淺析中小企業(yè)電子商務中的信息安全問題

河南工程學院 陳俊豪

淺析中小企業(yè)電子商務中的信息安全問題

河南工程學院 陳俊豪

隨著我國經(jīng)濟和網(wǎng)絡技術的發(fā)展，電子商務已成為一種新興市場，這無疑對我國中小企業(yè)的創(chuàng)立和發(fā)展具有著重大意義。但是，電子商務是一個虛擬的市場，買賣雙方以網(wǎng)絡為載體進行交流，商品和貨幣也是通過虛擬的網(wǎng)絡進行交易的。因此，在電子商務市場中信息的安全問題是重中之重，所以，本文具體分析了電子商務信息安全問題，主要論述了電子商務信息安全的內涵、信息安全的幾種權威理論及其對我國中小企業(yè)信息安全的啟示，希望對我國中小企業(yè)電子商務信息安全的發(fā)展具有一定借鑒意義。

電子商務 信息 安全 技術

隨著信息技術和網(wǎng)絡工程的發(fā)展，電子商務逐步走進了我們的視野，電子商務在企業(yè)營銷中逐步得到了普遍應用，并且企業(yè)對于電子商務的依賴性越來越大。但是，電子商務是一個虛擬的市場，其中的買方和賣方以網(wǎng)絡為載體進行交流和交易，貨幣的結算也是通過虛擬的網(wǎng)絡來完成的。因此，在電子商務市場中信息的安全問題是重中之重，所以，筆者在此具體分析電子商務信息安全問題。

1 電子商務信息安全的內涵

電子商務對于買方來講存在著快捷、簡單和物美價廉的優(yōu)點，對于賣方存在著成本低和管理方便等優(yōu)點，而電子商務最大的缺點就是買方和賣方之間不是傳統(tǒng)上的面對面的交流，直接面對貨品和貨幣的交換，而是二者都是通過虛擬的網(wǎng)絡進行交易，交易之所以能夠成立或者說成功，其本質的原因就是二者之間具有一種誠信。這種誠信應該包括兩個方面的具體內容：第一是買方和賣方進行交流時的信息真實，不存在欺騙。第二就是在買賣過程中存在著一種系統(tǒng)軟件的安全保障，能夠將虛擬的電子貨幣符號轉換成真實的貨幣，同時保護交易的安全，這種安全主要是指貨幣賬戶的安全。在這一部分，本文將具體介紹網(wǎng)絡安全中的信息安全，介紹如何在電子商務交易的過程中保護買賣雙方的信息安全，這種信息包括買賣雙方的個人基本信息、賬戶信息和交易信息等等。

討論信息安全首先應該明確信息的基本內涵。信息指的是以多種形式存在的數(shù)據(jù)、資料和知識等等，在電子商務中這些信息主要指的是關于買賣雙方的信息資料，犯罪分子可以通過非法獲得這些信息對電子商務中的雙方進行詐騙，或者對其賬戶進行盜竊和網(wǎng)絡入侵。在2003年，頒布了國際上公認的信息安全管理標準，這個標準對信息作了權威的定義，即信息是一種資產(chǎn)，它和其他資產(chǎn)一樣，對組織是有著重大意義和價值的，應該得到法律的保護。通過分析可知信息安全對于組織和個人來講至關重要。這個標準將信息進行了分類，認為信息包括八個組成部分，分別是文字資產(chǎn)、數(shù)據(jù)資產(chǎn)、文檔資產(chǎn)、軟件資產(chǎn)、物理資產(chǎn)、人力資源資產(chǎn)和服務資產(chǎn)。

前面具體介紹了信息的內涵，那么信息安全的內涵是什么呢？信息安全是一個動態(tài)過程，是一個系統(tǒng)，信息安全的維護方方面面都要考慮到，如果一個方面出現(xiàn)了紕漏，就容易造成信息的泄露，從而前功盡棄。眾所周知，電子商務是以計算機和網(wǎng)絡技術為載體，通過數(shù)據(jù)傳輸實現(xiàn)信息化的網(wǎng)絡交流，而交流的內容就是網(wǎng)上交易。因此，這種網(wǎng)上交易的安全問題就成為了信息安全領域研究的焦點。目前，對于電子商務信息系統(tǒng)安全問題的研究往往大都集中在技術層面，而對于中小企業(yè)來講，除了技術層面需要改進技術設備之外，在管理層面上也應該加以重視，盡量避免電子商務過程中信息安全問題的發(fā)生。

2 電子商務信息安全的幾種理論

對于電子商務信息安全的研究，我國在國際上處落后的位置。國際上主要流行三種信息安全理論，分別是信息循環(huán)理論、信息安全模型理論和三觀理論，具體論述如下：

第一，電子信息的循環(huán)理論。電子信息的循環(huán)理論也稱之為電子信息的PDCA理論，它將網(wǎng)絡信息安全的實施過程分為了四個主要部分：第一部分是P，指的是計劃；第二部分是D，指的是執(zhí)行；第三部分是C，指的是檢查；第四部分是A，指的是進行改進。這四個過程是一個周期和循環(huán)，在這個循環(huán)中，把整個過程作為一個安全管理體系，而不是對某一個單獨的過程進行管理。

第二，信息安全模型理論。信息安全模型理論又稱之為WPDRR理論，這五個字母分別代表著預警、保護、檢測、響應和恢復，是信息安全管理發(fā)展到一定階段的產(chǎn)物。這個安全系統(tǒng)理論的重點是主張將信息系統(tǒng)、人、操作和軟件有機地結合起來，對網(wǎng)絡的信息系統(tǒng)給予全方位的保護。這個理論提倡一種創(chuàng)新的安全理念，提出對于系統(tǒng)信息安全不能單獨依靠靜態(tài)的軟件和程序來保護，而要進行動態(tài)的保護。同時，提出網(wǎng)絡安全的保護不能夠單獨依賴于技術因素，同時也要依賴于企業(yè)的管理去不斷地更新安全理念和系統(tǒng)。

