前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇公司信息安全建设范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
互联网最初发展的目的在于方便人们的工作与生活,但是在发展的过程中逐渐形成了扩张性、渗透性、互动性的特点,这些特点为各种的权益主张、思想激荡碰撞有时甚至是违法犯罪提供了一个广阔的媒介和平台。在一定程度上为网友的诉求提供了新的途径,给他们一个发表言论的平台;但是一旦利用不好就会给公安机关带来极大的管理压力,在意识形态、舆论引导、社会管控等方面产生的新情况、新问题也让党在进行执政能力建设遭遇到了一定程度上的阻力。在新的形势下,公安机关要更加重视对网络的安全保卫工作,将网络保护放在工作中更为重要的位置,在进行战略部署时,要对网上网下进行双向部署,保证部署的全面性。根据当前所面临的局势在原有政策的基础上不断创造与发展的同时要进一步加强组织决策者的领导能力,能够在大方向正确的基础上稳步推进网络安全保护工作的发展。
关键词:
网络安全;公安信息建设;公安工作
0引言
网络日益发展,公安机关建设的公安网在各种打击违法犯罪中起到了重要的作用,这是“科技强警”“向科技要警力”口号的一个具体落实。[1]公安机关将信息化运用于“网络追逃”“网络打拐”等侦查破案中,并成为了基本的侦察手段,公安网的迅速发展有利于不断促进社会的稳定、打击预防犯罪并维护良好的社会治安。我国公安机关对公安内网的建设投入了很多的人力物力,因为一旦公安内网出现安全问题,就会导致大量的内部工作信息和保密数据被泄露,后果无法想象。从基层各级基本单位到公安部都存在着同样的风险,常常出现的问题有“一机两用”等。目前摆在公安机关面前的问题是如何运用更加先进的技术对公安内网的大量信息和数据进行良好的保护。
1公安网安全问题分析
1.1概述
公安信息网一般分为内网和外网。内网的用途一般是用来进行日常的办公、办案以及违法处理;外网是用在民警搜集、检索信息和材料所需要使用的网。外网所遭受的攻击和破坏主要是来自于病毒和木马的攻击,这往往能够通过防火墙等一系列措施进行安全保护。内网的攻击来源与外网是不同的,主要来自于内部,并且比外网更容易遭到破坏的同时防范的难度也会更高。为了防止外网的入侵,在公安网的设计之初就将内网和外网的物理层断开,阻断外网对内网进行入侵,同时也为内网加装了防火墙和入侵检测设备,但是这些所起到的作用并不十分显著。[2]
1.2时常受到攻击的原因
(1)随着信息化网络技术的不断发展,我国公安机关的网络建设逐渐优化,网上办案系统的运用达到一个新的层次。办公自动化系统、网上执法办案系统、道路交通违法信息处理系统等大规模系统的使用和普及,对内部网络的通畅要求越来越高。这是网络常常遭到攻击的原因之一。
(2)公安系统内部网络仍然具有一定的安全风险。网络在使用的过程中常常会产生漏洞但是由于系统较多而没有及时的进行修补,这给黑客的攻击提供了便利和降低入侵的难度。随着黑客技术不断快速发展,对黑客的技术水平和要求也越来越低,因此从事黑客的难度也会越来越低。外网时常面临着黑客攻击的风险,内部所面临的威胁也不少,公安内网大量的工作信息和数据也有被窃取的可能性,所以黑客对于公安网具有很强的破坏性和威胁性。湖南湘潭市公安局发生的工作人员使用黑客手段窃取内部网络的信息和公安网的服务器密码便是一个很好证明,也为公安机关敲响了警钟。
(3)部分攻击来自于内网。数据保护在目前的公安网受到重视的程度不高,给一些不法之徒提供了破坏或者是盗窃的便利。保护不力主要体现在以下几个方面:用户直接对数据库和服务器进行操作,这导致了入侵者常常对关键数据进行破坏或者是窃取;民警进行数据处理时忽视了数据加密,使数据处于一种公开状态;公安机关在设计之初对用户进行了权限等级的排序,加大了管理难度,这也会导致更高权限的用户被出现越权操作的情况;还有一种越权操作的情况是民警经常使用别人的账户的情况。数据库管理的不严格、不严密导致了数据容易处于透明状态、文件有时具有的共享属性以及用户使用的不严谨都导致了内部网络经常遭到了破坏。
2安全措施
