《单元二教学电子商务系统安全的法律保护ppt课件(完整版).pptx》由会员分享,可在线阅读,更多相关《单元二教学电子商务系统安全的法律保护ppt课件(完整版).pptx(32页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、单元二教学电子商务系统安全的法律保护ppt课件(完整版)单元二 电子商务系统安全的法律保护-4-2学习目标知识目标(1)了解电子商务系统安全存在的问题。(2)掌握法律有关计算机犯罪、网络安全和网络信息保护的有关规定。能力目标(1)掌握黑客攻击的识别方法。(2)掌握计算机犯罪、网络安全和网络信息保护的认定标准。3【案例引入】电商雇黑客袭击竞争对手网站 2017年“双十二”期间,家纺城的电商网站出了问题。2017年12月12日下午2点,电商网站打不开了,升级了防护效果也不大。经过排查,很快发现公司租用的服务器遭受到“黑客”DDOS攻击,数十G的大量垃圾数据远超服务器负荷极限,尽管采取购买防护软件、
2、分散服务器等紧急措施应对,但犯罪分子察觉后又通过CC攻击,不停访问挤占服务器资源,导致网站瘫痪。南通另一家电商网站也遭到类似攻击。南通随即成立专案组,将两起案件串并侦查,并被公安部列为挂牌督办案件。-4-4【案例引入】电商雇黑客袭击竞争对手网站 警方发现,悬赏人先把攻击网站的域名和攻击时间、要求和价格发到QQ群里,询问愿意攻击网站的人。这样的QQ群有上百个,彼此之间并不认识,通过社交工具联络,明码标价,临时“组队”,频频作案,攻击目标涉及多个行业。这次雇用“黑客”攻击家纺网的幕后“黑手”系同为家纺电商的某科技有限公司。该公司法人代表万某等3人经过预谋商议,为了让目标网站长时间处于“停摆”状态,
3、先后共支付酬金1.8万元给刘某。为了不引起怀疑,他一开始甚至还将自己公司的网站提供给了“黑客”进行攻击。5【案例分析提示】电商雇黑客袭击竞争对手网站 本案中,行为人利用网络招募黑客人员,利用黑客攻击影响电子商务系统正常运行,并以此为手段打压竞争对手,构成破坏计算机信息系统罪。中华人民共和国刑法(刑法修正案(十))第二百八十五条规定:中华人民共和国刑法(刑法修正案(十))第二百八十五条规定:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传
4、输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。6【案例分析提示】电商雇黑客袭击竞争对手网站 提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。7模块一 电子商务系统安全一、电子商务系统的构成1.电子商务系统的概念从技术角度讲,电子商务系统是指由计算机及其相关的和配套的设备
5、、设施(含网络)构成的,按照一定的应用目标和规则对电子商务交易各环节(包括信息收集、合同拟定、电子支付、物流配送、售后服务等)信息处理的计算机系统。2.电子商务系统的构成8模块一 电子商务系统安全2.电子商务系统的构成9模块一 电子商务系统安全二、电子商务系统安全的现状与问题二、电子商务系统安全的现状与问题(一)电子商务系统安全的现状电子商务系统应从三个层次考虑安全问题,即网络物理层(硬件)、网络基础应用层(软件)和网络信息应用层(数据)。同时,还需要对三个层次的相互关联问题一起加以考虑。(1)个人信息和重要数据泄露风险严峻。2005年6月17日,美国曝出有史以来规模最大的信用卡个人数据外泄事
6、件。2018年8月,华住集团的用户信息以8比特币的价格在网上售卖,总量约5亿条。(2)“网络钓鱼”诈骗频繁出现。调查显示,截至2019年4月,中国反钓鱼网站联盟共处理钓鱼网站 2414 个,累计认定钓鱼网站440 995个。10模块一 电子商务系统安全(3)黑客入侵网站事件时有发生。2016年10月21日,美国域名服务商Dyn遭到恶意软件Mirai大规模攻击。2018年我国国家互联网应急中心捕获勒索软件近 14 万个。(二)物理安全问题物理安全主要包括环境安全(如防盗)和设备安全(如防火)。处理交易信息的系统中心机房应采用有效的安全防范措施,并配备有完善的应急措施。对于可管设备,应及时安装网管
7、软件。对于内部线路,应尽可能采用结构化布线,降低网络故障率。对于租用电信部门的通信线路,网络管理员应对连通情况做好记录,当有故障发生时,应及时与电信部门联系。11模块一 电子商务系统安全(三)黑客攻击问题1.口令攻击口令攻击是网上攻击最常用的方法。黑客首先进入系统的常用服务,或对网络通信进行监视,使用扫描工具获取目标主机的有用信息,包括操作系统的类型和版本、主机域名、开放的端口、启动的保护手段等。然后,应用试错法获取进入系统的口令,以求侵入系统。在网络交易中,出现了一些新的口令攻击方法:撞库、拖库、洗库。1213模块一 电子商务系统安全。(1) 撞库:黑客通过收集互联网已泄露的用户注册名和密码
8、信息,生成对应的字典表,利用用户相同的注册习惯(相同的注册名和密码),尝试登录其他的网站后进行攻击或盗窃。电子商务网站(京东商城)、电子支付网站(支付宝)都曾发生过撞库事件。(2)拖库:“拖库”是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。(3)洗库:在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。14模块一 电子商务系统安全2.拒绝服务攻击拒绝服务攻击(Denial of Service,DoS)是一种经常使用的使服务器或网络瘫痪的消耗性攻击手段。这种攻击通过大量合法或伪造的请求占用网络以及服务器资源,迫使
