电子商务安全管理制度的分析
仪器信息网 · 2011-06-24 10:06 · 36904 次点击
当前,我国电子商务建设中以技术为主的,忽视了人员对电子商务的安全影响。但近几年案例表明:缺乏针对内部人员的系统安全管理制度,是导致网络交易过程中泄密和企业利益损失的主要原因。本文重点分析了企业在电子商务安全管理制度方面存在的不足和原因,提出了一些加强人员安全管理制度的建议,为我国电子商务企业的安全管理制度提供借鉴。
作为一种新的经济模式,电子商务以高效、便捷、方便的优势和全新的企业理念、经营手段、经营环境吸引着广大用户,为世界赋予了无限的空间。随着电子商务应用范围的日益扩大,针对电子商务的各种犯罪活动也19益猖獗。国内外调查显示…,52.26%的用户最关心的是网上交易的安全可靠性,超过6O%的人由于担心电子商务的安全问题而不愿进行网上购物。加强电子商务实施过程中的安全管理制度已经成为促进电子商务高速发展的重要因素。
电子商务的安全,可分为技术安全和银行帐号、密码等,给造成损失。而管理安全则是指缺乏对参与电子商务过程中各个环节的人员的管理预防手段,最终导致的电子商务安全事件。从美国的花旗银行和中央情报局到中国的某家国有商业银行,都有过由于内部人员的违规和违法操作,导致数据被篡改和泄密的事件发生。
近几年的电子商务安全案件表明:人员是网上交易安全中的最薄弱的环节,近年来我国计算机犯罪大都呈现内部犯罪的趋势,有的竞争对手利用企业招募新人的方式潜入对方企业,或利用不正当的方式收买企业网络交易管理人员。有的电子商务从业人员从本企业辞职后,迅速把客户资料、产品研发成果等机密出售给竞争对手,给企业带来了不必要的经济损失。
电子商务安全已经引起很多企业的重视,但大多数企业往往侧重于加强技术措施,如购买先进的防火墙,采用更高级的加密等,很多认为:员工泄密的安全事故只是偶然现象,很少从人员管理的角度来探讨出现这些事故的根本原因。“重技术、轻管理”是当前很多电子商务企业的通病。由于管理手段不到位,很多先进的安全技术无法发挥应有的效能。之所以出现上述问题,主要有以下原因:
首先,很多安全中的地位认识不足。大多数将电子商务网络作为一项纯粹的技术工程来实施,企业内部缺乏系统的安全管理制度,只是被动的使用一些技术措施来进行防御,因此电子商务过程中一旦出现突发性,往往造成很大的经济损失。现实中没有一个网络系统是完美无缺的,不安全因素随时存在。因此,安全管理制度措施必须渗透到系统的每一个环节和企业组织的~个层面,只有构建一个人与技术相结合的安全管理制度体系,才能确保整个电子商务系统得安全。
企业没有从整体上、有地考虑信息安全问题。企业各部门、各下属机构都存在“各自为政的局面,缺少统一、设计和信息安全强调的是整体上的信息安全性,而不仅是某一个部门或公司的信息安全。而各部门、各公司又确实存在个体差异,对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的战略性必须涵盖各部门和各公司的信息安全保障体系的相关内容。
缺少信息安全管理制度配套的人力、物力和财力。人才是信息安全保障的关键。信息安全保障的专业性、技术性很强,没有一批业务能力强,且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才,就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发,加快信息安全人才的培养。
企业对员工的信息安全教育不够。员工的信息安全意识薄弱,9O%的安全事故是由于人为疏忽所造成。如有些企业不限制内部人员使用各种高科技信息载体,如U盘、移动硬盘以及笔记本等移动办公设备。
电子商务信息安全管理实践表明,大多数安全问题是由于不善造成的。安全管理是一项工程,不仅涉及到企业的组织架构、信息技术、人员素质等各个方面,还牵扯到国家法律和商业规则。企业内部存在着诸多影响信息安全的因素:改变lT系统不等于改变企业的信息安全管理制度,要使企业信息尽可能的安全,必须在技术投人的基础上融人人在管理方面的智慧i同时,不仅要防外,更要防内,即对组织内部人员的管理。信息安全问题的解决需要技术,但又不能单纯依靠技术。整个电子商务的交易过程,是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。“三分技术,七分管理”阐述了信息安全的本质。
电子商务的安全管理制度,就是通过一个完整的综合保障体系,来规避信息传输、信用风险、管理风险和法律风险,以保证网上的顺利进行。网上交易安全管理制度,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒、信息加密、身份、授权等,但必须明确,只有技术措施并不能完全保证网上交易的安全。二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。为了加强企业电子商务的信息安全,我们提出如下建议:
现在许多企业没有意识到互联网的易受攻击性,盲目相信国外的加密,对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。据调查,目前国内90%的存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标,如此态度,网络安全更是无从谈起。应该定期由公司或安全管理制度thldl.org.cn小组承办信息安全讲座,只有提高网络安全防范意识,才能有效的减少信息安全事故的发生。
一个完整的信息安全管理制度体系首先应建立完善的组织体系。即建立由领导、IT技术主管、信息安全主管、本系统用户代表和安全组成的安全决策机构。其是建立管理框架,组织审批安全策略、安全管理制度,指派安全角色,分配安全职责,并检查安全职责是否已被正确履行,核准新信息处理设施的启用、组织安全管理制度专题会等。还应建立由网络管理员、系统管理员、安全管理员、用户管理员等组成的安全执行机构。该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的的选择。安全执行应根据本信息网络的实际情况制定相应的信息安全策略,策略中应明确安全的定义、目标、范围和管理责任,并制定安全策略的实施细则。安全策略文档要由安全决策机构审查、批准,并发布和传达给所有的人安全策略还应由安全决策机构定期进行有效性审查和评估:在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时,应重新进行安全策略的审查和评估。