電子商務安全管理策略
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇電子商務安全管理策略范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
電子商務安全管理策略范文第1篇
關鍵詞:商業銀行;電子商務;風險管理
商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件,超過2004年全年案件數,商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的歷史演進與現階段的特點
信息安全管理的策略大體遵循事件驅動(技術和管理脫節)-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。
(一)以事件驅動的初級階段時期
19世紀70年代安全主要是指物理設備和環境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段,由事件驅動,沒有形成規范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度,但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務安全管理發展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統
一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據和基礎。
2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》,對國內企業的電子商務安全風險管理給出了指導意見。
3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統的設計開發水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣,監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此,大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監管。
4.在許多國家信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作,從經濟學的角度出發分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業銀行電子商務安全風險管理策略的薄弱點
(一)系統管理思想缺乏
目前的電子商務安全風險管理策略,在全局上缺乏系統論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞,無法形成一張全面有序的安全網絡。
實踐中被采用的安全風險管理策略,以及作為指導意見的規則規范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統。實踐中,電子商務組織是一個復雜的系統組織,電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務模式自身的發展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發生的事件定義為不連續的幾個級別,在操作上易行,但造成了度量的不精確。在進行監控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統風險管理策略的結合
本質上,電子商務的安全風險無非是新興的商業模式對傳統的風險的改變,以及產生的在傳統風險控制領域暫時無法明晰的新風險;現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言,傳統金融業務的風險控制與電子商務的技術風險控制,兩個方面存在脫節,同樣屬于商業銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。
(四)風險管理策略無法
依賴外部的信息安全管理行業
在發達國家,信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規,風險評估工作得到了一定重視,但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。
(五)風險管理策略中商業銀行的內部風險控制能力薄弱
我國商業銀行目前均建立起統一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質上仍然分散在各個子部門;風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門;風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監控與審計環節。
三、商業銀行的電子商務安全風險管理策略的改進建議
(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架
利用系統理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。
