顏鷹（中國計(jì)量學(xué)院） 李寧（浙江省標(biāo)準(zhǔn)化研究院）

電子商務(wù)信息安全標(biāo)準(zhǔn)研究1）

顏鷹（中國計(jì)量學(xué)院） 李寧（浙江省標(biāo)準(zhǔn)化研究院）

標(biāo)準(zhǔn)作為規(guī)范電子商務(wù)信息安全的重要手段，推動電子商務(wù)健康發(fā)展。本文在梳理國內(nèi)外電子商務(wù)信息安全相關(guān)標(biāo)準(zhǔn)研究基礎(chǔ)上，對電子商務(wù)安全的威脅和需求進(jìn)行了綜合分析。針對目前電子商務(wù)信息安全技術(shù)、管理、業(yè)務(wù)應(yīng)用等領(lǐng)域存在的界定不清、內(nèi)容不全等問題，提出電子商務(wù)信息安全技術(shù)和管理兩類關(guān)鍵標(biāo)準(zhǔn)的研制思路。

電子商務(wù) 信息安全 標(biāo)準(zhǔn)

1 背景

當(dāng)前，全球商業(yè)活動日趨電子化、網(wǎng)絡(luò)化。這種基于網(wǎng)絡(luò)的新型商務(wù)模式具有效率高、成本低、不受限等種種優(yōu)勢，也不斷改變著企業(yè)經(jīng)營模式與管理理念，被稱為21世紀(jì)最具活力的經(jīng)濟(jì)增長點(diǎn)，眾所周知的亞馬遜、阿里巴巴等電子商務(wù)網(wǎng)站就是其中的典型代表。另一方面，電子商務(wù)的重要特征就是在線信息化，這勢必涉及到信息的傳輸與獲取，隨之而來的各類信息安全問題及其隱患層出不窮，常常會遭遇信息被截獲、篡改、偽造等各類安全威脅，從而帶來重大商業(yè)乃至聲譽(yù)損失。因此，安全是電子商務(wù)不可或缺的基礎(chǔ)性條件，是否能有效地防范風(fēng)險(xiǎn)、規(guī)避攻擊、提升保障質(zhì)量將成為制約電子商務(wù)快速、健康發(fā)展迫切而緊要的問題。

2 電子商務(wù)信息安全標(biāo)準(zhǔn)重要性

（1）電子商務(wù)信息安全技術(shù)及其體系建構(gòu)形式多樣，標(biāo)準(zhǔn)不統(tǒng)一。

電子商務(wù)首先是一種基于網(wǎng)絡(luò)、數(shù)字化技術(shù)的商務(wù)模式，在實(shí)際應(yīng)用中要確保網(wǎng)上交易的安全性、有效性，勢必需要在技術(shù)層面對網(wǎng)絡(luò)與系統(tǒng)故障、誤操作、計(jì)算機(jī)病毒、黑客入侵等潛在威脅加以預(yù)防與控制。這樣，信息安全技術(shù)體系的建立就首當(dāng)其沖。

然而，目前有關(guān)電子商務(wù)信息安全技術(shù)主要集中在局部或單一角度的探討，尚缺乏整體性、針對性與有效性的系統(tǒng)規(guī)定。在安全技術(shù)體系方面則多基于具體情況展開，而缺乏完整解決方案，標(biāo)準(zhǔn)接口也不統(tǒng)一，且系統(tǒng)各自封閉，僅支持特定協(xié)議。

此外，電子商務(wù)面臨著越來越多的集成了各類病毒、木馬、垃圾郵件等在內(nèi)的混合型威脅，這就要求不能僅從單一角度考慮安全，而應(yīng)根據(jù)威脅發(fā)展趨勢進(jìn)行綜合防范，規(guī)范技術(shù)標(biāo)準(zhǔn)、制定事件管理和響應(yīng)處理流程等。

（2）企業(yè)特別是中小企業(yè)的技術(shù)、管理等人員對電子商務(wù)信息安全建設(shè)理解不一，建設(shè)程度也參差不齊，留下了許多安全隱患。

