一套政策、程序及操作指南。
　　　　　　电子商务信息安全协议
　　1.安全套接层协议。安全套接层协议（Secure  Sockets  Layer，SSL）是由Netscape  Communication公司1994年设计开发的，主要用于提高应用程序之间的数据的安全系数。  SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议，该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
　　SSL安全协议主要提供三方面的服务。一是用户和服务器的合法性保证，使得用户与服务器能够确信数据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号，由公开密钥编排。为了验证用户，安全套接层协议要求在握手交换数据中作数字认证，以此来确保用户的合法性；二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥，也有公开密钥，在客户机和服务器交换数据之前，先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术，以保证其机密性与数据的完整性，并且经数字证书鉴别；三是维护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供完整的信息服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。
　　2.安全电子交易公告。安全电子交易公告（SET：Secure  Electronic  Transactions）是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。SET已成为全球网络的工业标准。
　　SET安全协议的主要对象包括：消费者（包括个人和团体），按照在线商店的要求填写定货单，用发卡银行的信用卡付款；在线商店，提供商品或服务，具备使用相应电子货币的条件；收单银行，通过支付网关处理消费者与在线商店之间的交易付款；电子货币发行公司以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付；认证中心，负责确认交易对方的身份和信誉度，以及对消费者的支付手段认证。
　　SET协议规范的技术范围包括：加密算法的应用，证书信息与对象格式，购买信息和对象格式，认可信息与对象格式。
　　SET协议要达到五个目标：保证电子商务参与者信息的相应隔离；保证信息在互联网上安全传输，防止数据被黑客或被内部人员窃取；解决多方认证问题；保证网上交易的实时性，使所有的支付过程都是在线的；效仿BDZ贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性与交互操作功能，并且可以运行在不同的硬件和操作系统平台上。
　　3.安全超文本传输协议（S-HTTP）。依靠密钥的加密，保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充，增加了报文的安全性，是基于SSL技术的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
　　4.安全交易技术协议（STT）。STT将认证与解密在浏览器中分离开，以提高安全控制能力。
　　5.UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。在ISO发布的IS09735（即UN/EDI-FACT语法规则）新版本中，包括描述UN/EDIFACT中实施安全措施的五个新部分，即：第五部分——批式电子商务（可靠性、完整性和不可抵赖性）的安全规则；第六部分——安全鉴别与确认报文（AUTACK）；第七部分——批式电子商务（机密性）的安全规则；第九部分——安全密钥和证书管理报告（KEYMAN）；第十部分——交互式电子商务的安全规则。
　　UN/EDIFACT的安全措施通过集成式与分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的不可抵赖性；分离式途径是通过发送三种特殊的UN/EDIFACT报文（即AUTCK、KEYMAN和CI-PHER）来达到安全目的。
　　6.《电子交换贸易数据统一行为守则》（UNCID）。UNCID由国际商会制定，该守则第六条、第七条、第九条分别就数据的保密性、完整性及贸易双方签订协议等问题做了规定。
　　　　　　电子商务中的信息安全对策
　　1.提高对网络信息安全重要性的认识。信息技术的发展，使网络逐渐渗透到社会的各个领域，在未来的军事和经济竞争与对抗中，因网络的崩溃而促成全部或局部的失败，决非不可能。我们在思想上要把信息资源共享与信息安全防护有机统一起来，树立维护信息安全就是保生存、促发展的观念。我国公民中的大多数人还是“机盲”、“网盲”，另有许多人仅知道一些关于网络的肤浅知识，或仅会进行简单的计算机操作，对网络安全没有深刻认识。应该以有效方式、途径在全社会普及网络安全知识，提高公民的网络安全意识与自觉性，学会维护网络安全的基本技能。
　　2.加强网络安全管理。我国网络安全管理除现有的部门分工外，要建立一个具有高度权威的信息安全领导机构。只有在中央建立起这样一个组织，才能有效地统一、协调各部门的职能，研究未来趋势，制定宏观政策，实施重大决定。对于计算机

上一页  [1] [2] [3] [4] [5]  下一页