电子商务中信息安全管理
- 格式:doc
- 大小:31.50 KB
- 文档页数:5
电子商务中信息安全管理
摘要 随着电子商务在我国的发展,电子商务中的信息安全管理问题日益突出。管理作为信息安全保障的三大要素(人员、技术、管理)之一,对电子商务信息安全的起着重要作用。从管理的角度讨论如何实现以人为本的电子商务信息安全管理,分析电子商务中信息安全的现状、存在的问题及其原因。结合目前电子商务中管理现状,提出信息安全管理策略与防范机制,阐明保障电子商务的信息安全的主要措施,最终实现电子商务在我国安全、快速发展。
关键词 电子商务;信息安全管理;管理策略
随着计算机网络的普遍应用,电子商务活动得到了快速的发展,同时电子商务活动的安全问题日益突出。信息是进行网上商务活动的最基本要素,是商务活动的桥梁。信息的安全对于开展电子商务起着至关重要的作用。因此,信息安全问题已成为电子商务发展的焦点。电子商务中的信息安全主要分为:一是网络本身存在的安全隐患及通过网络为其它破坏行为创造的适宜条件而衍生出的安全隐患,另一种是电子商务的信息安全管理存在漏洞。目前解决电子商务信息安全的方法主要依赖技术人员采用的信息安全技术。“三分技术,七分管理”电子商务信息安全管理实践表明大多数安全问题是由于管理不善造成的。
据有关部门统计数据表明:在所有的安全问题中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误为10%,内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成的。由此可以看出,属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的管理方法来避免。因此,管理已成为信息安全能否实现的重要因素。
1 电子商务中的信息安全问题及根源
由于网络原因引起的信息安全问题形式多样化,经济利益成为网络攻击的最大驱动力。利用漏洞发起攻击仍是网络信息最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误,攻击者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏。根据美国CERT/CC统计,自1995年到2006年漏洞累计达到30,780个,2006年共报告漏洞8,064个,平均每天超过22个,2002-2006年第3季度信息安全漏洞的数量统计如图1:
图1 2000-2006年第三季度信息安全漏洞的数量统计
网络攻击呈现出组织严密化、行为趋利化、目标直接化的趋势。据公安部调查结果显示,2005年5月至2006年5月,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的比例为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因,占发生安全事件总数的73%。
出现这些问题的根源在于:
1)在网络广泛应用的同时,对于网络管理、媒体管理、电信管理的制度化、规范化成为电子商务信息安全必须解决的一个主要问题。
2)信息安全管理体制不够健全。由于缺乏一个宏观的信息安全规划和最高权威的统一机构,出现了信息安全管理部门条块分割、各行其是、相互隔离、沟通协调不够的局面,在一定程度上妨碍了国家有关法规的贯彻执行。
3)信息安全产业仍处在起步阶段,基础信息技术严重依赖国外,产业化和规模化水平、技术含量有待进一步提高。具有我国特点的信息安全风险评估标准体系还有待完善,信息安全的需求难以确定,要保护的对象和边界难以确定,缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。
4)信息安全意识缺乏,对于管理理念存在片面的理解。普遍存在重产品、轻服务,重技术、轻管理的思想。同时专项经费投入不足,导致管理的物质后盾不够强硬。
5)管理人才极度缺乏,对于信息安全管理人才与执法队伍的建设工作不够到位,特别是对于既懂技术又懂管理的复合型人才的培养力度不够。基础理论研究和关键技术薄弱,严重依赖国外。技术创新不够,信息安全管理产品水平和质量不高,尤其是以集中配置、集中管理、状态报告和策略互动为主要任务的安全管理平台产品的研究与开发还很落后。
6)缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构,致使我国现有的一些信息安全管理方面的法律法规,法阶层次不高,真正的法律少,行政规章多,结构不合理,不成体系执法主体不明确,多头管理,政出多门、各行其是。
2 电子商务中的信息安全管理
2.1 信息安全管理
信息安全管理是通过维护信息的机密性、完整性和可用性等来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。信息安全管理是信息全保障体系建设的重要组成部分,对于保护信息资产、降低信息系统安全风险、指导信息安全体系建设具有重要作用。信息安全管理应当涉及信息安全的各个方面,包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。
2.2 信息安全管理的策略
电子商务中的信息安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。网上
交易安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、加密技术、身份认证、授权等,但只有技术措施并不能完全保证网上交易的安全。二是必须加强监管,建立各种有关的合理制度,并加强严格监督。主要包括以下几个方面:
1)提高网络安全防范意识。现在许多企业管理者缺少或没有网络安全意识,对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。因此企业应定期举办信息安全讲座,提高网络安全防范意识,只有这样才能有效地减少信息安全事故的发生。全面提升工作人员整体信息安全识,要高度重视信息安全管理工作,有关业务部门要切实加强指导,以高度的责任感进一步推进信息化建设和信息安全管理工作。使信息化建设和信息安全建设同步进行。
2)建立电子商务安全管理组织体系。通过建立安全决策机构以建立管理框架,组织审批安全管理策略和制度,指派安全角色,分配安全职责。从而进行日常的安全运行和维护、定期进行培训和安全检查等为安全策略评审和评估提供意见。建立信息安全管理组织体系,在不同职位上的人员担任不同的安全管理角色,组织协调好管理工作。各部门结合起来,通过科学的管理、制定科学的制度,发挥企业每个人的主观能动性和警惕性来尽量避免信息失窃或破坏的发生,从而达到保护信息安全的目标。
3)制定符合机构安全需求的信息安全策略。对于电子商务中信息安全管理的规章制度具体应包括哪些,应针对每个企业的具体情况的不同而不同,没有任何一种管理策略是能一劳永逸地解决信息安全问题的,必须针对信息安全的不安全因素制定适合企业自身发展的信息安全策略,安全执行机构更应根据本企业实际情况制定信息安全策略,不论那种策略都应明确安全的定义、目标、范围和管理责任,并制定安全策略的实施细则。
4)人员安全的管理和培训。参与网上交易的经营管理人员在很大程度上支配着企业的命运,他们面临着防范严重的网络犯罪的任务,因而加强对有关人员的管理变得十分重要。把好人员录用,加强岗前培训,建立人员培训计划,定期组织安全策略和规程方面的培训;要落实岗位工作责任制;贯彻网上交易安全运作的基本原则;对信息进行分类并实行等级安全保护。
图2 电子商务中信息安全组织结构图
上图为企业电子商务信息安全组织结构图,为了应对各项需求以及各种不同的业务性质,因此在信息安全主管下,建立电子商务信息安全委员会,由信息安全主管负责企业电子商务的信息安全管理。电子商务信息安全委员会下设研究部、运行部、培训部、维护部、人员管理部。这五个部门处理的业务范围、工作性质以及职权轻重有所不同,这样才能避免公司人员分不清自己的管辖权限。同时这种划分并非各部门独立的运作,而是以一套完善并迅速的方式将每个部门串联起来,从而达到资源共享的状态,因此节省时间,将每一项信息安全问题解决的更准确更有效率。
2.3 应对安全问题的机制
1)建立集中统一、分工协作、各司其职的信息安全管理体制。信息安全保障的关键在于组织领导,要从根本上加强我国的信息安全保障工作,必须建立全国集中统一、分工协作、各司其职的信息安全管理机制。一是各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系,按照“谁主管、谁负责”的原则,共同履行信息安全管理的职责;二是充分调动政府、企业和个人的积极性,实现有机联动,形成合力,共同构筑国家信息安全保障体系;三是健全和完善信息安全责任体系,要求各部门、各单位明确信息安全工作负责人,配备相应的信息安全员,把信息安全责任真正落实到人。
2)加强信息安全法制建设,为信息安全管理提供执法依据。作为信息安全保障体系的重要部分,相关法律法规和标准体系的建设已经势在必行。下一步,应着力建立健全信息安全法律法规体系。同时,要注重和加强信息安全执法队伍的建设;各信息安全职能部门的执法活动必须严格按照法律规定的权限和程序进行,正确行使权力和履行职责,保护企业和公民的合法权益,打击网络违法犯罪;各有关主管部门和运营单位要积极支持执法机关工作,履行应尽的义务;社会团体、企业和个人要认真履行法律规定的信息安全责任和义务,在信息网络环境中依法开展活动。
3)努力探索,创立新形势下的信息网络违法犯罪防范打击体系。近年来,我国在打击网络违法犯罪方面做了大量的工作,也取得了很大的成绩,但是随着信息技术的不断发展,网络违法犯罪的形式更加多样化,技术手段更加先进,这就要求我们不断建立健全信息网络违法犯罪防范打击体系,以执法职能部门为主体,动员社会各方力量,提高对信息网络违法犯罪的防范、控制和侦查、打击能力。重点要做好以下四方面机制建设:一是全社会防范控制机制;二是统一指挥、快速反应的侦查机制;三是有关部门、单位的支持、配合机制;四是公检法三机关的协调、协作机制。
4)政策面上采取各种措施,创造良好的信息安全发展环境。一是加大对信息安全工作的资金投入。在政府层面,财政应拿出专门的资金,用于机关及相关事业单位、公益性等信息网络的安全建设及维护;在企业层面,在必须明确建设网络的真正需求,加强安全资金投入,针对自身的网络建立安全防御体系。二是加快信息安全人才培养。要从信息安全建设和管理对信息安全人才的实际需求出发,加强信息安全学科、专业和培训机构建设加快信息安全人才培养。要采取积极措施,吸引并用好高素质的信息安全管理和技术人才,最大限度的发挥人才效益。三是要大力支持信息网络安全服务行业的发展。建议出台支持信息安全服务行业发展的相关政策,加强对信息安全服务行业的监管,积极引导信息网络使用单位借助信息安全服务单位提高其安全管理水平和能力。四是要增强全民信息安全意识。要充分利用新闻媒体和互联网,加大信息安全宣传力度,增强全民信息安全意识。要开展全社会特别是对青少年的信息安全教育和法律法规教育,使其掌握必要的信息安全知识与技能。