電子商務(wù)安全問題不僅僅局限于互聯(lián)網(wǎng)及平臺自身，在平臺的規(guī)劃與設(shè)計(jì)方面也存在較多安全隱患。當(dāng)前，相關(guān)管理與軟件設(shè)計(jì)等人員技術(shù)水平及整體素質(zhì)參差不齊，導(dǎo)致企業(yè)在電子商務(wù)的規(guī)劃與設(shè)計(jì)階段就很少關(guān)注安全問題，未及時(shí)進(jìn)行安全自我檢查及代碼程序檢查，這就給網(wǎng)站運(yùn)行造成嚴(yán)重的安全漏洞，引發(fā)大量信息安全問題。

（3）有效提升全國同類企業(yè)信息安全水平，為電子商務(wù)的深入發(fā)展提供安全保障。

近年來，電子商務(wù)迅猛發(fā)展，電子商務(wù)安全問題比較突出。據(jù)調(diào)查統(tǒng)計(jì)，我國電子商務(wù)企業(yè)受到木馬、病毒、蠕蟲、網(wǎng)絡(luò)釣魚、分布式拒絕服務(wù)攻擊(DDoS)等攻擊也較為普遍，其中有86%的企業(yè)受到木馬植入，57%的企業(yè)受到病毒攻擊，35%的企業(yè)受到DDoS攻擊。電子商務(wù)安全問題不僅僅局限于互聯(lián)網(wǎng)及平臺方面，在平臺設(shè)計(jì)方面也存在較多安全隱患。

研制電子商務(wù)信息安全標(biāo)準(zhǔn)對解決電子商務(wù)企業(yè)信息安全建設(shè)中的實(shí)際問題，切實(shí)為企業(yè)提供指導(dǎo)，有效提升國內(nèi)同類企業(yè)信息安全水平，為電子商務(wù)的深入發(fā)展提供安全保障。

3 國內(nèi)外研究動態(tài)

對于電子商務(wù)標(biāo)準(zhǔn)，一種觀點(diǎn)認(rèn)為是始于1999年12月14日公布的“The Standard for Internet Commerce，Version 1.0”，另一種觀點(diǎn)則認(rèn)為可以追溯到1977年美國公布的數(shù)據(jù)加密標(biāo)準(zhǔn)DES，以及其后由美國國家標(biāo)準(zhǔn)技術(shù)研究院（NTST）制定的一系列有關(guān)密碼技術(shù)的聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）。國際上，主要由ISO/IEC JTC1所屬各分技術(shù)委員會負(fù)責(zé)安全標(biāo)準(zhǔn)的研制，涉及到密碼算法、數(shù)字簽名機(jī)制、安全評估準(zhǔn)則等領(lǐng)域，其研制制定的國際標(biāo)準(zhǔn)數(shù)量眾多?？偟膩碚f，國外電子商務(wù)的發(fā)展始終體現(xiàn)了標(biāo)準(zhǔn)先行的理念[1]。

在國內(nèi)，成立于2007年1月的國家電子商務(wù)標(biāo)準(zhǔn)化總體組是我國電子商務(wù)標(biāo)準(zhǔn)化工作的總體規(guī)劃和技術(shù)協(xié)調(diào)機(jī)構(gòu)。未來，總體組將對電子商務(wù)安全方面的安全認(rèn)證、信用服務(wù)、在線支付、現(xiàn)代物流等進(jìn)行重點(diǎn)研究與制定標(biāo)準(zhǔn)。

現(xiàn)階段，國家電子商務(wù)標(biāo)準(zhǔn)體系主要包括基礎(chǔ)技術(shù)標(biāo)準(zhǔn)、業(yè)務(wù)標(biāo)準(zhǔn)、支撐技術(shù)標(biāo)準(zhǔn)和監(jiān)督管理標(biāo)準(zhǔn)等，其中，信息安全標(biāo)準(zhǔn)被包含在支撐技術(shù)標(biāo)準(zhǔn)內(nèi)，除了積極采用國際、國外先進(jìn)標(biāo)準(zhǔn)外，公眾IP網(wǎng)絡(luò)安全架構(gòu)等國內(nèi)標(biāo)準(zhǔn)也成為國內(nèi)電子商務(wù)信息安全的有力保障。

在制定各類信息安全標(biāo)準(zhǔn)過程中，離不開各類主流安全協(xié)議，例如：（1）安全的超文本傳輸協(xié)議（S-HTTP）：依靠密鑰對的加密，保障web站點(diǎn)間的交易信息傳輸?shù)陌踩?。?）安全槽層協(xié)議（SSL，Secure Socket Layer）：對信用卡和個(gè)人信息提供較強(qiáng)的保護(hù)。（3）安全交易技術(shù)協(xié)議（STT，Secure Transact on Technology）：由Microsoft公司提出，STT將認(rèn)證和解密在瀏覽器中分離開，用以提高安全控制能力。（4）安全電子交易協(xié)議（SET，Secure Electronic Transaction）：SET協(xié)議是由VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范[2]。

