序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗���,特別為您篩選了11篇電子商務(wù)安全管理策略范文。如果您需要更多原創(chuàng)資料�,歡迎隨時與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識���!
篇1
商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風(fēng)險���、信用風(fēng)險��、以及操作風(fēng)險等�����,而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生之后的破壞程度�。2004年以來��,我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大��,仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站�。2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件,超過2004年全年案件數(shù)���,商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略已成為理論與實踐中必須重視的課題�����。
一�、信息安全管理的歷史演進(jìn)與現(xiàn)階段的特點(diǎn)
信息安全管理的策略大體遵循事件驅(qū)動(技術(shù)和管理脫節(jié))-逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險管理(引入了風(fēng)險分析)的發(fā)展路徑�。
(一)以事件驅(qū)動的初級階段時期
19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全,人與計算機(jī)之間的交互主要局限在大型計算機(jī)上的啞終端���,安全問題只涉及能訪問終端的少數(shù)人��。安全管理策略處于初級階段��,由事件驅(qū)動����,沒有形成規(guī)范的管理流程。在此階段的前期�,只重視技術(shù)手段。后期開始重視管理手段����,但是技術(shù)和管理之間脫節(jié)��。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度���,但組織的信息安全管理基本上還處在一種靜態(tài)����、局部�、少數(shù)人負(fù)責(zé)、突擊式����、事后糾正式的管理方式����。
(二)標(biāo)準(zhǔn)化時期
企業(yè)開始將安全問題作為整體考慮����,形成一套較為完整的安全管理策略,其中包括了安全管理的技術(shù)手段和管理制度(或稱運(yùn)作管理)����。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略,內(nèi)容也包括了技術(shù)手段�、安全管理制度、人員安全教育等等����,基本上形成體系,技術(shù)和管理手段綜合統(tǒng)一����,但是安全風(fēng)險分析還存在不足之處。
(三)安全風(fēng)險管理策略時期
隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次����,安全管理策略也演進(jìn)到安全風(fēng)險管理階段。主要特點(diǎn)如下:
1.安全風(fēng)險管理成為主流趨勢;在安全管理策略的演進(jìn)過程中�����,技術(shù)和管理手段綜合統(tǒng)一�����、又融入了風(fēng)險管理的分析�����、防范策略�,從而安全管理進(jìn)入了安全風(fēng)險管理時期。西方商業(yè)銀行已對安全風(fēng)險管理形成共識����。如安氏公司(is—One)�,認(rèn)為信息安全問題最終將歸結(jié)為風(fēng)險管理問題,風(fēng)險管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)�。
2.安全風(fēng)險管理的國際標(biāo)準(zhǔn)和各國的規(guī)范逐漸形成并趨于完善。國際上關(guān)于安全風(fēng)險管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》����、英國標(biāo)準(zhǔn)協(xié)會制訂的BS7799等。各國也日益重視安全風(fēng)險管理,制定了許多規(guī)范�����。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》��、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險管理》等�。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》,對國內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險管理給出了指導(dǎo)意見���。
3.利用外部專業(yè)化機(jī)構(gòu)對金融機(jī)構(gòu)的安全性評估已成為大部分國家的選擇�����。電子銀行面臨的安全和技術(shù)風(fēng)險���,在相當(dāng)程度上取決于采用的信息技術(shù)的先進(jìn)程度,系統(tǒng)的設(shè)計開發(fā)水平�����,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等�;銀行依靠傳統(tǒng)的風(fēng)險管理機(jī)制已很難識別、監(jiān)測�、控制和管理相關(guān)風(fēng)險����。同樣���,監(jiān)管機(jī)構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進(jìn)行準(zhǔn)確評價和監(jiān)控����。因此����,大部分國家都采用了依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行安全性進(jìn)行評估的辦法,加強(qiáng)對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管���。
4.在許多國家信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供����,許多知名的咨詢公司都提供類似的信息審計服務(wù)�。業(yè)界的IT風(fēng)險分析師也成為一種職業(yè)��,專門從事電子商務(wù)的安全風(fēng)險工作�����,從經(jīng)濟(jì)學(xué)的角度出發(fā)分析風(fēng)險,充分衡量保持安全的代價和收益之間的關(guān)系��,尋求用最小的代價實現(xiàn)最大的效用����,在風(fēng)險分析中也形成一套較為成熟的模式。
二�、我國商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略的薄弱點(diǎn)
(一)系統(tǒng)管理思想缺乏
目前的電子商務(wù)安全風(fēng)險管理策略,在全局上缺乏系統(tǒng)論理論的指導(dǎo)�����,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞��,無法形成一張全面有序的安全網(wǎng)絡(luò)�。
實踐中被采用的安全風(fēng)險管理策略,以及作為指導(dǎo)意見的規(guī)則規(guī)范��,如《信息安全管理實務(wù)準(zhǔn)則》(IS017799)�、《信息技術(shù)安全性評估準(zhǔn)則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》���,盡管提出了比較全面的安全風(fēng)險管理方案�,層次上也比較清晰����,但是還不足以作為一個風(fēng)險防范系統(tǒng)���。實踐中,電子商務(wù)組織是一個復(fù)雜的系統(tǒng)組織��,電子商務(wù)的安全風(fēng)險管理體系和過程也是個復(fù)雜的系統(tǒng)����。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險管理中是不可或缺的�����。
(二)風(fēng)險分析的模型與方法不成熟���,定量分析不足
電子商務(wù)模式自身的發(fā)展歷史也不過20幾年�,在風(fēng)險分析的定量技術(shù)上并不成熟���;如BS7799中推薦的電子商務(wù)安全風(fēng)險管理中實施風(fēng)險評估時�����,往往將威脅發(fā)生的可能性定性劃分為幾個級別�����,將威脅所造成的影響也定性劃分為1~5級����,實質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別��,在操作上易行�����,但造成了度量的不精確�。在進(jìn)行監(jiān)控和審計之后,也存在無法量化��、對比的問題����。
(三)忽視與原有的傳統(tǒng)風(fēng)險管理策略的結(jié)合
本質(zhì)上�����,電子商務(wù)的安全風(fēng)險無非是新興的商業(yè)模式對傳統(tǒng)的風(fēng)險的改變����,以及產(chǎn)生的在傳統(tǒng)風(fēng)險控制領(lǐng)域暫時無法明晰的新風(fēng)險�;現(xiàn)有管理策略只從信息技術(shù)的角度���、或者從偏重技術(shù)的角度看待問題��,站在金融領(lǐng)域本身來分析研究較少��。這種狀況導(dǎo)致了對電子商務(wù)安全風(fēng)險管理的研究無法立足于一個比較高的層次��;忽略了風(fēng)險的整體性���,只進(jìn)行偏信息和技術(shù)的研究,導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險管理策略與金融機(jī)構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險管理策略存在差距�。對于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務(wù)的風(fēng)險控制與電子商務(wù)的技術(shù)風(fēng)險控制����,兩個方面存在脫節(jié),同樣屬于商業(yè)銀行的風(fēng)險�����,存在著不同的管理策略,導(dǎo)致多頭管理����、資源浪費(fèi)���、機(jī)構(gòu)之間的扯皮��,乃至缺位管理����。
(四)風(fēng)險管理策略無法依賴外部的信息安全管理行業(yè)
在發(fā)達(dá)國家���,信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供��,許多知名的咨詢公司都提供類似的信息審計服務(wù)���。IT風(fēng)險分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風(fēng)險工作���。商業(yè)銀行采用依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行的安全性進(jìn)行評估的辦法�,提高對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管����。而國內(nèi)初步建立了國家信息安全組織保障體系���,制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)、法律法規(guī)���,風(fēng)險評估工作得到了一定重視,但與發(fā)達(dá)國家成熟完善的外部信息安全管理行業(yè)仍有很大差距�����。
(五)風(fēng)險管理策略中商業(yè)銀行的內(nèi)部風(fēng)險控制能力薄弱
我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險管理部門�;但風(fēng)險控制部門的職能、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然存在較大差距����,風(fēng)險控制實質(zhì)上仍然分散在各個子部門;風(fēng)險的評估�����、防范與控制實質(zhì)上完全依靠商業(yè)銀行的電子交易部門���;風(fēng)險管理部門��、內(nèi)審稽核部門實質(zhì)上無法控制電子商務(wù)安全風(fēng)險����。例如,風(fēng)險管理部門接受了電子交易部的風(fēng)險控制報告��,表面上履行的內(nèi)控審核的流程�����,但審核作用有限��,無法完成電子商務(wù)安全風(fēng)險管理中的監(jiān)控與審計環(huán)節(jié)���。
三、商業(yè)銀行的電子商務(wù)安全風(fēng)險管理策略的改進(jìn)建議
(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略框架
利用系統(tǒng)理論作為總體的指導(dǎo)思想�����,將電子商務(wù)安全風(fēng)險管理策略本身當(dāng)作一個開放的自適應(yīng)系統(tǒng)�����。將商業(yè)銀行電子商務(wù)安全風(fēng)險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)��。
在商業(yè)銀行電子商務(wù)安全風(fēng)險控制的流程中,經(jīng)過信息安全的風(fēng)險評估�、資產(chǎn)識別和選擇、實施控制降低風(fēng)險的措施��、將風(fēng)險控制在可接受的范圍內(nèi)�����,然后進(jìn)行監(jiān)控和審計���;尤其重要的是把監(jiān)控和審計所得到的內(nèi)容作為新一輪風(fēng)險分析輸入�,從而開始新一輪的風(fēng)險管理過程����。商業(yè)銀行電子商務(wù)安全風(fēng)險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán)��,安全風(fēng)險管理的有效性就上一個臺階�����,商業(yè)銀行的安全管理水平變得到了提高�。
(二)電子商務(wù)安全風(fēng)險管理中定量分析中的改進(jìn)思路
