序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)��,特別為您篩選了11篇電子商務(wù)安全管理策略范文���。如果您需要更多原創(chuàng)資料����,歡迎隨時(shí)與我們的客服老師聯(lián)系�����,希望您能從中汲取靈感和知識(shí)���!
篇1
商業(yè)銀行從事金融業(yè)務(wù)面臨著市場(chǎng)風(fēng)險(xiǎn)�、信用風(fēng)險(xiǎn)����、以及操作風(fēng)險(xiǎn)等,而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險(xiǎn)發(fā)生的可能性以及風(fēng)險(xiǎn)發(fā)生之后的破壞程度����。2004年以來(lái),我國(guó)面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大���,仿冒對(duì)象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站��。2005年上半年共收到網(wǎng)絡(luò)安全事件報(bào)告65679件�����,超過(guò)2004年全年案件數(shù)���,商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略已成為理論與實(shí)踐中必須重視的課題���。
一、信息安全管理的歷史演進(jìn)與現(xiàn)階段的特點(diǎn)
信息安全管理的策略大體遵循事件驅(qū)動(dòng)(技術(shù)和管理脫節(jié))-逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險(xiǎn)管理(引入了風(fēng)險(xiǎn)分析)的發(fā)展路徑��。
(一)以事件驅(qū)動(dòng)的初級(jí)階段時(shí)期
19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全���,人與計(jì)算機(jī)之間的交互主要局限在大型計(jì)算機(jī)上的啞終端�����,安全問(wèn)題只涉及能訪問(wèn)終端的少數(shù)人���。安全管理策略處于初級(jí)階段,由事件驅(qū)動(dòng)���,沒(méi)有形成規(guī)范的管理流程�。在此階段的前期����,只重視技術(shù)手段�����。后期開(kāi)始重視管理手段���,但是技術(shù)和管理之間脫節(jié)���。許多組織對(duì)信息安全制定了相應(yīng)的規(guī)章和制度�,但組織的信息安全管理基本上還處在一種靜態(tài)���、局部���、少數(shù)人負(fù)責(zé)、突擊式�����、事后糾正式的管理方式�����。
(二)標(biāo)準(zhǔn)化時(shí)期
企業(yè)開(kāi)始將安全問(wèn)題作為整體考慮,形成一套較為完整的安全管理策略����,其中包括了安全管理的技術(shù)手段和管理制度(或稱運(yùn)作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略�����,內(nèi)容也包括了技術(shù)手段�、安全管理制度、人員安全教育等等����,基本上形成體系,技術(shù)和管理手段綜合統(tǒng)一����,但是安全風(fēng)險(xiǎn)分析還存在不足之處。
(三)安全風(fēng)險(xiǎn)管理策略時(shí)期
隨著電子商務(wù)安全管理發(fā)展到一個(gè)比較高的層次�,安全管理策略也演進(jìn)到安全風(fēng)險(xiǎn)管理階段。主要特點(diǎn)如下:
1.安全風(fēng)險(xiǎn)管理成為主流趨勢(shì)�����;在安全管理策略的演進(jìn)過(guò)程中��,技術(shù)和管理手段綜合統(tǒng)一、又融入了風(fēng)險(xiǎn)管理的分析�����、防范策略�����,從而安全管理進(jìn)入了安全風(fēng)險(xiǎn)管理時(shí)期�。西方商業(yè)銀行已對(duì)安全風(fēng)險(xiǎn)管理形成共識(shí)。如安氏公司(is—One)����,認(rèn)為信息安全問(wèn)題最終將歸結(jié)為風(fēng)險(xiǎn)管理問(wèn)題����,風(fēng)險(xiǎn)管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。
2.安全風(fēng)險(xiǎn)管理的國(guó)際標(biāo)準(zhǔn)和各國(guó)的規(guī)范逐漸形成并趨于完善���。國(guó)際上關(guān)于安全風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》��、英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制訂的BS7799等�。各國(guó)也日益重視安全風(fēng)險(xiǎn)管理�����,制定了許多規(guī)范。例如美國(guó)貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》�、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險(xiǎn)管理》等。中國(guó)銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》����,對(duì)國(guó)內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險(xiǎn)管理給出了指導(dǎo)意見(jiàn)。
3.利用外部專業(yè)化機(jī)構(gòu)對(duì)金融機(jī)構(gòu)的安全性評(píng)估已成為大部分國(guó)家的選擇����。電子銀行面臨的安全和技術(shù)風(fēng)險(xiǎn),在相當(dāng)程度上取決于采用的信息技術(shù)的先進(jìn)程度�����,系統(tǒng)的設(shè)計(jì)開(kāi)發(fā)水平�,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等;銀行依靠傳統(tǒng)的風(fēng)險(xiǎn)管理機(jī)制已很難識(shí)別�����、監(jiān)測(cè)����、控制和管理相關(guān)風(fēng)險(xiǎn)���。同樣,監(jiān)管機(jī)構(gòu)也難以完全依靠自身的力量對(duì)電子銀行的安全性進(jìn)行準(zhǔn)確評(píng)價(jià)和監(jiān)控�����。因此���,大部分國(guó)家都采用了依靠外部專業(yè)化機(jī)構(gòu)定期對(duì)電子銀行安全性進(jìn)行評(píng)估的辦法�����,加強(qiáng)對(duì)電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管�。
4.在許多國(guó)家信息系統(tǒng)審計(jì)(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供���,許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)。業(yè)界的IT風(fēng)險(xiǎn)分析師也成為一種職業(yè)�����,專門從事電子商務(wù)的安全風(fēng)險(xiǎn)工作��,從經(jīng)濟(jì)學(xué)的角度出發(fā)分析風(fēng)險(xiǎn)�,充分衡量保持安全的代價(jià)和收益之間的關(guān)系����,尋求用最小的代價(jià)實(shí)現(xiàn)最大的效用��,在風(fēng)險(xiǎn)分析中也形成一套較為成熟的模式���。
二���、我國(guó)商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略的薄弱點(diǎn)
(一)系統(tǒng)管理思想缺乏
目前的電子商務(wù)安全風(fēng)險(xiǎn)管理策略,在全局上缺乏系統(tǒng)論理論的指導(dǎo)�����,在實(shí)際操作中受到多種多樣的安全攻擊時(shí)會(huì)不可避免地出現(xiàn)安全漏洞���,無(wú)法形成一張全面有序的安全網(wǎng)絡(luò)���。
實(shí)踐中被采用的安全風(fēng)險(xiǎn)管理策略,以及作為指導(dǎo)意見(jiàn)的規(guī)則規(guī)范�����,如《信息安全管理實(shí)務(wù)準(zhǔn)則》(IS017799)、《信息技術(shù)安全性評(píng)估準(zhǔn)則》(GB/T18336.1)��、巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》�,盡管提出了比較全面的安全風(fēng)險(xiǎn)管理方案,層次上也比較清晰����,但是還不足以作為一個(gè)風(fēng)險(xiǎn)防范系統(tǒng)。實(shí)踐中����,電子商務(wù)組織是一個(gè)復(fù)雜的系統(tǒng)組織,電子商務(wù)的安全風(fēng)險(xiǎn)管理體系和過(guò)程也是個(gè)復(fù)雜的系統(tǒng)����。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險(xiǎn)管理中是不可或缺的����。
(二)風(fēng)險(xiǎn)分析的模型與方法不成熟,定量分析不足
電子商務(wù)模式自身的發(fā)展歷史也不過(guò)20幾年���,在風(fēng)險(xiǎn)分析的定量技術(shù)上并不成熟;如BS7799中推薦的電子商務(wù)安全風(fēng)險(xiǎn)管理中實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)�,往往將威脅發(fā)生的可能性定性劃分為幾個(gè)級(jí)別,將威脅所造成的影響也定性劃分為1~5級(jí),實(shí)質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個(gè)級(jí)別����,在操作上易行,但造成了度量的不精確��。在進(jìn)行監(jiān)控和審計(jì)之后��,也存在無(wú)法量化����、對(duì)比的問(wèn)題。
(三)忽視與原有的傳統(tǒng)風(fēng)險(xiǎn)管理策略的結(jié)合
本質(zhì)上����,電子商務(wù)的安全風(fēng)險(xiǎn)無(wú)非是新興的商業(yè)模式對(duì)傳統(tǒng)的風(fēng)險(xiǎn)的改變,以及產(chǎn)生的在傳統(tǒng)風(fēng)險(xiǎn)控制領(lǐng)域暫時(shí)無(wú)法明晰的新風(fēng)險(xiǎn)��;現(xiàn)有管理策略只從信息技術(shù)的角度��、或者從偏重技術(shù)的角度看待問(wèn)題����,站在金融領(lǐng)域本身來(lái)分析研究較少。這種狀況導(dǎo)致了對(duì)電子商務(wù)安全風(fēng)險(xiǎn)管理的研究無(wú)法立足于一個(gè)比較高的層次�;忽略了風(fēng)險(xiǎn)的整體性��,只進(jìn)行偏信息和技術(shù)的研究����,導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險(xiǎn)管理策略與金融機(jī)構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)管理策略存在差距��。對(duì)于商業(yè)銀行而言����,傳統(tǒng)金融業(yè)務(wù)的風(fēng)險(xiǎn)控制與電子商務(wù)的技術(shù)風(fēng)險(xiǎn)控制,兩個(gè)方面存在脫節(jié)�,同樣屬于商業(yè)銀行的風(fēng)險(xiǎn),存在著不同的管理策略���,導(dǎo)致多頭管理�、資源浪費(fèi)�����、機(jī)構(gòu)之間的扯皮����,乃至缺位管理。
(四)風(fēng)險(xiǎn)管理策略無(wú)法依賴外部的信息安全管理行業(yè)
在發(fā)達(dá)國(guó)家���,信息系統(tǒng)審計(jì)(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供��,許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)����。IT風(fēng)險(xiǎn)分析師也成為一種職業(yè)���,專門從事電子商務(wù)的安全風(fēng)險(xiǎn)工作����。商業(yè)銀行采用依靠外部專業(yè)化機(jī)構(gòu)定期對(duì)電子銀行的安全性進(jìn)行評(píng)估的辦法�,提高對(duì)電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管。而國(guó)內(nèi)初步建立了國(guó)家信息安全組織保障體系����,制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)、法律法規(guī)���,風(fēng)險(xiǎn)評(píng)估工作得到了一定重視��,但與發(fā)達(dá)國(guó)家成熟完善的外部信息安全管理行業(yè)仍有很大差距���。
(五)風(fēng)險(xiǎn)管理策略中商業(yè)銀行的內(nèi)部風(fēng)險(xiǎn)控制能力薄弱
我國(guó)商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險(xiǎn)管理部門����;但風(fēng)險(xiǎn)控制部門的職能���、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然存在較大差距��,風(fēng)險(xiǎn)控制實(shí)質(zhì)上仍然分散在各個(gè)子部門���;風(fēng)險(xiǎn)的評(píng)估、防范與控制實(shí)質(zhì)上完全依靠商業(yè)銀行的電子交易部門��;風(fēng)險(xiǎn)管理部門���、內(nèi)審稽核部門實(shí)質(zhì)上無(wú)法控制電子商務(wù)安全風(fēng)險(xiǎn)�。例如��,風(fēng)險(xiǎn)管理部門接受了電子交易部的風(fēng)險(xiǎn)控制報(bào)告�����,表面上履行的內(nèi)控審核的流程��,但審核作用有限�����,無(wú)法完成電子商務(wù)安全風(fēng)險(xiǎn)管理中的監(jiān)控與審計(jì)環(huán)節(jié)。
三�����、商業(yè)銀行的電子商務(wù)安全風(fēng)險(xiǎn)管理策略的改進(jìn)建議
(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略框架
利用系統(tǒng)理論作為總體的指導(dǎo)思想����,將電子商務(wù)安全風(fēng)險(xiǎn)管理策略本身當(dāng)作一個(gè)開(kāi)放的自適應(yīng)系統(tǒng)�。將商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理中的各個(gè)環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。
在商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)控制的流程中���,經(jīng)過(guò)信息安全的風(fēng)險(xiǎn)評(píng)估�、資產(chǎn)識(shí)別和選擇����、實(shí)施控制降低風(fēng)險(xiǎn)的措施、將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)�,然后進(jìn)行監(jiān)控和審計(jì);尤其重要的是把監(jiān)控和審計(jì)所得到的內(nèi)容作為新一輪風(fēng)險(xiǎn)分析輸入�,從而開(kāi)始新一輪的風(fēng)險(xiǎn)管理過(guò)程。商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理的各個(gè)步驟為動(dòng)態(tài)的循環(huán)系統(tǒng)���。每完成一個(gè)循環(huán)����,安全風(fēng)險(xiǎn)管理的有效性就上一個(gè)臺(tái)階,商業(yè)銀行的安全管理水平變得到了提高�。
