网络安全成熟度评估范文

时间:2023-11-06 17:55:24

导语:如何才能写好一篇网络安全成熟度评估,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全成熟度评估

篇1

    一、网络安全策略与防范措施

    (1)攻击发生之前的防范措施。防火墙技术能够最大限度识别与阻挡非法的攻击行为。它通过网络边界的一种特殊的访问控制构件来隔离内网和外网及其它的部分间的信息交流。根据网络的体系结构,可以分别设置网络层IP分组过滤的防火墙、传输层的链路级防火墙及应用层的应用级防火墙。

    (2)攻击过程的防范措施。随着网络技术的发展,攻击者使用的工具和方法也变得更加复杂多样,所以单纯采用防火墙已不能够满足用户的安全需求。因此,网络防护要向纵深和多样化的方向发展。这样,入侵检测技术得到了应用。

    (3)攻击后的防范措施。当防火墙及入侵检测技术都记录到危险的动作及恶意的攻击行为之后,一旦网络遭受攻击以后,计算机可根据其记录来分析攻击的方式,从而尽快地弥补系统存在的漏洞,防止相同攻击的再次发生。

    (4)全方位防范措施在物理安全层面可以采取以下的措施:选用质量较好的网络硬件设备;对关键设备及系统,进行系统的备份;加强机房安全防护,防火、防盗,同时加强网络设备及安全设备的防护。信息安全方面要保证信息的真实性、完整性和机密性。因此,要将计算机中的重要或者隐私的数据加密,在数据的传输过程中也要进行加密传输。使用链路加密、端点加密和节点加密3种加密方式来确保信息传输的安全。访问控制措施是保证资源不被非法的使用与访问的有效措施。它包括入网的访问控制、操作权限的控制、目录安全的控制、属性安全的控制、网络服务器安全的控制、网络的监测、锁定的控制及防火墙的控制等7个方面的控制内容。因此,它是维护网络的安全和保护资源的一个重要的手段。

    二、网络攻击的效果评估方法

    网络攻击效果评估是研究复杂网络环境中怎样对信息系统所进行的网络攻击效果来定性或者定量评估的结果,从而由此检验攻击有效性与网络的系统安全性等。进行网络的攻击效果评估在信息系统安全评估的过程中有着十分重要的意义。首先,网络的构建部门通过对网络进行攻击模拟及自我评估来检验系统安全特性;其次,当对敌方恶意的攻击进行反击时,网络的攻击效果评估还能够为网络的反击样式及反击强度制定合理的应对方案。现有的评估方式可分为安全审计、风险分析、能力成熟模型及安全测评四类。

    (1)安全审计。将安全审计做为核心的评估思想是将是否实施最佳实践和程度进行系统安全性评估。此类模型主要包括:美国的信息系统的审计与控制协会COBIT、德国IT安全基本保护手册及美国审计总署自动信息系统的安全审计手册等。此方式主要是针对信息系统的安全措施的落实和安全管理,这是一种静态的、瞬时测量方法。

    (2)风险分析。风险分析模型主要从风险控制的角度来进行安全的评估和分析。一般的方法是通过对要进行保护的IT资源的研究,假设出这些资源可能存在的漏洞和安全威胁,然后对这些漏洞和威胁对资源可能所带来的后果进行预算,通过数学概率统计对安全性能进行测量,对可能产生的损失大部分进行量化。然后提取出所需来进行风险控制,从而降低风险,把安全风险控制到能够接受的范围之内。风险的管理是动态的及反复测量的过程。现有的通用信息安全的标准,例如15013335和15017799等,核心的思想都源于风险安全的理念。

    (3)能力成熟度模型。能力成熟度模型主要是由过程(Process)保证其安全。最着名的能力成熟模型是系统工程安全的能力成熟度模型。系统工程安全的能力成熟度模型的基本原理是通过将安全工程的过程管理途径,把系统的安全工程转化成为定义好、成熟、可测量的一个过程。该模型把安全能力共划分成5个等级,从低到高进行排序,低等级的是不成熟、难控制安全能力,中等级的是能管理、可控的安全能力,高等级的则是可量化、可测量的安全能力。能力成熟度模型为动态、螺旋式的上升模型。

    (4)安全测评。安全测评主要更多从安全的技术及功能与机制方面来对信息系统安全进行评估。早期安全测评方案有美国国防部的TCSEC,它的优势是比较适用于计算机安全,尤其是操作系统的安全进行度量,对计算机操作系统的等级的划分有着相当大的影响力。

篇2

1.计算机网络在电力系统应用的意义

电力系统的领导能通过计算机网络在企业本部的办公室中了解分散在全国各地项目部的财务报表、工程进度、工程质量、工程中存在的问题;在企业本部的会议室中拿出从计算机网络中得到的分散在全国各地项目部的资料,与其他领导进行研究,商量出解决问题的办法。

电力建设的性质决定了电力企业要使用计算机网络,它能将分散的建设工地连接成一个整体,能将分散的人员连接成一个整体并能将时空缩小。利用计算机网络,企业可发挥企业中每一个员工的积极性,是企业与每个员工联系的平台。领导的决策要依赖企业员工直接提供的素材,计算机网络能将企业员工提供的大量素材直接送到领导那里以供决策。计算机网络的应用为电力建设企业提供了现代化的管理手段,电力建设企业经济效益的取得离不开计算机网络在电力施工企业中的广泛应用。

2.计算机网络在电力系统应用的现状

通过计算机网络可以使电力系统的工作效率提高了,管理范围扩大了,工作人员的办事能力增强了,但计算机系统网络安全问题也随之变得更加严重了。例如:通过电子邮件感染病毒,电力系统管理网络互联接口的防火墙只配置了包过滤规则,提供的安全保证很低,容易受到基于IP欺骗的攻击,泄露企业机密,有些局域网没有进行虚拟网络VLAN划分和管理,造成网络阻塞,使工作效率减低;绝大多数操作系统是非正版软件,或网上下载免费软件,不能够做到及时补丁(PATCH)系统,造成系统漏洞,给攻击者留下木马后门;绝大多数工作站没有关闭不必要的通讯端口,使得计算机易受远程攻击病毒可以长驱直入,等等。

3.应对策略

3.1做好电力系统安全风险的评估

进行电力系统的安全性建设,首先必须做好安全状况评估分析,评估应聘请专业权威的信息安全咨询机构,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。培养信息安全专门人才和加强信息安全管理工作必须与电力系统信息安全防护系统建设同步进行,才能真正发挥电力系统的信息安全防护系统和设备的作用。

3.2采用信息安全新技术,建立信息安全防护体系

企业电力系统信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的电力安全系统先实施。

3.3防病毒

防病毒分为单机和网络两种。随着网络技术的快速发展,网络病毒的危害越来越大,因此,必须将电力系统内各台计算机加装杀毒软件,并且要及时更新杀毒软的版本,使用单机和网络防毒结合的防毒体系。单机防毒程序安装在工作站上,保护工作站免受病毒侵扰。主机防护程序安装在主机上。群件防毒程序安装在群件服务器中。防病毒墙安装在网关处,对出入网关的数据包进行检查,及时发现并杀死企图进入内网的网络病毒。防毒控管中心安装在某台网络的机器上,主要用以监控整个网络的病毒情况,由于网络中多台机器安装了防病毒程序,每台机器都要进行定期升级,比较麻烦,防毒控管中心可以主动升级,并把电力系统升级包通过网络分发给各个机器,完成整个网络的升级。

3.4进行黑客防范配置,合理地使用防火墙

通过信息检测、攻击检测、网络安全性分析和操作系统安全性分析等一系列配置,对黑客进行监控。防火墙可以阻断非法的数据包,屏蔽针对网络的非法攻击,阻断黑客人侵。一般情况下,防火墙设置会导致信息传输的明显延时,因此,在需要考虑实时性要求的电力系统,建议采用实时系统专用的防火墙组件,以降低电力系统通用防火墙软件延时带来的影响。

3.5监视网络流量和进行非授权使用检测

通过对网络流量采样,来实时地监视网络流量和进行非授权使用检测。同时,可以通过封锁网络访问或终止非法对话来主动响应非法活动。

3.6物理线路上的隔离

电力系统重要网络采用物理隔离的方法保证安全。物理隔离是在物理线路上进行隔离,是一种最安全的防护技术。大体可分成单机物理隔离、隔离集线器和网际物理隔离三类。单机物理隔离:分为内置隔离卡和外置隔离器。隔离卡安装在机器内部,安装和使用比较麻烦,切换内外网时需要重新启动,但安全性最高。隔离卡又分为单硬盘物理隔离卡和双硬盘物理隔离卡。隔离器是外置设备,安装很简单,使用起来十分方便,缺点是安全性不如隔离卡高。电力系统隔离集线器不需要改变布线结构,单网线到桌面。可以同时接入多个工作站,使用方便。网际物理隔离:电力系统物理隔离器可以完成外网信息的搜集、转发和内网三个工作环节,在转发的过程中需要重新启动隔离传送器。适合实时性要求不高的部门的外网接口处。

