淺析中小企業(yè)電子商務(wù)中的信息安全問題

河南工程學(xué)院 陳俊豪

淺析中小企業(yè)電子商務(wù)中的信息安全問題

河南工程學(xué)院 陳俊豪

隨著我國經(jīng)濟(jì)和網(wǎng)絡(luò)技術(shù)的發(fā)展，電子商務(wù)已成為一種新興市場，這無疑對我國中小企業(yè)的創(chuàng)立和發(fā)展具有著重大意義。但是，電子商務(wù)是一個虛擬的市場，買賣雙方以網(wǎng)絡(luò)為載體進(jìn)行交流，商品和貨幣也是通過虛擬的網(wǎng)絡(luò)進(jìn)行交易的。因此，在電子商務(wù)市場中信息的安全問題是重中之重，所以，本文具體分析了電子商務(wù)信息安全問題，主要論述了電子商務(wù)信息安全的內(nèi)涵、信息安全的幾種權(quán)威理論及其對我國中小企業(yè)信息安全的啟示，希望對我國中小企業(yè)電子商務(wù)信息安全的發(fā)展具有一定借鑒意義。

電子商務(wù) 信息 安全 技術(shù)

隨著信息技術(shù)和網(wǎng)絡(luò)工程的發(fā)展，電子商務(wù)逐步走進(jìn)了我們的視野，電子商務(wù)在企業(yè)營銷中逐步得到了普遍應(yīng)用，并且企業(yè)對于電子商務(wù)的依賴性越來越大。但是，電子商務(wù)是一個虛擬的市場，其中的買方和賣方以網(wǎng)絡(luò)為載體進(jìn)行交流和交易，貨幣的結(jié)算也是通過虛擬的網(wǎng)絡(luò)來完成的。因此，在電子商務(wù)市場中信息的安全問題是重中之重，所以，筆者在此具體分析電子商務(wù)信息安全問題。

1 電子商務(wù)信息安全的內(nèi)涵

電子商務(wù)對于買方來講存在著快捷、簡單和物美價廉的優(yōu)點(diǎn)，對于賣方存在著成本低和管理方便等優(yōu)點(diǎn)，而電子商務(wù)最大的缺點(diǎn)就是買方和賣方之間不是傳統(tǒng)上的面對面的交流，直接面對貨品和貨幣的交換，而是二者都是通過虛擬的網(wǎng)絡(luò)進(jìn)行交易，交易之所以能夠成立或者說成功，其本質(zhì)的原因就是二者之間具有一種誠信。這種誠信應(yīng)該包括兩個方面的具體內(nèi)容：第一是買方和賣方進(jìn)行交流時的信息真實(shí)，不存在欺騙。第二就是在買賣過程中存在著一種系統(tǒng)軟件的安全保障，能夠?qū)⑻摂M的電子貨幣符號轉(zhuǎn)換成真實(shí)的貨幣，同時保護(hù)交易的安全，這種安全主要是指貨幣賬戶的安全。在這一部分，本文將具體介紹網(wǎng)絡(luò)安全中的信息安全，介紹如何在電子商務(wù)交易的過程中保護(hù)買賣雙方的信息安全，這種信息包括買賣雙方的個人基本信息、賬戶信息和交易信息等等。

討論信息安全首先應(yīng)該明確信息的基本內(nèi)涵。信息指的是以多種形式存在的數(shù)據(jù)、資料和知識等等，在電子商務(wù)中這些信息主要指的是關(guān)于買賣雙方的信息資料，犯罪分子可以通過非法獲得這些信息對電子商務(wù)中的雙方進(jìn)行詐騙，或者對其賬戶進(jìn)行盜竊和網(wǎng)絡(luò)入侵。在2003年，頒布了國際上公認(rèn)的信息安全管理標(biāo)準(zhǔn)，這個標(biāo)準(zhǔn)對信息作了權(quán)威的定義，即信息是一種資產(chǎn)，它和其他資產(chǎn)一樣，對組織是有著重大意義和價值的，應(yīng)該得到法律的保護(hù)。通過分析可知信息安全對于組織和個人來講至關(guān)重要。這個標(biāo)準(zhǔn)將信息進(jìn)行了分類，認(rèn)為信息包括八個組成部分，分別是文字資產(chǎn)、數(shù)據(jù)資產(chǎn)、文檔資產(chǎn)、軟件資產(chǎn)、物理資產(chǎn)、人力資源資產(chǎn)和服務(wù)資產(chǎn)。