(二)電子商務(wù)安全風(fēng)險(xiǎn)管理中定量分析中的改進(jìn)思路
商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險(xiǎn)度量中的一些方法來(lái)改變電子商務(wù)安全風(fēng)險(xiǎn)管理中對(duì)資產(chǎn)進(jìn)行粗略的優(yōu)先級(jí)別排序的方法。實(shí)踐中��,商業(yè)銀行對(duì)操作風(fēng)險(xiǎn)的管理與對(duì)電子商務(wù)安全風(fēng)險(xiǎn)管理有其相似之處��。巴塞爾委員會(huì)對(duì)商業(yè)銀行的操作風(fēng)險(xiǎn)的內(nèi)部計(jì)量法中規(guī)定����,商業(yè)銀行內(nèi)部估計(jì)風(fēng)險(xiǎn)敞口指標(biāo)、損失事件發(fā)生的概率���、風(fēng)險(xiǎn)損失�����,巴塞爾委員會(huì)制定資本要求的轉(zhuǎn)換系數(shù)�;在度量損失的分布時(shí)�����,主要利用統(tǒng)計(jì)和精算技術(shù)。商業(yè)銀行應(yīng)通過(guò)數(shù)據(jù)庫(kù)將威脅發(fā)生的頻率���、威脅所造成的影響等精確記錄下來(lái)�,利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險(xiǎn)定量分析的嘗試���。
篇2
商業(yè)銀行從事金融業(yè)務(wù)面臨著市場(chǎng)風(fēng)險(xiǎn)��、信用風(fēng)險(xiǎn)、以及操作風(fēng)險(xiǎn)等���,而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險(xiǎn)發(fā)生的可能性以及風(fēng)險(xiǎn)發(fā)生之后的破壞程度�。2004年以來(lái)�����,我國(guó)面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大����,仿冒對(duì)象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報(bào)告65679件��,超過(guò)2004年全年案件數(shù),商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略已成為理論與實(shí)踐中必須重視的課題���。
一�����、信息安全管理的歷史演進(jìn)與現(xiàn)階段的特點(diǎn)
信息安全管理的策略大體遵循事件驅(qū)動(dòng)(技術(shù)和管理脫節(jié))-逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險(xiǎn)管理(引入了風(fēng)險(xiǎn)分析)的發(fā)展路徑��。
(一)以事件驅(qū)動(dòng)的初級(jí)階段時(shí)期
19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全����,人與計(jì)算機(jī)之間的交互主要局限在大型計(jì)算機(jī)上的啞終端�,安全問(wèn)題只涉及能訪問(wèn)終端的少數(shù)人。安全管理策略處于初級(jí)階段�����,由事件驅(qū)動(dòng)���,沒(méi)有形成規(guī)范的管理流程����。在此階段的前期�,只重視技術(shù)手段。后期開(kāi)始重視管理手段,但是技術(shù)和管理之間脫節(jié)����。許多組織對(duì)信息安全制定了相應(yīng)的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)��、局部�����、少數(shù)人負(fù)責(zé)���、突擊式���、事后糾正式的管理方式�����。
(二)標(biāo)準(zhǔn)化時(shí)期
企業(yè)開(kāi)始將安全問(wèn)題作為整體考慮��,形成一套較為完整的安全管理策略����,其中包括了安全管理的技術(shù)手段和管理制度(或稱運(yùn)作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略,內(nèi)容也包括了技術(shù)手段��、安全管理制度����、人員安全教育等等,基本上形成體系�����,技術(shù)和管理手段綜合統(tǒng)一����,但是安全風(fēng)險(xiǎn)分析還存在不足之處。
(三)安全風(fēng)險(xiǎn)管理策略時(shí)期
隨著電子商務(wù)安全管理發(fā)展到一個(gè)比較高的層次�,安全管理策略也演進(jìn)到安全風(fēng)險(xiǎn)管理階段。主要特點(diǎn)如下:
1.安全風(fēng)險(xiǎn)管理成為主流趨勢(shì)����;在安全管理策略的演進(jìn)過(guò)程中,技術(shù)和管理手段綜合統(tǒng)
一�、又融入了風(fēng)險(xiǎn)管理的分析、防范策略��,從而安全管理進(jìn)入了安全風(fēng)險(xiǎn)管理時(shí)期���。西方商業(yè)銀行已對(duì)安全風(fēng)險(xiǎn)管理形成共識(shí)��。如安氏公司(is—One)���,認(rèn)為信息安全問(wèn)題最終將歸結(jié)為風(fēng)險(xiǎn)管理問(wèn)題��,風(fēng)險(xiǎn)管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)�。
2.安全風(fēng)險(xiǎn)管理的國(guó)際標(biāo)準(zhǔn)和各國(guó)的規(guī)范逐漸形成并趨于完善����。國(guó)際上關(guān)于安全風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》、英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制訂的BS7799等����。各國(guó)也日益重視安全風(fēng)險(xiǎn)管理,制定了許多規(guī)范�����。例如美國(guó)貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》�����、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險(xiǎn)管理》等��。中國(guó)銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》��,對(duì)國(guó)內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險(xiǎn)管理給出了指導(dǎo)意見(jiàn)����。
3.利用外部專業(yè)化機(jī)構(gòu)對(duì)金融機(jī)構(gòu)的安全性評(píng)估已成為大部分國(guó)家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險(xiǎn)���,在相當(dāng)程度上取決于采用的信息技術(shù)的先進(jìn)程度����,系統(tǒng)的設(shè)計(jì)開(kāi)發(fā)水平���,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等��;銀行依靠傳統(tǒng)的風(fēng)險(xiǎn)管理機(jī)制已很難識(shí)別�、監(jiān)測(cè)��、控制和管理相關(guān)風(fēng)險(xiǎn)���。同樣�����,監(jiān)管機(jī)構(gòu)也難以完全依靠自身的力量對(duì)電子銀行的安全性進(jìn)行準(zhǔn)確評(píng)價(jià)和監(jiān)控�。因此,大部分國(guó)家都采用了依靠外部專業(yè)化機(jī)構(gòu)定期對(duì)電子銀行安全性進(jìn)行評(píng)估的辦法�,加強(qiáng)對(duì)電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管。
4.在許多國(guó)家信息系統(tǒng)審計(jì)(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供����,許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)。業(yè)界的IT風(fēng)險(xiǎn)分析師也成為一種職業(yè)����,專門從事電子商務(wù)的安全風(fēng)險(xiǎn)工作,從經(jīng)濟(jì)學(xué)的角度出發(fā)分析風(fēng)險(xiǎn)�����,充分衡量保持安全的代價(jià)和收益之間的關(guān)系��,尋求用最小的代價(jià)實(shí)現(xiàn)最大的效用��,在風(fēng)險(xiǎn)分析中也形成一套較為成熟的模式�����。
二�、我國(guó)商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略的薄弱點(diǎn)
(一)系統(tǒng)管理思想缺乏
目前的電子商務(wù)安全風(fēng)險(xiǎn)管理策略,在全局上缺乏系統(tǒng)論理論的指導(dǎo)�����,在實(shí)際操作中受到多種多樣的安全攻擊時(shí)會(huì)不可避免地出現(xiàn)安全漏洞�����,無(wú)法形成一張全面有序的安全網(wǎng)絡(luò)�����。
實(shí)踐中被采用的安全風(fēng)險(xiǎn)管理策略�����,以及作為指導(dǎo)意見(jiàn)的規(guī)則規(guī)范�����,如《信息安全管理實(shí)務(wù)準(zhǔn)則》(IS017799)�、《信息技術(shù)安全性評(píng)估準(zhǔn)則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》��,盡管提出了比較全面的安全風(fēng)險(xiǎn)管理方案����,層次上也比較清晰��,但是還不足以作為一個(gè)風(fēng)險(xiǎn)防范系統(tǒng)�。實(shí)踐中��,電子商務(wù)組織是一個(gè)復(fù)雜的系統(tǒng)組織���,電子商務(wù)的安全風(fēng)險(xiǎn)管理體系和過(guò)程也是個(gè)復(fù)雜的系統(tǒng)���。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險(xiǎn)管理中是不可或缺的��。
(二)風(fēng)險(xiǎn)分析的模型與方法不成熟���,定量分析不足
電子商務(wù)模式自身的發(fā)展歷史也不過(guò)20幾年���,在風(fēng)險(xiǎn)分析的定量技術(shù)上并不成熟;如BS7799中推薦的電子商務(wù)安全風(fēng)險(xiǎn)管理中實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)�����,往往將威脅發(fā)生的可能性定性劃分為幾個(gè)級(jí)別,將威脅所造成的影響也定性劃分為1~5級(jí)���,實(shí)質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個(gè)級(jí)別,在操作上易行�����,但造成了度量的不精確�。在進(jìn)行監(jiān)控和審計(jì)之后,也存在無(wú)法量化���、對(duì)比的問(wèn)題���。
(三)忽視與原有的傳統(tǒng)風(fēng)險(xiǎn)管理策略的結(jié)合
本質(zhì)上,電子商務(wù)的安全風(fēng)險(xiǎn)無(wú)非是新興的商業(yè)模式對(duì)傳統(tǒng)的風(fēng)險(xiǎn)的改變���,以及產(chǎn)生的在傳統(tǒng)風(fēng)險(xiǎn)控制領(lǐng)域暫時(shí)無(wú)法明晰的新風(fēng)險(xiǎn)�;現(xiàn)有管理策略只從信息技術(shù)的角度����、或者從偏重技術(shù)的角度看待問(wèn)題,站在金融領(lǐng)域本身來(lái)分析研究較少��。這種狀況導(dǎo)致了對(duì)電子商務(wù)安全風(fēng)險(xiǎn)管理的研究無(wú)法立足于一個(gè)比較高的層次;忽略了風(fēng)險(xiǎn)的整體性���,只進(jìn)行偏信息和技術(shù)的研究����,導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險(xiǎn)管理策略與金融機(jī)構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)管理策略存在差距�。對(duì)于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務(wù)的風(fēng)險(xiǎn)控制與電子商務(wù)的技術(shù)風(fēng)險(xiǎn)控制���,兩個(gè)方面存在脫節(jié)�����,同樣屬于商業(yè)銀行的風(fēng)險(xiǎn)�,存在著不同的管理策略���,導(dǎo)致多頭管理��、資源浪費(fèi)����、機(jī)構(gòu)之間的扯皮�,乃至缺位管理��。
(四)風(fēng)險(xiǎn)管理策略無(wú)法
依賴外部的信息安全管理行業(yè)
在發(fā)達(dá)國(guó)家���,信息系統(tǒng)審計(jì)(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)��。IT風(fēng)險(xiǎn)分析師也成為一種職業(yè)��,專門從事電子商務(wù)的安全風(fēng)險(xiǎn)工作�。商業(yè)銀行采用依靠外部專業(yè)化機(jī)構(gòu)定期對(duì)電子銀行的安全性進(jìn)行評(píng)估的辦法���,提高對(duì)電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管����。而國(guó)內(nèi)初步建立了國(guó)家信息安全組織保障體系����,制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)、法律法規(guī)��,風(fēng)險(xiǎn)評(píng)估工作得到了一定重視���,但與發(fā)達(dá)國(guó)家成熟完善的外部信息安全管理行業(yè)仍有很大差距���。
(五)風(fēng)險(xiǎn)管理策略中商業(yè)銀行的內(nèi)部風(fēng)險(xiǎn)控制能力薄弱
我國(guó)商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險(xiǎn)管理部門����;但風(fēng)險(xiǎn)控制部門的職能�、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然存在較大差距,風(fēng)險(xiǎn)控制實(shí)質(zhì)上仍然分散在各個(gè)子部門�����;風(fēng)險(xiǎn)的評(píng)估��、防范與控制實(shí)質(zhì)上完全依靠商業(yè)銀行的電子交易部門�;風(fēng)險(xiǎn)管理部門、內(nèi)審稽核部門實(shí)質(zhì)上無(wú)法控制電子商務(wù)安全風(fēng)險(xiǎn)���。例如���,風(fēng)險(xiǎn)管理部門接受了電子交易部的風(fēng)險(xiǎn)控制報(bào)告,表面上履行的內(nèi)控審核的流程����,但審核作用有限,無(wú)法完成電子商務(wù)安全風(fēng)險(xiǎn)管理中的監(jiān)控與審計(jì)環(huán)節(jié)�。
三�����、商業(yè)銀行的電子商務(wù)安全風(fēng)險(xiǎn)管理策略的改進(jìn)建議
(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略框架
利用系統(tǒng)理論作為總體的指導(dǎo)思想�����,將電子商務(wù)安全風(fēng)險(xiǎn)管理策略本身當(dāng)作一個(gè)開(kāi)放的自適應(yīng)系統(tǒng)���。將商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理中的各個(gè)環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。