篇3

随着宽带网络和用户规模的不断增长,用户对宽带接入业务的高可用性要求不断增强,对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手,结合电信IP城域网,提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

关键字(Keywords):

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:

图一信息安全风险管理模型

既然信息安全是一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。

图二信息安全体系的“PDCA”管理模型

2建立信息安全管理体系的主要步骤

如图二所示,在PLAN阶段,就需要遵照BS7799等相关标准、结合企业信息系统实际情况,建设适合于自身的ISMS信息安全管理体系,ISMS的构建包含以下主要步骤:

(1)确定ISMS的范畴和安全边界

(2)在范畴内定义信息安全策略、方针和指南

(3)对范畴内的相关信息和信息系统进行风险评估

a)Planning(规划)

b)InformationGathering(信息搜集)

c)RiskAnalysis(风险分析)

uAssetsIdentification&valuation(资产鉴别与资产评估)

uThreatAnalysis(威胁分析)

uVulnerabilityAnalysis(弱点分析)

u资产/威胁/弱点的映射表

uImpact&LikelihoodAssessment(影响和可能性评估)

uRiskResultAnalysis(风险结果分析)

d)Identifying&SelectingSafeguards(鉴别和选择防护措施)

e)Monitoring&Implementation(监控和实施)

f)Effectestimation(效果检查与评估)

(4)实施和运营初步的ISMS体系

(5)对ISMS运营的过程和效果进行监控

(6)在运营中对ISMS进行不断优化

3IP宽带网络安全风险管理主要实践步骤

目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。

由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:

3.1项目准备阶段。

a)主要搜集和分析与项目相关的背景信息;

b)和客户沟通并明确项目范围、目标与蓝图;

c)建议并明确项目成员组成和分工;

d)对项目约束条件和风险进行声明;

e)对客户领导和项目成员进行意识、知识或工具培训;

f)汇报项目进度计划并获得客户领导批准等。

3.2项目执行阶段。

a)在项目范围内进行安全域划分;

b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;

c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;

d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。

3.3项目总结阶段

a)项目中产生的策略、指南等文档进行审核和批准;

b)对项目资产鉴别报告、风险分析报告进行审核和批准;

c)对需要进行的相关风险处置建议进行项目安排;

4IP宽带网络安全风险管理实践要点分析

运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:

4.1安全目标

充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

4.2项目范畴

应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统:如网管系统、AAA平台、DNS等。

4.3项目成员

应该得到运营商高层领导的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。

4.4背景信息搜集:

背景信息搜集之前,应该对信息搜集对象进行分组,即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含:

a)IP宽带网络总体架构

b)城域网结构和配置

c)接入网结构和配置

d)AAA平台系统结构和配置

e)DNS系统结构和配置

f)相关主机和设备的软硬件信息

g)相关业务操作规范、流程和接口

h)相关业务数据的生成、存储和安全需求信息

i)已有的安全事故记录

j)已有的安全产品和已经部署的安全控制措施

k)相关机房的物理环境信息

l)已有的安全管理策略、规定和指南

m)其它相关

4.5资产鉴别

资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别,鉴别其设备类型、地址配置、软硬件配置等信息。

4.6威胁分析

威胁分析应该具有针对性,即按照不同的资产组进行针对性威胁分析。如针对IP城域网,其主要风险可能是:蠕虫、P2P、路由攻击、路由设备入侵等;而对于DNS或AAA平台,其主要风险可能包括:主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。

4.7威胁影响分析

是指对不同威胁其可能造成的危害进行评定,作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见,尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。

4.8威胁可能性分析

是指某种威胁可能发生的概率,其发生概率评定非常困难,所以一般情况下都应该采用定性的分析方法,制定出一套评价规则,主要由运营商管理人员按照规则进行评价。

篇4

随着企业的生产指挥,经营管理等经营活动越来越依赖于计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄漏,不能提供服务等问题,则将对电网的安全运行,电力企业的生产管理以及经济效益等造成不可估量的损失,高技术在带来便利与效率的同时,也带来了新的安全风险和问题。

1、电力公司信息安全的主要风险分析

信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:

(1)计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。

在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在两三天内可以感染到区域内所有单位的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。

(2)网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。

网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,互联网更是连接到国际上的各个地方,什么样的用户都有。内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业商业秘密和机密信息,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。

如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。

(3)信息传递的安全不容忽视:随着办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。同时电力公司和外部的政府,研究院所,以及国外有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。

网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。

(4)用户身份认证和信息系统的访问控制急需加强:企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。

一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了。

如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。

(5)实时控制系统和数据网络的安全至关重要:电网的调度指挥,自动控制,微机保护等领域的计算机应用在电力企业中起步早,应用水平高,不但实现了对电网运行状况的实时监视,还实现了对电网一次设备的遥控,遥调以及保护设备的远方管理。随着数据网的建设和应用,这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备,系统的安全可靠,数据网的安全可靠,信息指令传输的实时性等直接关系着电网的安全,其安全等级要求高于一般的广域网系统。

同时,这些电网控制和监视系统中的许多信息又是生产指挥,管理决策必不可少的,需要通过和生产管理局域网互联,将数据传送生产管理信息系统中,供各级领导和各专业管理人员察看,使用。数据网和生产管理局域网的互联带来了不同安全等级的网络互连的安全问题。

(6)电子商务的安全逐步提上议事日程:随着计算机信息系统在电力市场,用电营销,财务管理等业务中的深入应用,电子商务在电力企业的应用开始起步。例如:电力市场系统中发电厂和电网公司之间的报价,电力交易,电费结算等都将通过计算机信息系统来实现和完成,这可以视为电子商务中常提到的B2B模式。用电营销系统中的电费计费结算,用户买电交费,银电联网代收电费等,是典型的电力公司和用户之间的电子交易,可以视为电子商务中的B2C模式;以后还有物资采购等方面的电子商务系统。

随着电子商务在电力企业中的应用逐步推广和深入,如何保障电子交易的安全,可靠,即电子商务安全问题也会越来越突出。

二、解决信息安全问题的基本原则

统筹规划,分步实施。要建立完整的信息安全防护体系,绝不能一哄而上,必须分清需求的轻重缓急,根据信息化建设的发展,结合信息系统建设和应用的步伐,统一规划,分步建设,逐步投资。

1、做好安全风险的评估。进行安全系统的建设,首先必须做好安全状况评估分析,评估应聘请专业信息安全咨询公司,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。

信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。

培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。

2、采用信息安全新技术,建立信息安全防护体系

企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施

3、计算机防病毒系统

计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。

在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电网公司这样的大型企业的首选。个人版本的杀毒软件适合家庭,小规模用户。

4、网络安全防护系统

信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。

对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。

5、开展信息安全专题研究,为将来的应用做好准备

电网实时监视与控制系统的安全问题要求更高,技术难度更大,应开展专题研究。

国家有关部门和电力企业对电网实时监视与控制系统的安全问题高度重视,专门发文要求确保电网二次系统的计算机和网络系统的安全,要实现调度控制系统,数据网与其他生产管理系统和网络的有效隔离,甚至是物理隔离。

6、电子商务安全需要深入研究和逐步应用

电子商务的安全牵涉很多方面,包括严格,安全的身份的认证技术,对涉及商业机密的信息实现加密传输,采取数字签名技术保证合同和交易的完整性及不可否认性等。这些方面又与信息安全基础技术平台密切相关,因此安全基础平台的建设对于电子商务的安全应用是至关重要的。目前已经有电子商务的应用系统投入在线使用,我们必须加快对电子商务的安全的研究和应用,否则将来会出现因电子在线交易不安全,不可靠的而导致电子商务系统无人敢用的局面。

7、依据法规,遵循标准,提高安全管理水平

信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全"七分管理,三分技术"的说法不是很精确,但管理的作用可见一斑。

三、解决信息安全问题的思路与对策

电力企业的信息安全管理相对来说还是一个较新的话题,国内其他电力企业也在积极研究和探讨,以下是一些粗浅的看法。

1、依据国家法律,法规,建立企业信息安全管理制度

国家在信息安全方面了一系列的法律法规和技术标准,对信息网络安全进行了明确的规定,并有专门的部门负责信息安全的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,指导信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平