商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險度量中的一些方法來改變電子商務(wù)安全風(fēng)險管理中對資產(chǎn)進(jìn)行粗略的優(yōu)先級別排序的方法。實踐中���,商業(yè)銀行對操作風(fēng)險的管理與對電子商務(wù)安全風(fēng)險管理有其相似之處�。巴塞爾委員會對商業(yè)銀行的操作風(fēng)險的內(nèi)部計量法中規(guī)定,商業(yè)銀行內(nèi)部估計風(fēng)險敞口指標(biāo)�����、損失事件發(fā)生的概率�、風(fēng)險損失,巴塞爾委員會制定資本要求的轉(zhuǎn)換系數(shù)�;在度量損失的分布時,主要利用統(tǒng)計和精算技術(shù)��。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率�、威脅所造成的影響等精確記錄下來�,利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險定量分析的嘗試。
篇2
商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風(fēng)險��、信用風(fēng)險�����、以及操作風(fēng)險等��,而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生之后的破壞程度���。2004年以來�,我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大,仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站�����。2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件�����,超過2004年全年案件數(shù)�����,商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略已成為理論與實踐中必須重視的課題���。
一���、信息安全管理的歷史演進(jìn)與現(xiàn)階段的特點(diǎn)
信息安全管理的策略大體遵循事件驅(qū)動(技術(shù)和管理脫節(jié))-逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險管理(引入了風(fēng)險分析)的發(fā)展路徑。
(一)以事件驅(qū)動的初級階段時期
19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全�,人與計算機(jī)之間的交互主要局限在大型計算機(jī)上的啞終端,安全問題只涉及能訪問終端的少數(shù)人����。安全管理策略處于初級階段�,由事件驅(qū)動�,沒有形成規(guī)范的管理流程。在此階段的前期��,只重視技術(shù)手段����。后期開始重視管理手段,但是技術(shù)和管理之間脫節(jié)�����。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度�����,但組織的信息安全管理基本上還處在一種靜態(tài)�、局部�����、少數(shù)人負(fù)責(zé)���、突擊式�、事后糾正式的管理方式。
(二)標(biāo)準(zhǔn)化時期
企業(yè)開始將安全問題作為整體考慮�����,形成一套較為完整的安全管理策略�,其中包括了安全管理的技術(shù)手段和管理制度(或稱運(yùn)作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略�,內(nèi)容也包括了技術(shù)手段、安全管理制度�、人員安全教育等等,基本上形成體系���,技術(shù)和管理手段綜合統(tǒng)一�,但是安全風(fēng)險分析還存在不足之處��。
(三)安全風(fēng)險管理策略時期
隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次����,安全管理策略也演進(jìn)到安全風(fēng)險管理階段。主要特點(diǎn)如下:
1.安全風(fēng)險管理成為主流趨勢��;在安全管理策略的演進(jìn)過程中�,技術(shù)和管理手段綜合統(tǒng)
一、又融入了風(fēng)險管理的分析��、防范策略,從而安全管理進(jìn)入了安全風(fēng)險管理時期�。西方商業(yè)銀行已對安全風(fēng)險管理形成共識。如安氏公司(is—One)�����,認(rèn)為信息安全問題最終將歸結(jié)為風(fēng)險管理問題��,風(fēng)險管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)��。
2.安全風(fēng)險管理的國際標(biāo)準(zhǔn)和各國的規(guī)范逐漸形成并趨于完善��。國際上關(guān)于安全風(fēng)險管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》�、英國標(biāo)準(zhǔn)協(xié)會制訂的BS7799等。各國也日益重視安全風(fēng)險管理���,制定了許多規(guī)范����。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》�����、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險管理》等�。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》,對國內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險管理給出了指導(dǎo)意見�。
3.利用外部專業(yè)化機(jī)構(gòu)對金融機(jī)構(gòu)的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險�����,在相當(dāng)程度上取決于采用的信息技術(shù)的先進(jìn)程度����,系統(tǒng)的設(shè)計開發(fā)水平,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等�;銀行依靠傳統(tǒng)的風(fēng)險管理機(jī)制已很難識別、監(jiān)測���、控制和管理相關(guān)風(fēng)險���。同樣,監(jiān)管機(jī)構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進(jìn)行準(zhǔn)確評價和監(jiān)控��。因此���,大部分國家都采用了依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行安全性進(jìn)行評估的辦法���,加強(qiáng)對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管���。
4.在許多國家信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務(wù)�����。業(yè)界的IT風(fēng)險分析師也成為一種職業(yè)�,專門從事電子商務(wù)的安全風(fēng)險工作,從經(jīng)濟(jì)學(xué)的角度出發(fā)分析風(fēng)險�,充分衡量保持安全的代價和收益之間的關(guān)系,尋求用最小的代價實現(xiàn)最大的效用�,在風(fēng)險分析中也形成一套較為成熟的模式。
二��、我國商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略的薄弱點(diǎn)
(一)系統(tǒng)管理思想缺乏
目前的電子商務(wù)安全風(fēng)險管理策略���,在全局上缺乏系統(tǒng)論理論的指導(dǎo)����,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞���,無法形成一張全面有序的安全網(wǎng)絡(luò)�。
實踐中被采用的安全風(fēng)險管理策略�����,以及作為指導(dǎo)意見的規(guī)則規(guī)范��,如《信息安全管理實務(wù)準(zhǔn)則》(IS017799)����、《信息技術(shù)安全性評估準(zhǔn)則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》���,盡管提出了比較全面的安全風(fēng)險管理方案��,層次上也比較清晰��,但是還不足以作為一個風(fēng)險防范系統(tǒng)����。實踐中�,電子商務(wù)組織是一個復(fù)雜的系統(tǒng)組織,電子商務(wù)的安全風(fēng)險管理體系和過程也是個復(fù)雜的系統(tǒng)�。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險管理中是不可或缺的�����。
(二)風(fēng)險分析的模型與方法不成熟,定量分析不足
電子商務(wù)模式自身的發(fā)展歷史也不過20幾年��,在風(fēng)險分析的定量技術(shù)上并不成熟�����;如BS7799中推薦的電子商務(wù)安全風(fēng)險管理中實施風(fēng)險評估時�,往往將威脅發(fā)生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級�,實質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別,在操作上易行��,但造成了度量的不精確�。在進(jìn)行監(jiān)控和審計之后,也存在無法量化��、對比的問題�����。
(三)忽視與原有的傳統(tǒng)風(fēng)險管理策略的結(jié)合
本質(zhì)上�����,電子商務(wù)的安全風(fēng)險無非是新興的商業(yè)模式對傳統(tǒng)的風(fēng)險的改變,以及產(chǎn)生的在傳統(tǒng)風(fēng)險控制領(lǐng)域暫時無法明晰的新風(fēng)險���;現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問題����,站在金融領(lǐng)域本身來分析研究較少。這種狀況導(dǎo)致了對電子商務(wù)安全風(fēng)險管理的研究無法立足于一個比較高的層次�����;忽略了風(fēng)險的整體性�����,只進(jìn)行偏信息和技術(shù)的研究����,導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險管理策略與金融機(jī)構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險管理策略存在差距。對于商業(yè)銀行而言���,傳統(tǒng)金融業(yè)務(wù)的風(fēng)險控制與電子商務(wù)的技術(shù)風(fēng)險控制����,兩個方面存在脫節(jié),同樣屬于商業(yè)銀行的風(fēng)險��,存在著不同的管理策略��,導(dǎo)致多頭管理���、資源浪費(fèi)�����、機(jī)構(gòu)之間的扯皮����,乃至缺位管理��。
(四)風(fēng)險管理策略無法
依賴外部的信息安全管理行業(yè)
在發(fā)達(dá)國家�,信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務(wù)����。IT風(fēng)險分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風(fēng)險工作�。商業(yè)銀行采用依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行的安全性進(jìn)行評估的辦法,提高對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管����。而國內(nèi)初步建立了國家信息安全組織保障體系����,制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)���、法律法規(guī),風(fēng)險評估工作得到了一定重視�����,但與發(fā)達(dá)國家成熟完善的外部信息安全管理行業(yè)仍有很大差距��。
(五)風(fēng)險管理策略中商業(yè)銀行的內(nèi)部風(fēng)險控制能力薄弱
我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險管理部門����;但風(fēng)險控制部門的職能、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然存在較大差距�,風(fēng)險控制實質(zhì)上仍然分散在各個子部門;風(fēng)險的評估��、防范與控制實質(zhì)上完全依靠商業(yè)銀行的電子交易部門��;風(fēng)險管理部門���、內(nèi)審稽核部門實質(zhì)上無法控制電子商務(wù)安全風(fēng)險�����。例如�����,風(fēng)險管理部門接受了電子交易部的風(fēng)險控制報告��,表面上履行的內(nèi)控審核的流程���,但審核作用有限����,無法完成電子商務(wù)安全風(fēng)險管理中的監(jiān)控與審計環(huán)節(jié)�����。
三����、商業(yè)銀行的電子商務(wù)安全風(fēng)險管理策略的改進(jìn)建議
(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略框架
利用系統(tǒng)理論作為總體的指導(dǎo)思想,將電子商務(wù)安全風(fēng)險管理策略本身當(dāng)作一個開放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風(fēng)險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)���。
在商業(yè)銀行電子商務(wù)安全風(fēng)險控制的流程中���,經(jīng)過信息安全的風(fēng)險評估、資產(chǎn)識別和選擇�、實施控制降低風(fēng)險的措施、將風(fēng)險控制在可接受的范圍內(nèi)���,然后進(jìn)行監(jiān)控和審計���;尤其重要的是把監(jiān)控和審計所得到的內(nèi)容作為新一輪風(fēng)險分析輸入����,從而開始新一輪的風(fēng)險管理過程。商業(yè)銀行電子商務(wù)安全風(fēng)險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)���。每完成一個循環(huán)�����,安全風(fēng)險管理的有效性就上一個臺階����,商業(yè)銀行的安全管理水平變得到了提高。