在商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)控制的流程中�,經(jīng)過(guò)信息安全的風(fēng)險(xiǎn)評(píng)估��、資產(chǎn)識(shí)別和選擇�����、實(shí)施控制降低風(fēng)險(xiǎn)的措施�����、將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)����,然后進(jìn)行監(jiān)控和審計(jì)�����;尤其重要的是把監(jiān)控和審計(jì)所得到的內(nèi)容作為新一輪風(fēng)險(xiǎn)分析輸入�,從而開(kāi)始新一輪的風(fēng)險(xiǎn)管理過(guò)程���。商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理的各個(gè)步驟為動(dòng)態(tài)的循環(huán)系統(tǒng)��。每完成一個(gè)循環(huán)����,安全風(fēng)險(xiǎn)管理的有效性就上一個(gè)臺(tái)階����,商業(yè)銀行的安全管理水平變得到了提高。
(二)電子商務(wù)安全風(fēng)險(xiǎn)管理中定量分析中的改進(jìn)思路
商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險(xiǎn)度量中的一些方法來(lái)改變電子商務(wù)安全風(fēng)險(xiǎn)管理中對(duì)資產(chǎn)進(jìn)行粗略的優(yōu)先級(jí)別排序的方法��。實(shí)踐中���,商業(yè)銀行對(duì)操作風(fēng)險(xiǎn)的管理與對(duì)電子商務(wù)安全風(fēng)險(xiǎn)管理有其相似之處�。巴塞爾委員會(huì)對(duì)商業(yè)銀行的操作風(fēng)險(xiǎn)的內(nèi)部計(jì)量法中規(guī)定���,商業(yè)銀行內(nèi)部估計(jì)風(fēng)險(xiǎn)敞口指標(biāo)���、損失事件發(fā)生的概率����、風(fēng)險(xiǎn)損失�,巴塞爾委員會(huì)制定資本要求的轉(zhuǎn)換系數(shù);在度量損失的分布時(shí)���,主要利用統(tǒng)計(jì)和精算技術(shù)��。商業(yè)銀行應(yīng)通過(guò)數(shù)據(jù)庫(kù)將威脅發(fā)生的頻率��、威脅所造成的影響等精確記錄下來(lái)�����,利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險(xiǎn)定量分析的嘗試。新晨
(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)納入商業(yè)銀行總體風(fēng)險(xiǎn)管理范疇
篇3
國(guó)內(nèi)外調(diào)查顯示…�����,52.26%的用戶最關(guān)心的是網(wǎng)上交易的安全可靠性���,超過(guò)6O%的人由于擔(dān)心電子商務(wù)的安全問(wèn)題而不愿進(jìn)行網(wǎng)上購(gòu)物����。加強(qiáng)電子商務(wù)實(shí)施過(guò)程中的安全管理已經(jīng)成為促進(jìn)電子商務(wù)高速發(fā)展的重要因素。
電子商務(wù)的安全��,可分為技術(shù)安全和管理安全兩種類型����。所謂技術(shù)安全,是指通過(guò)各種黑客手段竊取企業(yè)的用戶lD�����、密碼以及相關(guān)的機(jī)密文件�,甚至網(wǎng)絡(luò)銀行帳號(hào)、密碼等�,給企業(yè)造成經(jīng)濟(jì)損失。而管理安全則是指缺乏對(duì)參與電子商務(wù)過(guò)程中各個(gè)環(huán)節(jié)的人員的管理預(yù)防手段�����,最終導(dǎo)致的電子商務(wù)安全事件�����。從美國(guó)的花旗銀行和中央情報(bào)局到中國(guó)的某家國(guó)有商業(yè)銀行�,都有過(guò)由于內(nèi)部人員的違規(guī)和違法操作�,導(dǎo)致數(shù)據(jù)被篡改和泄密的事件發(fā)生����。
近幾年的電子商務(wù)安全案件表明:人員是網(wǎng)上交易安全管理中的最薄弱的環(huán)節(jié),近年來(lái)我國(guó)計(jì)算機(jī)犯罪大都呈現(xiàn)內(nèi)部犯罪的趨勢(shì)����,有的競(jìng)爭(zhēng)對(duì)手利用企業(yè)招募新人的方式潛入對(duì)方企業(yè),或利用不正當(dāng)?shù)姆绞绞召I企業(yè)網(wǎng)絡(luò)交易管理人員��。有的電子商務(wù)從業(yè)人員從本企業(yè)辭職后���,迅速把客戶資料�、產(chǎn)品研發(fā)成果等機(jī)密出售給競(jìng)爭(zhēng)對(duì)手��,給企業(yè)帶來(lái)了不必要的經(jīng)濟(jì)損失�����。
2����、原因分析
電子商務(wù)信息安全已經(jīng)引起很多企業(yè)的重視��,但大多數(shù)企業(yè)往往側(cè)重于加強(qiáng)技術(shù)措施,如購(gòu)買先進(jìn)的防火墻軟件����,采用更高級(jí)的加密方法等,很多企業(yè)認(rèn)為:?jiǎn)T工泄密的安全事故只是偶然現(xiàn)象�����,很少?gòu)娜藛T管理的角度來(lái)探討出現(xiàn)這些事故的根本原因�。“重技術(shù)��、輕管理”是當(dāng)前很多電子商務(wù)企業(yè)的通病��。由于管理手段不到位���,很多先進(jìn)的安全技術(shù)無(wú)法發(fā)揮應(yīng)有的效能��。之所以出現(xiàn)上述問(wèn)題��,主要有以下原因:
首先�����,很多企業(yè)管理高層對(duì)人員管理在信息安全中的地位認(rèn)識(shí)不足����。大多數(shù)企業(yè)將電子商務(wù)網(wǎng)絡(luò)作為一項(xiàng)純粹的技術(shù)工程來(lái)實(shí)施,企業(yè)內(nèi)部缺乏系統(tǒng)的安全管理策略�,只是被動(dòng)的使用一些技術(shù)措施來(lái)進(jìn)行防御,因此電子商務(wù)過(guò)程中一旦出現(xiàn)突發(fā)性事件�����,往往造成很大的經(jīng)濟(jì)損失?��,F(xiàn)實(shí)中沒(méi)有一個(gè)網(wǎng)絡(luò)系統(tǒng)是完美無(wú)缺的��,不安全因素隨時(shí)存在�。因此��,安全管理措施必須滲透到系統(tǒng)的每一個(gè)環(huán)節(jié)和企業(yè)組織的~個(gè)層面�����,只有構(gòu)建一個(gè)人與技術(shù)相結(jié)合的安全管理體系�����,才能確保整個(gè)電子商務(wù)系統(tǒng)得安全�����。
企業(yè)沒(méi)有從整體上�、有計(jì)劃地考慮信息安全問(wèn)題。企業(yè)各部門����、各下屬機(jī)構(gòu)都存在“各自為政的局面,缺少統(tǒng)一規(guī)劃��、設(shè)計(jì)和管理信息安全強(qiáng)調(diào)的是整體上的信息安全性����,而不僅是某一個(gè)部門或公司的信息安全。而各部門����、各公司又確實(shí)存在個(gè)體差異,對(duì)于不同業(yè)務(wù)領(lǐng)域來(lái)說(shuō)�,信息安全具有不同的涵義和特征,信息安全保障體系的戰(zhàn)略性必須涵蓋各部門和各公司的信息安全保障體系的相關(guān)內(nèi)容��。
缺少信息安全管理配套的人力��、物力和財(cái)力。人才是信息安全保障工作的關(guān)鍵����。信息安全保障工作的專業(yè)性、技術(shù)性很強(qiáng)�����,沒(méi)有一批業(yè)務(wù)能力強(qiáng)�,且具有信息網(wǎng)絡(luò)知識(shí)、信息安全技術(shù)�、法律知識(shí)和管理能力的復(fù)合型人才和專門人才,就不可能做好信息安全保障工作�����。應(yīng)該從信息安全建設(shè)和管理對(duì)信息安全人才的實(shí)際需求出發(fā)�����,加快信息安全人才的培養(yǎng)����。
企業(yè)對(duì)員工的信息安全教育不夠。員工的信息安全意識(shí)薄弱����,9O%的安全事故是由于人為疏忽所造成���。如有些企業(yè)不限制內(nèi)部人員使用各種高科技信息載體�����,如U盤��、移動(dòng)硬盤以及筆記本等移動(dòng)辦公設(shè)備���。
3���、加強(qiáng)電子商務(wù)安全管理的建議
電子商務(wù)信息安全管理實(shí)踐表明,大多數(shù)安全問(wèn)題是由于管理不善造成的����。安全管理是一項(xiàng)系統(tǒng)工程,不僅涉及到企業(yè)的組織架構(gòu)�����、信息技術(shù)�����、人員素質(zhì)等各個(gè)方面,還牽扯到國(guó)家法律和商業(yè)規(guī)則����。企業(yè)內(nèi)部存在著諸多影響信息安全的因素:改變lT系統(tǒng)不等于改變企業(yè)的信息安全管理,要使企業(yè)信息盡可能的安全��,必須在技術(shù)投人的基礎(chǔ)上融人人在管理方面的智慧i同時(shí)�,不僅要防外,更要防內(nèi)����,即對(duì)組織內(nèi)部人員的管理。信息安全問(wèn)題的解決需要技術(shù)����,但又不能單純依靠技術(shù)。整個(gè)電子商務(wù)的交易過(guò)程����,是人與技術(shù)相互融合的過(guò)程,如何使管理與技術(shù)相得益彰十分重要�����。“三分技術(shù)����,七分管理”闡述了信息安全的本質(zhì)。
電子商務(wù)的安全管理�,就是通過(guò)一個(gè)完整的綜合保障體系,來(lái)規(guī)避信息傳輸風(fēng)險(xiǎn)��、信用風(fēng)險(xiǎn)����、管理風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)�,以保證網(wǎng)上交易的順利進(jìn)行。網(wǎng)上交易安全管理��,應(yīng)采用綜合防范的思路���,一是技術(shù)方面的考慮���,如防火墻技術(shù)、網(wǎng)絡(luò)防毒��、信息加密��、身份認(rèn)證、授權(quán)等�,但必須明確,只有技術(shù)措施并不能完全保證網(wǎng)上交易的安全�����。二是必須加強(qiáng)監(jiān)管����,建立各種有關(guān)的合理制度,并加強(qiáng)嚴(yán)格監(jiān)督�,如建立交易的安全制度、交易安全的實(shí)時(shí)監(jiān)控�、提供實(shí)時(shí)改變安全策略的能力、對(duì)現(xiàn)有的安全系統(tǒng)漏洞的檢查以及安全教育等����。為了加強(qiáng)企業(yè)電子商務(wù)的信息安全,我們提出如下建議:
(1)提高網(wǎng)絡(luò)安全防范意識(shí)�����。
現(xiàn)在許多企業(yè)沒(méi)有意識(shí)到互聯(lián)網(wǎng)的易受攻擊性�,盲目相信國(guó)外的加密軟件,對(duì)于系統(tǒng)的訪問(wèn)權(quán)限和密鑰缺乏有力度的管理。這樣的系統(tǒng)一旦受到攻擊將十分脆弱���,其中的機(jī)密數(shù)據(jù)得不到應(yīng)有的保護(hù)����。據(jù)調(diào)查����,目前國(guó)內(nèi)90%的網(wǎng)站存在安全問(wèn)題,其主要原因是企業(yè)管理者缺少或沒(méi)有安全意識(shí)�。某些企業(yè)網(wǎng)絡(luò)管理員甚至認(rèn)為其公司規(guī)模較小,不會(huì)成為黑客的攻擊目標(biāo)�,如此態(tài)度��,網(wǎng)絡(luò)安全更是無(wú)從談起����。應(yīng)該定期由公司或安全管理小組承辦信息安全講座,只有提高網(wǎng)絡(luò)安全防范意識(shí)��,才能有效的減少信息安全事故的發(fā)生����。
(2)建立電子商務(wù)安全管理組織體系。
一個(gè)完整的信息安全管理體系首先應(yīng)建立完善的組織體系�。即建立由行政領(lǐng)導(dǎo)�、IT技術(shù)主管��、信息安全主管���、本系統(tǒng)用戶代表和安全顧問(wèn)組成的安全決策機(jī)構(gòu)����。其職責(zé)是建立管理框架��,組織審批安全策略�、安全管理制度,指派安全角色���,分配安全職責(zé)�����,并檢查安全職責(zé)是否已被正確履行�����,核準(zhǔn)新信息處理設(shè)施的啟用�����、組織安全管理專題會(huì)等��。還應(yīng)建立由網(wǎng)絡(luò)管理員�����、系統(tǒng)管理員�、安全管理員、用戶管理員等組成的安全執(zhí)行機(jī)構(gòu)����。該機(jī)構(gòu)負(fù)責(zé)起草網(wǎng)絡(luò)系統(tǒng)的安全策略、執(zhí)行批準(zhǔn)后的安全策略��、日常的安全運(yùn)行和維護(hù)����、定期的培訓(xùn)和安全檢查等�����。如果需要�,還可建立安全顧問(wèn)機(jī)構(gòu)。安全顧問(wèn)機(jī)構(gòu)可聘請(qǐng)信息安全專家擔(dān)任系統(tǒng)安全顧問(wèn),負(fù)責(zé)提供安全建議��,特別是在安全事故或違反安全策略事件發(fā)生后��,可以被安全決策機(jī)構(gòu)指定負(fù)責(zé)事故(事件)調(diào)查�,并為安全策略評(píng)審和評(píng)估提供意見(jiàn)。
(3)制定符合機(jī)構(gòu)安全需求的信息安全策略���。電子商務(wù)交
易過(guò)程中��,需要明確的安全策略主要包括客戶認(rèn)證策略���、加密策略、日常維護(hù)策略�����、防病毒策略等安全技術(shù)方案的選擇����。安全執(zhí)行機(jī)構(gòu)應(yīng)根據(jù)本信息網(wǎng)絡(luò)的實(shí)際情況制定相應(yīng)的信息安全策略,策略中應(yīng)明確安全的定義�����、目標(biāo)、范圍和管理責(zé)任���,并制定安全策略的實(shí)施細(xì)則���。安全策略文檔要由安全決策機(jī)構(gòu)審查、批準(zhǔn)�����,并和傳達(dá)給所有的人安全策略還應(yīng)由安全決策機(jī)構(gòu)定期進(jìn)行有效性審查和評(píng)估:在發(fā)生重大的安全事故�、發(fā)現(xiàn)新的脆弱性、組織體系或技術(shù)上發(fā)生變更時(shí)���,應(yīng)重新進(jìn)行安全策略的審查和評(píng)估��。
(4)人員安全的管理和培訓(xùn)
參與網(wǎng)上交易的經(jīng)營(yíng)管理人員在很大程度上支配著企業(yè)的命運(yùn)�����,他們承擔(dān)著防范網(wǎng)絡(luò)犯罪的任務(wù)。而計(jì)算機(jī)網(wǎng)絡(luò)犯罪同一般犯罪不同的是����,他們具有智能性��、隱蔽性�����、連續(xù)性��、高效性的特點(diǎn)�,因而���,加強(qiáng)對(duì)有關(guān)人員的管理變得十分重要�。首先����,在人員錄用時(shí)應(yīng)做好人員鑒別,人員錄用或人員職位調(diào)整時(shí)�����,一般要簽署保密協(xié)議�����。當(dāng)人員到期離開(kāi)或協(xié)議到期��、工作終止時(shí),要審查保密協(xié)議�����。其次對(duì)有關(guān)人員進(jìn)行上崗培訓(xùn)����,建立人員培訓(xùn)計(jì)劃,定期組織安全策略和規(guī)程方面的培訓(xùn)�。第三,落實(shí)工作責(zé)任制�����,在崗位職責(zé)中明確本崗位執(zhí)行安全政策的常規(guī)職責(zé)和本崗位保護(hù)特定資產(chǎn)�、執(zhí)行特定安全過(guò)程或活動(dòng)的特別職責(zé),對(duì)違反網(wǎng)上交易安全規(guī)定的人員要進(jìn)行及時(shí)的處理���。第四�����,貫徹網(wǎng)上交易安全運(yùn)作基本原則���,包括職責(zé)分離、雙人負(fù)責(zé)����、任期有限、最小權(quán)限����、個(gè)人可信賴性等。
