電子商務(wù)的信息安全風(fēng)險(xiǎn)評(píng)估與對(duì)策

1、電子商務(wù)的信息安全風(fēng)險(xiǎn)評(píng)估與對(duì)策摘 要：近些年，伴隨著一些政策法規(guī)的出臺(tái)實(shí)施，電子商務(wù)得到了迅猛發(fā)展，應(yīng)用領(lǐng)域逐漸拓展，盈利模式日趨豐富，與此同時(shí)出現(xiàn)了一些信息安全風(fēng)險(xiǎn)問(wèn)題，為了提高電子商務(wù)信息安全風(fēng)險(xiǎn)意識(shí)和技術(shù)，提供一個(gè)更加完備的評(píng)估系統(tǒng)。本文通過(guò)線(xiàn)上線(xiàn)下調(diào)查研究，分析了電子商務(wù)安全問(wèn)題，并且給出一些改進(jìn)措施。關(guān)鍵詞：電子商務(wù);信息安全;風(fēng)險(xiǎn)評(píng)估;對(duì)策1.引言電子商務(wù)是以互聯(lián)網(wǎng)為基礎(chǔ)，以商城消費(fèi)者產(chǎn)品物流為構(gòu)成要素進(jìn)行的電子商務(wù)活動(dòng)。當(dāng)電子商務(wù)相關(guān)部門(mén)或人員在進(jìn)行項(xiàng)目開(kāi)發(fā)時(shí)，擁有一套信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)可以幫助其采用科學(xué)合理的方法對(duì)潛在威脅進(jìn)行分析并保證經(jīng)濟(jì)系統(tǒng)的安全。所以將信息安全技術(shù)與現(xiàn)

2、代化新興技術(shù)結(jié)合，將為我們打造一個(gè)更加優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境。2.電子商務(wù)系統(tǒng)中存在的信息安全問(wèn)題及現(xiàn)狀一般來(lái)說(shuō)，電子商務(wù)的信息安全是指在電子商務(wù)交易的過(guò)程中雙方使用各種技術(shù)和法律手段等確保交易不會(huì)因?yàn)橐馔?，惡意或者披露這些不利要求而受到損害的信息安全。在21世紀(jì)初葉 ，我國(guó)金融系統(tǒng)中的計(jì)算機(jī)犯罪率一直在不斷地增加，我國(guó)金融網(wǎng)絡(luò)信息安全形勢(shì)非常嚴(yán)峻，需要加強(qiáng)改善。下面就電子商務(wù)網(wǎng)絡(luò)中的信息安全問(wèn)題做一個(gè)簡(jiǎn)要介紹，主要涉及以下幾個(gè)方面：（1）由于編寫(xiě)的電子商務(wù)系統(tǒng)軟件可以使用不同的形式，因此在實(shí)際應(yīng)用過(guò)程中難以避免的會(huì)留下安全漏洞。例如，網(wǎng)絡(luò)操作系統(tǒng)本身會(huì)存在一些安全問(wèn)題，例如非法訪(fǎng)問(wèn)I/0，這些不完全

3、的調(diào)解和混亂的訪(fǎng)問(wèn)控制會(huì)造成數(shù)據(jù)庫(kù)安全漏洞，而這些漏洞嚴(yán)重影響了電子商務(wù)系統(tǒng)的信息安全性.特別是在設(shè)開(kāi)始設(shè)計(jì)之前就沒(méi)有考慮TCP/IP通信協(xié)議的安全性，這一切都表明當(dāng)前的電子商務(wù)系統(tǒng)網(wǎng)絡(luò)軟件中有一些可以避免或不可避免的安全漏洞。此外信息共享處理帶來(lái)也存在風(fēng)險(xiǎn)。在信息的傳遞過(guò)程中，需要不斷地對(duì)信息源進(jìn)行加工和重現(xiàn)，截取有用信息，不可避免會(huì)出現(xiàn)信息轉(zhuǎn)化方面的風(fēng)險(xiǎn)。尤其是在當(dāng)下“社交+商務(wù)”的模式下，一條消息可能瞬間在社交網(wǎng)站上轉(zhuǎn)載數(shù)萬(wàn)次或者更多，一旦在信息轉(zhuǎn)載中出現(xiàn)誤差，影響非常大，風(fēng)險(xiǎn)應(yīng)當(dāng)給予重視。（2）隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，計(jì)算機(jī)病毒帶來(lái)的問(wèn)題越來(lái)越廣泛，壓縮文件，電子郵件已經(jīng)成為計(jì)算機(jī)病毒

