企業電子商務安全策略分析

企業電子商務安全策略分析

[摘要]本文主要從注重信息安全方面闡述了企業電子商務的安全問題。并對如何從眾多可供選擇的安全方案中選出針對你企業的安全策略方案。
[關鍵詞]電子商務  信息安全  安全策略

 一、電子商務的定義。
 電子商務源于英文ELECTRONICCOMMERCE，簡寫為EC。顧名思義，其內容包含兩個方面，一是電子方式，二是商貿活動。電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不見面地進行各種商貿活動。
 據美國一家信息技術咨詢公司提供數字表明，1999年全球電子商務成交額為2279億美元，2000年為4330億美元，翻了近一倍。2001年，預計將達到9190億美元，到2005年將是85000億美元。在美國，網絡銀行數量已占所有銀行和儲蓄機構總數的12%。歐洲網絡銀行有100多家，其中三分之一的儲蓄通過互聯網進行。中國已經有20多家銀行的200個分支機構擁有網址和主頁，其中實質性的網絡銀行業務的分支機構達50多家，客戶超過4萬多戶。招商銀行網銀交易總額超過一萬億，這是一個非常好的趨勢。
 但是2001年9月11日，紐約的世界貿易中心遭到了恐怖分子的襲擊，有消息報道說，此事件的發生使美國金融界損失慘重，而且將對美國經濟乃至世界經濟產生重大影響。但從另外一方面來講，此次事件其實也促進了電子商務的發展，現在國外一些新興商業銀行，采用網絡處理業務，不需要營業部，在恐怖分子襲擊中，不會受到什么影響。它的數據可以在一個不引人注目的地方存放，只要通訊恢復，馬上就可以恢復業務。而對于用戶來說，足不出戶就可以通過計算機網絡完成交易。既快捷方便，又免除了出門的種種安全擔憂。因此，從電子商務的角度來講，也許會促進另一個繁榮、興盛階段的來臨。 電子商務的發展是一個趨勢，但在發展中也存在一些問題。最近中國互聯網信息中心發布的一組數字表明，高達33.4%的被調查人群均認為安全性得不到保證，有6.0%的人認為網上信息不可靠，認為質量、服務、信用有問題的被調查者所占的比例為33%。可以看出，信息安全問題已經是阻礙電子商務發展進程的一個重要癥結。
 網上用戶主要采用了什么安全措施？調查顯示，使用防火墻者達到67.6%，防病毒軟件達到74.5%，還有密碼加密，電子簽名等，不采用任何措施者占3.6%。由此可見我國的網民對安全問題還是有一定的重視。但使用電子簽名人數只占7.3%是遠遠不夠的。
 2000年網絡犯罪比1999年上升了30%，數量增加了，手段也多樣化，水平也比以前有所提高。這是值得大家警惕的問題。在國際上，象美國這種安全技術比較領先的大國，也同樣發生了觸目驚心的網絡詐騙案，今年春天刊登在媒體上的“阿普杜拉案件”就是這樣的例證。美國有一個“福布斯”雜志，每年刊登富翁排行榜。有一個叫亞伯拉罕.阿卜杜拉的人，是個連高中都還沒畢業的餐館伙計。居然對排行榜上前200名內的部分富翁進行了詐騙，而且屢屢得手，總金額達到1000萬美元以上。其采用的手段并不高明，首先用一個假造的公司文件印章，向信用報告公司索取目標人金融資料。利用目標人假造的名譽文件向信用報告公司索取資料。信用報告公司按程序要打電話核實，犯罪分子利用一個偽裝的網絡電話，模仿目標人的聲音，自動應答說目標人不在，從而取得信用公司業務人員的信任。業務人員于是從信用公司寄給目標人的賬號，股票經紀密碼，信用卡資料。詐騙人通過加密的電子郵件寫給目標人所代理的銀行，要求銀行劃轉資金或者支付用假信用卡的購物款。這個人犯罪手段并不高級，可是卻能得逞。說明即使在美國這樣的發達國家，信息安全工作也并未完善。