通过前文的原因分析,受到攻击后的内网造成的严重后果是显而易见的。如何对内网进行安全建设,加强网络保护,尽量减少因为遭受攻击而导致的后果是目前我国的公安系统必须要重视的一个重点。通过笔者自身的基层实习,对公安机关有以下几个建议:
(1)完整公安网络体系的建设。公安机关必须摒弃过去混乱的网络管理和使用模式,进行至上而下的完整体系建设。配备装置良好的安全防护工具是首先要做到的,并对从上公安部到下的基层民警都需要进行统一建设。在选择安全防护产品是要注意售后服务系统的完善,重点在保密和防护各方面都需要有良好的性能。在有了优秀的安全防护工具之后,需要有一批高水平的专业技术人才进行日常系统建设和维护,建设一支具有高水平的网络安全维护队伍有利于提高公安系统整体的水平和素质。
(2)对网络安全的重要性向广大民警大力宣传,提高广大民警的计算机安全保护意识。宣传不仅要在公安部进行,更要在各个基层公安机关进行不同方式的宣传,主要方式有全体民警会议等。宣传主要分为三个方面:一是提高广大民警对计算机网络安全保密工作的重要性;二是操作公安网计算机安全保密的重要性;三是增强民警计算机网络安全信息保密的重要性,概括来说即为网络安全、操作安全、信息安全三个主要方面。公安机关所使用的计算机必须要设置难度较大的密码,无密码设置给黑客攻击提供了一定的便利;进行数据备份,避免因为电脑的故障或者是黑客的入侵导致数据破坏导致数据丢失;公安机关定期对电脑计算机网络进行检修或是出现故障需要外界人员对电脑进行接触时,要有专人在场进行监督,避免数据被窃取,并在接触之后离开之前将设备取回。
(3)加强公安机关内网的安全管理建设。在安全管理方面,公安机关要尽快的形成一套完整的管理方法,将安全管理建设落实到制度中去,将每个人的责任界定清楚避免出现责任不明确相互推诿的情况。公安机关内的计算机的用户和权限都要进行明确的划分,民警签订每台机子的网络安全责任书,避免出现“一机两用”的情况。因为这种情况可能造成计算机感染病毒,其中的数据遭到窃取或是破坏。这很有可能导致公安机关内部网络信息泄露。提高民警网络安全保护意识的同时要严格的执行各项安全保护制度,“八条纪律”和“四个严禁”要严格遵守,违者将会受到严厉的处罚,若是造成了数据破坏或是泄露的情况,将会追究相关的法律责任。《公安网络安全考核准则》中规定了各个单位都要有网络安全主管领导和网络安全管理员对本单位的网络安全进行实时监控和管理。
(4)提高网络安全技术的水平和层次。入侵检测、攻击防范、数据修复是网络安全策略的三个重点。内部安全防范的技术水平已经达到一个较高的水准,因此应在对防范人的方面提高重视程度。只有及时的发现入侵者,才能更好的解决问题,不多走弯路。入侵检测工作的同时我们要注意对黑客攻击进行防范。数据传输的过程是比较容易遭到黑客窃取的时间点,因此在进行数据传输时要采取相应的加密措施。安全的密匙分发制度能够防止用户对业务的否认和抵赖,同时数据遭窃后被破解的可能性也会降低,提高了数据传输时的安全性。要时刻注意数据备份,当网络被黑客入侵,关键数据被破坏时能够及时使用备份,减少对公安机关正常工作带来的影响。
3结束语
公安系统网络安全建设是一项长期建设的过程。公安机关首先要真正认识到建设的重要性并对其加以重视并采取相应的措施进行建设才能推动网络安全建设的不断发展。笔者作为公安机关计算机教育的从业人员,对信息安全的重要性有一个明确的认识。前文所提到的只是想为公安机关敲响一个警钟,希望有关部门能够重视起来并进行沟通建设,努力推动网络安全技术的不断革新与发展。
作者:赵冉 单位:山东省昌邑市公安局
参考文献:
(一)对信息安全建设缺乏足够认识。就目前国内实际情况来说,传统行业对于信息安全建设尚没有足够的认识,导致信息安全建设难以切实施行。具体来说,这主要表现在三个方面。一是传统行业的领导者对信息安全建设缺少必要的认识,在面对信息化浪潮的冲击时,其最先想到的是提升行业品质来面对新挑战,却忽视了通过信息安全建设保护行业核心信息资源,导致行业信息被逐渐泄露,无法与新行业相抗衡,以致逐渐失去竞争力。最典型的就是传统出版行业,在数字化刊物逐渐普及的情况下,传统出版行业已经显得捉襟见肘,出版物印刷量与销售量逐年下降。二是行业内部员工缺少对信息安全的认识,在日常工作中,会在不经意间泄露行业信息。更有甚者为了一己私利出卖行业信息。这些举动都对传统行业造成了极其恶劣的影响。三是普通消费者缺少对信息安全的认识,在某些需要消费者个人信息资料的行业中,消费者往往没有考虑个人信息资料是否安全,是否存在泄露的风险以及相应的后果。忽视这些的结果就是消费者缺少对相关企业信息安全的要求,在发生意外情况后无法挽回。
