電子商務(wù)的信息安全風(fēng)險評估與對策

1、電子商務(wù)的信息安全風(fēng)險評估與對策摘 要：近些年，伴隨著一些政策法規(guī)的出臺實施，電子商務(wù)得到了迅猛發(fā)展，應(yīng)用領(lǐng)域逐漸拓展，盈利模式日趨豐富，與此同時出現(xiàn)了一些信息安全風(fēng)險問題，為了提高電子商務(wù)信息安全風(fēng)險意識和技術(shù)，提供一個更加完備的評估系統(tǒng)。本文通過線上線下調(diào)查研究，分析了電子商務(wù)安全問題，并且給出一些改進措施。關(guān)鍵詞：電子商務(wù);信息安全;風(fēng)險評估;對策1.引言電子商務(wù)是以互聯(lián)網(wǎng)為基礎(chǔ)，以商城消費者產(chǎn)品物流為構(gòu)成要素進行的電子商務(wù)活動。當電子商務(wù)相關(guān)部門或人員在進行項目開發(fā)時，擁有一套信息安全風(fēng)險評估系統(tǒng)可以幫助其采用科學(xué)合理的方法對潛在威脅進行分析并保證經(jīng)濟系統(tǒng)的安全。所以將信息安全技術(shù)與現(xiàn)

2、代化新興技術(shù)結(jié)合，將為我們打造一個更加優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境。2.電子商務(wù)系統(tǒng)中存在的信息安全問題及現(xiàn)狀一般來說，電子商務(wù)的信息安全是指在電子商務(wù)交易的過程中雙方使用各種技術(shù)和法律手段等確保交易不會因為意外，惡意或者披露這些不利要求而受到損害的信息安全。在21世紀初葉 ，我國金融系統(tǒng)中的計算機犯罪率一直在不斷地增加，我國金融網(wǎng)絡(luò)信息安全形勢非常嚴峻，需要加強改善。下面就電子商務(wù)網(wǎng)絡(luò)中的信息安全問題做一個簡要介紹，主要涉及以下幾個方面：（1）由于編寫的電子商務(wù)系統(tǒng)軟件可以使用不同的形式，因此在實際應(yīng)用過程中難以避免的會留下安全漏洞。例如，網(wǎng)絡(luò)操作系統(tǒng)本身會存在一些安全問題，例如非法訪問I/0，這些不完全

3、的調(diào)解和混亂的訪問控制會造成數(shù)據(jù)庫安全漏洞，而這些漏洞嚴重影響了電子商務(wù)系統(tǒng)的信息安全性.特別是在設(shè)開始設(shè)計之前就沒有考慮TCP/IP通信協(xié)議的安全性，這一切都表明當前的電子商務(wù)系統(tǒng)網(wǎng)絡(luò)軟件中有一些可以避免或不可避免的安全漏洞。此外信息共享處理帶來也存在風(fēng)險。在信息的傳遞過程中，需要不斷地對信息源進行加工和重現(xiàn)，截取有用信息，不可避免會出現(xiàn)信息轉(zhuǎn)化方面的風(fēng)險。尤其是在當下“社交+商務(wù)”的模式下，一條消息可能瞬間在社交網(wǎng)站上轉(zhuǎn)載數(shù)萬次或者更多，一旦在信息轉(zhuǎn)載中出現(xiàn)誤差，影響非常大，風(fēng)險應(yīng)當給予重視。（2）隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，計算機病毒帶來的問題越來越廣泛，壓縮文件，電子郵件已經(jīng)成為計算機病毒

4、傳播的主要途徑，因為這些病毒的種類非常多樣化，破壞性極強，使得計算機病毒的傳播速度大大加快了。近年來，新病毒種類的數(shù)量迅速增加，互聯(lián)網(wǎng)為這些病毒的傳播提供了良好的媒介。這些病毒可以通過網(wǎng)絡(luò)大量傳播任何粗心大意都會造成無法彌補的經(jīng)濟損失。此外還有信息傳遞過程所帶來的風(fēng)險。信息是一種重要的資源，良好的流動性能實現(xiàn)信息價值的最大化，但是在信息的傳遞過程中需要經(jīng)過許多路徑，而在這過程中往往存在一些不安全因素，給信息安全帶來一定的風(fēng)險。（3）當前的黑客攻擊，除了計算機病毒的傳播外，黑容的惡意行為也越來越猖狂。特洛伊木馬使黑容可以使用計算機病毒從而變得更加有目的性，使得計算機記錄的登錄信息被特洛伊木馬程序