(二)電子商務(wù)安全風(fēng)險管理中定量分析中的改進(jìn)思路
商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險度量中的一些方法來改變電子商務(wù)安全風(fēng)險管理中對資產(chǎn)進(jìn)行粗略的優(yōu)先級別排序的方法����。實踐中,商業(yè)銀行對操作風(fēng)險的管理與對電子商務(wù)安全風(fēng)險管理有其相似之處��。巴塞爾委員會對商業(yè)銀行的操作風(fēng)險的內(nèi)部計量法中規(guī)定��,商業(yè)銀行內(nèi)部估計風(fēng)險敞口指標(biāo)����、損失事件發(fā)生的概率、風(fēng)險損失�,巴塞爾委員會制定資本要求的轉(zhuǎn)換系數(shù);在度量損失的分布時�,主要利用統(tǒng)計和精算技術(shù)。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率���、威脅所造成的影響等精確記錄下來���,利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險定量分析的嘗試。新晨
(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險納入商業(yè)銀行總體風(fēng)險管理范疇
篇3
國內(nèi)外調(diào)查顯示…�,52.26%的用戶最關(guān)心的是網(wǎng)上交易的安全可靠性,超過6O%的人由于擔(dān)心電子商務(wù)的安全問題而不愿進(jìn)行網(wǎng)上購物。加強(qiáng)電子商務(wù)實施過程中的安全管理已經(jīng)成為促進(jìn)電子商務(wù)高速發(fā)展的重要因素��。
電子商務(wù)的安全�����,可分為技術(shù)安全和管理安全兩種類型���。所謂技術(shù)安全���,是指通過各種黑客手段竊取企業(yè)的用戶lD、密碼以及相關(guān)的機(jī)密文件�����,甚至網(wǎng)絡(luò)銀行帳號�����、密碼等�����,給企業(yè)造成經(jīng)濟(jì)損失��。而管理安全則是指缺乏對參與電子商務(wù)過程中各個環(huán)節(jié)的人員的管理預(yù)防手段����,最終導(dǎo)致的電子商務(wù)安全事件。從美國的花旗銀行和中央情報局到中國的某家國有商業(yè)銀行��,都有過由于內(nèi)部人員的違規(guī)和違法操作����,導(dǎo)致數(shù)據(jù)被篡改和泄密的事件發(fā)生。
近幾年的電子商務(wù)安全案件表明:人員是網(wǎng)上交易安全管理中的最薄弱的環(huán)節(jié)�,近年來我國計算機(jī)犯罪大都呈現(xiàn)內(nèi)部犯罪的趨勢,有的競爭對手利用企業(yè)招募新人的方式潛入對方企業(yè)���,或利用不正當(dāng)?shù)姆绞绞召I企業(yè)網(wǎng)絡(luò)交易管理人員��。有的電子商務(wù)從業(yè)人員從本企業(yè)辭職后��,迅速把客戶資料����、產(chǎn)品研發(fā)成果等機(jī)密出售給競爭對手�,給企業(yè)帶來了不必要的經(jīng)濟(jì)損失。
2��、原因分析
電子商務(wù)信息安全已經(jīng)引起很多企業(yè)的重視,但大多數(shù)企業(yè)往往側(cè)重于加強(qiáng)技術(shù)措施��,如購買先進(jìn)的防火墻軟件��,采用更高級的加密方法等���,很多企業(yè)認(rèn)為:員工泄密的安全事故只是偶然現(xiàn)象���,很少從人員管理的角度來探討出現(xiàn)這些事故的根本原因?�!爸丶夹g(shù)�、輕管理”是當(dāng)前很多電子商務(wù)企業(yè)的通病。由于管理手段不到位��,很多先進(jìn)的安全技術(shù)無法發(fā)揮應(yīng)有的效能��。之所以出現(xiàn)上述問題�,主要有以下原因:
首先,很多企業(yè)管理高層對人員管理在信息安全中的地位認(rèn)識不足�。大多數(shù)企業(yè)將電子商務(wù)網(wǎng)絡(luò)作為一項純粹的技術(shù)工程來實施�,企業(yè)內(nèi)部缺乏系統(tǒng)的安全管理策略,只是被動的使用一些技術(shù)措施來進(jìn)行防御��,因此電子商務(wù)過程中一旦出現(xiàn)突發(fā)性事件,往往造成很大的經(jīng)濟(jì)損失?���,F(xiàn)實中沒有一個網(wǎng)絡(luò)系統(tǒng)是完美無缺的,不安全因素隨時存在���。因此���,安全管理措施必須滲透到系統(tǒng)的每一個環(huán)節(jié)和企業(yè)組織的~個層面,只有構(gòu)建一個人與技術(shù)相結(jié)合的安全管理體系����,才能確保整個電子商務(wù)系統(tǒng)得安全。
企業(yè)沒有從整體上�、有計劃地考慮信息安全問題。企業(yè)各部門��、各下屬機(jī)構(gòu)都存在“各自為政的局面����,缺少統(tǒng)一規(guī)劃、設(shè)計和管理信息安全強(qiáng)調(diào)的是整體上的信息安全性���,而不僅是某一個部門或公司的信息安全���。而各部門��、各公司又確實存在個體差異��,對于不同業(yè)務(wù)領(lǐng)域來說����,信息安全具有不同的涵義和特征����,信息安全保障體系的戰(zhàn)略性必須涵蓋各部門和各公司的信息安全保障體系的相關(guān)內(nèi)容。
缺少信息安全管理配套的人力��、物力和財力���。人才是信息安全保障工作的關(guān)鍵���。信息安全保障工作的專業(yè)性、技術(shù)性很強(qiáng)���,沒有一批業(yè)務(wù)能力強(qiáng)��,且具有信息網(wǎng)絡(luò)知識�����、信息安全技術(shù)�����、法律知識和管理能力的復(fù)合型人才和專門人才��,就不可能做好信息安全保障工作���。應(yīng)該從信息安全建設(shè)和管理對信息安全人才的實際需求出發(fā),加快信息安全人才的培養(yǎng)���。
企業(yè)對員工的信息安全教育不夠��。員工的信息安全意識薄弱���,9O%的安全事故是由于人為疏忽所造成。如有些企業(yè)不限制內(nèi)部人員使用各種高科技信息載體��,如U盤�����、移動硬盤以及筆記本等移動辦公設(shè)備。
3�����、加強(qiáng)電子商務(wù)安全管理的建議
電子商務(wù)信息安全管理實踐表明��,大多數(shù)安全問題是由于管理不善造成的��。安全管理是一項系統(tǒng)工程�,不僅涉及到企業(yè)的組織架構(gòu)、信息技術(shù)�、人員素質(zhì)等各個方面,還牽扯到國家法律和商業(yè)規(guī)則�。企業(yè)內(nèi)部存在著諸多影響信息安全的因素:改變lT系統(tǒng)不等于改變企業(yè)的信息安全管理,要使企業(yè)信息盡可能的安全���,必須在技術(shù)投人的基礎(chǔ)上融人人在管理方面的智慧i同時�����,不僅要防外��,更要防內(nèi)���,即對組織內(nèi)部人員的管理�����。信息安全問題的解決需要技術(shù)��,但又不能單純依靠技術(shù)。整個電子商務(wù)的交易過程��,是人與技術(shù)相互融合的過程�,如何使管理與技術(shù)相得益彰十分重要?!叭旨夹g(shù),七分管理”闡述了信息安全的本質(zhì)���。
電子商務(wù)的安全管理�����,就是通過一個完整的綜合保障體系�����,來規(guī)避信息傳輸風(fēng)險�、信用風(fēng)險、管理風(fēng)險和法律風(fēng)險�����,以保證網(wǎng)上交易的順利進(jìn)行��。網(wǎng)上交易安全管理���,應(yīng)采用綜合防范的思路�����,一是技術(shù)方面的考慮�����,如防火墻技術(shù)�、網(wǎng)絡(luò)防毒���、信息加密���、身份認(rèn)證、授權(quán)等�,但必須明確,只有技術(shù)措施并不能完全保證網(wǎng)上交易的安全。二是必須加強(qiáng)監(jiān)管���,建立各種有關(guān)的合理制度����,并加強(qiáng)嚴(yán)格監(jiān)督��,如建立交易的安全制度����、交易安全的實時監(jiān)控�、提供實時改變安全策略的能力、對現(xiàn)有的安全系統(tǒng)漏洞的檢查以及安全教育等�。為了加強(qiáng)企業(yè)電子商務(wù)的信息安全,我們提出如下建議:
(1)提高網(wǎng)絡(luò)安全防范意識�����。
現(xiàn)在許多企業(yè)沒有意識到互聯(lián)網(wǎng)的易受攻擊性����,盲目相信國外的加密軟件,對于系統(tǒng)的訪問權(quán)限和密鑰缺乏有力度的管理�。這樣的系統(tǒng)一旦受到攻擊將十分脆弱,其中的機(jī)密數(shù)據(jù)得不到應(yīng)有的保護(hù)。據(jù)調(diào)查�,目前國內(nèi)90%的網(wǎng)站存在安全問題,其主要原因是企業(yè)管理者缺少或沒有安全意識����。某些企業(yè)網(wǎng)絡(luò)管理員甚至認(rèn)為其公司規(guī)模較小,不會成為黑客的攻擊目標(biāo)�����,如此態(tài)度���,網(wǎng)絡(luò)安全更是無從談起�。應(yīng)該定期由公司或安全管理小組承辦信息安全講座���,只有提高網(wǎng)絡(luò)安全防范意識�����,才能有效的減少信息安全事故的發(fā)生����。
(2)建立電子商務(wù)安全管理組織體系�����。
一個完整的信息安全管理體系首先應(yīng)建立完善的組織體系。即建立由行政領(lǐng)導(dǎo)�����、IT技術(shù)主管�、信息安全主管、本系統(tǒng)用戶代表和安全顧問組成的安全決策機(jī)構(gòu)���。其職責(zé)是建立管理框架�,組織審批安全策略�����、安全管理制度�����,指派安全角色���,分配安全職責(zé),并檢查安全職責(zé)是否已被正確履行�����,核準(zhǔn)新信息處理設(shè)施的啟用、組織安全管理專題會等�����。還應(yīng)建立由網(wǎng)絡(luò)管理員�����、系統(tǒng)管理員�����、安全管理員���、用戶管理員等組成的安全執(zhí)行機(jī)構(gòu)�。該機(jī)構(gòu)負(fù)責(zé)起草網(wǎng)絡(luò)系統(tǒng)的安全策略�、執(zhí)行批準(zhǔn)后的安全策略、日常的安全運(yùn)行和維護(hù)��、定期的培訓(xùn)和安全檢查等��。如果需要�����,還可建立安全顧問機(jī)構(gòu)。安全顧問機(jī)構(gòu)可聘請信息安全專家擔(dān)任系統(tǒng)安全顧問�����,負(fù)責(zé)提供安全建議���,特別是在安全事故或違反安全策略事件發(fā)生后���,可以被安全決策機(jī)構(gòu)指定負(fù)責(zé)事故(事件)調(diào)查,并為安全策略評審和評估提供意見��。
(3)制定符合機(jī)構(gòu)安全需求的信息安全策略���。電子商務(wù)交
易過程中���,需要明確的安全策略主要包括客戶認(rèn)證策略����、加密策略、日常維護(hù)策略��、防病毒策略等安全技術(shù)方案的選擇。安全執(zhí)行機(jī)構(gòu)應(yīng)根據(jù)本信息網(wǎng)絡(luò)的實際情況制定相應(yīng)的信息安全策略�,策略中應(yīng)明確安全的定義、目標(biāo)���、范圍和管理責(zé)任�����,并制定安全策略的實施細(xì)則��。安全策略文檔要由安全決策機(jī)構(gòu)審查�����、批準(zhǔn)����,并和傳達(dá)給所有的人安全策略還應(yīng)由安全決策機(jī)構(gòu)定期進(jìn)行有效性審查和評估:在發(fā)生重大的安全事故�、發(fā)現(xiàn)新的脆弱性、組織體系或技術(shù)上發(fā)生變更時��,應(yīng)重新進(jìn)行安全策略的審查和評估��。
(4)人員安全的管理和培訓(xùn)
參與網(wǎng)上交易的經(jīng)營管理人員在很大程度上支配著企業(yè)的命運(yùn)���,他們承擔(dān)著防范網(wǎng)絡(luò)犯罪的任務(wù)�。而計算機(jī)網(wǎng)絡(luò)犯罪同一般犯罪不同的是,他們具有智能性����、隱蔽性、連續(xù)性����、高效性的特點(diǎn),因而���,加強(qiáng)對有關(guān)人員的管理變得十分重要�。首先����,在人員錄用時應(yīng)做好人員鑒別,人員錄用或人員職位調(diào)整時�,一般要簽署保密協(xié)議。當(dāng)人員到期離開或協(xié)議到期����、工作終止時�,要審查保密協(xié)議��。其次對有關(guān)人員進(jìn)行上崗培訓(xùn)����,建立人員培訓(xùn)計劃���,定期組織安全策略和規(guī)程方面的培訓(xùn)��。第三�,落實工作責(zé)任制��,在崗位職責(zé)中明確本崗位執(zhí)行安全政策的常規(guī)職責(zé)和本崗位保護(hù)特定資產(chǎn)����、執(zhí)行特定安全過程或活動的特別職責(zé),對違反網(wǎng)上交易安全規(guī)定的人員要進(jìn)行及時的處理�����。第四��,貫徹網(wǎng)上交易安全運(yùn)作基本原則���,包括職責(zé)分離����、雙人負(fù)責(zé)、任期有限�����、最小權(quán)限����、個人可信賴性等。
(5)增強(qiáng)法律意識��,促進(jìn)電子商務(wù)立法
面對電子商務(wù)這種新型的貿(mào)易形式�����,我國目前尚無專門法規(guī)可依���,使得部分違法犯罪人員沒有得到應(yīng)有的懲罰����。近幾年里�����,國家加強(qiáng)了這方面的投入。在全國性的立法文件中��,《合同法》的部分條款可以看作是針對電子商務(wù)的立法�����。此外�,廣東省制定的《廣東省電子交易管理條例》這個地方性的法規(guī)可以看作是對加快我國電子商務(wù)立法的有益探索�。《中華人民共和國電子簽名法》是對主要用于電子商務(wù)活動��,電子政務(wù)等其他應(yīng)用應(yīng)該有新的適用法規(guī)����。
篇4
0引言
