(2)使用公共网络的电子商务账户信息和在线交易中的信息宜受保护,应采用加密技术、黑名单、防钓鱼、数字签名技术来防止欺诈活动,保证账户和交易信息安全。
(3)电子商务网站自身的安全性宜受保护,应采取检测网站漏洞、挂马、端口安全、网站后门等安全手段,防密码暴力破解及管理员异地登录预警等技术来保障系统的安全性。
二、电子商务信息安全的关键标准研制
针对目前电子商务信息安全技术、管理、业务应用等领域工作存在的界定不清、内容不全、深度不统一等问题,通过技术标准、管理标准进行规范统一变得尤为重要。结合电子商务实际情况,在电子商务信息技术、业务应用、安全管理等方面标准研究的基础上,主要进行以下标准研究。
2.1电子商务信息安全技术标准
确立电子商务信息安全保障总体架构,为电子商务所涉及的信息安全技术、信息业务应用安全、信息安全管理等方面安全要求的实施提供指导。从需求分析、方案设计、安全评估、运行等方面对信息安全建设实施给予指导。
2.1.1业务应用安全业务应用安全是指在物理安全、网络安全等安全环境的支持下,实现业务应用的安全目标,主要涉及到服务器端与客户端相应的安全服务。
(1)服务器端的交易服务、数据服务、Web服务、文件服务等部件及其安全方面的属性要求。交易服务及其安全属性要求,为了使电子交易安全可靠,必须建立一个安全、便捷的电子商务应用环境,保证整个电子商务交易活动中信息的安全性、匿名性和完整性,交易信息服务提供了安全、可靠的电子交易在线/离线运算。数据服务及其安全属性要求,局域网中的一台或多台计算机及其数据库管理系统软件共同构成了数据库服务,数据库服务为客户应用提供服务。这些服务是查询、更新、事务管理、索引、高速缓存、查询优化、安全及多用户存取控制等。通过传输层和应用层安全协议、电子签名、标识与鉴别、密码技术、抗抵赖、内容安全、访问控制和PKI等实现安全防护。Web服务及其安全属性要求,Web服务主要功能是提供信息传输与交换服务。主要解决网络通信和信息交换过程中的.访问控制、实体鉴别以及传输过程中的信息机密性、完整性问题。文件服务及其安全属性要求,在计算机网络中,以文件数据共享为目标,需要将多台计算机共享的文件存放于一台计算机中。这台计算机被称为文件服务器,文件服务器具有分时系统管理的全部功能,能够对全网统一管理,能够提供网络用户访问文件、目录的并发控制和安全保密措施。
(2)客户端的应用程序模型分类和安全方面的属性要求。客户端的应用程序模型大致分为两种:C/S(客户端/服务器模型)和B/S(浏览器/服务器模型)。客户端的安全性主要是指应用层次的安全性,主要通过用户权限、角色分配来实现。对于客户端应用程序来说,通常需要通过公共密钥基础设施(PKI)为应用提供可靠的安全服务。
2.1.2信息安全建设实施电子商务信息安全建设流程可划分为6个阶段:风险评估、需求分析、方案设计、测试、系统安装调试、正式运行等。
(1)风险评估。运用风险评估方法计算企业整体的资产价值、弱点、威胁发生的几率及可能造成的影响等。评估时应考虑下面的因素:
①信息安全可能造成的商业损失,并把损失的潜在后果也考虑进来。
②在极为普遍的危害和采取的相应措施的作用下,故障实际发生的可能性。
(2)需求分析。在项目的计划阶段,项目需求部门应与项目建设部门共同讨论信息系统的安全需求,明确重要的安全需求点,安全需求分析应该作为项目需求分析报告的组成部分。
①项目需求部门与项目建设部门应对系统进行风险分析,考虑业务处理流程中的技术控制要求、业务系统及其相关在线系统运行过程中的安全控制要求,在满足相关法律、法规、技术规范和标准等的约束下,确定系统的安全需求。