前面具體介紹了信息的內(nèi)涵，那么信息安全的內(nèi)涵是什么呢？信息安全是一個動態(tài)過程，是一個系統(tǒng)，信息安全的維護(hù)方方面面都要考慮到，如果一個方面出現(xiàn)了紕漏，就容易造成信息的泄露，從而前功盡棄。眾所周知，電子商務(wù)是以計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)為載體，通過數(shù)據(jù)傳輸實(shí)現(xiàn)信息化的網(wǎng)絡(luò)交流，而交流的內(nèi)容就是網(wǎng)上交易。因此，這種網(wǎng)上交易的安全問題就成為了信息安全領(lǐng)域研究的焦點(diǎn)。目前，對于電子商務(wù)信息系統(tǒng)安全問題的研究往往大都集中在技術(shù)層面，而對于中小企業(yè)來講，除了技術(shù)層面需要改進(jìn)技術(shù)設(shè)備之外，在管理層面上也應(yīng)該加以重視，盡量避免電子商務(wù)過程中信息安全問題的發(fā)生。

2 電子商務(wù)信息安全的幾種理論

對于電子商務(wù)信息安全的研究，我國在國際上處落后的位置。國際上主要流行三種信息安全理論，分別是信息循環(huán)理論、信息安全模型理論和三觀理論，具體論述如下：

第一，電子信息的循環(huán)理論。電子信息的循環(huán)理論也稱之為電子信息的PDCA理論，它將網(wǎng)絡(luò)信息安全的實(shí)施過程分為了四個主要部分：第一部分是P，指的是計(jì)劃；第二部分是D，指的是執(zhí)行；第三部分是C，指的是檢查；第四部分是A，指的是進(jìn)行改進(jìn)。這四個過程是一個周期和循環(huán)，在這個循環(huán)中，把整個過程作為一個安全管理體系，而不是對某一個單獨(dú)的過程進(jìn)行管理。

第二，信息安全模型理論。信息安全模型理論又稱之為WPDRR理論，這五個字母分別代表著預(yù)警、保護(hù)、檢測、響應(yīng)和恢復(fù)，是信息安全管理發(fā)展到一定階段的產(chǎn)物。這個安全系統(tǒng)理論的重點(diǎn)是主張將信息系統(tǒng)、人、操作和軟件有機(jī)地結(jié)合起來，對網(wǎng)絡(luò)的信息系統(tǒng)給予全方位的保護(hù)。這個理論提倡一種創(chuàng)新的安全理念，提出對于系統(tǒng)信息安全不能單獨(dú)依靠靜態(tài)的軟件和程序來保護(hù)，而要進(jìn)行動態(tài)的保護(hù)。同時，提出網(wǎng)絡(luò)安全的保護(hù)不能夠單獨(dú)依賴于技術(shù)因素，同時也要依賴于企業(yè)的管理去不斷地更新安全理念和系統(tǒng)。

第三，三觀安全理論。三觀安全理論將企業(yè)的電子商務(wù)安全系統(tǒng)分為三個層面的內(nèi)容，分別是宏觀、中觀和微觀。在宏觀層面上，企業(yè)的高層要進(jìn)行決策，為系統(tǒng)安全提供有力的決策保證，同時進(jìn)行適當(dāng)?shù)娘L(fēng)險管理。在中觀層面上，主要是企業(yè)產(chǎn)品的安全和安全地進(jìn)行生產(chǎn)，保證提供的產(chǎn)品信息和產(chǎn)品的實(shí)際相一致。微觀層面指的是具體到了產(chǎn)品和服務(wù)上，為消費(fèi)者提供安全的產(chǎn)品和服務(wù)。這個理論告訴人們?nèi)绾螐暮暧^上的安全思想轉(zhuǎn)化為微觀的管理思想，從而對生產(chǎn)和服務(wù)具有一定的指導(dǎo)作用。

3 電子商務(wù)信息安全理論對我國中小企業(yè)加強(qiáng)信息安全的幾點(diǎn)啟示

國際上的三個信息安全理論對我國中小企業(yè)的信息安全管理具有重大的啟示作用，本文認(rèn)為可以總結(jié)為兩個方面：首先是構(gòu)建信息安全區(qū)域，其次是加強(qiáng)中小型企業(yè)信息安全組織的構(gòu)建。