美國等發(fā)達(dá)國家,通過Internet進(jìn)行電子商務(wù)的交易已成為潮流�����。隨著internet的發(fā)展和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善�,我國的電子商務(wù)雖已初具規(guī)模,但是安全問題卻成為發(fā)展電子商務(wù)亟待解決的問題�����。電子商務(wù)過程中,買賣雙方是通過網(wǎng)絡(luò)聯(lián)系的���,由于internet是開放性網(wǎng)絡(luò)����,建立交易雙方的安全和信任關(guān)系較為困難���,因此本文對電子商務(wù)網(wǎng)絡(luò)支付上的安全問題進(jìn)行探討分析����。
1電子商務(wù)的概念和特點(diǎn)
1)電子商務(wù)的概念:電子商務(wù)(ElectronicCommerce)是通過電信網(wǎng)絡(luò)進(jìn)行的生產(chǎn)���、營銷�、銷售�、流通等活動,不僅是指基于因特網(wǎng)上的交易�,而且還指利用電子信息技術(shù)實現(xiàn)解決問題、降低成本��、增加價值����、創(chuàng)造商機(jī)的商務(wù)活動[1]��。
2)電子商務(wù)的特點(diǎn):(1)電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化�、數(shù)字化��。不僅以電子流代替了實物流���,大量減少了人力物力,降低了成本�;而且突破了時間空間的限制,使得交易活動可在任何時間�����、任何地點(diǎn)進(jìn)行�,大大提高了效率。(2)電子商務(wù)使企業(yè)能以較低成本進(jìn)入全球電子化市場,也使中小企業(yè)可能擁有與大企業(yè)一樣的信息資源�,提高了中小企業(yè)的競爭能力。(3)電子商務(wù)重新定義了傳統(tǒng)的流通模式����,減少了中間環(huán)節(jié),使得生產(chǎn)者和消費(fèi)者的直接交易成為可能���,從而一定程度上改變了社會經(jīng)濟(jì)的運(yùn)行方式�����。(4)電子商務(wù)提供了豐富的信息資源���,為社會經(jīng)濟(jì)要素的重新組合提供了更多的可能���,這將影響到社會的經(jīng)濟(jì)布局和結(jié)構(gòu)。
2電子商務(wù)安全的技術(shù)體系
1)物理安全�。首先根據(jù)國家標(biāo)準(zhǔn)、信息安全等級和資金狀況�,制定適合的物理安全要求,并經(jīng)建設(shè)和管理達(dá)到相關(guān)標(biāo)準(zhǔn)[2]�。再者,關(guān)鍵的系統(tǒng)資源(包括主機(jī)���、應(yīng)用服務(wù)器��、安全隔離網(wǎng)閘GAP等設(shè)備)���,通信電路以及物理介質(zhì)(軟/硬磁盤、光盤���、IC卡����、PC卡等)、應(yīng)有加密�、電磁屏蔽等保護(hù)措施,均應(yīng)放在物理上安全的地方��。
2)網(wǎng)絡(luò)安全�。網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易順利進(jìn)行�����,要求電子商務(wù)平臺要穩(wěn)定可靠��,能夠不中斷地提供服務(wù)����。系統(tǒng)的任何中斷(如硬件����、軟件錯誤,網(wǎng)絡(luò)故障�����、病毒等)都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時刻和地點(diǎn)的有效性得不到保證��,往往會造成巨大的經(jīng)濟(jì)損失����。
3)商務(wù)安全。主要是指商務(wù)交易在網(wǎng)絡(luò)媒介中出現(xiàn)的安全問題�,包括防止商務(wù)信息被竊取、篡改���、偽造��、交易行為被抵賴�,即要實現(xiàn)電子商務(wù)的保密性���、完整性����、真實性��、不可抵賴性��。商務(wù)安全的各方面也要通過不同的網(wǎng)絡(luò)安全技術(shù)和安全交易標(biāo)準(zhǔn)實現(xiàn),加解密技術(shù)保證了交易信息的保密性��,也解決了用戶密碼被盜取的問題��;數(shù)字簽名是實現(xiàn)對原始報文完整性的鑒別�,它與身份認(rèn)證和審查系統(tǒng)一起可杜絕交易的偽造和抵賴行為。保證電子商務(wù)安全的主要技術(shù)有:在線支付協(xié)議(安全套接層SSL協(xié)議和安全電子交易SET協(xié)議)�、文件加密技術(shù)、數(shù)字簽名技術(shù)��、電子商務(wù)認(rèn)證中心(CA)�����。
4)系統(tǒng)安全���。主要是保護(hù)主機(jī)上的操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的安全。對于保護(hù)系統(tǒng)安全����,總體思路是:通過安全加固,解決管理方面安全漏洞�;然后采用安全技術(shù)設(shè)備,增強(qiáng)其安全防護(hù)能力���。
3安全管理過程監(jiān)督
3.1加強(qiáng)全過程的安全管理
1)網(wǎng)絡(luò)規(guī)劃階段�����,就要加強(qiáng)對信息安全建設(shè)和管理的規(guī)劃�。信息安全建設(shè)需要投入一定的人力、物力���、財力���。要根據(jù)狀況實事求是地確定網(wǎng)絡(luò)的安全總體目標(biāo)和階段目標(biāo)、分段實施���、降低投資風(fēng)險��。2)工程建設(shè)階段���,建設(shè)管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設(shè)各個階段工作的重要內(nèi)容���,要加強(qiáng)對開發(fā)(實施)人員��、版本控制的管理�����,要加強(qiáng)對開發(fā)環(huán)境�����、用戶路由設(shè)置����、關(guān)鍵代碼的檢查[3]。3)在運(yùn)行維護(hù)階段���,要注意以下事項:(1)建立有效的安全管理組織架構(gòu)����,明確職責(zé)���,理順流程,實施高效管理��。(2)按照分級管理原則����,嚴(yán)格管理內(nèi)部用戶帳號和密碼�����,進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)�,防止非法占用���、冒用合法用戶帳號和密碼�。(3)制定完善的安全管理制度���,加強(qiáng)信息網(wǎng)的操作系統(tǒng)����、數(shù)據(jù)庫���、網(wǎng)絡(luò)設(shè)備����、應(yīng)用系統(tǒng)運(yùn)行維護(hù)過程的安全管理����。(4)要建立應(yīng)急預(yù)察體系����,建立網(wǎng)絡(luò)安全維護(hù)日志�,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時便于跟蹤查詢��,還要定期檢查日志����,以便及時發(fā)現(xiàn)潛在的安全威脅。
3.2建立動態(tài)的閉環(huán)管理流程
網(wǎng)絡(luò)處于不斷地建設(shè)和調(diào)整中����,可能發(fā)現(xiàn)新的安全漏洞,因此需要建立動態(tài)的�����、閉環(huán)的管理流程��。要在整體安全策略的控制和指導(dǎo)下��,通過安全評估和檢測工具(如漏洞掃描��,入侵檢測等)及時了解網(wǎng)絡(luò)存在的安全問題和安全隱患�����,據(jù)此制定安全建設(shè)規(guī)劃和加固方案���,綜合應(yīng)用各種安全防護(hù)產(chǎn)品(如防火墻�����、身份認(rèn)證等手段)����,將系統(tǒng)調(diào)整到相對安全的狀態(tài)��。并要注意以下兩點(diǎn):1)對于一個企業(yè)而言���,安全策略是支付信息安全的核心��,因此制定明確的有效的安全策略是非常重要的�。安全組織要根據(jù)這個策略制定詳細(xì)的流程�����、規(guī)章制度����、標(biāo)準(zhǔn)和安全建設(shè)規(guī)劃����、方案�,保證這些系列策略規(guī)范在整個企業(yè)范圍內(nèi)貫徹實施,從而保護(hù)企業(yè)的投資和信息資源安全���。2)要制定完善的����、符合企業(yè)實際的信息安全策略���,就須先對企業(yè)信息網(wǎng)的安全狀況進(jìn)行評估�,即對信息資產(chǎn)的安全技術(shù)和管理現(xiàn)狀進(jìn)行評估�,讓企業(yè)對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略���,指導(dǎo)信息安全的建設(shè)和管理工作�����。
4結(jié)束語
本文分析了目前電子商務(wù)網(wǎng)絡(luò)支付安全方面的主要技術(shù)狀況�,安全技術(shù)可以說是網(wǎng)絡(luò)技術(shù)中較為尖端的技術(shù),都是非常先進(jìn)的技術(shù)手段����;只要運(yùn)用得當(dāng)��,配合相應(yīng)的安全管理措施�����,基本能夠保證電子商務(wù)中網(wǎng)絡(luò)支付的安全�����;但不是100%的絕對安全�,而是相對安全。隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步與信用機(jī)制的完善���,網(wǎng)絡(luò)支付定會越來越安全�����。
參考文獻(xiàn)
篇5
0引言
美國等發(fā)達(dá)國家,通過Internet進(jìn)行電子商務(wù)的交易已成為潮流���。隨著internet的發(fā)展和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善,我國的電子商務(wù)雖已初具規(guī)模,但是安全問題卻成為發(fā)展電子商務(wù)亟待解決的問題��。電子商務(wù)過程中,買賣雙方是通過網(wǎng)絡(luò)聯(lián)系的,由于internet是開放性網(wǎng)絡(luò),建立交易雙方的安全和信任關(guān)系較為困難,因此本文對電子商務(wù)網(wǎng)絡(luò)支付上的安全問題進(jìn)行探討分析����。
1電子商務(wù)的概念和特點(diǎn)
1)電子商務(wù)的概念:電子商務(wù)(Electronic Commerce)是通過電信網(wǎng)絡(luò)進(jìn)行的生產(chǎn)��、營銷���、銷售�����、流通等活動,不僅是指基于因特網(wǎng)上的交易,而且還指利用電子信息技術(shù)實現(xiàn)解決問題��、降低成本�、增加價值�、創(chuàng)造商機(jī)的商務(wù)活動[1]。
2)電子商務(wù)的特點(diǎn):(1)電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化���、數(shù)字化����。不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點(diǎn)進(jìn)行,大大提高了效率��。(2)電子商務(wù)使企業(yè)能以較低成本進(jìn)入全球電子化市場,也使中小企業(yè)可能擁有與大企業(yè)一樣的信息資源,提高了中小企業(yè)的競爭能力����。(3)電子商務(wù)重新定義了傳統(tǒng)的流通模式,減少了中間環(huán)節(jié),使得生產(chǎn)者和消費(fèi)者的直接交易成為可能,從而一定程度上改變了社會經(jīng)濟(jì)的運(yùn)行方式。(4)電子商務(wù)提供了豐富的信息資源,為社會經(jīng)濟(jì)要素的重新組合提供了更多的可能,這將影響到社會的經(jīng)濟(jì)布局和結(jié)構(gòu)��。
2電子商務(wù)安全的技術(shù)體系
1)物理安全�。首先根據(jù)國家標(biāo)準(zhǔn)����、信息安全等級和資金狀況,制定適合的物理安全要求,并經(jīng)建設(shè)和管理達(dá)到相關(guān)標(biāo)準(zhǔn)[2]。再者,關(guān)鍵的系統(tǒng)資源(包括主機(jī)��、應(yīng)用服務(wù)器�����、安全隔離網(wǎng)閘GAP等設(shè)備),通信電路以及物理介質(zhì)(軟/硬磁盤��、光盤���、IC卡��、PC卡等)�����、應(yīng)有加密����、電磁屏蔽等保護(hù)措施,均應(yīng)放在物理上安全的地方。
2)網(wǎng)絡(luò)安全����。網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易順利進(jìn)行,要求電子商務(wù)平臺要穩(wěn)定可靠,能夠不中斷地提供服務(wù)���。系統(tǒng)的任何中斷(如硬件����、軟件錯誤,網(wǎng)絡(luò)故障����、病毒等)都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時刻和地點(diǎn)的有效性得不到保證,往往會造成巨大的經(jīng)濟(jì)損失。
3)商務(wù)安全����。主要是指商務(wù)交易在網(wǎng)絡(luò)媒介中出現(xiàn)的安全問題,包括防止商務(wù)信息被竊取、篡改、偽造���、交易行為被抵賴,即要實現(xiàn)電子商務(wù)的保密性��、完整性����、真實性��、不可抵賴性�。商務(wù)安全的各方面也要通過不同的網(wǎng)絡(luò)安全技術(shù)和安全交易標(biāo)準(zhǔn)實現(xiàn),加解密技術(shù)保證了交易信息的保密性,也解決了用戶密碼被盜取的問題;數(shù)字簽名是實現(xiàn)對原始報文完整性的鑒別,它與身份認(rèn)證和審查系統(tǒng)一起可杜絕交易的偽造和抵賴行為。保證電子商務(wù)安全的主要技術(shù)有:在線支付協(xié)議(安全套接層SSL協(xié)議和安全電子交易SET協(xié)議)�����、文件加密技術(shù)�、數(shù)字簽名技術(shù)�、電子商務(wù)認(rèn)證中心(CA)。
4)系統(tǒng)安全���。主要是保護(hù)主機(jī)上的操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的安全����。對于保護(hù)系統(tǒng)安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術(shù)設(shè)備,增強(qiáng)其安全防護(hù)能力。
