电子商务中的信息安全论文范文第1篇
【摘 要】随着我国经济建设的迅猛发展,基于网络信息时代的大背景下,电子商务交易体系的形成与发展有其相对的必然性。而电子商务安全交易是其稳定发展的重要保障,采用相关的计算机网络安全防范技术尤为重要。论文通过对现阶段我国电子商务安全交易风险产生中的问题与源头进行分析研究,提出相应的预防措施,为我国电子商务贸易体系的顺利发展提供重要参考意见。
【
【关键词】电子商务;安全交易风险;交易风险管理
【
1 引言
随着时代不断进步与科学水平发展日益提升,现今电子商务交易已经成为较为关注的热点话题,对百姓生活与经济交易起到至关重要的影响作用。由于利弊性的存在,在进行电子商务交易中导致相对风险隐患的产生,基于风险隐患的种类与程度,通过具体分析研究,结合我国目前电子商务交易体系实际情况,针对性提出优化对策与管理方法。因此,通过科学、合理地加强网络安全防范是推进我国电子商务进程的重要基础保障。
2 电子商务交易风险概述
随着世界科学技术水平的不断提升,人类对自身需求与满足感的日益完善,新经济贸易体系框架逐渐形成。“电子商务交易”正是21世纪诞生的必然产物,它将传统的线下交易形式成功转型线上,以互联网为基础平台,结合计算机技术、网络信息技术等,运用相关的贸易交易软件,实现了商务交易的人性化与智能化。但相对于“电子商务交易”也存在相对弊端与风险,由于基于互联网与计算机系统的局限化,电子商务交易中经常会受到来自诸多因素造成的交易风险,其中包括:黑客非法侵入、网络病毒感染、商业机密窃取等。这些交易风险的产生有其相对的必然性与目的性。因此,充分了解与掌握电子商务交易安全风险的种类与源头尤为重要,进而才能更为有力地对相关风险进行预防与处理。
3 电子商务交易风险的来源
首先,电子商务交易是基于网络平台。“网络”本身就存在相对的虚拟化与未知化,而电子商务交易是依靠网络平台,甲乙双方进行相关的经济交易,如:资金的转账、买卖双方交易等。其中,这种网络交易更是双方履行契约的一种体现。因此,基于我国现阶段电子商务交易实际情况与网络安全保障基础,对相关电子商务交易尚未完全实现安全化与保障化,所以存在交易风险的必然性依然存在。其次,由于目前我国互联网实际发展情况,电子商务交易在互联网中受到TCP/IP的制约,TCP/IP是一种开放协议,该协议的实质是体现互联网的包容性与开放性,经常以广播的形式进行传播,由于这种协议的性質决定了非法黑客的入侵与破坏。因此,这也无疑对电子商务交易的安全性构成较大威胁。
4 电子商务交易风险的种类
4.1 程序病毒对电子商务交易构成的威胁
程序病毒对电子商务构成安全交易风险威胁较大,电脑程序病毒是一种人为设计的程序病毒,其实质是通过文件方式、网络传输等对其计算机系统与电子商务交易数据、信息进行侵蚀。电脑程序病毒主要特征是可以通过自我复制与感染传播对电子商务交易数据信息进行修改与损毁,严重者可以造成计算机与网络系统的瘫痪,导致整个电子商务交易系统彻底报废,对商业交易、政府财政系统等重点机构影响颇大。电脑程序病毒的传播途径较为广泛,可以通过磁盘、网络、光盘、文件等方式进行侵入。程序病毒入侵规模与范围通常较大,只要存在计算机与网络的电子商务交易平台皆有可能存在程序病毒的隐患。因此,对电子商务交易安全构成最大威胁的是电脑程序病毒[1]。
4.2 黑客对电子商务交易安全构成的威胁
现阶段,由于全球经济一体化,我国经济体在国际市场发展日益成熟完善。因此,在进行电子商务交易中经常发生黑客入侵等现象。个别企业公司经常通过一些非法手段盗取商业机密,而非法黑客正是严重威胁电子商务交易安全的重要源头之一。黑客本身是针对电子商务交易中的信息资料与交易密码等方面下手,其实质是通过非法手段,采用相关的电脑程序与破译手段对其电子商务交易的数据信息与密码资料进行窃取与摧毁。通过对商业机密资料的窃取可以造成对该企业及个人的致命打击,更是电子商务交易安全主要的预防对象,目前,我国电子商务交易安全依然存在较大风险隐患,虽然针对黑客已经研发出诸多应对措施与保护软件,但效果甚微。所以,加大对黑客的治理与预防是当今电子商务交易安全的重要基础[2]。
5 电子商务交易风险的优化对策
5.1 加强网络交易安全管理
首先,相关部门机构应该加强对电子商务交易网络安全管理力度。对电子商务安全交易风险进行合理评估,对该交易中的数据信息与风险程度进行理性识别,这样才能更为有力地进行风险预防。其次,风险控制是通过采用技术与管理的方法,将其风险造成的危害降至最低点,对风险产生的后果起到积极的缓解作用。最后,风险管理是指针对具体风险的产生概率对其交易双方进行安全交易管理,管理中必须对可能产生风险的漏洞、隐患与人为因素进行优化、补充。
5.2 积极开展程序病毒防范
首先,通过网络安全制度建立、网络安全准则实施、网络安全责任落实等有效措施,结合当下时代发展与电子商务交易实际情况,切合实际地将计算机网络安全工作落实到实处,使之真正发挥安全保护的效果。其次,应该加强对电脑程序病毒的预防工作,虽然程序病毒“无孔不入、气焰嚣张”但其必有一定的薄弱性。因此,相关机构应该加大对防病毒软件的研发力度,树立“与时俱进、相对出新”的防范理念,运用先进的计算机网络安全防范技术,例如:对防火墙技术更新、系统漏洞软件加强等。其次,必须保证防病毒软件的更新速度。程序病毒日息万变,只有针对程序病毒的不断变化并将相应的防毒软件进行更新,才能更有效地起到保护电子商务安全交易的实质作用[3]。
5.3 加强防范黑客入侵工作
针对非法黑客的电子商务交易入侵,应该结合黑客的具体目的与电子商务交易平台的实际情况进行相应防范。首先,应该加强漏洞的修补技术。黑客通过网络从计算机中的系统漏洞进行渗入,漏洞的存在对电子商务安全交易造成极大的风险隐患。因此,应该选用较为新颖的防漏洞修补软件,而相关软件研发商应该加快对其软件的更新速度,从质量上充分保证对漏洞进行全面修补。现阶段,较为优秀的软件如:360安全卫士、金山毒库、QQ电脑管家等。另外,应该加强防火墙设置级别。防火墙对电子商务安全交易起到至关重要的作用,黑客只有突破这道保护防线才有可能进入电子商务交易系统内部。因此,通过加大对防火墙设置级别的复杂性与程序软件的更新速度,将黑客第一时间阻止在防线之外,对电子商务安全交易与风险预防起到至关重要的保障作用[4]。
6 结论
综上所述,影响电子商务安全交易因素诸多,应该从电子商务交易发展方向与实际情况着手,对其具体原因实施相应措施。建立完善相应的交易风险预防与管理体系,并运用科学、合理的网络安全预防技术,对防毒软件、防火墙、漏洞补丁等进行及时更新,切合实际地将电子商务安全交易工作落实到实处,为日后我国的经济建设奠定坚实的保障基础。
【参考文献】
【1】彭勁杰.基于电子商务的安全交易风险与对策的研究[J].信息安全与技术,2017,12(11):00014-00015.