(二)信息安全建设技术水平较低。传统行业虽然缺乏对信息安全建设的认识,但也并非没有进行信息安全建设,只是其信息安全建设技术水平较低,无法切实满足对企业信息安全的保护。信息安全建设技术水平低主要表现在两个方面。一是信息安全管理体系架构技术层次低,一个体系架构的技术高低,决定了该体系所能发挥的功能高低。越先进越高端的技术,其对信息安全的保护也就越安全,反之亦然。传统行业信息安全管理体系的基础架构以及权限设置等信息保障措施,其技术相对一些新行业而言较为落后,无法符合不断更新的计算机技术,更无法有效弥补信息安全漏洞,只能说是徒有其表。二是人员管理技术水平较低,人员管理也是信息安全建设的重要环节。每一个员工都携带着一定程度的行业信息,只有加强对员工的管理,建立科学人性的管理体系,才能确保企业人员不会因为失误或利益泄露行业信息。
(三)信息安全建设覆盖范围较窄。信息安全建设覆盖范围较窄主要可以分为两个方面,一是进行信息安全建设的传统行业范围较窄;二是行业内部信息安全建设的范围较窄。对于所有传统行业而言,已经完成信息安全建设或正在建设的行业并不多。根据相关统计资料,传统行业中完成或进行中的信息安全建设的企业,尚不到20%。这一数据说明信息安全建设率在传统行业中来讲还很低,还需要加强相关理念的宣传,引导更多的传统企业进行信息安全建设。在行业内部,信息安全建设集中在企业核心机密,即企业相关财务数据、产品数据和市场数据等,忽视了员工信息安全及一些外在信息安全的构建。虽然此举能够保障企业核心利益,却无法保证企业正常良性的运转。
二、传统行业信息安全建设中的问题及原因
(一)缺少完善的法律法规。在信息安全方面,我国尚缺少有效完善的法律法规来加强信息安全建设,这主要表现在两个方面。一方面是缺少对传统行业信息安全建设的强制性法律法规。传统行业本身对信息安全缺少足够的认识,再加之缺少必须的法律法规,就致使传统行业基本忽视了信息安全建设。另一方面是缺少对信息安全犯罪的法律法规,近年来随着信息技术发展迅猛,各种信息安全犯罪层出不穷,犯罪性质也从经济犯罪上升到了更加恶劣的性质。各种由于个人信息泄露而出现的绑架、抢劫等案件,急需出台相应的信息安全法律法规来加以制约。
(二)传统行业内部信息安全管理不力。信息安全管理主要包括体系建设、制度建设和人员管理。这三个方面的工作在传统行业中来说都并不到位。体系建设主要是指信息安全管理体系,一套完整的管理体系,应当从上至下,由内而外,将方方面面的信息安全包罗其中,以形成一个上下一体的信息安全管理系统。制度建设主要针对信息安全制定相应的信息安全管理制度,通过确实的规章制度,对企业员工形成约束,避免其出现一些不利企业信息安全的行为。人员管理主要是加强对企业员工的信息安全意识教育,让其树立起保护信息安全的基本意识。
(三)基础信息安全建设设施缺乏。基础信息安全建设设施缺乏,是摆在传统行业面前的关键问题,这主要包括两个方面的问题。一是技术基础缺乏,目前我国信息安全建设的技术基础基本源自国外,这从信息安全的角度来说本身就是一种不安全的行为。只有创建完全自主的信息安全技术,才能杜绝国外技术可能存在的技术后门。二是硬件基础缺乏,这与技术基础缺乏对信息安全的不利影响是一致的。总的来说,硬软件的缺乏,是传统行业信息安全建设的最大问题。
三、传统行业信息安全建设策略分析
(一)完善信息安全法律法规。要做好传统行业信息安全建设,最首要的就是完善相应的信息安全法律法规,从法律层面对信息安全建设进行定性。首先是明确传统行业信息安全建设的义务,通过法律规定强制传统行业进行信息安全建设,迫使其领导层重视信息安全建设,进而在行业全局决策中增加对信息安全建设的思考与倾斜。其次是对信息安全犯罪作出全面的定性与量刑,加强对信息安全犯罪的打击力度,通过法律手段减少信息安全威胁。
