行业没有兴趣，或者是对以前的工作环境，工资待遇，人际关系等不满，这是我们要比较我们企业是否能满足他的需求。或者因为朋友、家人等原因到现在工作地点，这样的人员会比较安当的留在本地；或者原来在外贸公司呆过，现在想到生产企业从事外贸，这类有经验的人，目的明确，是企业可用之人。一般我们这样的生产企业，也要分析自己的行业优势和企业优势。从而才可以留住。留住这样的人，关键是让他们感觉到行业与企业的优势，因为他们对自己的业务能力都具备一定信心，老板要做的是让他们看到成果，以及企业发展的计划与目标，多与他们商量形成共同的目标和发展定位，充分重视人才。
另外一种是企业也要考虑培养自己忠实的业务新手，这类人往往没有业务经验，在业务过程中需要更多的是帮助与鼓励，传帮带在新人中比较费时费力。很多企业老板不是管理出身，在带人方面缺少方法、手段以及制度，另外一方面，企业业务员流动性特别明显，只要你有业务接，不需要什么经济与资本都可以从别人那里拿货甚至自己开个小厂。所以，有些企业在培养人时，因为考虑到这一层风险，对新手的培养就少了一份信任，若是不得不培养新人的，企业又在待遇和限制条件上附加很多，使业务员无法放心呆在一个企业，放不开手脚。另外，企业也不愿意从真正意义上放手给业务员，这样致使业务往往很难有大的进展。（即使有些是老板自己的女儿、儿子管业务，也往往缺少良性竞争的团队氛围，孤军奋战，业务很难有大的起色）等等，这些因素制约着企业的业务发展，因为业务是人接来的，人是核心与关键，人的问题一日不解决就必定制约着业务拓展。
二、一个新手的培养过程（外贸）
第一个月：新人到岗第一个星期熟悉产品分类，用途，整理产品报价单，熟悉外贸的货代与船期。
第二个星期：下车间知道产品原材料的大概不同和工艺的不同叫法，特别是打样间，建立好与打样师傅的沟通与融洽关系，为后期寻找帮助打下准备，晚上空下来接着完成第一周没有完成的事情，并学会免费会员注册，建立企业基础信息（要求企业提供统一介绍的网址与邮箱）。
第三周：建议转一下就近的原料或成品市场，接触一下精明的生意人，按照自己在网上查找到的求购信息，自己在市场上找找供应商，收集部分名片，因为企业很多都不是自己生产，多是外面拿货，一方面找到供应商，另外一方面可以学会精明的生意人如何介绍同样产品，不同老板的不同报价方式，为日后自己的推荐找到客观依据，如果企业不放心人这样出去，可以安排到企业自己的店面站一周的店，至少让他们学会怎么推荐自己产品、怎样介绍自己产品。
第四周可以让他们回到办公室使用诚信通、淘宝这样免费或便宜的平台。大概熟悉平台的使用方法，知道一个询盘，怎么回复，怎样书面介绍自己的产品与企业。在月底的考核时，业务员写一封书面的推荐信来推荐自己的产品，老板并口头问几个问题，看他的临场反映，以及考核他对产品的了解深度，便于以后着重培养的方向，如果不是业务的料，尽早开掉另外招人。
第二个月：如果留用，接下来一个月要求每天发30-50封推荐信，并要求在月底有10-30个回复者，这样一方面可以利用新人的积极性给企业找到全球适合自己的买家，并可以检查业务员的推销能力，以及接受拒绝时的耐心与想方设法自我调整的能力。此时如果企业不是一人的话，需要配合一些软件去管理，当然如果企业刚开始自己做业务，可以要求业务员主动留备份，这样可以省掉管理软件的成本，如果人员不自觉这时就必须配上管理软件了。这样可以把多年的业务内容都留存起来，长期使用，安全放心。
软件的使用，一方面便于老板考核，他们每天发的数量和回访数量，并从中发现问题，另一方面，可以避免两个业务员对同一客户的冲突（系统可以自动显示已发送的客户情况，不会重复），第三方面是即使今后该业务员走了，这些推荐和工作都留下来，便于以后新人上来跟进，第四方面也方便后期自己的二次跟进，和客户的跟踪效果，并养成良好的业务习惯。
考核标准：比如拿一个样品，做业务的大概知道是什么料做的，材料市场价格是多少，然后知道做的工艺是怎么实现的，一个产品需要几个磨具组合成，大概的模具费是多少，最后要知道人工的加工时间是多少，这样可以大概知道出货的时间和打样的价格。这样快速熟悉这些才能快速准确的回盘。
第三个月：就是把前一个月的意向尽快跟进，打样出单，这也是转正的考核标准。在这一个月，大概是老板心里有数用不用得起来这个人，所以选择合适的平台和工具，为他们配备正式收费工具，也可以尊重一下业务员的意见，一起决定用什么平台，让业务员知道，这个工具为他而配，这些钱都是为他开拓业务而花，让员工知道企业是为他花了成本，他有责任通过平台把这钱赚回来。让他看到老板支付的不仅仅是你每个月不多的工资，还有这平台的费用。并要求他们要非常熟练的使用工具，在三到六个月要实现订单。