3安全管理過程監(jiān)督
3.1加強(qiáng)全過程的安全管理
1)網(wǎng)絡(luò)規(guī)劃階段,就要加強(qiáng)對信息安全建設(shè)和管理的規(guī)劃���。信息安全建設(shè)需要投入一定的人力����、物力���、財力�。要根據(jù)狀況實事求是地確定網(wǎng)絡(luò)的安全總體目標(biāo)和階段目標(biāo)��、分段實施�����、降低投資風(fēng)險����。2)工程建設(shè)階段,建設(shè)管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設(shè)各個階段工作的重要內(nèi)容,要加強(qiáng)對開發(fā)(實施)人員、版本控制的管理,要加強(qiáng)對開發(fā)環(huán)境�����、用戶路由設(shè)置��、關(guān)鍵代碼的檢查[3]。3)在運(yùn)行維護(hù)階段,要注意以下事項:(1)建立有效的安全管理組織架構(gòu),明確職責(zé),理順流程,實施高效管理�����。(2)按照分級管理原則,嚴(yán)格管理內(nèi)部用戶帳號和密碼,進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn),防止非法占用�����、冒用合法用戶帳號和密碼�。(3)制定完善的安全管理制度,加強(qiáng)信息網(wǎng)的操作系統(tǒng)、數(shù)據(jù)庫�����、網(wǎng)絡(luò)設(shè)備��、應(yīng)用系統(tǒng)運(yùn)行維護(hù)過程的安全管理�。(4)要建立應(yīng)急預(yù)察體系,建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時便于跟蹤查詢,還要定期檢查日志,以便及時發(fā)現(xiàn)潛在的安全威脅���。
3.2建立動態(tài)的閉環(huán)管理流程
網(wǎng)絡(luò)處于不斷地建設(shè)和調(diào)整中,可能發(fā)現(xiàn)新的安全漏洞,因此需要建立動態(tài)的���、閉環(huán)的管理流程。要在整體安全策略的控制和指導(dǎo)下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網(wǎng)絡(luò)存在的安全問題和安全隱患,據(jù)此制定安全建設(shè)規(guī)劃和加固方案,綜合應(yīng)用各種安全防護(hù)產(chǎn)品(如防火墻����、身份認(rèn)證等手段),將系統(tǒng)調(diào)整到相對安全的狀態(tài)�。并要注意以下兩點(diǎn):1)對于一個企業(yè)而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的��。安全組織要根據(jù)這個策略制定詳細(xì)的流程���、規(guī)章制度�、標(biāo)準(zhǔn)和安全建設(shè)規(guī)劃�、方案,保證這些系列策略規(guī)范在整個企業(yè)范圍內(nèi)貫徹實施,從而保護(hù)企業(yè)的投資和信息資源安全。2)要制定完善的��、符合企業(yè)實際的信息安全策略,就須先對企業(yè)信息網(wǎng)的安全狀況進(jìn)行評估,即對信息資產(chǎn)的安全技術(shù)和管理現(xiàn)狀進(jìn)行評估,讓企業(yè)對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導(dǎo)信息安全的建設(shè)和管理工作�。
4結(jié)束語
本文分析了目前電子商務(wù)網(wǎng)絡(luò)支付安全方面的主要技術(shù)狀況,安全技術(shù)可以說是網(wǎng)絡(luò)技術(shù)中較為尖端的技術(shù),都是非常先進(jìn)的技術(shù)手段;只要運(yùn)用得當(dāng),配合相應(yīng)的安全管理措施,基本能夠保證電子商務(wù)中網(wǎng)絡(luò)支付的安全;但不是100%的絕對安全,而是相對安全。隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步與信用機(jī)制的完善,網(wǎng)絡(luò)支付定會越來越安全�����。
參考文獻(xiàn)
篇6
1 引言
隨著互聯(lián)網(wǎng)的快速發(fā)展��,人們的生活方式有了非常大的改變�,對應(yīng)的經(jīng)濟(jì)社會也受到了巨大的影響。在商業(yè)貿(mào)易領(lǐng)域�����,因為網(wǎng)絡(luò)的快速發(fā)展,產(chǎn)生了電子商務(wù)這樣一種貿(mào)易方式�。但是電子商務(wù)也是經(jīng)歷了一番坎坷的,因為網(wǎng)絡(luò)的特殊性����,在電子商務(wù)發(fā)展中產(chǎn)生了交易安全的問題,對電子商務(wù)的穩(wěn)定發(fā)展帶來了一定的沖擊����。Internet網(wǎng)是一個互連通的自由空間,一些人常常會因為某些目的攻擊電子商務(wù)網(wǎng)站�,比如盜竊資金、商業(yè)打擊��、惡作劇等����,導(dǎo)致有些企業(yè)的電子商務(wù)網(wǎng)站貿(mào)易交流受損、服務(wù)暫停��,甚至出現(xiàn)資金被盜的現(xiàn)象�。據(jù)有關(guān)數(shù)據(jù)的統(tǒng)計����,美國每年因為網(wǎng)絡(luò)安全問題在經(jīng)濟(jì)上造成的損失就達(dá)到近百億美元�,而國內(nèi)的情況也不容樂觀��。因此�����,當(dāng)我們在享受互聯(lián)網(wǎng)給生活帶來的這些好處的時候����,網(wǎng)絡(luò)的安全問題,早已變成電子商務(wù)的重大難題��,給電子商務(wù)企業(yè)的發(fā)展帶來了極大的阻礙�。所以,計算機(jī)網(wǎng)絡(luò)安全是電子商務(wù)發(fā)展過程中所面臨的重大挑戰(zhàn)和問題���。電子商務(wù)企業(yè)必須從維護(hù)顧客利益和自身利益出發(fā)�����,做好安全防范和自身安全管理工作��,才能得到持續(xù)快速的發(fā)展���。
2 電子商務(wù)面對的網(wǎng)絡(luò)安全問題
當(dāng)前�����,電子商務(wù)安全問題受到多方面的影響��,不但有技術(shù)管理的問題����,而且也有網(wǎng)絡(luò)缺陷的因素�,具體地說,直接原因有以下幾點(diǎn):
2.1 網(wǎng)絡(luò)“黑客”侵犯電子商務(wù)網(wǎng)站
網(wǎng)絡(luò)黑客是專門在網(wǎng)絡(luò)中利用本身掌握的技術(shù)非法強(qiáng)行進(jìn)入他人網(wǎng)站后臺的人��,這類人具有高超的網(wǎng)絡(luò)技術(shù)��,能夠不受電子商務(wù)網(wǎng)站技術(shù)防護(hù)的限制�。許多“黑客”篡改內(nèi)容信息、破壞網(wǎng)站�;盜取商戶或企業(yè)的賬戶資金,極大地影響了電子商務(wù)的正常進(jìn)行���。
2.2 電子商務(wù)軟件有漏洞
許多軟件研發(fā)單位研發(fā)的技術(shù)不成熟的電子商務(wù)軟件���,存在許多安全漏洞,防護(hù)極易被外來入侵者利用漏洞攻破,導(dǎo)致電子商務(wù)企業(yè)受到很大的經(jīng)濟(jì)損失����;有的企業(yè)即使安裝了防護(hù)軟件����,但由于軟件沒有得到及時升級,致使軟件喪失了應(yīng)有防護(hù)功能�。
2.3 電子商務(wù)網(wǎng)絡(luò)自身存在安全問題
網(wǎng)絡(luò)具有共享性、開放性等特點(diǎn)�����,它的設(shè)計原則是確保信息傳輸不會受到局部損壞的影響���。所以��,對網(wǎng)站安全帶來了極大的隱患�。特別是對電子商務(wù)企業(yè)情況更加嚴(yán)峻��。
2.4 網(wǎng)站管理的缺失
由于電子商務(wù)企業(yè)缺乏警惕性����,不重視網(wǎng)絡(luò)安全的管理,通常只有在受到攻擊以后才會去加強(qiáng)網(wǎng)站安全;部分企業(yè)則以為只要安裝了入侵監(jiān)測系統(tǒng)�、殺毒軟件、防火墻等安全產(chǎn)品���,就能保障網(wǎng)站的安全�,所以沒有根據(jù)企業(yè)實際情況制定相應(yīng)的管理制度�,也沒有加強(qiáng)技術(shù)防范,給入侵者提供了機(jī)會�����。
3 應(yīng)對的措施
電子商務(wù)安全問題是在網(wǎng)絡(luò)化�、電子化技術(shù)發(fā)展的前提下出現(xiàn)的,所以很多傳統(tǒng)的解決辦法不能簡單地應(yīng)用過來���。電子商務(wù)企業(yè)想要取得效益�����,就要從企業(yè)的健康發(fā)展出發(fā)����,改善企業(yè)的安全管理���,提高技術(shù)投入�����。具體的防范措施有: 3.1 安全技術(shù)管理需要加強(qiáng)
需要重視電子商務(wù)網(wǎng)站的維護(hù)��、升級等方面���,做好每天的安全備份,加強(qiáng)網(wǎng)站服務(wù)器的管理�����。制定安全防范預(yù)案��,只要發(fā)生安全事件����,能夠得到盡快解決,從而減少損失�����。使用權(quán)威性較強(qiáng)的安全防護(hù)軟件����,并能夠正常啟動����、正常升級��,發(fā)揮應(yīng)有的防護(hù)功能����。
3.2 在電子安全方面擴(kuò)大管理和技術(shù)投入
企業(yè)需要加大安全方面的資金投入,購買技術(shù)防護(hù)設(shè)備��,加大對技術(shù)改造與設(shè)備更新的投入��。引進(jìn)安全管理的相關(guān)技術(shù)�����,招聘相應(yīng)的管理人才����,并進(jìn)行適當(dāng)?shù)拇鰞A斜,確保安全管理團(tuán)隊的穩(wěn)定��。
3.3 使用密碼管理技術(shù)
電子商務(wù)中最重要的防范環(huán)節(jié)是密碼管理�����,要使用先進(jìn)的密碼管理手段,確保能發(fā)揮特定的功能���,重點(diǎn)有交易信息安全�、身份認(rèn)證安全和賬戶安全等�����。
3.4 電子商務(wù)企業(yè)自身的管理需要得到強(qiáng)化
篇7
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1671-7597(2013)16-0163-01
近年來隨著電子商務(wù)的迅猛發(fā)展����,每天進(jìn)行著數(shù)以百萬次計的各類交易中���,電子商務(wù)中的網(wǎng)絡(luò)安全問題日漸突出����,又由于電子商務(wù)應(yīng)用環(huán)境比較復(fù)雜���,計算機(jī)網(wǎng)絡(luò)本身又存在著不可靠性和脆弱性�,所以電子商務(wù)交易中存在一些安全隱患���。中國互聯(lián)網(wǎng)信息中心的調(diào)查結(jié)果中指出�����,一半以上的用戶最關(guān)心的是交易是否安全可靠�����。那么�����,電子商務(wù)面臨哪些安全問題���?又有哪些解決方法呢��?
1 電子商務(wù)面臨的安全問題
1.1 商務(wù)軟件本身存在的安全問題
任何一種商務(wù)軟件的程序都具有復(fù)雜性和編程多樣性�,而對于程序而言�����,越復(fù)雜意味著漏洞出現(xiàn)的可能性越大����。
1)操作系統(tǒng)問題���。操作系統(tǒng)是計算機(jī)網(wǎng)絡(luò)系統(tǒng)中最重要的系統(tǒng)軟件之一,由于操作系統(tǒng)在安裝時存在端口開放����、無認(rèn)證服務(wù)和初始化配置問題,存在一些安全缺陷���,這樣會使系統(tǒng)處于不安全的狀態(tài)�����,任一操作系統(tǒng)都會存在一些安全漏洞�,這些安全漏洞都會影響到很大范圍內(nèi)的網(wǎng)絡(luò)安全����,由此�����,給不法分子趁機(jī)實施犯罪帶來可乘之機(jī)�。
2)網(wǎng)絡(luò)協(xié)議問題。由于計算機(jī)網(wǎng)絡(luò)最初網(wǎng)絡(luò)協(xié)議的設(shè)計�����,重在實現(xiàn)數(shù)據(jù)的交換,并沒有把網(wǎng)絡(luò)安全作為重點(diǎn)來考慮�,所以不利于商家之間、商家與消費(fèi)者之間交易時的相互通信����。如典型的TCP/IP協(xié)議就沒有安全方面的設(shè)計,這就給交易雙方帶來好處的同時�����,也埋下了安全隱患��。
1.2 信息安全問題
1)信息的泄露���。信息在網(wǎng)絡(luò)上傳遞時�,要經(jīng)過多個環(huán)節(jié)和渠道��。不管是物理的原因還是人為的因素���,都會造成信息的泄露��,如一些硬件設(shè)備受自然災(zāi)害的影響造成電磁的泄露��,再有信息在傳輸?shù)倪^程中沒有采用加密措施或加密強(qiáng)度不夠���,網(wǎng)絡(luò)犯罪分子就可能在網(wǎng)絡(luò)上安裝截收裝置獲取用戶的重要的信息��,如用戶的口令���、銀行的帳號等,嚴(yán)重威脅消費(fèi)者電子商務(wù)交易的安全����。
2)信息的篡改。未經(jīng)授權(quán)的攻擊者直接進(jìn)入網(wǎng)絡(luò)交易系統(tǒng)��,獲取了信息的內(nèi)容及格式后��,通過采取不同的技術(shù)手段和方式將信息進(jìn)行刪除����、修改����、重發(fā),使得數(shù)據(jù)改變原有的內(nèi)容���,破壞數(shù)據(jù)的完整性和一致性�,損害他人的經(jīng)濟(jì)利益,或干擾對方的正確決策����。
3)信息的偽造。網(wǎng)絡(luò)黑客通過某種技術(shù)手段冒充合法用戶的身份來破壞交易���,如發(fā)送偽造的信息來欺騙網(wǎng)絡(luò)中其它的用戶�����,或是冒充網(wǎng)絡(luò)控制程序來套取和修改使用權(quán)限��、密鑰等����。
1.3 信用安全問題
電子商務(wù)這種新型的商務(wù)活動自從20世紀(jì)90年代開始發(fā)展以來��,由于網(wǎng)絡(luò)環(huán)境下交易活動的虛擬性����,致使交易雙方的信用問題一直是世界各國關(guān)注的焦點(diǎn)。例如:買方進(jìn)行虛假訂單或提交訂單后不付款,集團(tuán)的購買者可能存在拖延貨款的行為�����;賣方收到貨款卻給予否認(rèn)或賣出的商品不能保證質(zhì)量或數(shù)量���,不能完全履行與買方簽定的合同���;交易雙方都存在抵賴的現(xiàn)象等。
