企业电子商务安全策略分析

企业电子商务安全策略分析

[摘要]本文主要从注重信息安全方面阐述了企业电子商务的安全问题。并对如何从众多可供选择的安全方案中选出针对你企业的安全策略方案。
[关键词]电子商务  信息安全  安全策略

 一、电子商务的定义。
 电子商务源于英文ELECTRONICCOMMERCE，简写为EC。顾名思义，其内容包含两个方面，一是电子方式，二是商贸活动。电子商务指的是利用简单、快捷、低成本的电子通讯方式，买卖双方不见面地进行各种商贸活动。
 据美国一家信息技术咨询公司提供数字表明，1999年全球电子商务成交额为2279亿美元，2000年为4330亿美元，翻了近一倍。2001年，预计将达到9190亿美元，到2005年将是85000亿美元。在美国，网络银行数量已占所有银行和储蓄机构总数的12%。欧洲网络银行有100多家，其中三分之一的储蓄通过互联网进行。中国已经有20多家银行的200个分支机构拥有网址和主页，其中实质性的网络银行业务的分支机构达50多家，客户超过4万多户。招商银行网银交易总额超过一万亿，这是一个非常好的趋势。
 但是2001年9月11日，纽约的世界贸易中心遭到了恐怖分子的袭击，有消息报道说，此事件的发生使美国金融界损失惨重，而且将对美国经济乃至世界经济产生重大影响。但从另外一方面来讲，此次事件其实也促进了电子商务的发展，现在国外一些新兴商业银行，采用网络处理业务，不需要营业部，在恐怖分子袭击中，不会受到什么影响。它的数据可以在一个不引人注目的地方存放，只要通讯恢复，马上就可以恢复业务。而对于用户来说，足不出户就可以通过计算机网络完成交易。既快捷方便，又免除了出门的种种安全担忧。因此，从电子商务的角度来讲，也许会促进另一个繁荣、兴盛阶段的来临。 电子商务的发展是一个趋势，但在发展中也存在一些问题。最近中国互联网信息中心发布的一组数字表明，高达33.4%的被调查人群均认为安全性得不到保证，有6.0%的人认为网上信息不可靠，认为质量、服务、信用有问题的被调查者所占的比例为33%。可以看出，信息安全问题已经是阻碍电子商务发展进程的一个重要症结。
 网上用户主要采用了什么安全措施？调查显示，使用防火墙者达到67.6%，防病毒软件达到74.5%，还有密码加密，电子签名等，不采用任何措施者占3.6%。由此可见我国的网民对安全问题还是有一定的重视。但使用电子签名人数只占7.3%是远远不够的。
 2000年网络犯罪比1999年上升了30%，数量增加了，手段也多样化，水平也比以前有所提高。这是值得大家警惕的问题。在国际上，象美国这种安全技术比较领先的大国，也同样发生了触目惊心的网络诈骗案，今年春天刊登在媒体上的“阿普杜拉案件”就是这样的例证。美国有一个“福布斯”杂志，每年刊登富翁排行榜。有一个叫亚伯拉罕.阿卜杜拉的人，是个连高中都还没毕业的餐馆伙计。居然对排行榜上前200名内的部分富翁进行了诈骗，而且屡屡得手，总金额达到1000万美元以上。其采用的手段并不高明，首先用一个假造的公司文件印章，向信用报告公司索取目标人金融资料。利用目标人假造的名誉文件向信用报告公司索取资料。信用报告公司按程序要打电话核实，犯罪分子利用一个伪装的网络电话，模仿目标人的声音，自动应答说目标人不在，从而取得信用公司业务人员的信任。业务人员于是从信用公司寄给目标人的账号，股票经纪密码，信用卡资料。诈骗人通过加密的电子邮件写给目标人所代理的银行，要求银行划转资金或者支付用假信用卡的购物款。这个人犯罪手段并不高级，可是却能得逞。说明即使在美国这样的发达国家，信息安全工作也并未完善。
 二、电子商务的信息安全面临着几大威胁
 第一、信息犯罪有快速蔓延的趋势。一年居然增长30%，数量增高，犯罪手段也在升级。最近，我们从网上了解到，一些商业银行发现了数以百计起银行卡被盗用的事件，损失金额数百万元。证券方面最近发生了“银广夏事件”。在银广夏股票连续5个跌停日，全国9位股民的股票帐户被恶意操纵，其他股票被盗卖后再盗买入银广夏股票。此案涉及6家证券公司的7个营业部，股民累计损失达126万多元。南方某省的一个村庄，竟有70%的村民参与伪造银行卡的犯罪活动。
 第二、信息与网络的安全防护能力差。很多计算机系统，无论是金融行业，还是非金融行业的计算机系统在网络保护方面舍不得投入，网络的防护能力特别差，有的只用简单的静态口令识别系统，字长只有几位，因为长了记不住。这是很容易被攻破的。上面提到的银行卡和股民股票帐户被盗用和恶意操纵的案件能得逞，与此有很大关系。
 第三、基础信息产业严重依赖于国外。现在使用的计算机，大型机均来自于国外厂家，中型机，小型机大多数也是国外产品，就算是微机，虽然国内产品份额已经超过国外产品，但是其中的芯片和CPU却主要来自进口。还有，我们中国的操作系统还没有形成气候。主流的操作系统，用的都是国外的产品。这样，基础信息产业严重依赖于国外，造成了安全的隐患。