满半年以后，有条件应该为业务员创造参展或观展的机会，有些企业反映展会效果不是很好，也有反映可以的，关键你怎么选择展会，怎么备展。真正的买家，按照他们的习惯采购，是按照产品的应用分类，而不是产品的材料分类。满一年的业务员如果还可以，应该专门负责一个平台，人多可以多配平台，这样形成良性竞争，也各司其职，当然前提是他负责的这个平台，他能把自己工资与平台的钱在当年赚回来，我想企业第二年就可以收获了，赚钱了，最困难的是业务初期和平台运作初期，如果有订单，后面的续单就可以逐步为企业创造价值。
三、一个成熟人员的流动性控制
企业培养一人新人不容易，如何把辛辛苦苦培养起来的人留住。把心留住，业务员也是人，如何让他们看到企业在不断发展，以及自己在里面的发展空间（企业一年比一年大，业务员自己的业务也在一年一年上涨，提成也高了）企业不但在待遇上提高，在生活上比如保险，在思想上成立工会与党组织，在活动上出黑板报，等等方面去充实员工。当然老板性格不同，方法也可以多样化，比如给表现好的员工奖励旅游或培训机会，好的团队氛围可以留住人，因为干得开心。
另外一方面，我们也要意识到只要是人才就一定有流动性，我们所要考虑的是如何在人员流动时，最大程度的减小企业的损失。对于控制措施，是日常多关注他们的情绪，多沟通、了解他们的心态，另外平日就把他们业务往来的资料做到有效管理（管理软件都一一记录下来，即使人走，也可以方便接上手）。
第三方面预防人员流失的防备措施：对成熟的老业务员配置助理或者单证人员，一方面可以让老业务员专心于业务核心的谈判过程，关于细节打料、单证配助手给他，这样助手也可以跟着老业务员成长起来，还可以做到业务的过程接单和组织货源分开，做到一家客户至少有两个人知道大概情况，也提高了工作效率。
定期补充新人，防范于未然，不至于因为老人走了，留下很大的空档，另外新人的加入，积极的气氛，可以调整团队氛围，业务团队不断壮大可以使企业业务的稳步发展，面对这样一个不断上进的、发展着的团队，流动性大大减弱。
四、人员身上的敏感问题：
1、住宿在公司的，有条件的让办公与生活区分开，有利于建立积极工作的状态；
2、作息时间，在试用期可以和工厂工人同样作息，转正员工内销可以参考原来作息，如果生意忙旺季，在晚上要适当延长的10：00，或者分两班。外贸上午一般在10：00左右上班，晚上大概到9：00左右，没有非常明确的时间，有询盘就要及时回复确认，让业务员建立一种作息时间不完全固定，以接到业务为核心的标准。每周可以安排一天休息来调整一下工作状态。
3、工资待遇：底薪提成制，企业老板最迫切的希望业务员接到单子，所以过多的直接反映在工资上，但又不能从业务员生存的心理去考虑，普遍底薪在1200到1500之间，最少在1000，最多在1800，提成也从0.5%到2%个点不等（企业要说明企业自己的优势，像自己生产，原料自己也有优势，这样产品价格自爱接单是比较有优势）。底薪其实是一个企业对业务关注的核心点，特别对新人，就决定着一个企业对新人的决心，建议企业从几个方面去调节，比如，试用期三个月，因为刚接手，可能没提成 ，底新可以加200到300。这适合有经验的老手，三个月后按照实际提成，同是新人来，有经验的没经验的可以上下底薪相差100-200元；满一年今后每年加100底薪，这样人会更稳定，让员工看到每年固定底薪也有个涨幅。底薪还可以根据学历与英语水平的不同相差上下100元。其实一个好的人留住，底薪看上去多了100-200/月，但实际上为企业在人员流动，以及平台浪费上节省了不少成本，关于企业提0.5%-2%，这是不同企业不同标准，我们老板要让自己员工知道，企业本身的优势，比如自己生产某些产品，单子好接，把利益让给客户，企业本身赚得少，以薄利多销，所以我们的提成是比其他企业少等。但企业在提成结算方面，可以尝试每月或每季度发放30%-50%的提成，还有50%-70%留到年底再发（如果企业对人员稳定性上有一定顾虑可以压30%-40%在半年后再发放）这样可以提高业务员的业务积极性，每做成一笔单子，可以马上拿到部分提成，可以刺激他的业务积极性。
4、业务的正常成熟期，一个新手上路，有人传帮带加上自己用心，快则二个月慢则四个月，都应该出单，如果单子出了，后面的出单时间与周期就会大大加快，有些企业要求业务员转正前1000元/月，转正后1200-1300/月，对于有一定经验的，三个月能出样单，至少有打样，前提是提供一定的平台或展会的工具。对于新手，企业认为人还行，从基础培养，不一般是先下车间，先用免费平台然后三个月后上收费平台，但六个月一定要出单。