(二)加强行业内部信息安全管理。加强行业内部信息安全管理,是信息安全建设的重要环节,其可以从三个方面来进行。第一是构建企业员工信息梯度,针对企业不同部门以及不同职位,制定不同的信息等级制度,以此改善员工功能与信息的不对等关系。第二是构建信息管理制度,针对企业类型、企业所包含信息的类型以及其机密程度,制定合理的信息管理制度,加强对内部员工的约束。第三是加强对企业员工的信息安全建设培训,使企业员工具有一定的信息安全建设意识,能够从一些小事上进行信息安全建设。
(三)自主化信息安全建设基础设施。自主化信息安全建设基础设施应当从基础技术与基础硬件两个方面进行。就基础技术而言,传统行业应该大量参考国外相关技术,博采众长,创建不依赖于国外技术的信息安全建设技术,真正实现信息安全建设技术国产化,从根源上排除国外技术对传统行业信息安全可能存在的技术风险。在基础硬件方面,传统行业可以加强与国内硬件厂商的合作,共同研发具有行业特点的信息安全建设硬件,减少国外硬件的引入与应用。总的来说,信息安全建设应该在国外硬软件的基础上,开发自主的硬软件设备,使信息安全建设完全实现国产化。
铁路信息安全建设和运行必须结合铁路信息化实际情况,从管理和技术两个层面综合保证铁路信息系统的运行操作安全,保障铁路信息系统及其安全基础设施的运行安全,并最终保障铁路运输业务及运输服务的安全。铁路信息安全保障体系结构见图1。管理和技术是铁路信息安全保障体系的两个要素,是保证铁路信息系统及其所支撑的铁路运输业务和服务安全建设和运行的必要条件。在这两个安全要素中,管理是核心,是基础,它影响和决定技术的选择以及技术标准规范;反过来,技术也会影响到信息安全管理方式和管理制度的具体形式,降低管理成本。在安全管理层面中,国家和铁路行业的信息安全方针政策法规是铁路信息安全建设和安全运维的管理基础;铁路信息安全管理制度是信息安全方针政策法规在铁路信息安全日常工作中的具体要求体现;铁路信息安全组织保障是落实铁路信息安全方针政策法规、执行铁路信息安全管理制度的岗位职责基础和人员保障;信息安全意识培养、培训和教育是铁路信息安全方针政策法规和铁路信息安全管理制度得以高效、准确地落实和执行的保证。管理安全保证不仅通过方针政策法规、组织保障、管理制度、意识培养培训教育等形式直接对铁路业务提供安全支持和保障外,还通过对信息安全技术的影响间接地保护铁路业务安全。铁路信息安全方针政策法规和管理制度等因素是制定铁路信息安全技术标准和规范的重要基础,同时,它们也会对信息安全方案的设计、产品选择和采购方式产生不同程度的影响。在安全管理控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程;铁路信息系统操作流程安全包括铁路信息系统的建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中各主要阶段的过程安全。铁路信息系统由铁路外部服务网、内部服务网、安全生产网以及若干生产专网组成,铁路的各种应用业务都直接运行在这些系统之上,为了更好地支撑这些业务系统的安全运行,支持铁路统一的安全管理,在铁路信息系统中还包括灾备中心、数字证书系统、集中管理及认证授权中心等安全基础设施系统或安全平台,这些安全基础设施及其所服务的铁路应用业务系统的运行安全是铁路运输业务及服务正常安全运行的环境保障。
2安全保障体系要素
在铁路信息系统中,无论是系统的建设、运行、灾难恢复、事件处置等活动,还是其支撑的运输业务和服务等系统目标,都离不开管理和技术两个安全要素的综合保证,其中管理是核心,在安全管理措施的控制下,只有具备安全资质的业务人员才可以在已经获得认证认可的技术手段支持下,执行规定的操作流程。
2.1铁路信息安全管理体系
铁路信息安全管理体系必须以国家信息安全相关法规、政策和标准以及铁路相关法规政策为基础和依据。按照GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》、GB/T22080—2008《信息技术安全技术信息安全管理体系要求》和GB/T22081—2008《信息技术安全技术信息安全管理实用规则》等国家标准和指南,结合我国铁路实际情况,将铁路信息安全管理体系划分为11个安全控制类别,其中包括信息安全政策、信息安全组织、资产业务、信息安全环境、设备使用、通信网络、配置授权、安全事件处置、安全运维、安全合规和灾备恢复等管理内容;在11个安全控制类别的基础上,建立铁路信息安全管理制度框架,如铁路信息资产管理制度、互联网访问管理制度、人员安全培训制度、机房管理制度、产品准入制度、系统运维制度、安全事件处理流程规定、介质管理制度、电子邮件使用管理规定、铁路软件开发管理流程规定等(见图2)。