【2】朱闻亚.中小企业电子商务的安全风险应对策略研究[J].中国商论,2018,25(9):105-106.
【3】谢印成.基于虚拟主机模式下中小企业电子商务平台建设策略研究[J].中国管理信息化,2018,13(10):105-109.
【4】 李莉,杨文胜,蔡淑琴,等.基于电子市场中介的交易风险控制[J].管理科学学报,2005,8(3):87-90.
电子商务中的信息安全论文范文第2篇
[摘要]根据电力企业面临的安全风险和问题,提出信息安全工作开展的一般原则,从信息安全技术上和安全管理上提出解决安全问题的思路和方法,最后阐述信息安全问题随技术和应用的发展而发展,应在发展中求安全的观点。
[关键词]信息安全 管理 对策
信息安全随着信息技术的发展而产生,并且其重要性日益凸现出来,信息安全的内涵也随着计算机技术的发展而不断变化,进入二十一世纪以来,信息安全的重点放在了保护信息,确保信息在存储,处理,传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。即强调信息的保密性、完整性、可用性、可控性。
一、电力企业信息安全风险分析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:(1)计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的;(2)网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等;(3)信息传递的安全不容忽视:随着办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。同时电力公司和外部的政府,研究院所,以及国外有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环;(4)用户身份认证和信息系统的访问控制急需加强:企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了;(5)实时控制系统和数据网络的安全至关重要:电网的调度指挥,自动控制,微机保护等领域的计算机应用在电力企业中起步早,应用水平高,不但实现了对电网运行状况的实时监视,还实现了对电网一次设备的遥控,遥调以及保护设备的远方管理。随着数据网的建设和应用,这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备,系统的安全可靠,数据网的安全可靠,信息指令传输的实时性等直接关系着电网的安全,其安全等级要求高于一般的广域网系统。随着电子商务在电力企业中的应用逐步推广和深入,如何保障电子交易的安全,可靠,即电子商务安全问题也会越来越突出。
二、解决信息安全问题的基本原则
(一)采用信息安全新技术,建立信息安全防护体系。企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施
(二)计算机防病毒系统。计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电网公司这样的大型企业的首选。个人版本的杀毒软件适合家庭,小规模用户。
(三)网络安全防护系统。信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。 对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
三、解决信息安全问题的对策
(一)依据国家法律,法规,建立企业信息安全管理制度。国家在信息安全方面发布了一系列的法律法规和技术标准,对信息网络安全进行了明确的规定,并有专门的部门负责信息安全的管理和执法。企业首先必须遵守国家发布的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,指导信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平。信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。
(二)开展全员信息安全教育和培训活动。安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
(三)充分利用企业网络条件,提供全面,及时和快捷的信息安全服务。我省电力公司广域网联通了系统内的各个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息发布与技术支持平台,发布安全公告,安全法规和技术标准,提供安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。
电子商务中的信息安全论文范文第3篇
一、建立电子档案信息安全评价指标体系的必要性
信息技术在档案管理中的广泛应用,一方面提高了档案工作的效率,扩大了档案的社会影响力;另一方面也对档案工作提出了新的要求,例如存储介质的不稳定、技术过时、黑客入侵、电脑病毒破坏等都使得电子档案信息的安全保护面临着前所未有的挑战。
在2002年国家档案局颁发的《全国档案信息化建设实施纲要》和近期各省市的“十一五档案信息化建设纲要”中都提出了“档案信息安全保障体系建设”,但仍缺乏深入、系统的探讨。电子档案信息的安全管理是一个过程,而不是一个产品,我们不能期望通过一个安全产品就能把所有的安全问题都解决。对各档案管理系统来说,解决电子档案信息安全的首要问题就是要识别自身信息系统所面临的风险,包括这些风险可能带来的安全威胁与影响的程度,然后进行最充分的分析与评价。只有采用科学有效的模型和方法进行全面的安全评价,才能真正掌握内部信息系统的整体安全状况,分析各种存在的威胁,以便针对高风险的威胁采取有效的安全措施,提高整体安全水平,逐步建成坚固的电子档案信息安全管理体系。
二、电子档案信息安全评价指标体系的组成
电子档案信息系统是一个复杂的系统工程,既有硬件,又有软件,既有外部影响,又有内部因素,而且许多方面是相互制约的。因此,必须有一个规范的、统一的、客观的标准。根据国内外的电子档案信息安全评估标准,国家对电子档案信息和网络信息系统安全性的基本要求,结合电子档案管理和网络管理经验,综合考虑影响电子档案信息安全的各种因素,建立电子档案信息安全评价指标体系。该体系主要包括五个大项二十个小项的评价指标。