5、惡意篡改，導(dǎo)致很多重要信息、文件，甚至是金錢被盜。（4）由人為因素造成的電子商務(wù)公司的安全問題，大部分保密工作是通過員工的操作來進行的，這就需要員工具有很好的保密性，責(zé)任心和責(zé)任感等道德素質(zhì)。如果員工的責(zé)任心不強， 態(tài)度不正確，就容易被別人利用，讓無關(guān)人員隨意進出房間或向他人泄露機密信息， 可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業(yè)道德，可能會非法超出授權(quán)范圍更改或刪除他人的信息，而且還可以利用所學(xué)專業(yè)知識和工作位置來竊取用戶密碼和標識符，進行非法出售。3.電子商務(wù)信息安全風(fēng)險評估存在的問題經(jīng)過大量的數(shù)據(jù)收集與分析不難發(fā)現(xiàn)對信息安全風(fēng)險評估是當前科研工作中噬待解決的問題。目前，國內(nèi)也有

6、一些關(guān)于信息安全風(fēng)險評估的研究和應(yīng)用，但是這些研究都只是簡單的分析，包括常用的具有風(fēng)險的風(fēng)險評估工具。評估矩陣，問卷，風(fēng)險評估矩陣與問卷方法，專家系統(tǒng)相結(jié)合。對于更深層次的探究還需進一步努力。此外，網(wǎng)絡(luò)信息安全風(fēng)險評估方法常用定量因子分析方法，時間序列模型，決策樹方法和回歸模型進行。風(fēng)險評估方法，定性分析主要包括邏輯分析，Delphi方法，因子分析方法，歷史比較方法等。其中，定量和定性評估方法相結(jié)合，是由模糊層次分析法，基于D-S證據(jù)理論等的評估方法組成。同時網(wǎng)絡(luò)信息安全風(fēng)險評估還存在一定問題，例如隨著網(wǎng)絡(luò)的發(fā)展，我國從開始的2G邁向4G現(xiàn)在又率先進入5G時代。其中也出現(xiàn)了各種問題，網(wǎng)民數(shù)量的

7、增加需要迫切提高他們對信息安全的警惕意識。3.1 欠缺對電子商務(wù)信息安全風(fēng)險評估的認識當前，許多相關(guān)人員對電子商務(wù)信息系統(tǒng)面臨著巨大的挑戰(zhàn)的現(xiàn)狀并未有足夠的意識，缺少信息安全風(fēng)險評估經(jīng)驗。因此他們沒有重視信息安全風(fēng)險評估的重要性，其原因如下。第一，公司或單位的風(fēng)險評估尚未通過標準檢驗，培訓(xùn)標準，信息安全風(fēng)險評估工作的研究尚未得到系統(tǒng)的相關(guān)理論，方法和技術(shù)工具，這是由于一些信息安全評估工作相關(guān)領(lǐng)導(dǎo)層和工作人員對信息評估風(fēng)險評估的重要性的認識不足，因此自然而然不將此類風(fēng)險評估工作包括在當前的信息安全系統(tǒng)框架中。第二，盡管有許多部門將信息安全工作置于地位重要，但受到人力、物力，財力等方面的限制，社會

8、制度的制約，政策法規(guī)的欠缺使得信息安全系統(tǒng)的信息安全風(fēng)險評估工作無法得到應(yīng)有的重視。3.2 缺乏信息安全風(fēng)險評估方面的專業(yè)技術(shù)人才首先，信息安全風(fēng)險評估的技術(shù)內(nèi)容要求非常高，它要求員工具有很高的技術(shù)水平，現(xiàn)在很多公司都將通用信息用作風(fēng)險評估技術(shù)人員。其次，信息安全風(fēng)險評估是一項集綜合性，專業(yè)性于一體的工作，不僅涉及公司的所有業(yè)務(wù)信息，也涉及人力，物力和財力的方方面面，因此需要各部門之間相互配合，現(xiàn)在大多數(shù)公司僅依靠信息部門，獨立的參與信息安全風(fēng)險評估毫無爭議他們要想完成信息安全風(fēng)險評估工作是非常艱難的。綜上所述，培養(yǎng)信息安全風(fēng)險評估專業(yè)技術(shù)人員是今后信息技術(shù)方面發(fā)展的方向。3.3 風(fēng)險評估工具