在商業銀行電子商務安全風險控制的流程中,經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內,然后進行監控和審計;尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環,安全風險管理的有效性就上一個臺階,商業銀行的安全管理水平變得到了提高。
(二)電子商務安全風險管理中定量分析中的改進思路
商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中,商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定,商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失,巴塞爾委員會制定資本要求的轉換系數;在度量損失的分布時,主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來,利用現有的度量方法進行精確的風險定量分析的嘗試。新晨
(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇
將商業銀行所面臨的全部風險放在一個框架中考慮。傳統風險管理以及電子商務安全風險管理都是風險管理系統中子系統,二者相互聯系、相互影響,不可分割。嘗試借鑒信用風險與操作風險度量的方法與思想,短期內將其與信用風險控制銜接,最終形成一個全面的商業銀行安全風險管理框架。
電子商務安全管理策略范文第2篇
【論文摘要】計算機網絡的技術發展相當迅速。隨著互聯網上黑客病毒泛溢,網絡犯罪等威脅日益嚴重,網絡安全管理的任務將會越來越艱巨和復雜,抓好網絡安全問題對保障網絡信息安全至關重要。因此文章對電子商務網絡支付安全問題進行探討分析。
0引言
美國等發達國家,通過Internet進行電子商務的交易已成為潮流。隨著internet的發展和網絡基礎設施的不斷完善,我國的電子商務雖已初具規模,但是安全問題卻成為發展電子商務亟待解決的問題。電子商務過程中,買賣雙方是通過網絡聯系的,由于internet是開放性網絡,建立交易雙方的安全和信任關系較為困難,因此本文對電子商務網絡支付上的安全問題進行探討分析。
1電子商務的概念和特點
1)電子商務的概念:電子商務(Electronic Commerce)是通過電信網絡進行的生產、營銷、銷售、流通等活動,不僅是指基于因特網上的交易,而且還指利用電子信息技術實現解決問題、降低成本、增加價值、創造商機的商務活動[1]。
2)電子商務的特點:(1)電子商務將傳統的商務流程電子化、數字化。不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點進行,大大提高了效率。(2)電子商務使企業能以較低成本進入全球電子化市場,也使中小企業可能擁有與大企業一樣的信息資源,提高了中小企業的競爭能力。(3)電子商務重新定義了傳統的流通模式,減少了中間環節,使得生產者和消費者的直接交易成為可能,從而一定程度上改變了社會經濟的運行方式。(4)電子商務提供了豐富的信息資源,為社會經濟要素的重新組合提供了更多的可能,這將影響到社會的經濟布局和結構。
2電子商務安全的技術體系
1)物理安全。首先根據國家標準、信息安全等級和資金狀況,制定適合的物理安全要求,并經建設和管理達到相關標準[2]。再者,關鍵的系統資源(包括主機、應用服務器、安全隔離網閘GAP等設備),通信電路以及物理介質(軟/硬磁盤、光盤、IC卡、PC卡等)、應有加密、電磁屏蔽等保護措施,均應放在物理上安全的地方。
2)網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行,要求電子商務平臺要穩定可靠,能夠不中斷地提供服務。系統的任何中斷(如硬件、軟件錯誤,網絡故障、病毒等)都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
3)商務安全。主要是指商務交易在網絡媒介中出現的安全問題,包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴,即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現,加解密技術保證了交易信息的保密性,也解決了用戶密碼被盜取的問題;數字簽名是實現對原始報文完整性的鑒別,它與身份認證和審查系統一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有:在線支付協議(安全套接層SSL協議和安全電子交易SET協議)、文件加密技術、數字簽名技術、電子商務認證中心(CA)。
4)系統安全。主要是保護主機上的操作系統與數據庫系統的安全。對于保護系統安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術設備,增強其安全防護能力。
3安全管理過程監督
3.1加強全過程的安全管理
1)網絡規劃階段,就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。2)工程建設階段,建設管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設各個階段工作的重要內容,要加強對開發(實施)人員、版本控制的管理,要加強對開發環境、用戶路由設置、關鍵代碼的檢查[3]。3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構,明確職責,理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網的操作系統、數據庫、網絡設備、應用系統運行維護過程的安全管理。(4)要建立應急預察體系,建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢,還要定期檢查日志,以便及時發現潛在的安全威脅。