1、物理安全评价指标
物理安全是指存储档案信息的库房、计算机设备及管理人员工作场所内外的环境条件必须满足档案信息安全、计算机设备和管理人员的要求。对于各种灾害、故障要采取充分的预防措施,万一发生灾害或故障,应能采取应急措施,将损失降到最低。物理安全包括环境安全、设备安全和载体安全三个方面。
(1)环境安全:主要指存储档案信息的库房、计算机机房周围环境是否符合管理要求和是否具备抵抗自然灾害的能力,如库房是否建在电力、水源充足,自然环境清洁,通讯、交通运输方便的地方;有无防火、防水措施;有无监控系统;有无防雷措施等。
(2)设备安全:主要是指对电子档案信息系统设备的安全保护,包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
(3)载体安全:保证设备安全的同时,也要保证载体安全,要对载体采取物理上的防盗、防毁、防霉等措施。
2、管理安全评价指标
安全管理在电子档案信息安全保障中起着规范和制约的作用,科学的管理理念加上严格的管理制度才能最终保证电子档案信息的安全。电子档案信息的管理安全评价指标具体包括:
(1)专门的档案信息安全组织机构和专职的档案信息安全管理人员:档案信息安全组织机构的成立与档案信息安全管理人员的任命必须有相关单位的正式文件。
(2)规章制度:包括有无健全的电子档案信息安全管理规章制度;档案信息安全人员的配备、调离是否有严格的管理制度;设备与数据管理制度是否完备;是否有登记建档制度;是否有完整的电子档案信息安全培训计划和培训制度;各类人员的安全职责是否明确,能否保障电子档案信息的安全管理。
(3)是否有紧急事故处理预案:为减少电子档案信息系统故障的影响,尽快恢复系统,应制定故障的应急措施和恢复规程以及自然灾害发生时的应急预案,制成手册,以备及时恢复系统运行。
3、网络安全评价指标
越来越多的电子档案在网络上传输,而网络作为一种构建在开放性技术协议基础上的信息流通渠道,它的防卫能力和抗攻击能力较弱,可能会遭受到病毒、黑客的袭击。为了保证电子档案的安全必须保证其传输的媒介——网络的安全,网络安全评价指标包括以下几个方面:
(1)是否有计算机病毒防范措施
(2)是否有防黑客入侵设施:主要是设置防火墙和入侵检测等设施。
(3)是否有访问控制措施:访问控制是指控制访问网络信息系统的用户,当用户之间建立链接时,为了防止非法链接或被欺骗,就可实施身份确认,以确保只有合法身份的用户才能与之建立链接。
(4)是否有审计与监控:审计与监控是指应使用网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
4、信息安全评价指标
在网络能够正常运行的基础上,我们要保证在系统中传输、存贮的电子档案信息是安全的,不被截取、篡改或盗用。
(1)是否采取加密措施:档案的本质属性是原始记录性,而计算机和网络的不稳定性使得电子档案信息的这一特性难以保证,而且有些电子档案信息有密级限制,不能公开在网络上传输,所以电子档案信息在网络传输时必须通过加密来保证其安全。
(2)是否有数据完整性鉴别技术:网络上的传输使得电子档案信息的完整性无法保证,黑客的攻击可以改变信息包内部的内容,所以应采取有效的措施来进行完整性控制,这对于电子档案信息来说至关重要。
(3)是否确保信息数据库的安全:一个组织最核心的信息通常以数据库的形式保存和使用,保证数据库安全对于电子档案信息来说有重要的作用。
(4)是否有信息防泄漏措施:信息防泄漏包括信息审计系统和密级控制两方面。信息审计系统能实时对进出内部网络的信息进行内容审计,以防止或追查可能的泄密行为;另外,可以根据信息保密级别的高低划分公开范围,并对用户划分访问权限,进行分组管理。
(5)是否有防抵赖技术:防抵赖技术确保用户不能否认自己所做的行为,同时提供公证的手段来解决可能出现的争议,它包括对数据源和目的地双方的证明,常用方法是数字签名。
5、系统安全评价指标
这里的系统安全是指计算机整个运行体系的安全。在计算机上处理信息时,硬件、软件出现故障或误操作、突然断电等都会使正在处理的信息丢失,造成无法弥补的损失。所以我们需要采取一系列措施保证系统的稳定,确保信息的安全。计算机系统安全评价指标有:
(1)是否有系统操作日志:系统操作日志详细记录了系统的操作状况,以便事后分析和追查系统损坏的原因,为系统提供进一步的安全保障。
(2)是否进行系统安全检测:运用系统安全检测工具对计算机和网络进行安全检测,可及时发现系统中存在的漏洞或恶意的攻击,进而采取有效的补救措施和安全策略,达到增强网络安全性的目的。
(3)是否有操作系统防破坏措施:操作系统集中管理系统的资源,是计算机系统赖以正常运转的中枢,它的安全性将直接影响到整个计算机系统的安全。操作系统应当建立某些相对的鉴别标准,保护操作系统本身在内的各个用户,阻止有害功能的运行。
(4)是否进行系统信息备份:日常备份制度是系统备份方案的具体实施细则,应严格按照制度进行日常备份,否则将无法达到备份方案的目标。
(5)是否有灾难恢复系统:当系统因人为或自然因素受到破坏时,我们应保证能够尽快地恢复正常工作,把损失控制在最小范围内。
三、电子档案信息安全评价指标体系权重确定方法
用若干个指标进行综合评价时,其对评价对象的作用,从评价目的来看,并不是同等重要的。指标越重要,权的数值就越大;反之,数值小则可以说明其重要程度相对较低。
合理地确定和适当地调整指标权重,体现了系统评价指标中各因素之间的轻重有度、主次有别,更能增加评价因素的可比性。在安全评价中,具体确定权重的方法很多,如德尔菲法、主成分分析法、层次分析法、环比法等。其中,层次分析法比较适用于电子档案信息安全的评价。
层次分析法的核心是对决策对象进行评价和选择,并对它们进行优劣排序,从而为决策者提供定量形式的决策依据。它充分利用人的分析、判断和综合能力,适用于结构较为复杂、决策准则较多且不易量化的决策问题。它将定性分析和定量分析相结合,具有高度的简明性、有效性、可靠性和广泛的适用性。而电子档案信息安全指标体系因素多、主观性强且决策结果难以直接准确计量,因而可以用层次分析法来确定指标体系的权重。层次分析法的基本步骤是:
1、将复杂问题概念化,找出研究对象所涉及的主要因素;2、分析各因素的关联、隶属关系,构建有序的阶梯层次结构模型;3、对同一层次的各因素根据上一层次中某一准则的相对重要性进行两两比较,建立判断矩阵;4、由判断矩阵计算被比较因素对上一层准则的相对权重,并进行一致性检验;5、计算各层次相对于系统总目标的合成权重,进行层次总排序。
四、电子档案信息安全评价指标体系综合评价方法
综合评价是指对被评价对象进行客观、公正、合理的全局性、整体性评价。可以用作综合评价的数学方法很多,但是每种方法考虑问题的侧重点各有不同。鉴于所选择的方法不同,有可能导致评价结果的不同,因而在进行多目标综合评价时,应具体问题具体分析。根据被评价对象本身的特性,在遵循客观性、可操作性和有效性原则的基础上选择合适的评价方法。在信息安全领域,目前存在的综合评价方法有信息系统安全风险的属性评估方法、模糊综合评价方法、基于灰色理论的评价方法、基于粗糙集理论的评价方法等。对于这些方法,目前还没有评论认为哪一种方法更适用于信息安全领域的综合评价。鉴于此种情况,本指标体系采用模糊综合评价方法。
模糊综合评价就是以模糊数学为基础,应用模糊关系合成的原理,将一些边界不清、不易定量的因素定量化,进行综合评价的一种方法。从评价对象来看,用模糊综合评价方法来评价信息安全系统是可行的。首先,对于信息的安全管理而言,“安全”与“危险”之间没有明显的分界线,即安全与危险之间存在着一种中间过渡的状态,这种中间状态具有亦此亦彼的性质,也就是通常所说的模糊性。因此在安全的刻画与描述上大多采用自然语言来表达,而自然语言最大的特点是它的模糊性。另外,电子档案信息安全评价中,对一些评价要素的评价是具有模糊性的。如组织管理中的评价很难量化,一般只能用“好”、“一般”、“差”等等级概念来描述,具有较强的模糊性。而且一些评价要素受外界环境的影响较大,具有不确定性,如网络攻击、安全设施失效、人为失误等偶然性较大,难以准确评价。对于这些模糊的、不确定性的问题通常采用模糊数学来研究。模糊综合评价方法就是在对多种因素影响的事物或现象进行总的评价过程中涉及到模糊因素或模糊概念的一种评估方式,它通过运用模糊集合中隶属度和隶属度函数的理论来刻画这种模糊性,以达到定量精确的目的。
总之,模糊综合评价方法是一种适用于在信息安全管理方面进行系统评价的可行方法,其基本步骤为⑦:
1、确定评价集。评价集是以评判者对被评价对象可能做出的各种总的评判结果为元素组成的集合,例如我们可以对电子档案信息安全评价采用五个等级的评语集合(很好,好,较好,一般,差)。
2、建立因素集。因素集是以影响评判对象的各种因素为元素组成的集合,在本文的电子档案信息安全评价体系中,主因素层的因素集有物理安全、管理安全、网络安全、信息安全和系统安全五个指标,其下层又有各自的影响因素集,由各自的具体影响指标组成。
3、建立权重集。由于各评价要素在评价中的重要程度不同,因而必须对各要素按其重要程度给出不同的权重,权重集通过层次分析法确定。
4、进行单因素评价,建立单因素模糊评价矩阵。即确定评价因素集中每一个因素指标在评语集中的隶属度。
5、模糊矩阵的复合运算。当评价集、因素集、权重集和单因素评价矩阵确定后,便可按照一定的模糊运算规则进行模糊综合评价,以求得各层次中各因素的评价结果和最终的综合评价结果。
电子商务中的信息安全论文范文第4篇
【摘 要】近年来,电子商务的安全问题阻碍了其快速发展的主要原因之一。可以預见,要迈入真正意义的电子商务时代,安全问题必须解决。电子商务安全安全及其评估在信息安全体系建设中占有重要的地位,是了解系统安全现状、提出安全解决方案、加强信息安全监督管理的有效手段。电子商务安全是动态的过程,并非一劳永逸,随着系统安全状态的动态变化,应定期对系统进行安全评估,不断开发新的安全产品,健全安全法律法规,电子商务安全是立体而非平面的,需要有整体的、多层次的安全策略,要考虑实体安全、网络安全以及信息安全和管理安全。
【关键词】电子商务安全;评估;标准
1.电子商务安全
1.1 电子商务安全需求
在电子商务中,任何与交易有关的信息都通过网络交换,都有可能会被篡改、窃听、冒名使用或交易后否认。保证电子商务的安全需提供以下安全保护:
(1)完整性保护。确保消息内容在传输和处理过程中没有被添加、删除或修改。
(2)真实性保护。能对交易者身份进行鉴别,为身份的真实性提供保证。
(3)机密性保护。能防止电子商务参与者的信息在存储、处理、传输过程中泄漏给未经授权的人或实体。
(4)抗抵赖。抗抵赖就是为交易的双方提供证据,以解决因否认而产生的纠纷。它实际上建立了交易双方的责任机制。
1.2 电子商务安全隐患
电子商务不但面临着其系统自身的安全性问题,计算机及通信网络的安全性问题同样会蔓延到电子商务中。
归结起来,电子商务中的安全性隐患主要有其应用层、传输层、存储层和系统层等四个方面:
(1)系统层安全性漏洞。电子商务系统的运作须以系统层的软硬件为基础,因此系统层所的安全性漏洞将直接会造成电子商务中的安全性隐患。
(2)存储层的安全漏洞。存储层的安全漏洞包括两个方面的问题:①意外情况造成的数据破坏。无论多么稳定的系统,意外情况总是不可避免的,电子商务系统也不例外。如果对意外情况造成的损失没有充分的估计和完备的补救措施,那么意外情祝造成的数据破坏是不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。②有意人为侵害造成的破坏。电子商务起步不久,安全性措施尚不完善,是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞,窃取和破坏系统数据,甚至修改系统,对整个系统的正常运作造成严重危害。因此,一个成功的电子商务系统必须能有效的防止人为侵害。
(3)传输层的安全漏洞。传输层的安全漏洞包括传输过程中的数据截获电子商务系统中的数据在传输过程中可能受到截获,传输过程中的数据完整性破坏,以及跨平台数据交换引起的数据丢失等三个方面的问题。
(4)应用层的安全漏洞。应用层的安全漏洞包括冒充他人身份和抵赖已经做过的交易两个方面的问题。
1.3 电子商务安全要求
(1)信息的有效性要求。电子形式贸易信息的有效性则是电子商务活动的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后,这项交易就应受到保护以防止被篡改或伪造。