4、傳播的主要途徑，因?yàn)檫@些病毒的種類(lèi)非常多樣化，破壞性極強(qiáng)，使得計(jì)算機(jī)病毒的傳播速度大大加快了。近年來(lái)，新病毒種類(lèi)的數(shù)量迅速增加，互聯(lián)網(wǎng)為這些病毒的傳播提供了良好的媒介。這些病毒可以通過(guò)網(wǎng)絡(luò)大量傳播任何粗心大意都會(huì)造成無(wú)法彌補(bǔ)的經(jīng)濟(jì)損失。此外還有信息傳遞過(guò)程所帶來(lái)的風(fēng)險(xiǎn)。信息是一種重要的資源，良好的流動(dòng)性能實(shí)現(xiàn)信息價(jià)值的最大化，但是在信息的傳遞過(guò)程中需要經(jīng)過(guò)許多路徑，而在這過(guò)程中往往存在一些不安全因素，給信息安全帶來(lái)一定的風(fēng)險(xiǎn)。（3）當(dāng)前的黑客攻擊，除了計(jì)算機(jī)病毒的傳播外，黑容的惡意行為也越來(lái)越猖狂。特洛伊木馬使黑容可以使用計(jì)算機(jī)病毒從而變得更加有目的性，使得計(jì)算機(jī)記錄的登錄信息被特洛伊木馬程序

5、惡意篡改，導(dǎo)致很多重要信息、文件，甚至是金錢(qián)被盜。（4）由人為因素造成的電子商務(wù)公司的安全問(wèn)題，大部分保密工作是通過(guò)員工的操作來(lái)進(jìn)行的，這就需要員工具有很好的保密性，責(zé)任心和責(zé)任感等道德素質(zhì)。如果員工的責(zé)任心不強(qiáng)， 態(tài)度不正確，就容易被別人利用，讓無(wú)關(guān)人員隨意進(jìn)出房間或向他人泄露機(jī)密信息， 可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業(yè)道德，可能會(huì)非法超出授權(quán)范圍更改或刪除他人的信息，而且還可以利用所學(xué)專(zhuān)業(yè)知識(shí)和工作位置來(lái)竊取用戶(hù)密碼和標(biāo)識(shí)符，進(jìn)行非法出售。3.電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估存在的問(wèn)題經(jīng)過(guò)大量的數(shù)據(jù)收集與分析不難發(fā)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估是當(dāng)前科研工作中噬待解決的問(wèn)題。目前，國(guó)內(nèi)也有

6、一些關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的研究和應(yīng)用，但是這些研究都只是簡(jiǎn)單的分析，包括常用的具有風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評(píng)估工具。評(píng)估矩陣，問(wèn)卷，風(fēng)險(xiǎn)評(píng)估矩陣與問(wèn)卷方法，專(zhuān)家系統(tǒng)相結(jié)合。對(duì)于更深層次的探究還需進(jìn)一步努力。此外，網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估方法常用定量因子分析方法，時(shí)間序列模型，決策樹(shù)方法和回歸模型進(jìn)行。風(fēng)險(xiǎn)評(píng)估方法，定性分析主要包括邏輯分析，Delphi方法，因子分析方法，歷史比較方法等。其中，定量和定性評(píng)估方法相結(jié)合，是由模糊層次分析法，基于D-S證據(jù)理論等的評(píng)估方法組成。同時(shí)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估還存在一定問(wèn)題，例如隨著網(wǎng)絡(luò)的發(fā)展，我國(guó)從開(kāi)始的2G邁向4G現(xiàn)在又率先進(jìn)入5G時(shí)代。其中也出現(xiàn)了各種問(wèn)題，網(wǎng)民數(shù)量的