(5)增強(qiáng)法律意識(shí)�����,促進(jìn)電子商務(wù)立法
面對(duì)電子商務(wù)這種新型的貿(mào)易形式����,我國(guó)目前尚無(wú)專門法規(guī)可依,使得部分違法犯罪人員沒(méi)有得到應(yīng)有的懲罰�。近幾年里,國(guó)家加強(qiáng)了這方面的投入����。在全國(guó)性的立法文件中,《合同法》的部分條款可以看作是針對(duì)電子商務(wù)的立法�����。此外,廣東省制定的《廣東省電子交易管理?xiàng)l例》這個(gè)地方性的法規(guī)可以看作是對(duì)加快我國(guó)電子商務(wù)立法的有益探索��?��!吨腥A人民共和國(guó)電子簽名法》是對(duì)主要用于電子商務(wù)活動(dòng)�����,電子政務(wù)等其他應(yīng)用應(yīng)該有新的適用法規(guī)���。
篇4
0引言
美國(guó)等發(fā)達(dá)國(guó)家,通過(guò)Internet進(jìn)行電子商務(wù)的交易已成為潮流���。隨著internet的發(fā)展和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善�����,我國(guó)的電子商務(wù)雖已初具規(guī)模�����,但是安全問(wèn)題卻成為發(fā)展電子商務(wù)亟待解決的問(wèn)題�。電子商務(wù)過(guò)程中,買賣雙方是通過(guò)網(wǎng)絡(luò)聯(lián)系的����,由于internet是開(kāi)放性網(wǎng)絡(luò),建立交易雙方的安全和信任關(guān)系較為困難�,因此本文對(duì)電子商務(wù)網(wǎng)絡(luò)支付上的安全問(wèn)題進(jìn)行探討分析���。
1電子商務(wù)的概念和特點(diǎn)
1)電子商務(wù)的概念:電子商務(wù)(ElectronicCommerce)是通過(guò)電信網(wǎng)絡(luò)進(jìn)行的生產(chǎn)����、營(yíng)銷��、銷售��、流通等活動(dòng)�,不僅是指基于因特網(wǎng)上的交易,而且還指利用電子信息技術(shù)實(shí)現(xiàn)解決問(wèn)題��、降低成本���、增加價(jià)值����、創(chuàng)造商機(jī)的商務(wù)活動(dòng)[1]。
2)電子商務(wù)的特點(diǎn):(1)電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化���、數(shù)字化��。不僅以電子流代替了實(shí)物流��,大量減少了人力物力����,降低了成本����;而且突破了時(shí)間空間的限制,使得交易活動(dòng)可在任何時(shí)間���、任何地點(diǎn)進(jìn)行����,大大提高了效率�����。(2)電子商務(wù)使企業(yè)能以較低成本進(jìn)入全球電子化市場(chǎng),也使中小企業(yè)可能擁有與大企業(yè)一樣的信息資源�����,提高了中小企業(yè)的競(jìng)爭(zhēng)能力。(3)電子商務(wù)重新定義了傳統(tǒng)的流通模式�,減少了中間環(huán)節(jié),使得生產(chǎn)者和消費(fèi)者的直接交易成為可能��,從而一定程度上改變了社會(huì)經(jīng)濟(jì)的運(yùn)行方式�。(4)電子商務(wù)提供了豐富的信息資源,為社會(huì)經(jīng)濟(jì)要素的重新組合提供了更多的可能���,這將影響到社會(huì)的經(jīng)濟(jì)布局和結(jié)構(gòu)。
2電子商務(wù)安全的技術(shù)體系
1)物理安全����。首先根據(jù)國(guó)家標(biāo)準(zhǔn)、信息安全等級(jí)和資金狀況��,制定適合的物理安全要求����,并經(jīng)建設(shè)和管理達(dá)到相關(guān)標(biāo)準(zhǔn)[2]。再者���,關(guān)鍵的系統(tǒng)資源(包括主機(jī)���、應(yīng)用服務(wù)器���、安全隔離網(wǎng)閘GAP等設(shè)備),通信電路以及物理介質(zhì)(軟/硬磁盤�����、光盤�、IC卡、PC卡等)����、應(yīng)有加密、電磁屏蔽等保護(hù)措施����,均應(yīng)放在物理上安全的地方。
2)網(wǎng)絡(luò)安全�。網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易順利進(jìn)行�����,要求電子商務(wù)平臺(tái)要穩(wěn)定可靠��,能夠不中斷地提供服務(wù)。系統(tǒng)的任何中斷(如硬件��、軟件錯(cuò)誤���,網(wǎng)絡(luò)故障�����、病毒等)都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作���,而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證,往往會(huì)造成巨大的經(jīng)濟(jì)損失����。
3)商務(wù)安全���。主要是指商務(wù)交易在網(wǎng)絡(luò)媒介中出現(xiàn)的安全問(wèn)題�����,包括防止商務(wù)信息被竊取����、篡改、偽造��、交易行為被抵賴���,即要實(shí)現(xiàn)電子商務(wù)的保密性���、完整性、真實(shí)性�����、不可抵賴性���。商務(wù)安全的各方面也要通過(guò)不同的網(wǎng)絡(luò)安全技術(shù)和安全交易標(biāo)準(zhǔn)實(shí)現(xiàn)�����,加解密技術(shù)保證了交易信息的保密性��,也解決了用戶密碼被盜取的問(wèn)題�;數(shù)字簽名是實(shí)現(xiàn)對(duì)原始報(bào)文完整性的鑒別�����,它與身份認(rèn)證和審查系統(tǒng)一起可杜絕交易的偽造和抵賴行為。保證電子商務(wù)安全的主要技術(shù)有:在線支付協(xié)議(安全套接層SSL協(xié)議和安全電子交易SET協(xié)議)����、文件加密技術(shù)、數(shù)字簽名技術(shù)���、電子商務(wù)認(rèn)證中心(CA)��。
4)系統(tǒng)安全�。主要是保護(hù)主機(jī)上的操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)的安全�����。對(duì)于保護(hù)系統(tǒng)安全����,總體思路是:通過(guò)安全加固�,解決管理方面安全漏洞;然后采用安全技術(shù)設(shè)備�����,增強(qiáng)其安全防護(hù)能力��。
3安全管理過(guò)程監(jiān)督
3.1加強(qiáng)全過(guò)程的安全管理
1)網(wǎng)絡(luò)規(guī)劃階段,就要加強(qiáng)對(duì)信息安全建設(shè)和管理的規(guī)劃����。信息安全建設(shè)需要投入一定的人力、物力��、財(cái)力�。要根據(jù)狀況實(shí)事求是地確定網(wǎng)絡(luò)的安全總體目標(biāo)和階段目標(biāo)、分段實(shí)施�、降低投資風(fēng)險(xiǎn)。2)工程建設(shè)階段���,建設(shè)管理單位要將安全需求的匯總和安全性能功能的測(cè)試����,列入工程建設(shè)各個(gè)階段工作的重要內(nèi)容�����,要加強(qiáng)對(duì)開(kāi)發(fā)(實(shí)施)人員�����、版本控制的管理����,要加強(qiáng)對(duì)開(kāi)發(fā)環(huán)境�、用戶路由設(shè)置��、關(guān)鍵代碼的檢查[3]���。3)在運(yùn)行維護(hù)階段��,要注意以下事項(xiàng):(1)建立有效的安全管理組織架構(gòu)�����,明確職責(zé)���,理順流程,實(shí)施高效管理��。(2)按照分級(jí)管理原則���,嚴(yán)格管理內(nèi)部用戶帳號(hào)和密碼����,進(jìn)入系統(tǒng)內(nèi)部必須通過(guò)嚴(yán)格的身份確認(rèn)����,防止非法占用、冒用合法用戶帳號(hào)和密碼����。(3)制定完善的安全管理制度,加強(qiáng)信息網(wǎng)的操作系統(tǒng)���、數(shù)據(jù)庫(kù)�、網(wǎng)絡(luò)設(shè)備����、應(yīng)用系統(tǒng)運(yùn)行維護(hù)過(guò)程的安全管理。(4)要建立應(yīng)急預(yù)察體系���,建立網(wǎng)絡(luò)安全維護(hù)日志�����,記錄與安全性相關(guān)的信息及事件���,有情況出現(xiàn)時(shí)便于跟蹤查詢,還要定期檢查日志,以便及時(shí)發(fā)現(xiàn)潛在的安全威脅����。
3.2建立動(dòng)態(tài)的閉環(huán)管理流程
網(wǎng)絡(luò)處于不斷地建設(shè)和調(diào)整中,可能發(fā)現(xiàn)新的安全漏洞�,因此需要建立動(dòng)態(tài)的、閉環(huán)的管理流程�����。要在整體安全策略的控制和指導(dǎo)下����,通過(guò)安全評(píng)估和檢測(cè)工具(如漏洞掃描,入侵檢測(cè)等)及時(shí)了解網(wǎng)絡(luò)存在的安全問(wèn)題和安全隱患����,據(jù)此制定安全建設(shè)規(guī)劃和加固方案,綜合應(yīng)用各種安全防護(hù)產(chǎn)品(如防火墻�、身份認(rèn)證等手段),將系統(tǒng)調(diào)整到相對(duì)安全的狀態(tài)�。并要注意以下兩點(diǎn):1)對(duì)于一個(gè)企業(yè)而言,安全策略是支付信息安全的核心�����,因此制定明確的有效的安全策略是非常重要的。安全組織要根據(jù)這個(gè)策略制定詳細(xì)的流程�、規(guī)章制度���、標(biāo)準(zhǔn)和安全建設(shè)規(guī)劃��、方案�����,保證這些系列策略規(guī)范在整個(gè)企業(yè)范圍內(nèi)貫徹實(shí)施�����,從而保護(hù)企業(yè)的投資和信息資源安全��。2)要制定完善的��、符合企業(yè)實(shí)際的信息安全策略���,就須先對(duì)企業(yè)信息網(wǎng)的安全狀況進(jìn)行評(píng)估,即對(duì)信息資產(chǎn)的安全技術(shù)和管理現(xiàn)狀進(jìn)行評(píng)估�����,讓企業(yè)對(duì)自身面臨的安全威脅和問(wèn)題有全面的了解,從而制定針對(duì)性的安全策略����,指導(dǎo)信息安全的建設(shè)和管理工作。
4結(jié)束語(yǔ)
本文分析了目前電子商務(wù)網(wǎng)絡(luò)支付安全方面的主要技術(shù)狀況�,安全技術(shù)可以說(shuō)是網(wǎng)絡(luò)技術(shù)中較為尖端的技術(shù),都是非常先進(jìn)的技術(shù)手段�;只要運(yùn)用得當(dāng),配合相應(yīng)的安全管理措施���,基本能夠保證電子商務(wù)中網(wǎng)絡(luò)支付的安全�;但不是100%的絕對(duì)安全�����,而是相對(duì)安全����。隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步與信用機(jī)制的完善,網(wǎng)絡(luò)支付定會(huì)越來(lái)越安全��。
參考文獻(xiàn)
篇5
0引言
美國(guó)等發(fā)達(dá)國(guó)家,通過(guò)Internet進(jìn)行電子商務(wù)的交易已成為潮流���。隨著internet的發(fā)展和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善,我國(guó)的電子商務(wù)雖已初具規(guī)模,但是安全問(wèn)題卻成為發(fā)展電子商務(wù)亟待解決的問(wèn)題��。電子商務(wù)過(guò)程中,買賣雙方是通過(guò)網(wǎng)絡(luò)聯(lián)系的,由于internet是開(kāi)放性網(wǎng)絡(luò),建立交易雙方的安全和信任關(guān)系較為困難,因此本文對(duì)電子商務(wù)網(wǎng)絡(luò)支付上的安全問(wèn)題進(jìn)行探討分析�。
1電子商務(wù)的概念和特點(diǎn)
1)電子商務(wù)的概念:電子商務(wù)(Electronic Commerce)是通過(guò)電信網(wǎng)絡(luò)進(jìn)行的生產(chǎn)、營(yíng)銷�、銷售、流通等活動(dòng),不僅是指基于因特網(wǎng)上的交易,而且還指利用電子信息技術(shù)實(shí)現(xiàn)解決問(wèn)題�����、降低成本����、增加價(jià)值����、創(chuàng)造商機(jī)的商務(wù)活動(dòng)[1]。
2)電子商務(wù)的特點(diǎn):(1)電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化�����、數(shù)字化�。不僅以電子流代替了實(shí)物流,大量減少了人力物力,降低了成本;而且突破了時(shí)間空間的限制,使得交易活動(dòng)可在任何時(shí)間、任何地點(diǎn)進(jìn)行,大大提高了效率��。(2)電子商務(wù)使企業(yè)能以較低成本進(jìn)入全球電子化市場(chǎng),也使中小企業(yè)可能擁有與大企業(yè)一樣的信息資源,提高了中小企業(yè)的競(jìng)爭(zhēng)能力���。(3)電子商務(wù)重新定義了傳統(tǒng)的流通模式,減少了中間環(huán)節(jié),使得生產(chǎn)者和消費(fèi)者的直接交易成為可能,從而一定程度上改變了社會(huì)經(jīng)濟(jì)的運(yùn)行方式�����。(4)電子商務(wù)提供了豐富的信息資源,為社會(huì)經(jīng)濟(jì)要素的重新組合提供了更多的可能,這將影響到社會(huì)的經(jīng)濟(jì)布局和結(jié)構(gòu)��。
2電子商務(wù)安全的技術(shù)體系
1)物理安全�。首先根據(jù)國(guó)家標(biāo)準(zhǔn)、信息安全等級(jí)和資金狀況,制定適合的物理安全要求,并經(jīng)建設(shè)和管理達(dá)到相關(guān)標(biāo)準(zhǔn)[2]�����。再者,關(guān)鍵的系統(tǒng)資源(包括主機(jī)�、應(yīng)用服務(wù)器、安全隔離網(wǎng)閘GAP等設(shè)備),通信電路以及物理介質(zhì)(軟/硬磁盤����、光盤、IC卡�、PC卡等)、應(yīng)有加密��、電磁屏蔽等保護(hù)措施,均應(yīng)放在物理上安全的地方���。
2)網(wǎng)絡(luò)安全����。網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易順利進(jìn)行,要求電子商務(wù)平臺(tái)要穩(wěn)定可靠,能夠不中斷地提供服務(wù)���。系統(tǒng)的任何中斷(如硬件�����、軟件錯(cuò)誤,網(wǎng)絡(luò)故障�����、病毒等)都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證,往往會(huì)造成巨大的經(jīng)濟(jì)損失。
3)商務(wù)安全���。主要是指商務(wù)交易在網(wǎng)絡(luò)媒介中出現(xiàn)的安全問(wèn)題,包括防止商務(wù)信息被竊取�����、篡改��、偽造��、交易行為被抵賴,即要實(shí)現(xiàn)電子商務(wù)的保密性����、完整性、真實(shí)性�、不可抵賴性。商務(wù)安全的各方面也要通過(guò)不同的網(wǎng)絡(luò)安全技術(shù)和安全交易標(biāo)準(zhǔn)實(shí)現(xiàn),加解密技術(shù)保證了交易信息的保密性,也解決了用戶密碼被盜取的問(wèn)題;數(shù)字簽名是實(shí)現(xiàn)對(duì)原始報(bào)文完整性的鑒別,它與身份認(rèn)證和審查系統(tǒng)一起可杜絕交易的偽造和抵賴行為����。保證電子商務(wù)安全的主要技術(shù)有:在線支付協(xié)議(安全套接層SSL協(xié)議和安全電子交易SET協(xié)議)、文件加密技術(shù)�����、數(shù)字簽名技術(shù)�����、電子商務(wù)認(rèn)證中心(CA)�����。
