商城网站要保证安全交易需要做好的几个要求
时间:2014-10-26
为了维护电子商务交易环境中各方的合法权益、保证能够在安全的前提下开展电子商务,屏蔽来自网络的各种威胁.电子商务的安全交易必须保证以下几方面的基本要求:
(一)授权的合法性
安全管理人员能够控制用户的权限,分配或终止用户的访问、操作、接人等权利,被授权用户的访问不能被拒绝。在电子商务过程中要求保证信息确实为授权使用的交易方使用,使他们有选择地得到相关的信息与服务,防止由于电子商务交易系统的技术或其他人为因素造成电子商务交易系统对授权者拒绝提供信息与服务,反而为未授权用户提供信息与服务。
(二)信息的保密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密,均有保密的要求,如信用卡的账号和用户名等不能被他人获悉。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。电子商务中信息的存储、传递、使用均有保密的要求。特别对于敏感文件,信息要进行加密,然后再放到网上传输,这样即使信息被截获,截获者也无法了解到信息的真实内容。
(三)信息的完整性
电子商务简化了交易过程,减少了人为的干预,大量的交易活动通过网上的信息交流来完成,但同时也带来了需要保证网上交易双方商业信息的完整性、统一性的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营决策,因此,需要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复。
(四)信息的不可否认性
信息的不可否认性是指信息的发送方不能否认已发送的信息,接受方不能否认已收到的信息。由于商情的瞬息万变,交易一旦达成后是不能否认的,否则必会损害其中一方的利益。在无纸化交易的电子商务环境下,不可能像在传统的纸面交易中通过手写签名和印章的形式进行双方的鉴别,一般通过电子记录和电子合约等方式来表达。因此网上交易一旦达成,并形成信息文件,参与交易的各方不可擅自否认和修改交易信息文件,不得因为是电子记录而否认合约的有效性和强制执行性。
(五)交易者身份的真实性
电子商务可能直接关系到贸易双方的商业交易,网上交易双方相隔很远,互不了解,要使交易成功,必须要能确认对方的身份,确认对方是真实可信的。因此,如何确定要进行交易的交易方是真实的而非假冒的,是保证电子商务顺利进行的关键。一般,双方交易之前要通过各种方法获取对方的数字证书,以此有效鉴别确定交易方的身份。
(六)系统的可靠性
电子商务系统是计算机系统,其可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。
二、电子商务安全措施
(一)保证授权的合法性
随着计算机网络技术的不断发展,防火墙技术已经相对成熟,目前企业多用防火墙技术来保证企业内部网络及授权的维护,保证被授权的合法用户能够得到适时的服务,并保证不受未授权用户侵袭。
(二)保证电子单证的保密性
防范电子单证内容被第三方读取,常用的处理技术是加密技术。加密的实质是一种数据形式的变换,将被传输的单证(明文)经过编码转换成难以识别的密文,并进行传输,接收方接收到密文以后将其解密成明文,以供本地信息处理系统使用。常见的加密技术包括对称加密技术和非对称加密技术。典型的加密算法有DES,RSA;SEEK,PGP等。单证传输的安全依赖于使用的算法和密钥的长度。
(三)确定电子订单内容的完整性和真实性
单证传输的完整性主要采用散列技术来防止用户对单证的篡改,通过散列算法对被传输的单证进行处理,产生一个依赖于该单证的短小的散列值(通常在100一200比特之间),并将该散列值附在单证后传输给对方,以便接受方采用相同的散列算法对接收的单证进行比对检验。鉴别单证真实性的主要手段是数字签名技术,利用发送者的秘密密钥对散列值进行加密。使用时单证的真实性和完整性往往是一起考虑的。目前,可用的数字签名算法很多,如RSAE数字签名、ELGamal数字签名等。
(四)确保交易的不可否认性
通常要求引人认证中心进行管理,由证书授权(CA)发放密钥,传输的单证及其签名的备份发至CA保存,作为可能争议的仲裁依据。
(五)确定交易伙伴身份的真实性
常用的处理技术是身份认证,依赖可信任的CA认证机构发放数字证书,双方交换信息之前通过CA获取对方的证书,并以此识别对方。
(六)存储数据的安全性
规范内部管理,使用访问权限和日志,以及敏感信息的加密存档等。当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术保护内部网络的安全。