3.2建立動態的閉環管理流程
網絡處于不斷地建設和調整中,可能發現新的安全漏洞,因此需要建立動態的、閉環的管理流程。要在整體安全策略的控制和指導下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網絡存在的安全問題和安全隱患,據此制定安全建設規劃和加固方案,綜合應用各種安全防護產品(如防火墻、身份認證等手段),將系統調整到相對安全的狀態。并要注意以下兩點:1)對于一個企業而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案,保證這些系列策略規范在整個企業范圍內貫徹實施,從而保護企業的投資和信息資源安全。2)要制定完善的、符合企業實際的信息安全策略,就須先對企業信息網的安全狀況進行評估,即對信息資產的安全技術和管理現狀進行評估,讓企業對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導信息安全的建設和管理工作。
4結束語
本文分析了目前電子商務網絡支付安全方面的主要技術狀況,安全技術可以說是網絡技術中較為尖端的技術,都是非常先進的技術手段;只要運用得當,配合相應的安全管理措施,基本能夠保證電子商務中網絡支付的安全;但不是100%的絕對安全,而是相對安全。隨著網絡安全技術的進步與信用機制的完善,網絡支付定會越來越安全。
參考文獻
[1]柯新生.網絡支付與結算[M].北京:電子工業出版社,2004.
電子商務安全管理策略范文第3篇
隨著信息化時代的來臨,人們的工作模式更加傾向于電子商務化。然而,電子信息安全管理問題亦是逐漸呈現出多樣化。這為人們的工作和生活帶來了很多的煩惱,甚至是經濟上的損失。為此,加強電子信息安全管理質量已經刻不容緩。
電子信息安全管理中存在的問題
1 缺乏足夠的信息安全防范意識
盡管我國的信息技術發展很快,但是,在電子商務方面還處于初期階段,很多大規模、標準化的電子商務平臺尚沒有搭建起來。而在一些小型的電子商務平臺,很多管理者認為自身遭受“黑客”攻擊的可能性不大,所以,其常常存在僥幸心理,將更多的關注點放到了平臺規模的擴大和系統功能開發上面。在這種思想的影響下,系統的信息安全管理能力相當薄弱,以至于常常成為攻擊的對象。另外,還有很多管理者,對市場上的安全管理軟件給予了絕對的信任,自己覺得只要安裝了這些高新產品,就可以高枕無憂,但是,往往殘酷的事實告訴他們不是這樣的。
2 信息安全技術有所欠缺
目前,國內的信息安全管理技術已經取得了很大的進步,然而,相對于發達國家的信息安全防御與控制技術,還存在很大的一段差距。國內的自主研發技術無論是在經費上、還是人員上都存在很多不足之處。并且,大多數的技術研究機構都是過多地“借鑒”國外的先進技術。如此一來,國內的電子信息安全管理質量明顯不高。
3 信息安全產品的鑒定缺乏科學、規范性
很多企業在電子信息安全管理方面,購置了大量的信息安全軟件。這些軟件在一定程度上能夠有效地保證電子信息使用平臺的安全。但是,其并不能絕對地保障信息安全。而且,在安全產品的鑒定方面,缺乏統一的鑒定標準,很多都是主觀判斷。
電子信息安全管理有效措施
目前,我國的很多企業在電子信息安全管理方面,普遍的“重技術,輕管理”,加之高層領導對信息安全管理的重視程度不足,以至于各項安全管理制度尚不完善。下面重點探索一些加強電子信息安全管理的主要措施。
1 構建完善的管理組織機構
電子信息安全管理組織機構主要包括了安全決策和執行組織。其中,前者的職能主要是負責管理框架的構建、安全制度的審批以及安全職責的分配以及監督。后者的主要工作是負責網絡系統安全制度的擬定、制定的執行以及日常維護和業務培訓等。如果是大型的電子商務平臺或者集團企業,還可以聘請經驗豐富的專家人員構成顧問組織。負責日常的業務咨詢以及安全事件發生后的責任評估和調查等。
2 電子信息安全管理制度進一步完善
電子信息安全管理制度主要包括:(1)構建電子信息控制制度。在各個業務流程中,明確各業務人的權限,并將其納入到內部控制制度當中,定期進行執行情況審核;(2)構建應急措施。在信息傳遞過程中,要對電子信息的記錄、維護以及報告等環節進行有效監控。對數據文件進行定期備份。
3 提高安全方面的專業
目前,隨著互聯網的高度普及,安全技術的研發速度已經跟不上網絡的發展速度,特別是在安全管理技術領域,而且,相應的技術人員也是嚴重不足。所以,要在電子商務規模不斷擴大的同時,構建強大的電子信息安全管理隊伍,提升安全技術的研究水平。
4 系統安全檢測
病毒與黑客不斷的變換著形式對系統進行著惡意的攻擊,因此,技術人員要從多方位的技術角度對系統安全性進行檢測。查看防火墻是否受到攻擊;功能方面是否存在漏洞;密碼設置的是否正確等,這些都需要技術人員認真的進行檢測,稍有疏忽,就會受到惡意的攻擊。
5 要建立保護系統的方案
系統的安全檢測不能實時進行,這就需要建立系統安全防護措施。對于系統安全管理的復雜性,尤其是電子商務這個依靠網絡平臺的企業必須制定一套有效的安全策略,使系統的安全性進一步提高。只有建立了較為完善的安全策略,才能在系統受到攻擊時,把損失降到最低。
