你真正了解电商吗？那么你知道其系统安全体系框架是怎样的吗？

目前，电子商务系统还没有一个标准的系统安全体系框架，但可以参照信息系统的安全体系框架。电子商务系统安全的总需求是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与存储交易记录的数据库安全的总和。电子商务系统安全的最终目标是确保信息的有效性、保密性、合法性、完整性、交易身份的确定性、不可修改性和不可抵赖性，以及信息系统主体(包括用户、企业组织等)信息资源的控制。另外，电子商务是在Internet上进行的，由于Internet本身的开放性，使得网上交易面临了种种危险，也因此提出了更高的安全控制要求。

从电子商务系统安全总需求来看，可以将安全层次分为信息基础设施安全、系统数据安全、电子交易安全和与安全有关的管理策略和措施等，其中不仅涉及安全设备和安全技术，还涉及相关的安全管理机制，其整个安全体系框架是由技术体系和管理体系共同构建。体系的结构框架如图1-1所示。

在这个框架结构中，我们将整个安全体系分为四层:

图1-1　电子商务系统安全体系的基本框架结构

1.信息基础设施安全

主要指电子商务系统的网络通信线路安全，包括物理安全和网络安全两个方面。物理安全是指系统主机硬件和物理线路的安全，保证其自身的可靠性和为系统提供基本安全机制。网络安全则指针对计算机网络本身可能存在的安全问题，利用访问控制机制和防火墙、入侵检测系统等技术，保障信息资源的授权访问以及网络传输的数据不被窃取或篡改。这两方面的安全是实现整个电子商务系统体系结构的安全基础。

2.系统数据安全

系统数据安全是指保护系统软件和交易数据不会被泄露、篡改、破坏和非法复制(包括有意或者无意)，可分为数据库安全、操作系统安全、应用安全和数据安全。

3.电子交易安全

电子交易安全指如何实现商务过程中的安全，包括用户身份认证、交易数据在Internet网络中传输的保密性以及完整性，以及实现交易数据的不可抵赖性和不可伪造性等。电子交易安全是整个电子商务系统体系结构的安全核心。

4.安全管理策略和措施

安全管理策略和措施指针对系统安全所制定的指导性管理原则和管理规范，包括基于PKI体制的密钥管理、安全服务、安全监控和用户认证管理等。

从图1-1可以看出，电子商务系统的安全体系是一个有机体系，既包括网络基础设施，也包含相关的安全技术和安全管理方法。进一步地，我们还可以把信息基础设施安全和系统数据安全归纳为网络系统安全。交易过程安全则是建立在网络系统安全的基础上，强调如何实现电子商务过程中的安全性。