❸ 电子商务常用的安全措施

就整个系统而言，安全性可以分为四个层次
1．网络节点的安全
2．通讯的安全性
3．程序的安全性
4．用户的认证管理
其中2、3、4层是通过操作系统和Web服务器软件实现，网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。
一、网络节点的安全
1．防火墙
防火墙是在连接Internet和Intranet保证安全最为有效的，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。
2．防火墙安全策略
应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。
3．安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1．数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于：
（1）客户浏览器端与电子商务WEB服务器端的通讯；
（2）电子商务WEB服务器与电子商务数据库服务器的通讯；
（3）银行内部网与业务网之间的数据通讯。其中（3）不在本系统的安全策略范围内考虑。

2．安全链路
在客户端浏览器和商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（RSA）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、程序的安全性
即使正确地配置了访问控制规则，要满足机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运 行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。
四、用户的认证管理
1．身份认证
电子商务用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。
2．CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。CA中心一般是公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。
五、安全管理
为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。
对于所有接触系统的人员，按其职责设定其访问系统的最小权限。
按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。
建立安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1OO％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

❹ 电子商务法的基本法律制度内容有哪些

信息交易制度来、电子合同制度、源电子签名和认证制度、电子支付制度、个人信息保密制度、电子税收制度、电子商务纠纷解决机制等。
你可以看一下这个网页上的内容：
http://ke..com/view/326649.htm

❺ 电子商务的安全机制

移动电子商务安全机制探讨[摘要] 文章分析了目前移动电子商务业务所面临的安全性问题，并结合移动电子商务的技术体系结构，从移动通信网络的角度出发，对影响移动电子商务发展前景的有关安全机制进行了探讨。
[关键词] 移动电子商务 安全机制 移动通信