 第四、对引进技术和设备缺乏安全检测。我国有这方面的机构，但是没有这方面的法规。所以引进的这些设备大部分没有经过安全检测。
 第五、信息安全管理机构缺乏权威。在这方面应该说有好多个单位都来插手，好多个部委都在管，造成局面混乱。谁都说自己管的是唯一的，有效的，实际上谁都不是唯一。
 第六、公众信息安全意识淡薄。
 在我国，计算机普及程度还不高，信息安全知识的普及程度就更低。很多计算机用户不知信息安全的概念和重要性，不愿意把钱花在安全防护上。还有相当大比例的人怕麻烦，一些券商不愿意在业务系统中加装安全认证功能，甚至装了也不用，怕影响了系统效率，在竞争客户上丧失优势。
 三、为了保证电子商务的安全，要提供全方位的安全服务
 安全服务主要包含以下三方面。
 一是信息技术安全，信息安全技术里面，分为系统环境安全和应用交易安全。系统环境安全里面分网络安全、物理安全、运行环境安全、系统关键设备的备份和应急措施，灾难备份等方面。应用交易安全的主要目的是保证合法用户，在系统中完成权限内的操作，这是应用交易安全工作的一个核心。这里也包括信息的不可否认性，信息的可审查性。信息安全技术从另外的角度又可分为防火墙技术、加密技术、认证技术、防治病毒技术及其他技术几方面。
 防火墙技术，是金融、IT界比较熟悉的一种网络防护措施，主要分为两种防火墙的类型：包过滤型防火墙和应用代理型防火墙。
 加密技术主要分为对称加密技术和非对称加密技术。目前我国金融行业中大量使用的是对称加密技术，如保密机等，中国人民银行的电子联行系统现在就是使用这种对称的密钥加密技术。对称密钥加密达到128位以后，从实践上认为是不可攻破的。但是对称加密技术，密钥管理困难，所以后来又有了公开密钥的加密技术（非对称），这种加密技术使得密钥管理简单化，可以在互联网、广域网上广泛地应用，而且有数字签名的功能，可以使数据保持它的真实性、完整性和不可否认性。 网络身份认证技术有多种，基于PKI公钥基础设施数字证书的认证，在互联网上应用最为广泛。使用PKI公钥基础设施进行的数字证书的认证技术，主要解决数据信息的身份信任、数据信息的完整性、不可否认性和私秘性。PKI是基于公钥加密技术的基础设施，是一种技术组合服务，在这个组合服务里包含这样几个环节，有认证机关（CA认证中心）、证书仓库，密钥管理备份更新及恢复系统、证书作废处理系统、客户端的证书处理系统等。这些应用系统是配套的。还有时间戳服务，就是利用证书再配上时间戳的软件，在电子商务的交易信息中，打上唯一的时间的标记。这样作为法律有效的根据保存下来，以便万一日后出现纠纷，可以提交法律裁决。交叉认证服务是指不同的CA之间进行相互的交叉认证。
 除此以外，还有非PKI的身份认证技术，如口令识别，有比较简单的静态口令识别技术和相对复杂也比较安全的动态口令识别技术。还有计算机硬件特征识别，如本展览上展出的ID Shield产品，它同时辅助以口令识别，是一个双因子的认证系统。还有生物特征（指纹、虹膜等）识别技术。
 信息安全技术还包括防止网络病毒问题。防止病毒应该从多方面防止，而不是仅仅在自己的服务器上进行防止。除此以外还有一些其他技术。有一些攻击可以绕过防火墙，如拒绝服务攻击和分布的拒绝服务攻击，这些仅依靠防火墙是无法防范的。还要加装入侵检测软件，它可以有效地检测拒绝服务攻击同时采取保护措施。另外系统的安全设计、密钥管理访问控制、安全审计、漏洞扫描、灾难备份恢复等等，在电子商务中，这些都是需要考虑的。
 二是安全的管理，安全管理是非常重要的，据BISS数据统计，安全事故中出于疏忽的是57%，外部恶意攻击是24%，不到四分之一，病毒14%，两个加起来是38%。用户误操作占5%。由此可知，如果加强了管理，有70%以上安全事故可以避免。可见安全管理所具有的重要性。 加强安全管理首先是安全意识的管理，尤其是看领导重视与否。很多单位的安全是否能搞好，领导占了非常重要的因素。其次是安全教育，再次是机房安全管理，此外，还有系统安全管理，人员安全管理、制度防范等。
 三是与安全相关的政策法规的建立和完善。网络立法是当务之急，因为安全工作离不开网络法规环境的支持，没有网络的环境法规的支持，安全工作就做不下去。另一方面，安全工作又是网络立法、执法的重要保障。网络立法的内容有以下几个方面，电子合同、电子签名、电子商务认证、电子数据证据、网上交易与支付、网上知识产权、电子商务管辖权、在线争议解决等等。
 因此如何向客户展示自己的服务相比其他竞争对手更加安全、可靠呢?树立和增强企业的信息安全形象是非常必要的。这—点对于企业的生存来说更是至关重要的。