第三，三觀安全理論。三觀安全理論將企業(yè)的電子商務安全系統(tǒng)分為三個層面的內容，分別是宏觀、中觀和微觀。在宏觀層面上，企業(yè)的高層要進行決策，為系統(tǒng)安全提供有力的決策保證，同時進行適當?shù)娘L險管理。在中觀層面上，主要是企業(yè)產(chǎn)品的安全和安全地進行生產(chǎn)，保證提供的產(chǎn)品信息和產(chǎn)品的實際相一致。微觀層面指的是具體到了產(chǎn)品和服務上，為消費者提供安全的產(chǎn)品和服務。這個理論告訴人們如何從宏觀上的安全思想轉化為微觀的管理思想，從而對生產(chǎn)和服務具有一定的指導作用。

3 電子商務信息安全理論對我國中小企業(yè)加強信息安全的幾點啟示

國際上的三個信息安全理論對我國中小企業(yè)的信息安全管理具有重大的啟示作用，本文認為可以總結為兩個方面：首先是構建信息安全區(qū)域，其次是加強中小型企業(yè)信息安全組織的構建。

第一方面，構建信息安全區(qū)域。前面理論的論述對我國中小企業(yè)電子商務信息安全管理具有重大的現(xiàn)實意義，本文認為我國企業(yè)應該建立一個信息安全區(qū)域。信息安全區(qū)域這個理念是由美國的信息安全研究所提出的。信息安全區(qū)域指的是，對不同的信息都按照不同的保密級別設置不同的保密程度，并按照用戶使用級別的要求安裝網(wǎng)絡控件，來調取適合用戶級別的安全信息。對于中小企業(yè)來講，企業(yè)應該具有專門的部門對電子商務中業(yè)務往來的信息和資料進行系統(tǒng)的分類，然后進行分級的保密和加密，這些信息一般包括與電子商務相關的數(shù)據(jù)資產(chǎn)、文檔和后臺服務資料等等。通過對這些信息的整合、分類、歸檔和保密，可以促進企業(yè)信息調配的安全和快捷。本文認為構建信息安全區(qū)域具有以下幾個優(yōu)勢：

(1)可以使中小型企業(yè)內部的信息分類明晰，便于查找，為以后的企業(yè)運營和決策提供數(shù)據(jù)支持。(2)可以使具有相同安全級別的信息資源放到同一個安全區(qū)域之中，并對同等安全級別的信息進行統(tǒng)一管理。(3)可以分出不同的安全區(qū)域，對不同安全區(qū)域采取不同的安全保護措施。(4)對于不同的安全區(qū)域來講，可以根據(jù)數(shù)據(jù)的重點進行防護，使得用有限的安全資源能夠起到很好的保護作用。

第二方面，加強中小企業(yè)的信息安全管理組織的構建。對于我國的中小企業(yè)來講，仍然存在著電子商務信息不安全的現(xiàn)象，這與中小型企業(yè)內部安全管理部門工作不到位有關，安全工作缺乏統(tǒng)一的領導和管理，對于好多的小型電子商務企業(yè)來講根本就沒有專門的信息安全管理機構。本文認為，解決電子商務中的安全問題，中小企業(yè)必須有專門的機構和人員來管理和控制安全問題的產(chǎn)生。企業(yè)安全管理部門的職能應該包括以下幾個方面的內容：

(1)負責企業(yè)內部有關安全問題的決策、計劃、管理和控制。同時作為企業(yè)的一個應急機構，為了避免企業(yè)發(fā)生嚴重的信息泄露問題，信息安全部門要進行嚴格的信息管理。(2)與國家和地區(qū)各個信息安全部門和機構建立聯(lián)系，為企業(yè)的信息安全提供新的理念和技術。(3)制定企業(yè)網(wǎng)絡信息安全的各項措施與規(guī)則。(4)組織和協(xié)調各個部門的工作共同完成企業(yè)的安全戰(zhàn)略和目標。(5)執(zhí)行信息安全報告制度，定期向企業(yè)管理層報告信息安全保護管理情況，及時報告重大安全事件。積極爭取領導層對信息安全的支持。領導層對信息安全的支持是信息安全管理的重要因素。(6)與人力資源部門協(xié)助工作，定期對關鍵崗位員工進行審查，如發(fā)現(xiàn)其違反信息安全規(guī)則，則進行重新審查，并控制使用。主導信息安全責任合同以及信息保密協(xié)議的制定。定期組織員工進行信息安全保密培訓。

[1] 陳光匡,興華.信息系統(tǒng)安全風險評估研究[J].網(wǎng)絡安全技術與應用,2009,(7).

[2] 向宏,艾鵬等.電子政務系統(tǒng)安全域的劃分與等級保護[J].重慶工學院學報,2009,(2).

[3] 田麗.網(wǎng)絡環(huán)境下企業(yè)信息安全管理組織機構設計[J].東北財經(jīng)大學學報,2010,(3).

[4] 李曉勇,劉毅.關于建立信息安全等級保護標準體系的思考[J].網(wǎng)絡安全技術與應用,2009,(2).

[5] 李振汕.信息安全管理現(xiàn)狀及策略研究[J].中國西部科技,2008,(8).

F724.6

A

1005-5800(2010)11(b)-142-02