1.4 安全管理問題
網(wǎng)上交易安全管理問題主要表現(xiàn)在人員管理上存在的問題�����。
人員管理常常在網(wǎng)上交易安全管理上最薄弱的環(huán)節(jié)�����。近年來����,由于企業(yè)工作人員職業(yè)道德修養(yǎng)不高,安全教育和管理松懈的主要原因�����,在我國計算機(jī)犯罪中大都呈現(xiàn)內(nèi)部犯罪的趨勢��。再有一些競爭對手還利用不正當(dāng)?shù)姆绞綕撊肫髽I(yè)��,竊取企業(yè)用戶的重要信息����,如用戶的賬號、密碼以及相關(guān)的重要文件資料等�����。
1.5 安全的法律保障問題
電子商務(wù)是一種新的商務(wù)方式���,由于電子商務(wù)相關(guān)法律還不完善�����,除在買賣雙方的電子交易中經(jīng)常會出現(xiàn)不同的網(wǎng)購糾份外��,還會存在域名的糾紛����、網(wǎng)絡(luò)著作權(quán)的侵犯����、網(wǎng)絡(luò)詐騙以及電子交易中各方的法律責(zé)任不明確等諸多的問題�����,又由于電子商務(wù)活動與傳統(tǒng)商務(wù)活動存在著很多的不同點(diǎn)�,傳統(tǒng)商務(wù)制定的相關(guān)法律又出現(xiàn)不適應(yīng)電子商務(wù)的狀況����,同時電子商務(wù)發(fā)展速度非常快�,而法律的修改制定又需要較長的時間,因此目前電子商務(wù)的相關(guān)法律還不能回避由于法律滯后而無法保證合法交易的權(quán)益所帶來的風(fēng)險���,有待進(jìn)一步修正完善��。
2 電子商務(wù)安全的對策
2.1 采取不同措施加強(qiáng)電子商務(wù)安全教育和宣傳��,提高電子商務(wù)安全意識
具體可采取以下措施:一是采取不同的宣傳方式�����,普及電子商務(wù)安全知識��,提高公眾的安全意識����;二是通過開設(shè)電子商務(wù)安全培訓(xùn)課程���,加強(qiáng)培養(yǎng)電子商務(wù)安全管理人才����。
2.2 采用網(wǎng)絡(luò)技術(shù)��,確保網(wǎng)絡(luò)信息安全
為了確保網(wǎng)絡(luò)的信息安全���,可以采用防火墻技術(shù)�,防火墻往往設(shè)在企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)之間�,是一種隔離設(shè)備,只允許授權(quán)信息通過����,能夠防止外部網(wǎng)上的各種危害侵入內(nèi)部網(wǎng)絡(luò),是實現(xiàn)網(wǎng)絡(luò)信息安全策略中最有效的工具之一���。實現(xiàn)防火墻的網(wǎng)絡(luò)信息安全策略時�,有兩條可以遵循的規(guī)則��,即未被明確允許的都將被禁止;未被明確禁止的都將允許����。前一種規(guī)則建立了一個非常安全的網(wǎng)絡(luò)環(huán)境,而后一種規(guī)則建立了一個非常靈活的環(huán)境����,給用戶提供了更多的服務(wù)。
2.3 運(yùn)用密碼技術(shù)����,強(qiáng)化通信安全
為了保證交易雙方身份的正確性,保證交易雙方的通信安全����,運(yùn)用各種加密技術(shù),數(shù)字信封技術(shù)是使用兩個層次的加密����,解決了網(wǎng)上信息傳輸?shù)谋C苄詥栴},數(shù)字指紋的應(yīng)用驗證了交易文件在傳輸過程中是否遭到破壞���,解決了防止網(wǎng)上信息假冒的問題�����,而數(shù)字簽名技術(shù)解決了交易雙方的身份認(rèn)證問題��。
2.4 加強(qiáng)人員管理��,確保安全管理
電子商務(wù)是一項高智商的勞動�。需要從業(yè)人員一方面具備傳統(tǒng)營銷的知識和經(jīng)驗,另一方面又必須具有相應(yīng)的計算機(jī)網(wǎng)絡(luò)知識和操作技能����。而當(dāng)今計算機(jī)網(wǎng)絡(luò)犯罪又具有高技術(shù)性��、智能性�、隱蔽性、連續(xù)性的特點(diǎn)���,因而���,對從事網(wǎng)絡(luò)營銷和企業(yè)內(nèi)部網(wǎng)絡(luò)維護(hù)人員進(jìn)行重點(diǎn)安全管理,落實每個工作人員的工作責(zé)任制��,完善企業(yè)內(nèi)部日常安全制度����。
2.5 健全法律�����,嚴(yán)格執(zhí)法
電子商務(wù)應(yīng)用環(huán)境是區(qū)別于傳統(tǒng)商業(yè)環(huán)境下的新環(huán)境�����,在傳統(tǒng)交易方式下適用的法律法規(guī)難以適用于新的環(huán)境�,又由于關(guān)于電子商務(wù)的立法還不完善��,需要在充分考慮到國內(nèi)環(huán)境的前提下�,盡快出臺專門針對電子商務(wù)交易的法律法規(guī),適應(yīng)電子商務(wù)運(yùn)作的法制環(huán)境��,解決存在各種問題���,如電子合同問題���、網(wǎng)上虛擬財產(chǎn)保護(hù)問題等,強(qiáng)化法律法規(guī)的可操作性���,加強(qiáng)與國際電子商務(wù)立法相接軌���,通過建立電子商務(wù)安全法規(guī)體系���,規(guī)范和維持網(wǎng)絡(luò)的正常運(yùn)行。
項目基金
本文系河北省社會科學(xué)發(fā)展研究課題�����,編號:201303063��。
參考文獻(xiàn)
篇8
電子信息安全管理中存在的問題
1 缺乏足夠的信息安全防范意識
盡管我國的信息技術(shù)發(fā)展很快����,但是����,在電子商務(wù)方面還處于初期階段,很多大規(guī)模���、標(biāo)準(zhǔn)化的電子商務(wù)平臺尚沒有搭建起來����。而在一些小型的電子商務(wù)平臺�,很多管理者認(rèn)為自身遭受“黑客”攻擊的可能性不大,所以�,其常常存在僥幸心理���,將更多的關(guān)注點(diǎn)放到了平臺規(guī)模的擴(kuò)大和系統(tǒng)功能開發(fā)上面。在這種思想的影響下����,系統(tǒng)的信息安全管理能力相當(dāng)薄弱,以至于常常成為攻擊的對象����。另外,還有很多管理者����,對市場上的安全管理軟件給予了絕對的信任,自己覺得只要安裝了這些高新產(chǎn)品���,就可以高枕無憂���,但是,往往殘酷的事實告訴他們不是這樣的���。
2 信息安全技術(shù)有所欠缺
目前��,國內(nèi)的信息安全管理技術(shù)已經(jīng)取得了很大的進(jìn)步���,然而��,相對于發(fā)達(dá)國家的信息安全防御與控制技術(shù)�,還存在很大的一段差距��。國內(nèi)的自主研發(fā)技術(shù)無論是在經(jīng)費(fèi)上��、還是人員上都存在很多不足之處�����。并且����,大多數(shù)的技術(shù)研究機(jī)構(gòu)都是過多地“借鑒”國外的先進(jìn)技術(shù)�����。如此一來����,國內(nèi)的電子信息安全管理質(zhì)量明顯不高。
3 信息安全產(chǎn)品的鑒定缺乏科學(xué)、規(guī)范性
很多企業(yè)在電子信息安全管理方面��,購置了大量的信息安全軟件�。這些軟件在一定程度上能夠有效地保證電子信息使用平臺的安全。但是�����,其并不能絕對地保障信息安全��。而且��,在安全產(chǎn)品的鑒定方面��,缺乏統(tǒng)一的鑒定標(biāo)準(zhǔn)���,很多都是主觀判斷�����。
電子信息安全管理有效措施
目前����,我國的很多企業(yè)在電子信息安全管理方面��,普遍的“重技術(shù),輕管理”��,加之高層領(lǐng)導(dǎo)對信息安全管理的重視程度不足�,以至于各項安全管理制度尚不完善。下面重點(diǎn)探索一些加強(qiáng)電子信息安全管理的主要措施��。
1 構(gòu)建完善的管理組織機(jī)構(gòu)
電子信息安全管理組織機(jī)構(gòu)主要包括了安全決策和執(zhí)行組織��。其中����,前者的職能主要是負(fù)責(zé)管理框架的構(gòu)建、安全制度的審批以及安全職責(zé)的分配以及監(jiān)督��。后者的主要工作是負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)安全制度的擬定�����、制定的執(zhí)行以及日常維護(hù)和業(yè)務(wù)培訓(xùn)等�。如果是大型的電子商務(wù)平臺或者集團(tuán)企業(yè),還可以聘請經(jīng)驗豐富的專家人員構(gòu)成顧問組織����。負(fù)責(zé)日常的業(yè)務(wù)咨詢以及安全事件發(fā)生后的責(zé)任評估和調(diào)查等����。
2 電子信息安全管理制度進(jìn)一步完善
電子信息安全管理制度主要包括:(1)構(gòu)建電子信息控制制度���。在各個業(yè)務(wù)流程中,明確各業(yè)務(wù)人的權(quán)限��,并將其納入到內(nèi)部控制制度當(dāng)中���,定期進(jìn)行執(zhí)行情況審核�;(2)構(gòu)建應(yīng)急措施��。在信息傳遞過程中�����,要對電子信息的記錄����、維護(hù)以及報告等環(huán)節(jié)進(jìn)行有效監(jiān)控。對數(shù)據(jù)文件進(jìn)行定期備份�。
3 提高安全方面的專業(yè)
目前,隨著互聯(lián)網(wǎng)的高度普及����,安全技術(shù)的研發(fā)速度已經(jīng)跟不上網(wǎng)絡(luò)的發(fā)展速度���,特別是在安全管理技術(shù)領(lǐng)域,而且��,相應(yīng)的技術(shù)人員也是嚴(yán)重不足�。所以,要在電子商務(wù)規(guī)模不斷擴(kuò)大的同時�,構(gòu)建強(qiáng)大的電子信息安全管理隊伍,提升安全技術(shù)的研究水平����。
4 系統(tǒng)安全檢測
病毒與黑客不斷的變換著形式對系統(tǒng)進(jìn)行著惡意的攻擊,因此��,技術(shù)人員要從多方位的技術(shù)角度對系統(tǒng)安全性進(jìn)行檢測���。查看防火墻是否受到攻擊�����;功能方面是否存在漏洞���;密碼設(shè)置的是否正確等,這些都需要技術(shù)人員認(rèn)真的進(jìn)行檢測�,稍有疏忽,就會受到惡意的攻擊�。
5 要建立保護(hù)系統(tǒng)的方案
系統(tǒng)的安全檢測不能實時進(jìn)行,這就需要建立系統(tǒng)安全防護(hù)措施�����。對于系統(tǒng)安全管理的復(fù)雜性����,尤其是電子商務(wù)這個依靠網(wǎng)絡(luò)平臺的企業(yè)必須制定一套有效的安全策略,使系統(tǒng)的安全性進(jìn)一步提高�����。只有建立了較為完善的安全策略���,才能在系統(tǒng)受到攻擊時��,把損失降到最低���。
6 定期進(jìn)行信息安全管理培訓(xùn)
對有關(guān)人員進(jìn)行上崗培訓(xùn),建立人員培訓(xùn)計劃�,定期組織安全制度和規(guī)程方面的培訓(xùn)。通過教育和培訓(xùn)改變企業(yè)員工對信息安全的態(tài)度���,使操作人員認(rèn)識到信息安全對企業(yè)的重要性��、企業(yè)安全規(guī)章制度的含義以及職責(zé)范圍內(nèi)需要注意的安全問題����。
7 貫徹電子商務(wù)交易安全運(yùn)作基本原則
包括職責(zé)分離、雙人負(fù)責(zé)�、任期有限、最小權(quán)限����、個人可信賴性等。
篇9
當(dāng)前��,我國電子政務(wù)的管理逐漸向信息化��、網(wǎng)絡(luò)化發(fā)展�����,提高了管理質(zhì)量�����、增強(qiáng)了管理效果。但是��,安全問題卻成為當(dāng)前電子政務(wù)管理中的關(guān)鍵問題��。如何有效提升電子政務(wù)外網(wǎng)的安全管理級別���,以保證網(wǎng)絡(luò)的安全、穩(wěn)健運(yùn)行成為當(dāng)前人們關(guān)注的話題��。但由于電子政務(wù)外網(wǎng)的安全管理涉及較廣(設(shè)備���、技術(shù)與管理)��,因此在安全管理中存在一定的難度��。以下筆者就對當(dāng)前我國的電子政務(wù)外網(wǎng)的安全管理策略進(jìn)行一些分析���,并提出相關(guān)建議。
1當(dāng)前我國電子商務(wù)外網(wǎng)的特點(diǎn)
電子商務(wù)外網(wǎng)是一種借助信息與通信技術(shù)��,為各級政府部門提供服務(wù)的應(yīng)用�。其具有數(shù)字化、信息化�、網(wǎng)絡(luò)化的特點(diǎn),可以提升政府的管理質(zhì)量,促進(jìn)其進(jìn)步�、發(fā)展。在當(dāng)前“互聯(lián)網(wǎng)+”的影響下����,我國政府的電子政務(wù)外網(wǎng)辦公逐步深化,且在信息技術(shù)的支持下����,使政府和群眾可以相互溝通、相互協(xié)作�,有效的促進(jìn)政府辦公效率的提升。但是����,電子政務(wù)外網(wǎng)的安全性始終是當(dāng)前我們面臨的關(guān)鍵問題。所以相關(guān)人員應(yīng)積極解決這一問題���,以保證政府的辦公能力�����。
2我國電子商務(wù)外網(wǎng)存在的安全隱患
2.1電子政務(wù)系統(tǒng)存在安全威脅
當(dāng)前我國電子政務(wù)系統(tǒng)還存在一定的安全威脅�����。而這種威脅一般包括:人為損壞���、物理損壞與設(shè)備故障等三種情況���。其中,人為威脅��,一般是由于工作人員的操作不當(dāng)��,或是有人發(fā)出攻擊行為���,蓄意破壞計算機(jī)網(wǎng)絡(luò)系統(tǒng)等原因造成的威脅。物理損壞一般指由于物理原因造成的硬盤損壞�、設(shè)備使用壽命到期,或者是一些外力破壞造成的威脅�。而一些設(shè)備故障一般是指斷電、電磁干擾等原因��。此外���,除以上威脅外�,極個別時候政務(wù)外網(wǎng)還會受到一些網(wǎng)絡(luò)黑客��、信息戰(zhàn)士的入侵,他們通過監(jiān)聽��、截取破譯等行為獲取政務(wù)信息�����,使電子政務(wù)系統(tǒng)受到嚴(yán)重的威脅�。