    首先，要保证商业的持续运作。这方面包括防止商业活动的中断，以及防止关键商业过程免受重大夫误或灾难的影响。DoS攻击是近年被引起广泛注意的一种黑客攻击手段，它利用过多的合理服务请求来占用系统资源，从而使部分Internet连接和网络系统失效，使合法用户无法得到服务，破坏了组织的正常运行。
    其次，要具有完善的访问控制系统。这主要包括控制访问信息、阻止非法访问信息系统、确保网络服务得到保护、阻止非法访问计算机、检测非法行为以及保证在使用移动计算机和远程网络设备时信息的安全。再次，要注意系统的物理、环境和网络的安全。信息安全不仅包括阻止对业务机密和信息非法的访问、损坏干扰，阻止资产的丢失、损坏或遭受危险，阻止信息和信息处理设备的免受损坏或盗窃；还包括了保护信息和业务活动的完整性、可用性、机密性和确定性。
 因此，企业需要制定自己的安全策略，并且要在整个组织范围得到理解和实施。这不单是依靠安全技术就可以解决的，专家指出信息安全“七分管理，三分技术”。安全管理中有哪些注意事项，应该建立什么的安全制度都是企业管理者需要解决的问题。BS 7799/IS0 17799作为信息安全管理体系(Information  Security  Management System：ISMS)的审核标准，对信息安全产业的作用和意义，就仿佛是ISO 9000质量认证标准对于制造业一样。通过该标准的认证，可以为企业提供可靠的安全服务，树立企业的信息安全形象，提高企业的综合竞争力。BS 7799分为两个部分:BS7799-1，信息安全管理实施细则:BS7799-2，信息安全管理体系规范。第一部分主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全；第二部分详细说明了建立、实施和维护信息安全管理系统的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。目前包括上海广电应确信等公司已开始为企业提供信息安全管理的咨询服务，从了解组织的基本情况和确认信息资产出发，分析组织内所面临的信息安全危害、薄弱点及其对信息安全的影响，实施危害评估，并协助企业选择风险评估、风险管理和BS 7799控制方法，最终达到BS 7799的认证。
 如何选择台适的安全方案
 为了迎合公司的实际需要、技术水平和文件共享政策，管理者们应该为公司选择一种切实可行的文件共享安全方案。现在有非常多的安全方案可供用户选择。企业管理者所要做的最困难的工作就是从多种安全方案中挑选最适合公司需要的那一种。
 首先，要知道用户们最需要的是什么：电子邮件、文档、文件夹、驱动器、应用软件还是外部设备或者是这些都在最需要的行列之中?
 其次，哪些人有接入的要求：公司内部员工、商业合作伙伴还是用户?
 第三，公司需要的安全应该达到何种水平：简单地使用密码和ID进入、经过授权的用户方可进入还是进行一般地加密?合作安全系列在正确地选择一种安全方案的过程中分成两个部分，第二个部分是在企业范围内保护文档共享的安全。这对任何一个企业的技术领导来说都是一个不可回避的话题，因此TechRepublic热诚地邀请每一位用户把你对当今公司信息官正在执行的安全方案的个人想法通过电子邮件发给我们，也同时希望你能够为公司选择合适的安全方案。
 现在还有很多企业管理者和员工对电子邮件、电子数据表和包含高度机密材料的文档没有深入地了解，通常忽略安全问题，尤其是实践当中的不安全性。
 举一个例子，如果一位公司的财政主管与他的孩子共用一台家用电脑，他用这台电脑向公司发送有关财政方面的信息，如果发送财政信息的时候正好是公开的文档，那么这位财政主观的公司可能要面临巨大的安全隐患。黑客也有可能会威胁到市场主管的家用电脑，由于高速接入黑客能够连续不断地在互联网上“徘徊”，虽然可能不会造成多大的危害，但是这种安全状况总是让人不放心。也许正是因为这样在不经意之间走漏了企业秘密，所以导致在公司发布重要信息之前其他竞争对手已经早有防备。
 由于现在停止共享文档的可能性比较小，那么怎样做才能比较有效地维护企业数据安全呢?一般地说，公司应该为用户提供一种方案来安全地传递或是共享办公文档。
 今天我们有很多的安全产品和安全服务可供用户们选择，这些繁多的选择方案也会给公司的首席信息官们带来麻烦，似乎有多少个销售商就有多少个选择方案，这也是导致信息官们不知从何处下手的原因。
 一个虚拟私人网络服务能够使得用户们接触到公司的文档、电子邮件、网络驱动器、应用软件和类似打印机这样的设备。但是如果只保障共享文档的安全或者接触到数据成为最基本的需要的话，对于大多数公司来说使用一个虚拟私人网络已经足够了。
 因为可供用户选择的安全方案有很多，所以要针对你企业的需要来花一些时间认真地确定一种方案，既要考虑到这种产品的特征也要多和同事们进行交流了解他们的需要。