国际上的信息技术发展和应用比我们先进,在信息安全领域的研究起步比我们更早,取得了很多的成果和经验,我们可以充分利用国际标准来指导我们的工作,提高水平,少走弯路。

信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。

2、开展全员信息安全教育和培训活动

安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。

开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。

3、充分利用企业网络条件,提供全面,及时和快捷的信息安全服务

山东省电力公司广域网联通了系统内的各个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台,安全公告,安全法规和技术标准,提供安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。

4、在发展中求安全

没有百分之百安全的技术和防护系统黑客技术,计算机病毒等信息安全攻击技术在不断发展的,人们对它们的认识,掌握也不是完全的,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。

不是所有的信息安全问题可以一次解决

人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。

5、解决信息安全问题不可能一劳永逸

企业的信息化应用是随着企业的发展而不断发展的,信息技术更是日新月异的发展的,安全的需求也是逐步变化的,新的安全问题也不断产生,原来建设的防护系统可能不满足新形势下的安全需求,这些都决定了信息安全是一个动态过程,需要定期对信息网络安全状况进行评估,改进安全方案,调整安全策略。信息安全是一个伴随着企业信息化应用发展而发展的永恒课题。

篇5

电力系统中利用计算机网络技术,有效的扩大了管理的范围,提高了工作效率,但随之而来所带来的安全问题也日益严重。由于病毒技术的快速发展,防火墙的完善,使电力系统网络极易受到攻击,导致企业机密出现泄露。特别是部分电力企业中局域网极易出现堵塞现象,从而导致工作效率降低,再加之操作系统漏洞及上网管理不严,极易给攻击者留下后患,各类远程攻击及病毒入侵时常发生。

2计算机网络在电力系统的应用意义

电力系统计算机网络技术的应用,为企业管理人员带来了较大的便利。企业管理者只需要在本部就可实现对各地项目部财务、工程进度及工程质量等信息的了解,及时获取各地项目部的资料,与其他管理人员通过网络对项目问题进行分析和决策。同时计算机网络技术的应用,对当前电网建设发挥着极为关键的作用,其可以利用计算机网络将各地电网设施进行连接,使其成为一个整体,而且还可以将各地分散的员工有效的连接成为一个整体,为管理带来了较大的便利。这样管理范围进一步缩小,利用计算机网络这个平台,可以有效的将企业与员工有效的联系起来,充分的调动起每一位员的工作积极性,使企业管理者也可以通过这个平台更好的了解员工的基本情况,科学合理的做出更项重要决策。可以说在电力企业发展过程中,计算机网络技术作为其现代化管理的重要手段之一,成为企业发展的重要帮手。

3电力系统信息安全防护应对策略

3.1做好电力系统安全风险的评估在当前电力企业信息化建设过程中,为了更好的发挥出计算机网络技术的优势,则需要做好安全状况评估工作,聘请权威信息安全咨询机构,同时组织企业内部信息人员和专业人员参与,从而对企业信息安全风险进行全面的评估,及时发现企业信息化建设过程中存在的问题,并制定科学合理的策略,建立健全企业信息安全系统,在企业信息化建设过程中尽量应用已成成熟的技术和产品,确保信息安全系统的安全和稳定。

3.2采用信息安全新技术,建立信息安全防护体系电力系统企业信息安全面临的问题很多,应该根据安全需求的轻重缓急,解决相关安全问题,根据信息安全技术的成熟度进行综合分析判断,采取分步实施。技术成熟的,能快速见效的电力安全系统先行实施。

3.3计算机病毒防范目前防病毒软件主要分为单机版和网络版两种。随着网络技术的快速发展,网络病毒的危害越来越大,因此,必须将电力系统内各台计算机加装防病毒软件,并且要及时更新防病毒软件的病毒库版本,建议采用单机版、网络版防病毒软件及其他防护手段相结合的综合病毒防范体系。

3.4优化安全设备配置策略通过信息检测、攻击检测、网络安全性分析和操作系统安全性分析等一系列配置,对黑客进行监控。利用防火墙可以阻断非法的数据包,屏蔽针对网络的非法攻击,阻断黑客入侵。一般情况下,防火墙设置会导致信息传输的明显延时。因此,在需要考虑实时性要求的电力系统,建议采用实时系统专用的防火墙组件,以降低电力系统通用防火墙软件延时带来的影响。

3.5监视网络流量和进行非授权使用检测通过对网络流量采样.来实时地监视网络流量和进行非授权使用检测。同时,可以通过封锁网络访问或终止非法对话来主动响应非法活动。

4电力系统计算机网络的维护

4.1维护工作内容一是保证设备工作条件,包括供电条件和环境条件等;二是对系统故障进行判断和处理,根据故障现象和告警指示,利用网管及各种测试工具进行故障定位,找出故障原因,在最短时间内排除故障;三是通常采用集中维护方式,将维护人员和必要的维护仪表集中在一个主要站;四是经常检查交换机与路由器中的端口状态,尤其需要关注端口差错统计信息,对于出错包特别多的端口,应该检查其是交换机或路由器本身的、链路的原因,还是接入设备的原因;五是链路若是光缆,则主要检查现有衰耗和投运时的衰耗差,链路是网线则用专用仪器进行现场测试,光纤不允许小角度弯折,更不能出现直角;六是网管监控系统和本地维护终端用的计算机是专用设备,禁止挪用,以免病毒侵害。

4.2对维护人员的要求一是对运行中的网络设备在进行变更设置的操作时,必须有两人同时在场方可进行,一人操作,一人监护,并做好如何在操作失败而导致网络设备异常的情况下的处理预案,履行必要手续;二是处理光接口信号时,不得将光发送器的尾纤端面或上面活动连接器的端面对着眼睛,并注意尾纤端面和连接器的清洁;三是熟练掌握所维护的设备的基本操作;四是做好设备的日常巡视工作。

5结束语

篇6

【关键词】信息安全管理 保险公司

一、保险公司信息安全管理的意义

科学的进步,信息技术的发展使当今的社会步入了互联网和大数据的时代。这一时代的变革给社会经济带来了深刻的影响,产生了许多颠覆性的创新,改变了人们传统的行为习惯、企业的商业模式和市场的竞争格局。

整个社会正在发生革命性的变化,世界在迈向信息化的过程中,也给保险行业的发展带来了更广阔的天空。信息技术在未来的保险领域中承载着越来越重要的作用,然而,新技术的应用和推广中,风险与机遇是并存的。技术上的缺陷,安全管理上的漏洞,都将使得信息和信息系统的安全产生严重的问题,甚至于危害人们生命与财产的安全。因此,研究和制定保险公司的信息安全战略,提升保险公司安全保障能力,架构保险信息安全体系是我们面临的重大课题。本文的研究目的就是对保险公司的信息安全管理体系解决方案进行探索,为保险公司的大力发展提供有力的安全保障和基础。

二、保险公司信息安全管理中普通存在的问题

尽管在日常生活中,人们对越来越多暴露出的信息安全问题愈发的敏感和关注,但是普遍来说,整个保险行业对信息安全问题的整体认识不足,缺乏必要和实质的行动,主要存在的问题有以下几个方面:

(一)管理层对信息安全的意义认识不足

管理层对信息安全的认识还没有达到战略性的高度,没有意识到信息安全问题将渗透到企业的方方面面,没有意识到信息安全管理能力将成为企业未来的核心能力。由于管理层重视程度不高,导致了对信息安全管理上人力和物力的投入不足,许多企业的信息安全管理水平不理想。

(二)信息安全管理上缺乏全局思维

保险公司的安全管理目前仍然缺乏一整套完善的规范约束,重视其中的技术问题,轻视了管理问题;重视客观性问题,轻视人为主观性因素;重视对外部环境的安全,轻视内在存在的隐患;以静态的观念思考问题,缺乏前瞻性思维。

(三)信息安全治理的成熟度较低

信息安全治理要包括风险管理,组织流程,策略执行,责任到岗等一整套治理体系,目前许多保险企业的信息安全管理的成熟度仍然处于初级阶段,表现为有局限性的安全保障行为,距离成熟的治理结构,即全面动态优化的阶段,还有比较长的距离。

(四)安全管理基础薄弱,对安全保障有行为没有体系

信息安全问题不仅是技术上问题,,更要面临管理的问题。需要利用技术手段去支持管理手段,利用管理手段提升技术手段应有作用的有效发挥。许多企业对安全的决策没有整合到整个管理体系流程中,对风险的防范是片段的、分散的、局部的,也缺乏专业的安全治理部门和责任人对安全问题进行评估、监督和优化。

鉴于以上存在的问题和现状,保险企业需要深刻的理解信息安全问题的重要性,建立和健全一整套的信息安全管理体系保证安全战略的规划和部署,在信息技术的支持下,促进行业和企业的高速发展。