第一方面，構(gòu)建信息安全區(qū)域。前面理論的論述對我國中小企業(yè)電子商務(wù)信息安全管理具有重大的現(xiàn)實(shí)意義，本文認(rèn)為我國企業(yè)應(yīng)該建立一個信息安全區(qū)域。信息安全區(qū)域這個理念是由美國的信息安全研究所提出的。信息安全區(qū)域指的是，對不同的信息都按照不同的保密級別設(shè)置不同的保密程度，并按照用戶使用級別的要求安裝網(wǎng)絡(luò)控件，來調(diào)取適合用戶級別的安全信息。對于中小企業(yè)來講，企業(yè)應(yīng)該具有專門的部門對電子商務(wù)中業(yè)務(wù)往來的信息和資料進(jìn)行系統(tǒng)的分類，然后進(jìn)行分級的保密和加密，這些信息一般包括與電子商務(wù)相關(guān)的數(shù)據(jù)資產(chǎn)、文檔和后臺服務(wù)資料等等。通過對這些信息的整合、分類、歸檔和保密，可以促進(jìn)企業(yè)信息調(diào)配的安全和快捷。本文認(rèn)為構(gòu)建信息安全區(qū)域具有以下幾個優(yōu)勢：

(1)可以使中小型企業(yè)內(nèi)部的信息分類明晰，便于查找，為以后的企業(yè)運(yùn)營和決策提供數(shù)據(jù)支持。(2)可以使具有相同安全級別的信息資源放到同一個安全區(qū)域之中，并對同等安全級別的信息進(jìn)行統(tǒng)一管理。(3)可以分出不同的安全區(qū)域，對不同安全區(qū)域采取不同的安全保護(hù)措施。(4)對于不同的安全區(qū)域來講，可以根據(jù)數(shù)據(jù)的重點(diǎn)進(jìn)行防護(hù)，使得用有限的安全資源能夠起到很好的保護(hù)作用。

第二方面，加強(qiáng)中小企業(yè)的信息安全管理組織的構(gòu)建。對于我國的中小企業(yè)來講，仍然存在著電子商務(wù)信息不安全的現(xiàn)象，這與中小型企業(yè)內(nèi)部安全管理部門工作不到位有關(guān)，安全工作缺乏統(tǒng)一的領(lǐng)導(dǎo)和管理，對于好多的小型電子商務(wù)企業(yè)來講根本就沒有專門的信息安全管理機(jī)構(gòu)。本文認(rèn)為，解決電子商務(wù)中的安全問題，中小企業(yè)必須有專門的機(jī)構(gòu)和人員來管理和控制安全問題的產(chǎn)生。企業(yè)安全管理部門的職能應(yīng)該包括以下幾個方面的內(nèi)容：

(1)負(fù)責(zé)企業(yè)內(nèi)部有關(guān)安全問題的決策、計(jì)劃、管理和控制。同時作為企業(yè)的一個應(yīng)急機(jī)構(gòu)，為了避免企業(yè)發(fā)生嚴(yán)重的信息泄露問題，信息安全部門要進(jìn)行嚴(yán)格的信息管理。(2)與國家和地區(qū)各個信息安全部門和機(jī)構(gòu)建立聯(lián)系，為企業(yè)的信息安全提供新的理念和技術(shù)。(3)制定企業(yè)網(wǎng)絡(luò)信息安全的各項(xiàng)措施與規(guī)則。(4)組織和協(xié)調(diào)各個部門的工作共同完成企業(yè)的安全戰(zhàn)略和目標(biāo)。(5)執(zhí)行信息安全報告制度，定期向企業(yè)管理層報告信息安全保護(hù)管理情況，及時報告重大安全事件。積極爭取領(lǐng)導(dǎo)層對信息安全的支持。領(lǐng)導(dǎo)層對信息安全的支持是信息安全管理的重要因素。(6)與人力資源部門協(xié)助工作，定期對關(guān)鍵崗位員工進(jìn)行審查，如發(fā)現(xiàn)其違反信息安全規(guī)則，則進(jìn)行重新審查，并控制使用。主導(dǎo)信息安全責(zé)任合同以及信息保密協(xié)議的制定。定期組織員工進(jìn)行信息安全保密培訓(xùn)。

[1] 陳光匡,興華.信息系統(tǒng)安全風(fēng)險評估研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009,(7).

[2] 向宏,艾鵬等.電子政務(wù)系統(tǒng)安全域的劃分與等級保護(hù)[J].重慶工學(xué)院學(xué)報,2009,(2).

[3] 田麗.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理組織機(jī)構(gòu)設(shè)計(jì)[J].東北財經(jīng)大學(xué)學(xué)報,2010,(3).

[4] 李曉勇,劉毅.關(guān)于建立信息安全等級保護(hù)標(biāo)準(zhǔn)體系的思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009,(2).

[5] 李振汕.信息安全管理現(xiàn)狀及策略研究[J].中國西部科技,2008,(8).

F724.6

A

1005-5800(2010)11(b)-142-02