7、增加需要迫切提高他們對(duì)信息安全的警惕意識(shí)。3.1 欠缺對(duì)電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)當(dāng)前，許多相關(guān)人員對(duì)電子商務(wù)信息系統(tǒng)面臨著巨大的挑戰(zhàn)的現(xiàn)狀并未有足夠的意識(shí)，缺少信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)。因此他們沒(méi)有重視信息安全風(fēng)險(xiǎn)評(píng)估的重要性，其原因如下。第一，公司或單位的風(fēng)險(xiǎn)評(píng)估尚未通過(guò)標(biāo)準(zhǔn)檢驗(yàn)，培訓(xùn)標(biāo)準(zhǔn)，信息安全風(fēng)險(xiǎn)評(píng)估工作的研究尚未得到系統(tǒng)的相關(guān)理論，方法和技術(shù)工具，這是由于一些信息安全評(píng)估工作相關(guān)領(lǐng)導(dǎo)層和工作人員對(duì)信息評(píng)估風(fēng)險(xiǎn)評(píng)估的重要性的認(rèn)識(shí)不足，因此自然而然不將此類(lèi)風(fēng)險(xiǎn)評(píng)估工作包括在當(dāng)前的信息安全系統(tǒng)框架中。第二，盡管有許多部門(mén)將信息安全工作置于地位重要，但受到人力、物力，財(cái)力等方面的限制，社會(huì)

8、制度的制約，政策法規(guī)的欠缺使得信息安全系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作無(wú)法得到應(yīng)有的重視。3.2 缺乏信息安全風(fēng)險(xiǎn)評(píng)估方面的專(zhuān)業(yè)技術(shù)人才首先，信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)內(nèi)容要求非常高，它要求員工具有很高的技術(shù)水平，現(xiàn)在很多公司都將通用信息用作風(fēng)險(xiǎn)評(píng)估技術(shù)人員。其次，信息安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)集綜合性，專(zhuān)業(yè)性于一體的工作，不僅涉及公司的所有業(yè)務(wù)信息，也涉及人力，物力和財(cái)力的方方面面，因此需要各部門(mén)之間相互配合，現(xiàn)在大多數(shù)公司僅依靠信息部門(mén)，獨(dú)立的參與信息安全風(fēng)險(xiǎn)評(píng)估毫無(wú)爭(zhēng)議他們要想完成信息安全風(fēng)險(xiǎn)評(píng)估工作是非常艱難的。綜上所述，培養(yǎng)信息安全風(fēng)險(xiǎn)評(píng)估專(zhuān)業(yè)技術(shù)人員是今后信息技術(shù)方面發(fā)展的方向。3.3 風(fēng)險(xiǎn)評(píng)估工具

9、相對(duì)缺乏當(dāng)前，除專(zhuān)家系統(tǒng)外，其他分析工具相對(duì)來(lái)說(shuō)都比較簡(jiǎn)易，除此之外還缺乏實(shí)用的理論基礎(chǔ)。此外，這種信息風(fēng)險(xiǎn)評(píng)估工具在應(yīng)用中的發(fā)展呈現(xiàn)的現(xiàn)狀。 表明國(guó)內(nèi)和外部失衡，在中國(guó)相對(duì)落后?？梢?jiàn)解決信息安全問(wèn)題的關(guān)鍵在于有成熟的風(fēng)險(xiǎn)評(píng)估工具。4.防范電子商務(wù)信息安全及風(fēng)險(xiǎn)的建議4.1 增強(qiáng)電子商務(wù)信息安全和風(fēng)險(xiǎn)評(píng)估的意識(shí)大多數(shù)信息的傳輸和處理，與人是密不可分的。特別是掌握人員的重要信息和核心業(yè)務(wù)，人員的個(gè)人因素，管理因素和環(huán)境存在風(fēng)險(xiǎn)。主要包括人員的技術(shù)能力，監(jiān)控管理，安全性。特別需要做好監(jiān)督審計(jì)公司的工作，確保信息安全風(fēng)險(xiǎn)管理融入實(shí)踐，充分發(fā)揮內(nèi)部監(jiān)督作用，促進(jìn)社會(huì)責(zé)任認(rèn)可和實(shí)施信息安全風(fēng)險(xiǎn)管理工作。