三、建设和实施信息安全体系的步骤

《保险公司信息系统安全管理指引(试行)》中指出:信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。信息安全不是对单一的信息产品进行防护,而是构筑综合防御体系。一个典型的综合防御体系的构筑过程包括如下步骤:首先,明确信息安全的目标,并建立和完善企业安全治理结构,进而识别和评估企业中存在的安全风险,涉及的相关主体和面临的各项约束,形成安全评估报告,并制定相关的安全控制规划,建立分层次的安全管理体系,最后,对安全管理活动进行持续性的评估、监督、控制和改进。这个过程是个PDCA的过程,安全体系会随着外部环境的变化、业务情况的变化和信息技术的改进而产生新的需求,新的方法,因此它需要不断更新改进,是一个动态发展的过程。

(一)安全目标的确立

信息安全有三个层次的内涵:

第一层次:信息安全,指的是保护信息这种资产自身的安全,避免发生偶发的或有意的泄露、修改、破坏或丧失处理能力。包括三重含义:信息的机密性、信息的真实性和信息的完整性。

第二层次:信息系统的安全,信息系统是信息处理中包含硬件、软件和网络等支撑体系的集合,信息安全与信息系统安全相互附生,信息系统问题将直接引发信息安全问题。

第三层次:由信息安全和信息系统安全带来的的传统安全问题,如机密信息泄露导致的生命财产的损失。

以这三个层次为出发点,帮助我们分析信息安全中的主体、要素、相关关系,并结合公司的战略规划,确定信息安全的根本目标是制定和实施安全管理解决方案的首要任务。

(二)治理结构的设置

由于信息安全管理需要跨部门、跨业务整合资源,因此需要建立强有力的领导层和组织架构,进行顶层设计。在此基础上,实施多资源系统控制政策,整合不同业务、不同渠道、不同条线、不同分支机构的要求,形成安全管理体系,开展具体工作,强化多项目综合管理,既有牵头部门,又要协同作战,既有重点主次,又要全面推进。在高层组织机构的领导下,建立顺畅的安全管理工作协作机制,破除部门壁垒,增进部门协作,推进工作的高效开展。

(三)安全风险的识别和评估

评估信息安全时需要对信息安全、技术安全及其涉及的治理机制、业务流程、人员管理、企业文化等内容进行分析,通过评估工具、人工分析、文档清理、问卷调研等方式对公司现状进行调研,了解物理安全(物理设备的访问控制、电力供应等)、网络安全(基础网络架构、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全)、系统安全(系统软件安全漏洞、系统软件配置安全等)、应用安全(应用软件安全漏洞、软件安全功能、数据防护等)的情况和控制措施。通过基线风险评估制定信息安全底线,对信息资产进行详细的风险分析,了解与信息安全标准之间存在的差距,得到初步的安全评估;通过信息资产风险评估和流程风险评估进行详细的风险评估,对重要的信息资产和IT流程中存在的安全威胁、漏洞及其可能性分析,选择合适的方法进行管理,得到最终的风险评估报告。

(四)整体安全控制规划的制定

为了保障安全管理工作有序、科学和顺利的开展,必须要制定安全控制规划。安全规划在风险评估的基础上,对安全管理框架和技术框架进行详细的规划,作为指导企业安全建设的指南,应该结合过去与未来的网络架构、威胁防护、安全策略、组织、运行等各项工作的任务、内容、建设重点,制定实施的优先级、具体步骤和具体措施。

(五)安全控制体系的建立

安全控制体系架构的建立是整项工作的关键环节之一,我们将安全控制体系分成五个层次:安全内核层、安全服务标准接口层,通用安全接口层、安全组件服务层、安全系统应用层。架构安全控制体系时,满足如下的原则:分层的体系结构要为不同层级的安全服务提供保障;层级功能有相对独立性;应用服务具有通用性,提供统一的访问接口,服务之间也可相互协调;具有很强的扩展能力,很好的兼容新的安全机制和模块。

(六)有效性评估、监管、考核和审计

保险企业应该不断地对信息安全控制体系的实施情况进行审查、监督,采取纠正性措施、预防性措施,并保持安全管理体系的有效运作。对信息安全策略、安全的目标达成情况、编制的文件、安全事件进行分析,采取积极措施,消除已发生的或未来可能发生的与实施和运作标准有差距的不合格状况,防止不利事件的发生。

四、结束语

每一个保险企业具备的个性问题各不相同,在实施信息系统安全管理解决方案时会面临不同条件和约束。同时,即便在共性问题上,也会随着时间的进展,而产生新的问题。现代社会中,如何保障信息安全是一个不断增长的社会需求。安全只是相对的,而不是绝对的,是动态的,不是静止的,这也意味着对信息安全的管理将是一个持续发展、不断完善的过程。

参考文献:

篇7

关键词:电力系统;计算机网络;应用

中图分类号:TM73 文献标识码:A 文章编号:1006-8937(2013)21-0052-02

随着计算机技术的飞速发展和广泛应用,目前在电力系统中也开始广泛的应用计算机网络技术,比如电力营销、视频监控以及集群录音等,通过实践研究表明,将计算机网络技术应用到电力系统中,具有一系列的优势。

1 计算机网络技术在电力系统中的应用现状分析

计算机网络系统指的是互相连接不同地理位置的多个计算机系统,采用的是通讯设备和线路等,以此来有效的传递信息和共享资源。它的功能主要体现在资源共享和用户信息交换方面。在电力系统中应用计算机网络技术,可以对管理范围进行扩大,对工作效率进行提高;但是在实践当中,会有很多因素影响到计算机系统网络的安全。

比如,有很多病毒存在于电子邮件中,那么在传播和接收电子邮件的时候,就会出现安全问题;虽然将防火墙配置于网络的接口中,但是只能够提供很低的安全保证,只将包过滤规则配置了过来,这样对于IP欺骗的攻击,依然不能够有效抵御,容易让企业挤密泄露出去。有些企业的局域网还没有划分虚拟网络,这样网络的畅通性就无法保证,对工作效率产生影响。还有的企业为了节约资金,没有采用正版软件来作为操作系统,大多都是非正版的,直接从网上下载,没有及时的更新,这样就会影响到系统的安全性;在工作的过程中,因为没有将那些非必要的通讯端口给关闭掉,这样就容易让远程攻击到计算机,促使病毒入侵。

2 计算机网络在电力系统的应用意义

将计算机网络技术应用到电力系统中,那么工作人员要想了解全国各地项目部的各种资料信息,比如财务报表、工程进度以及工程质量等,只需要在办公室利用计算机网络即可。企业的会议也可以采用计算机网络的形式,对全国各地项目部的项目资料进行有效获取,对于出现的问题,可以通过计算机网络来互相研讨,找出办法来进行解决。通过计算机网络,可以有效的连接分散的电网设施,也可以将分散的员工给连接起来,使其形成一个整体,这样管理起来就比较的简单。

通过计算机网络的应用,可以将工作人员的积极性给充分的激发出来,让员工可以有效的交流和沟通,企业可以将各种意见在这个平台上向领导提出来,管理者结合员工提供的意见做出更加科学合理的决策。通过这样现代化管理手段的应用,电力系统经济效益可以得到显著增强。

3 电力系统信息安全防护应对策略

电力系统信息安全防护应对策略主要包括以下几个方面。

一是评估电力系统安全风险。要想有效的保护电力系统信息安全,就需要合理评估和分析电力系统的安全状况,为了保证评估质量,可以邀请一些外部的专业机构来进行,并且让企业有较高水平的人员充分参与进来,评估电力系统信息安全风险,结合出现的问题,采取一系列有针对性的措施,将这些措施应用下去之后,还需要对应用效果进行评估,以便做出更加合理的改进。

二是将信息安全技术积极应用进来,进行信息安全防护体系的构建工作。目前,随着时代的发展和科学技术的进步,电力系统企业在信息安全方面面临了越来越多的问题,针对这些问题,在防护过程中,应该将那些安全需求较大的问题作为防护的重点,对相关安全问题进行解决。同时,还需要综合分析判断信息安全技术的成熟度,将这些安全技术逐渐落实下去,首先要实施的就是那些比较成熟的电力安全系统。

三是防范计算机病毒。目前,越来越多的不法分子在传播病毒,并且这些病毒的危害越来越大;针对这种情况,就研发出来了防病毒软件,一般可以分为两种,分别是单机版和网络版;为了保证计算机系统的安全,就需要将防病毒软件应用进来,并且对病毒库软件进行及时的更新,这样才可以有效的防范病毒。为了将防病毒软件的作用给充分体现出来,就需要构建一个综合的病毒防范体系,有机的结合单机版防病毒软件和网络版防病毒软件。一般在单机工作站上安装单机版防病毒软件,这样病毒就不会侵袭到工作站,在网关处安装,这样就可以全面检查出入网关的各种信息,将那些企图入内的病毒给查杀掉。在网络服务器上安装网络版防病毒软件,用户还需要进行防病毒软件客户端的安装工作,每一台客户端都和统一的管控中心连接起来,这样每一台客户端都可以及时接收到管控中心发过来的各种安全防护策略,及时对客户端病毒库等进行升级和更新,对计算机网络系统的病毒情况进行全面有效的监控。