移动电子商务（M-Commerce）是指通过手机、PDA、笔记本电脑等移动通信设备与无线上网技术结合所构成的一个电子商务体系。相对于传统的电子商务体系而言，移动电子商务可以使使用者在任何时间、任何地点都能够得到整个网络的信息与服务，增加了商务活动的灵活性、便利性、随时性，为企业带来了更多的商业机会。但由于电子商务本身存在的安全问题以及移动设施引发的新的商务安全隐患，使得移动电子商务的安全成为业内人士关注的热点，直接关系到移动电子商务模式的运行前景。

一、移动电子商务面临的安全性问题

1.来自移动通信终端的安全威胁
与有线终端相比，移动通信终端的资源状况非常有限，CPU的处理能力、内存的容量、数据传输速率等都与有线终端存在很大的差距，使得在有限的资源中开展的业务受到很大的限制。移动通信终端体积小、重量轻，便于随身携带使用，但也容易丢失和被窃。这使得攻击者可以通过所获取来的移动终端上的数据资源如数字证书、机密数据等，非授权访问企业内部网络的系统资源，或破坏移动通信终端中的数据完整性。目前手持移动设备最大的问题就是缺少对特定用户的实体认证机制。
2.无线通信网络本身的威胁
移动电子商务是基于移动通信系统的无线数据通信技术的。无线通信网络是通过一个开放的信道进行通信，无法像有线网络那样依靠信道的安全来保护信息，这就使得它在给无线用户带来通信自由和灵活性的同时，也带来了诸多不安全因素。这对于使用无线网络的用户信息安全、个人安全等都构成了潜在的威胁。
3.移动Ad-hoc网络存在的安全问题
Ad-Hoc网络是一种没有有线基础设施支持的移动网络，在不依赖基础网络设施的前提下由一定范围内的移动终端动态的建立可以互联的网络。由于移动Ad-Hoc网络所固有的开放的媒质、分布式的合作、动态的拓扑结构、受限的网络能力及缺乏中心授权机制等特点，使这种网络特别容易遭受攻击。

二、移动电子商务安全机制

目前，推动移动电子商务发展的技术主要包括有WAP(无线应用协议)技术、蓝牙技术、移动IP技术、无线局域网技术等。下面就这几个方面所实施的安全机制进行探讨。
1.无线应用协议(WAP)
无线应用协议是移动电子商务的核心技术之一,它由一系列协议组成，提供了一套开放、统一的技术平台，用来标准化无线通信设备，负责将Internet和移动通信网连接到一起，客观上已成为移动终端上网的标准。WAP的安全机制是由WTLS(无线传输层安全)协议、WIM(无线身份识别模块)、WPKI(无线公共密钥系统)、WMLScript(无线标记语言脚本)4部分组成。WTLS协议类似于互联网传输层安全协议，可以确保在WAP装置和WAP网关之间的安全通信;WIM是安装在WAP设备中的一个WAP身份识别模块，将安全功能从移动终端转移到抗损害设备中;WPKI是将互联网电子商务中PKI的安全机制优化延伸引入到移动电子商务中，提供身份认证的机制;WMLScript是一种能够提高编程功能的语言，可以用在基于WAP的应用开发中。
2.蓝牙技术
蓝牙技术是一种低成本、低功率的无线局域网技术。其为保护通信安全而采用的安全机制包括：采用跳频技术，提供一定的安全保障；使用字管理机制，作为蓝牙系统鉴权和加密的基础；严谨的链接字产生机制，以申请者的蓝牙设备地址、一个PIN码、PIN码的长度和一个随机数作为参数，通过E22 算法产生初始化字Kunit，并以此为基础进行相应的加密及鉴权操作；高安全性的蓝牙鉴权机制，以双鉴权的做法保证通信双方的身份认定；有效的数据加密技术，不仅对数据包加密，而且对加密过程的中间数据进行加密，防止系统被攻击和数据被窃取。
3.移动IP技术
移动IP技术通过在网络层改变IP协议，允许移动节点在不重新启动、不中断任何进行中的通信的前提下，移动自己的位置，从而实现移动通信终端在网络中的无逢漫游。但此项技术虽给用户提供一个方便快捷的信息交互环境，却也为恶意的技术闯入大开便捷之门，因此移动IP技术采用了隧道技术、安全路由、切换外地代理时的认证机制、采用IPSEC安全协定及数据加密、身份认证等多项安全措施，以确保可靠通信。
4.无线局域网(WLAN)技术
WLAN的安全机制包括物理措施和协议安全两个方面。采用扩频技术、服务集标识符访问控制、用户认证口令控制和访问控制列表等方式实现物理安全。WLAN安全领域的最新标准是IEEE 802.11i标准，其中有对有线等价协议改进的临时密钥完整性协议及先进加密标准来保护数据传输的安全，有IEEE 802.1x/EAP来达到认证、鉴权和动态密钥分配，有EAP/SIM (可扩展认证协议/用户识别卡)、EAP/AKA (可扩展认证协议/认证与密钥协商)使WLAN与GSM网络以及未来的3G网络能够互通。
随着移动通信技术的不断成熟，移动电子商务以其技术领先性与市场适应性体现出明显的竞争实力。更个性化的移动客户服务、更精确的移动营销方法、更高效的移动办公系统、更快速的移动信息采集与管理、更安全方便的移动支付手段以及更丰富的行业应用将为企业创造更高的商业效率。只有完善移动电子商务的安全技术问题，才能推动移动电子商务的飞速发展。