(2)信息的保密性要求。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在开放的网络环境上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
(3)信息的完整性要求。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺一诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
(4)信息的不可抵赖性要求。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题则是保证电子商务顺利进行的关键。
(5)交易身份的真实性要求。交易者身份的真实性是指交易双方确实是存在的。网上交易的双方要使交易成功,必须互相信任,确认对方真实,对商家要考虑客户是否有信誉。
(6)系统的可靠性要求。电子商务系统的可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、数据库出错、计算机病毒和自然灾害所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。保证计算机系统的安全是保证电子商务系统数据传输及电子商务完整性检查的正确和可靠的根基。
1.4 电子商务安全技术
通过使用各种密码技术,可以满足不同的安全需求。
(1)完整性保护技术。完整性保护技术是用于提供消息认证的安全机制。典型的完整性保护技术是消息认证码是将利用一个带密钥的杂凑函数对消息进行计算,产生消息认证码,并将它附着在消息之后一起传给接收方,接收方在收到消息后可以重新计算消息认证码,并将其与接收到的消息认证码进行比较:如果它们相等,接收方就认为消息没有被篡改;如果它们不相等,接收方就知道消息在传输过程中被篡改了。
(2)真实性保护技术。真实性保护技术用来确认某一实体所声称的身份,以对抗假冒攻击。在电子商务中,交易信息通过网络转发,可能在传输过程有一定的延迟,需要通过数据源鉴别来确认交易信息的真正来源。
(3)机密性保护技术。机密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。
(4)抗抵赖技术。抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为。要解决上述问题,必须在每一事件发生时,留下关于该事件的不可否认证据。当出现纠纷时,可由可信第三方验证这些留下的证据.这些证据必须具有不可伪造或防篡改的特点。
2.电子商务安全评估的標准
标准是技术性法规,作为一种依据和尺度。没有标准,国家有关的立法、执法就会因缺乏相应的技术尺度而失之偏颇,最终会给国家信息安全的管理带来严重后果,建立评估标准的目的是建立一个世界各国都能接受的通用的信息安全产品和系统的安全性评价准则,国家与国家之间可以通过签订互认协议,决定相互接受的认可级别,这样就能使大部分的基础性安全机制在任何一个地方通过评估准则评价并得到许可进入国际市场时,不需要再作评价,使用国只需要测试与国家主权和安全相关的安全功能即可,从而可以大幅度节省评价支出并迅速推向市场。但是,由于信息安全产品和系统的安全性评价事关国家主权和安全利益,所以没有一个国家会把事关国家安全利益的信息安全产品和系统的安全可信性建立在别人的评价基础上,而是在充分借鉴国际标准的前提下,制定自己的测评认证标准。在计算机信息技术安全标准发展的历史上,美国、加拿大、欧盟以及中国开发出了多种计算机系统及产品安全评估准则与标准。
3.电子商务安全的国际评估标准
3.1 TCSEC--美国计算机安全标准
TCSEC--可信计算机系统评估准则。1985年,美国发布了第一个计算机安全标准,即现在经常谈论的可信计算机系统评估准则(TCSEC),由于采用了橘色书皮,也称“橘皮书”。
TCSEC中定义的准则主要涉及商用可信自动数据处理系统。准则中描绘了不同安全等级的最低要求特点和可信措施。其目的之一是为生产厂家提供一种安全标准,二是为国防部评估信息产品可信度提供一种安全量度,三是为了产品规格中规定的安全要求提供基准。可信计算机系统评估准则的安全等级分为A、B、C、D四级。其中A为最高级,D为最低级。每级的具体划分确定按安全策略、可计算性、可信赖性和文件编制四个方面进行。
3.2 ITSEC--欧洲信息技术安全评估准则
欧洲信息技术安全评估准则(ITSEC)将安全功能和功能评估的概念区分开来。每个产品最少给出两个基本参数,其中一个是安全功能,另一个是实现的准确性。功能性准则的度量范围为F1一F10共十级,其中Fl对应了TCSEC的c1级,……,F5对应于B3级。F6~F10的功能和规格添加了下述一些概念:F6添加了数据和程序的完整性概念;F7添加了系统可用性概念;F8添加了数据通信完整性概念;F9添加了通信机密性概念;F10添加了网络安全,包括机密性和完整性概念。
电子商务中的信息安全论文范文第5篇
摘要:本文结合中国电子科技网络信息安全有限公司的具体实践,就项目预算管理之于军民融合型企业的重要意义进行探讨,阐释了项目预算管理的实施原则,并进一步提出了项目预算管理实施的方案,助力军民融合型企业成功转型发展。
关键词:项目预算 军民融合型企业 运用
一、军民融合转型的重要意义
中国电子科技网络信息安全有限公司(以下简称中国网安)是中央直接管理的十大军工集团之一、世界500强企业。中国网安构建了包括元件、产品、系统、服务的完整产业链,面向国家重要领域、行业、公众市场,提供信息(物理)安全产品、安全信息系统、行业安全解决方案及信息系统与大数据安全运维及服务,包含多类经营实体和多种业态,既有大众化产品,也保留了较浓厚的军工科研院所项目制经营的特点:一是各类项目多,周期长,既有顶层规划、探索性质的前沿研究,也有着力应用实践的研发试制;二是主营业务特殊,传统惯性思维突出,总资产周转率偏低。在项目立项时,大部分主要业务来源明确,需方比较重视研发环节的计划顺利执行,无论从源头还是在过程中对成本管理着力不多,与同类民营企业在成本管理中没有较强的竞争力。