6 定期進行信息安全管理培訓
對有關人員進行上崗培訓,建立人員培訓計劃,定期組織安全制度和規程方面的培訓。通過教育和培訓改變企業員工對信息安全的態度,使操作人員認識到信息安全對企業的重要性、企業安全規章制度的含義以及職責范圍內需要注意的安全問題。
7 貫徹電子商務交易安全運作基本原則
包括職責分離、雙人負責、任期有限、最小權限、個人可信賴性等。
結論
電子商務安全管理策略范文第4篇
[關鍵詞] 網絡安全 事件 安全對策
隨著網絡時代的到來,越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人,而其安全問題也變得越來越突出。近年來,網絡安全事件不斷攀升,電子商務金融成了攻擊目標,以網頁篡改和垃圾郵件為主的網絡安全事件正在大幅攀升。在國家計算機網絡應急技術處理協調中心(CNCERT/CC)2005處理的網絡安全事件報告中,網頁篡改占45.91%,網絡仿冒占29%,其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等。如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為電子商務的所有參與者十分關心的話題。
一、電子商務中的主要網絡安全事件分析
歸納起來,對電子商務應用影響較多、發生率較高的互聯網安全事件可以分為網頁篡改、網絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網絡仿冒等,網頁篡改、網絡仿冒(Phishing),逐步成為影響電子商務應用與發展的主要威脅。
1.網頁篡改
網頁篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統本身不會產生直接的損失,但對電子商務等需要與用戶通過網站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對企業網站而言,網頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業形象與信譽造成嚴重損害。
2.網絡仿冒(Phishing)
網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等,隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來,隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及,網絡仿冒事件在我國層出不窮,諸如中國銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯網應用,特別是電子商務應用的主要威脅之一。
網絡仿冒者為了逃避相關組織和管理機構的打擊,充分利用互聯網的開放性,往往會將仿冒網站建立在其他國家,而又利用第三國的郵件服務器來發送欺詐郵件,這樣既便是仿冒網站被人舉報,但是關閉仿冒網站就比較麻煩,對網絡欺詐者的追查就更困難了,這是現在網絡仿冒犯罪的主要趨勢之一。
3.網絡蠕蟲
網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯網上計算機系統的漏洞進入系統,自我復制,并繼續向互聯網上的其他系統進行傳播。蠕蟲的不斷蛻變并在網絡上的傳播,可能導致網絡被阻塞的現象發生,從而致使網絡癱瘓,使得各種基于網絡的電子商務等應用系統失效。
4.拒絕服務攻擊(Dos)
拒絕服務攻擊是指在互聯網上控制多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。拒絕服務攻擊是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網進行的,加大了打擊犯罪的難度。
5.特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統中不為用戶所知的惡意程序,通常用于潛伏在計算機系統中來與外界聯接,并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得,并且該系統也會被外界所控制,也可能會被利用作為攻擊其他系統的攻擊源。很多黑客在入侵系統時都會同時把木馬植入到被侵入的系統中。
二、解決電子商務中網絡安全問題的對策研究
隨著網絡應用日益普及和更為復雜,網絡安全事件不斷出現,電子商務的安全問題日益突出,需要從國家相關法律建設的大環境到企業制定的電子商務網絡安全管理整體架構的具體措施,才能有效保護電子商務的正常應用與發展。
1.進一步完善法律與政策依據 充分發揮應急響應組織的作用
我國目前對于互聯網的相關法律法規還較為欠缺,尤其是互聯網這樣一個開放和復雜的領域,相對于現實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務發展的基于互聯網的各類網絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。根據互聯網的體系結構和網絡安全事件的特點,需要建立健全協調一致,快速反應的各級網絡應急體系。要制定有關管理規定,為網絡安全事件的有效處理提供法律和政策依據。