参考文献:
[1]唐晓东:电子商务中的信息安全[M].北京交通大学出版社,2006,9
[2]倪源:增强的无线局域网安全技术分析[J].中兴通讯技术,2003,6
[3]汪红松:移动电子商务的安全问题研究[J].电子商务, 2006,18
[4]贾晓芸:无线通信的安全机制[J].中国计算机报, 2007,7 <br <="p=">

❻ 简述电子商务安全机制

在网络上进行电子交易，安全是最重要的问题，整个电子交易的安全性决定了这个系统的成败。

电子商务安全服务是通过安全机制来实现的，安全机制是实现安全服务的具体方法和技术。不同的安全机制可实现不同的安全服务，一种安全服务可通过几种不同的安全机制结合来实现。在电子商务中采取的安全机制主要有以下几种。

(1)加密机制。加密可提供数据或业务流量信息的机密性。电子商务网络可应用两种形式的加密：即物理层的群路加密和网络层或应用层的端端加密。加密本身是支持许多一般安全业务的主要机制，特别是支持那些与机密性、对等实体鉴别和数据完整性有关的业务。

(2)数字签名机制。在电子商务安全系统中，数字签名有着特别重要的地位，是电子商务的核心部分，是实现电子商务中不可否认服务的有效手段。在使用公钥密码实现数字签名时，对公开密钥的完整性及其合法性证明是一项关键技术，公钥证书较好地保证了满足这两种特性的公开密钥的分发工作，具体地说，公钥证书的思想就是由一个可信的机构进行的对实体及其公开密钥具有约束力的数字签名，这个机构称为证书中心 CA。电子商务的安全对 CA具有较大的依赖性。作为电子商务网络安全的基础，为维护参与到电子商务中的商家、一般消费者的利益，CA的设计必须具备如下功能：

——签发证书

——管理和维护证书

——提供安全审计的依据

此外，作为安全系统的核心，CA本身必须是安全的。

(3)数据完整性机制。用于确保一个实体不会访问某些非法的资源，也不会非法地访问授权资源。它可以通过这样一些机构来实现，如访问控制表、通行字之类的鉴别信息和安全标签等。