2.2铁路信息安全技术框架
铁路信息安全技术框架是铁路信息安全保障体系的重要组成内容,主要包括安全管理、身份管理、授权管理、灾备管理、监控审计、可信保证等技术机制(见图3)。管理安全是统领铁路信息安全保障的纲领,纲举才能目张,构建一个全路信息系统可视化管理平台,以便对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局的监控,提高对系统中安全问题及其隐患的发现、分析和防范能力。由全路统一身份管理平台、授权管理机制和责任认定构成的铁路网络信任管理体系是保障铁路信息安全可信和安全的前提。全路灾难备份和恢复策略管理是铁路信息系统可信、安全和业务可持续性的后盾。以密码技术为基础的可信计算技术为软硬件资源的安全和隔离提供了结构化保证,为计算环境的可信可靠(完整性)提供了有效的判别手段,为关键数据提供了可信安全存储,为分布式计算的安全机制一致性和网络接入控制提供了远程可信证明方法。可信计算技术是构建铁路信息安全保障体系的基础支撑。
2.3铁路信息安全的组织保证
铁路信息系统安全应该在组织上加以保证。在具体组织形式上应该由中国铁路总公司(简称总公司)主管领导和部门具体负责铁路信息安全的领导和组织工作,由相关专业职能部门分工协作,在铁路信息化的整体工作布局中设置专门机构和岗位、明确相关职责、配备信息安全专业技术和管理人员,确保信息安全管理制度的有效落实和信息安全技术机制的可操作性。铁路信息安全组织保证框架见图4。总公司信息安全主管部门应该包括以下职能机构:法规政策标准管理机构负责制定铁路信息安全相关法规、政策、标准和规范,并负责铁路业务应用密码的管理工作;安全建设运维管理机构根据铁路信息安全相关法规、政策、标准和规范,参与铁路信息系统及其安全基础设施的设计、开发和运维审核和监管工作;信息安全风险管理机构负责对进入铁路信息系统的相关产品进行测评认证,对运行系统进行安全监控,负责信息系统的安全风险管理工作;安全事件处置管理机构负责对系统紧急事件进行处理,对舆情进行综合分析,并根据事件性质和处理结果对事件进行通报;安全保密培训服务中心负责全路的信息安全法律法规、政策标准、安全意识和安全技能的培训提高工作,负责组织安排和协调社会力量以及高校等培训机构具体实施常态化信息安全培训工作;安全灾备恢复管理机构负责重要信息系统的运行和数据备份实施工作,并在系统出现严重故障后,迅速协调相关部门恢复服务或业务数据,保障关键业务服务的运行连续性。各铁路局(公司)应该参照总公司信息安全管理组织结构,设置相关部门或相关专职岗位,并有铁路局(公司)领导具体分管信息安全工作。铁路局(公司)信息安全工作应该在总公司统一组织、协调和安排下开展具体工作。
2.4铁路信息系统安全基础设施
铁路信息系统必须依赖于铁路网络与信息安全基础设施作为其安全支撑基础。铁路网络与信息安全基础设施不仅可以落实铁路集中统一安全管理的要求,提高铁路信息系统的安全水平,还能有效降低铁路信息安全的建设和运维成本。铁路信息安全基础设施包括铁路信息系统灾备恢复中心、铁路业务应用密码管理中心、数字证书系统、集中安全管理及认证授权中心、安全监控中心、安全隔离平台、信息安全培训平台以及铁路网络舆情分析系统(见图5)。铁路信息系统灾备恢复中心可以将由于系统重大故障或破坏带来的业务中断降低到最小程度,提高铁路的服务水平;铁路业务应用密码管理中心是保护铁路重要数据安全和业务安全的基础保证,同时它也是全路统一信任体系的技术基础;铁路数字证书系统可以在全路范围内建立统一的身份认证体系,提高铁路的信息安全集中管理能力,降低安全管理成本;铁路集中管理及认证授权中心通过全路集中的信息安全平台实现高效、统一的安全管理,保证安全策略的快速一致化部署;铁路信息系统安全监控中心可以对铁路信息系统的安全运行状态进行监控,掌握铁路信息系统的运行态势,从而实现在铁路信息系统中防患于未然,有效降低系统安全风险;铁路安全隔离平台是隔离铁路内部服务网和外部服务网的安全措施,它保证了铁路安全生产网络的正常运行;铁路信息安全培训平台对保证提高铁路员工的信息安全意识、培养安全素养极为重要,是人员安全的必要保证;铁路网络舆情分析系统对铁路了解社会评价、改善铁路社会化服务水平、提高铁路形象至为关键。