9、服务器的缓冲区满负荷负载,不接收新的请求;或者使用IP欺骗,影响合法用户的连接。2019 年上半年我国境内的大流量分布式拒绝服务攻击(简称“DDoS攻击”)事件数量平均每月约 4300 起,同比增长 18%,有超过 60%的 DDoS 攻击事件为僵尸网络控制发起。15模块一 电子商务系统安全3.站攻击网站攻击,特别是对于电子商务网站的攻击是最近两年出现的新情况。针对网站的攻击手段主要有4种。(1)网页仿冒。2018年,约5.3万个针对我国境内网站的仿冒页面,页面数量较2017年增长了7.2%。(2)网站后门。2018年,境内外约有1.6万个IP地址对我国境内约2.4万个网站植入后门。(3)网页
10、篡改。2018年,我国境内遭篡改的网站有7 049个。(4)APP仿冒。2019 年上半年以来,我国以移动互联网为载体的虚假贷款 APP 或网站达 1.5 万个。16模块二 涉及电子商务系统安全的法律法规4.恶意程序传播2019 年上半年,我国新增捕获计算机恶意程序样本数量约3200 万个,计算机恶意程序传播次数日均达约 998 万次,我国境内感染计算机恶意程序的主机数量约 240 万台。计算机恶意程序传播来源主要来自美国、日本和菲律宾等国家和地区。这些受攻击的 IP 地址主要集中在江苏省、广东省、浙江省等地区。网站攻击,特别是对于电子商务网站的攻击是最近两年出现的新情况。针对网站的攻击手段主
11、要有4种。17模块二 涉及电子商务系统安全的法律法规一、我国涉及计算机刑事犯罪的法律法规(1)非法侵入计算机信息系统罪(第二百八十五条):非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪(第二百八十五条)。包括违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统和其他计算机信息系统,或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制;提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具。18模块
12、二 涉及电子商务系统安全的法律法规(2)破坏计算机信息系统罪;网络服务渎职罪(第二百八十六条):违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;或对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作;故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行;网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播,或致使用户信息泄露,造成严重后果,或致使刑事案件证据灭失,或有其他严重情节。19模块二 涉及电子商务系统安全的法律法规(3)利用计算机实施犯罪(
13、第二百八十七条)。包括利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪;利用信息网络实施设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组;发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息;为实施诈骗等违法犯罪活动发布信息 ;明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助。20模块二 涉及电子商务系统安全的法律法规二、我国涉及网络安全的法律法规2017年6月1日,中华人民共和国网络安全法正式施行 。网络安全法第一次提出
14、了维护网络空间主权的基本原则。网络空间主权是一国国家主权在网络空间中的自然延伸和表现,各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利应当得到尊重。网络安全法第二十一条强调,国家实行网络安全等级保护制度。第二十三条网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。21模块二 涉及电子商务系统安全的法律法规第三十一条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计
15、民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。第三十四条规定,关键信息基础设施的运营者还应当履行安全保护义务。第五十五条规定,发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。22模块二 涉及电子商务系统安全的法律法规三、我国涉及网络信息保护的法律法规2012年12月,全国人大常委会通过了全国人大常委会关于加强网络信息保护的决定,明确提出:(1)国家保护能够识别公民个人