“筚路蓝缕,以启山林”,在军民融合规模化发展的外部环境下,中国网安既需要积极探究科技供给侧改革,提高科研攻坚能力,充分发挥科技作为第一生产力的牵引作用,又需要充分运用产、学、研的产业链优势;从前期以完成市场任务为目标导向,向与市场接轨,激发经营生产的活力,促进技术创新,推动产品升级和适应性发展;从事业单位财务管理与现代经营管理体制结合,建立现代化企业体制同时,又要兼顾军工行业的特点,既要避免企业片面追求利润而忽略国家科技创新的重要职责,又要优化资源配置,加快军品技术民用化和产品线平台的普遍化,深层次推动技术进步和内在效率提高,推动国民经济的发展。
二、管理会计的创新:项目预算的行为创造和资源配置结合
管理会计的重要责任是支撑企业经营决策,调整资源配置,有针对性地导向企业行为,化解文化和管理的冲突,平衡风险和收益的长短,让组织健康地驶向其想要到达的目的地。
结合实际,对传统的项目预算管理进行创新是快捷和有效的办法。项目管理是中国网安当前的经营枢纽,以项目为脉络,项目预算包含预算的基本要素,也因为和业务关联的紧密性,体现了“计划—业务—财务—人员”四重因素,是全面预算工作的一个重要环节,是一个成本管理突破口,同时也是优化流程的重要抓手,还是进行项目评价、市场选择的重要手段。同时,以项目预算管理为载体,以实现行为创造和资源配置为目标进行创新,从昔日指尖上的会计,发展为人文和管理并重的视野,形成集权与分权、利益与义务、风险与激励的管控格局,升华了传统财务管理的领导力、影响力、沟通力和洞察力。
项目预算的创新,应紧扣“管理会计”四个字。“管”在于追求事务背后的核心是落地规划,因势利导的推进“科研+产业”的目标,从导向上挖掘军工科研院所的科技力量,实现资源整合,建立成果转化灵活机制,促使产业化发展;统筹兼顾的支撑“技术+平台”的模式,前瞻布局国家大型军民融合项目,以典型示范应用为技术建立平台,丰富和发展配套产品和增值服务。“理”在于两个方面,一是梳理流程,打通脉络,对利润表、资产负债表进行梳理,形成诊断分析工具,从上到下都有一个基准来衡量工作,提高业务表现;二是工作内容有道理,做的事情有价值,让人可以理解,值得信任。“会”即在于有传统的快速反应,又突出了跨域的思想,找到一种桥梁实现业、财融合。而“计”则强调了洞察,从信息化工具收集的海量数据中,计量、统计最有效的数据,真实反映现状,为后续经营提质增效把脉。
三、项目预算管理实施原则
项目预算是描述行为的载体,构建“行为—价值”的支持机制,为目标群提供管理平台。项目预算的起点是紧扣规划,要摆脱一单一单的打猎模式,必然需要“经武之略,贵在于谋”,定位目标市场,找到适应市场的竞争力,设立组织目标,制定以价值为核心的预算管理。前面已经谈到,预算管理是先算赢的一种策略,预算如何做,做不做与项目的立项,与规划的牵引是息息相关的,因此需要考虑企业的经济环境、产业情况、竞争力优势、现在的内在条件等,项目预算是个跨域纽带。
在不断摸索中,企业是源自军工科研单位,已经有较成熟的项目管理体系,有了一套“为何做,做什么,怎么做”的脉络。他本身是符合特定历史时期的科学发展规律的,而当前项目管理的精益化和管理技术的结合如何催生新兴的生产力,形成卓越的经营体系,提高管理效率。项目预算的要点,或者突破口在“分类管理”。对不同类型的项目分别设计管理思路,不局限项目产出的经济效益大小,有的项目对经营来说是一个抬钢琴的,提供足额的资金、资源,满足项目研发的必要需求;有的项目指明研究方向,形成共性的技术基础,奠定前进的基石;有的项目是明日之星,可能会脱离单一来源的计划型项目藩篱,成为一种对大众适用的产品。很自然的,项目不同领域也决定了处理这些项目的预算主体会有不同的定位,是单纯成本中心还是利润中心还是兼容型的独立实体。
在对项目分类管理后,必然会涉及如何实施的机制和流程,这些是项目预算做好的重点。再好的目标,美妙的规划,都需要搭建合适的组织结构,选择恰当的团队,按照适当的标准和流程,确保路径可实施,这是一个不断明确项目价值链的过程。这其中,可能有多种方式,比较快捷的是组织结构调整,形成制度流程,让专业的人做专业的事情。其次是梳理成本动因,理清增值环节。项目预算在设计成型过程中以业务量为基础形成的成本要素,不断贴近业务本身,然后以数字转化工作量和投入的语言,简单明了。同时平衡部门诉求和目标结合,引导他们降本增效,可以引用投资项目为案例,将各项科研生产活动转化为投入数据并按照上文形成的数据语言编汇,一方面自上而下,下达控制总额,对部门当期投入进行限定。另一方面自下而上,预算主体部门和预算管理部门共同协力结合项目情况制定技术方案实施措施,有针对性地开展工作。在这个过程中反复酝酿形成的有效沟通是达到管理效力的基本保障。预算管理说到底是通过一系列的行为实现的,这需要企业的管理者与一线负责人在对目标的认识上达成共识。这部分内容也会成为项目管理体系的重要环节,与质量、进度、技术指标等一同考虑。
如何运用和面向考核常常是项目预算的难点。在明确了价值链及成本动因后,就给企业成本管理树立了费用制衡的标杆,平衡项目的资源,获得了管控手段,从内部角度入手,相同产品线不同项目的预算执行之间可以分析对比相关数据,对个别现象及时纠正,对突出问题借鉴先进管理经验,与自身经营特点结合进行管理提升;不同部门的相似项目预算执行对比,发现经营单位之间的差异,修正管理观,推进经营单位的业绩提升;从企业自身发展入手,项目成本形态层层汇总与经营目标进行差异分析,可以统一性布局增值作业的成本投入,降低无效作业比例,控制资源浪费,优化企业成本结构,确保企业整体实力得到提高。同时,细致的预算执行与外部竞争企业的成本形态对比分析,会促进企业更加注重外部价值链,明确与自身行业相关的其他企业关系,前瞻对自身会产生巨大影响的环节,设计重点成本的管控措施,推动供应链管理、客户管理。从实践看,面向考核的要点可以归纳为:应建立在共同的目标基础上;目标和考核策略要切实可行;只有分解到一定颗粒度才具有可操作性;激励机制除了有章可循,也要有实务可循,规避短期行为。
四、项目预算管理实施方案
按照上述的实施原则,中国网安根据自身情况,通过核心步骤分步实施项目预算管理。
(一)拟定经营目标
中国网安的战略目标是国家信息安全旗舰企业。在既定的战略目标下,各实体有效地将单个的经营目标跟企业目标有机结合在一起。中国网安秉承军工科研事业单位的内涵,始终坚持一个目标和统一方向的原则,较容易化解衔接过程中的矛盾和冲突,企业更多聚焦在重点关注未来3-5年的业务方向(行业受国家政策影响较大,周期不能太短)和业务目标是什么,业务方向和业务目标对企业战略的支撑作用是什么;产品线、业务线怎样实现既定目标,确立经营衡量指标。