 二、電子商務的信息安全面臨著幾大威脅
 第一、信息犯罪有快速蔓延的趨勢。一年居然增長30%，數量增高，犯罪手段也在升級。最近，我們從網上了解到，一些商業銀行發現了數以百計起銀行卡被盜用的事件，損失金額數百萬元。證券方面最近發生了“銀廣夏事件”。在銀廣夏股票連續5個跌停日，全國9位股民的股票帳戶被惡意操縱，其他股票被盜賣后再盜買入銀廣夏股票。此案涉及6家證券公司的7個營業部，股民累計損失達126萬多元。南方某省的一個村莊，竟有70%的村民參與偽造銀行卡的犯罪活動。
 第二、信息與網絡的安全防護能力差。很多計算機系統，無論是金融行業，還是非金融行業的計算機系統在網絡保護方面舍不得投入，網絡的防護能力特別差，有的只用簡單的靜態口令識別系統，字長只有幾位，因為長了記不住。這是很容易被攻破的。上面提到的銀行卡和股民股票帳戶被盜用和惡意操縱的案件能得逞，與此有很大關系。
 第三、基礎信息產業嚴重依賴于國外。現在使用的計算機，大型機均來自于國外廠家，中型機，小型機大多數也是國外產品，就算是微機，雖然國內產品份額已經超過國外產品，但是其中的芯片和CPU卻主要來自進口。還有，我們中國的操作系統還沒有形成氣候。主流的操作系統，用的都是國外的產品。這樣，基礎信息產業嚴重依賴于國外，造成了安全的隱患。
 第四、對引進技術和設備缺乏安全檢測。我國有這方面的機構，但是沒有這方面的法規。所以引進的這些設備大部分沒有經過安全檢測。
 第五、信息安全管理機構缺乏權威。在這方面應該說有好多個單位都來插手，好多個部委都在管，造成局面混亂。誰都說自己管的是唯一的，有效的，實際上誰都不是唯一。
 第六、公眾信息安全意識淡薄。
 在我國，計算機普及程度還不高，信息安全知識的普及程度就更低。很多計算機用戶不知信息安全的概念和重要性，不愿意把錢花在安全防護上。還有相當大比例的人怕麻煩，一些券商不愿意在業務系統中加裝安全認證功能，甚至裝了也不用，怕影響了系統效率，在競爭客戶上喪失優勢。
 三、為了保證電子商務的安全，要提供全方位的安全服務
 安全服務主要包含以下三方面。
 一是信息技術安全，信息安全技術里面，分為系統環境安全和應用交易安全。系統環境安全里面分網絡安全、物理安全、運行環境安全、系統關鍵設備的備份和應急措施，災難備份等方面。應用交易安全的主要目的是保證合法用戶，在系統中完成權限內的操作，這是應用交易安全工作的一個核心。這里也包括信息的不可否認性，信息的可審查性。信息安全技術從另外的角度又可分為防火墻技術、加密技術、認證技術、防治病毒技術及其他技術幾方面。
 防火墻技術，是金融、IT界比較熟悉的一種網絡防護措施，主要分為兩種防火墻的類型：包過濾型防火墻和應用代理型防火墻。
 加密技術主要分為對稱加密技術和非對稱加密技術。目前我國金融行業中大量使用的是對稱加密技術，如保密機等，中國人民銀行的電子聯行系統現在就是使用這種對稱的密鑰加密技術。對稱密鑰加密達到128位以后，從實踐上認為是不可攻破的。但是對稱加密技術，密鑰管理困難，所以后來又有了公開密鑰的加密技術（非對稱），這種加密技術使得密鑰管理簡單化，可以在互聯網、廣域網上廣泛地應用，而且有數字簽名的功能，可以使數據保持它的真實性、完整性和不可否認性。 網絡身份認證技術有多種，基于PKI公鑰基礎設施數字證書的認證，在互聯網上應用最為廣泛。使用PKI公鑰基礎設施進行的數字證書的認證技術，主要解決數據信息的身份信任、數據信息的完整性、不可否認性和私秘性。PKI是基于公鑰加密技術的基礎設施，是一種技術組合服務，在這個組合服務里包含這樣幾個環節，有認證機關（CA認證中心）、證書倉庫，密鑰管理備份更新及恢復系統、證書作廢處理系統、客戶端的證書處理系統等。這些應用系統是配套的。還有時間戳服務，就是利用證書再配上時間戳的軟件，在電子商務的交易信息中，打上唯一的時間的標記。這樣作為法律有效的根據保存下來，以便萬一日后出現糾紛，可以提交法律裁決。交叉認證服務是指不同的CA之間進行相互的交叉認證。