16、身份和涉及公民个人隐私的电子信息。(2)任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。(3)网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。23模块二 涉及电子商务系统安全的法律法规(4)网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。(5)网民如遇到骚扰、诈骗信息,可以要求电信
17、运营商加以处理,甚至向其主管部门投诉。网络安全法明确对公民个人信息安全进行保护。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。个人信息被冒用有权要求网络运营者删除。个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。网络运营者应当采取措施予以删除或者更正。24模块二 涉及电子商务系统安全的法律法规网络安全法作出专门规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人
18、信息,不得非法出售或者非法向他人提供个人信息,并规定了相应法律责任。2019年8月22日,国家互联网信息办公室颁布儿童个人信息网络保护规定 。其中第四条明确,任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。第九条规定,网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。上述规定,对于从事电子商务儿童商品的生产与销售的企业和个人非常重要,必须严格执行。25【单元实训】1. 训练内容计算机犯罪的形式、内容和后果都复杂多变,在确定犯罪后果的时候应充分考虑计算机犯罪技术性强,隐蔽性高,危害面大的特点,从经济危害和社会危害两方面
19、着手做危害后果评估,同时综合考虑法律、法规规定在量刑时应予考虑的其他情节并由此做出处罚。上述变量间的关系可以用公式2-1表述:F(x,y,z)= R-公示2-1在这个公式中,f表示函数关系,x表示经济危害,即有形的物质损害;y表示社会危害,即非物质性的损失;z表示法律、法规规定在量刑时应予考虑的其他情节,例如犯罪分子是否为累犯,是否有自首情节,受害人是否为残障人士等;R表示刑罚,含罚金刑、附加刑等。26【单元实训】利用公示2-1分析下面的案例。南京破坏计算机信息系统案共同犯罪案 【案情简介】2012年10月13日13时许,被告人伍某利用非法手段进入某国家政府网站的后台,上传了“copy.asp
20、”木马程序,获取了该网站的管理员权限,具备了删除、修改、增加功能的条件。之后,伍某将该程序及管理员权限卖给了被告人陈某。2012年10月14日20时许,被告人陈某用上述管理员权限从后台进入该国家政府网站,上传“vote.asp”及“1.asp”木马程序,以达到非法获取他人用户名及密码的目的。 被告人伍某、陈某的上述活动,造成政府网站经济损失人民币16700元。 27【单元实训】经报案,2012年10月24日,被告人陈某被抓获归案。2012年10月30日,被告人伍某被抓获归案。公安机关依法扣留被告人伍某作案工具笔记本电脑1台、手机1个、硬盘1个,扣留被告人陈某作案工具笔记本电脑2台、硬盘1个。
21、上述事实,被告人伍某、陈某在开庭审理过程中亦无异议,另有被告人伍某、陈某的供述,证人周某的证言,勘验检查笔录,服务器受损情况说明,服务器恢复情况说明,搜查笔录,扣押物品清单,被告人伍某、陈某的户籍证明,案发及到案经过等证据予以证实,足以认定。 28【单元实训】【判决】南京市鼓楼区人民法院认为,被告人伍某、陈某违反国家规定,利用“coppy.asp”、“vote.asp”及“1.asp”木马程序对计算机信息系统应用程序进行增加,造成计算机信息系统不能正常运行的严重后果,其行为均已构成破坏计算机信息系统不能正常运行的严重后果,应予依法分别惩处。南京市鼓楼区人民检察院指控被告人伍某、陈某犯破坏计算机
22、信息系统罪,事实清楚,证据充分,定性准确,本院予以采纳。鉴于被告人伍某、陈某系初次犯罪,归案后认罪态度较好,陈某亲属代为退赔了被害单位经济损失16 700元,故对两名被告人酌情从轻处罚。29【单元实训】依据中华人民共和国刑法第二百八十六条第一款、第二款、第六十四条之规定,判决如下: 被告人伍某犯破坏计算机信息系统罪,判处有期徒刑九个月。被告人陈某犯破坏计算机信息系统罪,判处有期徒刑七个月。被告人陈某退赔的人民币16700元发还被害单位。作案工具笔记本电脑3台、硬盘2个、手机1部予以没收。 30【单元实训】【律师点评】(1)根据刑法第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改
23、、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。(2)该案两位被告人实施了法律禁止的侵入、破坏国家计算机信息系统的行为,并且造成了大量网站陷入不能正常运转的瘫痪局面,给国家网站的正常运转以及政府机构的形象造成了较为严重的影响,并且为了恢复网站的基本功能和排查危险病毒,国家还要承担相应的经济损失。(3)据此,依照刑法规定应当围绕5年有期徒刑判决处罚的刑事案件。考虑到经济危害(x)数额较小,且全额赔偿;表示社会危害(y)严重;其他情节(z)如犯罪分子比较年轻,有自首情节等;最终刑罚(R)伍某有期徒刑为9个月,陈某有期徒刑为7个月。 31THANK YOU-4-32南沙用友软件电商企业系统