四是对安全设备配置策略进行全面优化。为了全面监控黑客,就需要通过相应的安全设备配置,比如信息检测、攻击检测、网络安全性分析等。对于那些含有病毒的数据包,可以利用防火墙来阻拦,对那些非法的网络攻击进行有效的屏蔽,这样就可以保证不会有黑客侵入到网络系统。但是,我们需要注意的是,在计算机网络系统中设置防火墙,会对信息传输产生一定的延时。因此,如果电力系统对实时性有着较高的要求,采用的防火墙组件就需要具有较高的实时性,最大限度的降低对信息传输的影响。

五是物理链路上的隔离。为了保证电力系统的安全性,就需要将物理隔离的方法应用进来。物理隔离指的是隔离物理联络,通过实践研究表明,这种防护技术特别安全。通常情况下,可以将物理隔离划分为几大类型,分别是隔离集线器、网际物理隔离、单机物理隔离等。单机物理隔离指的是将隔离卡在机器的内部安装,但是应用起来的难度较大,必须要重新启动之后,方可以对内外网进行更换,但是却有着最高的安全性。也可以采用外部安装的方法,也就是在机器的外部安装隔离器,这样使用起来比较的便捷,但是安全性方面相对较弱。隔离集线器是直接安装的,不需要对布线结构进行改变,使用起来比较的方便和简单。网际物理隔离可以有效的搜集和转发外网信息,但是需要对隔离传送器进行重新启动之后,方可以进行转送。

4 结 语

通过上文的分析我们可以得知,在电力系统中应用计算机网络技术,具有巨大的积极意义,可以有效提高工作效率,拓展管理范围。但是,目前计算机网络系统的安全形势却愈加严峻,在安全防护方面还面临着诸多的问题和挑战,针对这些问题,需要相关人员不断的努力和研发,提高计算机网络系统的安全水平。

参考文献:

[1] 刘进毅.计算机网络技术在电力系统红的应用[J].城市建设理论研究,2011,(19).

篇8

    近年来,我国的电子商务市场不断繁荣壮大,各行业纷纷迈开了“电子商务化”步伐,不少检验机构也开始“涉水”电子商务领域,开展网上委托检验业务,使得委托检验活动可以在任何时间、任何地点进行,同时借助第三方物流服务,委托方“足不出户”就可完成整个检验过程。但是由于网上委托的跨时空特性,其风险也更为突出,因此,将风险管理理念引入电子商务检验检测领域显得十分必要,充分认识和加强网上委托检验的风险管理,是检验机构规避风险,保障电子商务平稳运行的重要手段。

    1、风险来源委托检验是企业或个人的自主自愿行为,即委托有资质的检验机构依据相关标准或合同约定对客户委托的样品实施检验并出具检验报告。电子商务的一个重要技术特征是利用互联网技术来传输和处理信息,这种跨时空的委托方式更加剧了风险发生的可能性。其风险主要来源于三个方面:一是网络安全风险;二是委托信用风险;三是检验过程风险。

    1.1网络安全风险电子商务模式下的委托检验全都经由计算机网络完成,包括查询检测项目信息、填写委托单、支付检测费用、查询检测进度和查询下载检验报告等。其风险主要表现为信息安全和交易安全。电子商务中最常见的信息风险是信息的丢失、非法窃取或泄露,它往往会引起连锁反应,形成后续风险。而交易的安全性一旦受到攻击将直接侵害委托双方的利益,不仅会造成巨大的经济损失,更重要的是可能会让用户对电子商务这种新的委托形式失去信心。

    1.2委托信用风险电子商务模式下委托双方不需要直接见面,在委托信息的判别确认、违约责任的追究等方面都存有很大困难,风险发生的概率比传统方式高。其风险主要表现为委托方信息和样品信息的真实性和可靠性无从确认,尤其是对于委托检验样品,存在着对委托方所提供样品的真实性以及产品成熟度进行甄别和判断的风险。而且,由于网上委托的开放性和自主性,任何个人或企业都可以申请委托检验,送检伪劣产品冒充正品进行检验、利用不合格的检验报告对正品经营者进行敲诈勒索的行为也时有发生。因此,推进委托检验电子商务化运作,还必须以社会成员之间高度的信用依赖为基础。

    1.3检验过程风险检验过程风险很大程度上是伴随委托环节中的风险点发生的。比如,委托样品是否具有代表性,是否适宜检验,样品在运输过程中是否保持原有的性状等,都会直接影响到检测数据的有效性。网上委托检验一般要求检测结构同时出具纸质报告和电子报告,以方便委托方通过网络快速查询、调用相关信息。作为委托检验的最终环节,报告签发风险也须警惕重视,如因委托信息失真或检测数据失真而导致的检验报告信息失真,电子报告在网络传输过程中因防护不当被窃取、篡改、盗用等。

    2、风险对策

    风险具有隐蔽性和不确定性,不管采取何种方法或措施都不能做到零风险。提高风险防范意识,采取主动应对措施,可有效地将风险发生的概率及造成的损失降低。检验机构可从以下几方面做好风险防范工作。

    2.1加强网络安全防护,提高风险防范意识检验机构发展电子商务必须建立一套完整的安全管理体系,综合利用多种先进的安防技术以确保网上委托系统正常、高效、安全地运行。(1)做好全面系统防护。无事故不等于足够的安全,检验机构应提高网络安全意识,通过建立防火墙系统,定期维护升级等措施可以有效应对已知的入侵攻击,为电子商务提供安全运行保障。(2)构建安全交易平台。网上易由于信息不对称使得交易双方存在信任问题,极大地阻碍了电子商务的发展。第三方支付平台作为交易双方之间公正的“中间人”,可对交易双方的信用提供担保,降低网上交易的风险程度。

    2.2确认委托检验信息,核查样品真实情况电子商务的开放性和自主性,决定了交易主体的多元性和不确定性,进而加大了信用风险。检验机构开展网上委托检验应实行实名制申请,必要时还可以引入数字证书,以保证委托信息的可靠性、真实性、完整性、有效性和不可抵赖性。在受理网上委托检验时应注意:(1)签订委托合同。委托检验合同是检验机构接受客户委托、办理检验业务及双方履行约定责任的协议凭据,也是检验机构对委托样品进行检验判定的依据。国家质检总局制订的《委托检验行为规范(试行)》里明确规定,检验机构要在对委托方的检验需求、检验依据、样品信息、检验机构检验能力能否满足委托方要求等进行评估的基础上,确定是否接受委托检验,签订委托检验合同。合同内容应当包括委托方信息、对样品的要求、样品的状态、检验项目、检验依据、异议处理、样品处理方式和保存期、双方权利和义务等约定,并注明委托方对样品及其相关信息的真实性负责。检验机构在受理时应要求委托方同时提供一份纸质委托合同并在合同上签字或盖章予以确认,以留档存证。(2)做好样品核查。检验机构对委托方提供的样品(邮寄或直接送达等方式),要按照委托检验合同上载明的样品状态、数量等内容进行核查,确定样品是否完好无损,是否适宜检验,做好接收记录,必要时须拍照留存。委托方提供的样品和资料不真实或有严重出入时,检验机构应当拒绝接受委托。做到样品量不足的不收,样品封识不正常的不收,样品实物与说明书、标签、见证材料等附件资料载明信息不一致的不收,样品检验依据或标准未确定或错误的不收。

    2.3推进实验室信息管理,严格报告审签制为确保检验结果的准确性,检验机构应依据委托合同开展检验,检验过程应当有可以溯源的记录。对此,检验机构可借助实验室信息管理系统(LIMS),建立与电子商务平台的无缝对接,实现整个委托检验流程的跟踪记录,并可根据记录信息有效地排查风险点,找到问题所在。在检验过程中,检验机构还应注意:(1)做好样品储存流转。样品流转过程要有统一标识和流转记录,能够及时查询样品的位置和状态。对于委托检验送样,建议样品保留6个月,以备复检。样品贮存环境应符合样品存储要求,保证样品的完好性。(2)正确选用检测标准。检验机构须依据有关标准、合同约定和实际检测数据,客观、公正、准确出具检验结果,对检验结果的准确性负责。在受理委托检验时,可要求委托方提供检测依据的产品标准或检测方法标准。如委托方要求检验机构代为选择的,应慎重依据委托方的委托目的提供标准和方法建议。(3)规范检验报告格式。完善委托检验合同、结论用语及需特别说明的条款等。对于委托检验,检验结论应注明“仅对来样负责”;检验报告要有样品描述,必要时可附样品图片;当样品的生产者及其他相关信息无法确认时,委托检验结果的报告中不得填写生产者名称及其商标。检验机构同时提供电子报告与纸质报告,应保持二者的一致性。一般情况下,检验机构所提供的电子报告即是纸质报告的扫描件,对于由计算机直接生成的电子报告,应注意增强水印、电子章等防伪标识,提高报告的不可复制性,以免报告被不法分子篡改、盗用。