互聯網應急響應組織是響應并處理公共互聯網網絡與信息安全事件的組織,在我國,CNCERT/CC是國家級的互聯網應急響應組織,目前已經建立起了全國性的應急響應體系;同時,CNCERT/CC還是國際應急響應與安全小組論壇(FIRST,Forum of Incident Response and Security Teams)等國際機構的成員。應急響應組織通過發揮其技術優勢,利用其支撐單位,即國內主要網絡安全廠商的行業力量,為相關機構提供網絡安全的咨詢與技術服務,共同提高網絡安全水平,能有效減少各類的網絡事件的出現;通過聚集相關科研力量,研究相關技術手段,以及如何建立新的電子交易的信任體系,為電子商務等互聯網應用的普及和順利發展提供前瞻性的技術研究方面具有積極意義。
2.從網絡安全架構整體上保障電子商務的應用發展
網絡安全事件研究中看到,電子商務的網絡安全問題不是純粹的計算機安全問題,從企業的角度出發,應該建立整體的電子商務網絡安全架構,結合安全管理以及具體的安全保護、安全監控、事件響應和恢復等一套機制來保障電子商務的正常應用。
安全管理主要是通過嚴格科學的管理手段以達到保護企業網絡安全的目的。內容可包括安全管理制度的制定、實施和監督,安全策略的制定、實施、評估和修改,相關人員的安全意識的培訓、教育,日常安全管理的具體要求與落實等。
安全保護主要是指應用網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護主要是指靜態保護,通常是一些基本的防護,不具有實時性,如在防火墻的規則中實施一條安全策略,禁止所有外部網用戶到內部網Web服務器的連接請求,一旦這條規則生效,它就會持續有效,除非我們改變這條規則。這樣的保護能預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態保護。
安全監控和審計是實時保護的一種策略,它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時,黑客技術也在不斷的發展,網絡安全不是一成不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關注網絡安全的發展動向,以及網絡上發生的各種各樣的事情,以便及時發現新的攻擊,制定新的安全策略。可以這樣說,安全保護是基本,安全監控和審計是其有效的補充,兩者的有效結合,才能較好地滿足動態安全的需要。
事件響應與恢復主要針對發生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發生時,能及時做出響應,這需要建立一套切實有效、操作性強的響應機制,及時防止攻擊的進一步發展。響應是整個安全架構中的重要組成部分,因為網絡構筑沒有絕對的安全,安全事件的發生是不可能完全避免的,當安全事件發生的時候,應該有相應的機制快速反應,以便讓管理員及時了解攻擊情況,采取相應措施修改安全策略,盡量減少并彌補攻擊的損失,防止類似攻擊的再次發生。當安全事件發生后,對系統可能會造成不同程度的破壞,如網絡不能正常工作、系統數據被破壞等,這時,必須有一套機制能盡快恢復系統的正常應用,因為攻擊既然已經發生了,系統也遭到了破壞,這時只有讓系統以最快的速度運行起來才是最重要的,否則損失將更為嚴重。因此恢復在電子商務安全的整體架構中也是不可缺少的組成部分。
三、結論
Internet的快速發展,使電子商務逐漸進入人們的日常生活,而伴隨各類網絡安全事件的日益增加與發展,電子商務的安全問題也變得日益突出,建立一個安全、便捷的電子商務應用環境,解決好電子商務應用與發展的網絡安全問題必將對保障和促進電子商務的快速發展起到良好的推動作用。
參考文獻:
[1]CNCERT/CC.2005年上半年網絡安全工作報告
[2]李 衛:計算機網絡安全與管理.北京:清華大學出版社,2000
[3]李海泉:計算機網絡安全與加密技術.北京:科學出版社,2001
電子商務安全管理策略范文第5篇
論文摘要:電子商務安全問題已成為制約電子商務發展的重要問題,安全問題包括電子商務交易安全、計算機網絡安全等顯性的問題,還包括管理、法律和標準等方面的隱性問題。通過對電子商務安全體系的分析,研究電子商務安全策略,建立一個安全電子商務環境,將促進電子商務健康快速地發展。
電子商務是一個跨國界,跨地區,跨行業的多種技術綜合集成與不同社會經濟文化背景形成的各種習俗不斷沖突,不斷協調和不斷統一的綜合性社會系統工程。電子商務安全策略保障電子商務各個主體的切身利益。電子商務安全策略是以人為本,從各主體的角度思考,綜合協調了各個市場主體的行為,從根本上保障了消費者、企業、電子商務網站等市場主體的切身利益,它為實現電子商務提供了統一的基礎平臺和安全屏障。
一、電子商務安全技術保障策略
安全技術保障技術是電子商務安全體系中的基本策略,目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有以下幾種:
1.密碼技術。密碼技術包括加密技術和解密技術。加密是將信息經過加密密鑰及加密函數轉換,變成無意義的密文。而解密則是將密文經過解密函數、解密密鑰處理還原成原文。密碼技術是網絡安全技術的基礎。
2.身份驗證技術。電子商務主體向系統證明自己身份,并由系統查核該主體的過程,是確認真實有效身份的重要環節,這個過程叫作身份驗證。常用的驗證技術有報文鑒別、身份鑒別和電子簽名。
3.訪問控制技術。訪問控制是指對電子商務網絡系統中各種資源訪問時的權限確認,防止非法訪問。它包括有關的策略、模型、機制的基礎理論與實現方法。
4.防火墻技術。防火墻是用一組網絡設備來加強一個網絡與外界之間的訪問控制。防火墻整體可以分為三大類:分組過濾、應用、電路網關。
