9.5　應用安全實現

9.5　應用安全實現

9.5.1　概述

自建模式和資源租用模式自行開發應用，需進行應用安全建設。店鋪租用模式采用服務提供商的應用，應用安全由服務提供商負責。

9.5.2　身份鑒別安全實現

9.5.2.1　概述

身份鑒別主要是保證互聯網用戶及企業員工的用戶信息安全，是電子商務信息安全的基礎，可包括用戶安全管理、數字簽名技術、數字時間戳技術、數字證書等。店鋪租用模式和資源租用模式的中小電子商務企業用戶直接采用電子商務平臺服務商提供的身份鑒別系統，認證體系安全由服務提供商負責；自建模式的中小電子商務企業可自建認證系統，也可采用第三方CA認證機構。

9.5.2.2　用戶安全管理

用戶信息安全管理可啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數。

9.5.2.3　數字簽名技術

保證信息傳輸過程中信息的完整性和信息發送者的身份鑒別和抗抵賴性可采用數字簽名技術，宜實現但不限于以下功能：
a) 由簽名者隨信息發出，與信息不可分離。

9.5.2.4　數字時間戳技術

提供對電子文件發表、簽訂的時間內容的安全保護，保證文件符合交易時間要求，宜實現但不限于以下內容：
a) 需加時間戳的文件的摘要。
b) 收到文件的日期和時間。

9.5.2.5　數字證書

用戶的數字證書是PKI執行機構CA所頒發的核心元素，符合GB/T 20518的要求，宜實現但不限于以下功能:
a) 管理簽名用戶證書的密鑰和其他密鑰的產生、更新、備份、恢復等。
b) 接收用戶的證書請求，審核用戶的合法身份，發放用戶的數字證書，管理用戶的證書等。
c) 黑名單管理，包括注銷用戶的數字證書，定期產生黑名單，發布黑名單。

9.5.3　交易安全實現

9.5.3.1　概述

交易安全包括數據接入安全、交易服務、Web服務和SSL等。店鋪租用模式的中小電子商務企業用戶直接采用電子商務平臺服務商提供的安全交易服務，交易安全由服務提供商負責；資源租用模式和自建模式的交易安全由中小電子商務企業自行負責建設。

9.5.3.2　互聯網服務

互聯網服務宜采取但不限于以下措施:
a) 支持權限擁有者把權限授權給其他實體，實體可進行一些安全操作，如網頁訪問、網頁數據修改、刪除等。
b) 支持未授權用戶不能訪問互聯網服務器及客戶端與服務器之間的保密信息。
c) 支持互聯網數據在未經授權的情況下不能被刪除或更改。
d) 支持授權用戶能在授權范圍內的活動。

9.5.3.3　交易服務

中小電子商務交易服務在通信雙方建立連接之前，應用系統可利用密碼技術進行會話初始化驗證；可對通信過程中的敏感信息字段進行加密；可采用校驗碼技術保證通信過程中數據的完整性。

9.5.3.4　數據接入安全

外部數據接入安全宜采取但不限于以下措施:
a) 與外部合作方簽訂相關合作與安全協議。
b) 對合作方URL進行監控。
c) 接口以HTTP方式開放。
d) 設計接口有身份鑒別，并對來源授權。
e) 接口調用有日志記錄。
f) 參數傳遞做簽名驗證，并應有時間戳。
g) 明確用戶上傳的文件類型。

9.5.3.5　數據傳輸安全

數據傳輸安全宜采取但不限于以下措施:
a) 在客戶端與服務器之間建立安全的通道，可使用SSL對數據進行處理。
b) 為確保用戶的合法性，可在握手交換過程中采用數字認證。