4)系統(tǒng)安全�。主要是保護(hù)主機(jī)上的操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)的安全。對(duì)于保護(hù)系統(tǒng)安全,總體思路是:通過(guò)安全加固,解決管理方面安全漏洞;然后采用安全技術(shù)設(shè)備,增強(qiáng)其安全防護(hù)能力����。
3安全管理過(guò)程監(jiān)督
3.1加強(qiáng)全過(guò)程的安全管理
1)網(wǎng)絡(luò)規(guī)劃階段,就要加強(qiáng)對(duì)信息安全建設(shè)和管理的規(guī)劃����。信息安全建設(shè)需要投入一定的人力��、物力�����、財(cái)力�。要根據(jù)狀況實(shí)事求是地確定網(wǎng)絡(luò)的安全總體目標(biāo)和階段目標(biāo)、分段實(shí)施����、降低投資風(fēng)險(xiǎn)。2)工程建設(shè)階段,建設(shè)管理單位要將安全需求的匯總和安全性能功能的測(cè)試,列入工程建設(shè)各個(gè)階段工作的重要內(nèi)容,要加強(qiáng)對(duì)開(kāi)發(fā)(實(shí)施)人員���、版本控制的管理,要加強(qiáng)對(duì)開(kāi)發(fā)環(huán)境、用戶路由設(shè)置���、關(guān)鍵代碼的檢查[3]���。3)在運(yùn)行維護(hù)階段,要注意以下事項(xiàng):(1)建立有效的安全管理組織架構(gòu),明確職責(zé),理順流程,實(shí)施高效管理。(2)按照分級(jí)管理原則,嚴(yán)格管理內(nèi)部用戶帳號(hào)和密碼,進(jìn)入系統(tǒng)內(nèi)部必須通過(guò)嚴(yán)格的身份確認(rèn),防止非法占用�����、冒用合法用戶帳號(hào)和密碼。(3)制定完善的安全管理制度,加強(qiáng)信息網(wǎng)的操作系統(tǒng)���、數(shù)據(jù)庫(kù)��、網(wǎng)絡(luò)設(shè)備��、應(yīng)用系統(tǒng)運(yùn)行維護(hù)過(guò)程的安全管理����。(4)要建立應(yīng)急預(yù)察體系,建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢,還要定期檢查日志,以便及時(shí)發(fā)現(xiàn)潛在的安全威脅��。
3.2建立動(dòng)態(tài)的閉環(huán)管理流程
網(wǎng)絡(luò)處于不斷地建設(shè)和調(diào)整中,可能發(fā)現(xiàn)新的安全漏洞,因此需要建立動(dòng)態(tài)的��、閉環(huán)的管理流程��。要在整體安全策略的控制和指導(dǎo)下,通過(guò)安全評(píng)估和檢測(cè)工具(如漏洞掃描,入侵檢測(cè)等)及時(shí)了解網(wǎng)絡(luò)存在的安全問(wèn)題和安全隱患,據(jù)此制定安全建設(shè)規(guī)劃和加固方案,綜合應(yīng)用各種安全防護(hù)產(chǎn)品(如防火墻��、身份認(rèn)證等手段),將系統(tǒng)調(diào)整到相對(duì)安全的狀態(tài)���。并要注意以下兩點(diǎn):1)對(duì)于一個(gè)企業(yè)而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的�����。安全組織要根據(jù)這個(gè)策略制定詳細(xì)的流程�、規(guī)章制度、標(biāo)準(zhǔn)和安全建設(shè)規(guī)劃�、方案,保證這些系列策略規(guī)范在整個(gè)企業(yè)范圍內(nèi)貫徹實(shí)施,從而保護(hù)企業(yè)的投資和信息資源安全。2)要制定完善的�、符合企業(yè)實(shí)際的信息安全策略,就須先對(duì)企業(yè)信息網(wǎng)的安全狀況進(jìn)行評(píng)估,即對(duì)信息資產(chǎn)的安全技術(shù)和管理現(xiàn)狀進(jìn)行評(píng)估,讓企業(yè)對(duì)自身面臨的安全威脅和問(wèn)題有全面的了解,從而制定針對(duì)性的安全策略,指導(dǎo)信息安全的建設(shè)和管理工作。
4結(jié)束語(yǔ)
本文分析了目前電子商務(wù)網(wǎng)絡(luò)支付安全方面的主要技術(shù)狀況,安全技術(shù)可以說(shuō)是網(wǎng)絡(luò)技術(shù)中較為尖端的技術(shù),都是非常先進(jìn)的技術(shù)手段;只要運(yùn)用得當(dāng),配合相應(yīng)的安全管理措施,基本能夠保證電子商務(wù)中網(wǎng)絡(luò)支付的安全;但不是100%的絕對(duì)安全,而是相對(duì)安全����。隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步與信用機(jī)制的完善,網(wǎng)絡(luò)支付定會(huì)越來(lái)越安全。
參考文獻(xiàn)
篇6
1 引言
隨著互聯(lián)網(wǎng)的快速發(fā)展��,人們的生活方式有了非常大的改變���,對(duì)應(yīng)的經(jīng)濟(jì)社會(huì)也受到了巨大的影響�����。在商業(yè)貿(mào)易領(lǐng)域,因?yàn)榫W(wǎng)絡(luò)的快速發(fā)展�,產(chǎn)生了電子商務(wù)這樣一種貿(mào)易方式。但是電子商務(wù)也是經(jīng)歷了一番坎坷的�,因?yàn)榫W(wǎng)絡(luò)的特殊性,在電子商務(wù)發(fā)展中產(chǎn)生了交易安全的問(wèn)題,對(duì)電子商務(wù)的穩(wěn)定發(fā)展帶來(lái)了一定的沖擊���。Internet網(wǎng)是一個(gè)互連通的自由空間�,一些人常常會(huì)因?yàn)槟承┠康墓綦娮由虅?wù)網(wǎng)站�����,比如盜竊資金��、商業(yè)打擊�、惡作劇等,導(dǎo)致有些企業(yè)的電子商務(wù)網(wǎng)站貿(mào)易交流受損����、服務(wù)暫停,甚至出現(xiàn)資金被盜的現(xiàn)象����。據(jù)有關(guān)數(shù)據(jù)的統(tǒng)計(jì),美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題在經(jīng)濟(jì)上造成的損失就達(dá)到近百億美元�,而國(guó)內(nèi)的情況也不容樂(lè)觀。因此�����,當(dāng)我們?cè)谙硎芑ヂ?lián)網(wǎng)給生活帶來(lái)的這些好處的時(shí)候,網(wǎng)絡(luò)的安全問(wèn)題�����,早已變成電子商務(wù)的重大難題�,給電子商務(wù)企業(yè)的發(fā)展帶來(lái)了極大的阻礙。所以����,計(jì)算機(jī)網(wǎng)絡(luò)安全是電子商務(wù)發(fā)展過(guò)程中所面臨的重大挑戰(zhàn)和問(wèn)題。電子商務(wù)企業(yè)必須從維護(hù)顧客利益和自身利益出發(fā)����,做好安全防范和自身安全管理工作,才能得到持續(xù)快速的發(fā)展����。
2 電子商務(wù)面對(duì)的網(wǎng)絡(luò)安全問(wèn)題
當(dāng)前,電子商務(wù)安全問(wèn)題受到多方面的影響��,不但有技術(shù)管理的問(wèn)題�����,而且也有網(wǎng)絡(luò)缺陷的因素���,具體地說(shuō)���,直接原因有以下幾點(diǎn):
2.1 網(wǎng)絡(luò)“黑客”侵犯電子商務(wù)網(wǎng)站
網(wǎng)絡(luò)黑客是專門在網(wǎng)絡(luò)中利用本身掌握的技術(shù)非法強(qiáng)行進(jìn)入他人網(wǎng)站后臺(tái)的人,這類人具有高超的網(wǎng)絡(luò)技術(shù)�,能夠不受電子商務(wù)網(wǎng)站技術(shù)防護(hù)的限制。許多“黑客”篡改內(nèi)容信息��、破壞網(wǎng)站�����;盜取商戶或企業(yè)的賬戶資金��,極大地影響了電子商務(wù)的正常進(jìn)行����。
2.2 電子商務(wù)軟件有漏洞
許多軟件研發(fā)單位研發(fā)的技術(shù)不成熟的電子商務(wù)軟件,存在許多安全漏洞��,防護(hù)極易被外來(lái)入侵者利用漏洞攻破����,導(dǎo)致電子商務(wù)企業(yè)受到很大的經(jīng)濟(jì)損失;有的企業(yè)即使安裝了防護(hù)軟件�,但由于軟件沒(méi)有得到及時(shí)升級(jí)���,致使軟件喪失了應(yīng)有防護(hù)功能。
2.3 電子商務(wù)網(wǎng)絡(luò)自身存在安全問(wèn)題
網(wǎng)絡(luò)具有共享性����、開(kāi)放性等特點(diǎn),它的設(shè)計(jì)原則是確保信息傳輸不會(huì)受到局部損壞的影響�����。所以�����,對(duì)網(wǎng)站安全帶來(lái)了極大的隱患�����。特別是對(duì)電子商務(wù)企業(yè)情況更加嚴(yán)峻��。
2.4 網(wǎng)站管理的缺失
由于電子商務(wù)企業(yè)缺乏警惕性��,不重視網(wǎng)絡(luò)安全的管理��,通常只有在受到攻擊以后才會(huì)去加強(qiáng)網(wǎng)站安全���;部分企業(yè)則以為只要安裝了入侵監(jiān)測(cè)系統(tǒng)�����、殺毒軟件����、防火墻等安全產(chǎn)品�����,就能保障網(wǎng)站的安全���,所以沒(méi)有根據(jù)企業(yè)實(shí)際情況制定相應(yīng)的管理制度����,也沒(méi)有加強(qiáng)技術(shù)防范�����,給入侵者提供了機(jī)會(huì)����。
3 應(yīng)對(duì)的措施
電子商務(wù)安全問(wèn)題是在網(wǎng)絡(luò)化���、電子化技術(shù)發(fā)展的前提下出現(xiàn)的,所以很多傳統(tǒng)的解決辦法不能簡(jiǎn)單地應(yīng)用過(guò)來(lái)��。電子商務(wù)企業(yè)想要取得效益�,就要從企業(yè)的健康發(fā)展出發(fā),改善企業(yè)的安全管理���,提高技術(shù)投入��。具體的防范措施有: 3.1 安全技術(shù)管理需要加強(qiáng)
需要重視電子商務(wù)網(wǎng)站的維護(hù)����、升級(jí)等方面����,做好每天的安全備份,加強(qiáng)網(wǎng)站服務(wù)器的管理�����。制定安全防范預(yù)案��,只要發(fā)生安全事件,能夠得到盡快解決����,從而減少損失。使用權(quán)威性較強(qiáng)的安全防護(hù)軟件��,并能夠正常啟動(dòng)����、正常升級(jí)�����,發(fā)揮應(yīng)有的防護(hù)功能����。
3.2 在電子安全方面擴(kuò)大管理和技術(shù)投入
企業(yè)需要加大安全方面的資金投入,購(gòu)買技術(shù)防護(hù)設(shè)備��,加大對(duì)技術(shù)改造與設(shè)備更新的投入����。引進(jìn)安全管理的相關(guān)技術(shù),招聘相應(yīng)的管理人才�,并進(jìn)行適當(dāng)?shù)拇鰞A斜,確保安全管理團(tuán)隊(duì)的穩(wěn)定。
3.3 使用密碼管理技術(shù)
電子商務(wù)中最重要的防范環(huán)節(jié)是密碼管理����,要使用先進(jìn)的密碼管理手段,確保能發(fā)揮特定的功能�,重點(diǎn)有交易信息安全、身份認(rèn)證安全和賬戶安全等���。
3.4 電子商務(wù)企業(yè)自身的管理需要得到強(qiáng)化
篇7
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2013)16-0163-01
近年來(lái)隨著電子商務(wù)的迅猛發(fā)展����,每天進(jìn)行著數(shù)以百萬(wàn)次計(jì)的各類交易中���,電子商務(wù)中的網(wǎng)絡(luò)安全問(wèn)題日漸突出��,又由于電子商務(wù)應(yīng)用環(huán)境比較復(fù)雜����,計(jì)算機(jī)網(wǎng)絡(luò)本身又存在著不可靠性和脆弱性���,所以電子商務(wù)交易中存在一些安全隱患�。中國(guó)互聯(lián)網(wǎng)信息中心的調(diào)查結(jié)果中指出���,一半以上的用戶最關(guān)心的是交易是否安全可靠���。那么��,電子商務(wù)面臨哪些安全問(wèn)題���?又有哪些解決方法呢?
1 電子商務(wù)面臨的安全問(wèn)題
1.1 商務(wù)軟件本身存在的安全問(wèn)題
任何一種商務(wù)軟件的程序都具有復(fù)雜性和編程多樣性�,而對(duì)于程序而言,越復(fù)雜意味著漏洞出現(xiàn)的可能性越大����。
1)操作系統(tǒng)問(wèn)題�����。操作系統(tǒng)是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中最重要的系統(tǒng)軟件之一�,由于操作系統(tǒng)在安裝時(shí)存在端口開(kāi)放、無(wú)認(rèn)證服務(wù)和初始化配置問(wèn)題�����,存在一些安全缺陷��,這樣會(huì)使系統(tǒng)處于不安全的狀態(tài),任一操作系統(tǒng)都會(huì)存在一些安全漏洞��,這些安全漏洞都會(huì)影響到很大范圍內(nèi)的網(wǎng)絡(luò)安全���,由此��,給不法分子趁機(jī)實(shí)施犯罪帶來(lái)可乘之機(jī)�。
2)網(wǎng)絡(luò)協(xié)議問(wèn)題���。由于計(jì)算機(jī)網(wǎng)絡(luò)最初網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)����,重在實(shí)現(xiàn)數(shù)據(jù)的交換��,并沒(méi)有把網(wǎng)絡(luò)安全作為重點(diǎn)來(lái)考慮��,所以不利于商家之間��、商家與消費(fèi)者之間交易時(shí)的相互通信����。如典型的TCP/IP協(xié)議就沒(méi)有安全方面的設(shè)計(jì),這就給交易雙方帶來(lái)好處的同時(shí)�,也埋下了安全隱患�。
1.2 信息安全問(wèn)題
1)信息的泄露�。信息在網(wǎng)絡(luò)上傳遞時(shí),要經(jīng)過(guò)多個(gè)環(huán)節(jié)和渠道���。不管是物理的原因還是人為的因素��,都會(huì)造成信息的泄露����,如一些硬件設(shè)備受自然災(zāi)害的影響造成電磁的泄露��,再有信息在傳輸?shù)倪^(guò)程中沒(méi)有采用加密措施或加密強(qiáng)度不夠��,網(wǎng)絡(luò)犯罪分子就可能在網(wǎng)絡(luò)上安裝截收裝置獲取用戶的重要的信息����,如用戶的口令����、銀行的帳號(hào)等,嚴(yán)重威脅消費(fèi)者電子商務(wù)交易的安全�����。
2)信息的篡改。未經(jīng)授權(quán)的攻擊者直接進(jìn)入網(wǎng)絡(luò)交易系統(tǒng)���,獲取了信息的內(nèi)容及格式后����,通過(guò)采取不同的技術(shù)手段和方式將信息進(jìn)行刪除����、修改、重發(fā)�,使得數(shù)據(jù)改變?cè)械膬?nèi)容,破壞數(shù)據(jù)的完整性和一致性����,損害他人的經(jīng)濟(jì)利益,或干擾對(duì)方的正確決策���。
3)信息的偽造���。網(wǎng)絡(luò)黑客通過(guò)某種技術(shù)手段冒充合法用戶的身份來(lái)破壞交易,如發(fā)送偽造的信息來(lái)欺騙網(wǎng)絡(luò)中其它的用戶����,或是冒充網(wǎng)絡(luò)控制程序來(lái)套取和修改使用權(quán)限���、密鑰等。
1.3 信用安全問(wèn)題