二、企業電子商務安全運營管理制度保障策略
企業電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規定,是保證企業取得電子商務成功的基礎,是企業電子商務人員工作的規范和準則。這些制度主要包括人員管理制度,保密制度,跟蹤審計制度,系統維護制度、數據備份制度等。
1.人員管理制度人員管理制度主要從人員的選拔,工作責任的落實和安全運作必須遵循的基本原則制定相應的工作制度。
2.保密制度電子商務系統涉及企業的市場、生產、財務、供應鏈等多方面的機密,這些方面都是需要很好地劃分信息安全級別,并確定安全防范重點,提出相應的保密措施。
3.跟蹤審計制度跟蹤制度就是要求企業建立網絡交易的日志機制,來記錄網絡交易的全過程。而審計制度是對系統日志的經常檢查、審核,及時發現對系統有安全隱患的記錄,監控各種安全事故,維護和管理系統日志。
4.網絡系統的日常維護制度網絡系統的日常維護包括硬件的日常維護和軟件的日常維護,硬件維護主要是對網絡設備服務器和客戶機以及通信線路進行定期規范地巡查、檢修;軟件維護主要是規范地對支撐軟件的定期清理和整理、監測、處理特殊情況以及對應用軟件的升級等。
5.數據備份制度數據備份主要是利用多種介質對信息系統數據進行存儲,定期為重要信息備份、系統設備備份,并定期更新,以減少安全事故發生時造成的損失。
三、電子商務立法策略
電子商務安全得到法律保障,首先必須完善電子商務安全相關的法律。如何構建一個有針對性的健全的法律體系是擺在我們面前的迫切問題。可以從立法目的、立法原則、立法范圍和立法途徑上分析。
1.立法目的電子商務安全立法的目的主要是要消除電子商務發展的法律障礙;消除現有法律適用上的不確定性,保護合理的商業行為,保障電子交易安全;建立一個清晰的法律框架以統一調整電子商務的健康發展。
2.立法范圍電子商務安全方面需要的法律法規主要有:市場準入制度、合同有效認證辦法、電子支付系統安全措施、信息保密防范辦法,知識產權侵權處理規定、以及廣告的管制、網絡信息內容過濾等;電子商務調整的對象是電子商務中的各種社會關系。[3.立法途徑電子商務法律仍然是調整社會關系,所以應當繼承傳統立法的合理內核,尤其是基礎價值觀。具體的立法途徑主要是兩種:第一是制定新的法律規范。對于傳統法律沒有規定的,即由電子商務帶來的新的社會關系,應盡快制定法律規范;第二是修改或重新解釋既定的法律規范。對于傳統法律的規定不明確,或與電子商務新型社會關系有沖突甚至存在缺欠的,可以修改或重新解釋既定的法律規范。
四、政府監督管理策略
電子商務本質是一種市場運作模式,市場的正常健康有序地發展,必須有政府宏觀上的監督與管理,以協調和規范各市場主體的行為,宏觀監督與管理電子商務運行中的安全保障體系。
1.計算機信息系統安全管理計算機信息系統,是指“由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。”計算機安全保護規范主要有計算機安全等級保護制度,計算機系統使用單位安全負責制度,計算機案件強行報告制度,計算機病毒及其有害數據的專管制度與計算機信息安全專用產品銷售許可證制度。對計算機信息系統安全的保護,有利于保障國家的安全和社會安定,促進電子商務的安全交易過程,有利電子商務的健康發展。
2.網絡廣告和網絡服務業管理由于網絡的開放性,自由性等特征決定了網絡廣告監管的難度,虛假廣告、廣告充斥著網絡空間,網絡廣告已經發展成為一個社會問題。網絡廣告管理應該從三個方面入手:第一,網絡廣告組織的管理,必須對網站廣告經營主體資格進行管制,第二,規范網絡廣告內容,確保廣告內容的真實性、合法性和科學性。第三,需要有具體的廣告審查管制、評估與監測部門。
國家針對網絡服務業和網絡用戶管理已經頒布了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》,其中提出了詳細具體的限制條件。但是,網絡飛速發展,面對網絡中的新問題,還必須進一步深入全面地研究。
3.認證機構管理認證機構是電子商務活動中專門從事頒發認證證書的機構,對電子商務交易活動順利進行,電子商務活動中交易參與各方身份和信息認定,維護交易安全具有重要作用。對認證機構的管理主要是通過對設立的條件、撤消或者頒發許可證等營業資格而進行審批監督;同時,還要針對其資產和財務狀況定期審查,以免發生財務危機,對其信息披露與保密情況、安全系統運行情況等方面進行不定期或定期監督檢查。
4.加強社會信用道德建設,構建和諧安全電子商務電子商務安全問題其中有很大部分是由電子商務用戶或從業人員的信用道德問題引發的,在我國尤其嚴重,甚至大家感嘆電子商務在我國“水土不服”。對于新型的商業運作模式,必然存在不少漏洞,這需要廣大電子商務市場主體有良好的電子商務道德意識。除了從法律上采取措施,更重要的是政府要加強電子商務市場主體自身的道德建設,加強輿論監督和企業自律,充分利用網絡新聞輿論監督,消費者輿論監督和行業協會的管理監督。
五、結束語
電子商務安全不僅涉及到電子商務公司、企業、消費者的利益,而且更加廣泛地涉及經濟、政治、國防、文化等諸多方面,關系到國家的安全、和社會的穩定。電子商務安全策略確保電子商務的快速、健康地發展。電子商務安全是目前電子商務發展的瓶頸,只有解決了電子商務安全,保障了市場主體的利益,才能得到網絡用戶的認可和參與,電子商務自身也才能得到快速、健康地發展。
參考文獻
[1]林寧,吳志剛.我國信息安全技術標準化現狀[J].中國標準化,2007(4)
[2]胡艷春.電子商務網站建設中的安全問題研究[J].商場現代化,2006,(10)