篇9

纵观人类文明的发展历程,生产工具往往成为一个时代的标志。例如,石器时代、青铜时代、铁器时代、启蒙时代、蒸汽时代、电气时代等。自20世纪90年代以来,随着计算机技术的普及和应用,信息处理的速度和应用程度都以几何级数的方式激增,人类已经进入了史无前例的信息化时代,形成了全球化网络经济格局。统计数据显示,截止到2010年全球互联网络使用者数量高达20亿人,占世界人口的30%,使用者的背景以经济发达地区的青年中产阶级为主,他们是最具有购买力的消费群体。面对如此庞大的目标客户群体,很多企业都将网络营销作为商业竞争的一种主流形态,在网络这个必争之地尽力搏杀。

然而,虽然网络营销作为一种新生事物具有诸多不可替代的优势,从另类角度诠释了现代企业的竞争规则,给企业带来滚滚财源和新的发展契机,但它与传统营销模式相比,有其自身的局限性和风险性。在技术信息的成熟度、金融法律体系的完善以及物流配送等方面还有待于进一步完善。目前,企业网络营销模式的运作障碍和经营风险仍然是不可回避的难题,本文基于此对企业网络营销风险管理体系展开论述。

一、企业网络营销风险的含义

所谓风险,是指在一定条件下和一定时期内可能发生的各种结果变动程度的不确定性。这种不确定性表现在主观对客观事物运作规律认识的不完全确定和事物结果的不确定性。网络营销风险,是指在网络营销活动过程中,由于各种事先无法预料的不确定因素带来的影响,使网络营销的实际收益与预期收益产生一定的偏差,从而带来蒙受损失和获得额外收益的机会或可能性。因此,企业要在网络营销活动中要客观地识别、评估和判断网络营销风险,并采取一定的规避措施把这种损失降低到最低程度。

二、企业网络营销风险的类型

(一)技术风险

以计算机为平台的虚拟网络交易平台在带给人们便捷服务的同时,也给人们的生活带来诸多不安全隐患,技术风险是最重要的风险之一,主要是由于企业的网络技术手段不成熟、不稳定而给交易双方带来的风险。造成技术风险的因素很多,既有系统自身缺陷造成的也有人为因素造成的。目前,由于我国网络发展水平不高、网络基础设施差、线路少、安全性低等原因,再加上很多企业的资金和技术有限,网络运行时经常发生上网速度慢、网络易堵塞、信息传递出错、交易平台混乱等现象,进而造成信息传输风险、数据交换风险、信息确认风险、交易者身份不确定等风险。另外,随着黑客技术手段的不断翻新和病毒感染的不断升级,网站被攻击、数据库崩溃、密码被盗窃等现象时有发生,这些都加剧了网络交易的风险。基于此,企业需要建立一个WEB数据库安全体系,及时进行漏洞检测、风险评估,不断完善现有的网络开发技术和数据加密手段,才能防患于未然。

(二)支付风险

在网络营销领域,支付风险是网络营销的最直接的风险。由于网络具有虚拟性,给不法之人以可乘之机,他们通过自己对网络知识的掌握虚假信息,造成了极坏的影响。另外,目前金融领域仍然缺乏满足网络营销所要求的交易费用支付和结算手段。由于很多银行的电子化办公水平弱,安全性差,而且银行之间的业务分割、交叉少,没有统一的接口,虽然有一些银行提出了一些改进措施,但距离网络营销的要求还有差距,信用卡号码被盗用、个人隐私被泄露等现象时有发生。

(三)道德风险

道德风险,也称道德危机或信用风险,是指从事经济活动的人在最大限度地增进自身效用的同时做出不利于他人的行动。如果从委托—双方信息不对称的理论出发,道德风险是指契约的甲方(通常是人)利用其拥有的信息优势采取契约的乙方(通常是委托人)所无法观测和监督的隐藏性行动或不行动,从而导致委托人损失或人获利的可能性。现实生活中,消费行为是人类社会经济活动的重要行为和过程,也是人类社会经济生活的一个重要领域。在21世纪这个蕴涵无限商机的消费时代,网络营销显示出强大的生命力。道德风险是网络营销的一大难题,由于网络营销是建立在道德信用的基础上的,即交易双方相互信任,信守承诺。网络营销的假设是:买方假设卖方提供的商品质量合格不存在缺陷;卖方假设买方有足够的支付能力,双方都会履行交易时达成的承诺。但是,目前有很多企业置消费者的利益和身心安全于不顾,假冒伪劣盛行,如果没有任何信用做保证,网络营销是难以为继的。今后,在很长的时期内道德风险将在很大程度上制约网络营销的发展。

(四)物流配送风险

在网络经济日益繁荣的今天,物流问题成为了制约网络营销的一个重要问题。网上交易一般顺序如下:网上信息传递——网上交易——网上结算(下订单)——物流配送。在整个链条中,物流配送才是唯一的实体行为。由于产品销售具有分散性、不确定性和不可预测性,这些都增加了物流配送的难度:配送点的布局、人员的配备数量、商品的库存量等很难合理地确定;保证配送的时效以满足用户的即时需求;保证配送的数量。因此,一个畅通的物流配送体系,应该从接到定单时起,就开始了采购、配送和分拨物流的同步流程。每一步都以最合理的时间、最合理的分配、最合理的路线来构建,从而在最大程度上减少产品的积压和库存开支。物流配送的好与坏,直接影响到企业网的运作效率、企业的信誉、客户的满意度。而目前很多企业的物流能力不强,不能及时与网络用户实物交割,产生物权转移的风险,这已经成为阻碍网络营销发展的主要原因。

(五)法律风险

20世纪90年代以来,互联网的兴起为现代企业的经营和管理提供了新思路,网络营销收到普遍关注。一方面,互联网是跨地域、国界的全球性信息网络,在这个虚拟空间里无法向现实空间那样规定国家和地区的界限和管辖范围。另一方面,网络营销的双方主体可以在不同国家和地区的企业和个人之间展开,但各国的适用法律不同,社会文化、风俗习惯又迥然相异,因此造成双方的交易冲突不可避免。更确切地说,虽然互联网的飞速发展促进了网络营销的强劲增长,但是与之相应的法律法规并没有同步配套,这些法律法规主要包括:网络经济贸易中的法律法规、网站建设中的法律程序、在线交易主体的认定中的法律和程序、电子签名与认证的操作、电子合同的法律确认、在线电子支付的规则、网络广告争议解决、网上知识产权保护及网络营销中消费者权益保护等。由于很多法律存在空白,从而造成一定的风险隐患。

(六)客户风险

美国著名体验经济学家约瑟夫·派恩指出:体验事实上是当一个人达到情绪、智力、甚至精神的某一特定水平时,其意识中所产生的美好感觉。它涉及人们的感官、情感、情绪等感性因素,也涵盖知识、智力、思考等理性因素和身体的一些活动。在现代营销理念中普遍认为:体验就是企业以服务为舞台,以产品为道具,以消费者为中心,能够创造使消费者参与、值得同忆的活动。在传统的营销模式中,消费者往往通过视觉、触觉、味觉等多种感觉来判断商品的优劣并决定取舍,而在当前虚拟的网络环境当中只能通过商品的图片及少量的文字说明来甄别。在这一购买活动中,一旦消费者由于判断失误而对购买的商品不满意,一种可能就是发生消费者漂移现象。所谓消费者漂移,就是消费者从一个产品漂移到另一个产品;从一个场所漂移到另一个场所,从一个品牌漂移到另一个品牌。因而采用动态的、发展变化的视角研究消费心理和消费者漂移问题是科学的、可行的。另一种可能就是,一旦消费者因购物不满意就会对网上购物产生质疑,进而做出不规范的市场行为,带给企业的影响和损失也是巨大的。例如,有45%的人认为网上购物没有真实体验感,对其质量安全不放心,而宁可花更多的价钱去商场购买,这种消费心理造成了企业网络营销过程中的风险。