以上可以看出，國內(nèi)外在標(biāo)準(zhǔn)與協(xié)議等許多方面都涉及到了電子商務(wù)的安全問題，有關(guān)電子商務(wù)安全體系、安全模型等類似提法也屢見不鮮，然而，一方面，從本質(zhì)上來說，絕大多數(shù)標(biāo)準(zhǔn)都還是純技術(shù)上的協(xié)議或規(guī)范，另一方面，雖有標(biāo)準(zhǔn)體系及其標(biāo)準(zhǔn)歸類，但還都只限于理論研究及基本的層級劃分，未能形成指導(dǎo)性的、架構(gòu)性的電子商務(wù)安全保障架構(gòu)設(shè)計(jì)標(biāo)準(zhǔn)。而隨著電子商務(wù)的深入發(fā)展，越來越多的企業(yè)采取電子商務(wù)形式的經(jīng)營模式，更需要這種體系流程型的架構(gòu)標(biāo)準(zhǔn)及時(shí)加以指導(dǎo)。

4 電子商務(wù)安全威脅與需求

4.1 主要安全威脅

電子商務(wù)建設(shè)主要面臨著賬戶安全威脅、交易安全威脅、基礎(chǔ)網(wǎng)絡(luò)威脅、業(yè)務(wù)連續(xù)性威脅。

（1）賬戶安全威脅。賬戶安全是電子商務(wù)信息安全的基礎(chǔ)，賬戶安全威脅主要來源于賬戶被盜與垃圾注冊。

（2）交易安全威脅?，F(xiàn)階段在電子商務(wù)交易過程中發(fā)生的安全威脅主要包括惡意評價(jià)、交易欺詐、不良信息發(fā)布。

（3）基礎(chǔ)網(wǎng)絡(luò)威脅。電子商務(wù)是構(gòu)建在互聯(lián)網(wǎng)上的交易平臺，同樣面臨著DDoS、端口掃描、密碼暴力破解、網(wǎng)站后門等安全威脅。

（4）業(yè)務(wù)連續(xù)性威脅。在電子商務(wù)領(lǐng)域主要面臨著特有的業(yè)務(wù)高彈性變化威脅，因?yàn)闃I(yè)務(wù)發(fā)展過快或網(wǎng)上促銷活動等原因，電子商務(wù)企業(yè)會面臨著大量客戶訪問超出現(xiàn)有系統(tǒng)設(shè)計(jì)容量的局面，而中小企業(yè)受限于資金規(guī)模導(dǎo)致其無力建設(shè)后備系統(tǒng)用于滿足無法預(yù)測的業(yè)務(wù)訪問量，最終影響電子商務(wù)網(wǎng)站對外提供服務(wù)的連續(xù)性。

4.2 安全需求

電子商務(wù)信息安全建設(shè)的需求主要來自于業(yè)務(wù)連續(xù)性、保護(hù)賬戶和交易信息安全、電子商務(wù)網(wǎng)站自身的安全性。

（1）業(yè)務(wù)連續(xù)性是電子商務(wù)業(yè)務(wù)的第一要素，應(yīng)采用防DDoS技術(shù)、系統(tǒng)彈性擴(kuò)容技術(shù)來保障電子商務(wù)對外業(yè)務(wù)的連續(xù)性。

（2）使用公共網(wǎng)絡(luò)的電子商務(wù)賬戶信息和在線交易中的信息宜受保護(hù)，應(yīng)采用加密技術(shù)、黑名單、防釣魚、數(shù)字簽名技術(shù)來防止欺詐活動，保證賬戶和交易信息安全。

（3）電子商務(wù)網(wǎng)站自身的安全性宜受保護(hù)，應(yīng)采取檢測網(wǎng)站漏洞、掛馬、端口安全、網(wǎng)站后門等安全手段，防密碼暴力破解及管理員異地登錄預(yù)警等技術(shù)來保障系統(tǒng)的安全性。