(4)鉴别交换机制。通过某种信息交换来提供鉴别业务。

(5)业务流量填充机制。用来提供保护以防止业务流量分析，业务流量填充必须有机密性业务保护。

(6)路由控制机制。或者用来动态地选择路由，或者根据某种安排只选择物理上安全的子网或链路。其组件中可以有这样的指令，携带某种安全标签的数据禁止通过子网、中继或链路。

(7)审计跟踪。是一种基本的、全方位的安全措施。它对破坏电子商务安全的企图提供可追查的证据。安全策略应对审计跟踪的要求作出具体规定。

(8)密钥管理。在电子商务中，提供安全服务需要使用密码技术。密码技术的实现除设计安全外，另一个重要的方面就是密钥管理体制，包括密钥的产生、分发、更换、存储和销毁等内容。

❼ 目前电子商务安全法律制度主要有哪些

1电子商务，Electronic Commerce，通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。"
2所谓的客户关系管理就是为企业提供全方位的管理视角；赋予企业更完善的客户交流能力，最大化客户的收益率。
3网络营销（On-line Marketing或E-Marketing）就是以国际互联网络为基础，利用数字化的信息和网络媒体的交互性来辅助营销目标实现的一种新型的市场营销方式。
4电子商务产生发展的条件：电子商务的出现，打破了以往传统商务模式下的时间和空间的界限，改变了原有企业的格局、原有的价值体系、原有的经营模式，甚至改变了企业的形式。电子商务对商品的价格也带来了深刻的影响。主要包括：电子商务降低采购成本；电子商务实现无库存生产；电子商务实现营销成本下降；电子商务降低企业组织管理费用以及电子商务降低交易费用。
5简述电子商务法的基本原则：
一、中立原则
电子商务法的基本目标，归结起来就是要在电子商务活动中，建立公平的交易规则。这是商法的交易安全原则在电子商务法上的必然反映。电子商务既是一种新的交易手段，同时又是一个新兴产业。面对其中所蕴涵的，深不可测的巨大利益的诱惑，可以说没有哪个企业是无动于衷的。各种利益集团、各种技术，以及各个利益主体都想参与其中，在这个无比广阔的舞台上施展才华，谋取便利。其具体参与者有硬件制造商、软件开发商、信息提供商、消费者、商家等等，不一而足。而要达到各方利益的平衡，实现公平的目标，就有必要做到如下几点：
（1）技术中立。电子商务法对传统的口令法、以及非对称性公开密钥法，以及生物鉴别法等认证方法，都不可厚此薄彼，产生任何歧视性要求。同时，还要给未来技术的发展留下法律空间，而不能停止于现状，以至闭塞贤路。譬如新计算机的问世、新一代高速网络的出现等，都将考验电子商务法的技术中立性。这是在总结了传统书面法律要求的经验教训，而得出的方针。当然，该原则在具体实施时，会遇到许多困难。而克服这些具体困难的过程，也就是技术中立原则实现的过程。
（2）媒介中立。媒介中立与技术中立紧密联系，二者都具有较强的客观性，并且一定的传输技术，与相应的媒介之间是互为前提的。媒介中立，是中立原则在各种通讯媒体上的具体表现，所不同的是，技术中立侧重于讯息的控制和利用手段：而媒介中立则着重于讯息依赖的载体。后者更接近于材料科学。从传统的通讯行业划分来看，不同的媒体可能分属于不同的产业部门，如无线通讯、有线通讯、电视、广播、增殖网络等。而电子商务法，则应以中立的原则来对待这些媒介体，允许各种媒介根据技术和市场的发展规律而相互融合，互相促进。只有这样，才能使各种资源得到充分的利用，从而避免人为的行业垄断，活媒介垄断。开放性因特网的出现，正好为各种媒介发挥其作用提供了理想的环境，达到兴利除弊，共生共荣。
（3）实施中立。是指在电子商务法与其他相关法律的实施上，不可偏废；在本国电子商务活动与跨国际性电子商务活动的法律待遇上，应一视同仁。特别是不能将传统书面环境下的法律规范（如书面、签名、原件等法律要求）的效力，放置于电子商务法之上，而应中立对待，根据具体环境特征的需求，来决定法律的实施。如果说前述技术中立和媒介中立，反映了电子商务法对技术方案和媒介方式的规范，具有较强的客观性。而对电子商务法的中立实施，则更偏重于主观性。电子商务法如同其他规范一样，其适用离不开当事人的遵守与司法机关的适用。
（4）同等保护。此点是实施中立原则在电子商务交易主体上的延伸。电子商务法对商家与消费者，国内当事人与国外当事人等，都应尽量做到同等保护。因为电子商务市场本身是国际性的，在现代通讯技术条件下，割裂的、封闭的电子商务市场是无法生存生存的。
一言以蔽之，电子商务法上的中立原则，着重反映了商事交易的公平理念。其具体实施将全面展现在当事人所依托于开放性、兼容性、国际性的网络与协议，而进行的商事交易之中。
二、自治原则