 除此以外，還有非PKI的身份認證技術，如口令識別，有比較簡單的靜態口令識別技術和相對復雜也比較安全的動態口令識別技術。還有計算機硬件特征識別，如本展覽上展出的ID Shield產品，它同時輔助以口令識別，是一個雙因子的認證系統。還有生物特征（指紋、虹膜等）識別技術。
 信息安全技術還包括防止網絡病毒問題。防止病毒應該從多方面防止，而不是僅僅在自己的服務器上進行防止。除此以外還有一些其他技術。有一些攻擊可以繞過防火墻，如拒絕服務攻擊和分布的拒絕服務攻擊，這些僅依靠防火墻是無法防范的。還要加裝入侵檢測軟件，它可以有效地檢測拒絕服務攻擊同時采取保護措施。另外系統的安全設計、密鑰管理訪問控制、安全審計、漏洞掃描、災難備份恢復等等，在電子商務中，這些都是需要考慮的。
 二是安全的管理，安全管理是非常重要的，據BISS數據統計，安全事故中出于疏忽的是57%，外部惡意攻擊是24%，不到四分之一，病毒14%，兩個加起來是38%。用戶誤操作占5%。由此可知，如果加強了管理，有70%以上安全事故可以避免。可見安全管理所具有的重要性。 加強安全管理首先是安全意識的管理，尤其是看領導重視與否。很多單位的安全是否能搞好，領導占了非常重要的因素。其次是安全教育，再次是機房安全管理，此外，還有系統安全管理，人員安全管理、制度防范等。
 三是與安全相關的政策法規的建立和完善。網絡立法是當務之急，因為安全工作離不開網絡法規環境的支持，沒有網絡的環境法規的支持，安全工作就做不下去。另一方面，安全工作又是網絡立法、執法的重要保障。網絡立法的內容有以下幾個方面，電子合同、電子簽名、電子商務認證、電子數據證據、網上交易與支付、網上知識產權、電子商務管轄權、在線爭議解決等等。
 因此如何向客戶展示自己的服務相比其他競爭對手更加安全、可靠呢?樹立和增強企業的信息安全形象是非常必要的。這—點對于企業的生存來說更是至關重要的。
    首先，要保證商業的持續運作。這方面包括防止商業活動的中斷，以及防止關鍵商業過程免受重大夫誤或災難的影響。DoS攻擊是近年被引起廣泛注意的一種黑客攻擊手段，它利用過多的合理服務請求來占用系統資源，從而使部分Internet連接和網絡系統失效，使合法用戶無法得到服務，破壞了組織的正常運行。
    其次，要具有完善的訪問控制系統。這主要包括控制訪問信息、阻止非法訪問信息系統、確保網絡服務得到保護、阻止非法訪問計算機、檢測非法行為以及保證在使用移動計算機和遠程網絡設備時信息的安全。再次，要注意系統的物理、環境和網絡的安全。信息安全不僅包括阻止對業務機密和信息非法的訪問、損壞干擾，阻止資產的丟失、損壞或遭受危險，阻止信息和信息處理設備的免受損壞或盜竊；還包括了保護信息和業務活動的完整性、可用性、機密性和確定性。