5 電子商務(wù)信息安全的關(guān)鍵標(biāo)準(zhǔn)研制

針對目前電子商務(wù)信息安全技術(shù)、管理、業(yè)務(wù)應(yīng)用等領(lǐng)域工作存在的界定不清、內(nèi)容不全、深度不統(tǒng)一等問題，通過技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)進(jìn)行規(guī)范統(tǒng)一變得尤為重要。結(jié)合電子商務(wù)實(shí)際情況， 在電子商務(wù)信息技術(shù)、業(yè)務(wù)應(yīng)用、安全管理等方面標(biāo)準(zhǔn)研究的基礎(chǔ)上，主要進(jìn)行以下標(biāo)準(zhǔn)研究[3,4]。

5.1 電子商務(wù)信息安全技術(shù)標(biāo)準(zhǔn)

確立電子商務(wù)信息安全保障總體架構(gòu)，為電子商務(wù)所涉及的信息安全技術(shù)、信息業(yè)務(wù)應(yīng)用安全、信息安全管理等方面安全要求的實(shí)施提供指導(dǎo)。從需求分析、方案設(shè)計(jì)、安全評估、運(yùn)行等方面對信息安全建設(shè)實(shí)施給予指導(dǎo)。

5.1.1 業(yè)務(wù)應(yīng)用安全

業(yè)務(wù)應(yīng)用安全是指在物理安全、網(wǎng)絡(luò)安全等安全環(huán)境的支持下，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的安全目標(biāo)，主要涉及到服務(wù)器端與客戶端相應(yīng)的安全服務(wù)。

（1）服務(wù)器端的交易服務(wù)、數(shù)據(jù)服務(wù)、Web服務(wù)、文件服務(wù)等部件及其安全方面的屬性要求。

交易服務(wù)及其安全屬性要求，為了使電子交易安全可靠，必須建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，保證整個(gè)電子商務(wù)交易活動中信息的安全性、匿名性和完整性，交易信息服務(wù)提供了安全、可靠的電子交易在線/離線運(yùn)算。數(shù)據(jù)服務(wù)及其安全屬性要求，局域網(wǎng)中的一臺或多臺計(jì)算機(jī)及其數(shù)據(jù)庫管理系統(tǒng)軟件共同構(gòu)成了數(shù)據(jù)庫服務(wù)，數(shù)據(jù)庫服務(wù)為客戶應(yīng)用提供服務(wù)。這些服務(wù)是查詢、更新、事務(wù)管理、索引、高速緩存、查詢優(yōu)化、安全及多用戶存取控制等。通過傳輸層和應(yīng)用層安全協(xié)議、電子簽名、標(biāo)識與鑒別、密碼技術(shù)、抗抵賴、內(nèi)容安全、訪問控制和PKI等實(shí)現(xiàn)安全防護(hù)。Web服務(wù)及其安全屬性要求，Web服務(wù)主要功能是提供信息傳輸與交換服務(wù)。主要解決網(wǎng)絡(luò)通信和信息交換過程中的訪問控制、實(shí)體鑒別以及傳輸過程中的信息機(jī)密性、完整性問題。文件服務(wù)及其安全屬性要求，在計(jì)算機(jī)網(wǎng)絡(luò)中，以文件數(shù)據(jù)共享為目標(biāo)，需要將多臺計(jì)算機(jī)共享的文件存放于一臺計(jì)算機(jī)中。這臺計(jì)算機(jī)被稱為文件服務(wù)器，文件服務(wù)器具有分時(shí)系統(tǒng)管理的全部功能，能夠?qū)θW(wǎng)統(tǒng)一管理，能夠提供網(wǎng)絡(luò)用戶訪問文件、目錄的并發(fā)控制和安全保密措施。

（2）客戶端的應(yīng)用程序模型分類和安全方面的屬性要求。

客戶端的應(yīng)用程序模型大致分為兩種：C/S（客戶端/服務(wù)器模型）和B/S（瀏覽器/服務(wù)器模型）。客戶端的安全性主要是指應(yīng)用層次的安全性，主要通過用戶權(quán)限、角色分配來實(shí)現(xiàn)。對于客戶端應(yīng)用

程序來說，通常需要通過公共密鑰基礎(chǔ)設(shè)施（PKI）為應(yīng)用提供可靠的安全服務(wù)。

5.1.2 信息安全建設(shè)實(shí)施

電子商務(wù)信息安全建設(shè)流程可劃分為6個(gè)階段:風(fēng)險(xiǎn)評估、需求分析、方案設(shè)計(jì)、測試、系統(tǒng)安裝調(diào)試、正式運(yùn)行等。