電子商務(wù)這種新型的商務(wù)活動(dòng)自從20世紀(jì)90年代開(kāi)始發(fā)展以來(lái)���,由于網(wǎng)絡(luò)環(huán)境下交易活動(dòng)的虛擬性�,致使交易雙方的信用問(wèn)題一直是世界各國(guó)關(guān)注的焦點(diǎn)���。例如:買方進(jìn)行虛假訂單或提交訂單后不付款����,集團(tuán)的購(gòu)買者可能存在拖延貨款的行為����;賣方收到貨款卻給予否認(rèn)或賣出的商品不能保證質(zhì)量或數(shù)量,不能完全履行與買方簽定的合同���;交易雙方都存在抵賴的現(xiàn)象等����。
1.4 安全管理問(wèn)題
網(wǎng)上交易安全管理問(wèn)題主要表現(xiàn)在人員管理上存在的問(wèn)題�。
人員管理常常在網(wǎng)上交易安全管理上最薄弱的環(huán)節(jié)���。近年來(lái)�,由于企業(yè)工作人員職業(yè)道德修養(yǎng)不高,安全教育和管理松懈的主要原因�,在我國(guó)計(jì)算機(jī)犯罪中大都呈現(xiàn)內(nèi)部犯罪的趨勢(shì)。再有一些競(jìng)爭(zhēng)對(duì)手還利用不正當(dāng)?shù)姆绞綕撊肫髽I(yè)�����,竊取企業(yè)用戶的重要信息�����,如用戶的賬號(hào)���、密碼以及相關(guān)的重要文件資料等����。
1.5 安全的法律保障問(wèn)題
電子商務(wù)是一種新的商務(wù)方式�����,由于電子商務(wù)相關(guān)法律還不完善����,除在買賣雙方的電子交易中經(jīng)常會(huì)出現(xiàn)不同的網(wǎng)購(gòu)糾份外����,還會(huì)存在域名的糾紛���、網(wǎng)絡(luò)著作權(quán)的侵犯����、網(wǎng)絡(luò)詐騙以及電子交易中各方的法律責(zé)任不明確等諸多的問(wèn)題�����,又由于電子商務(wù)活動(dòng)與傳統(tǒng)商務(wù)活動(dòng)存在著很多的不同點(diǎn)��,傳統(tǒng)商務(wù)制定的相關(guān)法律又出現(xiàn)不適應(yīng)電子商務(wù)的狀況���,同時(shí)電子商務(wù)發(fā)展速度非???�,而法律的修改制定又需要較長(zhǎng)的時(shí)間�����,因此目前電子商務(wù)的相關(guān)法律還不能回避由于法律滯后而無(wú)法保證合法交易的權(quán)益所帶來(lái)的風(fēng)險(xiǎn),有待進(jìn)一步修正完善��。
2 電子商務(wù)安全的對(duì)策
2.1 采取不同措施加強(qiáng)電子商務(wù)安全教育和宣傳�,提高電子商務(wù)安全意識(shí)
具體可采取以下措施:一是采取不同的宣傳方式����,普及電子商務(wù)安全知識(shí),提高公眾的安全意識(shí)�;二是通過(guò)開(kāi)設(shè)電子商務(wù)安全培訓(xùn)課程,加強(qiáng)培養(yǎng)電子商務(wù)安全管理人才�����。
2.2 采用網(wǎng)絡(luò)技術(shù)�,確保網(wǎng)絡(luò)信息安全
為了確保網(wǎng)絡(luò)的信息安全,可以采用防火墻技術(shù)���,防火墻往往設(shè)在企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)之間�,是一種隔離設(shè)備����,只允許授權(quán)信息通過(guò),能夠防止外部網(wǎng)上的各種危害侵入內(nèi)部網(wǎng)絡(luò)���,是實(shí)現(xiàn)網(wǎng)絡(luò)信息安全策略中最有效的工具之一����。實(shí)現(xiàn)防火墻的網(wǎng)絡(luò)信息安全策略時(shí),有兩條可以遵循的規(guī)則����,即未被明確允許的都將被禁止;未被明確禁止的都將允許�����。前一種規(guī)則建立了一個(gè)非常安全的網(wǎng)絡(luò)環(huán)境����,而后一種規(guī)則建立了一個(gè)非常靈活的環(huán)境,給用戶提供了更多的服務(wù)���。
2.3 運(yùn)用密碼技術(shù)�,強(qiáng)化通信安全
為了保證交易雙方身份的正確性�����,保證交易雙方的通信安全���,運(yùn)用各種加密技術(shù)���,數(shù)字信封技術(shù)是使用兩個(gè)層次的加密��,解決了網(wǎng)上信息傳輸?shù)谋C苄詥?wèn)題,數(shù)字指紋的應(yīng)用驗(yàn)證了交易文件在傳輸過(guò)程中是否遭到破壞��,解決了防止網(wǎng)上信息假冒的問(wèn)題�����,而數(shù)字簽名技術(shù)解決了交易雙方的身份認(rèn)證問(wèn)題�。
2.4 加強(qiáng)人員管理,確保安全管理
電子商務(wù)是一項(xiàng)高智商的勞動(dòng)�����。需要從業(yè)人員一方面具備傳統(tǒng)營(yíng)銷的知識(shí)和經(jīng)驗(yàn)�����,另一方面又必須具有相應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)和操作技能���。而當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)犯罪又具有高技術(shù)性�����、智能性����、隱蔽性、連續(xù)性的特點(diǎn)��,因而��,對(duì)從事網(wǎng)絡(luò)營(yíng)銷和企業(yè)內(nèi)部網(wǎng)絡(luò)維護(hù)人員進(jìn)行重點(diǎn)安全管理�����,落實(shí)每個(gè)工作人員的工作責(zé)任制��,完善企業(yè)內(nèi)部日常安全制度�����。
2.5 健全法律���,嚴(yán)格執(zhí)法
電子商務(wù)應(yīng)用環(huán)境是區(qū)別于傳統(tǒng)商業(yè)環(huán)境下的新環(huán)境�����,在傳統(tǒng)交易方式下適用的法律法規(guī)難以適用于新的環(huán)境�����,又由于關(guān)于電子商務(wù)的立法還不完善����,需要在充分考慮到國(guó)內(nèi)環(huán)境的前提下,盡快出臺(tái)專門針對(duì)電子商務(wù)交易的法律法規(guī)���,適應(yīng)電子商務(wù)運(yùn)作的法制環(huán)境,解決存在各種問(wèn)題�,如電子合同問(wèn)題、網(wǎng)上虛擬財(cái)產(chǎn)保護(hù)問(wèn)題等��,強(qiáng)化法律法規(guī)的可操作性�����,加強(qiáng)與國(guó)際電子商務(wù)立法相接軌��,通過(guò)建立電子商務(wù)安全法規(guī)體系�,規(guī)范和維持網(wǎng)絡(luò)的正常運(yùn)行。
項(xiàng)目基金
本文系河北省社會(huì)科學(xué)發(fā)展研究課題�,編號(hào):201303063�。
參考文獻(xiàn)
篇8
電子信息安全管理中存在的問(wèn)題
1 缺乏足夠的信息安全防范意識(shí)
盡管我國(guó)的信息技術(shù)發(fā)展很快���,但是�,在電子商務(wù)方面還處于初期階段�,很多大規(guī)模、標(biāo)準(zhǔn)化的電子商務(wù)平臺(tái)尚沒(méi)有搭建起來(lái)��。而在一些小型的電子商務(wù)平臺(tái)�����,很多管理者認(rèn)為自身遭受“黑客”攻擊的可能性不大����,所以,其常常存在僥幸心理����,將更多的關(guān)注點(diǎn)放到了平臺(tái)規(guī)模的擴(kuò)大和系統(tǒng)功能開(kāi)發(fā)上面。在這種思想的影響下���,系統(tǒng)的信息安全管理能力相當(dāng)薄弱�����,以至于常常成為攻擊的對(duì)象���。另外��,還有很多管理者���,對(duì)市場(chǎng)上的安全管理軟件給予了絕對(duì)的信任,自己覺(jué)得只要安裝了這些高新產(chǎn)品�����,就可以高枕無(wú)憂����,但是�����,往往殘酷的事實(shí)告訴他們不是這樣的���。
2 信息安全技術(shù)有所欠缺
目前���,國(guó)內(nèi)的信息安全管理技術(shù)已經(jīng)取得了很大的進(jìn)步���,然而,相對(duì)于發(fā)達(dá)國(guó)家的信息安全防御與控制技術(shù)����,還存在很大的一段差距。國(guó)內(nèi)的自主研發(fā)技術(shù)無(wú)論是在經(jīng)費(fèi)上���、還是人員上都存在很多不足之處���。并且,大多數(shù)的技術(shù)研究機(jī)構(gòu)都是過(guò)多地“借鑒”國(guó)外的先進(jìn)技術(shù)����。如此一來(lái),國(guó)內(nèi)的電子信息安全管理質(zhì)量明顯不高����。
3 信息安全產(chǎn)品的鑒定缺乏科學(xué)、規(guī)范性
很多企業(yè)在電子信息安全管理方面��,購(gòu)置了大量的信息安全軟件����。這些軟件在一定程度上能夠有效地保證電子信息使用平臺(tái)的安全����。但是��,其并不能絕對(duì)地保障信息安全���。而且�,在安全產(chǎn)品的鑒定方面�,缺乏統(tǒng)一的鑒定標(biāo)準(zhǔn),很多都是主觀判斷����。
電子信息安全管理有效措施
目前,我國(guó)的很多企業(yè)在電子信息安全管理方面�,普遍的“重技術(shù),輕管理”����,加之高層領(lǐng)導(dǎo)對(duì)信息安全管理的重視程度不足����,以至于各項(xiàng)安全管理制度尚不完善。下面重點(diǎn)探索一些加強(qiáng)電子信息安全管理的主要措施�。
1 構(gòu)建完善的管理組織機(jī)構(gòu)
電子信息安全管理組織機(jī)構(gòu)主要包括了安全決策和執(zhí)行組織�����。其中����,前者的職能主要是負(fù)責(zé)管理框架的構(gòu)建�、安全制度的審批以及安全職責(zé)的分配以及監(jiān)督。后者的主要工作是負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)安全制度的擬定����、制定的執(zhí)行以及日常維護(hù)和業(yè)務(wù)培訓(xùn)等。如果是大型的電子商務(wù)平臺(tái)或者集團(tuán)企業(yè)��,還可以聘請(qǐng)經(jīng)驗(yàn)豐富的專家人員構(gòu)成顧問(wèn)組織���。負(fù)責(zé)日常的業(yè)務(wù)咨詢以及安全事件發(fā)生后的責(zé)任評(píng)估和調(diào)查等���。
2 電子信息安全管理制度進(jìn)一步完善
電子信息安全管理制度主要包括:(1)構(gòu)建電子信息控制制度。在各個(gè)業(yè)務(wù)流程中��,明確各業(yè)務(wù)人的權(quán)限���,并將其納入到內(nèi)部控制制度當(dāng)中����,定期進(jìn)行執(zhí)行情況審核;(2)構(gòu)建應(yīng)急措施�。在信息傳遞過(guò)程中,要對(duì)電子信息的記錄����、維護(hù)以及報(bào)告等環(huán)節(jié)進(jìn)行有效監(jiān)控。對(duì)數(shù)據(jù)文件進(jìn)行定期備份����。
3 提高安全方面的專業(yè)
目前,隨著互聯(lián)網(wǎng)的高度普及�����,安全技術(shù)的研發(fā)速度已經(jīng)跟不上網(wǎng)絡(luò)的發(fā)展速度�����,特別是在安全管理技術(shù)領(lǐng)域�����,而且���,相應(yīng)的技術(shù)人員也是嚴(yán)重不足��。所以��,要在電子商務(wù)規(guī)模不斷擴(kuò)大的同時(shí)���,構(gòu)建強(qiáng)大的電子信息安全管理隊(duì)伍,提升安全技術(shù)的研究水平���。
4 系統(tǒng)安全檢測(cè)
病毒與黑客不斷的變換著形式對(duì)系統(tǒng)進(jìn)行著惡意的攻擊����,因此���,技術(shù)人員要從多方位的技術(shù)角度對(duì)系統(tǒng)安全性進(jìn)行檢測(cè)�。查看防火墻是否受到攻擊�����;功能方面是否存在漏洞�����;密碼設(shè)置的是否正確等,這些都需要技術(shù)人員認(rèn)真的進(jìn)行檢測(cè)�,稍有疏忽,就會(huì)受到惡意的攻擊�����。
5 要建立保護(hù)系統(tǒng)的方案
系統(tǒng)的安全檢測(cè)不能實(shí)時(shí)進(jìn)行����,這就需要建立系統(tǒng)安全防護(hù)措施。對(duì)于系統(tǒng)安全管理的復(fù)雜性�,尤其是電子商務(wù)這個(gè)依靠網(wǎng)絡(luò)平臺(tái)的企業(yè)必須制定一套有效的安全策略,使系統(tǒng)的安全性進(jìn)一步提高��。只有建立了較為完善的安全策略���,才能在系統(tǒng)受到攻擊時(shí)�����,把損失降到最低�����。
6 定期進(jìn)行信息安全管理培訓(xùn)
對(duì)有關(guān)人員進(jìn)行上崗培訓(xùn)�����,建立人員培訓(xùn)計(jì)劃����,定期組織安全制度和規(guī)程方面的培訓(xùn)��。通過(guò)教育和培訓(xùn)改變企業(yè)員工對(duì)信息安全的態(tài)度����,使操作人員認(rèn)識(shí)到信息安全對(duì)企業(yè)的重要性、企業(yè)安全規(guī)章制度的含義以及職責(zé)范圍內(nèi)需要注意的安全問(wèn)題��。
7 貫徹電子商務(wù)交易安全運(yùn)作基本原則
包括職責(zé)分離����、雙人負(fù)責(zé)、任期有限��、最小權(quán)限���、個(gè)人可信賴性等��。
篇9
當(dāng)前����,我國(guó)電子政務(wù)的管理逐漸向信息化、網(wǎng)絡(luò)化發(fā)展����,提高了管理質(zhì)量、增強(qiáng)了管理效果����。但是,安全問(wèn)題卻成為當(dāng)前電子政務(wù)管理中的關(guān)鍵問(wèn)題��。如何有效提升電子政務(wù)外網(wǎng)的安全管理級(jí)別�����,以保證網(wǎng)絡(luò)的安全���、穩(wěn)健運(yùn)行成為當(dāng)前人們關(guān)注的話題�����。但由于電子政務(wù)外網(wǎng)的安全管理涉及較廣(設(shè)備����、技術(shù)與管理),因此在安全管理中存在一定的難度���。以下筆者就對(duì)當(dāng)前我國(guó)的電子政務(wù)外網(wǎng)的安全管理策略進(jìn)行一些分析�,并提出相關(guān)建議����。
1當(dāng)前我國(guó)電子商務(wù)外網(wǎng)的特點(diǎn)
電子商務(wù)外網(wǎng)是一種借助信息與通信技術(shù)��,為各級(jí)政府部門提供服務(wù)的應(yīng)用����。其具有數(shù)字化、信息化���、網(wǎng)絡(luò)化的特點(diǎn)���,可以提升政府的管理質(zhì)量,促進(jìn)其進(jìn)步����、發(fā)展�。在當(dāng)前“互聯(lián)網(wǎng)+”的影響下����,我國(guó)政府的電子政務(wù)外網(wǎng)辦公逐步深化,且在信息技術(shù)的支持下���,使政府和群眾可以相互溝通����、相互協(xié)作���,有效的促進(jìn)政府辦公效率的提升���。但是,電子政務(wù)外網(wǎng)的安全性始終是當(dāng)前我們面臨的關(guān)鍵問(wèn)題���。所以相關(guān)人員應(yīng)積極解決這一問(wèn)題�,以保證政府的辦公能力��。
2我國(guó)電子商務(wù)外網(wǎng)存在的安全隱患
2.1電子政務(wù)系統(tǒng)存在安全威脅
當(dāng)前我國(guó)電子政務(wù)系統(tǒng)還存在一定的安全威脅���。而這種威脅一般包括:人為損壞�����、物理?yè)p壞與設(shè)備故障等三種情況��。其中�����,人為威脅���,一般是由于工作人員的操作不當(dāng),或是有人發(fā)出攻擊行為�,蓄意破壞計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)等原因造成的威脅。物理?yè)p壞一般指由于物理原因造成的硬盤損壞��、設(shè)備使用壽命到期�����,或者是一些外力破壞造成的威脅��。而一些設(shè)備故障一般是指斷電��、電磁干擾等原因����。此外��,除以上威脅外����,極個(gè)別時(shí)候政務(wù)外網(wǎng)還會(huì)受到一些網(wǎng)絡(luò)黑客�����、信息戰(zhàn)士的入侵����,他們通過(guò)監(jiān)聽(tīng)、截取破譯等行為獲取政務(wù)信息����,使電子政務(wù)系統(tǒng)受到嚴(yán)重的威脅。