 因此，企業需要制定自己的安全策略，并且要在整個組織范圍得到理解和實施。這不單是依靠安全技術就可以解決的，專家指出信息安全“七分管理，三分技術”。安全管理中有哪些注意事項，應該建立什么的安全制度都是企業管理者需要解決的問題。BS 7799/IS0 17799作為信息安全管理體系(Information  Security  Management System：ISMS)的審核標準，對信息安全產業的作用和意義，就仿佛是ISO 9000質量認證標準對于制造業一樣。通過該標準的認證，可以為企業提供可靠的安全服務，樹立企業的信息安全形象，提高企業的綜合競爭力。BS 7799分為兩個部分:BS7799-1，信息安全管理實施細則:BS7799-2，信息安全管理體系規范。第一部分主要是給負責開發的人員作為參考文檔使用，從而在他們的機構內部實施和維護信息安全；第二部分詳細說明了建立、實施和維護信息安全管理系統的要求，指出實施組織需遵循某一風險評估來鑒定最適宜的控制對象，并對自己的需求采取適當的控制。目前包括上海廣電應確信等公司已開始為企業提供信息安全管理的咨詢服務，從了解組織的基本情況和確認信息資產出發，分析組織內所面臨的信息安全危害、薄弱點及其對信息安全的影響，實施危害評估，并協助企業選擇風險評估、風險管理和BS 7799控制方法，最終達到BS 7799的認證。
 如何選擇臺適的安全方案
 為了迎合公司的實際需要、技術水平和文件共享政策，管理者們應該為公司選擇一種切實可行的文件共享安全方案。現在有非常多的安全方案可供用戶選擇。企業管理者所要做的最困難的工作就是從多種安全方案中挑選最適合公司需要的那一種。
 首先，要知道用戶們最需要的是什么：電子郵件、文檔、文件夾、驅動器、應用軟件還是外部設備或者是這些都在最需要的行列之中?
 其次，哪些人有接入的要求：公司內部員工、商業合作伙伴還是用戶?
 第三，公司需要的安全應該達到何種水平：簡單地使用密碼和ID進入、經過授權的用戶方可進入還是進行一般地加密?合作安全系列在正確地選擇一種安全方案的過程中分成兩個部分，第二個部分是在企業范圍內保護文檔共享的安全。這對任何一個企業的技術領導來說都是一個不可回避的話題，因此TechRepublic熱誠地邀請每一位用戶把你對當今公司信息官正在執行的安全方案的個人想法通過電子郵件發給我們，也同時希望你能夠為公司選擇合適的安全方案。
 現在還有很多企業管理者和員工對電子郵件、電子數據表和包含高度機密材料的文檔沒有深入地了解，通常忽略安全問題，尤其是實踐當中的不安全性。
 舉一個例子，如果一位公司的財政主管與他的孩子共用一臺家用電腦，他用這臺電腦向公司發送有關財政方面的信息，如果發送財政信息的時候正好是公開的文檔，那么這位財政主觀的公司可能要面臨巨大的安全隱患。黑客也有可能會威脅到市場主管的家用電腦，由于高速接入黑客能夠連續不斷地在互聯網上“徘徊”，雖然可能不會造成多大的危害，但是這種安全狀況總是讓人不放心。也許正是因為這樣在不經意之間走漏了企業秘密，所以導致在公司發布重要信息之前其他競爭對手已經早有防備。
 由于現在停止共享文檔的可能性比較小，那么怎樣做才能比較有效地維護企業數據安全呢?一般地說，公司應該為用戶提供一種方案來安全地傳遞或是共享辦公文檔。
 今天我們有很多的安全產品和安全服務可供用戶們選擇，這些繁多的選擇方案也會給公司的首席信息官們帶來麻煩，似乎有多少個銷售商就有多少個選擇方案，這也是導致信息官們不知從何處下手的原因。
 一個虛擬私人網絡服務能夠使得用戶們接觸到公司的文檔、電子郵件、網絡驅動器、應用軟件和類似打印機這樣的設備。但是如果只保障共享文檔的安全或者接觸到數據成為最基本的需要的話，對于大多數公司來說使用一個虛擬私人網絡已經足夠了。
 因為可供用戶選擇的安全方案有很多，所以要針對你企業的需要來花一些時間認真地確定一種方案，既要考慮到這種產品的特征也要多和同事們進行交流了解他們的需要。