允许当事人以协议方式订立其间的交易规则，是交易法的基本属性。因而，在电子商务法的立法与司法过程中，都要以自治原则为指导，为当事人全面表达与实现自己的意愿，预留充分的空间，并提供确实的保障。譬如以《示范法》第四条为例，就规定了当事人可以协议变更的条款。其内在含义是：除了强制性的法律规范外，其余条款均可由当事人自行协商制定。其实，《示范法》中的强行规范不仅从数量上很少，仅四条之多，而且其目的也仅在于消除传统法律为电子商务发展所造成的障碍，为当事人在电子商务领域里充分行使其意思自治而创造条件。换言之，《示范法》的任意性条款，从正面确定权利，以鼓励其意思自治，而强制性条款，则从反面摧毁传统法律羁绊，使法律适应电子商务活动的特征，更好的保障其自治意思的实现。可以说是一正、一反，殊途同归。
三、安全原则
保障电子商务的安全进行，既是电子商务法的重要任务，又是其基本原则之一。电子商务以其高效、快捷的特性，在各种商事交易形式中脱颖而出，具有强大的生命力。而这种高效、快捷的交易工具。必须以安全为其前提，它不仅需要技术上的安全措施，同时，也离不开法律上的安全规范。譬如，电子商务法确认强化（安全）电子签名的标准 ，规定认证机构的资格及其职责等具体的制度，都是为了在电子商务条件下，形成一个较为安全的环境，至少其安全程度应与传统纸面形式相同。电子商务法从对数据电讯效力的承认，以消除电子商务运行方式的法律上的不确定性，以至于根据电子商务活动中现代电子技术方案应用的成熟经验，而建立起反映其特点的操作性规范，其中都贯穿了安全原则和理念。
我国电子商务的发展已经达到中等发达国家水平，因为（1）中国有近3亿网民，（2）网上零售已达到100亿

❽ 电子商务安全措施有哪些

就整个系统而言，安全性可以分为四个层次
．网络节点的安全
2．通讯的安全性
3．程序的安全性
4．用户的认证管理
其中2、3、4层是通过操作系统和Web服务器软件实现，网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。
一、网络节点的安全
1．防火墙
防火墙是在连接Internet和Intranet保证安全最为有效的，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。
2．防火墙安全策略
应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。
3．安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1．数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于：
（1）客户浏览器端与电子商务WEB服务器端的通讯；
（2）电子商务WEB服务器与电子商务数据库服务器的通讯；
（3）银行内部网与业务网之间的数据通讯。其中（3）不在本系统的安全策略范围内考虑。

2．安全链路
在客户端浏览器和商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（RSA）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、程序的安全性
即使正确地配置了访问控制规则，要满足机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运 行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。
四、用户的认证管理
1．身份认证
电子商务用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。
2．CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。CA中心一般是公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。
五、安全管理
为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。
对于所有接触系统的人员，按其职责设定其访问系统的最小权限。
按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。
建立安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1OO％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。