2.2電子政務(wù)系統(tǒng)存在安全風(fēng)險(xiǎn)
當(dāng)前我國(guó)電子政務(wù)系統(tǒng)還存在一定的安全風(fēng)險(xiǎn)�。其具體表現(xiàn)在以下幾種情況:1)信息泄密。如:由于一些假冒身份的或是非法的用戶�,在沒(méi)有授權(quán)的情況下訪問(wèn)政務(wù)網(wǎng)絡(luò)系統(tǒng),并進(jìn)行了不正當(dāng)?shù)牟僮?,?dǎo)致一些信息外泄。2)計(jì)算機(jī)病毒。計(jì)算機(jī)病毒的出現(xiàn)可以破壞計(jì)算機(jī)的功能�����,毀壞計(jì)算機(jī)的數(shù)據(jù)�,影響計(jì)算機(jī)的正常使用。由于其破壞力極大�����,防范相對(duì)困難�。因此,這也是當(dāng)前政務(wù)外網(wǎng)中最大的威脅�����。3)新型攻擊技術(shù)����。近年來(lái)�����,網(wǎng)絡(luò)上逐漸出現(xiàn)一些新型攻擊技術(shù)�,為政務(wù)信息的安全帶來(lái)一些威脅。以上風(fēng)險(xiǎn)的出現(xiàn)嚴(yán)重當(dāng)前我國(guó)政務(wù)外網(wǎng)的穩(wěn)定性與安全性。
3改善電子商務(wù)外網(wǎng)安全隱患的策略
3.1強(qiáng)化管理體系����,擬定安全管理體制
為提升我國(guó)電子政務(wù)的網(wǎng)絡(luò)管理工作效率,保證其安全管理質(zhì)量���。相關(guān)部門應(yīng)積極強(qiáng)化政務(wù)外網(wǎng)的安全管理體系�����,擬定出安全的管理體制����。相關(guān)部門具體可以:部門應(yīng)以當(dāng)前所使用的計(jì)算機(jī)信息系統(tǒng)的保護(hù)等級(jí)與系統(tǒng)規(guī)模等詳細(xì)信息為基礎(chǔ)����,積極建立出安全且健全的管理職責(zé)體系。在體系的建立過(guò)程中���,部門應(yīng)嚴(yán)格遵守國(guó)家知識(shí)指示與標(biāo)準(zhǔn)����,結(jié)合自身的實(shí)際發(fā)展情況�。另外���,在管理工作的進(jìn)行過(guò)程中,負(fù)責(zé)人(管理者)應(yīng)對(duì)工作人員進(jìn)行合理的分工�����、責(zé)任到人���,并提出嚴(yán)格的要求�����。滿足以上要求后��,逐漸建立出高效的安全管理體系����。
3.2建立防護(hù)系統(tǒng)����,落實(shí)安全檢測(cè)工作
為有效減少安全隱患�,保證電子政務(wù)外網(wǎng)網(wǎng)絡(luò)整體環(huán)境的安全性。相關(guān)政府部門應(yīng)積極建立相關(guān)的防護(hù)系統(tǒng)��,并落實(shí)安全監(jiān)測(cè)工作,從而實(shí)現(xiàn)從根源上減少安全隱患的目的��。具體可以:強(qiáng)化網(wǎng)絡(luò)服務(wù)供應(yīng)商之間的關(guān)系�,借助供應(yīng)商先進(jìn)的設(shè)備與技術(shù)建設(shè)出電子政務(wù)外網(wǎng)的專屬防火墻。這樣政務(wù)外網(wǎng)就有了安全依托�����,可以在一定程度上將可能出現(xiàn)的安全隱患扼殺���。另外��,部門應(yīng)積極建設(shè)相關(guān)的監(jiān)督系統(tǒng)����,以落實(shí)政務(wù)外網(wǎng)的安全監(jiān)測(cè)�。系統(tǒng)建設(shè)后,可以由公安網(wǎng)絡(luò)或監(jiān)察部監(jiān)管�,以保證政務(wù)外網(wǎng)的安全。
3.3保證設(shè)備安全���,完善外網(wǎng)基礎(chǔ)應(yīng)用
在電子政務(wù)外網(wǎng)安全管理中�����,無(wú)法避免一些設(shè)備與軟硬件產(chǎn)品的使用�。因此,為保證系統(tǒng)的安全�,提高安全管理的質(zhì)量。首先�,相關(guān)部門應(yīng)重視并保護(hù)設(shè)備的安全,并逐漸完善電子政務(wù)外網(wǎng)的基礎(chǔ)應(yīng)用��。有關(guān)部門可以:在選擇設(shè)備的過(guò)程中�����,盡量選擇一些性能好����、安全性高的網(wǎng)絡(luò)設(shè)備。然后�����,系統(tǒng)的運(yùn)行過(guò)程中��,應(yīng)意識(shí)到電磁輻射(網(wǎng)絡(luò)設(shè)備����、計(jì)算機(jī)等都可能產(chǎn)生電磁輻射)對(duì)網(wǎng)絡(luò)安全的危害(數(shù)據(jù)泄密),并積極找出應(yīng)對(duì)措施��,以減少電磁輻射���。同時(shí)應(yīng)盡量避免一些自然��、人為破壞�,以保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行��。
3.4保證數(shù)據(jù)安全�����,建立災(zāi)難備份中心
數(shù)據(jù)是信息系統(tǒng)的關(guān)鍵�,同時(shí)也是政府各項(xiàng)業(yè)務(wù)間的互動(dòng),信息共享與業(yè)務(wù)協(xié)同的關(guān)鍵因素�����。因此�����,為保證服務(wù)的順利運(yùn)行�����,相關(guān)部門在電子政務(wù)外網(wǎng)的安全管理中,應(yīng)加強(qiáng)對(duì)數(shù)據(jù)與信息的重視�。而為保護(hù)數(shù)據(jù)的安全,部門可以建立災(zāi)難備份中心�,以提高抵御災(zāi)難的能力,保證重要信息相關(guān)數(shù)據(jù)的安全�,同時(shí)可以將損失降為最小。具體可以采用自建災(zāi)難備份中心�、共建災(zāi)難備份中心,以及服務(wù)外包等三種模式���。在政府信息數(shù)據(jù)遭遇災(zāi)難時(shí)���,啟動(dòng)異地建立備份數(shù)據(jù)中心,可以提供不間斷的數(shù)據(jù)信息服務(wù)�,以保證業(yè)務(wù)的連續(xù)性。
4結(jié)論
安全問(wèn)題是當(dāng)前電子政務(wù)外網(wǎng)的安全管理中經(jīng)常面臨的一個(gè)問(wèn)題����。由于問(wèn)題、原因與解決策略相對(duì)復(fù)雜��,因此需要對(duì)當(dāng)前電子商務(wù)外網(wǎng)的特點(diǎn)、存在安全隱患進(jìn)行一些了解與分析���。然后積極找出改善電子商務(wù)外網(wǎng)安全隱患的策略����,提高電子政務(wù)外網(wǎng)的安全級(jí)別���,從而保證外網(wǎng)的安全、穩(wěn)定運(yùn)行�����。
參考文獻(xiàn)
[1]趙惠巍.電子政務(wù)外網(wǎng)的安全管理策略研究[J].民營(yíng)科技��,2014(7):106.
[2]董舟�,謝碧云,李歆.政務(wù)外網(wǎng)信息安全管理策略初探[J].人民長(zhǎng)江�,2015(3):86-90.
篇10
2軟件項(xiàng)目業(yè)務(wù)規(guī)劃
2.1項(xiàng)目規(guī)劃
項(xiàng)目目標(biāo):完成電子商務(wù)安全管理軟件系統(tǒng)的研制和開(kāi)發(fā),并進(jìn)行市場(chǎng)化運(yùn)作��;對(duì)電子商務(wù)安全標(biāo)準(zhǔn)進(jìn)行研究��。主要功能:電子商務(wù)安全管理軟件系統(tǒng)實(shí)現(xiàn)的主要功能有:
(1)提供訪問(wèn)電子商務(wù)網(wǎng)站用戶的身份認(rèn)證�、授權(quán);授權(quán)用戶在線刪除,添加����,更新本人信息;實(shí)現(xiàn)了允許一種用戶可以以多種身分訪問(wèn)電子商務(wù)程序的身份驗(yàn)證和授權(quán)的功能����。
(2)過(guò)濾當(dāng)前用戶請(qǐng)求中是否含有違反HTTP協(xié)議的數(shù)據(jù)存在,包括參數(shù)缺失�、參數(shù)異常、參數(shù)過(guò)多�;過(guò)濾當(dāng)前用戶請(qǐng)求中是否含有違反當(dāng)前請(qǐng)求頁(yè)面的數(shù)據(jù)存在。
(3)對(duì)稱式和非對(duì)稱式的加密解密技術(shù):包括數(shù)字簽名算法���、消息摘要技術(shù)���、密鑰交換方法、提供基于數(shù)據(jù)庫(kù)的密鑰管理服務(wù)的內(nèi)容�。
(4)收集功能模塊的日志信息,然后生成統(tǒng)一的日志信息���,并進(jìn)行分類存儲(chǔ)(本課題提供數(shù)據(jù)庫(kù)存儲(chǔ)形式)����,然后提供查詢、刪除等功能(用戶可以對(duì)日志信息按日期�����、模塊名進(jìn)行查詢�、刪除等操作)。
(5)隨時(shí)對(duì)受保護(hù)的電子商務(wù)應(yīng)用程序進(jìn)行安全監(jiān)控�,若發(fā)現(xiàn)惡意代碼的攻擊,即刻發(fā)出報(bào)警信息�����。
(6)監(jiān)控系統(tǒng)和電子商務(wù)應(yīng)用程序的運(yùn)行情況��,若系統(tǒng)或應(yīng)用程序出現(xiàn)異常��,即刻發(fā)出報(bào)警信息�����。約束條件:本系統(tǒng)運(yùn)行時(shí)需要JAVA運(yùn)行環(huán)境人員所需工具所需資源:開(kāi)發(fā)本項(xiàng)目需要參加人員熟練掌握J(rèn)AVA����、XML����、TOMCAT����、MYSQL�、JSP、STRUTS等��,開(kāi)發(fā)工具使用eclipse�����、editplus��、mysql等���。
2.2項(xiàng)目組織與進(jìn)度
本項(xiàng)目的開(kāi)發(fā)共分四個(gè)時(shí)間段進(jìn)行��,具體安排如下所示:系統(tǒng)調(diào)研和總體方案設(shè)計(jì)3個(gè)月系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)8個(gè)月系統(tǒng)程序?qū)崿F(xiàn)8個(gè)月α測(cè)試β測(cè)試3個(gè)月
2.3開(kāi)發(fā)軟件所需要的工具
軟件運(yùn)行環(huán)境A.操作系統(tǒng):Linux系統(tǒng)�,Window2000Serve系統(tǒng)B.?dāng)?shù)據(jù)庫(kù):Oracle8i/9i��,SQLServer2000�����,MysqlC.WEB服務(wù)器:Tomcat/Weblogic/Jboss編程語(yǔ)言:JAVA開(kāi)發(fā)平臺(tái):eclipse測(cè)試與分析工具:paros
3軟件開(kāi)發(fā)設(shè)計(jì)與程序編碼
3.1軟件開(kāi)發(fā)設(shè)計(jì)
電子商務(wù)安全管理軟件系統(tǒng)采用了模塊化的設(shè)計(jì)理念,遵循J2EE的開(kāi)發(fā)標(biāo)準(zhǔn)����,充分利用了J2EE程序開(kāi)發(fā)過(guò)程中所涉及到的開(kāi)放源代碼的應(yīng)用軟件。整個(gè)軟件系統(tǒng)是在Tomcat5.5.9條件下進(jìn)行的研發(fā)��,開(kāi)發(fā)工具選用的是Eclipse3.1�����,MySQL4.1提供了數(shù)據(jù)庫(kù)支持���。此外,還使用了諸如Spring����,Hibernate,Struts��,Dom4j����,Log4j等免費(fèi)軟件和技術(shù)。從軟件設(shè)計(jì)與軟件開(kāi)發(fā)的角度看���,電子商務(wù)安全管理軟件系統(tǒng)的設(shè)計(jì)規(guī)劃遵循了如下設(shè)計(jì)原則:
(1)電子商務(wù)安全管理軟件封裝了許多功能強(qiáng)大��、易于使用的軟件功能模塊����,對(duì)于統(tǒng)一安全接口標(biāo)準(zhǔn)研究十分必要。
(2)軟件的開(kāi)發(fā)大量采用組件化�、J2EE技術(shù),獨(dú)立于操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)���。軟件內(nèi)部的模塊大量采用Bean�,進(jìn)行業(yè)務(wù)邏輯的封裝���,可以方便利于網(wǎng)絡(luò)層的請(qǐng)求響應(yīng)調(diào)用�����。
(3)系統(tǒng)采用XML文件格式來(lái)響應(yīng)業(yè)務(wù)請(qǐng)求����,這樣可以實(shí)現(xiàn)系統(tǒng)邏輯各層之間良好的通訊和接口���。
(4)全面考慮電子商務(wù)安全的各種需求,設(shè)計(jì)統(tǒng)一的標(biāo)準(zhǔn)化的軟件結(jié)構(gòu),使各種網(wǎng)絡(luò)安全技術(shù)運(yùn)行在軟件框架之下,共同保護(hù)電子交易安全�。
(5)提供開(kāi)放的API接口,這樣使其他公司的軟件產(chǎn)品可以輕易的集成到這個(gè)軟件系統(tǒng)平臺(tái)上。
3.2程序編碼
安全:安全模塊就像一個(gè)數(shù)據(jù)采集器���;在電子商務(wù)安全控制中心中分析的所有HTTP信息都是通過(guò)安全模塊采集的�����。此外�,安全模塊還負(fù)責(zé)在分析后將反應(yīng)結(jié)果返回給用戶��。開(kāi)發(fā)安全模塊所使用技術(shù):ServletFilter�。
(1)認(rèn)證授權(quán)模塊。身份驗(yàn)證和授權(quán)認(rèn)證模塊提供一種基于JAAS體系結(jié)構(gòu)的認(rèn)證解決方案�。身份認(rèn)證是用戶或計(jì)算設(shè)備用來(lái)驗(yàn)證身份的過(guò)程,即確定一個(gè)實(shí)體或個(gè)人是否就是它所宣稱的實(shí)體或個(gè)人�����。授權(quán)確定了已認(rèn)證的用戶是否能夠訪問(wèn)他們所請(qǐng)求的資源或者執(zhí)行他們所請(qǐng)求執(zhí)行的操作����。
(2)數(shù)據(jù)過(guò)濾模塊����。數(shù)據(jù)過(guò)濾模塊實(shí)現(xiàn)兩種分析算法:模式匹配算法和行為建模算法��。一種是基于誤用檢測(cè)算法的模式匹配�,另一種是基于異常檢測(cè)算法的行為建模�����。
(3)協(xié)議過(guò)濾模塊��。根據(jù)電子商務(wù)網(wǎng)站管理員的人工配置和HTTP協(xié)議細(xì)節(jié)執(zhí)行協(xié)議過(guò)濾算法����,針對(duì)于安全數(shù)據(jù)中出現(xiàn)的冗余信息、檢測(cè)出的缺失信息����,以及異常信息分別進(jìn)行安全分析,并且觸發(fā)相應(yīng)的安全動(dòng)作����。
(4)安全監(jiān)控模塊根據(jù)安全分析的結(jié)果與事先定義的安全動(dòng)作,模塊采用相應(yīng)的指定動(dòng)作�����。此外�����,這個(gè)模塊將向安全模塊發(fā)送動(dòng)作指令。如果發(fā)現(xiàn)黑客入侵�,就隨時(shí)觸發(fā)“拒絕”動(dòng)作,然后發(fā)送警告給應(yīng)用程序的管理員�����。同時(shí)��,將惡意的入侵請(qǐng)求存入到數(shù)據(jù)庫(kù)作為入侵分析的日志文件�。因此,攻擊者將會(huì)收到一個(gè)出錯(cuò)頁(yè)面或者請(qǐng)求被禁止的頁(yè)面����。
(5)應(yīng)用監(jiān)控。應(yīng)用監(jiān)控模塊主要實(shí)現(xiàn)了對(duì)于訪問(wèn)電子商務(wù)應(yīng)用程序��、安全模塊的應(yīng)用配置和應(yīng)用監(jiān)控功能��。實(shí)現(xiàn)了應(yīng)用程序和電子商務(wù)安全管理軟件系統(tǒng)的動(dòng)態(tài)配置�、實(shí)時(shí)監(jiān)控電子商務(wù)安全管理軟件系統(tǒng)的響應(yīng)速度����。