(二)组织架构调整
打破原有的组织架构,根据项目分类布置实现路径,形成相似但是不一样的制度流程。(见下表)
针对这样的布局,组织架构进行了调整,横向看流程,各类项目由不同的市场口输入,方便前端管理,有意识地分配了资源倾向,同时按照一体化原则由统一的项目管理部门接单,分配任务,寻找合适的团队,这里的一体化不仅是某个部门,而是扩展到企业全级次。如任务类主要由企业内部所有实体中以科研中心定位的部门承担,产品类主要由定位研发中心的部门承担,这里需要多些笔墨描述的是这里的自筹项目,是衔接原计划形式的科研任务到产业化转化的关键节拍器,是军民融合的重要钥匙。一般而言,军工科研更多趋向前沿技术,成果仅是科研的冰山一角,他的体系是比较固定的,在这种体系下产生的项目,通过适应性改造可能与民用的体验仍有较大差异,难以满足需求。那么这时候就需要自筹项目这样的桥梁,由项目管理部门集合各入口需求,根据当期经营情况,在查摆需求后,建立自筹项目包似的货架平台,由科研中心、研发中心选择性承接。
纵坐标看是理清职能线,分别体现为7个方面:①部门职能,解决谁干的问题;②每个阶段的主要活动,解决干什么的问题;③规范和流程,解决怎么干的问题;④接口和产出物,各部门因管理需要以及各阶段之间因管理需要沟通与交流的信息,同时也为绩效考核提供基础数据;⑤目标,各个环节的阶段目标;⑥考核,指为了实现管理目标所建立的绩效激励考核指标,对业务绩效考核和管理过程起监督作用;⑦关键点,反映每个阶段为实现管理目标、开展业务活动、实现绩效考核激励机制尚且存在的关键环节。
(三)建立跨职能团队,完善议事议程
平衡业绩指标和资源投入,以及实现项目预算的可操作需要各方面人员的投入,跨职能部门的“工作小组”作为项目预算的基本活动单位,可以深入业务层面从控制型转为参与型。在获得充足授权,通过对等的信息传递协调企业内各部门、各产品线、各项目组之间的活动,实现了动态管理,不仅使市场和周围的信息同决策中心间的反馈更加迅速,提高了企业对市场的快速反应能力,而且调动了组织成员的潜能和积极性,促进了相互间知识和经验的交流,形成跨职能的战术团队。团队的权责利应该相符,同样应进入项目绩效评价;在团队工作制度中完善议事议程,所有会议都要求议题、结果、跟踪和落实,通过有效的会议管理,促进预算目标及时落地。
(四)形成可操作的预算编制方案
项目预算的编制方案与其他预算方案并无本质区别,因为与业务衔接紧密,应体现目标、业务、财务和人力相关要素。首先军工项目周期较长,不同年度有不同的执行目标,为了与年度考核和评价衔接,项目预算应分年度编制;其次项目受质量管理体系要求,有一系列的程序化实现过程,按照执行过程分别计量投入可以直观的表现业务与财务的情况,再者预算受经费管理要求,各项定额标准应符合法规要求。同时,项目预算编制方案要考虑业务人员可操作,设计的方式要有利于编制人员分析和填报,对重要的科目如设计阶段的材料和方案要重点分解,对项目组不可控的成本项如全成本核算下的管理费等按照企业预测的期间费用率简单处理,整个方案详略得当。
除上述普遍情况,军工企业项目预算编制方案的人力投入较难测算,但为保证后续评价落地,必须考虑人力情况,关联相关人员,形成投入产出的完整分析,抽丝剥茧地找到浪费、无效根源。在人力分解时,可结合人力资源岗位设置,将项目成员分解为1类、2类、3类等成员,不同类成员按照项目进度倒推测算工作的标准作业月,企业每年发布各类人员参考月工资,通过该办法形成人力投入。
(五)逐步实现信息化管理手段,健全预警机制
过去在手工模式下,项目预算在项目量大的情况下受效率影响严重。在项目数量多且来源复杂的情况下,引入信息化可以有效提高管理手段,形成预警机制,及时纠偏,实现有效预算管理。为了业务与财务更好融合,跨职能团队的其中一项工作是把枯燥的报告和数据转化为经营单位理解,高层明了的语言,借鉴汽车驾驶,项目预算在汇总合并后可以实现经营驾驶舱,将经营单位现在的盈利、运营、发展、人力资源等行驶要素在与企业提前预设的指标对比后可视化的展现出来。行驶要素可以是数据比例,例如直接材料费用率、人力资本效率、经营单位现金比率等,也可以是计划的百分比视图。
(六)建立科学化的项目绩效评价
不以项目花多少成本费用或是预算执行的精确度为唯一的考核标准,坚持投入产出的方式进行评价,以绩效评估矩阵图进行评价设计,横轴代表工作业绩(产出),产出能量化的,必须量化如经济效益,产出不能量化的如社会效益、潜在效益等应有支撑材料和获奖证书;纵轴代表能力和态度(投入),能力和态度包括了预算执行的过程分析、团队评价等。考核评价由内部专门机构执行,奖励惩罚措施分明,并对项目可预见的收益制订激励计划,纳入薪酬管理体系。同时,为了鼓励对于自筹类项目的有效实施,采用期权激烈形式,在自筹项目发挥功效,实现对外销售或应用的当年,按照比例计提原创收益。
“其作始也简,其将毕也巨”。项目预算的推动并非一帆风顺,在过程中还有不接地气的地方,实际影响力还需要提高。这条逐步完善的道路中,项目预算为财务人成为业务的价值合作伙伴提供了平台,作为一个支点,促使管理会计在担当的角色上有不竭动力,形成境界、情怀和信念,迸发持久的动力,丰富管理会计对军民融合型企业的内涵。
(作者单位:中国电子科技网络信息安全有限公司)
电子商务中的信息安全论文范文第6篇
摘 要:政府机关网络信息安全是国家网络信息安全的重要组成部分。然而,相对于电信、金融、军事等机构经过十几年发展起来的高标准管理,政府机关的网络信息管理却具有很多先天的不足。随着政府电子政务战略的实施和推广,越来越多的政府机关工作流程和政务信息实现了电子化、网络化,越来越多的信息披露和与公民的互动依赖网络,网络信息安全出现问题后的影响会越来越大,如何加强政府机关网络信息安全管理工作已经成为各级政府越来越需要重视的课题。该文简要分析了政府机关网络信息安全存在的典型问题,并系统性地阐述了防范这些问题的一些关键策略。
关键词:政府机关 网络 信息安全 防范策略
1 政府机关网络信息安全存在的问题
虽然各级政府机关对网络信息安全问题已经有了不同程度的认识,但由于对网络信息安全的管理水平参差不齐,仍然存在非常严重的问题,主要体现在以下几个方面。
1.1 制度层面的问题