2.5铁路信息安全意识培养、培训和教育管理
要搞好铁路信息系统的信息安全管理,离不开相关人员的安全意识培养、技能培训和专业教育。铁路信息安全意识培养、培训和教育分别针对不同层次和专业的人员而设。信息安全意识培养通过对信息安全术语、议题和基本概念的宣传、宣导,吸引一般人群对信息安全的关注,帮助人们了解信息安全所关注的问题,并能因此产生正确的响应;信息安全培训让信息系统相关人员获得相关的技能和必备的资质,使其在信息安全管理、设计、开发、建设、运维、操作、评估和使用等方面满足与信息安全相关的岗位职能要求,培训可以分为初级、中级和高级等多个层次;信息安全教育则从信息安全专业理论、技术、经验等方面培养信息安全专家,与信息安全培训一样,这种信息安全教育也应分为初级、中级和高级等多个层次。为降低信息安全意识培养、培训和教育的管理和运作成本,铁路信息安全资质认证也可以和国家其他部门的资质认证机构合作,对一些可信度高、有较高权威的信息安全资质证书采取等同认可方法。铁路信息安全意识培养、培训和教育管理框架见图6。铁路信息安全意识培养、培训和教育管理可分为两方面:一方面是针对全部相关人员的信息安全意识培养。安全意识培养是一个长期的宣传和贯导工作,可以通过制度奖惩、危机教育、标语口号等方式建立普遍的信息安全概念,推广信息安全文化;另一方面是针对岗位定义不同的信息安全资质要求,并这对这些资质要求建立相对应的信息安全技能和专业培训、教育,为了满足这些资质培训教育工作,总公司必须建立相关的培训和认证机制,设置相关的机构。
2.6系统流程及操作安全保证
系统流程和操作安全是指铁路信息安全建设、运维和灾备恢复等活动的流程和操作安全,它旨在保证铁路信息系统及其安全基础设施在安全生命周期中主要阶段的过程安全。在铁路信息安全建设和运行过程中,要制定并依托相关的铁路网络与信息安全管理制度、技术标准规范和组织部门机构,对系统的安全设计、产品测评准入、安全工程等过程进行安全管控,从根本上杜绝系统在结构上的安全缺陷、严防不合规的产品进入系统、保证系统建设施工的安全规范;在铁路信息系统的日常运行过程中,也必须建立系统风险监控、评估和控制的管理和技术体系,通过专业专职的机构和部门,对系统的安全状态进行实时监控、对系统安全风险进行定期或不定期的评估;对安全事件进行预案规划、演练和应急处置,避免重大安全事件的发生;对系统服务或重要数据实施安全灾备,最大程度地减少系统故障带来的铁路运输业务和服务中断时间,减小风险后果。铁路信息安全建设、运维和灾备恢复流程见图7。
3结束语
“新兴技术让IT变得更加高效和低成本。但应用环境的变化,也让信息安全防护产生了新的盲区,给企业核心资产的保护带来新挑战。”瑞星安全专家唐威认为,“虚拟化、云应用带来新的安全挑战:首先,云应用托管商受资金、社会环境、当地法律等因素制约,发生服务中断事故不可避免,这将为企业带来巨大损失;其次,企业数据存储安全隐患凸显,一旦云端服务器遭到黑客入侵,企业的重要数据就面临丢失或被窃的风险。”
移动互联网浪潮带来很多新的安全隐患,其中之一是无线路由器的安全漏洞被黑客利用。“黑客可以利用无线路由器的漏洞对整个网络中的电子设备进行全面监控,包括所有电子设备中内置的麦克风和摄像头、硬盘中存储的文件,甚至用户对电子设备进行的所有操作。”唐威强调,由于绝大部分用户只会在安装路由器时进行简单的设置,并不会定期检查路由器并且刷新固件程序,因此“路由器一旦被入侵,用户将被终身监视”。
移动浪潮的另一个影响是BYOD被越来越多企业所接受,企业数据与员工自带设备的物理边界变得模糊,安全风险大幅增加。正如唐威所言:“移动设备接入方式多种多样,尤其是WiFi网络的应用,扩大了网络接入的范围,接入位置不再固定于某个物理网络端口,黑客可以通过破解无线信号潜入企事业单位的内网之中。”他认为,企业需要从人员、设备、网络、应用和数据等五个纬度,进行全面的安全建设。
