是指构筑和运用电子商务交易网站,进行各式各样电子商务交易和电子结算。
对于电子商务交易,我们必须注意对系统进行7×24小时非法入侵监视,对客户隐私、信息数据、用户对相关信息数据操作的管理方针进行保护、防止网络欺诈行为的产生(安全支付网关,安全结算系统,本人认证、公钥管理和信息管理)。
在本节相比于企业和个人之间的B2C交易,我们将特别把重点放在交易规模相对大的企业之间的B2B交易当中,为确保交易双方企业和交易内容的可信性,实现安全交易环境而涉及的必要的安全对策。
电子商务交易是以网络交易为前提,这样它就必然面临各种各样的威胁。如果在与交易对方的通信中,发生名义被冒充或者内容被篡改等安全问题的话,将会导致企业的巨大经济损失和信用崩溃。因此,在应用级别(IV)时,当然必须以执行应用级别(I)、(II)、(III)上所讲述的对窃听、非法入侵、冒充等行为而制定的安全对策、安全策略来维护信息系统的安全。而电子商务交易的另一个重点就是必须确认交易对方身份的真实性。这不仅包括确认本人的真实性,还需要确认包括权限和持有资格在内的内容。于是在交易双方之间,通过“可信赖的第三方机构”,灵活利用以连接二者信赖关系的“电子认证中心”的方案就成为降低风险和保证交易信用的基础环境。交易双方互相出示TTP发行的数字证书,从而确认对方身份的真实性以将交易变为可能。
对于认证中心的形式,企业既可以利用第三方认证机构,也可以根据企业目的由企业本身来构筑和运营认证中心,如图16—8所示。
另外国外的电子认证机构大部分是厂商运营的认证公司,但是金融机构等历来开展信用服务和风险管理的企业也逐渐进入到认证服务的领域。而国内的认证机构多为地区性的政府运营的认证机构或者行业性的由银行、电信等运营的认证机构。
那么如何选择认证中心呢?判断基准首先是它做出怎样的服务水平承诺(SLA),另外在发生故障时的技术支持、认证机构的运营时间、故障发生率、故障处理期间和应答时间等网络系统的可靠性、申请手续、职员管理等安全控制流程的信赖性、监察服务质量以及认证中心在与客户之间就双方的义务和责任方面的划分是否能够达成共识也是重要要素。
利用程度(IV)的最低限要求是:通过电子认证确保信用基础;灵活利用可信赖的第三方认证中心;确认承诺服务水平的SLA内容;实施网络系统的高度安全对策、严格运用标准和定期监察;无停止系统,电源空调二重化等坚固设备。