我国的网络信息安全立法尚处在起步阶段,主要的法规包括《计算机信息系统安全保护条例》《网络信息服务管理办法》《计算机病毒防治管理办法》等。这些法规均是通用型法律法规,在政府机关网络信息管理方面进行应用时,还需要更多的细则。由于法律法规的缺失,政府机关在制定管理制度和流程时缺乏法律依据,在出现问题时也难以依据法律法规进行处理和追责。
1.2 意识层面的问题
由于对网络信息安全缺乏保护意识,部分政府机关在网络信息方面投入严重不足,建立的安全防护措施过于简单,并存在“重建设、轻管理”问题。在使用网络和信息系统时,往往只考虑使用者的便利性,对网络信息安全认识不到位,容易出现泄密风险。出现问题后,意识不到问题的严重性,改进措施不力。
1.3 技术能力层面的问题
由于政府机关自身的技术人员和技术能力储备不足,政府机关往往把包括计算机、网络等基础设施和应用系统的建设外包给服务公司。由于经费问题,在服务公司的遴选上可选择的范围和质量也难以满足网络信息安全管理的要求。一旦出现问题,不仅自身没有能力解决问题,服务公司也因自身能力问题而不能快速解决问题,这将严重影响政府的公信力。
2 网络信息安全问题的防范策略
国家领导在网络信息安全方面高度重视,已经开始进行顶层设计和规划。中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平在中央网络安全和信息化领导小组第一次会议提出的“没有网络安全就没有国家安全,没有信息化就没有现代化”“建设网络强国的战略部署要与‘两个一百年’奋斗目标同步推进”等重要论断,深刻阐释了党中央关于加强网络安全和信息化工作的指导思想和方针路线。
各级政府机关要深刻认识到,网络信息安全对国家的很多领域都是牵一发而动全身的,要充分认识做好网络信息安全工作的重要性和紧迫性。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。为全面做好网络信息安全工作,各级政府机关要深刻学习国家领导人提出的要求,重点考虑以下策略。
2.1 组织架构设计与经费支持
组织架构设计是要分层建立对网络信息安全负责的专业队伍,这是有效加强网络信息安全管理工作的基础。有了合理清晰的组织架构,各个岗位的工作人员才能各司其职,工作流程有条不紊。通过对不同岗位的专业培训,使得相关岗位的工作人员具备相关的资质和安全意识。通过建立全面的KPI管理机制,可以对相关岗位的工作人员的工作表现进行评价,对出现问题的人员进行追责,全面提高工作效率和管理水平。同时,对外包服务公司也需要纳入组织架构管理中,并明确外包服务内容边界和服务质量要求,对出现的问题也应有对应的惩罚措施。各级政府机关需要提高对网络信息安全的认识高度,对网络安全管理提供必要的、合理的经费支持。
2.2 建立制度管理规范
根据组织架构设计,建立网络信息安全分级机制,对各类基础设施、数据、应用系统进行涉密分级,在每个层级上建立完善的管理制度。在系统建设的预研、立项、招标、建设、运行维护等各环节建立风险评估与控制流程。
建立全面的安全管理规范,至少需要涵盖以下各个方面。
2.2.1 基础设施
建立包括计算机硬件、网络设备、防火墙、操作系统、数据库、病毒防范等的安全管理规范,建立基础设施采购、部署、运维监控和巡检制度,确保生产运行安全。关键设备和加密算法要考虑国家标准的要求,避免导致泄密风险。
建立健全数据备份和灾难备份机制,确保系统数据安全和系统运行的连续性。必要时,可采用内外网隔离、硬件加密、云计算、大数据等相关先进技术,加强国内科研机构科研成果的转化应用。
2.2.2 用户认证与授权管理
建立完善的用户认证机制,包括管理用户、业务用户和公众用户。必要时,在保护用户隐私的前提下,对用户采用身份认证、指纹认证、手机短信认证等认证方式。
对操作系统、网络、数据库的访问用户需要进行严格限制,尽量减少直接通过数据库用户访问和修改数据的行为,重要系统级用户的登录密码需要分段分人进行管理。
2.2.3 应用系统管理
应用系统需要建立全面的权限控制机制,对不同的用户能够访问的系统功能和数据信息需要进行严格控制。建立应用系统开发、测试、上线、变更、运维的全流程管理机制,避免因系统运维流程、系统压力等方面原因导致生产服务中断事故。
2.2.4 电子档案管理
政府政务越来越依赖信息化以后,需要建立完善的电子档案管理机制来保证信息的妥善保存和事后查证需要。尤其是无纸化办公逐步推进的过程中,重要信息的保存期限要求会越来越高,建立统一的内容管理、文件传输机制是各种应用系统共同的要求。
2.2.5 信息安全审计
信息安全审计是一个通过收集和评价审计证据,对信息系统是否能够保护信息资产的安全和维护数据的完整,使被审计单位的目标得以有效地实现,使组织的资源得到高效地利用等方面做出判断的过程。信息安全审计(IT Audit)是保证信息安全的重要手段,建立内部审计与外部审计结合的信息安全审计制度是非常必要的。信息安全审计制度需要明确信息系统审计部门在何时介入信息安全审计工作(如例行审计、司法介入审计的启动条件是有很大差异的),并定义工作范围和工作流程。同时,信息安全审计反过来也可以影响系统建设过程,建立系统开发过程中的日志规范,应用系统记录的日志对信息安全审计提供数据支持。
2.3 申请信息安全管理体系认证
有条件的政府机关,可申请通过ISO27001:2005信息安全管理体系认证。该认证为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供了模型,是管理体系思想和方法在信息安全领域的应用,已经越来越被各国接受和认可。整个管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源,通过该体系认证将对政府机关的信息安全体系化是一次非常大的促进。
3 结语
综上所述,政府机关的网络信息安全管理不是一朝一夕的问题,管理制度和机制的建立和优化也将是长期的任务,需要各级政府机关在实践过程中不断地进行探索和改进。
参考文献
[1] 林润辉,李大辉,谢宗晓,等.信息安全管理理论与实践[M].中国质检出版社,中国标准出版社,2012.
[2] (美)Michael E.Whitman,Herbert J.Matto,著.信息安全原理[M].清华大学出版社,2006.
[3] (美)Mark Rhodes-Ousley,著.信息安全完全参考手册[M].清华大学出版社,2004.
