信息安全工程师教程：电子商务安全需求（安全控制要求）

5.2.1.2安全需求
由于 Internet本身的开放性以及目前网络技术发展的局限性，使网上交易面临着种种安全性威胁，也由此提出了相应的安全控制要求。
（1）交易实体身份可认证性需求
认证性（ Authentication）是指网络两端的使用者在沟通之前互相确认对方的身份。在进行网上交易时，如果不采取任何新的保护措施，容易引起假冒、诈骗等违法活动。例如，在进行网上购物时，对于客户来说，需要确认商家的身份；同样，对于商家来说，也需要确认客户的身份。
因此，电子交易的首要安全需求就是要保证身份的可认证性。这就意味着，在双方进行交易前，首先要能确认对方的身份，要求交易双方的身份不能被假冒或伪装。

（2）信息保密性的需求

保密性（ Confidentiality）是指信息在传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。
电子商务是建立在一个开放的网络环境下，当交易双方交换信息时，如果不采取适当的保密措施，那么其他人就有可能知道他们的通信内容；另外，存储在网络的文件信息如果不加密的话，也有可能被黑客窃取。
因此，电子商务另一个重要的安全需求就是信息的保密性。这意味着，一定要对敏感重要的商业信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以被泄露。

（3）信息完整性的需求

完整性（ Integrity）是指保护数据不被未经授权者修改、建立、嵌入、删除、重复传送或者由于其他原因使原始数据被更改。
因此，保证信息的完整性也是电子商务活动中的一个重要的安全需求。这意味着，交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。

（4）交易信息的不可抵赖性需求

不可抵赖性又叫不可否认性（ Non-repudiation），是指信息的发送方不能否认已经发送的信息，接收方不能否认已经收到的信息，只是一种法律有效性要求。在无纸化的电子交易中，不可能再通过传统的手写签名和印章来预防抵赖行为的发生。因此，必须采用新的技术，防止电子商务中的抵赖行为。

因此，保证交易过程中的不可抵赖性也是电子商务安全需求中的一个重要方面。这意味着，在电子交易通信过程的各个环节中都必须是不可否认的，即交易一旦达成，发送方不能否认它发送的信息，接收方则不能否认它所收到的信息。

（5）商务服务的有效性需求

商务服务的有效性或可用性，是保证授权用户在正常访问信息和资源时不被拒绝， 即保证为用户提供稳定的服务。保证电子形式的贸易信息的有效性是展开电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及病毒所产生的潜在威胁加以控制和预防，以保证不受到“延迟”服务的威胁或“拒绝服务”的威胁。

（6）访问控制性需求

访问控制性（ Access Control）是指在网络上限制和控制通信链路对主机系统和应用的访问。用于保护计算机系统的资源（信息、计算和通信资源）不被未经授权的人或未授权的方式接入、使用、修改、破坏、发出指令或植入程序等。
简而言之，电子商务要安全地展开，以上几个昀基本的安全要素必须实现。也就是说，数据和信息的隐私必须受到保护，交易者身份必须得到认证，并且具有可认证性，未被授权的进入应该进行控制和拒绝。

报考须知：2016信息安全工程师报考指南 报名时间 考试大纲 考试教材

备考练习：2016信息安全工程师章节练习 每日一练 历年真题 考前密卷

加入信息安全工程师考友QQ群：11824850，交流学习，随时获取考试信息。

信息安全工程师考试备考已经开始，尚大特邀名师授课（马上免费试听），全面讲解考试重要知识点，保过班、精品班、直播班，为您的考证之路保驾护航。