三、规避企业网络营销风险的策略

企业网络营销风险的规避,建立在企业准确认识网络营销风险基础之上.而科学的营销战略和战术可以减少网络

营销企业的经营风险和机会成本。通过对企业网络营销风险的具体分析,可以考虑以下几种防范规避策略:

(一)加强信息安全技术研究

在全球化经济浪潮中,网络营销要取得实质性进展,就必须突破信息安全这一道关卡,加强信息安全研究是我国发展网络营销亟待解决的关键问题。信息安全体系的重点是必须有先进的技术系统来支持。在安全技术方面,涉及技术标准、关键技术、关键设备和安全技术管理等环节。国家要组织力量选择符合我国国情的网络交易安全技术,积极开发我国自己的网络安全产品。另外,要加大支付技术上的攻关力度,进一步提高网上支付安全保障。通常系统的安全主要受到假冒,报文被截取(读取或复制)、修改、重播,报文丢失,报文发送方或接收方否认等威胁。针对这些不安全因素应做好以下防范:(1)安全登入和选择服务;(2)防止第三方冒充;(3)防止第三方截取报文;(4)使第三方无法修改、替换报文内容,或者使接收方可以发现报文在传输的过程中被修改;(5)防止报文的重播和丢失;(6)在系统内进行交换的报文被复制存储,与报文交换有关的各种活动及其发生的时间均被记录;(7)相关安全责任的分离,即一人不能负责多项安全事务。最重要的事,要防范网络营销中可能存在的风险,必须加强网络技术研究,改善网络基础设施,加快宽带光缆的建设,全面提高网络的运行速度,保证信息传递的准确、及时与安全。

(二)进行网络营销可行性分析

企业战略是指企业为求得生存和稳定发展而设计的行动纲领或方案,营销战略是企业战略的重点,是对企业市场营销工作做出的全局性、长期性和方向性的谋划,从而实现企业目标、资源能力和经营环境三者之间的动态平衡。一个有实际操作价值的网络营销战略,不仅对企业网络营销活动意义重大,而且对于制定与网络营销活动密切相关的生产、财务、研发、人力资源等计划也有指导意义。企业网络营销可行性分析包括:企业发展的整体战略、市场潜力、发展方向预测以及风险和可能收益。只有根据企业生产经营的环境因素和内部的经营状况进行综合评价和预测,才能得到科学、恰当的分析和评估结果,才能使企业规避风险走向成功。

(三)加强企业经营管理工作

科学化、规范化和制度化是营销系统管理的方向,营销系统成员工作质量的好坏直接关系到企业的兴衰。为了有效规避网络营销风险,企业应加强以下方面的管理工作:首先,企业必须高度关注公司产品质量,做好营销体系的质量管理工作,包括总部与各分部的工作联系与沟通,也包括与经销商、商之间的种种业务来往等,还涉及到产品线与价格体系的规划、市场需求计划以及长期和实时营销策略的制定等。其次,要提升网络多媒体表现水平,让消费者真切地感知商品的质量、安全付款,合理选择物流公司并保证及时完好的把商品送到消费者手中。再次,要提高企业在风险决策、交易管理、危机应急等状况下提供规范的处理方法和操作机制的能力。最后,网络营销中最重要的因素是人的因素,企业要规范员工行为,各司其职、各负其责,从而不断提高员工的风险防范意识和能力。总之,加强企业的经营管理是有效防范各类风险、减少风险损失的重要手段。

(四)完善网络营销的法律法规及信用评估体系

建立完善的立法监督及信用评估体系是促进网络营销的关键环节。网络营销的顺利实施离不开法律法规的支撑,国家必须在立法和执法上加大力度。要强化网络交易安全管理,制定相关的网络交易标准和管理标准。例如,在网络商场的市场准入制度、网络交易的合同认证、执行和赔偿、反欺骗、知识产权保护、税收征管、广告管制、交易监督,以及网络有害信息过滤等方面制定规则,规范买卖双方和中介方的交易行为,严厉打击利用网络营销进行欺诈的行为。另外,国家应组建独立、公正的评级机构,并建立一套科学的信用评级体系,遵循国际惯例与中国国情相结合、传统研究方法与现代先进评级技术和互联网技术相结合的原则,对企业的信用进行评估,合格者可以颁发证书并通过媒体或其他方式公示。通过建立完善的立法监督及信用评估体系,从而为网络营销健康、有序、高速、和谐地发展提供一个公平规范的法律环境,最大程度地降低网络营销风险。

四、结语

美国企业家保罗·霍肯在《未来的经济》一书中以相对“物质经济”的概念提出“信息经济”一词。他认为在信息经济社会,每件产品,每次劳务,都包含物质和信息两种成分。未来的趋势将是物质经济向信息经济过渡,产品中物质同信息的比例正在发生变化,并将进一步变化,未来的经济繁荣就取决于这种变化。网络营销是一种新经济形态,它是企业营销实践与现代信息通讯技术、计算机网络技术相结合,以电子信息技术为基础,以计算机网络为媒介和手段而进行的各种营销活动的总称。网络营销在本质上是一种拟态环境的营销,一方面,拟态环境不是现实环境的镜像反映,在不同程度上与现实环境存在偏差;另一方面,拟态环境又并非完全脱离现实环境,而是以现实环境为蓝本。可以说,网络营销是一种幻觉文化和现实文化的综合体,因而有其不确定性。这些风险表现为:技术风险、支付风险、道德风险、物流配送风险、法律风险、客户风险。如何有效地规避风险是网络营销成败的关键,本文基于此提出了加强信息安全技术研究,进行网络营销可行性分析,加强企业经营管理工作,完善网络营销的法律法规及信用评估体系等企业网络营销风险规避策略,旨在为提高我国企业网络营销风险管理能力提供参考。(文/陈水芬 吴思启)

参考文献

[1]方姜琪,钟佳桂.电子商务与传统企业[M].北京:清华大学出版社,2003

[2]高军,王睿.试论企业网络营销风险管理体系的建立[J].现代管理科学,2007,(4).

篇10

[关键词]电子商务;安全体系;敏感数据流

[中圈分类号]F713.36 [文献标识码]A [文章编号]1006-5024(2009)04-0164-03

[作者简介]黄建宇。南昌市职工科技大学计算机系讲师,研究方向为计算机网络与应用;

邵百鸣,南昌市职工科技大学成人教育部主任、教授,研究方向为电子商务。(江西南昌330077)

一、引言

电子商务是伴随着网络计算而被人们所认识,并随着互联网的发展而日益蓬勃成长起来。可以说,目前电子商务已经成为全球最具活力的经济增长拉动力量。虽然随着2008年金融危机的爆发,全球经济景气度迅速下降,但作为世界商务领域重要力量的电子商务却一枝独秀,愈加显示出其蓬勃的生命力。

然而,由于电子商务的数据中有许多非常重要的商业信息和财务信息,这使它自诞生之初就成了众多不法分子觊觎的目标。大多数的电子商务企业(以下简称企业)每天都要面临众多的电子病毒攻击,并蒙受不同程度的损失。据赛门铁克公司的《全球互联网安全威胁报告》,2007年下半年全球平均每天发现有6.19万台计算机受到攻击,比上半年增长17%。在运用电子商务模式进行贸易的过程中,安全问题已成为电子商务最核心的问题,它包括有效保障通信网络、信息系统的安全,确保信息的保密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性等。

二、电子商务面临的威胁

电子商务的基础环境是计算机和Internet网络。由于计算机具有脆弱性,Internet网络具有开放性和不可控制性,以及电子商务交易对象、交易凭证、交易结算方式均与传统的商务模式具有根本性的差别,这就使得电子商务的安全性问题成为开展网络电子商务所面临的巨大挑战。电子商务面临的威胁可以概括为三类:

1 内部的威胁。包括内部人员有意或无意的泄密以及蓄意破坏和更改信息系统、内部非授权人员窃密和更改信息。

2 外部网络连接者的威胁。包括截获机密信息、通过电信号推出有用信息、外部网络连接者的非法攻击、合法用户的非授权操作、合法用户的抵赖行为和合法用户的无意泄密。

3 其他威胁。包括各种灾害、网络故障、操作失误和计算机病毒等。

三、电子商务安全体系架构

电子商务的安全不仅是技术性问题,而且它具有社会的复杂性。因此,要系统有效地解决电子商务的安全问题,就必须从技术和管理两个方面来构架其安全体系。

(一)技术方面。技术方面是本文所要阐述的主要方面,因为它能够依靠企业自身的努力来达到令人满意的安全保障效果。目前,关于电子商务安全体系的研究比较多,有基于层次的体系,也有基于对象的体系,还有基于风险管理的体系,等等。在我国,虽然电子商务发展比较快,但整体发展水平还是比较低,大部分企业对电子商务的认识和实际的开展情况都不尽如人意,多数的企业网站仅有主页和E―mail地址,这其中安全是十分突出的问题。本文研究了基于敏感数据流的安全体系,通过跟踪敏感数据流来构建安全体系,既可以从全程保证所有敏感数据的安全,又可以减掉各种不必要的安全投入,提高资源使用效率。