9、相對缺乏當前，除專家系統(tǒng)外，其他分析工具相對來說都比較簡易，除此之外還缺乏實用的理論基礎(chǔ)。此外，這種信息風(fēng)險評估工具在應(yīng)用中的發(fā)展呈現(xiàn)的現(xiàn)狀。 表明國內(nèi)和外部失衡，在中國相對落后?？梢娊鉀Q信息安全問題的關(guān)鍵在于有成熟的風(fēng)險評估工具。4.防范電子商務(wù)信息安全及風(fēng)險的建議4.1 增強電子商務(wù)信息安全和風(fēng)險評估的意識大多數(shù)信息的傳輸和處理，與人是密不可分的。特別是掌握人員的重要信息和核心業(yè)務(wù)，人員的個人因素，管理因素和環(huán)境存在風(fēng)險。主要包括人員的技術(shù)能力，監(jiān)控管理，安全性。特別需要做好監(jiān)督審計公司的工作，確保信息安全風(fēng)險管理融入實踐，充分發(fā)揮內(nèi)部監(jiān)督作用，促進社會責(zé)任認可和實施信息安全風(fēng)險管理工作。

10、電子商務(wù)公司必須對工人進行必要的信息安全知識教育培訓(xùn)，了解與之相關(guān)的法律法規(guī)，做好對客戶關(guān)鍵信息的隱秘保護。不隨意查看和泄露客戶購買信息。企業(yè)應(yīng)該加大力度保障網(wǎng)絡(luò)通信操作時信息的機密性和完整性，加強密鑰管理，提高應(yīng)對網(wǎng)絡(luò)攻擊能力，采取措施避免越權(quán)或濫用，消除用戶在交易中的風(fēng)險。在信息安全風(fēng)險控制中必須由內(nèi)到外地保護內(nèi)部系統(tǒng)環(huán)境、網(wǎng)絡(luò)邊界、骨干網(wǎng)安全。為網(wǎng)絡(luò)信息系統(tǒng)建立完善的管理系統(tǒng)，并提供全面的安全保障。運用端到端策略。對于移動電子商務(wù)中用戶終端設(shè)備種類繁多，安全環(huán)境復(fù)雜難以控制的問題，必須做好數(shù)據(jù)傳輸中的重要環(huán)節(jié)中的身份鑒定。通過人臉識別、指紋識別等技術(shù)有效提高用戶訪問身份鑒別能力，極大地提

11、高賬戶的安全性，確保數(shù)據(jù)傳輸?shù)陌踩裕_保交易的真實有效。4.2 提供專業(yè)的技術(shù)培訓(xùn)，提高專業(yè)人員的技能認真選擇第三方合作伙伴，增強信息管理水平，加強績效監(jiān)督管理。樹立合理的企業(yè)內(nèi)部組織結(jié)構(gòu)和有效資金保障，培養(yǎng)員工信息安全意識，創(chuàng)造良好信息 安全工作氛圍，加強信息安全專業(yè)技術(shù)人員對信息安全風(fēng)險評估的意識和能力，通過大量的實驗發(fā)現(xiàn)可以通過下列方法培訓(xùn)相關(guān)人員：第一，定期開展信息安全風(fēng)險評估工作，將公司員工集合共同學(xué)習(xí)相關(guān)資料以提升他們對信息安全的意識彌補存在的缺陷。第二，對信息安全部門的員工進行專門的技術(shù)培訓(xùn)和指導(dǎo)，可通過模擬分析來提升技術(shù);第三，公司應(yīng)增加對技術(shù)資源的投入，聘請經(jīng)驗豐富的專家學(xué)

12、者組成第三方評估機構(gòu)，引進風(fēng)險評估設(shè)備。以備不時之需;第四，公司應(yīng)對技術(shù)人員進行標準化認證培訓(xùn)，執(zhí)行職業(yè)資格準入制度，提高技術(shù)人員的門檻，納入信息安全風(fēng)險評估，技術(shù)人員的全面質(zhì)量保證評估。以上這些方法只是單純就培訓(xùn)方式對于具體的實施以及可能遇到的問題依然需要研究。4.3 提升對信息安全防范技術(shù)的研究和應(yīng)用為移動數(shù)據(jù)庫存儲的數(shù)據(jù)進行加密以防止泄漏，采用不同的加密方法來保護數(shù)據(jù)安全，進行身份認證，數(shù)據(jù)恢復(fù)，數(shù)據(jù)加密存儲，物理隔離，防火墻，網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)入侵檢測，網(wǎng)絡(luò)漏洞掃描，網(wǎng)絡(luò) 設(shè)備備份，網(wǎng)絡(luò)管理，專線，實現(xiàn)網(wǎng)絡(luò)管理等一系列技術(shù)手段，從而提高數(shù)據(jù)庫的安全性。同時提高認識到物理設(shè)施的重要性，定期維護物理設(shè)施 。為了監(jiān)測信息安全和實施評估系統(tǒng)，我們要保證基本硬件和芯片的獨立在建立獨立于信息安全的評估體系中，國內(nèi)外統(tǒng)一組織重要的信息安全技術(shù)研究，建立創(chuàng)新的電子商務(wù)信息安全與評估體系。結(jié)論電子商務(wù)信息安全問題是一