（1）風(fēng)險(xiǎn)評估。運(yùn)用風(fēng)險(xiǎn)評估方法計(jì)算企業(yè)整體的資產(chǎn)價(jià)值、弱點(diǎn)、威脅發(fā)生的幾率及可能造成的影響等。評估時(shí)應(yīng)考慮下面的因素：

① 信息安全可能造成的商業(yè)損失，并把損失的潛在后果也考慮進(jìn)來。

② 在極為普遍的危害和采取的相應(yīng)措施的作用下，故障實(shí)際發(fā)生的可能性。

（2）需求分析。在項(xiàng)目的計(jì)劃階段，項(xiàng)目需求部門應(yīng)與項(xiàng)目建設(shè)部門共同討論信息系統(tǒng)的安全需求，明確重要的安全需求點(diǎn)，安全需求分析應(yīng)該作為項(xiàng)目需求分析報(bào)告的組成部分。

① 項(xiàng)目需求部門與項(xiàng)目建設(shè)部門應(yīng)對系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析，考慮業(yè)務(wù)處理流程中的技術(shù)控制要求、業(yè)務(wù)系統(tǒng)及其相關(guān)在線系統(tǒng)運(yùn)行過程中的安全控制要求，在滿足相關(guān)法律、法規(guī)、技術(shù)規(guī)范和標(biāo)準(zhǔn)等的約束下，確定系統(tǒng)的安全需求。

② 對系統(tǒng)安全應(yīng)遵循適度保護(hù)的原則，需在滿足以下基本要求的前提下，實(shí)施與業(yè)務(wù)安全等級相符合的安全機(jī)制：通過必要的技術(shù)手段建立適當(dāng)?shù)陌踩芸貦C(jī)制，保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法使用、篡改和復(fù)制。實(shí)施必要的數(shù)據(jù)備份和恢復(fù)控制。實(shí)施有效的用戶和密碼管理，能對不同級別的用戶進(jìn)行有限授權(quán)，防止非法用戶的侵入和破壞。

③ 系統(tǒng)的安全需求及其分析需經(jīng)過項(xiàng)目組內(nèi)部充分討論，項(xiàng)目需求方和項(xiàng)目建設(shè)方應(yīng)對安全需求及其分析的理解達(dá)成一致。

（3）方案設(shè)計(jì)。項(xiàng)目建設(shè)部門應(yīng)根據(jù)確定的安全需求設(shè)計(jì)系統(tǒng)安全技術(shù)方案，應(yīng)滿足以下要求：系統(tǒng)安全技術(shù)方案要滿足所有安全需求，并符合公安部、工信部和主管部門的法規(guī)和標(biāo)準(zhǔn)要求。系統(tǒng)安全技術(shù)方案應(yīng)至少包括網(wǎng)絡(luò)安全設(shè)計(jì)、操作系統(tǒng)和數(shù)據(jù)庫安全、應(yīng)用軟件安全設(shè)計(jì)等部分。系統(tǒng)安全技術(shù)方案涉及采用的安全產(chǎn)品，應(yīng)符合國家有關(guān)法律法規(guī)。

（4）測試。

① 信息系統(tǒng)安全功能測試

在信息系統(tǒng)測試階段，應(yīng)根據(jù)信息系統(tǒng)安全功能需求進(jìn)行測試，確保所有設(shè)計(jì)的安全功能均能得到落實(shí)和實(shí)現(xiàn)。在測試報(bào)告或相關(guān)文檔中應(yīng)明確說明檢查列表中各項(xiàng)安全功能的落實(shí)和實(shí)現(xiàn)情況。

② 測試過程的安全管理

在信息系統(tǒng)開發(fā)測試過程中，對于來自業(yè)務(wù)系統(tǒng)的數(shù)據(jù)要根據(jù)相關(guān)規(guī)定進(jìn)行變形處理，禁止在開發(fā)或測試環(huán)境中直接使用生產(chǎn)系統(tǒng)的密鑰和用戶密碼等重要數(shù)據(jù)。測試環(huán)境要依據(jù)相關(guān)規(guī)定進(jìn)行合適的管理和安全防護(hù)，并通過相應(yīng)的手段確保與生產(chǎn)系統(tǒng)、開發(fā)系統(tǒng)隔離。