1 客户机的数据安全。从第一个电子商务的客户通过电子网络向企业的电子设备发送信息的那一刻起,敏感数据便产生了。客户机的安全不仅是电子商务安全的第一步,而且是电子商务安全密不可分的重要部分。客户机的安全应考虑以下几个方面:

(1)Cookies。Cookies能够存储客户机信息、客户的登录信息和一些历史商务信息,以方便客户再次登录时提交给电子商务服务器。避免这些敏感信息泄露的最彻底力、法就是关闭cookie功能。但这有时会使打开一些网页受到影响。大部分浏览器既可以提供cookie的管理功能,也可以利用第三方软件来管理cookie。

(2)活动内容。活动内容是嵌入网页可以自动或激发执行的代码,包括Cookies、Java小程序、Java脚本、VB脚本和ActiveX控件。他们是植入木马病毒的重要途径。

(3)插件。它多半是与多媒体播放有关的程序,但它会导致一些嵌入影音文件的恶意代码被执行。

(4)病毒。它的危害程序很大,常通过E-mail、office文档和各种程序等多种形式进行传播。

(5)物理安全。利用数字证书技术、加密技术可以有效保障敏感数据的安全。还应该通过防火墙、杀毒软件、下载补丁和对各种软件的正确设置和使用等技术手段来最大程度减少其中的威胁。对于物理安全,除了使用传统技术,还可以使用一些识别设备,如指纹设备可以通过较小的代价提供比传统密码登录强大得多的保护。此类设备还有签名识别器、虹膜扫描器、掌纹扫描器等。

2 信息传送安全。传送信息可以分为两类,一类是非敏感信息,另一类是敏感信息。非敏感信息包括客户的点击信息、查询和咨询信息以及一些操作信息。敏感信息则包括客户的银行账号、账户密码、重要的电子邮件和其他一些需要保密的信息。为了降低成本,只对敏感信息的传送采取严格的安全措施,这是企业必须做好的。

对于重要的电子邮件,大体可以分为两种解决方案:一种是端到端的安全电子邮件技术。应用比较广泛的端到端的安全电子邮件标准是PGP和S/MIME,他们都采用了公开的RSA公钥体制加密算法,基于以上标准的邮件系统大都采用了公钥基础设施PKI模式,遵循了X.509证书标准。目前,已开发出基于ECC加密算法的安全邮件加密系统,它有很好的前景。端到端的安全电子邮件技术是对邮件内容进行加密和签名,从而保证了电子邮件的安全性、完整性和不可否认性。另一种解决方案是传输层的安全电子邮件技术,它不仅能对邮件内容进行保密,也能对信头进行保密。但是,这在某些应用环境下是有要求的,这种方案又有两种方式:一种是利用SSL SMTP和SSLPOP,另一种是利用VPN或者其他的IP通道技术。

对于其他通过万维网传送的敏感信息,大体可以分为两种解决方案:一种是存储加密技术,即依据机密信息的秘密等级设定文件的加密级别,然后,将机密信息用对称加密算法如DES、IDEA、RC4等算法加密后存储,加密密钥用Web服务器的公钥,采用RSA算法加密并附加在文件中。访问者只有在通过身份认证后,并且具有同等访问权限,系统才能用Web服务器的私钥解密加密文件后传送给访问者。这一技术

使用比较普遍,它可在不对网络环境做特殊要求的前提下根本解决网络安全的两大要求(网络服务的可用性和信息的完整性)。另一种常用的方案是SSL技术,它采用公开密钥和私人密钥两种加密体制,可以保证两个应用间通信的保密性和完整性及其认证。现行Web浏览器普遍将HTYP和SSL相结合来实现安全通信。

3 电子商务企业内部的数据安全。当敏感数据进入企业服务器中,他们将被解密,然后再经过多次存储、再传送、分析等操作过程。这些处理将在企业内部进行,这就涉及到企业内部的电子商务信息安全。此时,这些信息受到的攻击最多,所以,这里是信息安全最重要的环节和最主要的战场。敏感信息将分置于多个服务器和工作站中,它将受到来自外部和内部的双重威胁,这时要做好以下工作:

(1)基础性工作

①针对安全漏洞,必须至少在这些计算机上及时安装各种软件的补丁程序,这不仅包括操作系统,也包括其他可能有漏洞的软件。可能的话,应选用安全性较高的软硬件。

②针对各种病毒感染,必须至少在这些计算机上安装杀毒软件,及时升级病毒库,并定期查杀病毒。由于计算机病毒对电子商务所信赖的网络环境有巨大的破坏力,因此,对网络计算机病毒的防范,是电子商务安全体系建设中极为重要的一环。

③针对木马病毒和非法扫描等黑客攻击,必须根据实际情况进行防火墙软硬件的安装和部署,并进行尽可能严格的防火墙设置和防火墙的及时升级。

④对重要的数据、软件和计算机有备份措施。针对自然灾害、物理损坏、设备故障等要有容灾技术措施和快速恢复方案,如使用RAID技术、远程磁盘镜像技术或数据库复制技术等。

⑤环境、设备设施应符合相应的技术规范。

(2)加强性工作

①对敏感数据要进行加密存储和传送,以确保其安全。

②加强重要计算机用户权限和数据存取权限及方式的管理,如采用分级访问控制技术,即通过PKI的认证安全服务,对客户端用户提供的X.509证书进行合法性、有效期的验证,再根据用户证书中的信息得到该用户的访问权限,从而决定是否允许该用户对某目录或文件的访问。通过它可以有效地维护系统的保密性、完整性和可用性。还应使用安全性高的文件系统,设置高强度的口令,并加强口令管理。

③加强日志管理,防止日志被非法修改或清除,加强安全审计和安全跟踪措施。

④加强网络监控,对网络异常流量变化也要加以监控和分析。

⑤配备相应的入侵检测系统并制定相应的对策。入侵检测系统的一个特征是具有基于规则的参考引擎,因此,需要在第一时间更新模式数据库。

(3)可选工作

①采用web页面原始性鉴别技术。即对原始页面文件通过Hash算法生成数据摘要,再对数据摘要用私钥进行加密。当Internet用户每次访问页面时,对页面再生成数据摘要,与解密的原数据摘要进行比对,从而避免被入侵黑客修改的页面传给Internet用户的可能。

②加强共享的管理,以避免SMB攻击。

③加强各类程序运行的管理,以避免缓冲区溢出等攻击。

④加强环境干扰的技术防范措施,如对电磁辐射的防护等。

⑤加强重要计算机操作系统的安全性设置,如采取屏保、痕迹销毁和操作失误检测及报警等技术。

以上这些技术方面的措施应该尽量实施,但实施的程度要视自身情况区别对待。我们知道,这些电子商务的安全措施是有成本的。安全度越高,相应的投入和效率等方面的代价就越大。因此,必须在可接受的安全和成本之间寻求相对平衡。从管理方面来讲,也是如此。

(二)管理方面。管理在电子商务安全体系中的地位并不次于技术方面,甚至因为较容易出问题而显得更为重要。管理可以分为对企业的管理和对社会的管理。也就是说,一方面,企业必须就电子商务安全管理制定全面系统的规章制度,这是主要方面。另一方面,国家也应就此制定和完善相应的法律法规。

1 企业方面

(1)总体上必须参照相关国际安全管理标准来建立企业的信息安全管理体系,即明确包括信息安全管理的任务、目标、对象、原则、程序和方法在内的管理策略,然后可以遵循管理的一般循环模式,即PDCA模式开展管理活动。

(2)在物理安全方面,应通过安装门禁系统、监控系统等,加强对计算机系统、网络设备、通信线路等关键设备及信息的安全防范措施。

(3)在人员安全方面,应通过人员审查、培训和权限管理,加强业务人员和专业人员的安全意识和安全能力,并明确安全责任。建立有领导层参加的安全管理论坛,建立提出信息安全建议的渠道,保持与业界的紧密联系。

(4)电子商务的安全既是相对的,也是发展的,没有一劳永逸的安全,要有电子商务的风险意识。为此,必须进行电子商务安全评估。可以参照国际上常用的安全成熟度模型,对计划、布局和配置、运行过程进行评估。通过评估不仅可以了解本企业电子商务的安全状况,而且更重要的是可以发现一些隐含的安全问题,通过改进来提高安全程度。

2 社会方面