10、電子商務(wù)公司必須對(duì)工人進(jìn)行必要的信息安全知識(shí)教育培訓(xùn)，了解與之相關(guān)的法律法規(guī)，做好對(duì)客戶(hù)關(guān)鍵信息的隱秘保護(hù)。不隨意查看和泄露客戶(hù)購(gòu)買(mǎi)信息。企業(yè)應(yīng)該加大力度保障網(wǎng)絡(luò)通信操作時(shí)信息的機(jī)密性和完整性，加強(qiáng)密鑰管理，提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力，采取措施避免越權(quán)或?yàn)E用，消除用戶(hù)在交易中的風(fēng)險(xiǎn)。在信息安全風(fēng)險(xiǎn)控制中必須由內(nèi)到外地保護(hù)內(nèi)部系統(tǒng)環(huán)境、網(wǎng)絡(luò)邊界、骨干網(wǎng)安全。為網(wǎng)絡(luò)信息系統(tǒng)建立完善的管理系統(tǒng)，并提供全面的安全保障。運(yùn)用端到端策略。對(duì)于移動(dòng)電子商務(wù)中用戶(hù)終端設(shè)備種類(lèi)繁多，安全環(huán)境復(fù)雜難以控制的問(wèn)題，必須做好數(shù)據(jù)傳輸中的重要環(huán)節(jié)中的身份鑒定。通過(guò)人臉識(shí)別、指紋識(shí)別等技術(shù)有效提高用戶(hù)訪(fǎng)問(wèn)身份鑒別能力，極大地提

11、高賬戶(hù)的安全性，確保數(shù)據(jù)傳輸?shù)陌踩?，確保交易的真實(shí)有效。4.2 提供專(zhuān)業(yè)的技術(shù)培訓(xùn)，提高專(zhuān)業(yè)人員的技能認(rèn)真選擇第三方合作伙伴，增強(qiáng)信息管理水平，加強(qiáng)績(jī)效監(jiān)督管理。樹(shù)立合理的企業(yè)內(nèi)部組織結(jié)構(gòu)和有效資金保障，培養(yǎng)員工信息安全意識(shí)，創(chuàng)造良好信息 安全工作氛圍，加強(qiáng)信息安全專(zhuān)業(yè)技術(shù)人員對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的意識(shí)和能力，通過(guò)大量的實(shí)驗(yàn)發(fā)現(xiàn)可以通過(guò)下列方法培訓(xùn)相關(guān)人員：第一，定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作，將公司員工集合共同學(xué)習(xí)相關(guān)資料以提升他們對(duì)信息安全的意識(shí)彌補(bǔ)存在的缺陷。第二，對(duì)信息安全部門(mén)的員工進(jìn)行專(zhuān)門(mén)的技術(shù)培訓(xùn)和指導(dǎo)，可通過(guò)模擬分析來(lái)提升技術(shù);第三，公司應(yīng)增加對(duì)技術(shù)資源的投入，聘請(qǐng)經(jīng)驗(yàn)豐富的專(zhuān)家學(xué)

12、者組成第三方評(píng)估機(jī)構(gòu)，引進(jìn)風(fēng)險(xiǎn)評(píng)估設(shè)備。以備不時(shí)之需;第四，公司應(yīng)對(duì)技術(shù)人員進(jìn)行標(biāo)準(zhǔn)化認(rèn)證培訓(xùn)，執(zhí)行職業(yè)資格準(zhǔn)入制度，提高技術(shù)人員的門(mén)檻，納入信息安全風(fēng)險(xiǎn)評(píng)估，技術(shù)人員的全面質(zhì)量保證評(píng)估。以上這些方法只是單純就培訓(xùn)方式對(duì)于具體的實(shí)施以及可能遇到的問(wèn)題依然需要研究。4.3 提升對(duì)信息安全防范技術(shù)的研究和應(yīng)用為移動(dòng)數(shù)據(jù)庫(kù)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密以防止泄漏，采用不同的加密方法來(lái)保護(hù)數(shù)據(jù)安全，進(jìn)行身份認(rèn)證，數(shù)據(jù)恢復(fù)，數(shù)據(jù)加密存儲(chǔ)，物理隔離，防火墻，網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)入侵檢測(cè)，網(wǎng)絡(luò)漏洞掃描，網(wǎng)絡(luò) 設(shè)備備份，網(wǎng)絡(luò)管理，專(zhuān)線(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)管理等一系列技術(shù)手段，從而提高數(shù)據(jù)庫(kù)的安全性。同時(shí)提高認(rèn)識(shí)到物理設(shè)施的重要性，定期維護(hù)物理設(shè)施 。為了監(jiān)測(cè)信息安全和實(shí)施評(píng)估系統(tǒng)，我們要保證基本硬件和芯片的獨(dú)立在建立獨(dú)立于信息安全的評(píng)估體系中，國(guó)內(nèi)外統(tǒng)一組織重要的信息安全技術(shù)研究，建立創(chuàng)新的電子商務(wù)信息安全與評(píng)估體系。結(jié)論電子商務(wù)信息安全問(wèn)題是一