篇11
隨著網(wǎng)絡(luò)時(shí)代的到來(lái)��,越來(lái)越多的人通過(guò)Internet進(jìn)行商務(wù)活動(dòng)���。電子商務(wù)的發(fā)展前景十分誘人,而其安全問(wèn)題也變得越來(lái)越突出����。近年來(lái),網(wǎng)絡(luò)安全事件不斷攀升��,電子商務(wù)金融成了攻擊目標(biāo)���,以網(wǎng)頁(yè)篡改和垃圾郵件為主的網(wǎng)絡(luò)安全事件正在大幅攀升��。在國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)2005處理的網(wǎng)絡(luò)安全事件報(bào)告中���,網(wǎng)頁(yè)篡改占45.91%,網(wǎng)絡(luò)仿冒占29%�,其余為拒絕服務(wù)攻擊、垃圾郵件��、蠕蟲(chóng)�、木馬等。如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境����,對(duì)信息提供足夠的保護(hù),已經(jīng)成為電子商務(wù)的所有參與者十分關(guān)心的話題�����。
一�����、電子商務(wù)中的主要網(wǎng)絡(luò)安全事件分析
歸納起來(lái)����,對(duì)電子商務(wù)應(yīng)用影響較多、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁(yè)篡改���、網(wǎng)絡(luò)蠕蟲(chóng)�、拒絕服務(wù)攻擊�、特羅伊木馬、計(jì)算機(jī)病毒�����、網(wǎng)絡(luò)仿冒等,網(wǎng)頁(yè)篡改����、網(wǎng)絡(luò)仿冒(Phishing)���,逐步成為影響電子商務(wù)應(yīng)用與發(fā)展的主要威脅��。
1.網(wǎng)頁(yè)篡改
網(wǎng)頁(yè)篡改是指將正常的網(wǎng)站主頁(yè)更換為黑客所提供的網(wǎng)頁(yè)��。這是黑客攻擊的典型形式���。一般來(lái)說(shuō),主頁(yè)的篡改對(duì)計(jì)算機(jī)系統(tǒng)本身不會(huì)產(chǎn)生直接的損失���,但對(duì)電子商務(wù)等需要與用戶通過(guò)網(wǎng)站進(jìn)行溝通的應(yīng)用來(lái)說(shuō)�,就意味著電子商務(wù)將被迫終止對(duì)外的服務(wù)���。對(duì)企業(yè)網(wǎng)站而言�,網(wǎng)頁(yè)的篡改�����,尤其是含有攻擊、丑化色彩的篡改����,會(huì)對(duì)企業(yè)形象與信譽(yù)造成嚴(yán)重?fù)p害。
2.網(wǎng)絡(luò)仿冒(Phishing)
網(wǎng)絡(luò)仿冒又稱網(wǎng)絡(luò)欺詐�、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網(wǎng)頁(yè)設(shè)計(jì)來(lái)誘騙收件人提供信用卡賬號(hào)�����、用戶名��、密碼��、社會(huì)福利號(hào)碼等�,隨后利用騙得的賬號(hào)和密碼竊取受騙者金錢。近年來(lái)�����,隨著電子商務(wù)���、網(wǎng)上結(jié)算���、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及�,網(wǎng)絡(luò)仿冒事件在我國(guó)層出不窮���,諸如中國(guó)銀行網(wǎng)站等多起金融網(wǎng)站被仿冒�����。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用,特別是電子商務(wù)應(yīng)用的主要威脅之一�����。
網(wǎng)絡(luò)仿冒者為了逃避相關(guān)組織和管理機(jī)構(gòu)的打擊��,充分利用互聯(lián)網(wǎng)的開(kāi)放性���,往往會(huì)將仿冒網(wǎng)站建立在其他國(guó)家����,而又利用第三國(guó)的郵件服務(wù)器來(lái)發(fā)送欺詐郵件�����,這樣既便是仿冒網(wǎng)站被人舉報(bào)�����,但是關(guān)閉仿冒網(wǎng)站就比較麻煩,對(duì)網(wǎng)絡(luò)欺詐者的追查就更困難了���,這是現(xiàn)在網(wǎng)絡(luò)仿冒犯罪的主要趨勢(shì)之一�����。
3.網(wǎng)絡(luò)蠕蟲(chóng)
網(wǎng)絡(luò)蠕蟲(chóng)是指一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序��。這種程序利用互聯(lián)網(wǎng)上計(jì)算機(jī)系統(tǒng)的漏洞進(jìn)入系統(tǒng)��,自我復(fù)制�,并繼續(xù)向互聯(lián)網(wǎng)上的其他系統(tǒng)進(jìn)行傳播���。蠕蟲(chóng)的不斷蛻變并在網(wǎng)絡(luò)上的傳播�,可能導(dǎo)致網(wǎng)絡(luò)被阻塞的現(xiàn)象發(fā)生��,從而致使網(wǎng)絡(luò)癱瘓�����,使得各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效��。
4.拒絕服務(wù)攻擊(Dos)
拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺(tái)或大量的計(jì)算機(jī)針對(duì)某一個(gè)特定的計(jì)算機(jī)進(jìn)行大規(guī)模的訪問(wèn),使得被訪問(wèn)的計(jì)算機(jī)窮于應(yīng)付來(lái)勢(shì)兇猛的訪問(wèn)而無(wú)法提供正常的服務(wù)��,使得電子商務(wù)這類應(yīng)用無(wú)法正常工作��。拒絕服務(wù)攻擊是黑客常用的一種行之有效的方法���。如果所調(diào)動(dòng)的攻擊計(jì)算機(jī)足夠多�,則更難進(jìn)行處置�����。尤其是被蠕蟲(chóng)侵襲過(guò)的計(jì)算機(jī)�����,很容易被利用而成為攻擊源�����,并且這類攻擊通常是跨網(wǎng)進(jìn)行的����,加大了打擊犯罪的難度�。
5.特羅伊木馬
特羅伊木馬(簡(jiǎn)稱木馬)是一種隱藏在計(jì)算機(jī)系統(tǒng)中不為用戶所知的惡意程序���,通常用于潛伏在計(jì)算機(jī)系統(tǒng)中來(lái)與外界聯(lián)接,并接受外界的指令����。被植入木馬的計(jì)算機(jī)系統(tǒng)內(nèi)的所有文件都會(huì)被外界所獲得,并且該系統(tǒng)也會(huì)被外界所控制�����,也可能會(huì)被利用作為攻擊其他系統(tǒng)的攻擊源���。很多黑客在入侵系統(tǒng)時(shí)都會(huì)同時(shí)把木馬植入到被侵入的系統(tǒng)中�。
二����、解決電子商務(wù)中網(wǎng)絡(luò)安全問(wèn)題的對(duì)策研究
隨著網(wǎng)絡(luò)應(yīng)用日益普及和更為復(fù)雜,網(wǎng)絡(luò)安全事件不斷出現(xiàn)��,電子商務(wù)的安全問(wèn)題日益突出�����,需要從國(guó)家相關(guān)法律建設(shè)的大環(huán)境到企業(yè)制定的電子商務(wù)網(wǎng)絡(luò)安全管理整體架構(gòu)的具體措施���,才能有效保護(hù)電子商務(wù)的正常應(yīng)用與發(fā)展��。
1.進(jìn)一步完善法律與政策依據(jù) 充分發(fā)揮應(yīng)急響應(yīng)組織的作用
我國(guó)目前對(duì)于互聯(lián)網(wǎng)的相關(guān)法律法規(guī)還較為欠缺���,尤其是互聯(lián)網(wǎng)這樣一個(gè)開(kāi)放和復(fù)雜的領(lǐng)域�,相對(duì)于現(xiàn)實(shí)社會(huì)�����,其違法犯罪行為的界定�、取證、定位都較為困難�����。因此���,對(duì)于影響電子商務(wù)發(fā)展的基于互聯(lián)網(wǎng)的各類網(wǎng)絡(luò)安全事件的違法犯罪行為的立法,需要一個(gè)漫長(zhǎng)的過(guò)程��。根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡(luò)安全事件的特點(diǎn)���,需要建立健全協(xié)調(diào)一致�,快速反應(yīng)的各級(jí)網(wǎng)絡(luò)應(yīng)急體系。要制定有關(guān)管理規(guī)定�����,為網(wǎng)絡(luò)安全事件的有效處理提供法律和政策依據(jù)�����。
互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織是響應(yīng)并處理公共互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全事件的組織����,在我國(guó),CNCERT/CC是國(guó)家級(jí)的互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織��,目前已經(jīng)建立起了全國(guó)性的應(yīng)急響應(yīng)體系���;同時(shí)����,CNCERT/CC還是國(guó)際應(yīng)急響應(yīng)與安全小組論壇(FIRST���,F(xiàn)orum of Incident Response and Security Teams)等國(guó)際機(jī)構(gòu)的成員�����。應(yīng)急響應(yīng)組織通過(guò)發(fā)揮其技術(shù)優(yōu)勢(shì)��,利用其支撐單位��,即國(guó)內(nèi)主要網(wǎng)絡(luò)安全廠商的行業(yè)力量�,為相關(guān)機(jī)構(gòu)提供網(wǎng)絡(luò)安全的咨詢與技術(shù)服務(wù),共同提高網(wǎng)絡(luò)安全水平�����,能有效減少各類的網(wǎng)絡(luò)事件的出現(xiàn)�����;通過(guò)聚集相關(guān)科研力量����,研究相關(guān)技術(shù)手段��,以及如何建立新的電子交易的信任體系�,為電子商務(wù)等互聯(lián)網(wǎng)應(yīng)用的普及和順利發(fā)展提供前瞻性的技術(shù)研究方面具有積極意義。
2.從網(wǎng)絡(luò)安全架構(gòu)整體上保障電子商務(wù)的應(yīng)用發(fā)展
網(wǎng)絡(luò)安全事件研究中看到���,電子商務(wù)的網(wǎng)絡(luò)安全問(wèn)題不是純粹的計(jì)算機(jī)安全問(wèn)題�,從企業(yè)的角度出發(fā),應(yīng)該建立整體的電子商務(wù)網(wǎng)絡(luò)安全架構(gòu)���,結(jié)合安全管理以及具體的安全保護(hù)��、安全監(jiān)控����、事件響應(yīng)和恢復(fù)等一套機(jī)制來(lái)保障電子商務(wù)的正常應(yīng)用�����。
安全管理主要是通過(guò)嚴(yán)格科學(xué)的管理手段以達(dá)到保護(hù)企業(yè)網(wǎng)絡(luò)安全的目的�����。內(nèi)容可包括安全管理制度的制定�����、實(shí)施和監(jiān)督�,安全策略的制定、實(shí)施����、評(píng)估和修改�,相關(guān)人員的安全意識(shí)的培訓(xùn)����、教育,日常安全管理的具體要求與落實(shí)等�。
安全保護(hù)主要是指應(yīng)用網(wǎng)絡(luò)安全產(chǎn)品、工具和技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)��、數(shù)據(jù)和用戶��。這種保護(hù)主要是指靜態(tài)保護(hù)�����,通常是一些基本的防護(hù)���,不具有實(shí)時(shí)性����,如在防火墻的規(guī)則中實(shí)施一條安全策略�,禁止所有外部網(wǎng)用戶到內(nèi)部網(wǎng)Web服務(wù)器的連接請(qǐng)求����,一旦這條規(guī)則生效��,它就會(huì)持續(xù)有效�����,除非我們改變這條規(guī)則�����。這樣的保護(hù)能預(yù)防已知的一些安全威脅����,而且通常這些威脅不會(huì)變化����,所以稱為靜態(tài)保護(hù)。
安全監(jiān)控和審計(jì)是實(shí)時(shí)保護(hù)的一種策略�����,它主要滿足一種動(dòng)態(tài)安全的需求��。因?yàn)榫W(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時(shí)���,黑客技術(shù)也在不斷的發(fā)展��,網(wǎng)絡(luò)安全不是一成不變的�,也許今天對(duì)你來(lái)說(shuō)安全的策略,明天就會(huì)變得不安全�����,因此我們應(yīng)該時(shí)刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動(dòng)向,以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情��,以便及時(shí)發(fā)現(xiàn)新的攻擊����,制定新的安全策略??梢赃@樣說(shuō),安全保護(hù)是基本����,安全監(jiān)控和審計(jì)是其有效的補(bǔ)充,兩者的有效結(jié)合����,才能較好地滿足動(dòng)態(tài)安全的需要。
事件響應(yīng)與恢復(fù)主要針對(duì)發(fā)生攻擊事件時(shí)相應(yīng)的應(yīng)急措施與恢復(fù)正常應(yīng)用的機(jī)制�����。就是當(dāng)攻擊發(fā)生時(shí)��,能及時(shí)做出響應(yīng)���,這需要建立一套切實(shí)有效�、操作性強(qiáng)的響應(yīng)機(jī)制��,及時(shí)防止攻擊的進(jìn)一步發(fā)展��。響應(yīng)是整個(gè)安全架構(gòu)中的重要組成部分�,因?yàn)榫W(wǎng)絡(luò)構(gòu)筑沒(méi)有絕對(duì)的安全,安全事件的發(fā)生是不可能完全避免的��,當(dāng)安全事件發(fā)生的時(shí)候�,應(yīng)該有相應(yīng)的機(jī)制快速反應(yīng),以便讓管理員及時(shí)了解攻擊情況����,采取相應(yīng)措施修改安全策略,盡量減少并彌補(bǔ)攻擊的損失�����,防止類似攻擊的再次發(fā)生。當(dāng)安全事件發(fā)生后����,對(duì)系統(tǒng)可能會(huì)造成不同程度的破壞,如網(wǎng)絡(luò)不能正常工作�����、系統(tǒng)數(shù)據(jù)被破壞等��,這時(shí)��,必須有一套機(jī)制能盡快恢復(fù)系統(tǒng)的正常應(yīng)用�,因?yàn)楣艏热灰呀?jīng)發(fā)生了,系統(tǒng)也遭到了破壞����,這時(shí)只有讓系統(tǒng)以最快的速度運(yùn)行起來(lái)才是最重要的,否則損失將更為嚴(yán)重��。因此恢復(fù)在電子商務(wù)安全的整體架構(gòu)中也是不可缺少的組成部分����。
三、結(jié)論
Internet的快速發(fā)展,使電子商務(wù)逐漸進(jìn)入人們的日常生活��,而伴隨各類網(wǎng)絡(luò)安全事件的日益增加與發(fā)展�,電子商務(wù)的安全問(wèn)題也變得日益突出,建立一個(gè)安全�、便捷的電子商務(wù)應(yīng)用環(huán)境,解決好電子商務(wù)應(yīng)用與發(fā)展的網(wǎng)絡(luò)安全問(wèn)題必將對(duì)保障和促進(jìn)電子商務(wù)的快速發(fā)展起到良好的推動(dòng)作用�����。
參考文獻(xiàn):
[1]CNCERT/CC.2005年上半年網(wǎng)絡(luò)安全工作報(bào)告
[2]李 衛(wèi):計(jì)算機(jī)網(wǎng)絡(luò)安全與管理.北京:清華大學(xué)出版社���,2000