近期,不断发酵的“棱镜门”事件,再一次给我国的企业和个人当头棒喝。唐威认为:“国内企业在安全方面存在诸多隐患,但归根结底,企业信息安全意识薄弱是导致信息安全事故频发的根本原因。”
关键词 电子商务;信息安全;技术
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2013)12-0036-02
1 电子商务的信息安全现状
电子商务是网络化的新型经济活动,已经成为我国战略性新兴产业与现代流通方式的重要组成部分。根据数据显示,我国通过手机上网以及网络用户已经突破了7亿和3亿大关,这么多的网络用户就为电子商务的发展奠定了基础。我国电子商务市场整体交易量近年来持续增大,2011年中国网民在线购物交易额达到7849.3亿元,比2010年增长了66%。,有效地促进了消费增长。预测2015年电子商务交易额将达12万亿元。随着网络深入到生活的方方面面,电子商务领域也接连出现信息安全事故,电商网络安全问题越来越受到用户的高度关注。日前,知名网商1号店爆出个人用户信息被泄露,京东商城也出现大量“恶意订单”,在消费者中引发不安和争议。在10月30日晚上10点半左右,在京东商城的充值平台上出现网络异常,当时该平台上的积分换话费活动出现系统BUG(漏洞),用户点击后就自动进行充值,整个过程并没有进行相应的扣分。而且没有充值成功的积分被双倍的返还,自动打入消费者账户,消费者发现这个漏洞,纷纷上网参与活动,一次充值仅仅10秒左右就可以完成,一直持续到晚上将近12点,京东才发现异常,并修复了好了该漏洞,这次事件为众多从事电子商务业务的企业敲响了警钟,网络完全问题无处不在,一旦发生将是不可挽回的损失。
2 电子商务对信息安全存在的问题
所谓电子商务基于电子信息网络,特别是互联网,为企业、机构和个人提品或服务交易及相关的电子认证、在线支付、物流配送等服务的业务活动。目前我国企业在电子商务信息安全方面的问题主要存在以下几点。
1)企业对信息安全的重要性有所认识,但对面临的信息安全威胁和存在的隐患仍存在侥幸心理,很多从事电子商务的企业对注册会员的资料欠缺有效的保密措施,很多信息资料采用是明文保存,这就很容易被黑客侵入获得相关客户的资料,公司内部不法人员也可以轻而易举的获得客户资料,为了牟利将其泄漏。这些问题看似技术层面的原因,其实深究起来,还是企业信息安全管理上的漏洞。在很多中小购物网站中,有的第三方支付平台未依法落实相关的日至留存措施,有的甚至在明知他人实施网络犯罪的情况下,仍为其提供支付服务,并从中提成获利,有的电子商务运营商并未落实网络交易异常、信用异常和非法交易的监控措施,导致销售违禁品、网上销赃等违法犯罪活动难以发现。
2)法律层面缺失。对于个人信息安全和网络信息安全事故,由于相关法律的缺失,截至目前,依然很难给予法律层面上的定性。尽管媒体上多次报道一些网站出现用户资料泄密事件,但从处理结果来看,企业仅仅道歉了事,并没有承担法律上的责任。这是由于目前我国在这方面的法律缺位,导致网络信息的侵权成本过低,同时消费者要维权也缺乏法律支持,而且维权成本太高,这就使得很多企业并没有动力去真正的加强用户信息保密工作。
3)网民安全意识薄弱,强化互联网企业和网民的法律意识,提升违法成本,才是应对网络安全事故的根本之策。就像京东商城那个案例,很多网民利用系统BUG,实现了给自己手机充值,或者给Q币充值的目的,这种行为其实已经符合盗窃行为的本质,但很多消费者并没有从思想上认识到这是一种盗窃,认为这是在网络的虚拟空间里就不能算作犯罪行为。随着新的传统企业进入电子商务领域及电子商务向农村纵深发展,这种意识和行为还有加重的趋势。可见,加强消费者对网络信息安全的认识,树立起消费者守法的网络行为十分必要。
3 电子商务的信息安全技术
3.1 加强安全认证