2.2電子政務(wù)系統(tǒng)存在安全風(fēng)險
當(dāng)前我國電子政務(wù)系統(tǒng)還存在一定的安全風(fēng)險。其具體表現(xiàn)在以下幾種情況:1)信息泄密��。如:由于一些假冒身份的或是非法的用戶���,在沒有授權(quán)的情況下訪問政務(wù)網(wǎng)絡(luò)系統(tǒng)�,并進(jìn)行了不正當(dāng)?shù)牟僮?����,?dǎo)致一些信息外泄�。2)計算機(jī)病毒。計算機(jī)病毒的出現(xiàn)可以破壞計算機(jī)的功能�����,毀壞計算機(jī)的數(shù)據(jù)����,影響計算機(jī)的正常使用����。由于其破壞力極大��,防范相對困難�����。因此����,這也是當(dāng)前政務(wù)外網(wǎng)中最大的威脅����。3)新型攻擊技術(shù)。近年來�,網(wǎng)絡(luò)上逐漸出現(xiàn)一些新型攻擊技術(shù),為政務(wù)信息的安全帶來一些威脅�。以上風(fēng)險的出現(xiàn)嚴(yán)重當(dāng)前我國政務(wù)外網(wǎng)的穩(wěn)定性與安全性。
3改善電子商務(wù)外網(wǎng)安全隱患的策略
3.1強(qiáng)化管理體系�����,擬定安全管理體制
為提升我國電子政務(wù)的網(wǎng)絡(luò)管理工作效率,保證其安全管理質(zhì)量���。相關(guān)部門應(yīng)積極強(qiáng)化政務(wù)外網(wǎng)的安全管理體系���,擬定出安全的管理體制。相關(guān)部門具體可以:部門應(yīng)以當(dāng)前所使用的計算機(jī)信息系統(tǒng)的保護(hù)等級與系統(tǒng)規(guī)模等詳細(xì)信息為基礎(chǔ)��,積極建立出安全且健全的管理職責(zé)體系�。在體系的建立過程中,部門應(yīng)嚴(yán)格遵守國家知識指示與標(biāo)準(zhǔn)�����,結(jié)合自身的實際發(fā)展情況���。另外�,在管理工作的進(jìn)行過程中�,負(fù)責(zé)人(管理者)應(yīng)對工作人員進(jìn)行合理的分工、責(zé)任到人�,并提出嚴(yán)格的要求。滿足以上要求后��,逐漸建立出高效的安全管理體系���。
3.2建立防護(hù)系統(tǒng)�,落實安全檢測工作
為有效減少安全隱患,保證電子政務(wù)外網(wǎng)網(wǎng)絡(luò)整體環(huán)境的安全性����。相關(guān)政府部門應(yīng)積極建立相關(guān)的防護(hù)系統(tǒng),并落實安全監(jiān)測工作���,從而實現(xiàn)從根源上減少安全隱患的目的�����。具體可以:強(qiáng)化網(wǎng)絡(luò)服務(wù)供應(yīng)商之間的關(guān)系�����,借助供應(yīng)商先進(jìn)的設(shè)備與技術(shù)建設(shè)出電子政務(wù)外網(wǎng)的專屬防火墻。這樣政務(wù)外網(wǎng)就有了安全依托�,可以在一定程度上將可能出現(xiàn)的安全隱患扼殺。另外�,部門應(yīng)積極建設(shè)相關(guān)的監(jiān)督系統(tǒng),以落實政務(wù)外網(wǎng)的安全監(jiān)測�����。系統(tǒng)建設(shè)后,可以由公安網(wǎng)絡(luò)或監(jiān)察部監(jiān)管�����,以保證政務(wù)外網(wǎng)的安全����。
3.3保證設(shè)備安全,完善外網(wǎng)基礎(chǔ)應(yīng)用
在電子政務(wù)外網(wǎng)安全管理中���,無法避免一些設(shè)備與軟硬件產(chǎn)品的使用����。因此,為保證系統(tǒng)的安全�����,提高安全管理的質(zhì)量���。首先,相關(guān)部門應(yīng)重視并保護(hù)設(shè)備的安全���,并逐漸完善電子政務(wù)外網(wǎng)的基礎(chǔ)應(yīng)用�。有關(guān)部門可以:在選擇設(shè)備的過程中,盡量選擇一些性能好����、安全性高的網(wǎng)絡(luò)設(shè)備。然后��,系統(tǒng)的運(yùn)行過程中�,應(yīng)意識到電磁輻射(網(wǎng)絡(luò)設(shè)備、計算機(jī)等都可能產(chǎn)生電磁輻射)對網(wǎng)絡(luò)安全的危害(數(shù)據(jù)泄密)�,并積極找出應(yīng)對措施,以減少電磁輻射�。同時應(yīng)盡量避免一些自然、人為破壞�,以保證整個網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。
3.4保證數(shù)據(jù)安全����,建立災(zāi)難備份中心
數(shù)據(jù)是信息系統(tǒng)的關(guān)鍵,同時也是政府各項業(yè)務(wù)間的互動�����,信息共享與業(yè)務(wù)協(xié)同的關(guān)鍵因素�����。因此��,為保證服務(wù)的順利運(yùn)行���,相關(guān)部門在電子政務(wù)外網(wǎng)的安全管理中�,應(yīng)加強(qiáng)對數(shù)據(jù)與信息的重視�。而為保護(hù)數(shù)據(jù)的安全,部門可以建立災(zāi)難備份中心�����,以提高抵御災(zāi)難的能力����,保證重要信息相關(guān)數(shù)據(jù)的安全,同時可以將損失降為最小����。具體可以采用自建災(zāi)難備份中心、共建災(zāi)難備份中心�,以及服務(wù)外包等三種模式。在政府信息數(shù)據(jù)遭遇災(zāi)難時����,啟動異地建立備份數(shù)據(jù)中心����,可以提供不間斷的數(shù)據(jù)信息服務(wù)���,以保證業(yè)務(wù)的連續(xù)性���。
4結(jié)論
安全問題是當(dāng)前電子政務(wù)外網(wǎng)的安全管理中經(jīng)常面臨的一個問題。由于問題�、原因與解決策略相對復(fù)雜,因此需要對當(dāng)前電子商務(wù)外網(wǎng)的特點(diǎn)����、存在安全隱患進(jìn)行一些了解與分析。然后積極找出改善電子商務(wù)外網(wǎng)安全隱患的策略��,提高電子政務(wù)外網(wǎng)的安全級別�,從而保證外網(wǎng)的安全、穩(wěn)定運(yùn)行����。
參考文獻(xiàn)
[1]趙惠巍.電子政務(wù)外網(wǎng)的安全管理策略研究[J].民營科技,2014(7):106.
[2]董舟����,謝碧云,李歆.政務(wù)外網(wǎng)信息安全管理策略初探[J].人民長江����,2015(3):86-90.
篇10
2軟件項目業(yè)務(wù)規(guī)劃
2.1項目規(guī)劃
項目目標(biāo):完成電子商務(wù)安全管理軟件系統(tǒng)的研制和開發(fā),并進(jìn)行市場化運(yùn)作��;對電子商務(wù)安全標(biāo)準(zhǔn)進(jìn)行研究����。主要功能:電子商務(wù)安全管理軟件系統(tǒng)實現(xiàn)的主要功能有:
(1)提供訪問電子商務(wù)網(wǎng)站用戶的身份認(rèn)證、授權(quán)���;授權(quán)用戶在線刪除���,添加,更新本人信息�����;實現(xiàn)了允許一種用戶可以以多種身分訪問電子商務(wù)程序的身份驗證和授權(quán)的功能����。
(2)過濾當(dāng)前用戶請求中是否含有違反HTTP協(xié)議的數(shù)據(jù)存在,包括參數(shù)缺失、參數(shù)異常����、參數(shù)過多;過濾當(dāng)前用戶請求中是否含有違反當(dāng)前請求頁面的數(shù)據(jù)存在���。
(3)對稱式和非對稱式的加密解密技術(shù):包括數(shù)字簽名算法���、消息摘要技術(shù)、密鑰交換方法���、提供基于數(shù)據(jù)庫的密鑰管理服務(wù)的內(nèi)容��。
(4)收集功能模塊的日志信息���,然后生成統(tǒng)一的日志信息,并進(jìn)行分類存儲(本課題提供數(shù)據(jù)庫存儲形式)���,然后提供查詢����、刪除等功能(用戶可以對日志信息按日期���、模塊名進(jìn)行查詢��、刪除等操作)��。
(5)隨時對受保護(hù)的電子商務(wù)應(yīng)用程序進(jìn)行安全監(jiān)控��,若發(fā)現(xiàn)惡意代碼的攻擊�,即刻發(fā)出報警信息�。
(6)監(jiān)控系統(tǒng)和電子商務(wù)應(yīng)用程序的運(yùn)行情況,若系統(tǒng)或應(yīng)用程序出現(xiàn)異常����,即刻發(fā)出報警信息。約束條件:本系統(tǒng)運(yùn)行時需要JAVA運(yùn)行環(huán)境人員所需工具所需資源:開發(fā)本項目需要參加人員熟練掌握J(rèn)AVA���、XML��、TOMCAT�、MYSQL�、JSP、STRUTS等���,開發(fā)工具使用eclipse���、editplus�����、mysql等�����。
2.2項目組織與進(jìn)度
本項目的開發(fā)共分四個時間段進(jìn)行����,具體安排如下所示:系統(tǒng)調(diào)研和總體方案設(shè)計3個月系統(tǒng)體系結(jié)構(gòu)設(shè)計8個月系統(tǒng)程序?qū)崿F(xiàn)8個月α測試β測試3個月
2.3開發(fā)軟件所需要的工具
軟件運(yùn)行環(huán)境A.操作系統(tǒng):Linux系統(tǒng)�,Window2000Serve系統(tǒng)B.?dāng)?shù)據(jù)庫:Oracle8i/9i,SQLServer2000��,MysqlC.WEB服務(wù)器:Tomcat/Weblogic/Jboss編程語言:JAVA開發(fā)平臺:eclipse測試與分析工具:paros
3軟件開發(fā)設(shè)計與程序編碼
3.1軟件開發(fā)設(shè)計
電子商務(wù)安全管理軟件系統(tǒng)采用了模塊化的設(shè)計理念���,遵循J2EE的開發(fā)標(biāo)準(zhǔn)��,充分利用了J2EE程序開發(fā)過程中所涉及到的開放源代碼的應(yīng)用軟件����。整個軟件系統(tǒng)是在Tomcat5.5.9條件下進(jìn)行的研發(fā)���,開發(fā)工具選用的是Eclipse3.1�����,MySQL4.1提供了數(shù)據(jù)庫支持��。此外����,還使用了諸如Spring����,Hibernate,Struts����,Dom4j,Log4j等免費(fèi)軟件和技術(shù)�。從軟件設(shè)計與軟件開發(fā)的角度看,電子商務(wù)安全管理軟件系統(tǒng)的設(shè)計規(guī)劃遵循了如下設(shè)計原則:
(1)電子商務(wù)安全管理軟件封裝了許多功能強(qiáng)大���、易于使用的軟件功能模塊��,對于統(tǒng)一安全接口標(biāo)準(zhǔn)研究十分必要���。
(2)軟件的開發(fā)大量采用組件化�����、J2EE技術(shù)����,獨(dú)立于操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)�。軟件內(nèi)部的模塊大量采用Bean,進(jìn)行業(yè)務(wù)邏輯的封裝�����,可以方便利于網(wǎng)絡(luò)層的請求響應(yīng)調(diào)用��。
(3)系統(tǒng)采用XML文件格式來響應(yīng)業(yè)務(wù)請求��,這樣可以實現(xiàn)系統(tǒng)邏輯各層之間良好的通訊和接口���。
(4)全面考慮電子商務(wù)安全的各種需求,設(shè)計統(tǒng)一的標(biāo)準(zhǔn)化的軟件結(jié)構(gòu),使各種網(wǎng)絡(luò)安全技術(shù)運(yùn)行在軟件框架之下,共同保護(hù)電子交易安全�。
(5)提供開放的API接口,這樣使其他公司的軟件產(chǎn)品可以輕易的集成到這個軟件系統(tǒng)平臺上���。
3.2程序編碼
安全:安全模塊就像一個數(shù)據(jù)采集器���;在電子商務(wù)安全控制中心中分析的所有HTTP信息都是通過安全模塊采集的����。此外��,安全模塊還負(fù)責(zé)在分析后將反應(yīng)結(jié)果返回給用戶����。開發(fā)安全模塊所使用技術(shù):ServletFilter。
(1)認(rèn)證授權(quán)模塊�����。身份驗證和授權(quán)認(rèn)證模塊提供一種基于JAAS體系結(jié)構(gòu)的認(rèn)證解決方案�����。身份認(rèn)證是用戶或計算設(shè)備用來驗證身份的過程�,即確定一個實體或個人是否就是它所宣稱的實體或個人�。授權(quán)確定了已認(rèn)證的用戶是否能夠訪問他們所請求的資源或者執(zhí)行他們所請求執(zhí)行的操作。
(2)數(shù)據(jù)過濾模塊�。數(shù)據(jù)過濾模塊實現(xiàn)兩種分析算法:模式匹配算法和行為建模算法。一種是基于誤用檢測算法的模式匹配��,另一種是基于異常檢測算法的行為建模。
(3)協(xié)議過濾模塊�����。根據(jù)電子商務(wù)網(wǎng)站管理員的人工配置和HTTP協(xié)議細(xì)節(jié)執(zhí)行協(xié)議過濾算法���,針對于安全數(shù)據(jù)中出現(xiàn)的冗余信息���、檢測出的缺失信息,以及異常信息分別進(jìn)行安全分析����,并且觸發(fā)相應(yīng)的安全動作。
(4)安全監(jiān)控模塊根據(jù)安全分析的結(jié)果與事先定義的安全動作�����,模塊采用相應(yīng)的指定動作����。此外,這個模塊將向安全模塊發(fā)送動作指令����。如果發(fā)現(xiàn)黑客入侵���,就隨時觸發(fā)“拒絕”動作,然后發(fā)送警告給應(yīng)用程序的管理員��。同時����,將惡意的入侵請求存入到數(shù)據(jù)庫作為入侵分析的日志文件。因此�����,攻擊者將會收到一個出錯頁面或者請求被禁止的頁面�。
(5)應(yīng)用監(jiān)控。應(yīng)用監(jiān)控模塊主要實現(xiàn)了對于訪問電子商務(wù)應(yīng)用程序�、安全模塊的應(yīng)用配置和應(yīng)用監(jiān)控功能。實現(xiàn)了應(yīng)用程序和電子商務(wù)安全管理軟件系統(tǒng)的動態(tài)配置�����、實時監(jiān)控電子商務(wù)安全管理軟件系統(tǒng)的響應(yīng)速度����。
篇11