（5）系統(tǒng)安裝調(diào)試。在信息系統(tǒng)安裝部署時(shí)，應(yīng)采取相應(yīng)措施確保系統(tǒng)安全功能的實(shí)現(xiàn)，對操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等軟件的安裝部署和配置應(yīng)該符合相應(yīng)的安全規(guī)范和標(biāo)準(zhǔn)。信息系統(tǒng)投產(chǎn)前應(yīng)進(jìn)行安全評估或?qū)彶?，通過審查系統(tǒng)設(shè)計(jì)文檔中的安全功能設(shè)計(jì)、系統(tǒng)測試文檔中的安全功能測試，確保系統(tǒng)本身安全功能的實(shí)現(xiàn)。通過審核系統(tǒng)安裝與配置過程或文檔，確保系統(tǒng)安全配置的落實(shí)與實(shí)現(xiàn)。

（6）正式運(yùn)行。系統(tǒng)投入正式運(yùn)行后，需清除系統(tǒng)中各種臨時(shí)數(shù)據(jù)，進(jìn)行管理權(quán)交接，開發(fā)方不得隨意更改安全策略和系統(tǒng)配置。

5.2 電子商務(wù)平臺安全管理標(biāo)準(zhǔn)

通過總結(jié)現(xiàn)有電子商務(wù)交易過程中遇到的安全問題，經(jīng)過提煉和深化，系統(tǒng)規(guī)定電子商務(wù)交易平臺安全管理類型，如用戶安全管理、交易安全管理、信息安全管理、管理安全規(guī)范等的系統(tǒng)規(guī)定。

（1）用戶安全管理：主要對電商企業(yè)賬戶體系的安全和用戶信息的安全管理進(jìn)行規(guī)范；對用戶注冊、用戶信息的使用、用戶隱私保護(hù)、用戶發(fā)布信息的管理提供保護(hù)措施。

（2）交易安全管理：主要對電商企業(yè)在交易過程中遇到的如商品質(zhì)量問題、物流安全問題、交易欺詐問題、評價(jià)體系等進(jìn)行規(guī)定；以保障消費(fèi)者權(quán)益，建立健全的網(wǎng)上交易信譽(yù)體系。

（3）信息安全管理：重點(diǎn)對電商企業(yè)在信息的發(fā)布、傳輸、管理、存儲、控制等進(jìn)行規(guī)定。

（4）管理安全規(guī)范：重點(diǎn)對電商企業(yè)在安全管理中的人員配備、工作流設(shè)置、管理制度上做規(guī)定。

[1] 王晶. 電子商務(wù)信息的安全現(xiàn)狀與信息安全管理對策[J]．信息安全與技術(shù)，2012（04）：168-172.

[2] 李曉玉. 國內(nèi)外信息安全標(biāo)準(zhǔn)研究現(xiàn)狀綜述[J]. 信息安全與通信保密，2019（08）：51-55.

[3] 甘悅. 淺議電子商務(wù)信息安全的構(gòu)建[J]. 西北成人教育學(xué)報(bào)，2007（02）：57-58.

[4] 陳俊豪. 淺析中小企業(yè)電子商務(wù)中的信息安全問題[J]. 中國商貿(mào)，2012（08）：142-143.

Research on the Standard of Information Security for E-commerce

Yan Ying ( China Jiliang University ) Li Ning ( Zhejiang Institute of Standardization )

Standard Specifi cation for electronic commerce as an important means of information security, and promote the healthy development of e-commerce. In the paper based on standard research of the domestic and foreign electronic commerce information security, e-commerce security threats and requirements were analyzed. According to currently exist in the field of e-commerce information security technology, management, and other business applications are not clearly defined, its content is not congruent problem, the e-commerce information security technology and management two key standards development ideas are put forward.

electronic commerce, information security, standard

1）基金項(xiàng)目：國家質(zhì)檢總局科技計(jì)劃項(xiàng)目“電子商務(wù)信息安全標(biāo)準(zhǔn)體系及其關(guān)鍵標(biāo)準(zhǔn)研制研究”（2013Qk063）；國家質(zhì)檢公益性行業(yè)科研項(xiàng)目“面向城市智慧安居共性技術(shù)標(biāo)準(zhǔn)研制與示范”（201310206）；浙江省重點(diǎn)軟科學(xué)研究項(xiàng)目“智慧城市基礎(chǔ)數(shù)據(jù)標(biāo)準(zhǔn)體系研究”（2014C25002）。