电子商务安全认证系统是保证电子商务安全的基础设施,目前,在电子商务领域,安全认证是较为通行的一种做法。电子商务安全认证是以数字证书应用为核心的密码,它以PKI技术为基础,对网络信息进行加密,有数字加密和签名加密两种方式。电子商务交易双方都是利用网络进行交易行为,交易双方互相有个信任问题,如何在不见面的情形下对双方身份进行确认是个难点,所以就需要一个参与方对双方身份进行确认并相关证书,网络交易双方都可以通过加密证书对双方的身份进行认证,保证网络信息不被篡改和窃取。同时数字证书也可以起到对集中审计、产品授权等相关业务活动进行全程跟踪管理的作用。例如新浪曾经推出国内首个安全认证企业邮箱,传统的邮件加密只限于客户端的加密,而对于邮件的传递无法监控,新浪这种加密的企业邮箱采用电子安全认证技术,基于浏览器的邮件加密,通过公钥加密与私钥解密技术结合,实现电子邮件最大的安全性。拥有这种企业邮箱的用户,可以保证在邮件的传递过程中进行发件方和接受方的身份确认,并且可以对邮件进行电子签名,保证信息的不可抵赖性。同时还支持国际漫游业务,当用户离开出差外地,使用别人的PC,打开自己的企业邮箱,输入电子认证证书密码,即可从服务器上获得128位的加密密钥,打开电子邮件,当用户阅读完邮件,关闭浏览器,其加密密钥自动销毁,在机器上不留任何备份,保证了邮件安全。
3.2 完善电子商务网站
电子商务交易双方的信任度成为评价电子商务秩序状况的重要指标,这就需要一个完善的电子商务网站。建立一个电子商务网站并不是很容易的,服务器的选择至关重要。特别是在建站的前期,服务器最重要的就是需要拥有更好的安全性和更高的性能,能够最大限度的保证消费者网络交易行为的安全性。对于电子商务企业而言,在网站建设与管理中,为了保证消费者能够短时间内挑选出适合自己的商品,就不可避免的要实现网站的搜索功能,这就对网站服务器的性能和结构提出了要求。首先选择服务器的结构。对于电子商务企业而言,服务器是要托管到电信或者网通机房,这是要付出一定费用的。服务器体积越大相应的托管费用就越高,所以企业应该根据企业实际情况,选择性价比高的机架式服务器,常见的1U或2U机架式服务器都可以符合企业经营需要。其次,在服务器性能方面,可以选择四核处理器、2GB内存以及读取性能更好的SAS硬盘,如果企业规模较小或者资金有限,可以考虑性能相对较低的SATA硬盘,并通过组建RIAD磁盘阵列来提升硬盘的读取性能和安全性。
3.3 加强信息安全的规划和沟通
没有合作的文化是做不成大团队的,电子商务信息与安全管理需要这样的合力来推行。电子商务企业信息安全发展到现代,在软硬件以及信息安全技术、方法上差别不大,关键是信息安全理念的差异。有的电子商务企业缺乏先进信息安全管理理念,企业高层对信息安全管理的意见相左,各部分之间沟通不畅、缺少合力或者缺乏对信息安全建设的长远规划和指导,这些因素都会导致企业信息安全建设的失败。因此,对于电子商务企业而言,企业信息化建设需要形成合力,需要企业高层对信息安全建设的投入、长远规划等意见统一,需要企业IT与业务部门沟通顺畅,建立信息化规划时,要按步骤、分阶段来规划。当然每个企业实际情况不同,信息安全建设的速度、规模都不尽相同,企业要根据自己的实际需要,根据企业的资金实力、发展规模以及企业发展阶段等因素做好信息安全建设的规划。同时,企业要建立统一的日常运营需要建立的管理流程,除了采取用较优秀的熟悉公司业务的人员做项目经理外,最好的办法就是建立一种长期的沟通机制,每个部门除了知道本部门的活动计划之外,还要知道其他部门的重大活动,这样才可以加强相互之间的配合。还有就是电子商务主要在网络上展开,由于网络传播速度很快,因此应该对流程的每一步都应该进行怎样的测试和审核,避免有意和无意的疏忽造成重大事故。在出现问题时采取何种措施,对这些问题采取什么样的风险描述。保证做到系统能够快速恢复、人员能够快速进入工作岗位。
总之,电子商务作为计算机应用技术与现代经济贸易活动结合的产物,已经越来越多的应用到企业中,电子商务涉及面广、主体众多,存在巨大的信息安全隐患,加强电子商务网络安全很重要。企业作为电子商务运营的主体,要切实加强对电子商务信息安全的重视程度,采用各种技术和方法来保证网络交易的安全性。
参考文献
[1]徐学军.我国发展电子商务的主要瓶颈及对策[J].科技管理研究,2004(2).
[2]汪成.企业电子商务存在的问题及对策[J].科技情报开发与经济,2005(2).
[3]周学广,刘艺.信息安全学第1版[M].北京:机械工业出版社,2003.
[4]毛剑.保护隐私的数字产品网上交易方案[J].电子学报,2005(6).
[5]王圣洁.电子商务安全问题浅述[J].计算机与数字工程,2004(6).
[6]武心莹.电子商务的安全性及其实现[J].江西财经大学学报,2004(4).