隨著網(wǎng)絡(luò)時代的到來,越來越多的人通過Internet進(jìn)行商務(wù)活動���。電子商務(wù)的發(fā)展前景十分誘人����,而其安全問題也變得越來越突出��。近年來�����,網(wǎng)絡(luò)安全事件不斷攀升����,電子商務(wù)金融成了攻擊目標(biāo),以網(wǎng)頁篡改和垃圾郵件為主的網(wǎng)絡(luò)安全事件正在大幅攀升����。在國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)2005處理的網(wǎng)絡(luò)安全事件報告中,網(wǎng)頁篡改占45.91%�,網(wǎng)絡(luò)仿冒占29%,其余為拒絕服務(wù)攻擊��、垃圾郵件�、蠕蟲�����、木馬等��。如何建立一個安全����、便捷的電子商務(wù)應(yīng)用環(huán)境��,對信息提供足夠的保護(hù)�����,已經(jīng)成為電子商務(wù)的所有參與者十分關(guān)心的話題�����。
一��、電子商務(wù)中的主要網(wǎng)絡(luò)安全事件分析
歸納起來���,對電子商務(wù)應(yīng)用影響較多����、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁篡改����、網(wǎng)絡(luò)蠕蟲、拒絕服務(wù)攻擊����、特羅伊木馬、計算機(jī)病毒��、網(wǎng)絡(luò)仿冒等�����,網(wǎng)頁篡改��、網(wǎng)絡(luò)仿冒(Phishing)���,逐步成為影響電子商務(wù)應(yīng)用與發(fā)展的主要威脅���。
1.網(wǎng)頁篡改
網(wǎng)頁篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁。這是黑客攻擊的典型形式���。一般來說�,主頁的篡改對計算機(jī)系統(tǒng)本身不會產(chǎn)生直接的損失,但對電子商務(wù)等需要與用戶通過網(wǎng)站進(jìn)行溝通的應(yīng)用來說�,就意味著電子商務(wù)將被迫終止對外的服務(wù)。對企業(yè)網(wǎng)站而言��,網(wǎng)頁的篡改��,尤其是含有攻擊���、丑化色彩的篡改��,會對企業(yè)形象與信譽(yù)造成嚴(yán)重?fù)p害����。
2.網(wǎng)絡(luò)仿冒(Phishing)
網(wǎng)絡(luò)仿冒又稱網(wǎng)絡(luò)欺詐�����、仿冒郵件或者釣魚攻擊等���,是黑客使用欺詐郵件和虛假網(wǎng)頁設(shè)計來誘騙收件人提供信用卡賬號�����、用戶名����、密碼��、社會福利號碼等��,隨后利用騙得的賬號和密碼竊取受騙者金錢��。近年來�,隨著電子商務(wù)、網(wǎng)上結(jié)算���、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及�����,網(wǎng)絡(luò)仿冒事件在我國層出不窮�,諸如中國銀行網(wǎng)站等多起金融網(wǎng)站被仿冒�����。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用����,特別是電子商務(wù)應(yīng)用的主要威脅之一��。
網(wǎng)絡(luò)仿冒者為了逃避相關(guān)組織和管理機(jī)構(gòu)的打擊���,充分利用互聯(lián)網(wǎng)的開放性,往往會將仿冒網(wǎng)站建立在其他國家�����,而又利用第三國的郵件服務(wù)器來發(fā)送欺詐郵件���,這樣既便是仿冒網(wǎng)站被人舉報�,但是關(guān)閉仿冒網(wǎng)站就比較麻煩����,對網(wǎng)絡(luò)欺詐者的追查就更困難了,這是現(xiàn)在網(wǎng)絡(luò)仿冒犯罪的主要趨勢之一�����。
3.網(wǎng)絡(luò)蠕蟲
網(wǎng)絡(luò)蠕蟲是指一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序����。這種程序利用互聯(lián)網(wǎng)上計算機(jī)系統(tǒng)的漏洞進(jìn)入系統(tǒng),自我復(fù)制,并繼續(xù)向互聯(lián)網(wǎng)上的其他系統(tǒng)進(jìn)行傳播�����。蠕蟲的不斷蛻變并在網(wǎng)絡(luò)上的傳播��,可能導(dǎo)致網(wǎng)絡(luò)被阻塞的現(xiàn)象發(fā)生�����,從而致使網(wǎng)絡(luò)癱瘓�����,使得各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效�。
4.拒絕服務(wù)攻擊(Dos)
拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計算機(jī)針對某一個特定的計算機(jī)進(jìn)行大規(guī)模的訪問�����,使得被訪問的計算機(jī)窮于應(yīng)付來勢兇猛的訪問而無法提供正常的服務(wù)�,使得電子商務(wù)這類應(yīng)用無法正常工作。拒絕服務(wù)攻擊是黑客常用的一種行之有效的方法�。如果所調(diào)動的攻擊計算機(jī)足夠多,則更難進(jìn)行處置���。尤其是被蠕蟲侵襲過的計算機(jī)����,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網(wǎng)進(jìn)行的���,加大了打擊犯罪的難度����。
5.特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機(jī)系統(tǒng)中不為用戶所知的惡意程序�,通常用于潛伏在計算機(jī)系統(tǒng)中來與外界聯(lián)接,并接受外界的指令�����。被植入木馬的計算機(jī)系統(tǒng)內(nèi)的所有文件都會被外界所獲得�,并且該系統(tǒng)也會被外界所控制,也可能會被利用作為攻擊其他系統(tǒng)的攻擊源��。很多黑客在入侵系統(tǒng)時都會同時把木馬植入到被侵入的系統(tǒng)中�。
二、解決電子商務(wù)中網(wǎng)絡(luò)安全問題的對策研究
隨著網(wǎng)絡(luò)應(yīng)用日益普及和更為復(fù)雜����,網(wǎng)絡(luò)安全事件不斷出現(xiàn),電子商務(wù)的安全問題日益突出,需要從國家相關(guān)法律建設(shè)的大環(huán)境到企業(yè)制定的電子商務(wù)網(wǎng)絡(luò)安全管理整體架構(gòu)的具體措施��,才能有效保護(hù)電子商務(wù)的正常應(yīng)用與發(fā)展��。
1.進(jìn)一步完善法律與政策依據(jù) 充分發(fā)揮應(yīng)急響應(yīng)組織的作用
我國目前對于互聯(lián)網(wǎng)的相關(guān)法律法規(guī)還較為欠缺�����,尤其是互聯(lián)網(wǎng)這樣一個開放和復(fù)雜的領(lǐng)域�����,相對于現(xiàn)實社會�,其違法犯罪行為的界定�����、取證�、定位都較為困難。因此�����,對于影響電子商務(wù)發(fā)展的基于互聯(lián)網(wǎng)的各類網(wǎng)絡(luò)安全事件的違法犯罪行為的立法��,需要一個漫長的過程。根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡(luò)安全事件的特點(diǎn)��,需要建立健全協(xié)調(diào)一致�,快速反應(yīng)的各級網(wǎng)絡(luò)應(yīng)急體系。要制定有關(guān)管理規(guī)定����,為網(wǎng)絡(luò)安全事件的有效處理提供法律和政策依據(jù)。
互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織是響應(yīng)并處理公共互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全事件的組織��,在我國�,CNCERT/CC是國家級的互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織,目前已經(jīng)建立起了全國性的應(yīng)急響應(yīng)體系���;同時�,CNCERT/CC還是國際應(yīng)急響應(yīng)與安全小組論壇(FIRST���,F(xiàn)orum of Incident Response and Security Teams)等國際機(jī)構(gòu)的成員�。應(yīng)急響應(yīng)組織通過發(fā)揮其技術(shù)優(yōu)勢���,利用其支撐單位��,即國內(nèi)主要網(wǎng)絡(luò)安全廠商的行業(yè)力量�����,為相關(guān)機(jī)構(gòu)提供網(wǎng)絡(luò)安全的咨詢與技術(shù)服務(wù)��,共同提高網(wǎng)絡(luò)安全水平�����,能有效減少各類的網(wǎng)絡(luò)事件的出現(xiàn)����;通過聚集相關(guān)科研力量,研究相關(guān)技術(shù)手段���,以及如何建立新的電子交易的信任體系�,為電子商務(wù)等互聯(lián)網(wǎng)應(yīng)用的普及和順利發(fā)展提供前瞻性的技術(shù)研究方面具有積極意義��。
2.從網(wǎng)絡(luò)安全架構(gòu)整體上保障電子商務(wù)的應(yīng)用發(fā)展
網(wǎng)絡(luò)安全事件研究中看到�,電子商務(wù)的網(wǎng)絡(luò)安全問題不是純粹的計算機(jī)安全問題�����,從企業(yè)的角度出發(fā)����,應(yīng)該建立整體的電子商務(wù)網(wǎng)絡(luò)安全架構(gòu)�,結(jié)合安全管理以及具體的安全保護(hù)��、安全監(jiān)控�、事件響應(yīng)和恢復(fù)等一套機(jī)制來保障電子商務(wù)的正常應(yīng)用。
安全管理主要是通過嚴(yán)格科學(xué)的管理手段以達(dá)到保護(hù)企業(yè)網(wǎng)絡(luò)安全的目的�。內(nèi)容可包括安全管理制度的制定、實施和監(jiān)督�,安全策略的制定、實施��、評估和修改��,相關(guān)人員的安全意識的培訓(xùn)����、教育,日常安全管理的具體要求與落實等��。
安全保護(hù)主要是指應(yīng)用網(wǎng)絡(luò)安全產(chǎn)品��、工具和技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)���、數(shù)據(jù)和用戶��。這種保護(hù)主要是指靜態(tài)保護(hù)����,通常是一些基本的防護(hù),不具有實時性�,如在防火墻的規(guī)則中實施一條安全策略,禁止所有外部網(wǎng)用戶到內(nèi)部網(wǎng)Web服務(wù)器的連接請求����,一旦這條規(guī)則生效,它就會持續(xù)有效�����,除非我們改變這條規(guī)則���。這樣的保護(hù)能預(yù)防已知的一些安全威脅���,而且通常這些威脅不會變化,所以稱為靜態(tài)保護(hù)����。
安全監(jiān)控和審計是實時保護(hù)的一種策略�,它主要滿足一種動態(tài)安全的需求�����。因為網(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時�,黑客技術(shù)也在不斷的發(fā)展��,網(wǎng)絡(luò)安全不是一成不變的�,也許今天對你來說安全的策略,明天就會變得不安全����,因此我們應(yīng)該時刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動向,以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情,以便及時發(fā)現(xiàn)新的攻擊����,制定新的安全策略?����?梢赃@樣說���,安全保護(hù)是基本��,安全監(jiān)控和審計是其有效的補(bǔ)充����,兩者的有效結(jié)合,才能較好地滿足動態(tài)安全的需要��。
事件響應(yīng)與恢復(fù)主要針對發(fā)生攻擊事件時相應(yīng)的應(yīng)急措施與恢復(fù)正常應(yīng)用的機(jī)制�。就是當(dāng)攻擊發(fā)生時,能及時做出響應(yīng)����,這需要建立一套切實有效、操作性強(qiáng)的響應(yīng)機(jī)制��,及時防止攻擊的進(jìn)一步發(fā)展�。響應(yīng)是整個安全架構(gòu)中的重要組成部分,因為網(wǎng)絡(luò)構(gòu)筑沒有絕對的安全�����,安全事件的發(fā)生是不可能完全避免的����,當(dāng)安全事件發(fā)生的時候,應(yīng)該有相應(yīng)的機(jī)制快速反應(yīng)����,以便讓管理員及時了解攻擊情況,采取相應(yīng)措施修改安全策略����,盡量減少并彌補(bǔ)攻擊的損失,防止類似攻擊的再次發(fā)生��。當(dāng)安全事件發(fā)生后�����,對系統(tǒng)可能會造成不同程度的破壞����,如網(wǎng)絡(luò)不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等���,這時����,必須有一套機(jī)制能盡快恢復(fù)系統(tǒng)的正常應(yīng)用����,因為攻擊既然已經(jīng)發(fā)生了,系統(tǒng)也遭到了破壞,這時只有讓系統(tǒng)以最快的速度運(yùn)行起來才是最重要的�����,否則損失將更為嚴(yán)重��。因此恢復(fù)在電子商務(wù)安全的整體架構(gòu)中也是不可缺少的組成部分��。
三���、結(jié)論
Internet的快速發(fā)展�,使電子商務(wù)逐漸進(jìn)入人們的日常生活���,而伴隨各類網(wǎng)絡(luò)安全事件的日益增加與發(fā)展�����,電子商務(wù)的安全問題也變得日益突出�����,建立一個安全����、便捷的電子商務(wù)應(yīng)用環(huán)境,解決好電子商務(wù)應(yīng)用與發(fā)展的網(wǎng)絡(luò)安全問題必將對保障和促進(jìn)電子商務(wù)的快速發(fā)展起到良好的推動作用���。
參考文獻(xiàn):
[1]CNCERT/CC.2005年上半年網(wǎng)絡(luò)安全工作報告
[2]李 衛(wèi):計算機(jī)網(wǎng)絡(luò)安全與管理.北京:清華大學(xué)出版社���,2000
